StackRox, spécialisé dans la sécurité des conteneurs, a publié l'édition Hiver 2020 de son rapport « The State of Container and Kubernetes Security ». Selon son étude, les problèmes de sécurité des conteneurs ont freiné l'innovation des entreprises. Principale cause : de mauvaises configurations.

De plus en plus d’entreprises ont recours aux conteneurs pour développer et mettre en production des applications plus rapidement. Mais presque toutes les personnes interrogées (plus de 540 professionnels de l’IT) pour le rapport de StackRox ont connu des incidents de sécurité dans leur environnement de conteneurs au cours des 12 derniers mois !

Parmi les professionnels ayant signalé des incidents de sécurité, la majorité (69 %) a connu un incident de mauvaise configuration, tandis que presqu’un tiers (27 %) ont signalé un incident de sécurité pendant l'exécution et un quart a déclaré avoir eu une vulnérabilité majeure à laquelle il fallait remédier (les répondants pouvaient choisir autant de réponses que possible).

Dans cette troisième édition du rapport StackRox, les personnes interrogées ont une fois de plus identifié les expositions dues à des configurations erronées comme le risque de sécurité le plus préoccupant pour leurs environnements de conteneurs et de Kubernetes.

a

Les violations de données et les expositions dues aux erreurs humaines (dont des conteneurs mal configurés) sont devenues d'une fréquence alarmante selon StackRox.

61 % des personnes interrogées citent les mauvaises configurations comme leur première préoccupation. Seulement 27 % ont cité les vulnérabilités comme leur principale préoccupation, et seulement 12 % s'inquiètent surtout des attaques en cours d'exécution.

Déploiements dans le cloud

Ces données montrent l'importance de la gestion de la configuration pour sécuriser les environnements de conteneurs et de Kubernetes : « la flexibilité de ces puissantes plates-formes pose ses propres défis », constate StackRox.

b

Ce constat s’explique par l’évolution des usages. La majorité des développeurs (86 %) utilise Kubernetes. Mais la façon de l’utiliser a changé de façon spectaculaire. L'autogestion n'est plus la principale façon d'utiliser Kubernetes.

Un tiers environ (37 %) indique utiliser Amazon EKS contre 35 % qui gèrent Kubernetes eux-mêmes (cette part atteignait 44 % lors de ce même rapport au printemps 2019). L'utilisation d'Azure AKS et de Google GKE a également augmenté, chacun étant cité par 21 % des personnes interrogées.

c

Même s’ils restent populaires (à 46 %), les déploiements hybrides ont diminué (ils étaient à 53 % il y a 6 mois) alors que les environnements uniquement dans le cloud ont augmenté pour atteindre les 40 %.

Déficit de compétences

Parmi les déploiements uniquement dans le cloud, le Multicloud a pris de l'ampleur, passant de 9 à 13 %, mais l'utilisation d'un seul cloud domine toujours, avec 27 %. À l’inverse, les déploiements sur site ont considérablement diminué depuis la première enquête à l'automne 2018. Ils sont passés de 31 % à seulement 14 % aujourd'hui.

Selon cette enquête, la connaissance de Kubernetes a un impact sur plus de 60 % des personnes interrogées. Un tiers cite un déficit de compétences en interne et 28 % identifient la courbe d'apprentissage abrupte comme le plus important défi Kubernetes auquel leur organisation est confrontée.

« Les données de notre enquête confirment ce que nous entendons anecdotiquement de la part de nos clients, à savoir que la sécurité est devenue une priorité de premier ordre, car les clients cherchent à déployer des conteneurs et des applications Kubernetes en production », a déclaré Kamal Shah, PDG de StackRox.

Source : StackRox