👋 Hello, ici Azure Doctor !

Avant d’entrer dans le cœur de cette édition, laisse-moi te partager un petit moment de gratitude. J’ai eu le plaisir d’accompagner un Ingé Cloud Azure Senior (Freelance) courant le mois de Juillet sur un sujet Azure bien costaud. Après notre session de coaching, il m’a laissé cette recommandation sur LinkedIn 🥰 

Ce genre de retour me touche profondément car il me rappelle pourquoi j’ai créé Azure Doctor : pas pour empiler du contenu technique, mais pour t’apporter ce petit déclic qui fait gagner du temps, éviter les pièges et avancer plus sereinement dans ton quotidien Azure.

👉 Si toi aussi tu bloques sur une problématique Azure (ou OnPrem) ou que tu as besoin d’un œil externe sur un projet (Design, Archi, Migration /Move2Cloud, Sécurité, FinOps, DevOps ou autre), sache que je propose quelques sessions de coaching individuel chaque mois. 45 minutes, sans blabla, on creuse ton besoin, je t’aide à poser le bon diagnostic, et tu repars avec un plan d’action clair.

🗓️ Tu peux réserver ta session ici si tu veux qu’on en parle

Et maintenant, installe-toi confortablement, café à gauche, clavier à droite, c’est l’heure de ta dose hebdo d’Azure sans effets secondaires 😄

Commençons par un petit tour d’horizon de ce qu’on a publié cette semaine côté blog :

• [Guide pas à pas] Tout savoir sur Azure Key Vault : Secrets dans le code, certificats oubliés, tokens exposés… ça finit (trop) souvent en incident. Dans ce guide complet, je t’explique comment concevoir, déployer et sécuriser ton coffre Azure Key Vault avec un LAB pas à pas, des bonnes pratiques réseau, RBAC, HSM et plus encore. Un indispensable pour toute archi sérieuse sur Azure.

• [Hot News] Une faille critique macOS révélée par un outil Microsoft 😏 : en janvier 2025, Apple a discrètement corrigé une vulnérabilité majeure dans macOS Sequoia (15.3). Mais la surprise ? Ce n’est ni Apple ni un hacker underground qui l’a trouvée, c’est un outil Microsoft (ProcDump.exe) utilisé par le chercheur Koh Nakagawa (FFRI Security).

• [HowTo] Azure Budgets & Alertes : le réflexe FinOps à activer dès maintenant : Beaucoup d’équipes Cloud découvrent leurs dépassements trop tard. Ce guide te montre comment configurer budgets, alertes et exports quotidiens pour garder la maîtrise de tes coûts Azure, sans prise de tête.

Et côté Azure, voici les scans les plus chauds à ne pas manquer

Azure continue d’élever le niveau cette semaine avec l’arrivée d’AKS Automatic en disponibilité générale, qui promet des clusters Kubernetes prêts pour la production en quelques minutes, sécurisés et auto-gérés par défaut. Dans la même veine, Azure Container Storage 2.0.0 débarque avec un gain de performances spectaculaire — sept fois plus d’IOPS, quatre fois moins de latence et zéro frais de service, de quoi séduire les workloads data et IA les plus exigeants.

Les infrastructures sensibles profitent elles aussi d’une avancée avec les nouvelles VM confidentielles DCa/ECa v6 sur AMD, qui offrent chiffrement mémoire et isolation renforcée sans changer une ligne de code. Toujours côté compute, les VM HBv5 en preview s’adressent aux scénarios HPC avec 368 cœurs EPYC, 6,7 To/s de bande passante mémoire et 800 Gb/s d’InfiniBand, taillées pour la simulation scientifique et industrielle.

En matière de réseau et de sécurité, l’Azure Firewall Manager évolue pour devenir le Network Security Hub, une interface unique qui regroupe Firewall, WAF et DDoS Protection avec des recommandations intégrées via Azure Advisor. L’Application Gateway V2 reçoit aussi deux nouveautés très attendues : la possibilité d’activer des connexions dédiées aux backends pour garantir un vrai un-à-un entre client et serveur, et de configurer de nouveaux contrôles TLS (chaîne de certificats, expiration, SNI) pour un pilotage plus fin de la sécurité.

