kras99 - stock.adobe.com

Conseil

Qu’est-ce que le maillage de cybersécurité ? Principales applications et avantages

Est-il temps d’envisager une approche différente de l’architecture de sécurité ? Le maillage de cybersécurité pourrait être un moyen efficace d’aborder les environnements complexes et distribués.

Ed Moyle
par
Publié le: 25 août 2025

La plupart des programmes de sécurité sont extrêmement complexes. Ils utilisent plusieurs fournisseurs de services cloud, un éventail de services cloud différents, à travers des modèles IaaS, SaaS et PaaS.

Les environnements peuvent être extrêmement complexes. Même une application individuelle peut couvrir plusieurs modèles de services cloud provenant de plusieurs fournisseurs. Prenons l’exemple d’une application basée sur des services qui effectue les opérations suivantes :

  • Utilise AWS Lambda et Microsoft Azure Functions pour servir des pages de contenu à partir de conteneurs dans Google Cloud Run.
  • Gère rapidement les livraisons statiques et les calculs logiques en périphérie.
  • Intégration API avec Salesforce.
  • Se connecte à l’API d’un partenaire commercial hébergée sur Fly.io.
  • Utilise les services d’identité d’Okta (Auth0).

Ce scénario n’est pas irréaliste. Mais considérez le nombre de fournisseurs de services et de modèles différents qui y sont intégrés. Il n’y a pas moins de sept services et/ou fournisseurs cloud ; ils englobent les trois modèles standard d’informatique cloud, le CDN et l’informatique en périphérie, et s’étendent sur plusieurs couches de la pile applicative.

Malgré cela, cet exemple est nettement moins complexe que de nombreuses applications réelles sur le terrain. Ne sont pas inclus des outils tels que Rollbar et LogRocket pour l’enregistrement du comportement des applications, des outils de suivi de l’engagement tels que Meta Pixel, des outils de gestion des balises tels que Google Tag Manager, des intégrations de support telles que Intercom, Zendesk, et des outils de gestion des consentements tels que OneTrust. De plus, il peut y avoir des douzaines – voire dans certains cas des centaines – d’environnements CI/CD, de staging, de test et d’intégration.

Le fait est que les écosystèmes technologiques sont devenus fragmentés, décentralisés et découplés. Dans le même temps, de nouveaux développements sont apparus. L’adoption du maillage de services dans les architectures natives de Kubernetes, par exemple, représente un découplage supplémentaire de la sécurité et du routage. Les environnements et les actifs de plus en plus éphémères augmentent fortement le nombre d’identités. Nous avons également assisté à une évolution significative résultant de l’intégration de l’IA dans les applications elles-mêmes et dans la manière dont elles sont construites.

Sécuriser quoi que ce soit dans ces conditions met à rude épreuve les architectures de sécurité d’antan. Nous avons besoin de nouvelles approches capables de gérer la complexité inhérente et de relier les différents services et plateformes. C’est là que le maillage de cybersécurité entre en jeu.

Le maillage de cybersécurité promet de décentraliser le contrôle de trois manières essentielles :

  • Découpler l’application des politiques de l’infrastructure.
  • Permettre un contrôle d’accès granulaire sur les actifs distribués.
  • Modulariser les services de sécurité en une structure continue qui intègre la visibilité, l’identité, l’assurance et l’analyse.

Qu’est-ce que le maillage de cybersécurité ?

À l’instar du modèle de sécurité sans confiance (ou zero trust), l’architecture maillée de cybersécurité (CSMA) doit être considérée comme une approche architecturale ou une philosophie de conception plutôt que comme une technologie, un segment de marché ou une capacité spécifique. En d’autres termes, il ne s’agit pas d’un produit, même si de nombreux fournisseurs tentent de le vendre comme tel.

L’analogie avec le « sans confiance » est utile. Rappelons que le zero-trust consiste fondamentalement à changer d’état d’esprit pour présupposer que les environnements réseau, y compris les réseaux d’entreprise, les centres de calcul, les clouds privés virtuels et ainsi de suite, sont compromis et potentiellement hostiles. Il s’agit bien sûr d’une simplification, mais remarquez comment ce simple changement d’état d’esprit entraîne une multitude de changements architecturaux et conceptuels : sécurité des transmissions omniprésentes, authentification forte des utilisateurs et des machines, microsegmentation, politiques d’accès adaptatives, etc. La prémisse centrale – que le réseau n’est pas digne de confiance – exige implicitement et logiquement que nous adaptions l’architecture.

