Zeroday Cyber Academy

DevSecOps

CSPM : définition, vendors et stack 2026

CSPM 2026 : définition, CSPM vs CNAPP vs CWPP vs CIEM, Wiz/Prisma/Orca/MDfC/Prowler, shift-left IaC, multi-cloud, conformité NIS 2 DORA CRA. Hands-on Zeroday.

Naim Aouaichia
17 min de lecture
  • CSPM
  • CNAPP
  • Cloud Security
  • Wiz
  • Prisma Cloud
  • Orca Security
  • Defender for Cloud
  • Prowler
  • Steampipe
  • Multi-Cloud

Le CSPM (Cloud Security Posture Management) est une catégorie d'outils qui évalue en continu la configuration des ressources cloud (AWS, Azure, GCP, multi-cloud) contre des référentiels de sécurité et de conformité (CIS AWS/Azure/GCP Foundations Benchmarks, NIST SP 800-53, PCI-DSS v4.0, ISO 27001, SOC 2, NIS 2, DORA). Le CSPM détecte les misconfigurations (buckets S3 publics, Security Groups trop permissifs, chiffrement at-rest manquant, absence MFA sur comptes privilégiés, IAM over-permissive), les déviations par rapport aux baselines, et les chemins d'attaque potentiels via analyse graphique. Les solutions modernes 2026 vont au-delà du CSPM strict vers CNAPP (Cloud-Native Application Protection Platform) intégrant CWPP (Cloud Workload Protection), CIEM (Cloud Infrastructure Entitlement Management), DSPM (Data Security Posture Management). Les 5 vendors leaders en 2026 : Wiz (fondé 2020, valorisation 12 Mds $ en 2024, leader indépendant), Palo Alto Prisma Cloud (issu acquisitions RedLock, Evident.io), Orca Security (agentless SideScanning), Microsoft Defender for Cloud (natif Azure plus multi-cloud), Lacework (behavioral analytics, racheté Fortinet 2024). Les alternatives open-source : Prowler (300+ checks CIS/NIST), Steampipe (SQL querying APIs cloud), CloudQuery, ScoutSuite, CloudSploit. Pour shift-left DevSecOps, compléter le CSPM runtime par Checkov plus tfsec plus Terrascan plus Trivy Config en pipeline IaC — détection 80 % des misconfigurations avant production. Cet article détaille la définition précise du CSPM, la clarification de l'écosystème CSPM/CNAPP/CWPP/CIEM, les 5 fonctions clés, les vendors commerciaux 2026, les alternatives open-source, l'intégration shift-left, un bloc hands-on Prowler et notre bilan factuel.

1. Définition et rôle fondamental du CSPM

Définition opérationnelle : un CSPM évalue en continu la configuration cloud contre des référentiels de sécurité, détecte les déviations, produit des recommandations priorisées de remédiation, et fournit un dashboard de conformité pour audit et gouvernance.

5 fonctions clés CSPM 2026

  1. Misconfiguration detection : scan continu des ressources cloud contre CIS Benchmarks, MCSB (Azure), AWS Foundational Security Best Practices, CIS Controls v8.
  2. Compliance mapping : évaluation automatique contre frameworks réglementaires (NIS 2, DORA, PCI-DSS, ISO 27001, SOC 2, NIST SP 800-53, HIPAA selon contexte).
  3. Drift detection : détection des changes manuels post-déploiement IaC (drift configuration).
  4. Attack path analysis : cartographie graphique des chemins d'attaque possibles via combinaison de vulnérabilités, misconfigurations et permissions IAM.
  5. Asset inventory : inventaire complet des ressources cloud avec métadonnées (tags, owners, relations, compliance status).

