CNAPP et CSPM 2025 : Construire correctement la sécurité native du cloud

1 min de lecture

Les configurations incorrectes sont la cause la plus fréquente des incidents de sécurité dans le cloud – non pas des attaques sophistiquées, mais un bucket S3 mal configuré ou un rôle IAM trop permissif. Le Cloud Security Posture Management (CSPM) et l’approche plus large CNAPP sont les réponses de l’industrie à ce problème structurel.

L’essentiel

CSPM détecte automatiquement les configurations incorrectes : surveillance continue de la conformité contre les benchmarks CIS, AWS Well-Architected, ISO 27001.
CNAPP est le terme générique : combine CSPM, CWPP (protection des charges de travail) et CIEM (gestion des autorisations) dans une plateforme.
Déplacement de la sécurité vers la gauche : intégration des vérifications de sécurité dans la pipeline CI/CD – et non pas seulement en production.
Terme de Gartner depuis 2021 : CNAPP s’est établi comme une catégorie standard, tous les grands fournisseurs de sécurité ont des solutions CNAPP.
Compatible multi-cloud : les plateformes CNAPP modernes couvrent AWS, Azure et GCP simultanément.

CSPM : Ce qu’il fait et pourquoi c’est nécessaire

Un outil de Cloud Security Posture Management se connecte aux API cloud et vérifie en continu la configuration de toutes les ressources contre des normes de sécurité définies. Résultat : une vue d’ensemble de toutes les configurations incorrectes, priorisées par gravité, avec des recommandations de remédiation.

Découvertes typiques : buckets S3 accessibles au public, groupes de sécurité avec des accès 0.0.0.0/0, absence de chiffrement au repos, compte root sans MFA, comptes de service surprivilégiés. Dans la plupart des environnements cloud, il y a des centaines de telles découvertes – CSPM les rend visibles et priorisables.

CNAPP : L’approche globale

CNAPP (Cloud-Native Application Protection Platform) est le terme de Gartner pour une plateforme intégrée qui combine plusieurs disciplines de sécurité cloud :

CSPM : surveillance de la configuration de l’infrastructure.

CWPP (Cloud Workload Protection) : sécurité des machines virtuelles, des conteneurs et des fonctions sans serveur en temps réel.

CIEM (Cloud Infrastructure Entitlement Management) : qui a quelles autorisations dans le cloud ? Mise en œuvre du principe du moindre privilège.

SAST/DAST dans CI/CD : vérifications de sécurité dans le code et dans la pipeline de déploiement, avant que quelque chose ne passe en production.

L’avantage : une plateforme, un modèle de données, une interface pour l’équipe de sécurité cloud – au lieu d’intégrer quatre outils différents.

Aperçu du marché et introduction

Principaux fournisseurs en 2025 : Wiz, Palo Alto Prisma Cloud, Microsoft Defender for Cloud (pour les environnements lourds Azure), Crowdstrike Falcon Cloud Security, Sysdig et Lacework. Wiz s’est particulièrement rapidement imposé avec une approche sans agent.

Introduction sans budget important : Les trois principaux fournisseurs de cloud disposent de fonctionnalités CSPM de base natives : AWS Security Hub, Azure Security Center, GCP Security Command Center. Ceux-ci sont gratuits (ou inclus dans le service) et constituent un bon point de départ.

Priorisation : Ne pas essayer de résoudre toutes les 500 découvertes d’un coup. Commencer par les configurations incorrectes critiques (stockage public, absence de chiffrement, sécurité du compte root) et procéder de manière systématique.

Faits clés en un coup d’œil

Cause des incidents de sécurité dans le cloud : 80 % dus à des configurations incorrectes (Gartner)

Taille du marché CNAPP en 2025 : ~7,5 milliards USD (IDC)

Taux de croissance : 25 %+ par an (segment de sécurité cloud à la croissance la plus rapide)

Configurations incorrectes moyennes : Les environnements d’entreprise ont en moyenne 200 à 400 découvertes CSPM actives

CSPM natif sans coût supplémentaire : AWS Security Hub, Azure Security Center, GCP SCC – tous disponibles gratuitement

Fait : Gartner prévoit que d’ici 2027, environ 80 % des entreprises utiliseront une plateforme CNAPP pour sécuriser de manière globale les charges de travail cloud – contre 15 % en 2023.

Fait : Selon le rapport CrowdStrike Cloud Threat Report 2025, les configurations incorrectes sont la cause la plus fréquente des incidents de sécurité cloud avec 36 % des cas.

Questions fréquentes

Quelle est la différence entre CSPM et CNAPP ?

CSPM est une sous-catégorie : il surveille la configuration de l’infrastructure cloud. CNAPP est le terme générique pour une plateforme intégrée qui combine CSPM, la protection des charges de travail, la gestion des autorisations et la sécurité CI/CD.

Ai-je besoin d’un agent pour CNAPP ?

Pas nécessairement. Les approches sans agent (par exemple, Wiz) n’utilisent que les API cloud – sans installation sur les machines virtuelles ou les conteneurs. Les approches basées sur des agents fournissent plus d’informations en temps réel, mais sont plus coûteuses à exploiter. Pour le démarrage, les solutions sans agent sont souvent plus pragmatiques.

Qu’est-ce que CIEM et pourquoi est-ce important ?

La gestion des autorisations de l’infrastructure cloud analyse qui a quelles autorisations dans le cloud – et compare cela avec ce qui est réellement utilisé. Le résultat : un rapport de moindre privilège avec des centaines de comptes surprivilégiés. Les attaquants recherchent précisément ces comptes.

CNAPP peut-il être intégré dans les processus DevOps ?

C’est le cœur de la « sécurité décalée vers la gauche ». Les plateformes CNAPP modernes disposent de plugins pour GitHub Actions, GitLab CI, Jenkins et autres outils CI/CD. L’infrastructure-as-code est vérifiée pour les configurations incorrectes avant le déploiement.

Quel outil recommandez-vous pour commencer ?

Pour le démarrage : activer les outils cloud natifs (AWS Security Hub / Azure Security Center) – gratuits et rapides. Pour une utilisation plus professionnelle : évaluer Wiz ou Palo Alto Prisma Cloud. Les deux offrent des essais gratuits et des programmes POC.