Un rapport sur l'état de la sécurité « cloud native » a révélé qu'un nombre considérable d’adoptants du cloud ne comprennent pas les risques de sécurité liés au transfert d'applications existantes vers le « cloud », s'exposant ainsi à un certain nombre d'attaques basées sur le « cloud ». Pour son enquête, l’entreprise Venafi spécialisée dans la cybersécurité, a interrogé 800 responsables de la sécurité et de l’IT travaillant pour des entreprises situées aux États-Unis, au Royaume-Uni, en Allemagne et en France. L’objectif de l’étude était d'examiner les principales menaces et défis auxquels est confrontée aujourd’hui la sécurité « cloud native ».
« Les équipes de développement d'applications vont de plus en plus vite pour maintenir leur entreprise dans le peloton de tête, en se tournant vers des stratégies de conteneurisation et de microservices grâces auxquelles l'amélioration rapide des applications est devenue une réalité », indique le rapport de Venafi. « Très souvent, la sécurité cloud native est à la traîne, et la responsabilité de la prise en charge de la fonction de sécurité au sein des équipes d'ingénierie, de plateforme et de développement reste floue ». Le rapport note que ce manque de clarté est un énorme problème quand il s'agit de sécuriser les identités des machines - les authentificateurs qui sécurisent les communications et les connexions au sein d'un cluster de conteneurs - car elles servent de base à la sécurité cloud native. « Malgré leur importance relative, l'application des identités machine dans les implémentations cloud natif - services mesh, sécurité du cycle de développement des logiciels et signature du code des artefacts de développement - est fréquemment mal comprise », ajoute le rapport.
Des répercussions sur les coûts et la sécurité
Les personnes interrogées dans le cadre de l'étude ont révélé qu'elles passaient rapidement au cloud pour se débarrasser des longs cycles de développement et de publication d'applications, car elles ne peuvent pas se permettre d'attendre de nouvelles fonctionnalités essentielles. 87 % des personnes interrogées ont déclaré avoir transféré leurs anciennes applications dans le cloud. Plus de la moitié (59 %) des personnes interrogées ont déclaré ne pas comprendre les risques de sécurité liés au transfert des applications existantes vers le cloud. Par ailleurs, 53 % des personnes interrogées ont admis qu'elles avaient simplement transféré leurs applications dans le cloud, la majeure partie du code de l'application restant inchangée.
Autre inconvénient du passage aveugle au cloud : le coût associé à l’opération. « 52 % des entreprises ont souffert de la prolifération des clouds et du niveau de leurs factures depuis qu'elles ont transféré leurs applications existantes dans le cloud », indique le rapport. « 77 % de ceux qui en ont souffert ont reconsidéré le transfert de leurs applications vers le cloud ». Une autre tendance clé mise en évidence par l’étude est que la course au cloud a fait de la conteneurisation un choix populaire parmi les développeurs, 84 % des répondants à l'enquête estimant que Kubernetes serait bientôt la principale plateforme utilisée pour développer toutes les applications. Or, au fur et à mesure que l'utilisation de Kubernetes augmente et mûrit, la complexité des stratégies « cloud native » devient plus évidente.
Plus de défis avec Kubernetes
Les répondants ont convenu d'un certain degré d'incertitude en ce qui concerne l'adoption de Kubernetes, 75 % d'entre elles estimant que la vitesse et la complexité de Kubernetes et des conteneurs créaient des angles morts en matière de sécurité. Parmi les autres problèmes majeurs liés à la conteneurisation, on peut citer les difficultés d'application des correctifs (43 %), les vulnérabilités causées par des configurations erronées (41 %), les pannes dues à des certificats mal gérés (32 %) et l'échec des audits de sécurité (22 %). 59 % des personnes interrogées ont déclaré avoir rencontré des problèmes de sécurité dans des environnements Kubernetes ou de conteneurs. Les principales causes de ces problèmes sont les brèches dans le réseau (42 %), les vulnérabilités des API (41 %) et la mauvaise configuration des certificats (39 %). La mauvaise configuration des certificats - un défi pour l'identité des machines - s'est avérée être une préoccupation plus importante aux États-Unis, avec 45 %.
En outre, 68 % des sondés ont déclaré que les développeurs n'utilisaient parfois pas de certificats parce que leur émission ralentit le processus de développement. Malgré les défis liés aux identités des machines, ils sont 88% à estimer que le concept d'identité des machines est essentiel au succès des modèles zero trust. Cependant, l'appropriation de la gestion de l'identité des machines n'est toujours pas claire, 74 % des répondants s'inquiétant du fait que les développeurs sont confrontés à plusieurs priorités contradictoires, de sorte que la sécurité n’arrive pas toujours en tête de leurs préoccupations.