unifieR la sécurité dans le cloud grâce au cNAPP

Pour garantir la sécurité dans le cloud, les entreprises font donc face à un double défi :

• Technique : avec pour principaux enjeux la gestion des identités et des accès, la visibilité sur ce qui se passe dans leur(s) cloud(s), et la prévention des fuites de données ;
• Organisationnel et fonctionnel : avec des questions pressantes concernant la conformité réglementaire, la mise à jour de la stratégie de sécurité, et la pénurie de compétences cloud et cyber.

Mais par-dessus tout, la principale difficulté consiste à aborder tous ces sujets ensemble, d’une façon cohérente, coordonnée et évolutive, afin de rationaliser les efforts et d’éviter que n’apparaissent sans cesse de nouvelles brèches. Cette approche unifiée, le Gartner l’a formalisée et baptisée CNAPP, Cloud Native Application Protection Platform.

Les huit domaines intégrés du CNAPP

Le CNAPP intègre huit domaines, qui ne sont pas nécessairement tous révolutionnaires mais qui étaient jusqu’ici le plus souvent cloisonnés et traités de façon dissociée et hétérogène : 

1. CSPM (Cloud Security Posture Management) : la colonne vertébrale du CNAPP, vérifie la conformité et la configuration des systèmes, inventorie les ressources, cartographie le réseau ; 
2. KSPM (Kubernetes Security Posture Management) : inventorie les containers et vérifie leur sécurité ; 
3. DSPM (Data Security Posture Management) : localise les données sensibles/personnelles et évalue leur niveau d’exposition ; 
4. Cloud Workload Protection : détecte les vulnérabilités, les comportements anormaux, les malwares ; 
5. Cloud Infrastructure Entitlement Management : apporte de la visibilité sur les droits, sur la gestion des identités et des accès, et sur les risques associés ; 
6. Web Application and API Protection : inventorie les API, détecte les vulnérabilités et les expositions ; 
7. Shift-Left Security : réalise des analyses en amont (images des containers, Infrastructure as Code, registre) ; 
8. Cloud Detection and Response : gère les expositions, analyse les chemins d’attaque, priorise les risques. 

Une visibilité sans précédent, y compris en multiclouds

En adoptant un prisme résolument technique, le CNAPP couvre de façon exhaustive l’ensemble des ressources dans le cloud et donne sur celles-ci, et sur les menaces associées, une visibilité complète et sans précédent. Le CNAPP peut par exemple détecter des chemins d’attaque qui exploiteraient une succession de vulnérabilités non critiques et que personne ne pourrait soupçonner à moins de procéder à d’impossibles rapprochements manuels. De plus, il peut évaluer le niveau de risque d’une vulnérabilité pour l’organisation au regard du contexte et des divers dispositifs mis en place par ailleurs, ce qui contribue à limiter le nombre de faux positifs. En ne laissant ni lacune ni zone d’ombre dans l’analyse de sécurité, l’approche globale du CNAPP permet ainsi d’adresser efficacement, et sous l’angle du risque, les sujets de sécurité transverses comme la gouvernance, la conformité, la data, la détection, la continuité d’activité et la résilience…

Mieux encore, le CNAPP est fait pour les environnements multiclouds, sur lesquels il permet d’avoir des niveaux de sécurité et de visibilité homogènes, et d’y déployer des règles communes. Enfin, il apporte une aide à la résolution, qui pourra être manuelle ou automatisée. Ainsi, le CNAPP ne se destine pas uniquement aux professionnels de la sécurité, mais aussi à tous les acteurs (métiers, développement, opérations…) à qui pourront être déléguées les corrections. Cela en fait un outil idéal pour diffuser la culture de la sécurité en interne (le fameux Shift Left du DevSecOps) et soulager des équipes sécurité en manque d’effectifs et sur-sollicitées. Le CNAPP ne couvre toutefois pas le contrôle du trafic et la sécurisation des applications en SaaS, pour lesquels il faut se tourner respectivement vers un CASB (Cloud Access Security Broker) et un SSPM (SaaS Security Posture Management).

Un marché atomisé et des solutions encore jeunes

On recense sur le marché une vingtaine de solutions affichées comme CNAPP. Elles sont proposées par des éditeurs issus de tous les horizons de la cybersécurité – CSPM, Workload Protection, cloud provider – auxquels s’ajoutent quelques pure players d’apparition récente. L’une des principales différences entre ces solutions, pour la plupart en mode SaaS, réside dans leur approche de l’analyse : avec ou sans agent. La présence d’un agent permet une analyse plus approfondie ainsi qu’une analyse dite « runtime », qui donne une visibilité en direct. Elle permet aussi de proposer des fonctions de remédiation immédiate (mise en quarantaine, blocage de trafic en cas de comportement anormal…). L’approche sans agent apporte quant à elle plus de souplesse et de rapidité de déploiement. Ces deux approches ne sont pas antagonistes. En revanche, la remédiation est une action trop sensible pour être traitée via la plateforme CNAPP, car cela requiert de lui accorder des droits d’écriture très élevés, ce qui expose les clients à des attaques de type supply chain. 

Deux règles d’or pour réussir 

En règle générale, un CNAPP se déploie en peu de temps et fournit aussitôt des résultats probants. Même les organisations les plus matures en matière de cybersécurité découvrent dans leur dispositif des failles qu’elles ne soupçonnaient pas. Néanmoins, cette rapidité de la mise en œuvre technique ne doit pas laisser oublier l’ampleur véritable du projet, dont la réussite passera par le respect deux grandes règles :

• Premièrement, mettre en place une gouvernance, des rôles et des responsabilités autour de l’outil, et au-delà de l’équipe cyber, afin de garantir que les vulnérabilités détectées seront traitées.
• Deuxièmement, se doter d’une vision à moyen, voire long, terme car il faudra du temps pour mettre en œuvre les huit domaines du CNAPP. Si le CSPM est toujours le point de départ, la feuille de route dépendra ensuite des priorités, des risques et de la maturité sur les différents domaines.