Contexte historique

Le CSPM émerge en 2015-2017 pour répondre aux incidents massifs de buckets S3 exposés (Accenture 2017 : 137 Go de données clients exposées via 4 buckets S3 publics, Verizon 2017 : 14 millions de dossiers clients exposés, Capital One 2019 : 106 millions de dossiers exfiltrés via SSRF vers IMDS AWS). Les premiers CSPM : Dome9 (racheté Check Point 2019), Evident.io (racheté Palo Alto 2018), RedLock (racheté Palo Alto 2018). Le marché se consolide 2018-2021 autour de Palo Alto Prisma Cloud, émergence Orca Security (2019), Wiz (2020, croissance record), Lacework (2019).

2. CSPM vs CNAPP vs CWPP vs CIEM — clarifier l'écosystème

4 acronymes structurent l'écosystème cloud security 2026. Confusion fréquente pour débutants.

AcronymeNom completScopeQuestion répondue
CSPMCloud Security Posture ManagementPlan de contrôle cloud (IAM, networking, services cloud configurations)« Ma configuration cloud est-elle conforme ? »
CWPPCloud Workload Protection PlatformPlan de données workload (VMs, containers, serverless, K8s)« Mes workloads sont-ils protégés en runtime ? »
CIEMCloud Infrastructure Entitlement ManagementPermissions IAM cloud multi-provider« Qui peut faire quoi dans mon cloud ? Privilèges excessifs ? »
DSPMData Security Posture ManagementDonnées et classification (PII, secrets, payment)« Où sont mes données sensibles ? Sont-elles protégées ? »
CNAPPCloud-Native Application Protection PlatformPlateforme intégrée : CSPM + CWPP + CIEM + DSPM + Attack Path« Couverture sécurité cloud complète unifiée »

Évolution 2021-2026 : le terme CNAPP (concept Gartner 2021) s'est imposé comme terme marché dominant. Les vendors ne vendent plus de « CSPM seul » — ils vendent des CNAPP complètes. CSPM reste le nom populaire utilisé pour parler de la brique configuration assessment au sein d'une CNAPP, mais les offres commerciales intègrent les 4 briques.

Implication opérationnelle : quand un vendor dit « CSPM » en 2026, il parle en général de la brique CSPM de son CNAPP complet. Acheter un CSPM pur sans CWPP/CIEM/DSPM est rare — les offres modernes sont intégrées.

3. Les vendors commerciaux leaders 2026

VendorFondéPositionnementParticularitéTarification indicative
Wiz2020 (Israël)Leader indépendant CNAPPAgentless snapshot-based, attack path analysis, UX dev30-120 € par workload par mois selon volume et modules
Palo Alto Prisma Cloud2019 (consolidation)Leader historique CNAPPIntégration écosystème Palo Alto, matureSimilaire Wiz
Orca Security2019 (Israël)Agentless SideScanningAlternative Wiz, forte traction PME-ETISimilaire Wiz
Microsoft Defender for Cloud2018 (fusion Azure Security Center + Azure Defender 2021)CNAPP natif Azure plus multi-cloudIntégré écosystème Microsoft, inclus partiellement dans AzureGratuit CSPM Foundational, 5-15 $ par ressource CSPM Defender plus CWPP
Lacework2019 (racheté Fortinet 2024)Behavioral analyticsDétection anomalies runtimeSimilaire Wiz
Aqua Security2015Container et K8s security firstFort sur containers, CNAPP étenduTiered selon volume containers
Sysdig2013Open-source Falco plus commercialRuntime visibility avancéeHybride open-source et commercial
CrowdStrike Falcon Cloud SecurityExtension EDRCNAPP intégré plateforme CrowdStrikePour clients déjà CrowdStrikeBundle CrowdStrike
Trend Micro Cloud OneExtension historiqueCNAPP étenduMature, large base installéeTiered
Check Point CloudGuardIssu Dome9 2019CNAPP issu early CSPMMature, bon CIEMSimilaire leaders

Classement indicatif France 2026 : Wiz et Prisma Cloud dominent grands comptes (banque, assurance, CAC 40). MDfC natif chez clients Azure-first. Orca et Lacework en croissance chez scale-ups tech. Aqua et Sysdig forts sur containers/K8s stack.

