Selon une étude d’Ambient-IT, 85 % des grandes entreprises françaises déclarent que (K8s) Kubernetes est essentiel pour leurs opérations quotidiennes. Une proportion écrasante. En passe de devenir l’outil incontournable pour le développement de toutes les applications, K8s apporte également son lot d’inconvénients. Une récente étude de Venafi, acteur de la cybersécurité en matière de gestion de l’identité machine, pointe cependant les risques liés à sa très rapide montée en puissance. En France, 69 % des organisations contre les trois-quarts au niveau mondial, témoignent d’une inquiétude sur l’aspect sécurité. Nombre de ressources sont gérées par K8s, soit autant de vecteurs d’attaques et de fait, le problème de la gestion des identités des machines pour sécuriser les microservices et les ressources sensibles est d’autant plus aigu. Pour fonctionner en toute sécurité, les machines présentes sur le cloud natif doivent pouvoir rapidement vérifier leurs identités les unes par rapport aux autres. Il s’agit des conteneurs, microservices, artefacts DevOps, connexions API, etc.
« Au fur et à mesure de la migration de charges de travail critiques vers les environnements cloud-native, les structures doivent combler les lacunes, faute de quoi elles s’exposent à un nombre croissant de brèches et de pannes. » explique Matt Barker, directeur monde des services cloud-native chez Venafi.
Une prise en compte insuffisante des risques liés à Kubernetes
Conscients des problèmes de sécurité, plus de la moitié des sondés (contre 59 % au niveau mondial) ayant effectué une migration Cloud admettent ne pas avoir mesuré les risques de sécurité lors de cette migration. Cependant, une perspective plus optimiste se dessine, celle de la prise de conscience concernant le Cloud, en termes de coûts et de sécurité pour 69 % des experts en sécurité en France contre 76 % au niveau mondial. Un chiffre devrait cependant interroger tous les DSI et RSSI, 44 % des sondés (contre la moitié au niveau mondial) ayant migré leurs applications se sont vues exposées à l’envolée des factures et à la prolifération sans contrôle des ressource sur le cloud. Un rude constat, prélude à une remise en question de leur migration vers le cloud pour 63 % d’entre eux, en France.Sans surprises, 35 % des sondés français et 59 % au niveau mondial ont déjà fait face à des incidents de sécurité avec Kubernetes ou des environnements conteneurs avec, en tête, des failles de sécurité réseau, les vulnérabilités dans les API et les mauvaises configurations de certificats. Autre incident, près d’un quart des organisations à fait face à une fuite de données.
La sécurité semble surtout vue comme un frein pour les développements par les équipes. Face aux impératifs de la livraison rapide d’applications, plus de la moitié (52 % des sondés en France et 68 % au niveau mondial) pensent que si le DevOps est un concept utile, cela ne fonctionne pas en pratique, en raison de la sécurité. D’autant que 46 % des répondants français n’ont pas la possibilité d’automatiser la sécurité, face à la pléthore de clusters à gérer.
Plaidoyer pro-domo ou réalité ? Toujours est-il que 65 % des sondés reconnaissent qu’ils n’utilisent pas les identités des machines à cause de problèmes de latence. Autre indicateur instructif, la moitié du panel en France, affirme qu’ils ne peuvent émettre les certificats suffisamment vite pour Kubernetes, leur système de gestion de certificats ne permettant pas leur émission, CI/CD ou les services Mesh.