Qu'est-ce qu'une CNAPP exactement ?

CNAPP signifie Cloud-Native Application Protection Platform. Concept introduit par Gartner en 2021 pour désigner une nouvelle catégorie de plateformes qui consolident plusieurs capacités de sécurité cloud historiquement séparées : CSPM (Cloud Security Posture Management) qui analyse les configurations cloud, CWPP (Cloud Workload Protection Platform) qui protège les serveurs, containers et serverless, CIEM (Cloud Infrastructure Entitlement Management) qui gère les droits et identités cloud, KSPM (Kubernetes Security Posture Management) pour Kubernetes, IaC scanning pour analyser Terraform, CloudFormation, Kubernetes manifests avant déploiement. L'idée centrale : au lieu d'assembler 5 outils séparés avec des dashboards divergents, une CNAPP unique offre une vision cohérente du risque cloud, avec corrélation entre les signaux et priorisation contextuelle. Une CNAPP moderne inclut typiquement ces 5 piliers plus des capacités additionnelles : scanning de vulnérabilités, protection runtime, détection de menaces, analyse des données sensibles (DSPM), parfois EASM et gestion des secrets. Le marché a évolué très rapidement depuis 2021, porté par l'explosion du cloud et la complexité croissante des environnements.

Quelle CNAPP choisir ?

Marché concurrentiel avec plusieurs leaders. Wiz : challenger devenu leader en 3 ans, approche agentless, très bonne UX, valorisation record. Palo Alto Prisma Cloud : plateforme enterprise mature, très complète, fort pour les environnements hybrides. Microsoft Defender for Cloud : natif multi-cloud, intégration Entra ID, bon rapport qualité/prix pour les environnements Microsoft. CrowdStrike Falcon Cloud Security : intégration avec la plateforme Falcon EDR, approche agent. Orca Security : agentless comme Wiz, forte sur la visibilité. Sysdig Secure : approche runtime basée sur eBPF, excellent sur les containers. Lacework : positionné sur le behavioral, analyse des anomalies. Aqua Security : historique de la sécurité containers. SentinelOne (via rachat PingSafe) : entrant 2024. Tenable Cloud Security : combine avec leur VM historique. Critères : modèle agent/agentless, couverture cloud providers utilisés, qualité du CSPM vs CWPP selon priorités, intégration avec l'écosystème existant (EDR, SIEM), tarification (par workload, par compte cloud, par utilisateur), qualité de la priorisation. POC de 4 à 8 semaines fortement recommandé avant décision — les différences pratiques sont significatives.

Différence entre CNAPP et SIEM ?

Complémentaires, pas substituables. Le SIEM (Security Information and Event Management) collecte et corrèle les logs et événements de toutes les sources de l'organisation — endpoints, serveurs, applications, cloud, réseau, identités — pour détection et investigation. Il répond à "que s'est-il passé ?". Le CNAPP se focalise spécifiquement sur les environnements cloud et posture sécuritaire : configurations, vulnérabilités, identités cloud, risques architecturaux. Il répond à "quels risques existent dans mon cloud ?" et parfois "une attaque est-elle en cours ?". En pratique, les deux travaillent ensemble : le CNAPP remonte ses détections et ses constats de configuration au SIEM où ils sont corrélés avec d'autres événements. Certaines CNAPP modernes intègrent des fonctions de détection (Wiz Defend, CrowdStrike Falcon), réduisant le besoin de SIEM pour les environnements purement cloud. Pour une organisation avec SI hybride, SIEM et CNAPP restent tous deux nécessaires, chacun avec son périmètre spécialisé.

CNAPP est-il adapté aux PME ?

