Qu’est-ce qu’une plateforme de protection des workloads cloud (CWPP) ?

Les CWPP proposent des fonctionnalités extrêmement utiles de cybersécurité qui protègent contre les violations de données, minimisent les temps d’arrêt et garantissent la conformité réglementaire tout au long du cycle de vie des workloads. En voici quelques exemples : 

• Visibilité en temps réel : les CWPP surveillent toutes les workloads cloud actives jusqu’aux contrôles d’accès des points de terminaison individuels, et fournissent des informations importantes sur le système d’exploitation et les applications, notamment l’historique des versions et des correctifs.

• Détection avancée des menaces : les CWPP permettent de réduire la surface d’attaque de l’entreprise en détectant les vulnérabilités sur les plateformes cloud. Les outils de machine learning, de détection basée sur les signatures et sur l’analyse heuristique permettent de se défendre contre les logiciels malveillants et autres menaces.

• Conformité réglementaire améliorée : les CWPP aident les entreprises qui traitent des données sensibles, telles que les institutions financières et les établissements de santé, à assurer leur conformité réglementaire. Au-delà des simples pare-feux, elles permettent une automatisation et des contrôles de sécurité complets, conçus pour les applications cloud complexes. 

Les CWPP jouent un rôle important dans la gestion de la posture de sécurité cloud (CSPM) et sont généralement intégrées à une plateforme de protection des applications cloud natives (CNAPP).

Bien que moins robustes qu’une CNAPP, qui inclut la sécurité des applications, les CWPP permettent d’assurer la sécurité des workloads cloud en préservant l’intégrité, la confidentialité et la disponibilité des workloads. Les solutions CWPP protègent les workloads sur une large gamme d’architectures d’infrastructure et de workloads cloud, notamment : 

• Centres de données sur site : ressources bare metal traditionnelles situées dans les centres de données sur site. 

• Environnements cloud : clouds privés, clouds publics, variantes hybrides et multicloud. 

• Machines virtuelles : les machines virtuelles (VM) sont des serveurs simulés capables d’émuler un système informatique physique grâce à la virtualisation, ce qui permet d’exécuter plusieurs types de systèmes d’exploitation sur une seule et même machine physique. 

• Conteneurs : les paquets virtuels au niveau du système, appelés conteneurs, sont utilisés pour isoler et déployer les applications de manière cohérente dans différents environnements cloud. 

• Sans serveur : les fonctions sans serveur basées sur le cloud, telles que les mises à jour et les correctifs, peuvent être déployées sans avoir à gérer le code d’infrastructure sous-jacent.

Regroupés sur une plateforme unique, les CWPP offrent une cybersécurité globale grâce à une gamme d’outils de sécurité tels que la gestion des vulnérabilités, la prévention des intrusions, la protection de l’environnement d’exécution et la surveillance de la conformité. Cela permet aux équipes de sécurité de réagir et de résoudre rapidement les incidents.

Un CWPP efficace est un composant critique de toute stratégie de sécurité DevOps et DevSecOps pour le cloud computing. Adoptées par tous les secteurs qui s’appuient sur des plateformes et des applications cloud, les CWPP sont essentielles pour atténuer les risques et les menaces, et prévenir les problèmes de sécurité. 

Sous-jacentes à toute fonction de cloud computing, les workloads désignent les services, les applications ou encore les capacités qui consomment des ressources basées sur le cloud. En termes simples, une workload cloud est une combinaison de ressources, de processus et de tâches tertiaires nécessaires pour accéder aux services cloud. 

Une workload cloud peut contenir ressources, fonctionnalités de stockage de données et de mise en réseau, applications et diverses tâches de traitement permettant d’exécuter les requêtes. Les machines virtuelles, les bases de données, les applications, les microservices, les nœuds et bien d’autres éléments sont tous considérés comme des workloads et sont tous vulnérables aux menaces. 

Selon le Orca Security 2022 State of Cloud Security Report ¹, la plupart des entreprises utilisant des services cloud sont exposées à des risques élevés pesant sur leur sécurité, 81 % d’entre elles conservant des actifs publics non sécurisés. En général, sur l’ensemble des entreprises interrogées, 11 % des actifs stockés se sont révélés vulnérables à plusieurs menaces, dont les suivantes :   

• Infiltration de données : les violations de données se produisent lorsque des utilisateurs non autorisés accèdent à des fichiers protégés et menacent de corrompre, de voler ou de divulguer des informations sensibles. Selon le Rapport sur le coût d’une violation de données publié par IBM, le piratage des données stockées dans les clouds publics a généré le deuxième coût moyen le plus élevé, soit 4,68 millions de dollars USD.

• Non-respect de la conformité : les entreprises stockant des données clients telles que les dossiers médicaux et les numéros de carte bancaire dans le cloud sont soumises à des réglementations strictes en matière de cybersécurité. Selon le rapport IBM^® X-Force Threat Intelligence Index 2025, le vol de données représente 18 % des incidents de sécurité. Si les entreprises ne sécurisent pas les données des utilisateurs, elles s’exposent à des sanctions coûteuses, sans oublier la perte de confiance client.

• Pannes et temps d’arrêt : les vulnérabilités cloud sont des vecteurs d’attaque aux conséquences potentiellement dévastatrices, susceptibles de paralyser les entreprises et même les infrastructures publiques. Citons comme exemple l’attaque du Colonial Pipeline, qui a interrompu l’accès public et privé aux carburants sur la côte est des États-Unis, entraînant une perte de données chiffrée à 5 millions de dollars USD et des amendes de près d’un million de dollars. Néanmoins, le moindre incident de sécurité peut avoir un impact financier considérable. Le Rapport sur le coût d’une violation de données indique que les entreprises victimes de violation de données subissent des pertes s’élevant à 1,38 million de dollars USD en moyenne.

