AWS pour les MSP : gérer Amazon Web Services pour vos clients

Selon le rapport Kaseya « State of the MSP » de 2026, les services cloud et d'hébergement figurent parmi les principales sources de revenus pour 34 % des MSP. Amazon Web Services est la plateforme dominante qui prend en charge une part importante de cette charge de travail.

La gestion d'AWS pour le compte de clients diffère de la gestion en interne. Vous êtes responsable d'environnements que vous ne contrôlez pas entièrement, de structures de facturation qui nécessitent une attention constante pour éviter les mauvaises surprises en matière de coûts, et de configurations de sécurité qui évoluent au fur et à mesure que les clients se développent. Sans une approche et des outils adaptés, la gestion d'AWS pour le compte de clients peut constituer l'un des services les plus exigeants sur le plan opérationnel proposés par un MSP.

Ce guide présente les éléments que les MSP doivent connaître pour gérer de manière rentable les environnements de leurs clients AWS : gouvernance des coûts, configuration de la sécurité, stratégie de sauvegarde et les pièges opérationnels qui rendent AWS plus complexe qu’il n’y paraît. La plateforme de Kaseya est utilisée par des MSP dans plus de 170 pays pour gérer précisément ces environnements, ce qui nous permet d’avoir une vision claire des points forts et des points faibles de la gestion des clients AWS.

Pourquoi les MSP gèrent-ils les environnements AWS ?

La plupart des PME et des entreprises de taille intermédiaire qui migrent vers une infrastructure cloud choisissent AWS. Certaines ont été orientées vers cette plateforme par un consultant. D'autres avaient besoin d'une application spécifique qui l'exigeait. Beaucoup se sont simplement tournées vers AWS par défaut, en raison de sa forte présence sur le marché. Quelle que soit la raison, le résultat est le même : la gestion d'AWS fait désormais partie intégrante de l'environnement client standard dont managed services doivent tenir compte.

Trois facteurs contribuent à l'essor de cette gamme de services.

Hébergement d'applications. Les clients exécutent des applications métier, des serveurs Web, des bases de données et des environnements de développement sur des instances EC2 et managed services RDS et Lambda. La gestion de ces éléments est tout aussi indispensable sur le plan opérationnel que celle des serveurs sur site.

Stockage et sauvegarde. Les clients stockent leurs données dans des compartiments S3, utilisent des volumes EBS associés à des instances de calcul et s'appuient de plus en plus sur AWS dans le cadre de leur architecture de sauvegarde. Savoir ce qui est protégé et ce qui ne l'est pas, ainsi que connaître le processus de restauration, relève des responsabilités fondamentales d'un MSP.

Exigences de conformité. Les clients soumis à une réglementation dans les secteurs de la santé, de la finance et des administrations publiques ont souvent des charges de travail sur AWS qui doivent respecter les mêmes normes que les infrastructures sur site. Les normes HIPAA, PCI DSS et CMMC s'appliquent toutes aux environnements hébergés sur AWS lorsque ceux-ci traitent des données concernées.

Un MSP type gérant entre 20 et 50 clients constatera que des environnements AWS seront présents dans la majorité de ces comptes d'ici deux à trois ans, compte tenu de la trajectoire actuelle d'adoption. C'est le moment idéal pour intégrer cette dimension dans vos contrats de service dès maintenant, avant qu'un client ne vous demande pourquoi son compartiment S3 a été exposé.

Comprendre le modèle de responsabilité partagée d'AWS

Le concept le plus important dans la gestion d'AWS est le modèle de responsabilité partagée. L'erreur la plus courante commise par les MSP est d'en donner une image erronée à leurs clients, ou de ne pas en parler du tout.

AWS est responsable de la sécurité du cloud : l'infrastructure physique, l'hyperviseur, la structure réseau et l'infrastructure des services gérés. Le client, ainsi que son fournisseur de services gérés (MSP), est responsable de la sécurité au sein du cloud. Cela comprend les correctifs du système d'exploitation, la configuration réseau (groupes de sécurité, listes de contrôle d'accès, conception du VPC), la gestion des identités et des accès, le chiffrement des données et la sécurité au niveau des applications.