Partiellement. Les plateformes CNAPP enterprise (Wiz, Prisma Cloud, Orca) visent principalement les grandes organisations avec des budgets à 6 chiffres annuels et des environnements cloud significatifs. Pour les PME, plusieurs options adaptées : services natifs des cloud providers — AWS Security Hub, Azure Defender for Cloud, Google Security Command Center — inclus dans la tarification cloud ou avec coûts modestes, couvrant les capacités CSPM fondamentales. Outils open source pour CSPM : Prowler, ScoutSuite, CloudSploit, Steampipe, gratuits avec temps d'expertise. CNAPP entry-level : Sysdig Secure propose un tier accessible, certaines offres Microsoft Defender for Cloud démarrent à quelques centaines d'euros/mois. Pour une startup avec 10-20 ressources cloud simples, les outils natifs des providers suffisent largement. À partir d'un environnement cloud significatif (50+ comptes cloud, Kubernetes, multiples équipes dev), une CNAPP dédiée devient pertinente, avec budget 50 000 à 200 000 € par an. Le critère de déclenchement : quand l'organisation dépasse la capacité d'exploiter manuellement les outils natifs des providers.

CNAPP : Cloud-Native Application Protection Platform

Concept introduit par: Gartner en 2021
Piliers standards: CSPM · CWPP · CIEM · KSPM · IaC scanning
Piliers étendus: DSPM · SaaS Security · ASPM · ADR
Modèles d'architecture: Agent · Agentless · Hybride
Leaders 2024-2025: Wiz · Palo Alto Prisma Cloud · CrowdStrike · Orca · Microsoft Defender for Cloud

01 — DéfinitionQu'est-ce qu'une CNAPP ?

Une CNAPP (Cloud-Native Application Protection Platform) est une plateforme de sécurité qui consolide plusieurs capacités complémentaires pour protéger les applications et infrastructures cloud-natives sur l'ensemble de leur cycle de vie : de la conception (infrastructure-as-code) à l'exécution en production, en passant par le build et le déploiement.

Concept introduit par Gartner en 2021, la CNAPP répond à une fragmentation historique des outils de sécurité cloud : les organisations devaient assembler un CSPM, un CWPP, un CIEM, des scanners d'IaC, des outils Kubernetes spécifiques, avec des dashboards divergents et peu de corrélation. La CNAPP unifie ces capacités dans une plateforme cohérente avec une vision unique du risque cloud.

Pourquoi « cloud-native » ?

Le terme cloud-native désigne les architectures conçues spécifiquement pour le cloud : microservices, containers, Kubernetes, serverless, infrastructure-as-code, CI/CD. Ces architectures présentent des défis de sécurité distincts des environnements traditionnels :

Ressources éphémères (containers qui vivent quelques minutes).
Configurations changeant en continu.
Identités et droits complexes (IAM cloud).
Déploiements automatisés à forte fréquence.
Surface d'attaque dynamique.
Multi-cloud fréquent (AWS + Azure + GCP).

Les outils de sécurité traditionnels (antivirus, IDS, scanners on-premises) ne sont pas adaptés à ces spécificités. La CNAPP est née pour y répondre.

Vision consolidée vs outils séparés

L'apport clé d'une CNAPP n'est pas seulement d'offrir plusieurs fonctionnalités sous un même toit, mais de corréler les signaux pour produire une compréhension contextuelle du risque. Exemple :

Outils séparés : CSPM signale un bucket S3 public (sévérité moyenne). CIEM signale un rôle IAM avec trop de permissions (sévérité moyenne). CWPP détecte une CVE exploitable sur une VM (sévérité élevée).
CNAPP : corrèle les trois et détecte que la VM vulnérable peut être atteinte par le rôle IAM surprivilégié, qui lui-même permet d'accéder au bucket S3 public contenant des données clients — chaîne d'attaque avec sévérité critique.

Cette capacité de chaînes d'attaque (attack paths) est devenue le principal différenciateur des CNAPP modernes.

Un CSPM qui remonte 10 000 findings n'apporte aucune valeur si personne ne peut agir. Une CNAPP qui corrèle et remonte 10 chaînes d'attaque réellement critiques transforme la posture de sécurité. Le volume devient signal.

02 — PiliersLes 5 capacités fondamentales

1. CSPM — Cloud Security Posture Management

Analyse des configurations des environnements cloud pour détecter les misconfigurations par rapport aux bonnes pratiques et aux frameworks de conformité.

