singkham - Fotolia

Sécurité du Cloud : Datadog se met à la remédiation

Datadog a récemment annoncé la disponibilité générale de Cloud Security Management et a enrichi Application Security Management. De la supervision, l’éditeur passe à la remédiation et se lance sur le marché des CNAPP.

Outre la supervision des infrastructures et des applications, Datadog s’intéresse depuis 2019 à la sécurité du cloud. Après avoir lancé son SIEM en 2020 – Datadog Security Monitoring, désormais nommé Cloud SIEM – il avait lancé l’année suivante Cloud Security Platform. Cette offre rassemblait ses solutions Cloud SIEM, Cloud Security Posture Management (CSPM), Cloud Workload Security (CWS), et Application Security.

Application Security Monitoring, issu du rachat du Français Sqreen – l’éditeur d’un RASP et d’un in-app WAF – , a été renommé Application Security Management (ASM), en avril dernier. À la même période, Datadog annonçait le rachat de Hdiv Security, un spécialiste de l’analyse statique de code.

Lors de sa conférence Dash 2022, ayant eu lieu le 18 et 19 octobre, Datadog a encore renommé rebattu les cartes de son offre de sécurité.

Il y a dorénavant trois offres distinctes : Cloud SIEM, Cloud Security Management et Application Security Management.

Avec Application Security Management, Datadog aboie… et mord

Concernant le changement de nom d’ASM, « la raison est que nous ne nous limitons plus au monitoring », affirme Pierre Betouin, Senior Vice-President Product Management chez Datadog, et cofondateur de Sqreen.

Pour rappel, au lancement, Application Security Monitoring ne bloquait pas les IP suspectes ou les vulnérabilités connues. La solution Application Security Management, elle, peut automatiquement bloquer des éléments douteux.

« Pour la première fois chez Datadog, nous ne fournissons pas une solution passive. Nous ne nous limitons pas à l’observation et l’analyse des problèmes », avance Pierre Betouin. « Désormais, nous permettons à nos utilisateurs de bloquer des comptes, des IP, des requêtes HTTP en un clic depuis le tableau de bord d’Application Security Management ».

« Pour la première fois chez Datadog, nous ne fournissons pas une solution passive. Nous ne nous limitons pas à l’observation et l’analyse des problèmes ».
Pierre BetouinSVP, Security Product Management, Datadog

De la même manière, il est possible de bâtir des workflows pour créer des tickets dans Jira, des notifications Slack ou PagerDuty. Un responsable prend alors la décision de bloquer un utilisateur ou un élément supposé malveillant.

Sous le capot, Datadog ne demande de déployer qu’un seul agent contenant toutes les fonctionnalités nécessaires à la surveillance, à la détection et à l’arrêt des menaces.

En sus de cette fonction de remédiation – « un changement de paradigme pour Datadog », selon Pierre Betouin – la nouvelle mouture d’ASM affiche les vulnérabilités dans les applications Web distribuées exécutées en production.

« C’est l’équivalent de ce que fait un acteur comme Snyk, mais en production », résume le SVP. Pour illustrer cette fonctionnalité, Pierre Betouin prend l’exemple de Log4Shell, une vulnérabilité qui a fait énormément de bruits.

« Avec Log4Shell, l’une des difficultés des équipes était de savoir où étaient les services dotés de ce composant Log4J 2 compromis. Avec ASM, l’on peut voir toutes les instances Log4J en production, l’on connaît leur version et l’on sait si elles sont vulnérables », assure-t-il.

Pour ce faire, Datadog s’appuie sur plusieurs bases de données de vulnérabilités open source. « Nous effectuons un travail de curation et de nettoyage », évoque Pierre Betouin. Plus tard, l’éditeur étendra cette fonctionnalité à des bases de données commerciales.

Par défaut, ASM détecte les attaques OWASP, dont les injections SQL, le cross-site scripting, ou encore la falsification de requêtes côté serveur. Le service détecte une quinzaine de vulnérabilités, une centaine de patterns d’attaque, et il est possible d’ajouter des règles de détection personnalisées.

Et comme Application Security Management ne cible pas les équipes de sécurité, mais davantage les développeurs applicatifs, il est possible d’enclencher le service depuis le tableau de bord de la solution APM de Datadog.

« Les agents vont se configurer automatiquement pour prendre en charge la partie ASM », avance le SVP. Précisons qu’il est nécessaire d’installer, de configurer APM pour utiliser ASM et d’envoyer les traces en provenance des services à surveiller vers Datadog.

Cette combinaison de WAF et de RASP est compatible avec les applications écrites en Java, .Net, Ruby, PHP, Go, Node.js et Python.

Datadog se lance sur le marché des CNAPP

La solution – dédiée à la sécurité des infrastructures –  Cloud Security Management (CSM), elle, rassemble les fonctionnalités de CSPM, de CWS, des capacités d’alertes, de gestion des incidents et de reporting.

« Nous avons rassemblé tout cela en une seule interface et nous y avons ajouté un catalogue de ressources [accessible en bêta N.D.L.R] », explique Pierre Betouin.

La combinaison de CSPM et de CSW permettrait à Datadog d’offrir une solution CNAPP (Cloud Native Application Protection Platform).

« Dans cette solution, nous superposons trois couches : les actifs, c’est-à-dire l’ensemble des instances surfacées par Datadog, les attaques que nous détectons, et les risques – les erreurs de configurations et les vulnérabilités », résume-t-il. « Finalement, nous cherchons à montrer avec cette vue unifiée s’il y a des services vulnérables ou mal configurés en production qui sont sous attaque ».

