SecuAAS Docs
SecuScan / ScanyzeModules

Module Cloud Security

Audit de votre posture cloud — Microsoft 365 + Google Workspace + module CNAPP (AWS / Azure / GCP en preview)

Module Cloud Security

Le module Cloud Security audite la configuration de vos environnements cloud à la recherche de mauvaises configurations, d'expositions de données et de drift par rapport aux baselines CIS.

Il se compose de deux familles :

FamilleProvidersStatutPlan minimum
Cloud Security (productivité)Microsoft 365 (M365), Google Workspace (GWS)StablePro
CNAPP (Cloud-Native Application Protection Platform)AWS, Azure, GCPPreview, gated derrière feature.cloudFullAnalysisEnterprise

Source : secuscan-api/internal/api/handlers/cloud_connectors.go.

Cloud Security — Microsoft 365 et Google Workspace

Microsoft 365 (M365)

Connexion

  1. Naviguez vers /cloud-security/connectors.

  2. Cliquez sur Connecter Microsoft 365.

  3. Saisissez votre Tenant ID Azure AD (UUID).

  4. Cliquez sur Autoriser via Microsoft : vous êtes redirigé vers l'écran de consentement Microsoft.

  5. Approuvez les permissions Read-Only suivantes (scope https://graph.microsoft.com/.default) :

    • Directory.Read.All — lecture des utilisateurs et groupes
    • Policy.Read.All — lecture des Conditional Access policies
    • SecurityEvents.Read.All — lecture des événements de sécurité
    • AuditLog.Read.All — lecture des journaux d'audit
    • IdentityRiskEvent.Read.All — lecture des risques Identity Protection
    • Reports.Read.All — lecture des rapports d'usage

  6. Vous êtes redirigé vers Scanyze. Le connecteur passe au statut connected et un premier scan est lancé automatiquement.

L'authentification utilise le client_credentials flow (app-only) — aucun mot de passe utilisateur n'est stocké. Le secret de l'application est chiffré AES-256-GCM dans cloud_secrets.

Contrôles évalués

CatégorieExemples de contrôles
IdentitéMFA activé pour tous les admins, présence de comptes Global Admin sans MFA, comptes inactifs > 90 jours
Conditional AccessPolicy MFA pour les admins, blocage des pays à risque, policy sur les apps SaaS
ExchangeConfiguration anti-spam, anti-phishing, ATP Safe Links, ATP Safe Attachments, DKIM/DMARC actifs
SharePoint / OneDrivePartage externe par défaut désactivé, expiration des liens anonymes, classification des sites
TeamsPolitique de rétention, restriction des invités, partage de fichiers externe
DefenderDefender for Office 365 actif, Defender for Endpoint déployé sur les postes
AuditAudit unifié activé, rétention min 90 jours

Lecture du rapport

Sur /cloud-security/findings?provider=m365, vous voyez la liste des findings avec :

  • Catégorie (Identity, Email, SharePoint, etc.)
  • Sévérité
  • Description du contrôle non respecté
  • Evidence : valeur brute renvoyée par Graph API
  • Recommandation : action à mener (souvent un lien direct vers la page Microsoft 365 admin pour corriger)
  • Bouton « Remédier maintenant » (depuis v0.118.x) : pour certaines configs simples, Scanyze peut appliquer le fix directement via Graph API si vous avez délégué les permissions Write.

Google Workspace (GWS)

Connexion

  1. Cliquez sur Connecter Google Workspace.
  2. Téléchargez la fiche d'autorisation (PDF) générée par Scanyze — elle contient la liste exacte des scopes OAuth à approuver.
  3. Saisissez votre domaine Google Workspace (ex. monentreprise.ca).
  4. Cliquez sur Autoriser via Google : redirection vers Google Cloud OAuth pour consentement.
  5. Approuvez les scopes Read-Only :
    • https://www.googleapis.com/auth/admin.directory.user.readonly
    • https://www.googleapis.com/auth/admin.directory.group.readonly
    • https://www.googleapis.com/auth/admin.reports.audit.readonly
    • https://www.googleapis.com/auth/admin.reports.usage.readonly
    • https://www.googleapis.com/auth/cloud-platform.read-only

Contrôles évalués

  • Comptes : MFA activé sur tous les comptes (notamment super admins), 2SV méthodes (clé physique vs SMS), comptes désactivés non purgés
  • Drive : partage externe restreint, lien public detection
  • Gmail : SPF/DKIM/DMARC, filtres anti-phishing, S/MIME
  • Groups : politique d'accès externes, modération
  • Calendar : visibilité par défaut, partage externe
  • Apps : applications tierces autorisées avec scopes sensibles

CNAPP — AWS, Azure, GCP (Preview)

Le module CNAPP (/cnapp) est en preview et est gated derrière le flag feature.cloudFullAnalysis. Il sera ouvert progressivement aux clients Enterprise au cours de 2026.

Connecteur AWS

Méthode recommandée : AssumeRole avec Trust Policy externe.

  1. Dans AWS, créer un IAM Role ScanyzeReadOnly avec la trust policy fournie par Scanyze (compte AWS Scanyze + ExternalID unique).
  2. Attacher la policy managée SecurityAudit (AWS) + une policy custom incluant iam:GenerateCredentialReport, s3:GetEncryptionConfiguration, cloudtrail:DescribeTrails, config:DescribeConfigurationRecorders, etc.
  3. Coller l'ARN du role dans Scanyze.
  4. Scanyze utilise STS AssumeRole pour appeler les APIs AWS en read-only.

