AWS Security Hub : un SOC automatisé pour les PME à 50€/mois
Remplacez un SOC externalisé à 3-5K€/mois par Security Hub + GuardDuty + Config. Détection automatique, scoring de conformité NIS2/PCI-DSS, et remédiation Lambda — le tout déployé en 30 minutes.
Mis à jour le 22 May 2026
Une PME française qui veut surveiller sa sécurité informatique a deux options : payer un SOC externalisé 3 000 à 5 000€ par mois, ou ignorer le sujet jusqu’à l’incident. AWS propose une troisième voie — un SOC automatisé à 50-100€/mois qui détecte, alerte et corrige les problèmes de sécurité sans intervention humaine.
Chez LCMH, nous déployons cette architecture depuis 2024 pour nos clients PME. Le constat est sans appel : la couverture de détection est supérieure à la plupart des SOC externalisés low-cost, pour un centième du prix.
Ce que vous remplacez
Un SOC externalisé classique pour PME fait trois choses :
- Surveillance — collecter les logs, détecter les anomalies
- Alerte — vous prévenir quand quelque chose est anormal
- Recommandation — vous dire quoi faire pour corriger
Le problème : à 3K€/mois, vous obtenez un analyste junior qui regarde vos logs entre deux cafés. Les alertes arrivent avec 4h de délai. Les recommandations sont génériques.
Security Hub + GuardDuty + Config font les trois — en temps réel, 24/7, avec des recommandations spécifiques à votre infrastructure.
L’architecture en 3 couches
┌─────────────────────────────────────────────┐
│ AWS Security Hub │
│ (Agrégation, scoring, conformité) │
├────────────┬──────────────┬─────────────────┤
│ GuardDuty │ AWS Config │ IAM Analyzer │
│ (Menaces) │ (Conformité) │ (Accès) │
├────────────┴──────────────┴─────────────────┤
│ EventBridge + Lambda │
│ (Alertes, auto-remédiation) │
└─────────────────────────────────────────────┘
- GuardDuty — détecte les comportements suspects : connexions depuis des IP malveillantes, exfiltration de données S3, minage crypto sur vos instances, appels API anormaux
- AWS Config — vérifie en continu que vos ressources respectent les règles : chiffrement activé, ports fermés, MFA activé, backups configurés
- IAM Access Analyzer — identifie les ressources partagées par erreur avec l’extérieur
- Security Hub — agrège tout, calcule un score, et génère les findings actionnables
Déploiement en 30 minutes
Étape 1 : Activer Security Hub (5 min)
Console AWS → Security Hub → Activer. Cochez les standards :
- ✅ AWS Foundational Security Best Practices (FSBP)
- ✅ CIS AWS Foundations Benchmark
- ✅ NIS2 (si applicable à votre secteur)
Étape 2 : Activer GuardDuty (2 min)
Console AWS → GuardDuty → Activer. Activez toutes les sources de données :
- CloudTrail (activité API)
- VPC Flow Logs (trafic réseau)
- DNS Logs (résolutions suspectes)
- S3 Protection (accès aux données)
Étape 3 : Activer Config (5 min)
Console AWS → Config → Démarrer. Enregistrez toutes les ressources. Le coût est proportionnel au nombre de règles évaluées — pour une PME, comptez 20-30 règles actives.
Étape 4 : Configurer les alertes (10 min)
EventBridge → Règle → Source Security Hub → Cible SNS (email) ou Lambda (Slack) :
import boto3
import json
import urllib3
def lambda_handler(event, context):
finding = event['detail']['findings'][0]
severity = finding['Severity']['Label']
title = finding['Title']
resource = finding['Resources'][0]['Id']
message = f"🚨 [{severity}] {title}\nRessource: {resource}"
# Envoi Slack via webhook
http = urllib3.PoolManager()
http.request('POST', SLACK_WEBHOOK_URL,
body=json.dumps({"text": message}))
Étape 5 : Auto-remédiation (8 min)
Pour les findings critiques récurrents, une Lambda corrige automatiquement :
def remediate_public_s3(bucket_name: str) -> None:
"""Bloque l'accès public sur un bucket S3 exposé."""
s3 = boto3.client('s3')
s3.put_public_access_block(
Bucket=bucket_name,
PublicAccessBlockConfiguration={
'BlockPublicAcls': True,
'IgnorePublicAcls': True,
'BlockPublicPolicy': True,
'RestrictPublicBuckets': True
}
)
Le coût réel pour une PME
| Service | Coût mensuel typique | Ce qu’il fait |
|---|---|---|
| Security Hub | 10-15€ | Agrégation + scoring |
| GuardDuty | 20-40€ | Détection de menaces |
| Config | 10-20€ | Conformité continue |
| Lambda (alertes) | <1€ | Notifications + remédiation |
| Total | 50-75€/mois | SOC complet automatisé |
Comparé à un SOC externalisé à 3 000-5 000€/mois, c’est un facteur 50-100x. Et la détection est plus rapide — temps réel vs 4h de délai moyen chez les MSSP bas de gamme.
Conformité NIS2 : le bonus décisif
Depuis janvier 2025, la directive NIS2 s’applique à des milliers de PME françaises (fournisseurs de services numériques, sous-traitants d’entités essentielles). Les exigences incluent :
- Gestion des risques → Security Hub score + Config rules
- Détection d’incidents → GuardDuty temps réel
- Notification sous 24h → EventBridge alerte immédiate
- Continuité d’activité → Config vérifie les backups (reprise après sinistre)
- Sécurité de la chaîne d’approvisionnement → IAM Access Analyzer
Security Hub génère un rapport de conformité NIS2 exportable pour vos audits. Sans effort supplémentaire.
