Le développement des applications modernes implique de faire travailler les DevOps de concert avec les équipes de sécurité. Un défi en termes d’agilité que les solutions CNAPP cherchent à faciliter.
Comment s’assurer que toutes les machines virtuelles, tous les conteneurs et que tous les buckets S3 sont correctement configurés et sécurisés et que personne ne tente de les attaquer ? Dans un contexte où les ressources sont provisionnées/détruites à la volée, que les équipes de développement travaillent sur des sprints ultra-courts, sécuriser des applications Cloud représente un défi de taille pour les RSSI. Souvent considéré par les DevOps comme l’empêcheur de tourner en rond, le RSSI doit jongler avec de multiples briques de sécurité pour maintenir le niveau de sécurité et maintenir les développements dans le cadre de son étude de risque.
Cette tâche n’a rien de simple quand on observe les architectures des applications modernes qui mélangent bien souvent instances Cloud, conteneurs, Serverless, PaaS. Le nombre de services Cloud consommés par une application est en train d’exploser et la sécurité se doit de suivre le mouvement d’autant qu’avec les méthodes agiles et l’Infrastructure as Code, les rythmes de déploiement ont explosé. Ce changement de paradigme dans le développement des applications implique de nouvelles approches comme DevSecOps, mais aussi une nouvelle façon de sécuriser ces applications, une approche intégrée.
Le CNAPP vient unifier les outils de sécurité Cloud
La sécurisation des applications Cloud doit passer d’une myriade de solutions de sécurité spécialisées à une approche beaucoup plus intégrée, c’est le rôle du CNAPP, acronyme de Cloud-Native Application Protection Platform. Cette catégorie de plateforme regroupe CWPP, CSPM et CIEM, respectivement solutions de Cloud Workload Security, de Cloud Security Posture Management et de Cloud Infrastructure Entitlement Management. Stéphane Woillez, Sales Engineer Director pour l’Europe du sud de Sysdig, détaille ces trois grandes composantes : « Il y a d’une part la protection de l’application avec l’analyse des vulnérabilités, l’identification des mauvaises pratiques de développement à l’intérieur du conteneur. L’objectif est de rendre l’application la plus propre possible d’un point de vue sécurité. La deuxième partie porte sur le volet CSPM. Ce logiciel analyse la configuration des environnements d’exécution, qu’il s’agisse de la plateforme de conteneurs et de tous les services Cloud consommés par l’application. L’idée est de corriger cette configuration pour être au plus proche de ce que l’on peut faire de mieux en termes de sécurité. Enfin, le CIEM vient sécuriser les utilisateurs et notamment ces rôles qui ne sont pas toujours associés à des utilisateurs humains. La moitié des rôles créés sur le Cloud sont des rôles purement techniques. » Sysdig est un éditeur venu du monde de l’Open Source, son fondateur, Loris Degioanni a codéveloppé l’outil d’analyse des paquets réseaux WireShark, puis de Falco en 2016, un logiciel Open Source de détection d’intrusion pour les environnements de conteneurs. « La popularité de cet outil nous a poussés vers le monde de la sécurité. Nous avons démarré par le CWPP, mais nous nous sommes aperçus que les besoins des clients qui allaient dans le Cloud étaient bien plus larges que la seule protection des workloads. C’est ainsi que nous avons construit petit à petit notre plateforme CNAPP. »
Sysdig est notamment mis en œuvre par l’éditeur Talend pour déjouer les attaques de type Supply Chain ou encore par Blablacar qui a commencé par utiliser la solution Open Source Falco avant de se tourner vers Sysdig pour sécuriser son infrastructure Google Cloud Platform.
