Bonnes pratiques pour le scan agentless

Équipe d'experts Wiz
Points clés à retenir
  • Le scan agentless inspecte les environnements cloud à la recherche de risques de sécurité sans installer d’agents logiciels sur les workloads. Il s’appuie sur les API des fournisseurs cloud et l’analyse de snapshots.

  • Cette approche offre une visibilité étendue sur les ressources cloud en quelques minutes, sans impact sur vos workloads. Le scan s’exécute entièrement en dehors de vos applications, via les API des fournisseurs cloud et des snapshots temporaires analysés dans des environnements isolés.

  • Les organisations éliminent la charge opérationnelle liée au déploiement, à la mise à jour et à la gestion des agents dans des environnements cloud dynamiques.

  • Le scan agentless découvre chaque ressource de votre cloud et prévient les angles morts qui surviennent lorsque des agents ne sont pas installés partout.

Comprendre l’architecture du scan agentless

Le scan agentless se connecte directement au plan de contrôle de votre fournisseur cloud via des API. Le scanner opère depuis l’extérieur de vos workloads, sans jamais exécuter de code sur vos machines virtuelles ou vos containers.

Le processus fonctionne de deux façons. Premièrement, il utilise des permissions API en lecture seule pour inventorier toutes vos ressources et analyser leurs configurations, paramètres réseau et permissions. Deuxièmement, pour une analyse approfondie des workloads, les scanners agentless créent un snapshot chiffré temporaire du volume de stockage d’une machine virtuelle (volumes EBS dans AWS, disques managés dans Azure, disques persistants dans GCP).

Le scanner analyse ce snapshot dans un environnement séparé et isolé, contrôlé par la plateforme de scan : une instance de calcul dédiée avec un accès réseau restreint et un stockage chiffré. Le scanner recherche les vulnérabilités, les malwares et les secrets exposés sans jamais toucher votre workload en cours d’exécution. Une fois l’analyse terminée, les snapshots et les artefacts dérivés sont supprimés conformément à votre politique de rétention configurée, en quelques minutes à quelques heures, pour équilibrer sécurité et exigences de traçabilité.

Cette approche explique la rapidité et l’exhaustivité du scan agentless. Lors de l’apparition de la vulnérabilité Log4j, les entreprises utilisant le scan agentless ont identifié les instances affectées sur l’ensemble de leur infrastructure cloud en quelques heures. Cette couverture était nettement plus difficile et plus lente avec les outils traditionnels basés sur des agents, en raison de lacunes de déploiement et de cycles de mise à jour.

Renforcez votre sécurité cloud

Découvrez des pratiques avancées pour réduire les risques, prioriser les actions clés et mieux protéger vos environnements cloud.

Scan agentless ou scan basé sur des agents : lequel choisir ?

Les approches agentless et basées sur des agents répondent à des objectifs différents dans une stratégie de sécurité complète. Voici leur comparaison :

CapacitéScan agentlessScan basé sur des agents
CouvertureDécouvre automatiquement toutes les ressources via les API cloudCouvre uniquement les ressources où des agents sont installés
Temps de déploiementQuelques minutes : connexion au niveau du compte cloudJours à semaines : déploiement agent par workload requis
Impact sur les performancesAucun impact sur les workloads1 à 5 % de surcharge CPU/mémoire par agent
Analyse du système de fichiersAnalyse approfondie des disques via les snapshotsSurveillance des fichiers à l’exécution
Détection à l’exécutionLimitée : détecte les logiciels installés, pas les processus en coursVisibilité complète sur l’exécution des processus et la mémoire
Visibilité réseauAnalyse de configuration via les APISurveillance du trafic réseau en direct
Idéal pourDécouverte de vulnérabilités, conformité, audit de configurationDétection des menaces à l’exécution, EDR, réponse active aux attaques

La plupart des organisations combinent les deux approches. Le scan agentless fournit une découverte et une gestion complètes des vulnérabilités sur l’ensemble de l’infrastructure cloud. Les outils basés sur des agents ajoutent une protection à l’exécution sur les workloads critiques nécessitant une détection et une réponse aux menaces en temps réel.

Stratégies de déploiement agentless multi cloud

Le déploiement du scan agentless sur plusieurs clouds est simple, car il utilise les API standard de chaque fournisseur. Vous établissez une connexion sécurisée unique au niveau organisationnel pour chaque fournisseur cloud (AWS, Azure ou Google Cloud).

