En ce sens, le cloud agit comme un accélérateur. Il permet de déployer services, ressources et applications à un rythme que l’IT historique n’a jamais connu. Cette capacité à aller vite constitue un atout majeur, en particulier pour les métiers qui peuvent parfois avoir l’illusion de gagner en autonomie vis-à-vis de l’IT. Toutefois elle complique aussi considérablement la sécurisation globale du système d’information. À mesure que le cloud s’étend dans l’entreprise, la surface potentielle de compromission s’agrandit elle aussi, souvent plus vite que les mécanismes de contrôle.
Dans ce contexte, la question n’est donc pas de savoir s’il faut structurer la sécurité du cloud, mais par où commencer. Attendre que tout soit parfaitement gouverné avant d’agir revient à accepter un risque durable. La rapidité du cloud impose une réponse au moins aussi véloce. La sécurité ne peut pas avancer plus lentement que les environnements qu’elle est censée protéger.
C'est pourquoi il est intéressant de considérer un point de départ opérationnel. Travailler en priorité sur les identités et les workloads permet de reprendre immédiatement de la visibilité, de détecter des comportements anormaux et de réagir lorsqu’un incident survient. Cette approche ne remplace pas la gouvernance, elle la complète. Elle permet d’agir sans attendre, de réduire l’exposition réelle et de créer les conditions d’une sécurisation progressive et maîtrisée.
Agir immédiatement, sans attendre la fin de la gouvernance
La gouvernance est un sujet long terme, c’est un fait. Rectifier ou refondre une gouvernance prend 18 mois en moyenne dans une grande entreprise pour disposer des bons contrôles et être certain que tout fonctionne bien. Autant dire une éternité à l'échelle de temps du cloud et de sa flexibilité. Attendre la fin d'un tel chantier pour agir n’est ainsi tout simplement pas une option. L’absence de gouvernance finalisée n’interdit en rien de commencer à protéger. Il est possible, si ce n'est fondamental, de détecter et de réagir immédiatement pendant que la structuration de long terme se met en place.
Pour débuter, le traitement immédiat et conjugué des identités et des workloads devient une priorité. Ce sont eux qui portent l’activité dans le cloud et qui permettent de comprendre ce qui est normal et ce qui ne l’est pas. Croiser les comportements des identités avec ceux des workloads est indispensable pour détecter une anomalie, qualifier un incident et éviter une propagation incontrôlée. C’est le socle de toute logique de supervision efficace.
Cette approche s’inscrit dans une continuité avec ce qui existe déjà dans l’IT classique. Détection, analyse, ouverture de ticket, proposition de remédiation : la mécanique est connue mais la différence tient aux interlocuteurs. Dans le cloud, la remédiation revient aux équipes DevOps ou SecOps, responsables des workloads concernés. L’alerte est qualifiée, le plan d’action est proposé, mais l’exécution reste entre les mains du propriétaire/dépositaire du service.
Ce faisant, des résultats concrets peuvent être obtenus rapidement. La surveillance conjointe des identités et des workloads permet de détecter des comportements anormaux et d’enclencher des actions de remédiation sans attendre une gouvernance aboutie. Certaines intégrations, notamment dans les chaînes de développement CI-CD, permettent d’éviter l’introduction de vulnérabilités en amont, tandis que la détection en production renforce la capacité à contenir un incident. Ces premiers leviers apportent de la visibilité et réduisent l’exposition réelle. Pendant que la gouvernance se construit, la sécurité est ainsi déjà à l’œuvre.
Orchestrer la totalité du chantier de la sécurité cloud avec le CNAPP
Agir immédiatement n’est pas seulement une réponse opérationnelle, c’est aussi un levier business. En sécurisant sans attendre, le RSSI peut démontrer des effets concrets et surtout, mesurables. À l’inverse, défendre la gouvernance sur la base de bénéfices attendus à moyen voire long terme est difficilement soutenable. La capacité à détecter et à réagir immédiatement construit ainsi la crédibilité du discours sécurité.
L'émergence des plateformes CNAPP (Cloud Native Application Protection Platform) prend tout son sens dans ce contexte général. Derrière cet acronyme se cache en réalité un ensemble de capacités complémentaires, chacune adressant des usages spécifiques du cloud public : protection des workloads, gestion et contrôle des identités, analyse de posture, intégration aux chaînes CI-CD, entre autres. Qu'elles émanent d'acteurs traditionnels de la cyber (Palo Alto Networks, Sentinel One, Fortinet, etc.) ou de pure players (Wiz, Upwind Security, etc.), elles jouent un rôle clair, à condition de ne pas les considérer comme une solution séquentielle ou différée. Elles offrent un socle capable d’adresser tant la gouvernance, la posture de sécurité, les identités, les workloads que le développement, mais leur efficacité dépend entièrement de la manière dont elles sont mises en œuvre.
Le CNAPP ne décide pas de l’ordre des priorités, il fournit des outils efficaces. La cohérence de l’ensemble repose alors sur une stratégie qui se doit d'être claire : lancer les chantiers en parallèle, articuler action immédiate et structuration progressive, et aligner gouvernance, sécurité opérationnelle et équipes métiers. Utilisé ainsi, le CNAPP devient un levier de cohérence et de pilotage, au service d’une sécurité cloud qui avance sans attendre et sans improvisation.
La capacité à déployer rapidement des services cloud accroît mécaniquement les risques. Les RSSI peuvent toutefois sécuriser sans attendre, et sans renoncer à une structuration durable. C'est le point de vue défendu par Eric Bohec, CTO du groupe Nomios.