Le Gartner a validé ce segment de marché en 2023
Gartner estime que 60 % des entreprises auront mené cette convergence vers une solution CNAPP d’ici 2025. Une trentaine d’acteurs se sont d’ores et déjà positionnés sur ce marché, dont tous les géants de la cybersécurité et de nombreux challengers. Outre les géants de la cybersécurité comme Check Point Software, Trend Micro, Palo Alto Networks, Zscaler, Tenable, Crowdstrike et Microsoft, on trouve Aqua, Qualys, Sysdig et Wiz. Nicolas
Ehrman, Global Technical Evangelist chez Wiz, détaille le fonctionnement de la solution développée par l’éditeur : « La solution Wiz se connecte aux API Cloud pour récupérer les données relatives aux ressources Cloud consommées par l’entreprise. Cette découverte est automatique, sans avoir à solliciter chaque équipe. La solution va scanner l’ensemble des machines virtuelles, des conteneurs et les ressources relatives au Data Plane, puis corréler ces informations les unes avec les autres. A partir de cet inventaire, la solution va exploiter ce contexte afin de prioriser les risques et ne pas bombarder les équipes sous les faux positifs. » L’expert souligne que la prise en compte du contexte de fonctionnement de la workload à la fois du point de vue technique et métier est essentielle.
Des plateformes plus matures
Lors de la conférence Microsoft Ignite, Yaffa Finkelstein, Product Marketing Manager chez Check Point, soulignait les spécificités de la solution Check Point CloudGuard : « Au-dessus de notre plateforme CNAPP, nous avons intégré une fonction de Risk Management qui embarque un dispositif de remédiation augmenté par un algorithme d’IA, notre CIEM et un système de contrôle de la posture de sécurité de type agentless pour les équipes qui ne veulent pas déployer d’agent auprès de leurs workloads. » L’éditeur met en avant les capacités ERM (Effective Risk Management) de sa plateforme afin de prioriser les risques à traiter en priorité.
L’éditeur américain a fait le choix d’unifier ses offres de gestion des vulnérabilités Cloud sous la marque Tenable Cloud Security. Bernard Montel, directeur technique EMEA et stratégiste cybersécurité chez Tenable, résume la démarche de l’éditeur : « Historiquement, nous venons du monde de la gestion des vulnérabilités, avec notamment du scan de vulnérabilité sur des environnements Cloud. Nous avons racheté en novembre 2021 l’éditeur Accurics qui nous a apporté sa maîtrise des environnements Cloud natifs, avec la capacité de faire du CSPM, de l’Infrastructure as code. Nous avions déjà des capacités en termes de sécurité des conteneurs et nous avons rassemblé l’ensemble dans une offre unifiée baptisée Cloud Security. Toute la gestion d’exposition d’environnement Cloud, du multi-Cloud et de Kubernetes est désormais assurée par l’offre Tenable Cloud Security. »
Autre acteur à s’être positionné très tôt sur le CNAPP, Zscaler, un éditeur déjà présent chez la moitié du CAC40, notamment pour sa sécurisation des accès utilisateurs. L’américain a constitué une plateforme CNAPP à coup de développements internes et d’acquisitions, Zscaler Posture Control. « Nous sommes connus pour avoir transformé le mode d’accès des utilisateurs au monde du digital et nous répliquons aujourd’hui cette approche pour les workloads et l’IoT » argumente Ivan Rogissart, directeur avant ventes Europe du Sud chez Zscaler. « Avec Zscaler for Workload, on retrouve toute la problématique de sécurisation des accès Zero Trust, mais dédiée aux applications. Ainsi les développeurs n’ont pas l’habitude de configurer les appels aux API selon un mode Least Privilege. Or, une API peut être un vecteur d’attaque et l’attaquant peut exploiter les vulnérabilités du frontoffice pour s’attaquer aux données via les API. » Autre spécificité de l’éditeur, faire le lien entre CNAPP et analyse du code, mais aussi de la nature des données. « Nous effectuons une corrélation entre les vulnérabilités et la nature des données. L’IA et le Machine Learning nous permettent de classifier les données, ce qui permet de prioriser les vulnérabilités à traiter en priorité, c’est-à-dire celles qui touchent directement des données très critiques. »
Si l’offre est aujourd’hui pléthorique, les leaders du marché CNAPP commencent à se dégager, avec des approches certaines conformes à la structuration définie par le Gartner mais avec quelques nuances. A chaque RSSI d’opter pour celle qui correspond le mieux à sa culture d’entreprise.