Enfin, côté données et IA, le paysage se transforme avec l’arrivée de Databricks One en preview, une expérience unifiée qui rassemble data engineering, analytics et IA dans une plateforme gouvernée, et avec le support du Confidential Computing pour PostgreSQL flexible server, qui permet de traiter des données sensibles dans des environnements matériels de confiance.

👇 Attache ta ceinture, tout est scanné, résumé et prêt à l’injection. Bonne consultation !

Sommaire

1. Le meilleur de la semaine, sans effets secondaires …

   1. [Guide pas à pas] Azure Key Vault : Tout ce que tu …

   2. [Hot News] Une faille critique macOS révélée … par …

   3. [Tips] Azure Budgets & Alertes : le réflexe FinOps …

2. La commande “Az CLI” de la semaine !

   1. Repérer les VM arrêtées mais facturées

3. 📢 Big News : AKS Automatic est GA Kubernetes prêt …

4. 🔍 Scan rapide du corps “Azure”

   1. Réseau

   2. Compute

   3. Stockage

   4. Sécurité

   5. Base de Données

   6. DevOps

   7. Containers

   8. Management

   9. AI + Machine Learning

Tu veux sécuriser tes secrets sans bricoler ? Tu cherches une implémentation terrain-ready, documentée de A à Z ? Tu veux comprendre les vraies différences entre Vault Standard, Premium et Managed HSM sans t’endormir ?

🩺 Azure Doctor t’as prépapré un guide ultra détaillé sur Azure Key Vault :

• Choix stratégique du coffre (Vault vs HSM)

• Isolation réseau, Private Endpoint & DNS

• RBAC vs Access Policies, opérations crypto, rotation

• LAB pas-à-pas pour un déploiement propre et sécurisé

• Les 5 pièges à éviter en production

💡 Ce n’est pas un simple article. C’est un guide clinique de 30+ minutes de lecture, pensé pour les Consultants, Archis, Devs, SRE et CTO qui veulent sécuriser sans galérer.

En janvier 2025, Apple a discrètement corrigé une vulnérabilité majeure dans macOS Sequoia (15.3). Mais la surprise ? Ce n’est ni Apple ni un hacker underground qui l’a trouvée, c’est un outil Microsoft, ProcDump.exe (inclus dans la fameuse suite SysInternals Tools) utilisé par le chercheur Koh Nakagawa (FFRI Security).

👉 L’affaire n’a été dévoilée qu’en septembre à Nullcon Berlin, une fois le correctif déployé. Comme quoi, parfois, c’est du côté de Redmond qu’on perce les secrets de Cupertino 💥

Il y a une petite subtilité dans Azure que beaucoup découvrent trop tard sur leur facture : une VM arrêtée n’est pas forcément une VM qui ne coûte rien.
Lorsqu’elle est arrêtée depuis l’OS invité, son état apparaît comme VM stopped. Le problème, c’est qu’Azure continue de la facturer, car l’infrastructure reste allouée.
À l’inverse, si tu l’arrêtes correctement depuis Azure, l’état devient VM deallocated et là seulement la facturation compute s’arrête. Pour repérer toutes les machines dans cette situation ambiguë, la commande est simple :

az vm list -d \
  --query "[?powerState=='VM stopped'].[name, resourceGroup, location]" \
  -o table

Tu obtiens immédiatement la liste des VM arrêtées qui continuent de consommer ton budget. À ce stade, deux options : soit tu décides de les relancer parce qu’elles sont critiques, soit tu les désalloues proprement avec la commande az vm deallocate.

C’est typiquement le genre de détail qui, accumulé sur quelques environnements de dev ou de test, finit par représenter des centaines ou milliers d’euros perdus chaque mois. Et c’est exactement là que ton rôle d’Azurite vigilant prend tout son sens.

👉 Conseil pratique : ajoute cette vérification à ta routine hebdo et tu ne verras plus jamais tes VM “arrêtées” peser en silence sur ta facture.