4. Alternatives open-source complètes

OutilÉditeurCouvertureForce principale
ProwlerToni de la Fuente (open-source 2016), Prowler Pro depuis 2023AWS, Azure, GCP, Kubernetes300+ checks, rapide, CLI, Docker, CI/CD integration
SteampipeTurbot (2021)AWS, Azure, GCP, Kubernetes, GitHub, DigitalOcean, 140+ pluginsSQL querying APIs cloud, cross-cloud queries
CloudQueryCloudQuery (2020)AWS, Azure, GCP, 60+ pluginsAsset inventory SQL avec PostgreSQL backend
ScoutSuiteNCC GroupAWS, Azure, GCP, Alibaba, OracleRapport HTML, audit initial
CloudSploitAqua Security (open-source 2016+)AWS, Azure, GCP, OCI, GitHubScanner multi-cloud avec alertes
CartographyLyft (open-source 2019)AWS, Azure, GCP, GitHub, Okta, K8sGraph-based asset inventory avec Neo4j

Combinaison open-source recommandée 2026

  • Prowler pour scanner baseline AWS/Azure/GCP avec 300+ checks CIS.
  • Steampipe pour requêtes SQL ad-hoc cross-cloud, investigation fine.
  • Cartography pour attack path analysis manuelle via Neo4j queries.

Cette combinaison couvre 70-80 % des besoins CSPM de base pour PME ou scale-up early-stage gratuitement.

5. Exemple hands-on — Prowler scanner AWS

Installation et utilisation de Prowler pour scan sécurité AWS, reproducible en portfolio GitHub.

# ===== Installation Prowler =====
# Via pip (Python 3.9+)
pip install prowler
 
# Ou via Docker
docker run --rm -v ~/.aws:/root/.aws prowlercloud/prowler:latest aws --compliance cis_2.0_aws
 
# Ou via AWS CloudShell (zero install)
# (Prowler est pré-installé dans CloudShell)
 
# Verification installation
prowler --version
 
 
# ===== Configuration AWS credentials =====
# Option 1 - AWS CLI profile
aws configure --profile audit-sso
export AWS_PROFILE=audit-sso
 
# Option 2 - Assume role dedie audit
aws sts assume-role \
  --role-arn arn:aws:iam::123456789012:role/SecurityAuditRole \
  --role-session-name prowler-audit-session
 
 
# ===== Scan baseline complet AWS =====
prowler aws \
  --compliance cis_2.0_aws \
  --output-formats html csv json-asff \
  --output-directory ./prowler-reports \
  --output-filename prowler-aws-baseline-$(date +%Y%m%d)
 
 
# ===== Scan cible sur services critiques uniquement =====
prowler aws \
  --services iam s3 ec2 rds kms cloudtrail \
  --severity high critical \
  --compliance cis_2.0_aws \
  --output-formats html
 
 
# ===== Scan compliance NIST SP 800-53 =====
prowler aws --compliance nist_800_53_revision_5
 
 
# ===== Scan multi-compte (AWS Organizations) =====
prowler aws \
  --organizations-role arn:aws:iam::MASTER:role/AuditRole \
  --compliance cis_2.0_aws \
  --output-formats json-ocsf
 
 
# ===== Integration GitHub Actions CI/CD =====
# .github/workflows/prowler-scan.yml
#
# name: Weekly Prowler Scan
# on:
#   schedule:
#     - cron: '0 8 * * 1'  # Lundi 08:00 UTC
#
# permissions:
#   id-token: write
#   contents: read
#
# jobs:
#   prowler-scan:
#     runs-on: ubuntu-latest
#     steps:
#       - uses: actions/checkout@v4
#       - uses: aws-actions/configure-aws-credentials@v4
#         with:
#           role-to-assume: arn:aws:iam::123456789012:role/GithubProwlerAudit
#           aws-region: eu-west-3
#       - name: Run Prowler scan
#         run: |
#           pip install prowler
#           prowler aws --compliance cis_2.0_aws \
#             --output-formats json-asff \
#             --output-directory ./reports
#       - name: Upload findings to AWS Security Hub
#         run: |
#           aws securityhub batch-import-findings \
#             --findings file://./reports/findings.asff.json
 
