Lancée par l’entreprise de sécurité open source Paladin Cloud, la plateforme SaaS du même nom est axée sur la découverte de la surface d'attaque des entreprises et la gestion des vulnérabilités dans le cloud. Construite sur le noyau open source de Paladin Cloud, la plateforme met à disposition un ensemble de politiques de sécurité implémentées dans le code pour gérer des politiques étendues en s'intégrant dans divers systèmes d'entreprise et fournir ainsi une vue d'ensemble de la sécurité dans des environnements multicloud. « Notre plateforme de sécurité cloud aide les développeurs et les équipes de sécurité à définir la surface d'attaque de leurs actifs cyber, à vérifier que les contrôles de sécurité fournissent la protection attendue et à étendre leur posture de sécurité dans des environnements multicloud et hybrides », a déclaré Daniel Deeney, cofondateur et CEO de Paladin Cloud. Le téléchargement et l’usage de Paladin Cloud, initialement publié en juillet 2022 sur GitHub, sont entièrement gratuits. L’offre multicloud comporte une interface UI/UX améliorée et s'intègre aux plateformes d'identité fédérées (comme Active Directory).

De la sécurité cloud basée sur le code

La plateforme de sécurité dans le cloud effectue de la surveillance continue afin d'identifier et de visualiser les actifs numériques tout en détectant les vulnérabilités, les mauvaises configurations et les risques de sécurité. Paladin Cloud hiérarchise également les risques de sécurité pour aider les équipes DevOps à piloter les workflows et à faire de la remédiation automatisée. Basées sur le code et sans agent, les capacités de surveillance et d'alerte dans le cloud de la plateforme se combinent avec des intégrations tierces de systèmes d'entreprise pour permettre aux équipes de sécurité de valider les contrôles et les protections de sécurité existants. Par exemple, le produit contient un plug-in pour Qualys, un scanner de vulnérabilités, qui permet de cartographier automatiquement les installations Qualys dans l'inventaire des instances AWS Elastic compound cloud (EC2). Grâce à cette cartographie, il est possible d'identifier les angles morts et les lacunes de couverture où Qualys n'est pas installé et ne protège donc pas les instances AWS EC2. « La plateforme SaaS d’entreprise s'intègre de manière transparente avec les fournisseurs de services cloud comme AWS, Azure et Google Cloud, et les systèmes d'entreprise, comme Qualys, Tenable, Aqua et Red Hat ACS. Nous continuons également à ajouter de nouveaux plug-ins à la plateforme dans des systèmes d'entreprise largement déployés », a ajouté M. Deeney.

L'offre « security-as-code » de la plateforme, qui fait référence à plusieurs centaines de politiques de sécurité pré-codées provenant de références réglementaires du Centre pour la sécurité Internet (Center for Internet Security, CIS) et de l’Institut national des normes et de la technologie (National Institute of Standards and Technology, NIST), ainsi que des politiques de meilleures pratiques de l'industrie provenant d'autres sources organisationnelles, permet aussi aux entreprises de codifier leurs propres politiques de sécurité. « On ne peut que se réjouir de voir un nouvel acteur dans les domaines de la gestion de la posture de sécurité dans le cloud et de la plateforme de protection des applications natives du cloud », a déclaré Melinda Marks, analyste principale pour l’Entreprise Strategy Group (ESG). « Cette tendance à la sécurité en tant que code rencontre beaucoup de succès, car elle permet de codifier la sécurité dès les premières étapes des processus de développement afin de minimiser les mauvaises configurations ou les erreurs de codage. C’est très visible dans l'infrastructure open source en tant que code, où les développeurs utilisent des modèles pour mettre en place leur propre infrastructure au lieu d'attendre que le service IT ou les services opérationnels la mettent en place pour leur compte », a-t-elle ajouté. Grâce à des codes préconstruits, l'offre regroupe les actifs et les résultats de sécurité par utilisateurs, applications, produits, unités commerciales et services cloud afin restituer une vue granulaire et continue des environnements multicloud d'un client.

Une adoption précoce prometteuse

Selon Paladin Cloud, l'adoption précoce de la plateforme par les secteurs des services financiers, de la technologie et de la santé s’est traduite par une réduction de 30 % de la surface d'attaque en termes d'exposition aux vulnérabilités et aux menaces. « Paladin utilise des connecteurs pour aider les entreprises à identifier et à visualiser leurs actifs dans les environnements cloud, à évaluer leur protection en matière de cybersécurité, y compris les outils et les politiques qu'elles ont mis en place pour ces actifs, et à évaluer les lacunes afin qu'elles puissent appliquer les bons outils ou processus à tous leurs actifs », a encore déclaré Melinda Marks. « Cette solution innovante permet aux entreprises de s'assurer que les applications qu'elles placent dans des environnements cloud disposent des bons processus et outils de sécurité pour les protéger. Elle accélère aussi la remédiation grâce à des capacités d’application de correctifs à des groupes d'actifs », a-t-elle ajouté.

La plateforme automatise la gestion des incidents grâce à des intégrations de tickets comme JIRA et Slack, des alertes et des notifications. De plus, elle peut générer des rapports sur la base de plusieurs benchmarks et normes afin d'améliorer la gouvernance et la conformité. « Les solutions de sécurité open source sont plus populaires que les solutions des fournisseurs, car elles permettent aux entreprises de se connecter et d'utiliser facilement les solutions, alors que l’obtention d’une version de test, sans passer par le cycle d'achat d’une solution, peut s’avérer difficile. Le taux d'adoption de nombreux outils de sécurité open source, comme les outils de test, est élevé, et certains fournisseurs utilisent aussi les outils open source pour créer des produits connexes », a déclaré Daniel Deeney, le CEO de Paladin Cloud.