Les implications pratiques sont claires :

• Une instance EC2 fonctionnant avec un système d'exploitation non mis à jour relève de la responsabilité du client, et non d'AWS.
• Un compartiment S3 mal configuré pour l'accès public relève de la responsabilité du client.
• Les rôles IAM dotés d'autorisations excessives relèvent de la responsabilité du client.
• Les vulnérabilités des applications fonctionnant sur l'infrastructure AWS relèvent de la responsabilité du client.

Les administrateurs système chargés de gérer des environnements AWS doivent appliquer les correctifs aux systèmes d'exploitation des instances EC2 de la même manière qu'ils le feraient pour des serveurs sur site. VSA prend en charge l'application de correctifs système et tiers pour les instances Windows et Linux, y compris les instances EC2 sur lesquelles l'agent VSA est déployé, en utilisant le même processus d'automatisation basé sur des règles que celui utilisé pour les terminaux sur site.

Cela a également des implications sur le plan contractuel. Si votre managed services ne précise pas clairement qui est responsable de l'application des correctifs du système d'exploitation et de la gouvernance IAM pour les charges de travail hébergées sur AWS, vous vous exposez à un risque de responsabilité. Veillez à le consigner clairement dans IT Glue à harmoniser les termes de votre SLA avant qu'un incident ne vous oblige à aborder le sujet.

Gestion des coûts AWS : là où les MSP perdent de la marge

La facturation AWS est complexe. Sans une gouvernance efficace, elle peut s'avérer coûteuse. Les problèmes de coûts les plus courants dans les environnements AWS gérés par des MSP se répartissent en quatre catégories.

Erreurs d'optimisation de la taille des instances. Les clients surdimensionnent leurs instances EC2 lors du déploiement initial et ne réduisent jamais leur taille par la suite. Un client qui utilise une instance t3.xlarge pour une charge de travail nécessitant une instance t3.medium paie environ le double du coût de calcul nécessaire. Des analyses régulières de l'optimisation de la taille des instances, s'appuyant sur AWS Cost Explorer et les métriques CloudWatch, permettent de mettre en évidence ces opportunités avant qu'elles ne grèvent les marges.

Sous-utilisation des instances réservées et des Savings Plans. AWS propose des remises pouvant atteindre 72 % sur les instances réservées et les Savings Plans par rapport aux tarifs à la demande. Les MSP qui gèrent des environnements AWS doivent identifier les charges de travail suffisamment stables pour s'engager sur des tarifs réservés, puis soit acheter ces réservations pour le compte du client, soit lui conseiller de le faire dans le cadre d'un bilan trimestriel officiel.

Ressources orphelines. Il arrive fréquemment que les clients laissent des volumes EBS, des adresses IP élastiques et des équilibreurs de charge actifs après la suppression des ressources associées. Ces éléments n'ont aucune valeur opérationnelle, mais continuent de générer des coûts. Un audit mensuel des coûts devrait inclure la recherche de ressources orphelines. Cette opération prend moins d'une heure et permet souvent d'identifier des gaspillages de plusieurs centaines de dollars par mois.

Coûts de sortie. Le transfert de données hors d'AWS est facturé à des tarifs qui prennent souvent les clients au dépourvu. Les applications générant un trafic sortant important, les systèmes de sauvegarde transférant des données vers d'autres destinations et les charges de travail liées aux réseaux CDN peuvent engendrer des coûts de sortie supérieurs aux coûts de calcul. Il est important de connaître le profil de sortie de l'environnement de chaque client avant qu'il ne reçoive sa facture.

