Ne pas confondre vitesse et précipitation. Cet adage plein de sagesse pourrait s’appliquer à ce que révèle le dernier rapport « Cloud-Native Security and Usage » de l'éditeur Sysdig. L'étude a été menée auprès de ses clients et porte sur une analyse de plus de 3 millions de conteneurs. Premier enseignement, les équipes de développement se précipitent pour créer leurs applications, mais sacrifient au passage la sécurité des conteneurs. Ainsi, l’une des conclusions les plus choquantes est que 75% des conteneurs présentent des vulnérabilités classées comme « élevées » ou « critiques ». Si l’on prend en compte l’ensemble des failles, 85% des images exécutées en production comportent au moins une vulnérabilité à corriger.
L’étude relève par ailleurs que 73% des comptes cloud contiennent des buckets S3 exposés et que 36% de l’ensemble des buckets sont ouverts au public. Sysdig constate que le niveau de risque associé à l’exposition des buckets dépend de la sensibilité des données stockées. Cependant, laisser un bucket S3 ouvert est rarement nécessaire et il s’agit généralement d’un raccourci que prennent les équipes IT et qu'elles devraient éviter. Toujours dans la protection, Sysdig observe que 27% des utilisateurs disposent d’un accès root (administrateur) inutile, la plupart sans solution d’authentification multifacteur (MFA) activée. Sur ce dernier point, 48% des clients n’ont toujours pas activé ce système sur les comptes à privilèges.
La dominance de Docker s’érode
En dehors de l’aspect sécurité, le rapport se penche également sur plusieurs autres points. Tout d’abord, l’argent gaspillé en raison d’une mauvaise planification des capacités. Ainsi, 60 % des conteneurs n'avaient aucune limite de CPU définie et 51 % aucune limite de mémoire définie. Parmi les clusters qui avaient des limites de CPU, une moyenne de 34% des cœurs de CPU étaient inutilisés. Sysdig a fait un calcul sur une entreprise qui disposerait de 20 clusters Kubernetes sur AWS et pourrait ainsi voir sa dépense annuelle s'alourdir de 400 000 dollars.
Dans l’étude, on notera qu’en matière de registres de conteneurs, Quay (de Red Hat) dame le pion à Docker avec 26% de taux d’adoption. Si on parle plateforme utilisée pour la création de conteneurs, là encore Docker souffre en passant sous la barre des 50% (48%) de part de marché au détriment de Containerd qui s’octroie 35%. En termes d’orchestration, Kubernetes règne sans partage avec 96% d’adoption. Parmi les autres chiffres sur les conteneurs, 22% des entreprises gèrent jusqu’à 100 conteneurs et 26% de 101 à 250.
Commentaire