Passer au contenu

Unifier la sécurité dans le cloud grâce au CNAPP

Abdembi Miraoui
11 avril 2024

Plus le cloud gagne du terrain au sein des entreprises, plus elles y placent des données et des applications sensibles, ce qui excite inévitablement les convoitises. Par ailleurs, cette croissance des environnements les rend aussi plus difficiles à contrôler car on manque de visibilité. Enfin, la politique de sécurité n’a que rarement suivi cette évolution accélérée.

Ceci fait perdurer des pratiques périmées et inadaptées, qui multiplient les risques de maladresses et de négligences. Or, il suffit d’une mauvaise configuration, d’une mauvaise gestion des fichiers, d’une mauvaise application des règles de sécurité pour laisser des données sensibles sans protection. Résultat : 47 % ont au moins une base de données ou un espace de stockage exposés ! 

Pour garantir la sécurité dans le cloud, les entreprises font donc face à un double défi :

  • Technique : avec pour principaux enjeux la gestion des identités et des accès, la visibilité sur ce qui se passe dans leur(s) cloud(s), et la prévention des fuites de données ;
  • Organisationnel et fonctionnel : avec des questions pressantes concernant la conformité réglementaire, la mise à jour de la stratégie de sécurité, et la pénurie de compétences cloud et cyber.

Mais par-dessus tout, la principale difficulté consiste à aborder tous ces sujets ensemble, d’une façon cohérente, coordonnée et évolutive, afin de rationaliser les efforts et d’éviter que n’apparaissent sans cesse de nouvelles brèches. Cette approche unifiée, le Gartner l’a formalisée et baptisée CNAPP, Cloud Native Application Protection Platform.

Les huit domaines intégrés du CNAPP

Le CNAPP intègre huit domaines, qui ne sont pas nécessairement tous révolutionnaires mais qui étaient jusqu’ici le plus souvent cloisonnés et traités de façon dissociée et hétérogène : 

  1. CSPM (Cloud Security Posture Management) : la colonne vertébrale du CNAPP, vérifie la conformité et la configuration des systèmes, inventorie les ressources, cartographie le réseau ; 
  2. KSPM (Kubernetes Security Posture Management) : inventorie les containers et vérifie leur sécurité ; 
  3. DSPM (Data Security Posture Management) : localise les données sensibles/personnelles et évalue leur niveau d’exposition ; 
  4. Cloud Workload Protection : détecte les vulnérabilités, les comportements anormaux, les malwares ; 
  5. Cloud Infrastructure Entitlement Management : apporte de la visibilité sur les droits, sur la gestion des identités et des accès, et sur les risques associés ; 
  6. Web Application and API Protection : inventorie les API, détecte les vulnérabilités et les expositions ; 
  7. Shift-Left Security : réalise des analyses en amont (images des containers, Infrastructure as Code, registre) ; 
  8. Cloud Detection and Response : gère les expositions, analyse les chemins d’attaque, priorise les risques. 

Une visibilité sans précédent, y compris en multiclouds

En adoptant un prisme résolument technique, le CNAPP couvre de façon exhaustive l’ensemble des ressources dans le cloud et donne sur celles-ci, et sur les menaces associées, une visibilité complète et sans précédent. Le CNAPP peut par exemple détecter des chemins d’attaque qui exploiteraient une succession de vulnérabilités non critiques et que personne ne pourrait soupçonner à moins de procéder à d’impossibles rapprochements manuels. De plus, il peut évaluer le niveau de risque d’une vulnérabilité pour l’organisation au regard du contexte et des divers dispositifs mis en place par ailleurs, ce qui contribue à limiter le nombre de faux positifs. En ne laissant ni lacune ni zone d’ombre dans l’analyse de sécurité, l’approche globale du CNAPP permet ainsi d’adresser efficacement, et sous l’angle du risque, les sujets de sécurité transverses comme la gouvernance, la conformité, la data, la détection, la continuité d’activité et la résilience…

