CNAPP

Le cycle de hype de Gartner est implacable : dès qu’une nouvelle technologie y apparaît, elle doit traverser plusieurs phases bien définies avant d’atteindre une maturité suffisante pour une adoption généralisée. « Pour CNAPP, nous sortons progressivement de la phase de désillusion et entrons dans celle de l’illumination. Il est donc grand temps de réévaluer cette solution », affirme Koen Tamsyn, Business Unit Lead Cybersecurity chez Inetum.

Le nom en dit : une Cloud-Native Application Protection Platform, ou CNAPP, est une plateforme dédiée à la protection des applications cloud-native. Elle regroupe divers outils autonomes en une solution holistique pour la gestion de la sécurité dans le cloud.

CNAPP gagne en maturité

Dans son rapport sur la sécurité cloud de 2021, Gartner plaçait encore CNAPP au tout début du cycle de hype. La solution avait à peine dépassé la phase d’innovation prometteuse et n’avait pas encore atteint le sommet des attentes exagérées, deuxième étape de ce cycle. En d’autres termes : la bulle était sur le point d’éclater. « Un seul paquet, CNAPP, allait résoudre tous nos problèmes de sécurité cloud », se souvient Koen Tamsyn de cette époque marquée par un engouement excessif. Une promesse ambitieuse que la solution ne pouvait alors tout simplement pas tenir. La phase suivante – celle de la profonde désillusion – était inévitable.

Gartner précisait pourtant déjà que CNAPP aurait encore besoin de cinq à dix ans pour atteindre la phase finale : celle de la productivité accrue, avec adoption généralisée. « Nous sommes maintenant environ quatre ans plus loin », calcule l’expert en cybersécurité, « et j’ai l’impression que la spirale descendante est derrière nous. CNAPP est lentement mais sûrement sorti de la vallée de la désillusion et nous entrons désormais dans la phase d’illumination. »

Cela se manifeste concrètement par plusieurs aspects de la solution qui n’étaient pas encore aboutis en 2021, mais qui ont depuis été nettement améliorés. « La solution affiche aussi une meilleure pénétration du marché », observe Koen Tamsyn. « Et la concurrence entre les différents fournisseurs de CNAPP est clairement plus vive. Cela me laisse penser que nous verrons dans les prochaines années apparaître des solutions CNAPP toujours plus matures, utiles et pertinentes pour de nombreuses organisations. »

Une complexité croissante

Pour comprendre pourquoi une plateforme de sécurité cloud comme CNAPP a vu le jour, il faut remonter un peu plus loin, avant 2021.
« À l’époque, nous commencions à migrer certaines charges de travail du datacenter local vers le cloud, ne fût-ce que pour des tests », explique Koen Tamsyn. « Et pour sécuriser cet environnement, nous transposions simplement nos mesures de sécurité on-premises vers le cloud. Un pare-feu virtuel, un antivirus ou un outil EDR sur nos machines virtuelles : c’est tout ce que nous avions au départ. »

Mais cela s’est rapidement révélé insuffisant, surtout avec l’évolution du cloud d’un modèle IaaS (Infrastructure-as-a-Service) vers un modèle PaaS (Platform-as-a-Service). De nouveaux services cloud sont apparus, y compris des fonctions serverless et différents fournisseurs d’authentification. Le cloud ne ressemblait plus du tout au datacenter traditionnel. « Tous ces avantages supplémentaires ont aussi complexifié l’environnement cloud – et donc sa sécurité », résume Koen Tamsyn. Pare-feu et antivirus ne suffisaient plus : une solution de sécurité plus complète s’imposait.

Trois composants fondamentaux

Cette solution a pris la forme du CNAPP : non pas un simple outil autonome, mais une suite intégrée de différents outils pour sécuriser efficacement les environnements cloud. « Ce qui a immédiatement posé problème à de nombreuses organisations : comment choisir le CNAPP qui vous convient, alors que chaque fournisseur propose sa propre version, avec ses composants spécifiques ? »

Koen Tamsyn identifie trois composants fondamentaux de toute solution CNAPP. Le premier est le Cloud Workload Protection (CWP), un outil d’analyse DevOps typique pour les développeurs. Côté opérationnel, le Cloud Security Posture Management (CSPM) est indispensable. « Ce module vérifie les configurations de votre environnement cloud : y a-t-il des erreurs dans les paramètres Azure ? Des conteneurs ouverts ? Des correctifs non appliqués ? » Enfin, le Cloud Infrastructure Entitlement Management (CIEM, à ne pas confondre avec SIEM) permet de gérer et de sécuriser les identités et les droits d’accès dans les environnements cloud (IAM).

Une solution CNAPP peut contenir bien d’autres modules, mais ces trois-là – déjà disponibles séparément depuis longtemps – constituent toujours le socle.
« Aujourd’hui, nous en sommes déjà à la deuxième, voire la troisième génération de CNAPP », note Koen Tamsyn. Certains fournisseurs y ont même intégré des modules de Kubernetes Security Posture Management (KSPM), pour sécuriser les clusters Kubernetes.

Bien analyser l’offre

« La question clé reste : avez-vous vraiment besoin de tous les éléments d’un CNAPP complet ? », poursuit Koen Tamsyn. Les composants de base comme CWP, CSPM et CIEM constitueront une base solide pour de nombreuses organisations. Les fonctionnalités supplémentaires proposées par certains fournisseurs doivent, quant à elles, être soigneusement évaluées. Il est essentiel de déterminer lesquelles sont réellement pertinentes pour votre environnement spécifique. Sur ce point, Inetum peut vous guider et vous conseiller avec expertise, en s’appuyant sur des années d’expérience.

Besoin d’un conseil ou d’un avis sans engagement?

Dans un environnement en constante évolution, des mesures de sécurité préventives ne suffisent malheureusement plus. L’amélioration continue de votre posture de sécurité cloud est cruciale pour la protection de vos données sensibles – et de votre entreprise dans son ensemble.

Faites évaluer votre environnement par nos soins, et nous vous remettrons une liste de priorités reprenant les risques identifiés ainsi que les actions à entreprendre pour mieux vous protéger contre les cyberattaques. En complément de ce Cybersecurity Assessment, vous pouvez également faire appel à nous pour l’élaboration d’une Cybersecurity Roadmap complète. Celle-ci inclut des recommandations concrètes, traduites en plan d’action clair, avec planning, priorités et ressources nécessaires. Pour plus d’informations, contactez-nous à l’adresse :  info.belgium@inetum.com.