Face aux très nombreuses attaques non qualifiées, les alertes doivent être hiérarchisées par des outils automatisés pour une meilleure sécurité. Selon le dernier rapport Datadog, 38 % des entreprises ont recours à la console AWS dans un environnement de production, en mode manuel moins sécurisé.
Les résultats du rapport State of
DevSecOps 2024 confirment des éléments déjà connus par les DSI sur les déploiements sur le cloud mais l’intérêt de cette étude est d’identifier et quantifier les points saillants qui suivent.
D’abord, les services Java sont les plus touchés par les vulnérabilités des bibliothèques tierces avec 90 % des services qui sont vulnérables à une ou plusieurs vulnérabilités critiques ou de grande sévérité.
Autre item significatif, les tentatives d'attaques via des scanners de sécurité automatisés sont pour la plupart des faux positifs prédominant très largement parmi les dizaines de millions de requêtes malveillantes issues de ces scanners.
Le troisième point relativise et hiérarchise l’importance des CVE (vulnérabilités). Datadog a élaboré un score d’évaluation tenant compte de l’exposition d’un service sur internet, du mode de production ou de test et de l’existence d’un code malveillant susceptible d’exploiter des vulnérabilités. Après application du score Datadog ajusté, 63 % des services présentant des vulnérabilités avec une gravité
CVE critique sortent de cette catégorie.
Le quatrième point saillant du rapport porte sur l’examen des vulnérabilités dans les conteneurs. En termes de sécurité du développement des logiciels, l’espace qu’occupent ces derniers est primordial. Après analyse de milliers d'images de conteneurs, Datadog rappelle que plus une image de conteneur est petite, moins elle présente de vulnérabilités. En moyenne, les images de conteneurs de moins de 100 Mo présentent 4,4 vulnérabilités élevées ou critiques, contre 42,2 pour les images de 250 à 500 Mo, et près de 80 pour les images de taille supérieure.
L’adoption de l’infrastructure en tant que code doit être privilégiée
Une infrastructure en tant que code (
IaC) permet aux développeurs d'automatiser leurs déploiements ou de coder les appels aux API. Parmi ses avantages, citons le contrôle des versions, la traçabilité et la reproductibilité pour les environnements. Constat intéressant du rapport, sur AWS, plus de 71 % des organisations utilisent l'IaC par le biais de technologies telles Terraform, CloudFormation ou Pulumi. Un résultat inférieur pour les usagers de Google Cloud, avec 55 % d’utilisateurs d’IaC.
Les déploiements manuels sur le cloud sont encore très répandus
Dans les environnements de production en nuage, un pipeline CI/CD automatisé est chargé de déployer les modifications apportées à l'infrastructure et aux applications avec des outils IaC ou par des scripts. Datadog a identifié qu'au moins 38 % des organisations avaient utilisé une action manuelle, moins sécurisée, sur tous leurs comptes AWS durant la durée de l’étude.
L'utilisation d'identifiants temporaires dans les pipelines CI/CD est encore trop faible
Un pipeline CI/CD permet, notamment, de distribuer en continu les nouvelles versions d’un logiciel, une pratique inscrite dans l’approche
DevOps mais qui comprend des risques car elle suppose des autorisations privilégiées. La sécurité impose de privilégier les données d’identification à court terme, or, un nombre important d'organisations continuent à utiliser des informations d'identification à long terme dans leurs environnements AWS. C’est le cas de 63 % des utilisateurs qui ont eu recours au moins une fois à IAM pour authentifier les pipelines GitHub Actions.