Wiz
Tous les articles

Qu’est-ce qu’une CNAPP ? [Plateforme de protection des applications cloud-native]

Équipe d'experts Wiz
14 minute de lecture
Guide CNAPP de GartnerVoir la démo de 12 min
Points clés

  • Les CNAPP consolident plusieurs technologies de sécurité cloud, notamment le CSPM, les CWPP, le CIEM, l’analyse IaC, et plus encore.

  • Un CNAPP doté d’un ensemble de fonctionnalités entièrement intégrées permet de mieux prioriser les risques en les corrélant et en identifiant les chemins d’attaque critiques.

  • Les CNAPP sans agent permettent aux organisations de sécuriser l’ensemble de leur environnement en quelques minutes en analysant les ressources via les API du fournisseur cloud.

  • Un CNAPP complet offre une stratégie de sécurité cloud globale, fondée sur le principe de la défense en profondeur.

Qu’est-ce qu’une CNAPP : définition

Une plateforme de protection des applications cloud-native (CNAPP) ou Cloud-Native Application Protection Platform en anglais est une plateforme de sécurité cloud qui permet de protéger l’ensemble du cycle de vie des applications cloud-native, de leur développement à leur exécution en production. Une CNAPP regroupe donc plusieurs fonctionnalités essentielles qui se trouvent traditionnellement dans des outils distincts comme la gestion de la posture de sécurité cloud (CSPM), la protection des workload dans le cloud (CWPP), la gestion des droits d'accès à l'infrastructure cloud (CIEM) ou encore l’analyse de l’infrastructure en tant que code (IaC). 

Ainsi, cette approche globale simplifie considérablement la sécurité du cloud en remplaçant une multitude d’outils cloisonnés par une solution unique conçue pour s’adapter à la complexité et à l’agilité des environnements cloud modernes. Enfin, en renforçant les pratiques DevOps et DevSecOps, une CNAPP permet également d'automatiser les contrôles de sécurité, d’améliorer la conformité de façon continue et de réduire les risques liés aux erreurs humaines.

CNAPP : les origines

Le terme CNAPP a été utilisé pour la première fois par Gartner en 2021. Pour Gartner, une CNAPP est donc « un ensemble unifié et étroitement intégré de fonctionnalités de sécurité et d’outils de conformité destiné à sécuriser les applications cloud-native tout au long de leur cycle de vie. »

D’ici 2029, 60 % des entreprises qui n’auront pas adopté une CNAPP unifiée au sein de leur architecture cloud perdront en visibilité sur leur surface d’attaque cloud, compromettant ainsi leurs efforts vers une stratégie Zero Trust efficace.

Gartner® Market Guide for Cloud-Native Application Protection Platforms (CNAPP)

In this report, Gartner offers insights and recommendations to analyze and evaluate emerging CNAPP offerings.

Download Report

Pourquoi utiliser une CNAPP : les défis actuels de la sécurité du cloud

Un environnement en constante évolution, propice à de nouveaux risques

Aujourd’hui, le cloud offre une flexibilité sans précédent. Ainsi, il suffit de quelques clics pour réussir à déployer des machines virtuelles, des conteneurs ou des fonctions serverless. Mais, cette agilité a un revers. En effet, l’environnement cloud est par nature complexe, dynamique et évolutif. Il peut donc changer à tout moment, ce qui rend sa sécurisation particulièrement difficile.

Cette facilité d’usage introduit également de nouvelles vulnérabilités. Par exemple, on peut exposer involontairement une ressource sur Internet avec des conséquences potentiellement graves. En fait, plus il y a de services et de configurations dans un environnement, plus la surface d’attaque potentielle s’élargit, ce qui multiplie les risques de sécurité. Or, une bonne solution CNAPP permet de reprendre le contrôle sur tout cela en apportant un outil de sécurité continue, automatisé et conçu pour faire face aux menaces propres aux environnements basés sur le cloud.

