Rapport 2023 sur l'adoption, la sécurité et les tendances du marché pour Kubernetes

Synthèse

La version 2023 du rapport sur l'état de la sécurité de Kubernetes analyse les résultats de notre dernière enquête annuelle concernant la sécurité des charges de travail cloud-native dans les conteneurs et Kubernetes. Ce rapport se base sur une enquête réalisée auprès de 600 professionnels du développement et de l'exploitation (DevOps), de l'ingénierie et de la sécurité qui travaillent dans des PME et de grandes entreprises à travers le monde. Il met au jour les principales difficultés liées à la sécurité que rencontrent les entreprises durant leur transition vers le cloud, ainsi que leur impact sur l'activité.

Points clés du rapport

  • Deux tiers des entreprises interrogées ont reporté ou ralenti un déploiement à cause de problèmes de sécurité liés à Kubernetes.
  • Les entreprises signalent de nombreuses conséquences négatives qui découlent d'incidents de sécurité et de conformité liés aux conteneurs et à Kubernetes, notamment des pertes de chiffre d'affaires et des amendes.
  • La majorité des entreprises interrogées ont mis en place une initiative DevSecOps, bien que 17 % déclarent gérer la sécurité séparément des pratiques DevOps.
  • Les vulnérabilités et les erreurs de configuration sont au cœur des préoccupations dans les environnements Kubernetes et de conteneurs.
  • Les logiciels Open Source posent problème pour la sécurité de la chaîne d'approvisionnement des logiciels.

67 % des entreprises ont reporté ou ralenti un déploiement à cause d'un problème de sécurité

D'après notre enquête, 67 % des entreprises ont déjà été contraintes de reporter ou de ralentir le déploiement d'une application pour des raisons de sécurité. Certaines entreprises sont submergées par les impératifs de sécurité dans tous les aspects du cycle de vie des applications, du développement au déploiement, jusqu'à la maintenance. Il leur faut un moyen simple de protéger leurs applications conteneurisées sans ralentir le développement ni accroître la complexité de l'exploitation.

En misant très tôt sur la sécurité, les entreprises investissent dans la protection de leurs ressources essentielles, notamment les données sensibles, la propriété intellectuelle et les informations sur la clientèle. Elles sont également mieux équipées pour respecter les exigences réglementaires, assurer la continuité des activités, préserver la confiance de la clientèle, mais aussi pour réduire les coûts à long terme qu'engendre la résolution des failles de sécurité au cours du développement ou après une attaque.  

Référez-vous aux conclusions de ce rapport afin de déterminer comment accélérer vos efforts pour appliquer des contrôles de sécurité aux conteneurs et à Kubernetes. 

Graphique : 67 % ont répondu « oui » à la question « Avez-vous déjà reporté ou ralenti le développement d'une application en production en raison de problèmes de sécurité liés aux conteneurs ou à Kubernetes ? »

37 % des entreprises ont identifié une perte de chiffre d'affaires ou de clientèle suite à un incident de sécurité lié aux conteneurs et à Kubernetes

Les problèmes de sécurité peuvent avoir de graves conséquences sur les activités de l'entreprise. Par exemple, 25 % des entreprises ont reçu une amende à cause d'un incident de sécurité et 21 % ont dû se séparer d'un collaborateur. Autre potentiel impact négatif des incidents de sécurité liés à Kubernetes et aux conteneurs : le ralentissement de la croissance, avec une perte de chiffre d'affaires ou de clientèle pour 37 % des entreprises interrogées. Les failles de sécurité entraînent également le report de projets stratégiques ou de lancements de produit, car l'entreprise est forcée de traiter en priorité les vulnérabilités non détectées à l'étape du développement. Ces retards peuvent avoir d'autres répercussions et provoquer une perte de chiffre d'affaires, le mécontentement de la clientèle, voire la perte de parts de marché au profit de la concurrence. Enfin, la clientèle risque de perdre confiance dans la capacité de l'entreprise à protéger ses données et se tourner vers des concurrents plus fiables.

Graphique : Au cours des 12 derniers mois, avez-vous subi les conséquences suivantes en raison de problèmes ou d'incidents de sécurité ou de conformité liés à Kubernetes ou aux conteneurs ? (Sélectionnez toutes les réponses qui s'appliquent.) Les réponses les plus données sont les suivantes : reports de projets (44 %), entrave à la réussite d'un projet (39 %), perte de chiffre d'affaires ou de clientèle (37 %), amendes (25 %) et licenciement d'un collaborateur (21 %).