Pour ce faire, l’éditeur fournit le catalogue de ressources, auquel il associe un modèle graphe permettant de visualiser les relations entre les actifs, puis ajoute la possibilité de configurer des règles de détection personnalisées. CSPM automatise les audits et révèle les mauvaises configurations. CWS supervise les fichiers et les processus de monitoring pour détecter les menaces. Ces informations sont affichées en face des ressources listées dans le catalogue.

La mise au point de Cloud Security Management émanerait des retours de clients. Ils ne souhaitent plus attendre plusieurs semaines avant que l’équipe de sécurité ait terminé l’inventaire des ressources affectées nécessaire à l’étude et à la remédiation d’une attaque.

En se positionnant sur le marché CNAPP, Datadog se retrouve en face de Crowdstrike, Lacework, Palo Alto, Orca, Wiz, ou encore Sysdig.

Les éditeurs spécialistes de la cybersécurité ne seraient pas en capacité d’offrir ce type de solution, selon Pierre Betouin.

« Ils n’ont pas la couverture de l’infrastructure que nous arrivons à fournir », vante le SVP. « Datadog est un spécialiste de l’observabilité, les développeurs et les Ops ont largement déployé notre agent sur leurs instances. Et comme nous supervisons l’infrastructure et les applications, nous avons une vue "full stack" ».

Cette détection complète des actifs dans le cloud est pourtant au cœur de la promesse d’Orca, entre autres.

De même, les acteurs comme Splunk n’ont pas suffisamment intégré leurs solutions pour fournir cette vue unifiée, selon Pierre Betouin.

Mais il ne s’agit pas remplacer les SIEM, les EDR et les SOAR en place dans les entreprises, d’après Datadog. « Ces sujets sont traités par les équipes SOC et nous pouvons très bien envoyer des informations de sécurité vers ces outils », précise-t-il.

Avec ASM et CSM, il s’agit avant tout de fournir des fonctionnalités pour les développeurs et les opérationnels, dans le respect de l’approche DevSecOps.

« Les frontières entre les différents rôles sont de plus en plus floues. Les développeurs ont de plus en plus accès à la production, et les Ops ont de plus en plus accès au code », assure Pierre Betouin. « Vous avez exactement le même enjeu dans la sécurité. L’approche DevSecOps ne prendra réellement forme que si les équipes disposent d'une plateforme pour travailler ensemble ».

La cybersécurité, un nouveau « pilier » pour Datadog

Il y a tout de même une limite à la portée des solutions de Datadog. L’éditeur vend une plateforme qui ne peut pas être déployé sur site, rappelle Gartner. Certains de ses outils permettent tout de même une première forme de supervision hybride.

Ensuite, bien que Datadog ait largement étendu ses portefeuilles consacrés à la cybersécurité et au DeveSecOps, sa présence sur ces marchés demeurent récentes.

« Nous avons beaucoup de clients sur la cybersécurité, mais nous avons encore un long voyage à faire et c’est un investissement à long terme », défend Pierre Betouin. « Le fait de protéger des infrastructures et des applications est pour nous aussi important que de détecter des problèmes de performances et des pannes ».

Ce trois novembre, Datadog a également révélé ses résultats pour son troisième trimestre fiscal 2022.

Questionné au sujet de la traction de Datadog sur le marché de la cybsersécurité, Olivier Pomel, le PDG de Datadog, assuré qu’il observait un fort intérêt pour les produits de son entreprise. « De nombreux clients nous veulent de la partie. Nous investissons largement dans les produits [de cybersécurité] et il y a encore beaucoup de choses à venir », promet-il.

Datadog : la stratégie de la « plateforme unique » fonctionne

Au troisième trimestre 2022, l’éditeur a réalisé un chiffre d’affaires de 436,53 millions de dollars, en hausse de 61 % par rapport à la même période l’année dernière. Toutefois, il affiche des pertes nettes de l’ordre de 25,98 millions, contre 5,48 millions de dollars au troisième trimestre fiscal 2021. L’explication est simple : Datadog a pratiquement doublé ses dépenses en R&D entre Q3 2022 (205,38 millions de $) et Q3 2021 (112,67 millions de $).

Datadog a d’ailleurs annoncé une nouvelle acquisition, celle de CloudCraft, l’éditeur newyorkais d’un outil de visualisation et de collaboration consacré aux architectures cloud.

Au 30 septembre 2022, environ 2600 clients de Datadog génèrent des revenus récurrents annuels de 100 000 dollars, contre 1800 clients à la même période en 2021.

Au total, Datadog revendique 22 200 clients. Environ 80 % d’entre eux utiliseraient deux produits ou plus de la plateforme, 40 % en utilisent quatre ou plus, et 16 % en déploient six ou plus, selon les dires d’Olivier Pomel.

Selon Gartner, le modèle contractuel de l’éditeur est un avantage pour les clients. Ils peuvent souscrire à de nouveaux produits sans avoir à signer un nouveau contrat. Toutefois, le cabinet d’analyses souligne que Datadog fait preuve de peu de flexibilité concernant les prix pratiqués.

« Ceux qui négocient des contrats avec Datadog pour les grandes entreprises, ont exprimé leur frustration lorsqu'ils traitent avec les équipes de comptes de Datadog », précise Gartner dans son Magic Quadrant 2022 consacré au marché APM. « Ces difficultés comprennent le fait de se voir proposer des prix catalogue, l'inflexibilité des remises et des incitations limitées pour les contrats de plus d'un an ».

Pour approfondir sur Sécurité du Cloud, SASE

Close