Dans AWS, créez un rôle IAM inter-comptes avec des permissions en lecture seule et des permissions explicites de snapshot pour l’analyse approfondie des disques (ec2:CreateSnapshot, ec2:CreateVolume, ec2:AttachVolume, ec2:DeleteSnapshot et kms:Decrypt avec des conditions pour les volumes chiffrés). Dans Azure, configurez un service principal avec un rôle Reader au niveau du groupe de gestion. Dans GCP, utilisez un compte de service avec des permissions viewer.

Voici les prérequis pour chaque fournisseur cloud majeur :

  • AWS : rôle IAM inter-comptes avec la politique managée SecurityAudit ; ajoutez des permissions EBS snapshot à portée réduite (ec2:CreateSnapshot, ec2:CreateVolume, ec2:AttachVolume) si l’analyse approfondie des disques est activée ;

  • Azure : service principal avec le rôle Reader attribué au niveau de l’abonnement ou du groupe de gestion ;

  • GCP : compte de service avec les rôles Viewer et Cloud Asset Inventory ; ajoutez les permissions de snapshot Compute (compute.snapshots.create, compute.disks.createSnapshot, compute.snapshots.delete) si l’analyse approfondie des disques est activée ;

  • Multi cloud : un connecteur par fournisseur cloud énumère et intègre les comptes, projets et abonnements via les structures organisationnelles (AWS Organizations, Azure Management Groups, GCP Folders/Organizations) avec les permissions de lecture appropriées au niveau organisationnel.

Optimisation des performances et considérations réseau

Le scan agentless évite tout impact de performance sur vos workloads en cours d’exécution. Vous devez toutefois tenir compte de la consommation de ressources côté fournisseur : les entrées/sorties de stockage lors de la création de snapshots, la bande passante réseau interne pour le transfert de données et l’utilisation des quotas d’API pour l’inventaire continu. Lors de l’analyse de disques volumineux, les transferts de données s’effectuent au sein du réseau du fournisseur cloud, ce qui affecte les coûts et la bande passante.

Les solutions agentless modernes gèrent cela grâce au scan incrémental. Elles analysent uniquement les blocs de disque modifiés depuis le dernier scan, réduisant considérablement les volumes de transfert de données.

La limitation du débit des API constitue une autre considération. Le scan continu génère de nombreux appels API vers les fournisseurs cloud. Une plateforme bien conçue gère cela en regroupant intelligemment les appels API et en respectant les limites de throttling.

Planifiez les opérations gourmandes en ressources (comme les analyses complètes initiales des disques) en dehors des heures de pointe. Vous minimisez ainsi le throttling des API et réduisez la concurrence avec d’autres opérations cloud. Les analyses se terminent plus rapidement sans rivaliser avec d’autres opérations pour les quotas d’API durant les périodes de fort trafic.

Le guide pratique des responsables sécurité

Obtenez des conseils concrets pour aligner équipes, processus et technologies autour d’une stratégie CloudSec efficace.

Renforcement de la sécurité des déploiements agentless

Chiffrez toutes les données en transit et au repos. Utilisez des clés gérées par le client lorsque cela est possible pour les snapshots (clés AWS KMS, clés Azure Key Vault ou clés GCP Cloud KMS) et appliquez des conditions IAM ou des octrois de clés autorisant l’identité du scanner à déchiffrer uniquement pendant l’analyse.

Toute communication API doit utiliser TLS 1.2 ou supérieur ; privilégiez TLS 1.3 lorsque votre fournisseur cloud le prend en charge, afin d’améliorer la sécurité et les performances. Concernant les exigences strictes de résidence des données (RGPD, souveraineté des données), traitez les scans entièrement dans la région et restreignez la sortie du trafic. Le plan de contrôle du scanner, le stockage temporaire des snapshots et les instances de calcul d’analyse doivent rester dans la même région géographique que vos workloads.

Vous pouvez utiliser des endpoints privés pour maintenir tout le trafic de scan sur le réseau privé du fournisseur :

  • AWS PrivateLink : achemine le trafic du scanner via des endpoints VPC privés ;

  • Azure Private Link : garantit que le scan reste au sein du réseau backbone d’Azure ;

  • GCP Private Service Connect : maintient toute la communication au sein du réseau interne de Google.