Manque de visibilité et zones d’ombre

Malheureusement, de nombreuses entreprises s’appuient encore sur des outils traditionnels pour surveiller leurs environnements cloud. Or, ces outils sont souvent basés sur des agents. Mais, ces agents doivent être installés et configurés pour chaque ressource, ce qui laisse inévitablement des angles morts de sécurité. Certaines parties d’un environnement cloud vont donc rester inaccessibles aux outils de sécurité existants ce qui augmente les risques de passer à côté d’un problème critique.

Pourtant, une CNAPP est capable de contourner ces limites en offrant une visibilité complète sur son environnement cloud sans dépendre exclusivement des agents pour détecter les menaces là où elles se trouvent réellement.

Outils isolés, sécurité fragmentée

On l’a vu, les organisations utilisent souvent une grande quantité d’outils spécialisés pour gérer différents aspects de leur sécurité cloud : vulnérabilités, données, conteneurs, configurations, etc. Malheureusement, ce morcellement complique la lecture globale du risque car chaque solution fonctionne en silo sans partager le contexte nécessaire pour évaluer la réelle criticité des menaces détectées.

Selon le rapport Gartner sur le marché des CNAPP,

“Ce manque d’intégration crée des points de vue fragmentés sur le risque encouru avec un contexte individuel insuffisant, ce qui rend difficile la hiérarchisation du risque réel.”

Ainsi, cette approche dispersée entraîne une perte de cohérence dans la gestion des risques et une charge opérationnelle accrue puisque chaque outil nécessite des compétences spécifiques et un processus dédié. Pourtant, une CNAPP permet d’unifier toutes ces fonctionnalités au sein d’une plateforme unique pour un pilotage centralisé et bien plus efficace.

Trop d’alertes, pas assez de priorisation

En outre, lorsqu’ils fonctionnent de manière isolée, tous ces outils de sécurité génèrent un grand volume d’alertes. Mais, ils ne fournissent pas le contexte nécessaire pour évaluer leur gravité. Par exemple, de manière générale, on ne considère pas comme critique une vulnérabilité détectée sur une machine si celle-ci n’est pas exposée à Internet ou si elle n’a pas de privilèges élevés. Malheureusement, peu d’outils actuels sont capables de faire cette distinction.

Ainsi, cette surcharge d’alertes provoque une forme de lassitude chez les équipes de sécurité qui ont du mal à repérer les risques réellement critiques parmi toutes ces notifications. Pourtant, en croisant les différents signaux reçus et en leur donnant le bon contexte, une CNAPP permet de hiérarchiser intelligemment les risques détectés pour concentrer ses efforts là où ils comptent vraiment.

Une collaboration difficile entre sécurité et développement

Enfin, les équipes de sécurité sont responsables de la protection du cloud. Mais, ce sont les développeurs qui déploient et modifient les ressources qui s’y trouvent. Or, cette séparation crée souvent des frictions. En effet, la sécurité est souvent perçue comme un frein au développement et les développeurs n’ont pas toujours les outils ou la visibilité nécessaire pour comprendre et corriger les risques de sécurité encourus.

Pourtant, en agissant comme une passerelle entre sécurité et développement, une CNAPP favorise la collaboration DevSecOps en intégrant la sécurité dès les premières étapes du développement et en fournissant aux développeurs le contexte nécessaire pour agir de manière autonome et responsable.


Les avantages clés d’une CNAPP pour la sécurité cloud

CNAPP : élimination des angles morts grâce à une visibilité sans agent

Une CNAPP (Cloud-Native Application Protection Platform) permet de sécuriser l’ensemble de son environnement cloud sans avoir recours à des agents installés manuellement. En effet, une CNAPP va détecter et protéger automatiquement les nouvelles workload cloud, assurant ainsi une couverture complète tout en éliminant les zones d’ombre dans sa posture de sécurité. De cette manière, on renforce la protection de son environnement tout en simplifiant son déploiement à grande échelle.

CNAPP : déploiement rapide et automatisé

Grâce à son fonctionnement sans agent, une CNAPP peut être déployée en quelques minutes. En effet, elle utilise les API des principaux fournisseurs de cloud pour identifier les ressources actives. Ainsi, elle peut sécuriser son infrastructure dès le départ sans ralentir les cycles d’innovation. C’est donc un gain de temps considérable pour les entreprises qui évoluent dans des environnements dynamiques et distribués.