Ce que Security Hub ne fait pas
Soyons honnêtes sur les limites :
- Réponse à incident complexe — si vous êtes compromis, il faut un humain pour l’investigation forensique
- Sécurité applicative — Security Hub surveille l’infrastructure, pas les vulnérabilités de votre code
- Tests de pénétration — la détection passive ne remplace pas un pentest annuel
- Formation des employés — le phishing reste le vecteur #1, aucun outil ne remplace la sensibilisation
Pour ces besoins, gardez un budget ponctuel : un pentest annuel (2-5K€) et une formation phishing (500€/an). C’est complémentaire, pas contradictoire.
Sécurité S3 : le quick win immédiat
Le finding #1 chez nos clients PME : des buckets S3 mal configurés. Security Hub détecte immédiatement :
- Buckets sans chiffrement
- Buckets accessibles publiquement
- Buckets sans versioning (pas de récupération possible)
- Buckets sans logging d’accès
L’auto-remédiation Lambda corrige ces quatre cas en moins d’une seconde après détection. Zéro intervention humaine.
Par où commencer demain
- Activez Security Hub avec le standard FSBP — 5 minutes, gratuit les 30 premiers jours
- Regardez votre score — il sera probablement à 40-60% la première fois
- Corrigez les 5 findings CRITICAL — Security Hub vous dit exactement quoi faire
- Activez GuardDuty — détection de menaces immédiate
- Configurez une alerte Slack/email — soyez prévenu en temps réel
En une demi-journée, vous aurez une posture sécurité supérieure à 80% des PME françaises. Pour 50€/mois.
À lire aussi
- NIS2 : ce que les PME françaises doivent savoir — La directive qui change la donne
- Reprise après sinistre AWS — Le plan B quand tout tombe
- Sécuriser vos buckets S3 — Le quick win sécurité #1
Votre infrastructure AWS est-elle réellement sécurisée ? Nous activons Security Hub + GuardDuty + auto-remédiation en une demi-journée. Score de conformité garanti à 85%+ ou intervention offerte. Réservez votre audit sécurité →
Questions fréquentes
- Security Hub remplace-t-il vraiment un SOC externalisé ?
- Pour une PME de 10-50 personnes avec une infrastructure AWS, oui à 90%. Un SOC externalisé surveille vos serveurs et détecte les anomalies — Security Hub + GuardDuty font exactement ça, 24/7, sans intervention humaine. Ce qui manque : l'analyse forensique post-incident et la réponse à incident complexe. Pour ça, gardez un contrat ponctuel avec un MSSP à 500€/mois, pas un SOC complet à 5000€.
- Combien coûte réellement Security Hub pour une PME ?
- Pour une infrastructure typique PME (5-10 comptes AWS, 20-50 ressources actives) : Security Hub ~15€/mois + GuardDuty ~20-40€/mois + Config ~10-20€/mois = 50-75€/mois total. C'est 50 à 100 fois moins cher qu'un SOC externalisé à 3-5K€/mois.
- Faut-il des compétences sécurité pour configurer Security Hub ?
- Non. L'activation prend 30 minutes avec les standards pré-configurés (AWS Foundational Security Best Practices). La console affiche un score de conformité en pourcentage et liste les actions correctives en langage clair. Un développeur ou un administrateur système peut gérer ça sans formation sécurité spécifique.
- Security Hub aide-t-il à se conformer à NIS2 ?
- Oui. Le standard NIS2 est disponible nativement dans Security Hub depuis 2025. Il mappe automatiquement vos ressources AWS aux exigences NIS2 (gestion des risques, détection d'incidents, continuité d'activité) et vous donne un score de conformité en temps réel. Pour les audits, vous exportez le rapport en un clic.
- Que se passe-t-il quand Security Hub détecte une menace ?
- Trois niveaux de réponse : (1) Alerte simple — notification email/Slack via EventBridge, (2) Remédiation guidée — Security Hub indique l'action corrective exacte, (3) Auto-remédiation — une Lambda corrige automatiquement (ex : fermer un port ouvert, révoquer une clé exposée). Vous choisissez le niveau par type de finding.
Articles similaires
AWS Lambda : 10 cas d'usage concrets pour automatiser votre entreprise
Découvrez 10 cas d'usage pratiques d'AWS Lambda pour automatiser les processus de votre entreprise sans gérer de serveurs.
Serverless sur AWS : pourquoi les PME s'y mettent
Comment l'architecture serverless sur AWS permet aux PME de réduire leurs coûts d'infrastructure et de se concentrer sur leur métier.
Reprise après sinistre sur AWS : stratégies pour les PME
Comment concevoir un plan de reprise après sinistre sur AWS adapté à votre budget et à vos exigences de disponibilité.
Amazon Bedrock pour les PME : 5 cas d'usage concrets de l'IA générative
Amazon Bedrock rend l'IA générative accessible aux PME sans expertise ML. Voici 5 cas d'usage concrets avec estimations de coûts et guide de démarrage.
AWS augmente ses prix de 15% ? Non, c'est plus compliqué que ça
Décryptage de l'augmentation des tarifs AWS EC2 Capacity Blocks : pourquoi les titres alarmistes passent à côté de l'essentiel sur la tarification dynamique.
Le Well-Architected Framework expliqué aux dirigeants
Comprendre les 6 piliers du Well-Architected Framework d'AWS pour prendre des décisions éclairées sur votre infrastructure cloud.