CSPM

Fonctionnement technique

Le CSPM (Cloud Security Posture Management) est une catégorie d'outils qui surveille en continu les environnements cloud (IaaS, PaaS) pour détecter et corriger les erreurs de configuration, les violations de conformité et les risques de sécurité. Le CSPM agit comme un auditeur automatisé qui compare la configuration réelle de vos ressources cloud contre des référentiels de bonnes pratiques et des politiques personnalisées.

Le fonctionnement technique repose sur la connexion aux API cloud (AWS, Azure, GCP) via des rôles IAM en lecture seule. Le CSPM inventorie l'ensemble des ressources (instances, stockage, réseau, IAM, bases de données) et évalue chaque configuration contre un ensemble de règles. Par exemple : un bucket S3 est-il public ? Un security group autorise-t-il le SSH depuis 0.0.0.0/0 ? Le chiffrement est-il activé sur les volumes EBS ?

Les évaluations sont mappées sur des frameworks de conformité (CIS Benchmarks, NIST 800-53, SOC 2, PCI DSS, ISO 27001) et classées par sévérité. Les résultats sont présentés dans des dashboards avec des scores de posture par compte, région et service. Les fonctionnalités avancées incluent la détection de drift (écart entre la configuration déclarée et réelle), l'analyse des chemins d'attaque et la remédiation automatique.

Cas d'usage

Les erreurs de configuration cloud sont la première cause de brèches de données dans le cloud. Des buckets S3 publics exposant des données sensibles, des bases de données sans chiffrement accessibles depuis Internet, et des clés IAM surpermissives sont découverts quotidiennement. Le CSPM détecte ces problèmes automatiquement et en continu, là où un audit manuel est ponctuel et incomplet.

Les organisations multi-cloud (AWS + Azure + GCP) utilisent le CSPM pour obtenir une vue unifiée de leur posture de sécurité à travers les fournisseurs. Les équipes de conformité l'exploitent pour démontrer l'adhérence continue aux standards lors des audits, remplaçant les captures d'écran ponctuelles par des rapports en temps réel.

Outils et implémentation

Wiz est le leader actuel du CSPM avec son agent-less scanning, son graph de sécurité cloud et sa détection de chemins d'attaque. Prisma Cloud (Palo Alto) offre CSPM + CWPP (workload protection) + CIEM (identités cloud) dans une plateforme unifiée. Microsoft Defender for Cloud est la solution native Azure avec un support multi-cloud.

Côté open source, Prowler est l'outil de référence pour l'audit AWS/Azure/GCP avec des centaines de checks CIS et personnalisés. ScoutSuite (NCC Group) audite la configuration cloud multi-fournisseurs. Steampipe permet d'interroger la configuration cloud en SQL. Checkov (Bridgecrew/Palo Alto) scanne le code IaC (Terraform, CloudFormation) avant le déploiement.

Défense / Bonnes pratiques

Déployez le CSPM dès le premier compte cloud avec des politiques strictes. Les problèmes de configuration s'accumulent rapidement et deviennent ingérables si le CSPM est déployé tardivement sur un environnement déjà mature. Commencez par les checks critiques (exposition publique, chiffrement, MFA) et élargissez progressivement.

Complémentez le CSPM (détection en runtime) avec du scanning IaC (prévention au build time). Utilisez Checkov ou tfsec dans votre pipeline CI/CD pour détecter les misconfigurations avant le déploiement, et le CSPM pour vérifier qu'elles ne sont pas introduites manuellement après. L'approche « shift-left » réduit considérablement le volume d'alertes en production.

Activez la remédiation automatique avec prudence : commencez par le mode alerte seule, validez les rules sur vos environnements, puis activez le fix automatique uniquement pour les checks à faible risque de disruption (ex : activer le chiffrement au repos). Impliquez les équipes DevOps dans la définition des politiques pour éviter les frictions et les contournements.

Articles associés

Voir nos articles détaillés sur ce sujet.