Concevoir nativement les applications pour le cloud transforme la façon dont les entreprises considèrent leur sécurité. C’est ce qu’explore le rapport State of cloud native application security de Snyk, qui a interrogé 600 développeurs, experts en sécurité et responsables des opérations IT entre février et avril 2021 au niveau mondial (*). Le recours aux technologies cloud natives a pris du poids dans les entreprises de toutes tailles et pour 83% des répondants, la sécurité est devenu un élément très important de cette stratégie. Il apparaît d’ailleurs que près de 60% ont vu leurs problèmes de sécurité s’accroître avec l’adoption du cloud natif. Dans ce domaine, plus de la moitié (56%) des entreprises ayant répondu ont subi un incident lié à une mauvaise configuration ou à une vulnérabilité connue mais non corrigée d’une application native. Par ailleurs, il apparaît que les fuites de données sont plus susceptibles de se produire dans les organisations ayant des taux d’adoption cloud natif élevés, ce qui, souligne Snyk, renforce l’intérêt des principes zéro trust dans les environnements cloud entièrement automatisés.
Les risques de fuites de données préoccupent les entreprises qui adoptent fortement les technologies cloud natives. (Crédit : Snyk)
Concernant la nature des charges de travail de production, celles-ci sont à plus de 58% déployées sous forme de containers et jusqu’à 22% en mode serverless, ce dernier ayant pris de l’importance, indique le rapport. Parallèlement, 46% des charges de travail sont également déployées avec une forme ou une autre d’infrastructure as Code. Et si plus de 95% des répondants ont recours à l’automatisation, seulement 33% disent automatiser entièrement leur pipeline de déploiement. Interrogés sur les raisons qui les ont conduits à placer leurs applications en containers, la majorité des sondés évoquent d’abord la rapidité de déploiement (67%), la facilité de management (66%) et la réduction des coûts avant de citer une sécurité améliorée (35% seulement).
Les tests de sécurité augmentent avec le niveau d'automatisation
Il est intéressant de voir que, dans ce contexte, plus d’un tiers (37%) des développeurs d’applications natives cloud estiment désormais que la sécurité fait partie de leurs responsabilités. En revanche, moins de 10% des répondants ayant des fonctions de sécurité sont enclins à voir les développeurs responsables de ce sujet. L’automatisation des déploiements joue un rôle important dans les contrôles de sécurité. Les entreprises ayant des niveaux élevés d’automatisation sont jusqu’à deux fois plus susceptibles d’avoir adopté des tests de sécurité à tous les stades du cycle de vie du développement logiciel, comparées aux organisations qui n’automatisent pas. Ainsi près de 70% des répondants affichant des niveaux élevés de déploiements automatisés sont capables de tester leur sécurité quotidiennement, voire plus fréquemment. « C’est 17 fois plus que les répondants qui n’ont pas de déploiement automatisé », pointe Snyk en notant que 60% de ces derniers ne testent leur sécurité que mensuellement ou moins. En testant plus vite, on corrige plus vite. Plus de 72% des répondants ayant des niveaux élevés d’automatisation corrigent en moyenne les vulnérabilités en moins d’une semaine, dont 36% le font en moyenne sous un jour ou moins.
A travers son enquête, Snyk prêche bien sûr pour sa paroisse puisqu'il édite une plateforme permettant d’intégrer la sécurité dans les processus de développement continu pour les applications. La société fondée à Londres en 2015 et aujourd'hui basée à Boston, a levé 300 M$ en mars dernier.
(*) Les 600 répondants se sont répartis entre Etats-Unis, Inde, Canada, Royaume-Uni, Israël, France, Allemagne et d'autres pays européens.
Commentaire