Le CSMA est similaire à cet égard, mais il part du principe que les environnements sont fondamentalement disparates et hétérogènes, que les actifs sont logiquement et physiquement séparés et que les implémentations des services de base tels que l’authentification et l’audit sont déconnectées les unes des autres.

Il découle logiquement de cette hypothèse bien justifiée que les contrôles de sécurité doivent s’adapter. On ne peut pas supposer que chaque environnement et chaque système sécurisera les communications de la même manière, signalera les événements dans le même format, appliquera l’identité de manière équivalente, etc.

Gartner définit le maillage de cybersécurité comme « un écosystème collaboratif d’outils et de contrôles pour sécuriser une entreprise moderne et distribuée. Il s’appuie sur une stratégie d’intégration d’outils de sécurité composables et distribués en centralisant les données et le plan de contrôle afin d’obtenir une collaboration plus efficace entre les outils. Les résultats comprennent des capacités de détection améliorées, des réponses plus efficaces, une politique cohérente, une gestion de la posture et du playbook, et un contrôle d’accès plus adaptatif et plus granulaire – tous ces éléments conduisant à une meilleure sécurité ».

Principaux éléments du maillage de cybersécurité

Le maillage de cybersécurité peut être considéré comme une couche d’orchestration reliant plusieurs couches de fonctionnalités :

  • Analyse de la sécurité et télémétrie.
  • Identité (à la fois l’identité de la machine et celle de l’utilisateur).
  • Gestion des politiques.
  • Consolidation des rapports.

Pour comprendre les avantages d’une telle approche, réfléchissez à la manière dont vous appliqueriez une politique de sécurité unique ou déploieriez un contrôle uniforme dans plusieurs implémentations de fournisseurs de services. Vous devrez traduire l’objectif de la politique en différentes configurations, API, interfaces d’administration, primitives d’application au sein de chacun des services pour les actifs concernés.

Prenons l’exemple de la gestion des clés cryptographiques. Stocker un secret dans Azure Key Vault de Microsoft est différent de le faire dans AWS CloudHSM et Google Cloud Key Management ; chacun a sa propre API, son interface d’administration et son modèle de sécurité. Mais si chaque service est différent sur le plan technique et de la mise en œuvre, l’utilisation de ces services permet d’atteindre le même objectif, à savoir la gestion des clés et des secrets en cloud.

La valeur promise par le maillage de cybersécurité est de consolider la politique et la gestion de la posture en traduisant les objectifs abstraits de la politique, tels que la gestion des clés, en configurations techniques spécifiques pour les mettre en œuvre. Dans cet exemple de gestion des clés, les équipes pourraient décider d’enregistrer tous les accès aux clés cryptographiques. Elles pourraient exiger que les clés aient une certaine longueur ou une certaine période d’expiration.

Cette même philosophie s’applique aux rapports. Pour surveiller les actifs du point de vue de la sécurité – qu’il s’agisse de métriques, de mesures, de rapports ou d’analyses –, il faut trouver un moyen de collecter et de consolider ces informations et de les relier à des informations sur les actifs et les menaces. Étant donné que les actifs produisent des rapports différents en fonction du type d’appareil, de l’environnement, de la configuration et d’autres facteurs, un certain échafaudage est nécessaire pour les réunir afin que la télémétrie puisse être analysée de manière holistique.

Enfin, l’identité doit s’étendre à tous les environnements. Serait-il acceptable que les utilisateurs ou les clients doivent se ré-authentifier pour accéder à une application si différents éléments de l’application se trouvent dans des environnements PaaS ou IaaS différents ? Bien entendu, ce n’est pas le cas. Par nature, la structure d’identité doit couvrir plusieurs environnements.

Avantages du maillage de cybersécurité pour les entreprises

Les professionnels de la sécurité peuvent acheter un grand nombre de produits qui contribuent à la réalisation des couches fondamentales de la CSMA. De même, les organisations alignent depuis des années leurs stratégies pour dissocier la politique de l’application, pour éliminer les silos dans leur pile de sécurité et pour s’adapter à un périmètre de plus en plus poreux et fragmenté. Elles l’ont fait en raison des risques associés au passage au travail en tout lieu, à la prolifération de l’utilisation multicloud, à l’augmentation de la complexité des applications et à des applications plus modulaires.