CNAPP : efficacité opérationnelle renforcée

La gestion d’agents de sécurité est souvent lourde, coûteuse et mal adaptée aux workload éphémères. En outre, elle peut ralentir les performances et générer des frictions avec les équipes DevOps. En adoptant une CNAPP sans agent, les entreprises réduisent donc leurs coûts opérationnels, la complexité de leur gestion de posture de sécurité et les obstacles techniques qui freinent parfois l’innovation. On peut alors se concentrer sur l’essentiel : le développement et la protection de ses applications.

CNAPP : unification de la gestion des risques

Une CNAPP centralise la détection et l’évaluation des risques liés aux vulnérabilités, aux expositions réseau, aux secrets, aux identités, aux données sensibles et aux malwares. En outre, grâce à un moteur de risque unifié, elle corrèle automatiquement ces signaux pour comprendre comment ils s’assemblent en véritables chemins d’attaque. Ainsi, on peut détecter les menaces critiques en temps réel et prioriser efficacement ses actions sans avoir à croiser manuellement les données de plusieurs outils distincts.

CNAPP : contexte visuel basé sur des graphiques

Les CNAPP modernes s’appuient sur des graphiques de sécurité visuels pour représenter clairement les relations entre les ressources cloud, les risques et les privilèges. Cette méthode rend les scénarios de risque plus compréhensibles même pour les profils non techniques et permet d’analyser intuitivement les chemins d’attaque potentiels. Ainsi, on peut réagir plus efficacement et prendre rapidement les meilleures décisions possibles.

CNAPP : hiérarchisation intelligente des risques

En intégrant l’ensemble de ses données de sécurité cloud au sein d’une plateforme unique, une CNAPP permet de prioriser les menaces en fonction de leur impact potentiel réel. Ainsi, elle établit une file d’attente centralisée et hiérarchisée des risques pour pouvoir concentrer ses efforts sur les problèmes les plus critiques en mettant au second plan les alertes moins urgentes.

CNAPP : sécurité proactive grâce à l’approche shift left

Une CNAPP moderne s’intègre directement dans l’environnement de développement (IDE), là où les développeurs écrivent leur code. Elle identifie les vulnérabilités, secrets exposés et erreurs de configuration dès les premières étapes, bien avant que le code n’atteigne les pipelines CI/CD. En traitant les risques à la source, elle limite les incidents en production et accélère la sécurisation continue des applications, tout en s’adaptant au rythme rapide des équipes de développement.

CNAPP : détection et réponse contextualisées aux menaces

Pour défendre efficacement un environnement cloud, il ne suffit pas de détecter les signaux d’alerte. Il faut également les comprendre dans leur contexte global. Ainsi, une CNAPP corrèle les événements d’exécution, les signaux réseau et les données cloud pour détecter les menaces en temps réel et anticiper les chemins d’attaque potentiels. De cette manière, elle permet de réagir plus rapidement aux menaces, de limiter l’impact d’une intrusion et d’améliorer sa posture de défense face aux attaques cloud-native.

Comment fonctionne une CNAPP pour sécuriser un environnement cloud

1. Une visibilité complète sur l’ensemble de son environnement cloud

  • Une couverture multi-cloud sans compromis : une plateforme de protection des applications cloud-native (CNAPP) offre une visibilité unifiée sur l’ensemble de ses environnements cloud qu’ils soient déployés sur AWS, Azure, GCP, Alibaba, OCI ou tout autre fournisseur. Ainsi, elle centralise toutes les informations de sécurité pour garantir une protection cohérente quel que soit l’endroit où s’exécutent vos workload.

  • Une visibilité granulaire sur toutes les ressources : des machines virtuelles aux fonctions serverless en passant par les conteneurs, bases de données et services gérés, une CNAPP fournit une vue complète de chaque ressource cloud. Ainsi, elle normalise les données issues de différents fournisseurs pour offrir une plateforme homogène, facilitant la surveillance et l’analyse transversale des environnements hybrides et multi-clouds.