Ce qu'il détecte

Buckets S3 ou Azure Blob ouverts au public.
Bases de données accessibles depuis Internet.
Security groups trop permissifs (port 22 ouvert au monde).
Chiffrement désactivé sur les volumes, les bases, les queues.
Logs d'audit désactivés ou non centralisés.
MFA non activée sur les comptes root.
Politiques d'accès aux clés KMS trop larges.
Dérives par rapport aux configurations attendues.

Frameworks supportés

CIS Benchmarks (AWS, Azure, GCP, Kubernetes).
ISO 27001, SOC 2, PCI DSS, RGPD, NIS2, HIPAA.
NIST 800-53, NIST CSF.
FedRAMP, FINRA.
Custom benchmarks définis par l'organisation.

2. CWPP — Cloud Workload Protection Platform

Protection des workloads qui s'exécutent dans le cloud : machines virtuelles, containers, fonctions serverless.

Capacités typiques

Scanning de vulnérabilités : OS, bibliothèques, dépendances, images de containers.
Gestion des configurations des workloads eux-mêmes.
Détection de malware.
Monitoring runtime : comportements anormaux, intrusions.
Protection mémoire et intégrité des processus.
Segmentation micro et pare-feu applicatif.
Scanning des images de containers avant déploiement et en registry.
Détection de secrets dans les images, le code, les configurations.

3. CIEM — Cloud Infrastructure Entitlement Management

Gestion des identités et droits dans les environnements cloud. Critique car les environnements cloud modernes contiennent des centaines de milliers de permissions combinées entre utilisateurs, rôles, services et ressources.

Capacités

Inventaire exhaustif des identités cloud : utilisateurs humains, services, rôles, machines.
Analyse des droits effectifs : droits directs, hérités, transitifs via rôles et groupes.
Détection des surprivilèges : droits accordés non utilisés.
Identification des chemins d'escalade : comment une identité peut s'élever en privilèges.
Applications du principe du moindre privilège : recommandations de réduction de droits.
Détection des identités dormantes ou abandonnées.
MFA et conformité des accès.

4. KSPM — Kubernetes Security Posture Management

Spécialisation du CSPM pour Kubernetes, écosystème suffisamment spécifique pour mériter son propre pilier.

Ce qu'il couvre

Configurations des clusters : RBAC, Pod Security Standards, Network Policies.
Admission controllers : validation des déploiements avant acceptation.
Runtime : détection des comportements anormaux dans les pods (Falco style).
Sécurité des images : scanning, signatures, policies d'acceptation.
Gestion des secrets : détection de secrets en clair dans les manifests.
Conformité : CIS Kubernetes Benchmark, NSA/CISA Kubernetes Hardening Guide.
Supply chain : provenance des images, SBOM.

5. IaC Scanning — Infrastructure as Code Security

Analyse du code d'infrastructure avant déploiement pour détecter les problèmes de sécurité en amont — approche shift-left.

Cibles

Terraform : leader du marché IaC.
CloudFormation : AWS.
ARM et Bicep : Azure.
Kubernetes manifests YAML.
Helm charts.
Dockerfile.
Ansible, Pulumi, CDK.

Détections typiques

Ressources qui seraient créées mal configurées si déployées.
Secrets en clair dans le code.
Permissions IAM excessives dans le code.
Absence de chiffrement, de logs, de MFA.
Violations de policies organisationnelles.

Piliers étendus en 2025-2026

Les CNAPP modernes ajoutent progressivement :

DSPM (Data Security Posture Management) : découverte et protection des données sensibles dans le cloud.
SSPM (SaaS Security Posture Management) : extension aux environnements SaaS (Microsoft 365, Google Workspace, Salesforce).
ASPM (Application Security Posture Management) : consolidation AppSec incluant SAST, SCA, DAST.
ADR (Application Detection and Response) : détection runtime applicative.
AI Security : protection des modèles, des APIs LLM, des pipelines MLOps.
EASM : certains acteurs (Wiz, Tenable) intègrent l'EASM.
Gestion des secrets : intégration avec KMS et vaults.