Dans une perspective à long terme, le CSMA contribue à la réussite du programme de cybersécurité de l’entreprise de trois manières importantes :

  1. Changements philosophiques. Les influences du marché déterminent les architectures réelles, ce qui modifie encore les feuilles de route des produits pour répondre à la demande des clients. Pensez au « sans confiance ». Ce concept remonte au milieu des années 1990, mais il n’est devenu populaire que lorsqu’il a été adopté par Google (BeyondCorp) en 2009 et par Forrester Research en 2010. De nouvelles entreprises et de nouveaux fournisseurs de technologie se sont formés autour de ce concept, favorisant l’innovation et l’introduction de nouvelles fonctionnalités dans les portefeuilles de produits des fournisseurs existants. Il en va de même ici. Les praticiens qui trouvent le modèle convaincant peuvent être à l’affût de produits qui contribuent à la réalisation de la vision.
  2. Acceptation par l’industrie. L’acceptation de la CSMA en tant que stratégie architecturale viable peut potentiellement simplifier les discussions architecturales autour de la sécurité multicloud, du cloud hybride, de l’orchestration et de la conteneurisation. En se concentrant sur la complexité des relations entre les clouds, les praticiens peuvent planifier en conséquence.
  3. Prise de conscience et acceptation de l’hétérogénéité. Cela accélère l’interopérabilité. À mesure que des politiques plus abstraites sont liées à des configurations spécifiques, les capacités convergent vers des objectifs politiques généralement acceptés. Les clients commenceront à demander aux fournisseurs de services pourquoi ils n’ont pas certaines capacités. Plus nous synchronisons les informations de surveillance provenant de différents fournisseurs, plus nous pouvons les intégrer dans une image centrale. Cela peut également atténuer les inquiétudes liées à l’enfermement dans un fournisseur.

Applications concrètes du maillage de cybersécurité

Alors, à quoi ressemble une approche de cybersécurité maillée en production ? Le point de départ étant un changement de point de vue – c’est-à-dire l’acceptation de la variance, de la décentralisation et de l’hétérogénéité –, il s’agit en fait de tenir compte de ces éléments dans votre philosophie de conception et de les adopter en tant que principes fondamentaux.

Si vous suivez une méthodologie architecturale formalisée telle que TOGAF ou SABSA, cela signifie que vous incluez le support de ces idées au niveau fondamental et tout au long de la plupart des phases de planification (c’est-à-dire les phases A à D de TOGAF ADM ; et les vues contextuelles, conceptuelles et logiques dans SABSA). Si vous utilisez un processus plus ad hoc, cela signifie que vous planifiez et tenez compte de ces éléments dès le début du projet, tout au long de la définition des exigences commerciales et, en fin de compte, des exigences techniques. Ils sont intégrés en tant qu’hypothèses fondamentales.

Pour illustrer cela, prenons une situation hypothétique.

Supposons que vous travailliez dans une grande organisation multinationale dotée d’un environnement multicloud. Pour l’application des politiques, vous souhaiteriez normaliser la définition des politiques et découpler la définition des politiques de l’application et/ou de la mise en œuvre. Pour ce faire, vous pouvez utiliser des outils multicloud, qui peuvent être un produit commercial tel que Wiz ou une option open source telle que Open Policy Agent. Vous pourriez consacrer du temps à la normalisation de la gestion de l’accès avec, par exemple, des définitions de rôles, des normes de dénomination des identités et autres – même si les mécanismes d’application spécifiques diffèrent dans chaque environnement en nuage. Vous pourriez intégrer la télémétrie en temps réel et les informations des journaux à un flux de travail SIEM et SOC central, en utilisant éventuellement un SIEM basé dans le nuage, tel que Microsoft Sentinel ou Google Security Operations, anciennement Chronicle, pour aider à la détection et à la réponse.

Les cas d’utilisation spécifiques dicteront la manière dont vous interpréterez et appliquerez ces hypothèses.

Considérations et défis liés à la mise en place d’un maillage de cybersécurité

L’avantage du passage philosophique et architectural au maillage de cybersécurité est qu’il existe de nombreuses façons de le mettre en pratique. Et comme ces options ne sont pas liées à une technologie ou à une mise en œuvre particulière, les défis techniques ne sont pas aussi importants qu’ils pourraient l’être dans d’autres projets.

Cela dit, il faut être conscient de deux pièges potentiels liés au maillage de cybersécurité.

Tout d’abord, il convient d’être prudent avec les environnements et les architectures existants. Ce n’est pas parce que vous vous appuyez sur l’hypothèse d’une application distribuée des politiques que vous modifiez les hypothèses formulées dans le passé. Les actifs existants peuvent dépendre fortement des services fournis par l’environnement ; ils peuvent supposer la présence de systèmes et de contrôles de soutien tels que les services d’authentification de domaine et les agrégateurs de journaux sur site. Fixez des attentes réalistes sur ce qui pourrait être nécessaire pour aligner les actifs et les applications existants sur les hypothèses que vous mettez en place.