 
# ===== Scan Azure =====
az login
prowler azure --compliance cis_2.1_azure
 
 
# ===== Scan GCP =====
gcloud auth application-default login
prowler gcp --compliance cis_2.0_gcp
 
 
# ===== Affichage prioritaire des findings CRITICAL et HIGH =====
prowler aws \
  --compliance cis_2.0_aws \
  --severity high critical \
  --output-formats csv \
  --quiet
 
# Recherche specifique d'un check par ID
prowler aws --check-id s3_bucket_public_access
 
 
# ===== Integration avec Steampipe pour queries ad-hoc =====
# Install Steampipe plus AWS plugin
sudo /bin/sh -c "$(curl -fsSL https://steampipe.io/install/steampipe.sh)"
steampipe plugin install aws
 
# Query exemple - tous les buckets S3 publics
steampipe query "
  SELECT name, region, bucket_policy_is_public
  FROM aws_s3_bucket
  WHERE bucket_policy_is_public = true
"
 
# Query exemple - comptes IAM sans MFA
steampipe query "
  SELECT name, mfa_active, password_enabled
  FROM aws_iam_user
  WHERE password_enabled = true AND mfa_active = false
"

Commandes critiques pour débutant : prowler aws --compliance cis_2.0_aws pour scan baseline, prowler aws --severity high critical pour filtrer prioritaire, prowler aws --services iam s3 pour scope limité. Premier scan produit typiquement 30-100 findings sur un compte AWS mal configuré — priorisation par severity plus compliance framework essentielle.

6. Shift-left — IaC scanning en pipeline

Le CSPM traditionnel opère post-déploiement runtime. Le shift-left déplace les contrôles en amont dans le pipeline DevSecOps pour détecter les misconfigurations avant production.

4 outils shift-left complémentaires au CSPM

OutilÉditeurScopeUsage
CheckovBridgecrew (Palo Alto)Terraform, CloudFormation, K8s, Helm, Dockerfile, ARM1 000+ policies natives, pre-commit, CI
tfsecAqua SecurityTerraform spécifiqueRapide, intégration pre-commit
TerrascanTenable (open-source)Terraform avec Rego OPACustom policies flexibles
Trivy ConfigAqua SecurityIaC, Docker, K8s manifestsComplément Trivy image/SCA
Snyk IaCSnyk (commercial)Terraform, CloudFormation, K8sEnrichissement vulnerability database
Prisma Cloud IaCPalo AltoTerraform, CloudFormation, K8sIntégré dans CNAPP Prisma Cloud

Pipeline recommandé 2026

# .github/workflows/cspm-shift-left.yml
# Pipeline DevSecOps avec CSPM shift-left plus runtime.
 
name: CSPM Shift-Left Pipeline
 
on:
  pull_request:
    paths:
      - 'infra/**'
 
jobs:
  shift-left-iac:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
 
      # --- Checkov : scan Terraform complet ---
      - name: Checkov Terraform scan
        uses: bridgecrewio/checkov-action@master
        with:
          directory: infra/terraform
          framework: terraform
          soft_fail: false
          output_format: sarif
          output_file_path: checkov-results.sarif
 
      - name: Upload Checkov results to GitHub Security
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: checkov-results.sarif
 
      # --- tfsec : complement rapide ---
      - name: tfsec scan
        uses: aquasecurity/tfsec-action@v1.0.3
        with:
          working_directory: infra/terraform
          soft_fail: false
 
