Le basculement des entreprises vers les architectures Cloud hybrides et, pour certaines, vers le 100% Cloud implique des bouleversements profonds dans la façon dont les systèmes d’informations doivent être protégés. Le CNAPP s’impose comme un élément de réponse essentiel à ce changement de génération.
S’il est possible de sécuriser une infrastructure Cloud avec des solutions Cyber classiques, notamment un WAF, toute une série d’applications de sécurité dédiées au Cloud public est apparue ces dernières années. Le CNAPP (Cloud-Native Application Protection Platform est sans doute la solution la plus emblématique de cette nouvelle génération. Cet acronyme regroupe une suite de briques logicielles, les solutions de CWPP, CSPM et CIEM, respectivement solutions de Cloud Workload Security, de Cloud Security Posture Management et de Cloud Infrastructure Entitlement Management. Certains éditeurs ajoutent même le CASB (Cloud Access Security Broker) à ce portefeuille de solutions de protection Cloud. L’action du CWPP se concentre sur la surveillance en continu des environnements d’exécution ainsi que des pipelines CI/CD qui peuvent être mis à profit par les attaquants pour introduire du code malveillant sur les plateformes de production. Pour sa part, le CSPM audite la configuration des ressources Cloud de manière dynamique afin de détecter tout risque de fuite de données. Enfin, le CIEM assure une protection dynamique des comptes utilisateurs, qu’il s’agisse d’utilisateurs « humains », mais aussi de tous les comptes techniques, notamment ceux dédiés aux API. Ces comptes sont de plus en plus nombreux dans les architectures d’applications modernes et peuvent aussi être ciblés par les attaquants.
Une solution CNAPP fonctionne soit en approche « agentless », c’est-à-dire en s’appuyant sur les données délivrées par l’interface d’administration du fournisseur Cloud, basé sur un agent logiciel qui collecte les informations ou hybride, en combinant les deux approches. Le CNAPP doit investiguer tant les ressources IaaS et PaaS du fournisseur Cloud, que les infrastructures de conteneurs type Kubernetes, les applications Serverless et les API. Alternative aux solutions de sécurité natives proposées par chaque fournisseur Cloud, une plateforme CNAPP permet de gérer la sécurité d’une infrastructure multi-Cloud de manière homogène.