Getty Images/iStockphoto

Cloud Security Platform : Datadog unifie son offre de sécurité

Datadog ne veut plus seulement superviser les environnements cloud, il veut aussi les sécuriser. Ainsi, l’éditeur new-yorkais propose Cloud Security Platform, une offre construite en miroir de sa plateforme d’observabilité.

Au début du mois d’août, Datadog a introduit Cloud Security Platform, une offre qui condense les capacités dédiées à la sécurité de l’éditeur spécialiste du monitoring.

Cette offre émerge d’une stratégie lancée entre 2019 et 2020. Cloud Security Platform associe à Security Monitoring, le SIEM de Datadog, des produits consacrés à la posture de sécurité dans le cloud (Cloud Security Posture Management – CSPM), à la protection des workloads en nuage (Cloud Workload Security – CWS), à la sécurité des applications (Datadog Application Security), à « l’observabilité unifiée » et aux rapports de sécurité (Security Reporting).

CSPM vise à se conformer à des standards de sécurité. CSW doit détecter les menaces ciblant les instances cloud « en surveillant l’activité des fichiers et des processus ». Application Security, en bêta pour le moment, est l’implémentation de Sqreen, une solution combinant RASP, In-App WAF, CSP et Security Headers. « Ce sont des produits qui agissent sur différentes couches d’un système. Par exemple, Application Security surveille le comportement des applications, CSW monitore les hôtes, les serveurs ou encore les containers dans le cloud. CSPM permet, lui, d’éviter les erreurs de configuration, etc. qui alimentent notre SIEM », décrit Pierre Bétouin, vice-président Product Management chez Datadog, ancien CEO et cofondateur de Sqreen, une startup française acquise par Datadog en février 2021.

Surveiller les systèmes en production

« Nous avons une approche shift-left puisque nous avons accès au code applicatif, ce qui serait très difficile à faire si nous avions choisi de nous concentrer sur l’analyse des couches réseau », ajoute-t-il.

Si les DevSecOps et les praticiens de la cybersécurité adoptent également l’approche « Shift Left », c’est-à-dire l’introduction de mesures de sécurité au plus tôt dans le cycle de développement de leurs systèmes, les cyberattaquants font de même. Ils s’en prennent désormais aux chaînes logistiques, aux outils servant à coder et à déployer les applications. À court terme, Datadog n’entend pas s’attaquer frontalement à ce problème.

« Il y a deux grandes familles de produits de sécurité. Il y a la famille IT Sec ou IT Corp qui vise à superviser les ressources internes. Il y en a une autre qui cherche à sécuriser les applications. Ce sont deux paradigmes très différents qui ciblent deux types de menaces distincts. Datadog s’est toujours concentré sur cette deuxième partie », distingue Pierre Bétouin. « Nous surveillons les infrastructures, les services, les API et autres composants déployés en production ».  

Selon le responsable, il n’y a pas de « balle en argent » capable de résoudre toutes les problématiques de sécurité. Pour autant, bon nombre d’acteurs choisissent de s’étendre sur le marché de la cybersécurité par le truchement de ces deux angles. Certains, comme Datadog, Elastic ou Splunk proviennent du marché de l’observabilité, d’autres tels Palo Alto sont des pure-players de la cybersécurité.  

« Nous accélérons notre adoption de la sécurité grâce au succès de notre plateforme d’observabilité. Nos clients utilisent notre plateforme pour beaucoup de cas d’usage différents », assure Pierre Bétouin. « Nous avons créé une sorte de symétrie entre nos produits d’observabilité et de sécurité afin de diminuer la friction à l’adoption. Il n’y a personne à convaincre : les agents et les librairies sont identiques à ceux déjà en place chez nos 6 000 clients ».

Focus sur l’intégration de Sqreen

Pour autant, la peinture est encore fraîche. En l’occurrence, l’intégration de l’agent Sqreen n’est pas terminée. « C’est en cours. Cela fait environ quatre mois que nous intégrons Sqreen au sein de Datadog. Nous avons des clients qui emploient déjà Datadog Application Security », indique le Vice-président Product Management. « Au départ, nous avons employé nos agents pour collecter les données au socle d’acquisition de données de Datadog. Aujourd’hui, nous avons implémenté les technologies d’instrumentation de Sqreen dans les agents APM de Datadog. Dans la version en disponibilité générale, les utilisateurs n’auront aucune manipulation à effectuer pour les intégrer, hormis actualiser leurs agents », promet-il.