03 — PourquoiLes raisons de consolider

Problèmes des outils séparés

Silos de données : chaque outil remonte ses findings sans corrélation avec les autres.
Doublons : la même vulnérabilité peut être détectée 3 fois (scanner, CSPM, CWPP) avec des sévérités différentes.
Explosion d'alertes : chaque outil remonte des milliers de findings, impossible à traiter.
Manque de priorisation contextuelle : un finding "élevé" peut être irrelevant dans le contexte réel.
Multiplication des contrats et coûts cumulés supérieurs à une CNAPP unique.
Surcharge cognitive pour les équipes sécurité qui doivent maîtriser multiple interfaces.
Intégrations fragiles entre outils hétérogènes.

Apports d'une CNAPP unifiée

Chaînes d'attaque (attack paths) : corrélation des signaux pour produire des scénarios réalistes d'exploitation.
Priorisation contextuelle : sévérité ajustée selon exposition, criticité, exploitabilité.
Vision unifiée : un seul dashboard, un seul langage de risque.
Remédiation orchestrée : workflow cohérent, tickets unifiés.
Conformité multi-cadres : un seul reporting pour ISO, SOC 2, PCI, NIS2.
Réduction du bruit : fusion des findings dupliqués.
Time-to-value : onboarding plus rapide qu'avec 5 outils distincts.

Le marché a consolidé

Gartner estime que 60% des grandes organisations utilisent ou prévoient d'utiliser une CNAPP d'ici 2027, contre moins de 5% en 2021. Cette adoption rapide est tirée par :

La maturation technologique des offres.
La consolidation budgétaire (une CNAPP = moins cher que 5 outils).
Les pénuries de talents cyber (moins d'outils = moins d'expertise requise).
Les exigences réglementaires croissantes (NIS2, DORA).
La complexité croissante des environnements cloud.

Études sectorielles

Plusieurs données convergentes :

Une CNAPP bien déployée réduit de 75% le nombre d'alertes critiques à traiter (Wiz State of AI Security 2024, Orca State of Public Cloud Security).
45% des workloads cloud ont au moins une vulnérabilité critique exploitable (Orca 2024).
82% des breaches cloud impliquent des misconfigurations (IBM Cost of Data Breach 2024).
Les organisations matures sur CNAPP ont 3x moins d'incidents cloud que les autres.

04 — FonctionnementArchitecture d'une CNAPP

Deux modèles d'architecture

Modèle agent (agent-based)

Déploiement d'agents sur chaque workload (VM, container, noeud Kubernetes). Visibilité profonde : processus, mémoire, appels système, trafic réseau.

Avantages : détection runtime précise, visibilité au niveau système, moins de latence sur certaines détections.
Limites : overhead CPU/mémoire, déploiement à maintenir, compatibilité selon les OS.
Acteurs principaux : CrowdStrike Falcon, Sysdig Secure, Aqua Security, Trend Micro.

Modèle agentless

La plateforme scanne les environnements cloud via API des cloud providers, sans déployer d'agent. Vision snapshot-based avec refresh périodique.

Avantages : déploiement en quelques minutes, pas d'overhead, couverture 100% des workloads même nouveaux.
Limites : latence de détection runtime (snapshot toutes les quelques heures), pas de contrôle au niveau processus.
Acteurs principaux : Wiz, Orca Security, Palo Alto Prisma Cloud (partie agentless).

Modèle hybride

Combine agentless (découverte, posture) et agents légers (runtime ciblé sur les workloads critiques). Approche adoptée par la plupart des CNAPP matures en 2025-2026.

Intégrations cloud

Une CNAPP se connecte aux environnements cloud via :

AWS : role cross-account avec permissions de lecture, scans EBS via snapshots (agentless), CloudTrail pour les logs.
Azure : application Azure AD, droits Reader sur les subscriptions, intégration Defender.
GCP : service account avec permissions de lecture, intégration avec Security Command Center.
Kubernetes : service account avec RBAC, déploiement optionnel d'agents.

