~10 minutes
J’ai présenté il y a quelques semaines le framework MAESTRO de la Cloud Security Alliance : ses sept couches, son vocabulaire, sa place à côté de STRIDE, PASTA et des Top 10 OWASP. C’était la théorie. La question qui restait en suspens après cet article (que je me posais moi-même) : sur une vraie archi AWS, ça ressemble à quoi ?
Je prends un système agentique réaliste, je le déploie mentalement sur AWS, et je le passe à la moulinette MAESTRO couche par couche. Un article par couche, de L1 (le modèle) à L7 (l’écosystème).
MAESTRO n’a d’intérêt que projeté sur une architecture concrète. Une grille de lecture sans schéma à analyser reste un exercice de slides.
Le scénario : Pandastic et son assistant « Bambou »
Je travaille tout au long de la série sur un cas unique, pour que les menaces restent comparables d’une couche à l’autre.
Pandastic est un e-commerçant européen de taille moyenne (mode et maison, environ 2 millions de clients, marché UE). En 2026, l’entreprise a mis en production Bambou, un assistant agentique branché sur son application web et son app mobile.
Bambou n’est pas un chatbot FAQ. C’est un agent qui raisonne, mémorise et surtout agit :
- il répond aux questions produits et à la politique de retour, en s’appuyant sur le catalogue, les avis et les CGV ;
- il suit une commande et explique un retard de livraison ;
- il agit sur le système : il émet un remboursement jusqu’à 100 € en autonomie, modifie une adresse de livraison, applique un code promo, crée un ticket, escalade vers un conseiller humain ;
- il mémorise les préférences du client d’une session à l’autre ;
- il consulte un agent anti-fraude avant chaque remboursement.
Ce dernier point est le cœur du risque métier : Bambou peut déplacer de l’argent et toucher de la donnée personnelle, sous contrainte réglementaire européenne. C’est exactement le genre de système où une faille de threat modeling se paie en euros et en CNIL.
Note du PandaRédacteur : 100 € “en autonomie”… J’adore cette formulation. Elle implique une limite raisonnée, un design réfléchi. En test de pentest on appelle ça un plafond en bambou. 99 € x n sessions x prompt bien tourné = bonne nuit Pandastic. La marge sur la nourriture pour pandas est déjà fine ; pas besoin d’aider l’attaquant.
L’architecture AWS de Bambou
Voici comment les briques se répartissent. J’ai volontairement choisi des composants que les équipes assemblent réellement en 2026 : Amazon Bedrock pour le modèle, AgentCore / Strands pour l’orchestration, MCP pour les outils, A2A pour le dialogue inter-agents.
flowchart TB
subgraph Client["Application Web / Mobile"]
U[Client Pandastic]
end
subgraph AWS["AWS"]
GW[API Gateway + WebSocket]
subgraph L3box["L3 - Orchestration"]
AG[Agent Bambou<br/>Bedrock AgentCore / Strands<br/>ECS Fargate]
end
subgraph L1box["L1 - Modele"]
BR[Amazon Bedrock<br/>Claude + Guardrails]
end
subgraph L2box["L2 - Donnees"]
VS[(OpenSearch Serverless<br/>vector store)]
DDB[(DynamoDB commandes)]
end
subgraph L7box["L7 - Ecosysteme"]
MCP[MCP servers<br/>order / paiement / transporteur]
FRAUD[Agent anti-fraude<br/>A2A]
end
subgraph L4box["L4 - Infra"]
SM[Secrets Manager]
IAM[IAM roles]
end
OBS[L5 - CloudWatch / OpenTelemetry / Langfuse]
GOV[L6 - Config / Security Hub / AI-BOM]
end
U --> GW --> AG
AG --> BR
AG --> VS
AG --> MCP
MCP --> DDB
AG --> FRAUD
AG -.-> OBS
MCP -.-> SM
Chaque bloc de ce schéma correspond à une couche MAESTRO ; et chaque couche fera l’objet d’un article dédié.
Note du PandaRédacteur : Ce schéma est trop propre non ? Dans la vraie vie il y a une Lambda oubliée quelque part entre AgentCore et le MCP du transporteur. Créée un dimanche par quelqu’un qui a depuis rejoint la concurrence. Avec un rôle IAM en FullAccess “parce qu’on verra plus tard”. Le threat modeling, c’est trouver cette Lambda a la C….
La méthode appliquée à chaque couche
Je garde le même déroulé d’un article à l’autre, celui que je décrivais dans l’introduction à MAESTRO et qui s’inspire du couple STRIDE / PASTA :
- Où on est dans l’archi de Bambou : quels actifs de la couche, quels flux entrants et sortants.
