L’une de nos valeurs culturelles chez Zscaler est la passion du client : nous attendons de chaque employé qu’il aille non seulement au-delà des attentes des clients, mais qu’il comprenne profondément les problèmes qu’ils rencontrent, pour mieux pouvoir les aider à les résoudre. Notre conviction concernant la façon de résoudre les problèmes auxquels les entreprises sont confrontées ne nous vient pas de la lecture d’articles de presse ou de rapports d’analystes (bien que ces deux ressources puissent être utiles), mais du fait d’avoir échangé de manière ouverte et directe avec nos clients le plus souvent possible.

À mesure que nous avons étendu notre plateforme Zero Trust Exchange au cours des deux dernières années pour protéger tant les applications et les charges de travail cloud natives que les utilisateurs, nos équipes de produits et de direction ont débattu des centaines de fois sur le sujet. Qu’avons-nous appris ?

La sécurité du cloud est fondamentalement défaillante

Dans les environnements cloud natifs modernes, les équipes de développement innovent plus vite que jamais. Les méthodologies de développement d’applications s’éloignent du modèle traditionnel « en cascade » pour s’orienter vers des processus plus agiles d’intégration continue/livraison continue (CI/CD) avec une automatisation de bout en bout. Ainsi, les développeurs ont adopté des architectures basées sur des microservices conçues à l’aide de conteneurs, assemblées dans des pipelines de développement de style DevOps et déployées de manière programmatique dans des infrastructures cloud.

Hélas, les outils de sécurité n’ont pas suivi et ne sont pas adaptés à la vitesse et à l’échelle des applications cloud natives axées sur les développeurs, les API et l’infrastructure. La plupart des entreprises utilisent aujourd’hui une soupe d’acronymes d’outils pour assurer une couverture complète de la sécurité du cloud. CSPM, CIEM, analyse IaC, CWPP, CNAPP, DLP, analyse de vulnérabilité, etc. font tous partie de la « pile » standard, certains provenant de fournisseurs de cloud et d’autres de fournisseurs de sécurité tiers.

Le défi des outils de cybersécurité

Ces outils ponctuels de cybersécurité ne s’intègrent pas les uns aux autres, ne traitent que des faiblesses de sécurité très étroites et peinent à corréler les risques, ce qui entraîne des problèmes, tels qu’un manque de visibilité, une complexité et des frictions entre les équipes interfonctionnelles, qui ralentissent la progression générale.

Pour faire face à l’ampleur et à la rapidité du développement d’applications cloud natives, les entreprises doivent adopter une approche de sécurité globale qui comprend l’ensemble du cycle de vie CI/CD afin de s’intégrer de manière transparente aux flux de travail des développeurs et des DevOps. Une telle approche requiert une architecture simplifiée qui établit des corrélations entre les faiblesses du cloud et des charges de travail afin de hiérarchiser les risques réels et d’apporter des solutions via les flux de travail préférés de chaque partie prenante, le plus tôt possible dans le processus de développement.

La bonne équipe pour résoudre le problème

Lorsqu’on s’attaque à de nouveaux domaines aussi importants que celui-ci, il n’est pas rare d’entendre dire que l’équipe doit être dotée d’un « ADN de startup ». Toutefois, d’autres diront que « rien ne peut remplacer les personnes qui ont fait évoluer une plateforme et qui sont encore là pour en parler ». Avec Posture Control, l’équipe que nous avons constituée provient du meilleur des deux mondes.

Nous avons considérablement développé les équipes qui ont rejoint Zscaler suite à nos acquisitions de Cloudneeti et Trustdome. Nous avons embauché des équipes entières qui ont fait évoluer d’autres plateformes de cybersécurité pour prendre en charge de nouveaux domaines tels que l’analyse des vulnérabilités et les intégrations DevOps, et nous avons effectué des transferts internes depuis l’équipe qui a fait de Zscaler le géant de la cybersécurité qu’il est aujourd’hui.

Le résultat ? Une équipe de centaines d’ingénieurs chevronnés et très motivés, dotés de l’ADN d’une startup et d’une capacité éprouvée à évoluer, qui se concentrent tous sur la sécurité du cloud public et sur notre dernier produit, Posture Control.

Présentation de Posture Control de Zscaler

Zscaler Posture Control est une plateforme de protection des applications cloud natives (ou CNAPP) complète qui réinvente la sécurité du cloud. Elle a été conçue pour identifier tout au long du cycle de vie du cloud les risques cachés causés par une combinaison de configurations erronées, de menaces et de vulnérabilités. La plateforme met en corrélation les signaux provenant de plusieurs moteurs de cybersécurité afin d’identifier et de hiérarchiser les risques et les incidents de sécurité liés au cloud. Une architecture entièrement sans agent rationalise la sécurité des charges de travail (pour 100 % des charges de travail) ; l’intégration d’outils natifs signifie que les développeurs et DevOps peuvent identifier et remédier aux problèmes de sécurité sans pour autant ralentir le travail.

Figure : Nouvelle interface utilisateur complète et tableau de bord des alertes de Posture Control

Posture Control a été conçu dès le départ comme une plateforme entièrement nouvelle. On aurait pu s’attendre à ce que nous combinions des technologies telles que le CSPM, fruit de notre acquisition de Cloudneeti, et le CIEM, fruit de notre acquisition de Trustdome, en une seule interface utilisateur et un seul compte utilisateur, mais une telle approche ne résoudrait pas les problèmes que nos clients nous ont signalés à maintes reprises. Ce n’est qu’en repensant chaque aspect du produit, de l’intégration et du déploiement à la notation des risques et à la hiérarchisation, qu’un produit comme celui-ci peut appréhender les besoins actuels et à venir.

Figure : Enquête de corrélation avancée des menaces et des risques et résultats des voies d’attaque

Au cœur de la plateforme se trouve une base de données unifiée qui exploite de nombreuses sources différentes pour identifier et analyser les combinaisons de faiblesses du cloud et des charges de travail que les hackers sont le plus susceptibles d’exploiter. La hiérarchisation des risques qui en résulte renforce considérablement l’efficacité des équipes InfoSec.

Les intégrations natives dans les flux de travail de développement et DevOps permettent à ces mêmes équipes de s’associer plus efficacement à l’entreprise du directeur technique, minimisant ainsi les remaniements de sécurité coûteux et fastidieux, ainsi que le nombre de faiblesses qui s’immiscent dans vos environnements cloud de production.

Zscaler pour les charges de travail

Combiné à Zscaler Internet Access (ZIA) pour les charges de travail et à Zscaler Private Access (ZPA) pour les charges de travail qui sécurise les applications au moment de l’exécution, Zscaler Posture Control fournit une protection complète aux applications traditionnelles et cloud natives exécutées sur n’importe quel service dans n’importe quel cloud.