Flux de données typique

Découverte : inventaire exhaustif des ressources cloud — VMs, containers, bases de données, buckets, identités, réseaux.
Évaluation de posture : comparaison avec les frameworks (CIS, ISO, SOC 2).
Scanning de vulnérabilités : CVE sur OS, bibliothèques, images.
Analyse d'identités : droits effectifs, chemins d'escalade.
Corrélation : construction de chaînes d'attaque.
Priorisation : scoring contextuel.
Notification : dashboards, alertes, tickets.
Remédiation : recommandations, IaC corrigé, automatisation possible.
Monitoring continu : détection des dérives et nouvelles expositions.

Graph-based analysis

Caractéristique différenciante des CNAPP modernes (Wiz pionnier) : modélisation des environnements cloud sous forme de graphe où nœuds (ressources, identités, permissions) et arêtes (relations) permettent des requêtes complexes du type « quelles identités peuvent accéder à cette base de données contenant des données PII via une chaîne de 3 étapes maximum ? » Les autres acteurs ont adopté cette approche.

05 — ActeursLe marché CNAPP

Leaders du Magic Quadrant Gartner 2024

Wiz

Challenger devenu leader en 3 ans. Approche agentless graph-based, excellente UX, très rapide à déployer. Valorisation record en 2024. Couvre CSPM, CWPP, CIEM, KSPM, IaC, DSPM, SSPM. Points forts : chaînes d'attaque, priorisation, simplicité. Gamme : Wiz Cloud, Wiz Defend (XDR cloud), Wiz Code (AppSec), Wiz for AI.

Palo Alto Prisma Cloud

Plateforme enterprise mature, très complète. Approche combinant agents et agentless. Forte intégration avec l'écosystème Palo Alto (Cortex XDR, Cortex Xpanse EASM). Couverture la plus large du marché mais interface plus complexe.

Microsoft Defender for Cloud

Natif multi-cloud (AWS, Azure, GCP). Très forte intégration avec Microsoft Entra ID, Sentinel, Defender XDR. Rapport qualité/prix excellent pour les environnements majoritairement Microsoft. Évolue rapidement pour rattraper les pure-players.

CrowdStrike Falcon Cloud Security

Issu de la plateforme CrowdStrike, approche agent historique. Intégration native avec Falcon EDR et la plateforme unifiée. Fort sur le runtime et la détection de menaces. Acquisitions de Bionic (ASPM) et Flow Security (DSPM) en 2023-2024 renforcent la plateforme.

Orca Security

Pionnier de l'approche SideScanning (agentless). Très rapide à déployer, bonne couverture. Parfois comparé à Wiz — concurrent direct sur l'approche. Challenger établi.

Challengers et spécialistes

Sysdig Secure : excellent sur les containers et le runtime via eBPF. Approche open source (Falco).
Lacework : focus sur l'analyse comportementale (Polygraph). Rachat par Fortinet annoncé en 2024.
Aqua Security : historique de la sécurité containers, plateforme CNAPP complète.
Tenable Cloud Security : combine avec la gestion des vulnérabilités historique.
Qualys TotalCloud : approche similaire.
Rapid7 InsightCloudSec : issu du rachat de DivvyCloud.
SentinelOne Singularity Cloud : renforcé par les rachats d'Attivo (identity) et PingSafe (CNAPP) en 2024.
Trend Micro Vision One : gamme complète incluant CNAPP.
Sweet Security, Upwind : entrants récents avec focus runtime.
Uptycs : approche unifiée endpoint + cloud.

Acteurs français et européens

Marché CNAPP dominé par les acteurs américains et israéliens. Quelques offres notables en Europe :

Sekoia.io : français, extension XDR vers le cloud.
Tehtris XDR : français, couverture cloud partielle.
Wallix : axé PAM mais ajoute des capacités cloud.
Advens, Intrinsec, Almond : prestataires français qui opèrent les CNAPP américaines pour leurs clients.

La souveraineté reste un défi sur ce segment de marché. Les offres cloud providers européens (OVHcloud Security, Outscale, Scaleway) proposent des capacités CSPM de base mais rarement une CNAPP complète.