L'opportunité offerte par le modèle MSP est bien réelle. En abordant la gestion des coûts AWS comme un service de conseil proactif, on crée une véritable valeur ajoutée pour le client et on facilite les discussions commerciales visant à élargir managed services . Un prestataire MSP qui identifie 500 dollars par mois de dépenses AWS évitables devient un conseiller de confiance. Celui qui passe à côté devient celui qui a laissé le client gaspiller son argent.

Configuration de la sécurité dans les environnements clients AWS

AWS offre des fonctionnalités de sécurité robustes, mais celles-ci doivent être correctement configurées. Les failles de sécurité les plus courantes dans les environnements AWS gérés par des MSP suivent un schéma prévisible.

Octroi excessif d'autorisations IAM. Le principe du moindre privilège est plus difficile à respecter sur AWS que dans un environnement d'annuaire traditionnel, car les rôles, les politiques et les limites d'autorisation IAM sont plus complexes à auditer. Il est courant de constater que des utilisateurs et des rôles de service disposent d'un accès administrateur alors qu'ils n'ont besoin que d'autorisations spécifiques pour certains services. Des examens réguliers des accès IAM et l'utilisation d'AWS IAM Access Analyzer permettent de mettre en évidence ces lacunes avant qu'elles ne deviennent des vecteurs de violation.

Compartiments S3 publics. Par défaut, les compartiments S3 sont privés, mais des modifications de configuration ou des modèles d'infrastructure en tant que code peuvent, par inadvertance, rendre ces compartiments accessibles au public. AWS propose des restrictions d'accès public au niveau des compartiments et au niveau du compte. L'activation de ces restrictions au niveau du compte permet d'éviter toute exposition accidentelle.

Absence de chiffrement au repos. Le chiffrement doit être activé pour les volumes EBS, les compartiments S3 et les instances RDS. AWS KMS propose un service de chiffrement par clé gérée. L'activation du chiffrement par défaut au niveau du compte garantit que les nouvelles ressources sont chiffrées, sauf si cette option est explicitement désactivée, ce qui constitue une base de référence raisonnable pour tout environnement client traitant des données d'entreprise.

Groupes de sécurité permissifs. Les groupes de sécurité qui autorisent un accès entrant illimité (0.0.0.0/0) sur les ports 22 (SSH) ou 3389 (RDP) exposent les instances directement à Internet. Ces failles sont identifiées dans la quasi-totalité des évaluations de sécurité AWS et sont faciles à corriger. Elles doivent être corrigées dès le premier jour dans le cadre de toute nouvelle mission auprès d'un client.

CloudTrail n'est pas activé. AWS CloudTrail est le journal d'audit de l'activité des API AWS. Sans lui, les enquêtes sur les incidents sont fortement limitées. CloudTrail doit être activé dans toutes les régions, et les journaux doivent être stockés dans un compartiment S3 distinct et soumis à des restrictions d'accès. Il s'agit d'une exigence minimale incontournable pour tout environnement dans lequel votre MSP est responsable de la sécurité.

Sauvegarde et restauration sur AWS

Le modèle de responsabilité partagée implique qu'AWS n'effectue pas de sauvegarde de la plupart des ressources par défaut. Les instances EC2, les volumes EBS et les bases de données RDS nécessitent tous une configuration explicite de la sauvegarde.

AWS Backup est le service natif d'AWS dédié à l'orchestration des sauvegardes, prenant en charge EC2, EBS, RDS, DynamoDB, EFS et d'autres services. Il offre une gestion centralisée des politiques, la copie inter-régions et inter-comptes, ainsi que des rapports de conformité des sauvegardes. Pour les MSP qui gèrent plusieurs environnements AWS de clients, la fonctionnalité de gestion inter-comptes (disponible via AWS Organizations) permet de gérer les politiques de sauvegarde sur l'ensemble des comptes clients à partir d'une console centrale.

Ce qu'AWS Backup ne couvre pas : les données S3 (protégées par la gestion des versions et la réplication plutôt que par une sauvegarde traditionnelle), les applications SaaS exécutées sur l'infrastructure AWS, ainsi que la sauvegarde cohérente au niveau des applications pour les applications complexes à plusieurs niveaux. Datto BCDR peut compléter AWS Backup pour les charges de travail nécessitant une capacité de restauration au niveau de l'image ou un RTO plus rapide.

