Un audit de sécurité Azure pertinent doit éviter deux pièges :
- le rapport “catalogue d’alertes” inexploitable ;
- la quête obsessionnelle du Secure Score.
Un audit efficace commence toujours par une revue par domaine de risque :
Identité
- MFA effectif pour tous les comptes sensibles ?
- Comptes hérités encore actifs ?
- Rôles trop larges ?
- PIM réellement utilisé ou juste activé “pour faire bien” ?
Réseau
- Services exposés inutilement ?
- NSG permissifs non justifiés ?
- Topologie cohérente avec les flux réels ?
- Journalisation du trafic exploitée ou inexistante ?
Accès et opérations
- Qui a accès à quoi, et pourquoi ?
- Accès permanents vs temporaires
- Traces exploitables en cas d’incident ?
Le livrable clé n’est pas la liste des failles, mais la matrice risque / effort / priorité.
Sans priorisation, l’audit finit dans un tiroir.
La sécurité Azure est un processus continu, pas un état binaire “sécurisé / non sécurisé”.