  • Une couverture complète des risques : une CNAPP intègre tous les facteurs de risque critiques : vulnérabilités, expositions réseau, fuites de secrets, malwares, identités mal configurées, données sensibles et plus encore. De cette manière, elle associe prévention et détection en temps réel pour fournir une vision globale et à jour de votre posture de sécurité cloud.

  • Suppression des angles morts avec une approche sans agent : contrairement aux solutions traditionnelles basées sur des agents, une CNAPP exploite les API des fournisseurs cloud pour détecter automatiquement les ressources et workload sans aucune configuration manuelle. Cette méthode garantit une couverture totale et sans angle mort tout en réduisant les efforts de déploiement et de maintenance.

2. Une plateforme unifiée pour remplacer les outils fragmentés

  • Sécurité centralisée et cohérente : plutôt que d’utiliser une multitude d’outils spécialisés, une CNAPP fournit une plateforme intégrée qui couvre tous les domaines de la sécurité du cloud. Cela permet d’avoir des processus homogènes, de réduire les silos d’information et d’alléger la charge opérationnelle. En effet, selon Gartner, les meilleures CNAPP offrent une intégration native de bout en bout plutôt que des modules faiblement connectés.

  • Moteur de gestion des risques unifié : une CNAPP déploie toutes les fonctions de sécurité essentielles comme la CSPM, la CWPP, la CIEM, la DSPM, la KSPM et l’analyse IaC. Ainsi, cet outil unifié permet de détecter et de corréler automatiquement les risques à travers toute son infrastructure cloud, garantissant une évaluation fiable de la dangerosité des menaces détectées.

  • Une stratégie de défense en profondeur : en alliant prévention proactive, visibilité continue et détection avancée des menaces, une CNAPP adopte une stratégie complète de sécurité du cloud pour une défense totale. Ainsi, elle associe des mécanismes sans agent et, si nécessaire, des agents légers pour la protection du runtime. De cette manière, une CNAPP assure une couverture complète tout au long du cycle de vie des workload.

  • Une console unique pour tout gérer : une CNAPP efficace offre une interface unique et un modèle de données cohérent pour visualiser l’ensemble des risques encourus. Ainsi, grâce à des graphiques de sécurité clairs et visuels, elle met en lumière les combinaisons de facteurs de risque pouvant mener à des chemins d’attaque, ce qui simplifie grandement la priorisation des tâches et la prise de décision.

3. Priorisation intelligente des risques grâce au contexte

  • Comprendre le contexte, pas seulement les signaux : en analysant les relations de son environnement cloud grâce à une base de données graphe, une CNAPP permet de comprendre la portée réelle des risques détectés. Ainsi, elle identifie les chemins d’attaque potentiels en reliant les vulnérabilités à l’exposition réseau, aux privilèges ou aux données sensibles et révèle les scénarios vraiment critiques.

  • Hiérarchisation efficace des menaces : plutôt que de submerger les équipes de sécurité avec des alertes non contextualisées, une CNAPP met en avant les risques les plus urgents, c’est-à-dire ceux qui présentent un réel danger pour l’organisation. Justement, Gartner recommande d’adopter des CNAPP dotées de fonctions d’analyse avancée reposant sur un graphe de sécurité pour hiérarchiser les priorités de manière pertinente.

4. Une passerelle entre les équipes Dev et Sec

  • Intégration sécurisée dans les pipelines CI/CD : une CNAPP efficace facilite l’approche shift left en intégrant des contrôles de sécurité directement dans le cycle de développement. Ainsi, en identifiant les risques dès les premières phases du cycle de vie du logiciel, elle permet de prévenir les erreurs avant qu’elles n’atteignent la production, ce qui accélère d’autant la livraison de code sécurisé.

