Les données montrent que Kubernetes occupe une place majeure parmi les sondés. 84 % des structures françaises (avec le même pourcentage au niveau mondial) pensent que Kubernetes est en passe de devenir la principale plateforme utilisée pour le développement de toutes les applications. Cependant, 69 % d’entre elles (contre 75 % au niveau mondial) s’inquiètent de la vitesse et de la complexité de Kubernetes, susceptibles d’engendrer de nouveaux angles morts pour la sécurité informatique. En outre :
• 51 % des sondés (contre 59 % au niveau mondial) ayant effectué une migration Cloud reconnaissent ne pas avoir mesuré les risques de sécurité lors de cette migration. Si la majorité des sondés (87 % en France comme au niveau mondial) ont commencé à migrer les applications héritées vers le Cloud, moins de la moitié d’entre eux les ont refactorisées en utilisant les technologies cloud-native.
• 69 % des experts en sécurité informatique (contre 76 % au niveau mondial) estiment qu’on se dirige vers une prise de conscience concernant le Cloud, en termes de coûts et de sécurité. 44 % des sondés (contre la moitié au niveau mondial) ayant migré leurs applications sans les refactoriser ont, depuis, subi factures astronomiques et « Cloud sprawl ». Ceci a engendré une remise en question totale de leur migration vers le Cloud pour 63 % d’entre eux (contre 77 % au niveau mondial).

• Pour 87 % des experts en sécurité informatique (90 % au niveau mondial), les équipes sécurité doivent avoir une meilleure appréhension des environnements cloud-native afin de pouvoir garantir des applications sécurisées. L’urgence est d’autant plus grande que 78 % d’entre eux (85 % au niveau mondial) affirment que ce sont les équipes sécurité qui déterminent la stratégie de gestion du risque de sécurité et de gouvernance sur l’ensemble des environnements cloud-native.

• 35 % des sondés (59 % au niveau mondial) ont fait face à des incidents de sécurité au sein de Kubernetes ou des environnements conteneurs avec, en tête, les failles dans la sécurité du réseau, les vulnérabilités dans les API et les mauvaises configurations de certificats.

• 23 % des structures (30 % au niveau mondial) ayant vécu un incident de sécurité au sein de Kubernetes ou d’un environnement conteneur indiquent que celui-ci a entraîné une fuite de données et 21 % (30 % au niveau mondial) indiquent qu’il a entraîné une compromission du réseau. 23 % (contre 33 % au niveau mondial) ont été contraints de décaler le lancement d’une application, 30 % (32 % au niveau mondial) ont vécu des perturbations au niveau de leur service d’applications, et 19 % (contre 27 % au niveau mondial) un manquement à la conformité.

« Le Cloud-native est la voie du futur, qui permet d’avoir des applications extrêmement évolutives, flexibles et résilientes pouvant apporter un avantage concurrentiel ; d’ici quelques années, presque tout fonctionnera sur une architecture cloud-native » indique Matt Barker, directeur monde des services cloud-native chez Venafi « Mais dans la précipitation de cette transition vers des environnements plus modernes, nombre de structures sous-estiment le travail requis afin de garantir efficacité et sécurité. Au fur et à mesure de la migration de charges de travail critiques vers les environnements cloud-native, les structures doivent combler les lacunes, faute de quoi elles s’exposent à un nombre croissant de brèches et de pannes. »

Impossible pour les développeurs de travailler de façon rapide et sécurisée
L’un des enjeux majeurs mis en évidence par l’étude est celui de la responsabilité et du contrôle. Pour 87 % des sondés (85 % au niveau mondial), il est essentiel d’avoir une validation sécurité permanente du pipeline CI/CD afin de réduire les risques de vulnérabilités non-détectées lors du cycle de développement des logiciels. Mais si les équipes sécurité pilotent toujours la stratégie globale de sécurité cloud-native, la mise en œuvre de ces contrôles au sein des environnements cloud-native repose le plus souvent sur les équipes développement et plateformes, en dépit du fait que pour 67 % des sondés (74 % au niveau mondial), les développeurs doivent faire face à plusieurs priorités contradictoires, la sécurité n’étant alors pas toujours la première des priorités.
L’étude indique que les équipes développement ne reçoivent pas toujours (ou ne vont pas toujours chercher) les bons outils afin de travailler de façon rapide et sécurisée. Ainsi par exemple :

• 52 % des sondés (68 % au niveau mondial) pensent que si DevOps est une excellente idée, cela ne fonctionne pas en pratique, la sécurité agissant toujours comme ralentisseur. 46 % (contre plus de la moitié au niveau mondial) n’ont pas la possibilité d’automatiser la sécurité, entraînant des difficultés de gestion de la sécurité sur une multitude de clusters.
• 90 % (88 % au niveau mondial) pensent que l’identité des machines est essentielle au succès du modèle de sécurité Zero Trust, mais 68 % (73 % au niveau mondial) affirment qu’il est difficile de répondre facilement et de façon sécurisée aux critères de gestion de l’identité des machines déterminés par les développeurs pour les charges de travail cloud-native.
• 65 % (68 % au niveau mondial) reconnaissent qu’ils n’utilisent pas les identités des machines à cause de problèmes de latence, avec 51 % (61 % au niveau mondial) affirmant qu’ils ne peuvent émettre les certificats suffisamment rapidement pour Kubernetes, leur système de gestion de certificats ne permettant pas l’émission Kubernetes, CI/CD et Service Mesh.
• Pour 87 % des sondés (85 % au niveau mondial), il est essentiel d’avoir une validation sécurité permanente du pipeline CI/CD afin de réduire les risques de vulnérabilités non-détectées lors du cycle de développement des logiciels, mais seulement 50 % (42 % au niveau mondial) utilisent les identités machine à signature de code pour signer l’ensemble des artefacts au sein des pipelines CI/CD, en raison d’inquiétudes concernant un ralentissement des développements et un sacrifice des performances et de la complexité.

« Il n’est pas facile de trouver un équilibre entre rapidité et sécurité, mais c’est aujourd’hui devenu une nécessité pour les structures », affirme Kevin Bocek, Vice Président Écosystèmes et Communauté chez Venafi. « Il est critique pour les équipes sécurité et plateformes de ne pas se tromper en matière de sécurité cloud-native ; dans le Cloud il n’y a pas de périmètre, il n’est pas possible de débrancher ! La base de la sécurité cloud-native repose sur une solide gestion de l’identité des machines. En l’absence d’identités des machines comme TLS, SPIFFE et les certificats à signature de code, nous serions dans l’impossibilité d’authentifier un Cloud par rapport à un autre, ou d’autoriser un conteneur par rapport à un autre. Le dernier sondage Venafi montre que les structures ne sont pas préparées aux exigences et aux risques engendrés par ces architectures modernes. »

Pour consulter le rapport complet et l’ensemble des observations, consultez https://venafi.com/lp/cloud-native-security-report-2023/.

Les visiteurs du salon KubeCon + CloudNativeCon Amérique du Nord 2023 peuvent venir faire un tour sur le stand Venafi open source cert-manager au F12 dans le Pavillon Projets. Venafi présentera également « Explication de Cert-Manager par les chefs de projet selon 5 niveaux de difficulté » le mercredi 8 novembre à 14h30 CST (Heure Normale Du Centre Nord-Américain) ainsi que « Confessions Kubernetes : Histoires de dépenses excessives et de rédemption » le jeudi 9 novembre à 16h00 CST (Heure Normale Du Centre Nord-Américain).