Avec des endpoints privés configurés (AWS PrivateLink, Azure Private Link, GCP Private Service Connect), la collecte de métadonnées reste sur les backbones des fournisseurs au sein de votre routage réseau privé, évitant toute exposition sur l’internet public.

Garde-fous IAM et périmètres de sécurité

Sécurisez l’identité du scanner avec des contrôles IAM supplémentaires :

Périmètres de permissions AWS : attachez un périmètre de permissions au rôle du scanner pour restreindre les permissions maximales :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ec2:*",
        "kms:Decrypt",
        "kms:DescribeKey"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:SourceVpce": "vpce-xxxxx"
        }
      }
    }
  ]
}

Le scanner ne fonctionne ainsi que depuis votre endpoint VPC, empêchant toute exfiltration d’identifiants.

Accès conditionnel Azure : configurez le service principal avec des politiques d’accès conditionnel exigeant :

  • des plages d’adresses IP spécifiques (votre infrastructure de scan) ;

  • une authentification par identité managée (pas de clés de service principal) ;

  • une authentification multifacteur pour tout accès interactif.

GCP Workload Identity Federation : utilisez Workload Identity Federation au lieu de clés de compte de service :

gcloud iam workload-identity-pools create scanner-pool \
  --location="global" \
  --display-name="Agentless Scanner Pool"

Cela élimine les identifiants à longue durée de vie et lie l’authentification à l’identité de votre infrastructure de scan.

Confidentialité des données et contrôles de résidence

Appliquez la résidence des données pour la conformité réglementaire :

Ancrage régional : configurez le scanner pour traiter toutes les données dans des régions spécifiques :

  • AWS : déployez l’infrastructure du scanner dans eu-west-1, restreignez la création de snapshots à la même région ;

  • Azure : utilisez Azure Policy pour interdire les ressources en dehors des régions de l’UE ;

  • GCP : définissez des contraintes de politique organisationnelle pour restreindre les emplacements des ressources.

Conception des endpoints privés :

# Endpoint AWS PrivateLink pour le scanner dans eu-west-1
aws ec2 create-vpc-endpoint \
  --vpc-id vpc-xxxxx \
  --service-name com.amazonaws.vpce.eu-west-1.scanner \
  --subnet-ids subnet-xxxxx

Vérification et audit :

  • activez les VPC Flow Logs (AWS), les NSG Flow Logs (Azure) ou les VPC Flow Logs (GCP) pour vérifier l’absence de trafic inter-régions ;

  • utilisez les journaux d’audit cloud pour confirmer que toutes les opérations de snapshot se produisent dans les régions approuvées ;

  • configurez des alertes pour toute création de ressources en dehors des régions désignées.

Cette architecture garantit la conformité à l’article 44 du RGPD en maintenant tout le traitement des données personnelles au sein de l’UE.

Bonnes pratiques d’intégration dans les CI/CD pipeline

Le scan agentless gagne en puissance lorsqu’il est intégré à votre cycle de développement. Analysez l’infrastructure as code (Terraform, CloudFormation, manifestes Kubernetes, Helm Charts) dans votre CI/CD pipeline pour détecter les erreurs de configuration, les secrets exposés et les violations de politiques avant que le déploiement n’atteigne la production.

Cela crée une barrière de sécurité empêchant la création d’infrastructures non sécurisées. Les développeurs reçoivent un retour immédiat sur les problèmes de sécurité dans leurs workflows existants.

Par exemple, si un développeur soumet un fichier Terraform créant un bucket de stockage exposé publiquement, le scan le signale immédiatement. Vous configurez le CI/CD pipeline pour bloquer le build jusqu’à la résolution du problème.

Cette approche shift-left (approche préventive en amont du cycle de développement) réduit la charge pesant sur les équipes de sécurité tout en permettant aux développeurs de construire de manière sécurisée dès le départ. Les organisations adoptant cette méthode détectent les risques en amont et empêchent leur propagation vers les environnements de production.

Cadres de conformité et d’audit pour le scan agentless

Le scan agentless vous aide à respecter les exigences de conformité en fournissant un inventaire complet et auditable de tous les actifs cloud. La méthode est non invasive et ne modifie pas les workloads, ce qui s’aligne avec les cadres exigeant la séparation des tâches.