Services natifs des cloud providers

AWS Security Hub, GuardDuty, Inspector, Config : fournissent des briques CNAPP natives, pas une plateforme unifiée.
Azure Defender for Cloud : l'offre Microsoft Defender mentionnée plus haut, vraie CNAPP multi-cloud.
Google Security Command Center : capacités CNAPP natives Google, extensibles à AWS/Azure.

Outils open source pertinents

Prowler : CSPM multi-cloud open source populaire.
ScoutSuite : NCC Group, CSPM open source.
Checkov : IaC scanning (Bridgecrew / Palo Alto).
Trivy : scanning containers et IaC (Aqua).
Falco : runtime Kubernetes (Sysdig).
KubeHunter, KubeBench : sécurité Kubernetes.
Cloud Custodian : policy as code pour AWS/Azure/GCP.

Tarification indicative

Small cloud footprint (10-50 ressources) : services natifs cloud + outils open source, 5 000 à 20 000 €/an en pratique.
Mid-size (100-500 ressources) : 30 000 à 80 000 €/an pour Defender for Cloud, 80 000 à 150 000 € pour Wiz/Orca entry.
Enterprise (1 000+ ressources) : 150 000 à 500 000 €/an typiquement pour Wiz, Palo Alto, CrowdStrike.
Très grand compte : > 500 000 €/an, souvent 1M+ pour les environnements cloud massifs.
Tarification typiquement par workload, compte cloud ou vCPU.

06 — Bonnes pratiquesDéployer une CNAPP efficacement

Avant le choix

Cartographier l'environnement cloud : providers utilisés, comptes, volumétrie, maturité.
Identifier les priorités : CSPM? CWPP? CIEM? tout?
Lister les intégrations nécessaires : SIEM, ticketing, IaC tools, EDR existant.
Définir les cas d'usage : conformité, remédiation, détection, audit.
Évaluer les exigences de souveraineté : données de sécurité potentiellement sensibles.

Processus de sélection (POC)

POC de 4 à 8 semaines avec 2 à 3 acteurs shortlistés.
Périmètre représentatif : comptes cloud diversifiés, charges réelles.
Critères objectifs : nombre de findings, faux positifs, qualité des chaînes d'attaque, UX, intégrations.
Validation par les équipes : sécurité, DevOps, compliance.
Scénarios réalistes : tester la remédiation sur un cas concret.
Comparaison tarifaire sur 3 ans incluant croissance prévue.

Déploiement progressif

Phase 1 — Monitoring passif sur un compte cloud pilote (1-2 semaines).
Phase 2 — Extension progressive aux autres comptes (1-2 mois).
Phase 3 — Activation des intégrations (SIEM, tickets, IaC scanning).
Phase 4 — Mise en place des processus de remédiation.
Phase 5 — Shift-left vers le pipeline CI/CD avec IaC scanning bloquant.
Phase 6 — Automatisation de la remédiation pour les cas simples.

Gestion des findings

Prioriser par chaînes d'attaque : ignorer les findings isolés non exploitables dans le contexte.
Attribuer un propriétaire : chaque finding doit avoir un owner identifié.
SLA par sévérité : critique = 72h, élevée = 2 semaines, moyenne = 30 jours.
Exceptions documentées : processus formel pour accepter un risque avec échéance.
Revues périodiques : hebdo pour le critique, mensuelle pour la vue globale.
Métriques de progrès : évolution du risque, MTTR, couverture.

Intégration DevOps

IaC scanning dans le CI/CD : blocage des déploiements avec issues critiques.
Pull request comments : feedback immédiat aux développeurs.
Security champions dans les équipes dev pour diffuser la culture.
Formation : les développeurs doivent comprendre les findings pour les corriger.
Policy as Code : OPA, Sentinel pour automatiser les validations.
Mesure du Developer Experience : un CNAPP qui ralentit trop est contourné.

Automatisation de la remédiation

Auto-remédiation pour les cas simples et non controversés : buckets publics, MFA désactivée.
Pull request automatiques : la CNAPP ouvre une PR corrigeant l'IaC.
Workflow SOAR : orchestration des réponses multiples.
Dry-run avant toute action destructive.
Traçabilité complète des actions automatiques.
Opt-in progressif : commencer conservateur, étendre progressivement.