Évidemment, installer un agent, qui plus est augmenté par les technologies de Sqreen, a une influence sur la consommation de ressources. « Si vous voulez davantage de sécurité, vous ne pourrez pas éviter cette légère surconsommation de ressources », prévient Pierre Bétouin. « Nous sommes capables de la mesurer dynamiquement à chaque requête. Les clients peuvent configurer cet overhead en plaçant des seuils de 3 à 20 % des ressources, en fonction de la sensibilité d’une application à la sécurité ou à la performance ».

Sqreen proposait déjà une pratique similaire avec son agent qui affichait une moyenne de 4 % d’overhead. « Dans des instances cloud, il y a souvent des systèmes d’auto-scaling. Par exemple, une application peut consommer 60 % des ressources allouées pour s’autoriser des pics à 80 % avant le lancement de nouvelles ressources. Dans ces environnements, l’impact n’est généralement pas visible pour les utilisateurs », assure le vice-président.

Il reste également à effectuer une batterie de tests. De son côté, Sqreen dessert 800 clients. Proposer cette technologie aux utilisateurs de Datadog, demande de vérifier les capacités des composants de sécurité par rapport à davantage de frameworks et d’environnements et de types d’usage en production. Par ailleurs, Application Security bénéficiera d’une connexion directe aux traces relevées par Datadog APM pour affiner les analyses et les détections d’attaques, par exemple des injections SQL ou de scripts XSS. « La philosophie de Datadog est d’utiliser le même data set pour informer les Dev, les Sec et les Ops », vante Pierre Bétouin.

Aussi Datadog doit supporter les clients existants de Sqreen « pendant au moins un an ». « Tous nos clients sont toujours chez Sqreen. Nous ne changerons rien tant qu’Application Security n’est pas en disponibilité générale. Nos clients ont la possibilité de migrer ou non vers Datadog », annonce l’ancien CEO de la startup française. « Nous avons une base d’utilisateurs relativement commune, même s’ils n’ont pas tout à fait les mêmes usages ».

Pierre Bétouin n’a pas d’information à communiquer concernant le taux d’attrition des clients de Sqreen et avoue qu’il aurait bien du mal à l’évaluer. Cependant, il reçoit de « bons signaux » des usagers qui réclamaient davantage de fonctionnalités accessibles depuis une seule plateforme. « Nous avions déjà commencé à effectuer des intégrations “one click” à Datadog pour transférer les données vers cette plateforme. Nous sommes très confiants de ce point de vue. Et quand bien même il y aurait un peu d’attrition, cela serait sans véritable conséquence sur l’activité de Datadog », avance-t-il.

Cloud Security Platform : les chantiers en cours

« Il y a différents rôles à faire communiquer, différents cas d’usage à desservir. »
Pierre BétouinVice-président Product Management, Datadog

Concernant le modèle économique de Cloud Security Platform, il serait « cohérent avec celui des autres produits de Datadog ». Les entreprises peuvent souscrire individuellement à chacune des briques qui composent Cloud Security Platform. Security Monitoring est facturé 20 centimes de dollar par Go analysés, Cloud Workload Security coûte à minima 15 dollars par hôte par mois, et le prix de CSPM débute à 7,50 dollars par mois. Datadog n’affiche pas publiquement les tarifs pour les entreprises qui adopteraient tous les produits compris dans Cloud Security Platform.

Enfin, Datadog sait bien que son ambition de réunir les développeurs, les professionnels de la sécurité et des opérations sur une même plateforme posera à la fois des défis d’adoption et des obstacles techniques. « Il y a différents rôles à faire communiquer, différents cas d’usage à desservir. […] Nous sommes loin d’avoir gagné, nous avons encore beaucoup de choses à comprendre et à faire », reconnaît Pierre Bétouin. Ainsi, il faudra s’assurer d’améliorer la connexion entre les produits du portfolio sécurité et ceux dédiés à l’observabilité, afin de pouvoir retracer des chemins d’attaque de bout en bout, selon notre interlocuteur.

Pour approfondir sur Sécurité du Cloud

Close