La majorité des entreprises interrogées ont mis en place une initiative DevSecOps

La majorité des entreprises adoptent le modèle DevSecOps, un terme qui englobe les processus et les outils permettant d'intégrer la sécurité au cycle de développement des applications, au lieu d'en faire un processus distinct. Les entreprises qui n'ont pas d'initiative DevSecOps et qui gèrent séparément la sécurité et les pratiques DevOps (17 %) ne profitent pas des avantages qu'offre l'intégration de la sécurité au cycle de développement, notamment l'amélioration de l'efficacité, de la rapidité et de la qualité de la distribution des logiciels.

Graphique : Votre entreprise a-t-elle mis en place une initiative DevSecOps ? (Sélectionnez une seule réponse.) 45 % ont répondu « Oui, nous en sommes à un stade avancé, où nous intégrons et automatisons la sécurité tout au long du cycle de vie. ». 39 % ont répondu « Oui, nous en sommes encore aux prémices, avec une collaboration entre les équipes DevOps et de sécurité sur des politiques et des workflows communs. ». 17 % ont répondu « Non, les équipes DevOps et de sécurité restent cloisonnées ; la collabora

Les vulnérabilités et les erreurs de configuration sont au cœur des préoccupations dans les environnements Kubernetes et de conteneurs

Plus de la moitié des entreprises interrogées s'inquiètent des vulnérabilités et des erreurs de configuration, en raison du haut niveau de personnalisation des conteneurs et de Kubernetes. L'exécution des conteneurs dans des environnements dynamiques, le partage du noyau du système d'exploitation et des autres ressources, ainsi que le nombre important de composants tiers rendent difficile le maintien d'une posture de sécurité cohérente. Tous ces facteurs combinés compliquent la configuration de la sécurité, ainsi que la détection et la réduction des vulnérabilités, et c'est ce qui préoccupe le plus les entreprises interrogées dans le cadre de notre enquête. 

Graphique : Parmi les risques suivants relatifs à vos environnements Kubernetes et de conteneurs, lequel vous préoccupe le plus ? Sélectionnez une seule réponse. Les réponses les plus données sont les suivantes : vulnérabilités (30 %), erreurs de configuration/fuites (28 %), attaques (25 %) et défauts de conformité (SOC 2, PCI, HIPAA, etc.) (18 %).

Les logiciels Open Source posent problème pour la sécurité de la chaîne d'approvisionnement des logiciels

La sécurité de la chaîne d'approvisionnement des logiciels est devenue un sujet sensible face à la hausse rapide des attaques. Les entreprises interrogées sont préoccupées par différents aspects de la chaîne d'approvisionnement des logiciels, et principalement par les vulnérabilités dans les logiciels et l'utilisation des logiciels Open Source. Les inquiétudes concernant les vulnérabilités sont compréhensibles, car elles peuvent engendrer des incidents graves, comme la fuite de données, l'intrusion d'un logiciel malveillant ou des accès non autorisés. Quant aux logiciels Open Source, largement utilisés dans les approches de développement modernes, ils posent problème pour la sécurité de la chaîne d'approvisionnement, notamment lorsqu'ils sont mal gérés ou qu'ils présentent des vulnérabilités.

Graphique : Parmi les aspects suivants de la chaîne d'approvisionnement des logiciels, lesquels vous préoccupent le plus ? Sélectionnez toutes les réponses qui s'appliquent. Les réponses les plus données sont les suivantes : vulnérabilités dans les logiciels (35 %), utilisation de logiciels Open Source (32 %), menaces internes (accidentelles ou malveillantes, 28 %) et contenus non fiables (27 %).

Lisez le rapport complet pour savoir comment améliorer la sécurité

En considérant la sécurité comme secondaire, les entreprises risquent de perdre l'avantage majeur que constitue l'accélération du développement et du lancement des applications, car leurs environnements cloud-native ne sont pas créés, déployés et gérés en toute sécurité. Nos résultats montrent que les processus de création et de déploiement conditionnent considérablement la sécurité, comme en témoigne la prévalence des erreurs de configuration et des vulnérabilités dans les entreprises. Par conséquent, il faut mettre en œuvre la sécurité dès le début et l'intégrer de façon transparente aux workflows DevOps, au lieu de l'ajouter juste avant la mise en production de l'application. 

Découvrez les résultats complets de l'enquête et les principales conclusions.

State of Kubernetes security 2023 report