Pièges fréquents

Déploiement sans processus : accumulation de milliers de findings non traités.
Surconsommation d'alertes : désactiver certains types plutôt que submerger.
Oublier le shift-left : corriger après déploiement plutôt que de prévenir.
Pas d'intégration IaC : les problèmes reviennent au prochain déploiement.
Vision silo : CNAPP isolée du reste de la sécurité (SIEM, SOC).
Compliance sans sécurité : cocher les cases CIS sans réduire le risque réel.
Ignorer le CIEM : beaucoup déploient CSPM/CWPP mais négligent les identités, qui sont pourtant la surface d'attaque cloud la plus exploitée.
Overlap avec l'EDR : CWPP et EDR peuvent se chevaucher, clarifier les responsabilités.

07 — ÉvolutionCNAPP et CTEM, vers la plateforme unifiée

Le concept CTEM de Gartner

CTEM (Continuous Threat Exposure Management) est un cadre méthodologique introduit par Gartner en 2022 qui organise la gestion de l'exposition aux menaces en 5 étapes cycliques :

Scoping : définition du périmètre et priorités.
Discovery : découverte des actifs et vulnérabilités (EASM + CAASM + CNAPP).
Prioritization : hiérarchisation par criticité réelle.
Validation : vérification de l'exploitabilité (breach & attack simulation, red team).
Mobilization : orchestration de la remédiation par les équipes.

Les CNAPP se positionnent comme composantes centrales des étapes 2 et 3 du CTEM. Les grandes plateformes évoluent vers une couverture complète du cycle.

Consolidation du marché

Le marché CNAPP est en phase de consolidation intense depuis 2023-2024 :

Google a annoncé l'acquisition de Wiz en 2024 pour un montant record de 32 milliards USD.
Fortinet rachète Lacework en 2024.
CrowdStrike acquiert Bionic (ASPM) et Flow Security (DSPM) en 2023.
SentinelOne acquiert PingSafe (CNAPP) en 2024.
IBM acquiert Polar Security (DSPM) et consolide les capacités cloud.
Palo Alto continue d'enrichir Prisma Cloud par acquisitions ciblées.

La tendance : consolidation vers 5-10 plateformes leaders qui absorbent les capacités spécialisées des challengers.

Convergence avec la sécurité IA

Émergence rapide en 2024-2026 de la sécurité des modèles IA et pipelines MLOps :

Découverte des modèles déployés dans le cloud.
Analyse des risques de prompt injection, data poisoning.
Protection des données d'entraînement.
Gestion des secrets et clés d'API vers les LLMs (OpenAI, Anthropic).
Monitoring des comportements des agents IA.

Les CNAPP leaders (Wiz for AI, Prisma AIRS de Palo Alto) ajoutent des capacités dédiées. Marché naissant avec forte croissance prévue.

Intégration avec EASM

La frontière entre EASM et CNAPP se floute. Vision externe de l'EASM + vision interne cloud de la CNAPP = vision complète. Plusieurs acteurs proposent désormais les deux capacités intégrées (Wiz, Palo Alto via Cortex Xpanse, CrowdStrike Falcon Surface + Cloud Security, Microsoft Defender EASM + Defender for Cloud).

Tendances 2025-2026

IA générative dans les CNAPP : assistants conversationnels pour investiguer les risques, remédiation générée automatiquement.
Convergence CNAPP + SIEM + SOAR : plateformes unifiées de sécurité cloud.
Extension SaaS Security (SSPM) : couverture Microsoft 365, Google Workspace, Salesforce.
ASPM unifié : convergence avec SAST/SCA/DAST pour une vraie plateforme AppSec.
DSPM devient standard : découverte et protection des données sensibles.
Focus identités : les attaques identity-first remplacent progressivement les attaques sur les infrastructures.
Réduction du coût : concurrence et consolidation poussent les tarifs à la baisse pour les acteurs établis.

08 — FAQQuestions fréquentes

CNAPP ou Defender for Cloud, comment choisir ?