Concernant les règles de résidence des données comme le RGPD, vous configurez les solutions agentless pour garantir que toute l’analyse se déroule dans des régions géographiques spécifiques. Journalisez toutes les activités de scan via les pistes d’audit natives : AWS CloudTrail (appels API), Azure Activity Logs (opérations sur les ressources) et GCP Cloud Audit Logs (événements d’accès administrateur et données).

Ces journaux fournissent une piste d’audit infalsifiable des actions du scanner sous les contrôles de rétention et d’intégrité du fournisseur. Pour l’immuabilité, configurez la validation des fichiers journaux AWS CloudTrail, le stockage immuable Azure Monitor ou les récepteurs de journaux GCP avec des verrous de rétention. Cela fournit des preuves claires pour les audits de conformité et vous aide à démontrer une couverture complète de l’environnement aux auditeurs.

Correspondance avec les cadres de conformité

Le scan agentless prend directement en charge plusieurs contrôles de conformité :

1. ISO 27001 :

  • A.5.9 (Inventaire des actifs) : découverte automatisée de toutes les ressources cloud ;

  • A.8.8 (Gestion des vulnérabilités techniques) : identification continue des vulnérabilités ;

  • A.12.6.1 (Gestion des vulnérabilités techniques) : scan régulier et suivi des remédiations.

2. SOC 2 :

  • CC7.1 (Surveillance des systèmes) : surveillance continue de la configuration et des vulnérabilités ;

  • CC7.2 (Anomalies des composants système) : détection des modifications non autorisées et des erreurs de configuration.

3. PCI DSS :

  • Exigence 11.2 (Scan de vulnérabilités) : scans internes et externes trimestriels ;

  • Exigence 11.5 (Détection des modifications) : file integrity monitoring via la comparaison de snapshots ;

  • Note : les scans ASV externes restent obligatoires pour les environnements de données de titulaires de cartes exposés sur internet.

4. HIPAA :

  • 164.308(a)(1)(ii)(A) (Analyse des risques) : évaluation complète des actifs et des vulnérabilités ;

  • 164.312(b) (Contrôles d’audit) : piste d’audit complète des activités de scan.

5. FedRAMP :

  • RA-5 (Scan de vulnérabilités) : scan authentifié aux fréquences requises (mensuel pour les systèmes à fort impact) ;

  • CM-8 (Inventaire des composants du système d’information) : inventaire automatisé des actifs.

Le scan agentless fournit les preuves d’audit (rapports de scan, inventaires d’actifs, suivi des remédiations) exigées par les auditeurs pour ces contrôles.

Surveillance et dépannage des systèmes agentless

Le scan agentless nécessite une maintenance minimale, mais la surveillance de son bon fonctionnement reste importante. Une bonne plateforme fournit des tableaux de bord affichant le statut des scans, la couverture des ressources et les éventuelles défaillances.

Cela vous aide à identifier et résoudre rapidement les problèmes. Les difficultés les plus courantes concernent les permissions IAM : si un scanner ne parvient pas à inspecter une ressource, il s’agit généralement d’une permission manquante dans le rôle inter-comptes. Vérifiez l’attachement de la politique SecurityAudit, les permissions de snapshot (en cas de scan approfondi) et les octrois de clés KMS pour les volumes chiffrés.

Les problèmes de connectivité sont rares avec les réseaux cloud natifs, mais ils surviennent occasionnellement. Vérifiez les règles des groupes de sécurité réseau ou les configurations des endpoints privés pour vous assurer que le trafic n’est pas bloqué.

Vous configurez également des alertes pour :

  • Scans échoués : notifications lorsqu’un scan ne se termine pas ;

  • Lacunes de couverture : alertes lorsque de nouvelles ressources ne sont pas analysées ;

  • Erreurs de permissions : avertissements concernant des droits d’accès insuffisants ;

  • Throttling des API : notifications lors de l’atteinte des limites de débit.

Stratégies d’optimisation des coûts

Le scan agentless est généralement rentable, mais vous optimisez les dépenses davantage. Les principaux coûts proviennent du stockage des snapshots (volumes temporaires créés lors des analyses approfondies) et des appels API (inventaire continu et requêtes de configuration).

Mettez en place des politiques de rétention des snapshots pour supprimer les snapshots temporaires immédiatement après le scan. Cela évite l’accumulation de coûts de stockage liés à des snapshots orphelins.

