Contact

Réussir son POC CNAPP

Slider Image

23 avril 2025

Le choix d’une solution de cybersécurité est toujours un exercice délicat car il faut estimer le potentiel gain de valeur d’une solution qui est dans l’intangible.

Vous avez réalisé votre AO ou RFI / RFP, vous avez sélectionné votre short-list avec 2 éditeurs/intégrateurs. Ils vous offrent la solution pendant 1 mois, une équipe d’avant-vente/technical account manager à votre service pour mettre en place et tester. Certains éditeurs parlent même plus de POV : ‘proof of value’ plutôt que de POC : ‘proof of concept’.

Comment en tirer le maximum et faire le meilleur choix (ou au moins celui que vous ne regretterez pas trop) ?

L’onboarding

  • Les éditeurs vont vous fournir des documents de prérequis, lisez-les et pas 5 min avant le 1er atelier ! 
  • Impliquer vos administrateurs cloud notamment et surtout ceux qui ont des droits au niveau tenant (Azure) ou organisation (AWS, GCP), j’ai rencontré plusieurs cas d’atelier qui sont improductif car aucune personne de l’organisation avec les droits requis n’est présente pour intégrer l’outil (alors que c’est indiqué dans la documentation).
  • Terraform est souvent la méthode privilégiée par les fournisseurs mais l’admin au niveau tenant/org n’y a souvent pas accès ou n’est pas confortable dans son utilisation. Préférer l’onboard manuel notamment sur Azure, ou cela revient souvent à créer une app et lui donner des droits.
  • Les solutions de CNAPP ne se gênent pas entre elles sur la plupart des fonctionnalités (la partie CWPP avec son agent à installer est l’exception), intégrez-les sur les mêmes périmètres pour pouvoir comparer les capacités de détection de chaque fournisseur à périmètre équivalent

Cas du CWPP

Si vous testez également le CWPP (Cloud Workload Protection Platform : ce qui est exécuté sur les VM/Container) et donc l’installation d’agent :

  • Comparez les méthodes d’installations en volume (pas simplement le déploiement unitaire) et comment être certain que vous couvrez tous les VM/conteneurs d’un tenant/organisation
  • Ne le faites pas que sur des environnements de test, le non-impact sur les performances doit être validé avec des machines en condition réel
  • Tester le déploiement d’un cryptominer (xmrig par exemple) pour vérifier sa détection et sa remontée dans l’interface de la solution ainsi que les réponses possibles
  • Vérifier le comportement lors de la suppression des machines ou agent (agent off line qui doit être supprimée manuellement et impacte les stats…)

Que comparer

  • Souvent la partie inventaire est scrutée en premier mais cela est peu discriminant, toutes les solutions sérieuses passent haut la main ce critère
  • Même si vous serez souvent accompagnée par un TAM/SE de l’éditeur, il est important de s’approprier l’interface par soi-même et de noter la facilité/intuitivité de la solution. Elle sera potentiellement utilisée par de nombreux acteurs différents et vous n’aurez pas le temps de tous les former.
  • Comparer les risques trouvés entre les solutions. Exporter les dans un Excel, classez par criticité et faites votre propre analyse pour confirmer le niveau (toujours le souvenir d’une solution qui place en critique un scenario qui ne devrait même pas être en info…)

Les intégrations

Il est malheureusement souvent trop complexe de tester complétement une intégration entre la solution et les autres briques de votre environnement durant le POC (consomme beaucoup de temps, besoin d’impliquer les équipes d’autres services…). Il faudra souvent se contenter de la liste de partenaire disponible…

  • Essayez quand même de valider le lien avec votre SIEM/SOC. Je n’ai pas vu de mauvaise surprise avec les solutions du marché standard mais valider la qualité des points suivants :
    • Le contrôle sur ce qui est envoyé (pas besoin d’envoyer toutes les alertes au SOC)
    • Le contexte que le SOC ne reçoive pas juste une alerte mais un peu plus d’information pour l’aider à traiter
  • L’implémentation d’un CNAPP est loin d’être uniquement technique. La partie processus, RACI des différentes équipes est clé. Pensez vos intégrations pour qu’elles soient pertinentes et ce dès le POC

CDR

La partie Cloud Detection and Response est relativement récente. Les points d’attention sont :

  • Comprenez bien la mécanique d’intégration et le surcout en ressource cloud nécessaire de votre côté (notamment pour les flows logs)
  • La nature des logs intégrés et leur pertinence pour votre organisation, se focaliser sur les logs d’audit en priorité
  • Faites essayer l’interface à votre SOC/CERT, ils ont rarement l’habitude des environnements clouds. Vérifiez qu’ils adoptent le produit et arrivent à remonter facilement une chaine d’évènement avec le contexte pertinent

Coût

En sus du devis, il est critique de comprendre les axes de facturation : à la charge de travail (qu’est-ce qu’une charge de travail), crédit suivant fonctionnalité, utilisateur actif ou encore niveau de fonctionnalité...

Chaque fournisseur a sa méthode qui est toujours relativement complexe mais vous devez être apte à mesurer le cout de l’arrivée d’un nouveau projet dans votre cloud. La plupart des solutions proposent un écran pour consulter sa consommation. Consulter avant/après l'intégration de compte pour noter les différences.

Conclusion

Le marché de la sécurité cloud est florissant avec 20-30% d’augmentation annuelle pour les 5 prochaines années. Le monde du CNAPP avec une vingtaine d’éditeurs va se rationaliser (rachat/fusion) et se combiner avec d’autres produits (DDR, CADR). Il est important au-delà du produit de choisir le partenaire qui saura évoluer aussi vite que le cloud et garder votre infrastructure sûre.

 

Matthieu GAILLARD-MIDOL
Practice Leader CloudSec

La gestion sécurisée des secrets dans AKS cover
17/04/2025

La gestion sécurisée des secrets dans AKS

En savoir plus
🔐 Et si la véritable surface d’attaque était… sous le radar ? cover
28/03/2025

🔐 Et si la véritable surface d’attaque était… sous le radar ?

En savoir plus