Dépend du contexte. Microsoft Defender for Cloud est une CNAPP à part entière, pas un sous-produit. Ses forces : intégration native Azure et Microsoft Entra ID, bon rapport qualité/prix, multi-cloud (AWS, GCP couverts), présence de Defender XDR en complément. Ses limites par rapport aux pure-players (Wiz, Prisma) : profondeur moindre sur certaines capacités, UX moins moderne, moins d'innovation rapide. Choisir Defender for Cloud si : majorité Microsoft, contraintes budgétaires, simplicité recherchée. Choisir un pure-player si : environnements complexes multi-cloud, maturité élevée attendue, besoins avancés de chaînes d'attaque. POC comparatif de 4-6 semaines recommandé pour les moyennes et grandes organisations.

Les capacités natives des cloud providers suffisent-elles ?

Pour les petits environnements, oui. Pour les plus grands, non. AWS Security Hub, Azure Security Center, Google Security Command Center offrent des briques CNAPP fondamentales gratuites ou à faible coût. Limitations : couverture uniquement du cloud provider natif (pas de vue unifiée AWS+Azure+GCP), profondeur moindre sur les capacités avancées (pas de chaînes d'attaque complètes, CIEM limité), dashboards divergents entre providers. Pour une organisation avec un seul cloud provider et quelques dizaines de ressources, les outils natifs suffisent largement. À partir de multi-cloud, Kubernetes, forte volumétrie ou exigences de conformité avancées, une CNAPP dédiée est recommandée. Hybride courant : outils natifs + CNAPP dédiée qui les consomment en sources de données.

Combien de temps faut-il pour déployer une CNAPP ?

Rapide par rapport aux outils historiques. Les approches agentless (Wiz, Orca, partie agentless de Prisma Cloud) se déploient en quelques heures : connexion API aux cloud providers, premier scan dans les 24-48h, findings exploitables dès la première semaine. Les approches avec agents (CrowdStrike, Sysdig) prennent quelques semaines à déployer sur l'ensemble des workloads. La valeur opérationnelle complète (processus de remédiation, intégrations, priorisation contextuelle stable) demande 2-6 mois selon la taille de l'organisation. L'apprentissage des équipes sur la plateforme prend aussi du temps mais les plateformes modernes ont d'excellentes UX et de nombreux tutoriels.

Une CNAPP remplace-t-elle l'EDR dans le cloud ?

Partiellement. Le volet CWPP d'une CNAPP couvre beaucoup de capacités EDR (scanning de workloads, détection runtime, protection contre malware). Certaines CNAPP avec agents (CrowdStrike Falcon qui est simultanément EDR et CNAPP, Sysdig) offrent une protection complète runtime. Cependant, les EDR historiques sont optimisés pour les endpoints (PC, serveurs on-premises, macOS, mobiles) et ont généralement une couverture plus profonde sur ces surfaces. Pour une organisation cloud-first uniquement, une CNAPP avec capacités runtime peut suffire. Pour une organisation hybride avec endpoints corporate, les deux restent nécessaires : EDR sur les postes et serveurs on-premises, CNAPP sur les workloads cloud. Certains éditeurs unifient les deux (CrowdStrike, SentinelOne, Microsoft Defender).

Comment mesurer le ROI d'une CNAPP ?

Plusieurs métriques concrètes :

Réduction du nombre d'outils : consolidation typique de 3-5 outils en 1, économies directes sur les licences.
Réduction du temps d'analyse : ~70% en moyenne grâce à la consolidation et priorisation (études Wiz, Gartner).
MTTR sur vulnérabilités cloud : typiquement divisé par 2 à 3.
Nombre d'incidents évités : difficile à quantifier mais la CNAPP permet de démontrer les remédiations proactives.
Conformité accélérée : temps de préparation des audits ISO, SOC 2, PCI divisé par 2-3.
Productivité des équipes sécurité : moins d'investigation manuelle, plus de focus stratégique.
Prévention d'un incident majeur : un seul incident cloud peut coûter plusieurs millions. La CNAPP se rentabilise si elle évite un seul incident significatif.