Alors que les entreprises poursuivent leur mouvement de « Move to Cloud », le besoin d’outiller la Cybersécurité de ces ressources Cloud devient pressant. Au-delà des solutions Cyber classiques, les entreprises ont besoin d’homogénéiser et s’assurer de la conformité de leurs installations.
Selon les analystes de McKinsey, 60% des environnements informatiques des grandes entreprises auront basculé dans le Cloud d’ici 2025. Les vastes programmes « Move to Cloud » battent leur plein, avec des DSI qui ont basculé leurs équipes en approche DevOps. Ce sont des milliers de VM, de conteneurs et autres services managés dont il faut assurer la sécurité. Les hyperscalers ont bien compris cette problématique et ont étoffé leur catalogue de nombreuses briques de sécurité. Les volets chiffrement, IAM, WAF ou même SIEM sont couverts par les fournisseurs Cloud eux-mêmes ou via des partenaires présents sur leurs marketplaces. La sécurité Cloud s’est imposée comme une spécialité à part entière tant les spécificités de cet environnement sont fortes et la croissance de ce marché restera à deux chiffres pour de nombreuses années. Car au-delà de la mise en place de briques de sécurité classiques, le RSSI doit s’assurer que toutes les machines virtuelles, tous les conteneurs et que tous les buckets S3 sont correctement configurés et sécurisés et qu’aucune de ces ressources n’est l’objet d’une attaque. Rien n’est moins simple dans un contexte où les services Cloud sont provisionnées/décommissionnées à la volée, que les équipes DevOps travaillent sur des sprints ultra-courts.
Le besoin d’industrialiser la Cybersécurité du Cloud
Sécuriser ces infrastructures Cloud n’a rien de trivial et devient un vrai sujet lorsqu’on sait que le modèle hybride et le multi-Cloud sont désormais la norme.
Pour homogénéiser et surtout industrialiser la gestion de l’ensemble des paramètres de sécurité des architectures Cloud, des solutions spécialisées sont apparues sur le marché, les CNAPP (Cloud-Native Application Protection Platform). Sous cette dénomination, les analystes ont regroupé les solutions de CWPP (Cloud Workload Security) en charge de la surveillance des ressources Cloud en production, les CSPM (Cloud Security Posture Management) en charge de l’analyse des configurations et les CIEM (Cloud Infrastructure Entitlement Management) pour sécuriser les comptes utilisateurs, notamment ceux qui sont créés à des fins purement techniques. Certains éditeurs ajoutent même une brique de sécurité réseau (Cloud Service Network Security / CSNS) pour compléter cet ensemble. Ces briques viennent compléter l’action du CASB qui porte essentiellement sur l’analyse des échanges de données entre l’entreprise et ses prestataires Cloud.
Formalisé en 2021 par le Gartner, le cabinet américain considère que 60% des entreprises auront mené cette convergence vers une solution CNAPP d’ici 2025. Une trentaine d’acteurs sont d’ores et déjà positionnés sur ce marché, dont tous les géants de la cybersécurité et de nombreux challengers. Outre les géants de la cybersécurité comme Check Point Software, Trend Micro, Palo Alto Networks, Zscaler, Tenable, Crowdstrike et Microsoft, on trouve des éditeurs plus spécialisés dont Aqua, Lacework, Qualys, Sysdig et Wiz.
Des plateformes plus matures
La diversité de l’offre fait apparaître des différences d’approches et de technologies, avec des éditeurs qui viennent du monde de la sécurité réseau, d’autres du monde endpoint ou encore de la gestion des vulnérabilités face à des pure players Cloud.
Techniquement, chaque plateforme CNAPP a ses points forts, ses points faibles et les analystes estiment qu’aucun éditeur n’offre la solution Best-of-Breed sur l’ensemble de la couverture fonctionnelle. Certains privilégient l’approche « agentless », d’autres imposent la présence d’agents, d’autres proposent une architecture hybride, à cheval entre ces deux modèles. Les analystes poussent en faveur de solutions bien intégrées de manière à réduire la complexité, notamment simplifier les interactions avec des membres des équipes DevOps. L’idée est de faciliter une approche de type « Shift-Left », c’est-à-dire embarquer la Cybersécurité au plus tôt dans le développement des applications, tout en intégrant le fait que la Cybersécurité n’est pas la priorité principale des développeurs. Le support du multi-Cloud ainsi que des plateformes de conteneurs sont un « Must Have », de même que l’intégration de données de Threat Intelligence afin de prioriser et remédier au plus vite les vulnérabilités potentiellement exploitées par les attaquants.
Si l’offre est aujourd’hui pléthorique, la convergence des solutions de sécurité Cloud, notamment CWPP vers le CNAPP semble inéluctable. Gartner considère que 80% des entreprises auront consolidé leurs offres de protection Cloud sur 3 solutions ou moins d’ici 2026 contre une moyenne de 10 solutions actuellement. Les leaders du marché CNAPP commencent à se dégager, avec des approches certaines conformes à la structuration définie par le Gartner mais avec quelques nuances. A chaque RSSI d’opter pour celle qui correspond le mieux à sa culture d’entreprise.
Sabrine Guiheneuf, présidente d’honneur des Assises, Directrice Groupe Cybersécurité et Gouvernance IT Unibail-Rodamco-Westfield et Administratrice du CESIN
« Le « Move to Cloud » est une tendance de fond depuis plus de 5 / 6 ans maintenant et c’est une réalité du marché. Le Cloud public apporte plus de vulnérabilité si on n’entreprend pas cette démarche de manière méthodique et avec les bons outils. Il faut vraiment être très méthodique, car si on déplace une VM d’un Datacenter vers le Cloud, celle-ci va présenter le même niveau de sécurité ou d’insécurité que précédemment, mais le Cloud va ajouter à cela tous les aspects de configuration. La façon dont on va configurer son environnement Cloud et toutes les briques qui gravitent autour de ce Cloud diffèrent de ce que l’on pratique dans les datacenters. Ce changement d’approche implique de bien s’outiller et d’adopter une bonne gouvernance pour adresser toutes les vulnérabilités de configuration en plus de toutes les mesures de sécurité issues des infrastructures « legacy ». Le Cloud et son ouverture à Internet et l’adoption de DevOps posent des questions d’approche, de compétences nouvelles sur la partie sécurité. La Cyber doit être embarquée dans les projets de migration pour avoir les bons points de contrôle et pouvoir suivre cette sécurité dans le temps car ce sont des nouveaux écosystèmes qui sont amenés à évoluer rapidement. »
