theNet by CLOUDFLARE

Une sécurité intrinsèque

Intégrer la sécurité à chaque étape du développement

Si vous deviez bâtir votre entreprise à partir de zéro aujourd'hui, vous n'ajouteriez probablement pas la sécurité à la fin du processus. Vous l'intégreriez dès le début. La problématique réside ici dans le fait que la plupart des entreprises ne partent pas de zéro.

L'entreprise est déjà en mouvement : elle envoie davantage de code vers la production à un rythme toujours plus rapide, portée par un processus de développement soutenu par IA, elle s'étend dans de nouvelles régions, elle intègre des services IA et fonctionne avec un ensemble hétéroclite d'équipes, d'outils et de priorités. Les équipes de sécurité ne peuvent tout simplement pas évoluer au même rythme. C'est pourquoi la sécurité devient trop souvent réactive. Elle essaie de suivre le rythme des évolutions plutôt que de le dicter.

La bonne nouvelle ? La situation est en train de changer.

En tant que vice-président chargé des produits, de l'extensibilité et des partenariats (VP of Product, Extensibility and Partnerships) chez Wiz, j'ai discuté avec un nombre croissant de dirigeants qui considèrent désormais la sécurité comme un catalyseur de l'innovation et non comme un frein. Ils l'intègrent à leurs pipelines de développement, alignent les équipes transversales autour de risques partagés et adoptent des architectures qui soutiennent l'autonomie sans sacrifier le contrôle.

Ils ont en outre adopté cette approche, non pas parce qu'elle est tendance, mais parce que l'activité l'exige. Ainsi, selon le rapport Cloudflare 2026 consacré à l'innovation en matière d'applications, 85 % des entreprises ayant aligné leurs efforts en matière de sécurité et d'applications ont déjà développé de nouvelles applications conçues pour tirer parti de l'IA. Le signal est des plus clairs : l'alignement de la sécurité ne constitue pas uniquement une question de réduction des risques, il s'agit d'un catalyseur en matière de développement d'applications modernes.

Les décisions en matière de conception sont désormais des décisions de sécurité

Le concept de « sécurité intrinsèque » représente plus qu'un principe technique : c'est un principe stratégique. Bien conçue, elle permet aux entreprises de progresser plus rapidement sans compromettre leur sécurité. Elle permet également aux équipes de sécurité de se concentrer sur des tâches à fort impact, plutôt que sur un flot interminable de mesures correctives. De même, l'intégration des mesures de contexte de contrôle appropriées aux flux de travail des développeurs peut leur permettre de reprendre le contrôle de leur activité. Enfin, l'entreprise dans son ensemble devient plus résiliente et présente un profil plus réduit en cas d'incident (c.-à-d. qu'une moins grande partie des systèmes de l'entreprise sont affectés).

La réalité est que les architectures modernes (qu'elles soient basées sur une infrastructure éphémère, des fonctions serverless ou des pipelines IA) ont fondamentalement modifié la forme du risque. La sécurité ne peut plus être un obstacle final. Les équipes qui intègrent la sécurité très tôt et la renforcent tout au long du cycle de vie constatent moins de surprises et de meilleurs résultats.

Ce changement nécessite toutefois davantage que de simples outils. Les entreprises doivent faire preuve d'intention et de leadership.


Redéfinir la propriété pour l'ensemble des équipes

L'une des évolutions les plus significatives que nous constatons s'articule autour de la redéfinition de la propriété de la sécurité. Les développeurs et les ingénieurs cloud des entreprises tournées vers l'avenir n'occupent plus une position « adjacente à la sécurité ». Ils sont désormais aux premières loges de cette dernière. Responsables de ce qu'ils développent, ils sont également habilités à faire des choix intelligents et sécurisés. Comme j'aime à le dire, la sécurité est un sport d'équipe.

Ce type de modèle n'émerge pas de manière organique. Il nécessite que les dirigeants éliminent les points de friction qui existent entre les équipes, communiquent des attentes claires et veillent à ce que le contexte des risques soit accessible, lorsque et à l'endroit où il est nécessaire. L'opération peut impliquer de repenser la visibilité sur l'ensemble des environnements, d'adapter les politiques afin qu'elles correspondent à la manière dont les équipes travaillent réellement ou d'aligner les mesures d'incitation sur la sécurisation de l'innovation plutôt que sur sa seule rapidité.

Ces notions constituent davantage que de simples améliorations techniques. Il s'agit de changements culturels, qui ne peuvent se produire du jour au lendemain.

Les conséquences d'une sécurité intégrée a posteriori

Lorsque la sécurité est ajoutée après coup, le coût ne se limite pas à la seule dette technique. Cet ajout s'effectue également au détriment de la vitesse, de l'alignement et de la confiance.

Les équipes perdent du temps à trier les alertes mal alignées. Le cloisonnement des informations ralentit la réponse aux incidents. Les risques les plus graves se faufilent entre les mailles du filet. Enfin, la relation entre les équipes de sécurité et les équipes techniques s'effondre, en compliquant dès lors toute velléité de collaboration future. Il s'agit là peut-être de l'aspect le plus préjudiciable de tous.