  • Accélérer le développement tout en restant protégé : grâce à une priorisation intelligente et un contexte clair, les développeurs reçoivent des alertes exploitables, ciblées et pertinentes. Cela leur permet de corriger rapidement les vulnérabilités associées à leurs ressources sans freiner l’agilité de livraison. Ainsi, vous pouvez compter sur un développement plus rapide et plus sûr.

Les principales fonctionnalités d'une CNAPP

Une CNAPP (Cloud-Native Application Protection Platform) regroupe de manière transparente plusieurs solutions de sécurité cloud traditionnellement indépendantes en les unifiant au sein d’une plateforme cohérente et intégrée. Cette agrégation permet une corrélation efficace des données, une meilleure visibilité et une hiérarchisation intelligente des risques sur l’ensemble du cycle de vie des applications cloud-natives. Voici les fonctionnalités clés que propose une CNAPP.

CSPM : gestion de la posture de sécurité du cloud

La CSPM pour Cloud Security Posture Management en anglais est une pratique qui fournit une visibilité continue sur la configuration des ressources cloud en s’assurant qu’elles respectent les bonnes pratiques du secteur et les cadres de conformité obligatoires. Ainsi, elle va identifier automatiquement les erreurs de configuration, appliquer des règles prédéfinies ou personnalisées selon vos besoins et corriger les ressources non conformes. Enfin, en intervenant dès la phase de développement, la CSPM permet d’éviter que des configurations erronées ne soient propagées en production, garantissant ainsi une sécurité préventive et conforme à toutes les réglementations actuelles dès la conception.

CWPP : plateforme de protection des workload cloud 

La CWPP ou Cloud Workload Protection Platform en anglais est une solution de sécurité qui assure la protection des workload dans le cloud comme les machines virtuelles, conteneurs et fonctions serverless sans dépendre d’agents lourds. Ainsi, elle détecte les vulnérabilités, les secrets exposés, les logiciels malveillants et les erreurs de configuration aussi bien en production que dans les pipelines CI/CD. En complément, la CWPP utilise un agent léger pour assurer une détection en temps réel au sein des workload, renforçant la sécurité sans jamais compromettre la performance.

CIEM : gestion des droits d'infrastructure cloud 

La CIEM pour Cloud Infrastructure Entitlement Management en anglais est une solution de sécurité qui gère et optimise les droits d’accès dans les environnements cloud. Ainsi, elle analyse les autorisations effectives des utilisateurs et des services pour détecter les accès excessifs ou risqués. En outre, la CIEM est capable d’appliquer le principe du moindre privilège (PoLP) pour réduire la surface d’attaque potentielle et prévenir les fuites de secrets ou d’informations d’identification sensibles.

KSPM : gestion de la posture de sécurité de Kubernetes

La KSPM ou Kubernetes Security Posture Management en anglais est une pratique qui automatise la sécurité des environnements Kubernetes en offrant une visibilité complète sur les clusters, conteneurs et nœuds de son environnement. Par exemple, elle détecte les vulnérabilités, les erreurs de configuration, les permissions excessives, les secrets exposés et les problèmes réseau. En corrélant tous ces éléments, la KSPM fournit donc un contexte précis pour hiérarchiser les risques de sécurité et favorise une approche shift left en permettant de détecter et de corriger les problèmes dès la phase de développement.

DSPM : gestion de la posture de sécurité des données

La DSPM ou Data Security Posture Management en anglais est une pratique qui vise à protéger les données sensibles dans le cloud en identifiant leur emplacement dans les buckets, volumes, bases de données ou systèmes d’exploitation. En outre, elle analyse la façon dont les données sont configurées, utilisées et déplacées dans l’environnement cloud. Ainsi, en corrélant les risques liés aux données avec leur contexte réel, une DSPM entièrement intégrée permet d’identifier les chemins d’attaque potentiels et de prioriser les actions correctives avant qu’une fuite ne survienne.

