SSPM vs CSPM : quelle est la différence ?

Qu’est-ce que la SSPM ?

Les produits SSPM sont des plateformes basées sur le cloud qui surveillent uniquement les applications SaaS, sans couvrir les déploiements PaaS ou IaaS. Les outils de SSPM détectent les configurations, contrôlent les accès entre les applications SaaS, y compris la connectivité API, et gèrent l’intégration de la gestion des identités et des accès (IAM) ainsi que les attributions de privilèges.

Certains outils de SSPM peuvent évaluer et signaler la posture des appareils des utilisateurs finaux avant d’autoriser l’accès aux applications SaaS. Ils peuvent également détecter le shadow IT, des problèmes de conformité, et plus encore.

Il est important de noter que les produits de SSPM ont des limites. Par exemple, ces outils peuvent prendre en charge certaines applications SaaS spécifiques dans un catalogue défini, mais ne pas couvrir toutes les applications SaaS utilisées par une organisation. Il est donc crucial de vérifier quelles applications sont prises en charge lors de l’évaluation des produits de SSPM.

Qu’est-ce que la CSPM ?

Les plateformes de CSPM sont des plateformes basées sur le cloud qui surveillent en continu les configurations PaaS et IaaS ainsi que la posture des vulnérabilités. Elles fonctionnent majoritairement avec les principaux services cloud tels que ceux d’AWS, Microsoft Azure et Google Cloud, et parfois Alibaba Cloud et Oracle Cloud.

Les plateformes de CSPM offrent une visibilité sur les actifs des services cloud, tels que les buckets S3 d’AWS, les conteneurs, etc. Initialement axés sur le signalement des faiblesses de configuration et des vulnérabilités, de nombreux outils de CSPM ont évolué pour inclure également la remédiation des ressources mal configurées.

Avec l’expansion continue des offres PaaS et IaaS, il est recommandé de choisir une plateforme de CSPM capable de surveiller en continu tous les aspects des environnements cloud déployés, y compris :

• Les rôles et comptes IAM
• La sécurité des données et du stockage
• La posture de vulnérabilité des workloads et l’exposition
• Les contrôles d’accès réseau

Comparaison entre SSPM et CSPM

En général, les plateformes de SSPM et de CSPM ne protègent pas les mêmes domaines, bien qu’il y ait quelques exceptions :

• Les deux peuvent offrir une visibilité sur l’intégration IAM et les privilèges, qui peuvent être centralisés dans un modèle fédéré unique pour l’accès aux SaaS, PaaS et IaaS.
• Les deux fournissent généralement une gamme de rapports de conformité et de standards, tels que les CIS Benchmarks pour certains outils SaaS et clouds IaaS, ainsi que les exigences réglementaires telles que PCI DSS.
• Les deux peuvent offrir un certain degré d’analyse sur l’exposition des API dans leurs types de services cloud respectifs.
• Les deux peuvent produire des alertes et des données de journal qui peuvent être transmises à une fonction des opérations de sécurité pour faciliter la réponse aux incidents, les enquêtes et les activités de chasse aux menaces.

En dehors de ces aspects, les plateformes de SSPM et de CSPM se concentrent sur des éléments différents. La SSPM s’intéresse davantage aux applications SaaS complexes avec une large gamme d’API et de fonctionnalités, tandis que la CSPM se concentre principalement sur les configurations de base pour divers actifs PaaS et IaaS.

SSPM, CSPM ou les deux ?

Quelles plateformes les organisations devraient-elles adopter, et quels sont les moteurs uniques pour investir dans une plateforme de gestion de la posture de sécurité ?

À moins qu’une entreprise n’ait un besoin immédiat et impérieux d’outils de SSPM, il pourrait être judicieux d’attendre que le marché évolue. Actuellement, le marché tend vers une consolidation potentielle des fonctionnalités de SSPM avec d’autres options de sécurité cloud centrées sur les SaaS, notamment les passerelles d’accès au cloud sécurisé (CASB). Dans un avenir proche, il est également possible que les fournisseurs de plateformes de protection des applications cloud-native (CNAPP), qui se trouvent souvent dans le même espace que les fournisseurs de CSPM, se lancent dans une frénésie d’acquisitions de fournisseurs SSPM.

Pour toute organisation ayant une présence significative dans les environnements PaaS et IaaS, une plateforme de CSPM devient rapidement indispensable. Avec les CNAPP intégrant désormais la protection des workloads, des outils de sécurité des pipelines, l’accès réseau à confiance zéro et les capacités de CSPM, il est judicieux d’explorer le marché des CNAPP pour déterminer quelles capacités de gestion de la posture sont les mieux adaptées.

Il est presque certain que la plupart des organisations finiront par utiliser à la fois une plateforme de SSPM et une plateforme de CSPM, mais pour le moment, le besoin d’une plateforme de CSPM l’emporte sur celui d’un outil de SSPM.