      # --- Trivy Config : misconfigurations IaC ---
      - name: Trivy Config scan
        uses: aquasecurity/trivy-action@master
        with:
          scan-type: config
          scan-ref: infra/
          severity: CRITICAL,HIGH
          exit-code: '1'
 
  runtime-cspm:
    runs-on: ubuntu-latest
    needs: shift-left-iac
    if: github.event_name == 'push' && github.ref == 'refs/heads/main'
    steps:
      - uses: actions/checkout@v4
      - uses: aws-actions/configure-aws-credentials@v4
        with:
          role-to-assume: arn:aws:iam::123456789012:role/GithubProwlerAudit
          aws-region: eu-west-3
 
      # --- Prowler runtime scan post-deploiement ---
      - name: Prowler scan CIS baseline
        run: |
          pip install prowler
          prowler aws \
            --compliance cis_2.0_aws \
            --output-formats json-asff \
            --severity high critical \
            --exit-code 1

Cette approche en couches shift-left + runtime détecte 80 % des misconfigurations avant production (scanning IaC) et les 20 % restantes (changes manuels, drift configuration, nouveaux services sans IaC) en runtime.

7. ROI et business case CSPM

Chiffres structurants pour justifier un investissement CSPM en 2026.

MétriqueSans CSPMAvec CSPM mature
Temps de détection misconfiguration critique3-30 jours (audit manuel ponctuel)5 minutes à 1 heure (scan continu)
Taux de misconfiguration à un instant donné15-40 % des ressources2-8 % (avec remédiation active)
Temps audit compliance ISO 27001/SOC 240-80 heures (collecte manuelle)4-8 heures (export rapport automatique)
Coût moyen incident cloud sans CSPM500 k€ - 5 M€ (IBM Cost of Data Breach 2024)Incidents évités côté misconfiguration
ROI typique CSPM après 12 mois3-10x investissement

Sources incidents cloud emblématiques évitables par CSPM

  • Capital One 2019 : SSRF plus IMDS plus IAM excessif — détectable par CSPM sur posture IAM.
  • Snowflake 2024 : credentials clients exposés sans MFA — détectable par CSPM sur MFA compliance.
  • Accenture 2017 : buckets S3 publics — détectable par CSPM basique.
  • Microsoft Azure 2021 : secrets exposés via Cosmos DB ChaosDB — partiellement détectable CSPM.

8. Comparatif détaillé — Wiz vs Prisma Cloud vs Orca vs MDfC

Choix entre les 4 CNAPP dominants 2026 selon contexte.

CritèreWizPrisma CloudOrca SecurityDefender for Cloud
Type scanAgentless snapshotAgent plus agentless hybridAgentless SideScanningAgentless natif Azure, agent pour multi-cloud
Multi-cloud maturitéExcellenteExcellenteExcellenteTrès bonne (natif Azure, bon AWS/GCP)
Attack path analysisBest-in-classBonneBonneBonne
UX développeurRéputée meilleureEnterprise-orientedModerneMicrosoft ecosystem
TarificationPremium (30-120 €/workload/mois)Premium similairePremium similaireInclus partiellement Azure, modules payants
Intégration écosystèmeAgnostiquePalo Alto completAgnostiqueMicrosoft natif
Adoption 2026 FranceForte grands comptesForte entreprises réguléesForte scale-ups et ETIDominant clients Microsoft
Temps POC typique2-4 semaines3-6 semaines2-4 semaines1-2 semaines (natif Azure)

Recommandations par profil client

  • Scale-up tech mono-cloud AWS : Wiz ou Orca, préférer Wiz si budget.
  • ETI multi-cloud complexe : Wiz ou Prisma Cloud.
  • Grand compte banque-assurance avec écosystème Palo Alto : Prisma Cloud (intégration transparente firewall).
  • Écosystème Microsoft Azure dominant : Defender for Cloud natif.
  • Profile CrowdStrike EDR existant : CrowdStrike Falcon Cloud Security pour unification.