Alors que les services cloud continuent de se développer de manière spectaculaire avec la prolifération des applications SaaS (service à la demande), des offres PaaS (plateforme à la demande) et une main-d’œuvre de plus en plus distante, la protection des plateformes cloud devient encore plus importante et plus complexe.

Les ressources cloud étant réparties sur des plateformes hybrides et multicloud, chaque nouveau type d’environnement présente des défis et des paramètres uniques. Les CWPP défendent les entreprises contre les cybermenaces, atténuent les pannes et contribuent à assurer la conformité réglementaire dans des environnements cloud de plus en plus complexes.   

Les CWPP utilisent diverses méthodes et outils pour détecter et analyser automatiquement toutes les workloads actives dans un environnement cloud. Elles surveillent les réseaux, détectent les problèmes et appliquent les normes de sécurité adaptées.

Souvent, les équipes chargées des opérations de développement utilisent une méthode d’intégration continue et de déploiement continu (CI/CD), qui consiste à lancer les mises à jour des services cloud dès qu’elles sont disponibles et à itérer constamment sur diverses fonctionnalités. Les CWPP apportent une valeur ajoutée en suivant les nouveaux déploiements et en appliquant des protocoles de sécurité standardisés à mesure que les nouvelles fonctionnalités et mises à jour sont publiées. 

Les fonctionnalités des CWPP varient d’un fournisseur à l’autre. Cependant, divers experts en sécurité comme Gartner et Cloudstrike, ainsi que les fournisseurs de premier plan comme Amazon Web Service (AWS) et Azure Kubernetes Service (AKS), recommandent ces protections et fonctionnalités générales :

• Visibilité du réseau et découverte des workloads : la CWPP fournit un tableau de bord permettant aux utilisateurs autorisés de surveiller l’activité du réseau, des segments et des utilisateurs. Les administrateurs peuvent mettre en place des contrôles au niveau du système, tels que la mise sur liste blanche ou noire des applications, des ressources ou des activités, selon les politiques de sécurité prédéfinies et les bonnes pratiques en matière de sécurité.

• Analyse des vulnérabilités : les outils d’évaluation des vulnérabilités analysent automatiquement les workloads à la recherche de faiblesses ou d’erreurs de configuration avant le déploiement, ce qui favorise l’évolutivité. Les mesures de sécurité peuvent inclure les pare-feux, la détection des logiciels malveillants et la microsegmentation (diviser les plateformes en sous-sections pour ralentir et neutraliser les attaques). Les outils de détection et réponse aux menaces sur les terminaux (EDR) et de prévention des intrusions sur l’hôte protègent les workloads cloud contre les attaques et les infiltrations de serveurs externes. Les CWPP renforcent toutes les workloads cloud, nouvelles et existantes, en réduisant la surface d’attaque de l’entreprise et en favorisant une posture de sécurité shift-left et l’emploi de méthodes de sécurité Zero Trust.  

• Surveillance des configurations et de la conformité : les CWPP fournissent des diagnostics réseau constants, garantissant que l’ensemble du système cloud fonctionne comme prévu afin de prévenir toute erreur de configuration du cloud susceptible d’ouvrir la porte aux attaques. En outre, la surveillance comportementale recherche toute activité suspecte sur le réseau, qui pourrait indiquer une utilisation ou un accès non autorisés.

Autres exemples de services, de fonctionnalités et de capacités :

• Protection de l’environnement d’exécution

• Configurations de sécurité des conteneurs et de Kubernetes

• Sécurité des applications

• Intégration du pipeline CI/CD

• Sécurité des applications Web et des API (WaaS)

• Pare-feu d’application Web (WAF)

Certaines solutions CWPP sont plus adaptées que d’autres aux besoins spécifiques de l’entreprise en matière de workflows. Bien que toutes les CWPP prévoient des mesures de sécurité similaires, elles protègent chacune à sa manière. Les deux principaux types de CWPP sont la version traditionnelle, avec agent, et la version plus moderne, sans agent. 

Les CWPP traditionnelles, avec agents, exigent l’installation d’un agent logiciel sur chaque workload cloud. Les avantages des CVPP avec agents sont les suivants :

• Visibilité détaillée sur les workloads, le trafic réseau et les configurations système pour renforcer la surveillance.

• Détection des menaces en temps réel pour améliorer le temps de réponse aux menaces actives.

• Agents personnalisables qui peuvent être configurés pour répondre aux besoins de chaque workload ou catégorie de workload. 

Si les CWPP avec agents présentent certains avantages, elles sont également lentes à déployer et ralentissent souvent les workloads et les plateformes, ce qui ajoute des frais importants. Étant donné que les CWPP avec agents assurent la sécurité au niveau des workloads, les agents partiellement déployés créent des angles morts en matière de sécurité, et toute workload potentiellement déployée devient très vulnérable. 

Les CWPP sans agent sont intégrées à l’API du fournisseur de service cloud et évitent de devoir regrouper les workloads avec leurs propres agents. Cette méthode échange le contrôle granulaire et la surveillance en temps réel contre plusieurs avantages non négligeables :

• Vitesse de déploiement nettement améliorée.

• Couverture continue totale des actifs cloud, y compris les actifs existants et nouvellement créés.  

• Réduction des frais liés au déploiement, à la mise à jour et à la gestion des agents ; efficacité des workloads améliorée en éliminant la consommation de ressources associée aux agents individuels, ainsi que les erreurs de compatibilité.