Contrôles AWS

  • IAM : root account MFA, IAM users avec MFA, password policy, access keys non rotées, policies trop permissives
  • S3 : encryption at rest, public access blocked, logging, versioning
  • EC2 : security groups ouverts (0.0.0.0/0), unencrypted volumes, instances avec metadata v1
  • VPC : flow logs, NACL, default security group restrictif
  • CloudTrail : tous les régions, intégrité du log, encryption KMS
  • Config : Config Recorder actif, rules CIS appliquées
  • GuardDuty : actif et configuré
  • KMS : rotation des clés, policies

Connecteur Azure

Authentification via App Registration avec rôle Reader à la subscription ou au management group.

Contrôles Azure

  • Microsoft Entra ID : Conditional Access, Privileged Identity Management
  • Networking : NSG ouverts, App Gateway WAF
  • Storage : encryption, public blob access, soft delete
  • Compute : disques chiffrés, JIT access, vulnérabilité scanning
  • Defender : Defender for Cloud Plans, Secure Score

Connecteur GCP

Authentification via Service Account avec rôles Security Reviewer + Viewer.

Contrôles GCP

  • IAM : Owner roles excessifs, service accounts non rotés
  • GCS : public buckets, uniform access
  • GCE : default service account, OS Login
  • Kubernetes (GKE) : private clusters, network policy, binary authorization
  • Cloud SQL : SSL only, automatic backups
  • Logging : Audit Logs, sinks vers external destination

Refonte du module Cloud (v0.126.0 — migration 000171)

Depuis la v0.126.0, le module Cloud est divisé en 3 sous-menus distincts dans la sidebar :

Sous-menuURLAudiencePlan minimal
Dashboard Cloud/cloud/dashboardVue exécutive multi-provider, score consolidé, top findings, drift recentStarter
Cloud Sécurité/cloud/securityConfiguration des connecteurs M365 / Google Workspace, audit fins, exports complianceStarter
CNAPP/cnappPosture AWS / Azure / GCP, scan IaC, runtime threats (preview)Enterprise (preview Business)

Dashboard Cloud unifié

Sur /cloud/dashboard, vous avez :

  • Score de posture cloud par provider (M365 / GWS / AWS / Azure / GCP)
  • Graphique radar par catégorie (Identity, Network, Storage, etc.)
  • Top 10 findings triés par criticité
  • Drift récent : changements de config détectés sur 7 / 30 jours
  • Lien vers le module CNAPP si activé

Cloud Sécurité

Sur /cloud/security, vous gérez les connecteurs M365 et Google Workspace :

  • Création / révocation de connecteurs OAuth
  • Liste des findings groupés par tenant cloud
  • Re-scan manuel
  • Export compliance (CSV / PDF)

CNAPP

Le sous-menu CNAPP est dédié aux providers IaaS / PaaS (AWS, Azure, GCP) — voir la section CNAPP plus bas.

Drift Detection

Scanyze peut surveiller les changements de configuration sur vos environnements cloud :

  • À chaque scan, comparaison avec le scan précédent
  • Notification dès qu'une config sécurité change (ex. un bucket S3 devient public)
  • Audit trail conservé 12 mois

Ré-évaluation automatique

Les connecteurs cloud sont scannés automatiquement :

PlanFréquence
Pro1× par semaine
Business1× par jour
EnterpriseConfigurable (jusqu'à 1× par heure)

Quotas par plan

PlanConnecteurs M365/GWSConnecteurs CNAPP (AWS/Azure/GCP)Drift Detection
FreeNonNonNon
Starter1NonNon
Pro5NonNon
Business10Preview (sur demande)Oui
Enterprise-1OuiOui
MSP internal-1-1Oui

Privacy

  • Toutes les données récupérées des APIs cloud (utilisateurs, configs) sont stockées dans la DB OVH BHS (Québec).
  • Les secrets de connecteur (client secret, refresh token, service account JSON) sont chiffrés AES-256-GCM dans la table cloud_secrets (master key gérée via OVH KMS).
  • Aucun secret n'est jamais loggé en clair.
  • Les permissions cloud sont strictement Read-Only par défaut. Les permissions Write ne sont activées que si vous activez explicitement la remédiation auto.

Sources de cette page

  • Backend : secuscan-api/internal/services/cloud/, secuscan-api/internal/services/cloudscan/, secuscan-api/internal/cloudscanner/
  • Handlers : secuscan-api/internal/api/handlers/cloud_connectors.go, cloud_remediation_m365.go
  • Migration refacto : secuscan-api/internal/migrations/000171_cloud_security_refactor.up.sql

À jour pour Scanyze v0.130.x.

Module Compliance

Évaluation automatisée de votre conformité — 5 cadres techniques (CIS, ISO 27001, OWASP, PCI DSS, SOC2) + scan légal Loi 25 / PIPEDA / RGPD / Cookies / CGU

Module Dark Web Monitoring

Surveillance multi-sources des fuites de données — HIBP, DeHashed, Leak Lookup, Intelligence X

On this page

Module Cloud SecurityCloud Security — Microsoft 365 et Google WorkspaceMicrosoft 365 (M365)ConnexionContrôles évaluésLecture du rapportGoogle Workspace (GWS)ConnexionContrôles évaluésCNAPP — AWS, Azure, GCP (Preview)Connecteur AWSContrôles AWSConnecteur AzureContrôles AzureConnecteur GCPContrôles GCPRefonte du module Cloud (v0.126.0 — migration 000171)Dashboard Cloud unifiéCloud SécuritéCNAPPDrift DetectionRé-évaluation automatiqueQuotas par planPrivacySources de cette page