Cairn Security
ASPM, CNAPP, CSPM : comment s'y retrouver dans les acronymes de la sécurité cloud
La sécurité applicative et cloud s’est couverte d’acronymes : CSPM, ASPM, CNAPP, sans parler de SAST, SCA, CIEM ou KSPM. Derrière ce jargon se cachent des périmètres bien réels, mais qui se recoupent largement. Voici une lecture simple pour décider de quoi vous avez vraiment besoin.
CSPM : la posture du cloud
Le CSPM (Cloud Security Posture Management) surveille la configuration de vos environnements cloud. Son travail : détecter les mauvaises configurations avant qu’elles ne deviennent des incidents.
- Buckets de stockage exposés publiquement
- Groupes de sécurité trop permissifs
- Chiffrement désactivé, journaux d’audit absents
- Dérives par rapport aux benchmarks CIS
Le CSPM est généralement agentless : il se branche via un rôle en lecture seule (par exemple un rôle IAM cross-account sur AWS) et inspecte l’API du fournisseur. Aucune installation côté machines.
ASPM : la posture des applications
L’ASPM (Application Security Posture Management) ne regarde pas le cloud, mais le code et la chaîne de livraison. Il consolide les signaux de sécurité applicative dans une vue unique :
- SAST : analyse statique du code source
- SCA : analyse des dépendances open source
- Détection de secrets : clés et tokens commités par erreur
- Scan IaC : Terraform, CloudFormation, Kubernetes
- SBOM : inventaire logiciel (CycloneDX, SPDX)
L’enjeu de l’ASPM n’est pas de scanner (beaucoup d’outils le font déjà) mais d’agréger, dédupliquer et prioriser les résultats de tous ces scanners. C’est la différence entre « 1 000 alertes » et « les 7 qui comptent ».
CNAPP : le tout-en-un, du code au runtime
Le CNAPP (Cloud-Native Application Protection Platform) est la catégorie qui réunit les précédentes. Le terme, popularisé par Gartner, désigne une plateforme qui couvre la sécurité du code jusqu’au runtime :
- Code & CI/CD (le périmètre de l’ASPM)
- Cloud (le périmètre du CSPM)
- Runtime (charges de travail, conteneurs, serveurs en production)
L’idée directrice : une vulnérabilité ne vit pas en silo. Une dépendance vulnérable (signal AppSec) déployée sur une machine exposée à Internet (signal cloud) et réellement appelée à l’exécution (signal runtime) est bien plus critique que la même dépendance enfouie dans du code mort. Seule une plateforme qui corrèle ces trois couches peut le dire.
En résumé
| Acronyme | Périmètre | Branchement |
|---|---|---|
| CSPM | Configuration du cloud | Rôle en lecture seule (agentless) |
| ASPM | Code, dépendances, CI/CD | OAuth sur le dépôt |
| CNAPP | Les trois + runtime | Les trois + agent optionnel |
Pourquoi une plateforme unifiée
Empiler un outil CSPM, un outil ASPM et un outil runtime, c’est récréer le problème que ces catégories prétendent résoudre : des alertes en double, des scores de risque incompatibles et aucune priorité commune.
C’est précisément le pari de Cairn Security : une seule plateforme qui couvre les trois axes, agrège les findings dans un référentiel unique, les priorise avec un score combinant EPSS, CISA KEV, exposition et reachability, puis laisse un SOC agentic piloté par l’IA écarter le bruit et préparer les correctifs.
La sécurité, balisée du code au cloud.