9. Bilan Zeroday Cyber Academy

Notre recommandation par maturité et contexte 2026

Profil organisationStack CSPM recommandéeCoût indicatif
Étudiant / dev curieuxProwler open-source sur AWS free tier0 €
Startup early-stage (< 10 salariés)Prowler open-source plus AWS Security Hub natif0 € à < 100 € par mois
Scale-up (10-50 salariés)Prowler plus Checkov en pipeline plus AWS Security Hub< 500 € par mois
Scale-up mature (50-500 salariés)Wiz ou Orca Security en POC puis adoption3-20 k€ par mois selon volume
ETI (500-5 000 salariés)Wiz ou Prisma Cloud ou Orca plus MDfC si Azure20-100 k€ par mois
Grand groupe (5 000+)Prisma Cloud ou Wiz plus MDfC selon écosystème100-500 k€ par mois

Ce que nous ne cachons pas

  • Les solutions commerciales sont chères : un CNAPP pour 500 workloads coûte typiquement 150-600 k€ par an. Évaluer le ROI versus alternatives open-source selon contexte.
  • Tous les CSPM génèrent des faux positifs : typiquement 20-40 % des findings initiaux nécessitent ajustement ou contexte (exceptions légitimes, compensating controls). Investissement humain ≈ 2-5 jours par semaine pour un analyste dédié en grand compte.
  • Le CSPM ne remplace pas la formation équipe : un CSPM sans équipe qui remédie les findings produit une augmentation de la dette technique visible mais inchangée.
  • L'attack path analysis est la fonction qui fait la différence entre CSPM basique et CNAPP moderne — investir sur cette capacité.
  • Le shift-left IaC scanning (Checkov, tfsec) est complémentaire, pas substituable au CSPM runtime — les deux couches ensemble couvrent 95 %+ des misconfigurations.

10. Pour aller plus loin

11. Points clés à retenir

  • CSPM : évaluation continue configuration cloud contre référentiels (CIS, NIST, ISO, PCI-DSS, NIS 2, DORA).
  • 80 % des incidents cloud résultent de misconfigurations — CSPM est l'outil de réponse structurel.
  • CNAPP (concept Gartner 2021) est la terminologie dominante 2026 — intègre CSPM plus CWPP plus CIEM plus DSPM plus attack path.
  • 5 vendors leaders : Wiz (leader indépendant), Palo Alto Prisma Cloud, Orca Security, Microsoft Defender for Cloud, Lacework.
  • Alternatives open-source : Prowler (300+ checks), Steampipe (SQL queries), CloudQuery, ScoutSuite, Cartography.
  • Shift-left complémentaire : Checkov, tfsec, Terrascan, Trivy Config en pipeline IaC — détection 80 % avant production.
  • Prowler débutant : prowler aws --compliance cis_2.0_aws pour premier scan baseline.
  • Compliance mapping natif : CIS AWS/Azure/GCP, NIST SP 800-53, PCI-DSS v4.0, ISO 27001, SOC 2, NIS 2, DORA.
  • Attack path analysis : différenciateur majeur CNAPP moderne vs CSPM basique.
  • Budget : 0 € (Prowler open-source) à 500 k€ par an (CNAPP premium grand compte).

Le bootcamp DevSecOps Zeroday Cyber Academy inclut un module approfondi CSPM et CNAPP avec labs Prowler complet sur AWS free tier, Steampipe queries SQL cross-cloud, Checkov intégration pipeline Terraform, évaluation POC Wiz ou Orca Security, remédiation findings prioritaires selon CIS Benchmarks, attack path analysis manuelle via Cartography Neo4j, et coaching d'entretien Cloud Security Engineer ciblé scale-ups tech plus banque-assurance régulée NIS 2 et DORA.