- STRIDE projeté sur la couche : les six catégories sur les actifs concrets ; avec les exemples d’attaque réels, pas les définitions Wikipedia.
- Exemple concret sur Pandastic : un scénario déroulé pas à pas ; c’est la partie la plus longue à écrire et la plus utile à lire.
- Mitigations : les contrôles AWS natifs et les alternatives open source, couche par couche.
Une menace MAESTRO est toujours rattachée à une couche, mais son impact, lui, traverse la pile. Une injection en L1 finit en exfiltration en L4 et passe inaperçue si L5 est absente. Je reviendrai sur ce point à chaque article.
Le plan de la série
Voici les sept couches et l’angle d’attaque principal que je traite pour chacune sur le cas Bambou. Les liens deviendront actifs au fil des publications.
| Couche | Article | Angle principal sur Bambou |
|---|---|---|
| L1 | Foundation Models | Prompt injection et jailbreak des guardrails Bedrock pour forcer un remboursement ; supply chain du modèle |
| L2 | Data Operations | Empoisonnement du catalogue et des avis (RAG injection) ; PII dans le vector store |
| L3 | Agent Frameworks | Excessive agency : contourner la limite de 100 €, tool-call injection, dérive d’objectif |
| L4 | Deployment & Infrastructure | IAM sur-privilégié, secrets, SSRF vers IMDS, isolation de l’exécution des outils |
| L5 | Observability & Evaluation | Absence d’audit trail des décisions de l’agent, non-détection des remboursements anormaux |
| L6 | Security & Compliance | Shadow AI, absence d’AI-BOM et d’inventaire, non-conformité EU AI Act |
| L7 | Agent Ecosystem | MCP server compromis, faux agent anti-fraude (A2A spoofing), tool poisoning |
À chaque couche, je plaque les menaces des référentiels OWASP existants : le Top 10 LLM sur L1, le Top 10 MCP et l’A2A Security Top 10 sur L7, le Top 10 for Agentic Applications sur L3. MAESTRO sert de carte ; OWASP fournit les menaces à poser dessus.
Note du PandaRédacteur : Tout le monde veut commencer par L1 parce que “le modèle c’est le coeur du système”. Oui. Et pendant ce temps L7 attend tranquillement. Bambou fait confiance à son agent anti-fraude A2A… mais a-t-on vérifié l’identité de cet agent ? Faire livrer du bambou par quelqu’un qui a l’uniforme ne garantit pas qu’il vient bien de chez Pandastic.
Un point de périmètre
On peut se poser la question du déploiement réel de Bambou sur AWS…. La réponse est Non ; l’architecture de Pandastic est un prétexte pour le threat modeling, pas un tutoriel d’installation.
Je cite Bedrock, AgentCore et OpenSearch parce qu’ils ancrent les menaces dans du concret ; les contrôles open source équivalents restent valables.
Et pour la gouvernance globale, NIST AI RMF et ISO 42001 sont la bonne adresse ; MAESTRO les complète, il ne les absorbe pas.
- ✓ Cette série applique MAESTRO à un cas unique : Bambou, l'assistant agentique d'un e-commerçant européen déployé sur AWS, capable de rembourser et de toucher de la PII.
- ✓ Une couche, un article, un angle d'attaque : de L1 (modèle Bedrock) à L7 (MCP et agent anti-fraude A2A), chaque couche est traitée sur l'architecture réelle de Bambou.
- ✓ OWASP ne suffit pas sans localisation : les Top 10 LLM, MCP, A2A et Agentic Apps décrivent les menaces ; MAESTRO dit sur quelle couche de Bambou elles atterrissent. L'un sans l'autre reste théorique.
- ✓ Le risque métier guide la priorisation : un agent qui déplace de l'argent change l'échelle d'impact d'une simple injection de prompt.
Le premier réflexe sur une archi agentique, c'est de regarder le modèle. Sur Pandastic, je parie que le vrai problème sera en L7 ; le MCP server de paiement ou l'agent anti-fraude A2A. C'est presque toujours par là que ça commence.
Quelques références pour aller plus loin
- MAESTRO : comprendre le framework de threat modeling de la CSA
- CSA — Agentic AI Threat Modeling Framework : MAESTRO
- CSA — Threat Modeling Google’s A2A Protocol with MAESTRO
- OWASP Top 10 for LLM Applications
- OWASP Top 10 for Agentic Applications 2026
- OWASP MCP Top 10
- OWASP A2A Security Top 10
- STRIDE et PASTA : un threat modeling qui se mélange
- MITRE ATLAS