Chiffrement : Les données clients sont chiffrées avec des clés KMS spécifiques à chaque locataire (SSE-KMS). Chaque locataire reçoit une clé gérée par le client (CMK) propre. Les données d’infrastructure utilisent SSE-S3.

Pas d’accès public : L’accès public en lecture et écriture est interdit sur tous les buckets, appliqué via des règles de configuration NIST.

SSL uniquement : Les politiques des buckets imposent uniquement des connexions chiffrées (HTTPS).

Contrôle d’accès : Aucun accès direct public à S3 n’est possible — l’accès se fait exclusivement via CloudFront (HTTPS) et des points de terminaison VPC Gateway.

Séparation des locataires : Au niveau de l’application, l’accès est strictement isolé par espace de travail ou locataire. Chaque accès est validé contre l’ID du locataire authentifié.

Attribution des clés : La CMK spécifique au locataire est attribuée dès l’entrée la plus précoce dans le système (proxy d’entrée) et utilisée pour toutes les opérations suivantes.

Les logs d’accès S3 sont envoyés à un bucket centralisé de journalisation et conservés pendant 90 jours. CloudTrail enregistre tous les événements de données S3.

Les configurations des buckets sont vérifiées lors d’audits de sécurité trimestriels et de scans continus de sécurité IaC.