Questions fréquentes

  • Qu'est-ce que le CSPM exactement ?
    Le CSPM (Cloud Security Posture Management) est une catégorie d'outils qui évalue en continu la configuration des ressources cloud (AWS, Azure, GCP, multi-cloud) contre des référentiels de sécurité et de conformité (CIS AWS/Azure/GCP Foundations Benchmarks, NIST SP 800-53, PCI-DSS v4.0, ISO 27001, SOC 2, NIS 2, DORA). Le CSPM détecte les misconfigurations (buckets S3 publics, Security Groups trop permissifs, chiffrement at-rest manquant, absence MFA sur comptes privilégiés, IAM over-permissive), les déviations par rapport aux baselines, et les chemins d'attaque potentiels. Émergé 2015-2017 avec Dome9 (racheté par Check Point), Evident.io (racheté Palo Alto), RedLock (racheté Palo Alto), CloudPassage (racheté Fidelis). Le marché s'est consolidé 2019-2026 avec émergence de Wiz (fondé 2020, valorisation 12 milliards de dollars 2024) comme leader indépendant face à Palo Alto Prisma Cloud, Microsoft Defender for Cloud, Orca Security, Lacework. Les solutions modernes 2026 vont au-delà du CSPM strict vers CNAPP (Cloud-Native Application Protection Platform) intégrant CWPP, CIEM, DSPM.
  • Quelle différence entre CSPM, CNAPP, CWPP, CIEM ?
    Écosystème cloud security en 2026 avec 4 acronymes clés. 1) CSPM (Cloud Security Posture Management) : évaluation continue configuration cloud, misconfigurations, compliance. Scope : plan de contrôle cloud (IAM, networking, services cloud). 2) CWPP (Cloud Workload Protection Platform) : protection runtime des workloads (VMs, containers, serverless, Kubernetes). Scope : plan de données workload. 3) CIEM (Cloud Infrastructure Entitlement Management) : gestion des droits et permissions IAM cloud, détection privilèges excessifs, principle of least privilege automation. Scope : IAM permissions multi-cloud. 4) CNAPP (Cloud-Native Application Protection Platform) : plateforme intégrée regroupant CSPM plus CWPP plus CIEM plus DSPM (Data Security Posture Management) plus analyse des chemins d'attaque. Concept Gartner 2021, devenu standard marché 2023-2026. Les vendors leaders 2026 (Wiz, Prisma Cloud, Orca, Microsoft Defender for Cloud) sont des CNAPP qui incluent le CSPM comme une brique. La dénomination CSPM seule devient rare en 2026 — la plupart des offres sont des CNAPP complètes même si CSPM reste le nom commun populaire.
  • Quels sont les vendors CSPM/CNAPP leaders en 2026 ?
    Cinq vendors dominent le marché CNAPP 2026. 1) Wiz (fondé Israël 2020, valorisation 12 Mds $ en 2024) : leader indépendant, croissance record passant de 1 M$ ARR à 350 M$ en 18 mois, agentless scanning via snapshots, attack path analysis excellente, UX développeur reconnue. 2) Palo Alto Prisma Cloud (issu acquisitions RedLock, Evident.io, PureSec) : offre CNAPP complète intégrée à l'écosystème Palo Alto, mature et large. 3) Orca Security (fondé Israël 2019) : agentless SideScanning technology, alternative directe à Wiz avec forte traction PME et ETI. 4) Microsoft Defender for Cloud : CNAPP natif Azure, multi-cloud AWS plus GCP depuis 2022, inclus dans écosystème Microsoft. 5) Lacework (2019, racheté Fortinet 2024) : cloud security avec focus behavioral analytics. Challengers : Aqua Security (container-first), Sysdig (open-source Falco + commercial), CheckPoint CloudGuard, Trend Micro Cloud One, CrowdStrike Falcon Cloud Security. Ordre implicite par part de marché France 2026 : Wiz et Prisma Cloud dominent grands comptes, MDfC natif chez clients Microsoft, Orca et Lacework en croissance chez scale-ups.