Recherchez des solutions utilisant le regroupement intelligent des appels et la mise en cache pour minimiser les requêtes API redondantes. Planifiez les opérations gourmandes en ressources (comme l’analyse approfondie des disques) en dehors des heures de pointe pour réduire la contention des API et la charge réseau interne. Cela améliore les temps de complétion des scans sans rivaliser avec les ressources d’infrastructure partagées durant les périodes de fort trafic.

Utilisez des balises d’allocation des coûts pour les ressources du scanner afin de suivre précisément les dépenses de sécurité. Cela vous aide à comprendre le coût réel de votre programme de sécurité et à l’optimiser en conséquence.

Modèles de configuration avancés

À mesure que votre programme de sécurité gagne en maturité, vous personnalisez le scan agentless selon des besoins spécifiques. Créez des politiques personnalisées avec open policy agent (OPA) et son langage de politiques Rego pour appliquer des règles de sécurité propres à votre organisation, au-delà des référentiels de conformité standard. Par exemple, exigez des balises spécifiques sur toutes les ressources de production ou bloquez les bases de données exposées sur internet.

Ajustez les algorithmes de notation des risques pour prioriser certains actifs ou environnements comme plus critiques. Les résultats s’alignent ainsi avec votre contexte métier et votre tolérance au risque.

L’intégration avec votre écosystème de sécurité global amplifie la valeur. Configurez des webhooks pour envoyer les résultats prioritaires directement à votre SIEM en vue d’une corrélation avec d’autres événements de sécurité. Connectez-vous à des systèmes de ticketing comme Jira ou ServiceNow pour automatiser les workflows de remédiation.

Vous créez également des détecteurs personnalisés pour :

  • Shadow IT : ressources ou services cloud non autorisés ;

  • Dérive de configuration : ressources qui s’écartent des référentiels approuvés ;

  • Violations de conformité : exigences réglementaires spécifiques à votre secteur ;

  • Anomalies de coûts : schémas de dépenses inhabituels qui signalent des problèmes de sécurité.

Comment Wiz transforme le scan agentless pour la sécurité cloud moderne

Wiz Cloud analyse votre environnement cloud en mode agentless pour extraire les métadonnées brutes nécessaires à une évaluation complète des risques. Cette approche offre une visibilité totale sur l’ensemble de votre infrastructure cloud (machines virtuelles, containers, fonctions serverless, pipelines d’IA) en quelques minutes, sans aucun impact sur les performances de vos workloads.

L’architecture agentless présente des avantages significatifs par rapport aux outils traditionnels. Vous n’accordez que des permissions selon le principe du moindre privilège (PoLP), et non un accès administrateur. Les nouveaux connecteurs se créent en quelques minutes et vous ajoutez de nouvelles permissions aux connecteurs existants à mesure que les fonctionnalités évoluent. Chaque workload est automatiquement détecté et analysé, éliminant les angles morts. La plateforme exploite les API et les services des fournisseurs cloud pour toutes les opérations de scan, garantissant évolutivité et fiabilité sans consommer les ressources CPU, mémoire ou de calcul de vos workloads.

Le Wiz Security Graph utilise les données du scan agentless pour construire un modèle contextuel approfondi de votre environnement. Il cartographie chaque ressource, permission, vulnérabilité et configuration pour analyser les combinaisons toxiques de risques qui créent de véritables chemins d’attaque. Au lieu de milliers d’alertes isolées, vous obtenez une file d’attente priorisée de problèmes critiques réellement importants.

Wiz unifie des outils auparavant séparés comme une solution CSPM, un CWPP, un CIEM et une DSPM en une seule plateforme agentless. La corrélation bidirectionnelle code-to-cloud de la plateforme retrace les problèmes découverts à l’exécution par le scan agentless jusqu’au code spécifique et au développeur qui l’a écrit.

Cette approche globale élimine la prolifération d’outils tout en fournissant une source unique de vérité sur les risques cloud, avec un déploiement rapide et une valorisation immédiate qui s’adapte sans effort aux environnements cloud les plus vastes. Découvrez par vous-même comment Wiz sécurise les plus grands environnements cloud : Voir Wiz en action.

Découvrez Wiz en action

Voyez comment Wiz vous aide à identifier, prioriser et corriger rapidement les risques dans vos environnements cloud.

Pour plus d’informations sur la façon dont Wiz traite vos données personnelles, veuillez consulter notre Politique de confidentialité.