Résoudre les problèmes de la chaîne d’approvisionnement des logiciels avec le CNAPP
Alors que de plus en plus d’organisations se tournent vers le développement d’applications cloud natives pour prendre en charge de nouvelles fonctionnalités commerciales et des initiatives de transformation numérique, les problèmes de chaîne d’approvisionnement en logiciels sont devenus plus visibles. Étant donné que le développement natif du cloud s’appuie fortement sur les logiciels open source, les entreprises doivent commencer à réfléchir aux composants qui entrent dans ces applications.
Pour créer ces applications cloud natives, les développeurs ont adopté des pratiques de développement d’applications agiles et des cycles de publication rapides, et ils s’appuient fortement sur le code open source et les microservices d’une communauté largement distribuée et souvent vaste pour composer leurs conteneurs et leurs fonctions sans serveur. Bien que le code source puisse provenir principalement d’un écosystème établi, il est courant que certains proviennent de sources inconnues ou de projets obsolètes.
Les approches de sécurité traditionnelles ne sont pas conçues pour gérer cette nouvelle approche du développement d’applications, en particulier pour le calcul cloud moderne et les architectures sans serveur. C’est le domaine dans lequel les plates-formes de protection des applications natives du cloud (CNAPP) ont évolué. Gartner décrit CNAPP comme « un ensemble intégré de fonctionnalités de sécurité et de conformité conçues pour aider à sécuriser et à protéger les applications cloud natives tout au long du développement et de la production ».
Selon un récent rapport de Frost & Sullivan, les ventes de CNAPP ont dépassé 1,7 milliard de dollars en 2021, soit près de 49 % de plus qu’en 2020. Frost & Sullivan prévoit que les revenus de CNAPP augmenteront à un taux de croissance annuel composé de près de 26 % de 2021 à 2026. Anh Tien Vu, auteur du rapport et responsable de l’industrie de la cybersécurité mondiale, prévoit que d’ici 2026, les revenus dépasseront 5,4 milliards de dollars « en raison de la demande croissante d’une plate-forme de sécurité cloud unifiée qui renforce la sécurité de l’infrastructure cloud et protège les applications et les données tout au long de leur cycle de vie ».
Prévenir les problèmes pendant le développement
Les attaquants se concentrent de plus en plus sur des cibles natives du cloud pour exploiter les vulnérabilités qui pénètrent dans la chaîne d’approvisionnement des logiciels. L’année dernière, la vulnérabilité Log4Shell dans la bibliothèque d’exécution Java Log4j largement déployée a illustré l’impact important qu’une telle vulnérabilité peut avoir sur l’écosystème d’applications. Compte tenu du déploiement distribué à grande échelle des applications Java, les organisations ont dû se démener pour les trouver et les corriger après la divulgation publique de la Fondation Apache.
« Avec Log4j, les gens ne savaient pas si ces bibliothèques étaient utilisées ou non », explique Melinda Marks, analyste senior de l’Enterprise Strategy Group. Les experts citent fréquemment Log4j comme un signal d’alarme pour les RSSI et les DSI que les cycles de vie du développement logiciel doivent collaborer plus étroitement et se décaler vers la gauche.
Marks affirme que le CNAPP permet aux organisations d’établir des processus DevSecOps dans lesquels les développeurs de logiciels prennent l’initiative de découvrir les failles potentielles du code avant de déployer les runtimes d’application en production, mais cela va également plus loin.
« C’est important pour éviter les problèmes de sécurité avant de déployer vos applications dans le cloud, car une fois que vous les avez déployées, elles sont disponibles pour les pirates », déclare Marks.
Surveiller le temps d’exécution pour identifier les priorités
Les CNAPP consolident les capacités cloisonnées, y compris l’analyse des artefacts de développement, tels que les conteneurs et l’infrastructure en tant que code (IaC), la gestion de la posture de sécurité du cloud (CSPM), la gestion de l’infrastructure du cloud (CIEM) et les plates-formes de protection de la charge de travail du cloud d’exécution. En plus de fournir une approche plus unifiée et une meilleure visibilité du risque des environnements informatiques natifs du cloud, le CNAPP fournit des contrôles communs pour atténuer les vulnérabilités.
Notamment, le CNAPP facilite également la collaboration entre les équipes de développement d’applications, de cybersécurité et d’infrastructure informatique, ouvrant la voie à la détection et à l’atténuation des vulnérabilités avant que les applications ne soient déployées en production. Les fournisseurs de sécurité tels que Check Point et Palo Alto Networks ajoutent des fonctionnalités CNAPP à leurs plates-formes de sécurité.
Marks met en garde contre une idée fausse concernant le déplacement de la sécurité vers la gauche : qu’il s’agit de faire passer la sécurité au premier plan dans les cycles de développement et de construction de logiciels.
« Il est également nécessaire de lier la surveillance de l’exécution et d’avoir ce contexte pour les flux de travail des développeurs, afin qu’ils ne perdent pas de temps à réparer des choses qui n’ont aucun impact sur la façon dont l’application va réellement fonctionner dans le cloud », dit-elle.