  • Existe-t-il des alternatives open-source au CSPM commercial ?
    Oui, cinq outils open-source solides complémentent ou remplacent partiellement les solutions commerciales. 1) Prowler (Toni de la Fuente, open-source depuis 2016) : scanner AWS/Azure/GCP avec 300+ checks CIS et NIST, rapide, CLI, intégration CI/CD. Gratuit, support commercial Prowler Pro depuis 2023. 2) Steampipe (Turbot, 2021) : interrogation SQL des APIs cloud comme des bases de données — requêtes SQL cross-cloud multi-provider. Framework plugins riche. 3) CloudQuery (2020) : plateforme cloud asset inventory avec SQL querying, PostgreSQL backend. 4) ScoutSuite (NCC Group) : audit multi-cloud, rapport HTML, AWS/Azure/GCP/Alibaba/Oracle. 5) CloudSploit (racheté Aqua Security, continue open-source) : scanner alertes cloud misconfiguration. Pour PME ou stack scale-up : combinaison Prowler + Steampipe couvre 70-80 % des besoins CSPM de base gratuitement. Pour enterprise avec besoin attack path analysis, DSPM, compliance reporting avancé : les solutions commerciales (Wiz, Prisma Cloud, Orca) apportent des fonctions difficiles à reproduire en open-source.
  • Comment intégrer le CSPM en shift-left DevSecOps ?
    Le CSPM traditionnel opère post-déploiement (runtime). Le shift-left déplace les contrôles en amont dans le pipeline DevSecOps pour détecter les misconfigurations AVANT production. Quatre outils shift-left complémentaires au CSPM runtime. 1) Checkov (Bridgecrew, racheté Palo Alto) : scanner IaC Terraform, CloudFormation, Kubernetes manifests, Helm charts, ARM templates, Dockerfile. 1 000+ policies natives. 2) tfsec (Aqua Security) : scanner Terraform spécifique, rapide, intégration pre-commit. 3) Terrascan (Tenable, open-source) : scanner IaC Terraform avec Rego OPA policies. 4) Trivy Config (Aqua Security) : scanner misconfigurations IaC, Docker, Kubernetes. Pattern recommandé pipeline 2026 : Checkov en pre-commit hook plus CI (fail-build sur CRITICAL), tfsec en complément, puis déploiement infrastructure, puis Wiz/MDfC/Prowler en runtime pour détection drift et misconfigurations non couvertes par IaC. Cette approche en couches détecte 80 % des misconfigurations avant production et les 20 % restantes (changes manuels, drift configuration) en runtime. Les équipes matures bloquent tout apply Terraform qui échoue Checkov en CI.
  • Bilan Zeroday Cyber Academy : par quel CSPM commencer ?
    Recommandation selon contexte 2026. Démarrer en découverte (étudiant, dev curieux) : Prowler open-source sur un compte AWS free tier — gratuit, 1 heure de setup, 300+ checks immédiats. Résultat concret et actionnable. Startup ou scale-up early stage (< 50 salariés) : Prowler en CI plus AWS Security Hub natif (gratuit avec activation en un clic). Suffisant pour baseline CIS AWS Foundations Benchmark. ETI (50-2 000 salariés) avec budget sécurité : évaluer Wiz, Orca Security, Lacework via POC 2-4 semaines. Tarification typique 2026 : 30-80 € par workload par mois selon volume. Grand groupe (2 000+ salariés) : Wiz ou Prisma Cloud pour grands périmètres multi-cloud complexes plus intégration maturité SOC SIEM. Écosystème Microsoft dominant : Defender for Cloud natif Azure avec multi-cloud AWS/GCP. Pour un DevSecOps junior en apprentissage : commencer par Prowler pour comprendre les concepts CSPM, puis progresser vers MDfC natif en environnement Azure ou AWS Security Hub natif en AWS. Le portfolio GitHub avec 5-10 issues Prowler remédiées constitue une démonstration pédagogique valorisée en entretien technique.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également