Les découvertes de l'équipe de recherche sur les menaces de Wiz (qui analyse des centaines de milliers d'environnements cloud) montrent à quel point les lacunes en matière de conception sont courantes. Nos chercheurs ont découvert que plus de la moitié (54 %) des environnements cloud présentaient une exposition de leurs machines virtuelles ou de leurs instances serverless contenant des données sensibles, comme des informations d'identification personnelle (PII, Personally Identifiable Information) ou des informations de paiement. De même, 35 % de ces environnements présentaient à la fois des données exposées et des vulnérabilités de gravité élevée, voire critique, qui permettaient l'exploitation de ces dernières. La sécurité intrinsèque permet d'éviter ces vulnérabilités en plaçant la visibilité et le contexte des risques au cœur de la conception des systèmes.

Divers problèmes peuvent toujours se produire, comme des erreurs de configuration, des incidents d'exposition et des comptes disposant de trop d'autorisations. Nous avons néanmoins collaboré avec des dizaines d'entreprises internationales confrontées à ces problématiques, parmi bien d'autres. De même, plus de la moitié de nos clients utilisateurs de Wiz se situent hors de la sphère de l'équipe de sécurité. C'est le signe que la propriété partagée est non seulement possible, mais également efficace. Lorsque les équipes adoptent un modèle de sécurité intrinsèque, elles réduisent le temps nécessaire à la résolution, améliorent la hiérarchisation des problèmes et s'alignent plus étroitement sur ce qui compte le plus.

Votre modèle actuel constitue-t-il un frein à votre activité ?

Il n'existe aucun modèle universel. Certains signaux peuvent toutefois aider les dirigeants à déterminer si leur modèle actuel prend véritablement en charge le design sécurisé.

Les développeurs peuvent-ils identifier les risques et y remédier sans attendre l'analyse de la sécurité ? Les équipes de sécurité disposent-elles de la visibilité et du contexte nécessaires pour se concentrer sur ce qui compte le plus ? Les flux de travail de résolution sont-ils rapides, automatisés et basés sur des données partagées ? Votre entreprise peut-elle innover sans ralentir son activité ni introduire davantage de risques ?

Si la réponse à l'une de ces questions est « non » (ou « parfois »), il est peut-être temps de repenser la manière dont votre sécurité est intégrée, à la fois à votre architecture et à votre culture.

La sécurité intrinsèque s'étend au-delà de votre sphère d'influence

La conception de systèmes sécurisés ne constitue pas uniquement une initiative interne. C'est une contribution à l'écosystème cloud dans son ensemble. Les menaces ne restent que rarement isolées. Une erreur de configuration identifiée dans un environnement donné aujourd'hui peut être exploitée au sein d'un autre environnement demain. C'est la raison pour laquelle les entreprises les plus résilientes ne se contentent pas de sécuriser leur propre infrastructure : elles partagent ce qu'elles apprennent.

Qu'elles publient leurs recherches, qu'elles contribuent à des bases de données ouvertes consacrées aux vulnérabilités (comme cloudvulndb.org) ou qu'elles s'associent à d'autres acteurs du secteur pour améliorer les défenses partagées, ces initiatives contribuent à élever la base de référence pour tous.

Cette démarche se révèle également des plus efficaces. Les équipes de sécurité passent souvent du temps à trier les mêmes erreurs de configuration ou les mêmes schémas d'exposition de manière indépendante, et ce quel que soit le secteur d'activité de leur entreprise. En identifiant les risques tôt et de manière transparente, nous pouvons réduire les tâches redondantes et améliorer les délais de réponse généraux. La notion de sécurité intrinsèque implique également de concevoir en pensant aux autres.


La sécurité intégrée n'est désormais plus facultative

Nous entrons dans une nouvelle ère d'innovation en matière d'applications et ces efforts sont soutenus par une technologie qui accélère considérablement le cycle de vie du développement : l'IA. Les architectures cloud-native, les pipelines soutenus par IA et les équipes réparties dans le monde entier nécessitent une approche de la sécurité tout aussi dynamique. La protection ne doit plus constituer un point de contrôle final, mais un état par défaut, intégré à chaque étape du développement.

Cette approche n'est plus seulement possible de nos jours. Elle est déjà là.

L'engagement de Wiz et de Cloudflare envers le principe de sécurité intrinsèque aide votre entreprise à consacrer moins de temps à la lutte contre les attaques et davantage à développer l'avenir. Ensemble, Cloudflare et Wiz présenteront les risques liés à la périphérie du réseau (l'informatique Edge) et au cloud sous une vision unique : l'intégration des journaux des solutions Cloudflare telles que Cloudflare DNS et le pare-feu applicatif web (WAF) à la plateforme Wiz permet aux équipes de repérer rapidement les erreurs de configuration, de réduire les angles morts et de se concentrer sur la résolution des problèmes avant qu'ils ne deviennent des problèmes plus importants.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Auteur

Oron Noah
VP of Product, Extensibility and Partnerships, Wiz

Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

  • Les raisons pour lesquelles la « sécurité intrinsèque » est essentielle dans le processus de développement d'applications

  • La manière dont la collaboration accélère le développement et améliore la sécurité

  • Les conséquences d'une sécurité intégrée a posteriori

Ressources associées

Approfondir le sujet

Vous trouverez davantage d'informations sur la manière dont l'infrastructure moderne peut permettre de déployer l'IA avec succès dans le rapport Cloudflare 2026 sur l'innovation en matière d'applications.


Recevez un récapitulatif mensuel des tendances Internet les plus populaires !

S'abonner à theNET

DÉMARRAGE

SOLUTIONS

SUPPORT

CONFORMITÉ

INTÉRÊT PUBLIC

ENTREPRISE

© 2026 Cloudflare, Inc.Politique de confidentialitéConditions d’utilisationSignaler des problèmes de sécuritéFiabilité et sécuritéMarque commerciale