Une deuxième préoccupation concerne la manière dont les fournisseurs commercialisent le maillage de cybersécurité. Alors que les fournisseurs mettent à jour leurs portefeuilles de produits en gardant à l’esprit les objectifs de la CSMA – et cela peut être extrêmement utile –, il faut rappeler que le maillage de cybersécurité n’est pas une catégorie de produits au même titre que le SIEM, les scanners de vulnérabilité ou les outils de balayage de code. Si un fournisseur décrit un produit comme étant prêt pour le maillage de cybersécurité, examinez attentivement cette affirmation. Assurez-vous de comprendre ce que cela signifie réellement. Ces explications seront probablement différentes d’un cas à l’autre, alors assurez-vous d’inclure cela dans votre processus de sélection des fournisseurs.

Maillage de cybersécurité et confiance zéro : sont-ils compatibles ?

Des questions pratiques se posent également en ce qui concerne la relation entre la confiance zéro et le maillage de cybersécurité. S’opposent-elles ou s’alignent-elles ? L’un éclipse-t-il l’autre ? Les deux peuvent-ils être utilisés en même temps ?

La confiance zéro et le maillage de cybersécurité sont fondamentalement des changements de paradigme dans la façon dont nous envisageons l’architecture de la sécurité. La première part du principe que tous les environnements ne sont pas dignes de confiance ; la seconde part du principe que les actifs sont distribués. Non seulement ces hypothèses ne s’opposent pas, mais elles sont synergiques.

Les environnements disparates et non homogènes dans lesquels nous déployons nos actifs peuvent absolument être considérés comme fondamentalement indignes de confiance. Il s’agit en fait d’une hypothèse astucieuse et pratique à prendre en compte lorsqu’on envisage un environnement de location partagée tel qu’un fournisseur d’informatique en nuage.

Le maillage de cybersécurité vise à dissocier la définition de la politique de son application locale. Pour ce faire, une équipe de sécurité doit placer les points d’application de la politique aussi près que possible de l’actif qu’elle régit, soit en tant que partie de l’actif, soit dans son orbite directe. Il s’agit également d’un principe fondamental de la confiance zéro, étant donné que les environnements (et, par extension, certains services environnementaux partagés) sont moins fiables. Une fois encore, cela permet à la CSMA et à la confiance zéro de renforcer leurs préceptes respectifs.

Une complication potentielle est spécifiquement liée à la manière dont les fournisseurs utilisent les termes « maillage de cybersécurité » et « confiance zéro ». Ces deux concepts ont été bien accueillis par le marché et constituent l’épine dorsale de plusieurs produits. Néanmoins, il existe toujours un risque d’opérations contradictoires au niveau d’un produit individuel. Par exemple, un contrôle orienté sans confiance, tel qu’une passerelle, peut bloquer l’accès en raison d’un contrôle d’identité strict ; un autre produit, tel qu’un moteur de politique intégré aligné sur le CSMA, peut déjà avoir évalué la même session comme étant à faible risque sur la base de signaux contextuels. Dans certaines situations, cela pourrait conduire à des décisions contradictoires, à moins que les politiques ne soient bien alignées. Comme toujours, il est essentiel de définir clairement les exigences lors de l’achat d’une technologie.

L’avenir du maillage de cybersécurité

Alors, que faire maintenant ? Les actifs distribués sont utilisés dans divers environnements avec des implémentations de contrôle de sécurité variées, et cette réalité n’est pas près de changer. En fait, cette réalité devrait s’accentuer à mesure que les organisations continuent d’adopter l’orchestration de conteneurs, de mettre en œuvre l’infrastructure en tant que code et d’employer des actifs éphémères. Par conséquent, les hypothèses fondamentales de CSMA sont susceptibles de rester valables.

Au fur et à mesure que ces idées seront plus généralement acceptées, elles deviendront probablement moins remarquables. Nous ne les considérerons pas comme un cadre conceptuel différent ou modifié. Cela peut prendre du temps, mais, comme la confiance zéro, le maillage de cybersécurité deviendra l’approche architecturale que la plupart des organisations adopteront au fur et à mesure de l’évolution de la cybersécurité de l’entreprise. À court terme, il représente un moyen pratique et utile pour les organisations de planifier leur pile de sécurité.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)