Mieux encore, le CNAPP est fait pour les environnements multiclouds, sur lesquels il permet d’avoir des niveaux de sécurité et de visibilité homogènes, et d’y déployer des règles communes. Enfin, il apporte une aide à la résolution, qui pourra être manuelle ou automatisée. Ainsi, le CNAPP ne se destine pas uniquement aux professionnels de la sécurité, mais aussi à tous les acteurs (métiers, développement, opérations…) à qui pourront être déléguées les corrections. Cela en fait un outil idéal pour diffuser la culture de la sécurité en interne (le fameux Shift Left du DevSecOps) et soulager des équipes sécurité en manque d’effectifs et sur-sollicitées. Le CNAPP ne couvre toutefois pas le contrôle du trafic et la sécurisation des applications en SaaS, pour lesquels il faut se tourner respectivement vers un CASB (Cloud Access Security Broker) et un SSPM (SaaS Security Posture Management).

Un marché atomisé et des solutions encore jeunes

On recense sur le marché une vingtaine de solutions affichées comme CNAPP. Elles sont proposées par des éditeurs issus de tous les horizons de la cybersécurité – CSPM, Workload Protection, cloud provider – auxquels s’ajoutent quelques pure players d’apparition récente. L’une des principales différences entre ces solutions, pour la plupart en mode SaaS, réside dans leur approche de l’analyse : avec ou sans agent. La présence d’un agent permet une analyse plus approfondie ainsi qu’une analyse dite « runtime », qui donne une visibilité en direct. Elle permet aussi de proposer des fonctions de remédiation immédiate (mise en quarantaine, blocage de trafic en cas de comportement anormal…). L’approche sans agent apporte quant à elle plus de souplesse et de rapidité de déploiement. Ces deux approches ne sont pas antagonistes. En revanche, la remédiation est une action trop sensible pour être traitée via la plateforme CNAPP, car cela requiert de lui accorder des droits d’écriture très élevés, ce qui expose les clients à des attaques de type supply chain. 

Deux règles d’or pour réussir 

En règle générale, un CNAPP se déploie en peu de temps et fournit aussitôt des résultats probants. Même les organisations les plus matures en matière de cybersécurité découvrent dans leur dispositif des failles qu’elles ne soupçonnaient pas. Néanmoins, cette rapidité de la mise en œuvre technique ne doit pas laisser oublier l’ampleur véritable du projet, dont la réussite passera par le respect deux grandes règles :

  • Premièrement, mettre en place une gouvernance, des rôles et des responsabilités autour de l’outil, et au-delà de l’équipe cyber, afin de garantir que les vulnérabilités détectées seront traitées.
  • Deuxièmement, se doter d’une vision à moyen, voire long, terme car il faudra du temps pour mettre en œuvre les huit domaines du CNAPP. Si le CSPM est toujours le point de départ, la feuille de route dépendra ensuite des priorités, des risques et de la maturité sur les différents domaines.

Auteur

Abdembi Miraoui

Co-Head of Service Line “Cloud, Endpoint & Infrastructure Security”
Abdembi est un expert dans le domaine de la cybersécurité, avec une expertise particulière dans les sujets clés tels que le Cloud, les Endpoints et l’infrastructure. Il est responsable de la service line cybersécurité “Cloud, Endpoint & Infrastructure Security” au sein de l’entité cybersécurité du groupe. Grâce à ses connaissances pointues et son expérience approfondie acquise depuis plus de 15 ans. Abdembi est capable de fournir des conseils avisés sur les enjeux de cybersécurité les plus complexes. Il est passionné par sa mission de protéger les entreprises contre les cybermenaces et de renforcer la résilience de leurs systèmes.

    Nos autres articles de blog

    Une démarche conjointe et indissociable afin de répondre aux besoins d’adaptation face à l’évolution rapide des menaces et des technologies.

    Le cloud a amplement démontré ses bénéfices en termes d’agilité, de rapidité et de capacité d’innovation.

    Lorsqu’une entreprise ou une institution envisage de s’appuyer sur un cloud de confiance, c’est à priori parce qu’elle manipule des données sensibles et qu’elle ne souhaite pas les voir échapper à son contrôle.

    Pour aller plus loin

      Objectif CLOUD

      Explorez le potentiel du cloud avec notre podcast dédié

      Cloud

      Accélérez votre transformation vers le cloud avec un partenaire de confiance

      Objectif CYBER

      Le podcast qui décrypte toutes les facettes de la cybersécurité