Tests de restauration. Le même principe que celui qui s'applique aux sauvegardes sur site s'applique ici : une sauvegarde qui n'a pas été testée n'est pas une sauvegarde. AWS Backup prend en charge les tests de restauration avec validation automatisée. Cela doit faire partie du contrat de service géré pour tout environnement AWS où la capacité de restauration constitue un engagement contractuel. Planifiez-le, exécutez-le et consignez les résultats dans IT Glue.

Surveillance des environnements AWS à grande échelle

AWS CloudWatch offre une surveillance native des ressources AWS : métriques, journaux, alarmes et tableaux de bord. Pour les fournisseurs de services gérés (MSP) qui gèrent plusieurs environnements AWS pour leurs clients, le défi consiste à harmoniser la surveillance AWS avec celle des environnements sur site et d'autres environnements cloud afin d'obtenir une vue opérationnelle unifiée.

La surveillance basée sur des agents de VSA couvre les instances EC2 sur lesquelles l'agent est déployé, offrant les mêmes fonctionnalités de surveillance des points de terminaison, de gestion des alertes et d'automatisation que celles utilisées pour les serveurs sur site. Pour la surveillance AWS au niveau de l'infrastructure (état des services, alertes de facturation, événements CloudTrail), les outils natifs d'AWS ou les intégrations de surveillance spécifiques à AWS viennent compléter l'agent VSA.

L'objectif est de disposer d'une vue opérationnelle unique. Le centre d'exploitation réseau (NOC) d'un MSP ne devrait pas avoir à basculer entre la console VSA et les consoles AWS individuelles de chaque client pour évaluer l'état de santé de l'environnement géré. Chaque changement de contexte allonge les délais de réponse aux incidents et augmente le risque que des failles passent inaperçues.

Comment Kaseya facilite la gestion des clients AWS

Datto RMM / VSA gère l'application des correctifs système, la surveillance et l'automatisation des serveurs fonctionnant sous Windows ou Linux. Déployez-le une seule fois et gérez-le depuis la même console que vos terminaux sur site.

Datto BCDR vient compléter AWS Backup pour les charges de travail nécessitant une restauration au niveau de l'image, une virtualisation instantanée ou un délai de reprise (RTO) plus court que celui offert par la restauration native d'AWS.

IT Glue stocke la documentation relative aux environnements AWS des clients : architecture VPC, structure IAM, configurations des groupes de sécurité, guides de reprise après sinistre et identifiants d'accès, avec isolation par client et accès contrôlé.

Compliance Manager GRC assure le suivi de la mise en œuvre des contrôles et génère des preuves de conformité pour les clients dont les charges de travail AWS sont soumises à une réglementation (HIPAA, PCI DSS, CMMC), tant dans les environnements sur site que dans le cloud.

Kaseya Intelligence AWS : opérations cloud autonomes

La gestion des environnements AWS implique de faire face à des changements constants : nouvelles instances, opérations de mise à l'échelle, dérives de configuration, alertes de sécurité provenant d'AWS Security Hub et tâches de sauvegarde à valider dans toutes les régions. La charge de travail manuelle nécessaire pour gérer tout cela à grande échelle est considérable.

Kaseya Intelligence, le moteur d'IA qui alimente Kaseya 365, automatise la phase d'intervention. Plutôt que d'alerter un technicien d'un problème et d'attendre qu'il agisse, il exécute lui-même les opérations suivantes : application des correctifs, mise en quarantaine, vérification de l'intégralité des sauvegardes et validation du résultat. Pour les MSP qui gèrent des environnements AWS pour plusieurs clients, ce cycle d'exécution est ce qui empêche la fatigue liée aux alertes de se transformer en faille de sécurité.

Découvrez Kaseya Intelligence