Près de 90% des containers ont des vulnérabilités non patchées
Même si la confiance dans le cloud augmente, la sécurité de ces environnements continue de préoccuper nombre de décideurs IT, selon l'enquête de Flexera. Certaines bonnes pratiques ne sont pas encore suffisamment appliquées, indique en outre une analyse du fournisseur Sysdig.
La nouvelle étude annuelle de Flexera a mis en lumière un changement de priorités dans la stratégie cloud des CIO. Le contrôle des coûts a pour la première fois supplanté les aspects liés à la sécurité de ces environnements. Reste que ceux-ci continuent d'être considérés comme le principal challenge cloud pour 79% des décideurs IT interrogés, devant le manque de ressources et d’expertise.
L’étude de Flexera indique en outre que toujours plus d’organisations transfèrent des données jugées sensibles, financières, dans le cloud. Une tendance que les auteurs attribuent à une confiance accrue envers la sécurité et la fiabilité des environnements SaaS.
Cette confiance en hausse ne doit toutefois pas mener à négliger les bonnes pratiques en la matière. Sysdig a publié un rapport détaillé sur la sécurité des environnements cloud, en se basant sur les données des entreprises qui utilisent sa plateforme de monitoring des environnements DevOps. Le fournisseur californien a observé que les vulnérabilités non corrigées et les erreurs de configuration restent des menaces bien réelles.
Trop de vulnérabilités non corrigées
Sysdig a analysé les images de conteneurs déployées par ses clients. De quoi dresser un constat a priori alarmant: 87% des ces fichiers cachent des failles élevées ou critiques non patchées. Pourtant, dans 71% des cas, un correctif est disponible. Selon les auteurs de l'étude, ces vulnérabilités sont toujours plus souvent introduites via la supply chain logicielle. La plupart des menaces identifiées ne présentent heureusement pas un risque réel car elles concernent des paquets non exécutés.
15% des vulnérabilités élevées et critiques sont néanmoins utilisées au moment de l'exécution. Sysdig conseille aux entreprises de se concentrer sur celles-ci. Au sujet des failles pour lesquelles aucun patch n’a encore été publié, il convient de réduire les risques en déployant des détections de sécurité au moment de l'exécution. «La protection de l'exécution est souvent alimentée par des règles, mais elle devrait également employer une approche multicouche qui incorpore la détection des anomalies de comportement et la détection basée sur l'IA ou le machine learning», expliquent les auteurs du rapport.
L'approche Zero Trust est encore peu suivie
En scannant les données d’utilisation de leur plateforme, les équipes de Sysdig ont par ailleurs noté que les pratiques promues par l'approche Zero Trust sont en réalité peu appliquées, en dépit de l'engouement qu’elles suscitent depuis quelques années. Notamment en matière de gestion des autorisations d’accès: il apparaît que seuls 10% de celles créées par les équipes DevOps sont ensuite effectivement employées. Les administrateurs n'utilisent en outre qu'une infime partie de leurs privilèges. De l’avis des spécialistes de Sysdig, le nombre d'utilisateurs disposant des privilèges d'administrateurs doit être réduit au minimum et les autorisations inutiles doivent être supprimées.
Configurations lacunaires
En parallèle aux menaces en lien avec les vulnérabilités qu’abritent les images de containers, les erreurs de configuration ne devraient pas être négligées. Or, elles le seraient trop souvent. Sysdig indique que 83% des containers s'exécutent en tant que root, un niveau de privilèges qui n’est pourtant nécessaire dans tous les cas de figure. Or, si ces containers sont compromis, les conséquences potentielles sont bien plus néfastes qu’avec des images qui ne s'exécutent pas en tant que root, préviennent les auteurs du rapport.