CDR : détectez, investiguez et répondez aux menaces du cloud

La CDR pour Cloud detection and response en anglais est le nouveau standard pour détecter, investiguer et répondre aux menaces du cloud en temps réel. Ainsi, elle surveille en continu l’activité dans l’environnement cloud pour identifier des comportements suspects tels que l’exécution de code malveillant, les élévations de privilèges, les mouvements latéraux ou le minage de cryptomonnaie. En outre, en corrélant automatiquement les menaces à travers tous les signaux, les journaux d’audit et les événements en temps réel, elle offre une vision claire des tentatives d’attaque et permet une réponse rapide et ciblée pour limiter les impacts potentiels.

L’avenir des CNAPP

Detailed view of CNAPP capabilities (Source: Gartner)

Malgré la quantité d’outils disponibles aujourd’hui, il est encore difficile pour les équipes de sécurité de mesurer de manière fiable le niveau réel de protection de leurs ressources dans le cloud. Or, les CNAPP viennent combler ce manque en offrant une vision claire et utilisable de l’état de sécurité actuel de son environnement cloud. Ainsi, elles permettent aux développeurs de valider leurs bonnes pratiques et aux responsables sécurité de s’assurer qu’aucune zone d’ombre ne vient compromettre leurs ressources.

C’est pourquoi, on peut être certain que les CNAPP vont continuer de s’imposer comme la norme incontournable pour garantir la sécurité dans les environnements cloud. En effet, grâce à leur approche globale, elles sont devenues des outils véritablement accessibles et exploitables concrètement aussi bien par les équipes de développement que par les équipes opérationnelles. Ainsi, chacun peut prendre une part active à la sécurisation de ses ressources cloud dès les premières étapes du cycle de vie applicatif.

Mais, comme dans tout domaine émergent, il est plus facile de faire un beau discours plutôt que de proposer un outil réellement efficace. C’est pourquoi, vous devez avoir toutes les cartes en main avant de pouvoir choisir la solution CNAPP qui sera véritablement capable de s’adapter aux besoins spécifiques de votre organisation et aux évolutions constantes de votre infrastructure cloud.

L’approche CNAPP selon Wiz

(Source: G2)

Wiz se distingue par une approche moderne, centrée sur la simplicité, la visibilité et l’efficacité. Voici les fondements de sa solution CNAPP.

  • Architecture 100 % sans agent : Wiz s’intègre sans déployer d’agents sur vos ressources, facilitant ainsi sa mise en œuvre sans impact sur les performances de vos workload cloud. Cette architecture simplifie considérablement la gestion opérationnelle.

  • Visibilité complète sur votre environnement cloud : Wiz offre une couverture exhaustive quelles que soient vos ressources ou vos fournisseurs (AWS, Azure, GCP, etc.). Ainsi, vous bénéficiez d’une vue unifiée de tous les risques associés à votre infrastructure cloud.

  • Modélisation à l’aide d’une base de données graphe: en construisant une cartographie intelligente de toutes vos ressources et de leurs relations, Wiz identifie les chemins d’attaque potentiels et met en lumière les vulnérabilités les plus critiques à corriger en priorité.

  • Hiérarchisation intelligente et priorisation des risques : grâce à une analyse contextuelle basée sur le graphe de sécurité, Wiz permet de se concentrer sur les vraies menaces, évitant les alertes inutiles et optimisant les efforts des équipes de sécurité.

  • Une plateforme de sécurité cloud unifiée : Wiz regroupe l’ensemble des fonctionnalités essentielles dans une seule solution. Gestion des vulnérabilités, détection des erreurs de configuration, protection des données sensibles, gestion des secrets, vous avez tout et plus encore.

“Wiz CNAPP centralise la sécurité de nos environnements cloud sur une plateforme unique. Toutes les données liées à la sécurité sont regroupées ensemble ce qui facilite leur exploitation par chaque équipe selon ses besoins. En plus, cette solution est suffisamment flexible pour permettre à chacun de se concentrer uniquement sur les éléments qui le concernent sans être noyé dans des informations superflues.”

Ralf Kleinfeld, Information Security Officer, OTTO

Alors, adoptez une approche proactive de la sécurité cloud avec Wiz. Essayez-le dès aujourd’hui ou demandez une démo gratuite pour protéger vos environnements cloud avec précision et simplicité.