Dans un environnement où les workloads se déploient et disparaissent en quelques secondes et où les attaques automatisées frappent en moins de dix minutes, les approches traditionnelles de sécurité montrent leurs limites. Philippe Darley, expert en cybersécurité du Cloud chez Sysdig, explique pourquoi la sécurité à l’exécution (« runtime security ») s’impose aujourd’hui comme la nouvelle ligne de front des RSSI.
Les stratégies de sécurité Cloud peinent souvent à rattraper la rapidité de l’innovation numérique. Vouloir défendre un environnement Cloud dynamique en se contentant d’outils pensés pour l’analyse « à froid » tels que des audits de conformité, des scans de posture, l’évaluation périodique des configurations, etc. – revient à protéger une cible mouvante à partir d’un cliché statique.
Pour les RSSI, la réalité opérationnelle en matière de sécurité du Cloud est complexe : Kubernetes orchestre en continu le déploiement de workloads, les conteneurs ont une durée de vie de quelques secondes, le serverless introduit une volatilité inédite, tandis que les API et microservices multiplient les surfaces d’attaque. Les menaces évoluent à la même cadence : attaques automatisées, exploitation d’exploits zero-day en moins de dix minutes, mouvements latéraux furtifs entre environnements multi-Cloud. L’équation pour le RSSI devient vertigineuse !
Les outils traditionnels dialoguent mal avec cette temporalité
> Le CSPM (Cloud Security Posture Management) identifie les écarts de configuration, mais reste aveugle aux comportements anormaux.
> Les EDR (Endpoint Detection and Response) pensés pour les postes de travail ou serveurs « legacy », n’ont pas la granularité nécessaire pour monitorer des pods Kubernetes, des fonctions serverless éphémères ou des architectures distribuées à grande échelle.
> Le « shift-left » et l’analyse statique du code sont primordiaux, mais la réalité post-déploiement génère des risques à chaud, inattendus, et souvent indépendants du code d’origine.
C’est ici que la sécurité à l’exécution (« runtime security ») change la donne.
Il ne s’agit plus seulement de connaître l’état du SI à un instant T, mais de voir — et corréler — en temps réel chaque action, chaque soupçon de dérive, chaque élévation de privilège insidieuse. Les meilleures CNAPP (Cloud-Native Application Protection Platform) du marché intègrent aujourd’hui :
- L’observation continue de l’ensemble des workloads (conteneurs, VM, fonctions serverless), couplée à la surveillance temps réel des logs, appels systèmes (eBPF, Falco…), et événements du plan de contrôle Kubernetes.
- L’analyse comportementale multi-sources : rapprochement dynamique des signaux issus du réseau, des identités (IAM, RBAC), de la chaîne CI/CD, et du runtime applicatif pour une détection contextualisée des comportements malveillants ou déviants.
- La réponse automatisée et orchestrée : isolement instantané d’un conteneur compromis, révocation d’identifiants exposés, rotation automatique des secrets, orchestration de playbooks SIEM/SOAR.
L’impact business n’est plus à démontrer : chute du MTTD (Mean Time To Detect) et du MTTR (Mean Time To Respond) de plusieurs heures à quelques dizaines de secondes ; diminution majeure de l’exposition aux compromissions, et canalisation des efforts des équipes sécurité sur les incidents pertinents, loin du bruit des faux positifs.
Le RSSI doit aujourd’hui intégrer le runtime comme brique centrale d’une stratégie de défense en profondeur adaptée au Cloud : le « posture management » structure un socle de prévention, mais seule la détection comportementale en temps réel permet de contrer efficacement la vitesse d’exécution des attaquants.
La question n’est plus « si » une brèche va se produire, mais « quand » — et, surtout, combien de temps elle restera invisible. C’est pourquoi la sécurité Cloud-native à l’exécution offre au RSSI la seule réponse adaptée à la temporalité et à la sophistication croissante des menaces.
