Le rapport de Sysdig note que 85 % des images de conteneurs exécutées dans des environnements de production contiennent au moins une vulnérabilité. Les trois quarts étant classées comme « élevées » ou « critiques ».
Le rapport est basé sur une analyse de la façon dont plus de 700 organisations utilisent la plateforme de Sysdig pour surveiller et sécuriser les conteneurs. Ce rapport note premièrement que l'utilisation des conteneurs a augmenté de 15 % au cours de l'année écoulée, une croissance due au succès de Kubernetes.
Pour 60 % des clusters analysés, aucune limite n'avait été définie en matière de CPU, et 51 % en matière de mémoire. Or, plus d'un tiers des cœurs de CPU (34 %) étaient inutilisés...
Toutefois, le rapport indique également que l'utilisation des métriques Prometheus pour surveiller les environnements de conteneurs a augmenté de 83 % depuis la dernière fois que Sysdig a publié un rapport similaire il y a un an.
Des conteneurs exposés
Plus inquiétant, cette étude souligne que près de trois organisations sur quatre ont exposé des conteneurs S3, dont plus d'un tiers (36 %) sont accessibles au public. Plus d'un quart (27 %) ont également un accès root inutile, tandis que beaucoup (48 %) ne prennent pas en charge l'authentification multifactorielle (MFA).
Le rapport note également que 88 % des rôles sont attribués à des applications, des services dans le cloud et des outils commerciaux plutôt qu'à un administrateur spécifique, ce qui suggère que l'accès est accordé à tout utilisateur de ces outils et services.
Selon Aaron Newcomb, directeur du marketing produit chez Sysdig, « le rapport montre que l'adoption des meilleures pratiques pour sécuriser les conteneurs et limiter les coûts continue d'être à la traîne ». De quoi attirer des cyberattaquants…
DevSecOps : des pratiques peu déployées
Par exemple, l'enquête révèle que moins de la moitié des images de conteneurs (48 %) sont analysées avant l'exécution. En fait, plus des trois quarts (76 %) sont exécutés en tant que root, ce qui permet aux cybercriminels de compromettre plus facilement l'ensemble de l'environnement informatique une fois qu'ils ont accès à ce conteneur.
Le manque d'adoption des pratiques DevSecOps montre clairement qu'il n'y a pas encore d'évolution vers une responsabilisation des développeurs en matière de cybersécurité.
« Il est donc essentiel que les équipes chargées des opérations et de la sécurité informatiques s'assurent que les politiques de sécurité sont mises en œuvre au moment de l'exécution. Sinon, les développeurs continueront à déployer régulièrement des images de conteneurs qui encapsulent de multiples vulnérabilités sans s'en rendre compte », préviennent les auteurs de ce rapport.