# AUTHENTIFICATION

### MFA - AUTHENTIFICATION MULTIFACTEUR

L’authentification multifacteur (MFA) est une méthode qui nécessite deux facteurs d’authentification différents pour accéder à un compte ou à un système. Les facteurs courants incluent un mot de passe et un code généré par une application MFA sur un appareil mobile.

En activant la fonctionnalité MFA sur les comptes AWS, vous augmentez considérablement la sécurité de vos comptes. Un attaquant aurait également besoin d’un accès physique à l’appareil MFA associé au compte pour se connecter, ce qui réduit fortement les risques de vol de mot de passe et de compromission de compte.

### MFA POUR TOUS LES UTILISATEURS DE LA CONSOLE

Si vous ne configurez pas le MFA sur les comptes ayant accès à la console AWS, ces comptes peuvent être vulnérables aux attaques de phishing ou au vol de mots de passe.

Si des attaquants parviennent à obtenir des identifiants de connexion, ils peuvent accéder à la console AWS, où ils pourront modifier ou supprimer des données, lancer des instances, ouvrir des ports, etc.

### MFA - COMPTE ROOT

Le compte root est le compte administratif principal sur AWS. Il dispose d’un accès complet à tous les services et ressources de l’environnement.

Si le compte root est compromis, cela peut entraîner des conséquences catastrophiques, notamment la perte de données sensibles, des modifications de configuration, des interruptions de service, etc.

### ALERTES DE CONNEXION

* Assurez-vous de recevoir une alerte à chaque connexion à un compte ne disposant pas de MFA.
* Assurez-vous de recevoir une alerte à chaque connexion du compte root.

#### Documentations : 

{% embed url="<https://www.intelligentdiscovery.io/controls/cloudwatch/cloudwatch-alarm-no-mfahttps://aws.amazon.com/fr/blogs/security/how-to-receive-notifications-when-your-aws-accounts-root-access-keys-are-used/https://aws.amazon.com/fr/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/>" %}

### DÉTERMINER LE TYPE D'ACCÈS PAR UTILISATEUR

Par défaut, aucune case n’est cochée dans la console AWS lors de la création d’un nouvel utilisateur IAM. Lors de la validation des informations d’identification d’un utilisateur IAM, vous devez déterminer le type d’accès dont l’utilisateur a besoin.

[![](https://asf-france.gitbook.io/~gitbook/image?url=https%3A%2F%2Fgithub.com%2FAugmentedSecurityForce%2FSecuring_your_AWS_infrastructure%2Fraw%2Fmain%2FEN%2FImages%2Faccesstype.png\&width=300\&dpr=4\&quality=100\&sign=988e3484\&sv=2)](https://github.com/AugmentedSecurityForce/Securing_your_AWS_infrastructure/blob/main/EN/Images/accesstype.png)

* **Accès programmatique** : L’utilisateur peut avoir besoin d’effectuer des appels API, d’utiliser l’AWS CLI ou les outils Windows PowerShell.
* **Accès à la console de gestion AWS** : L’utilisateur a besoin d’accéder à la console de gestion AWS.

#### Documentation :

<https://learn.digger.dev/misc/aws-keys.html>