Rapport 2023 sur l'adoption, la sécurité et les tendances du marché pour Kubernetes
Synthèse
La version 2023 du rapport sur l'état de la sécurité de Kubernetes analyse les résultats de notre dernière enquête annuelle concernant la sécurité des charges de travail cloud-native dans les conteneurs et Kubernetes. Ce rapport se base sur une enquête réalisée auprès de 600 professionnels du développement et de l'exploitation (DevOps), de l'ingénierie et de la sécurité qui travaillent dans des PME et de grandes entreprises à travers le monde. Il met au jour les principales difficultés liées à la sécurité que rencontrent les entreprises durant leur transition vers le cloud, ainsi que leur impact sur l'activité.
Points clés du rapport
- Deux tiers des entreprises interrogées ont reporté ou ralenti un déploiement à cause de problèmes de sécurité liés à Kubernetes.
- Les entreprises signalent de nombreuses conséquences négatives qui découlent d'incidents de sécurité et de conformité liés aux conteneurs et à Kubernetes, notamment des pertes de chiffre d'affaires et des amendes.
- La majorité des entreprises interrogées ont mis en place une initiative DevSecOps, bien que 17 % déclarent gérer la sécurité séparément des pratiques DevOps.
- Les vulnérabilités et les erreurs de configuration sont au cœur des préoccupations dans les environnements Kubernetes et de conteneurs.
- Les logiciels Open Source posent problème pour la sécurité de la chaîne d'approvisionnement des logiciels.
67 % des entreprises ont reporté ou ralenti un déploiement à cause d'un problème de sécurité
D'après notre enquête, 67 % des entreprises ont déjà été contraintes de reporter ou de ralentir le déploiement d'une application pour des raisons de sécurité. Certaines entreprises sont submergées par les impératifs de sécurité dans tous les aspects du cycle de vie des applications, du développement au déploiement, jusqu'à la maintenance. Il leur faut un moyen simple de protéger leurs applications conteneurisées sans ralentir le développement ni accroître la complexité de l'exploitation.
En misant très tôt sur la sécurité, les entreprises investissent dans la protection de leurs ressources essentielles, notamment les données sensibles, la propriété intellectuelle et les informations sur la clientèle. Elles sont également mieux équipées pour respecter les exigences réglementaires, assurer la continuité des activités, préserver la confiance de la clientèle, mais aussi pour réduire les coûts à long terme qu'engendre la résolution des failles de sécurité au cours du développement ou après une attaque.
Référez-vous aux conclusions de ce rapport afin de déterminer comment accélérer vos efforts pour appliquer des contrôles de sécurité aux conteneurs et à Kubernetes.
37 % des entreprises ont identifié une perte de chiffre d'affaires ou de clientèle suite à un incident de sécurité lié aux conteneurs et à Kubernetes
Les problèmes de sécurité peuvent avoir de graves conséquences sur les activités de l'entreprise. Par exemple, 25 % des entreprises ont reçu une amende à cause d'un incident de sécurité et 21 % ont dû se séparer d'un collaborateur. Autre potentiel impact négatif des incidents de sécurité liés à Kubernetes et aux conteneurs : le ralentissement de la croissance, avec une perte de chiffre d'affaires ou de clientèle pour 37 % des entreprises interrogées. Les failles de sécurité entraînent également le report de projets stratégiques ou de lancements de produit, car l'entreprise est forcée de traiter en priorité les vulnérabilités non détectées à l'étape du développement. Ces retards peuvent avoir d'autres répercussions et provoquer une perte de chiffre d'affaires, le mécontentement de la clientèle, voire la perte de parts de marché au profit de la concurrence. Enfin, la clientèle risque de perdre confiance dans la capacité de l'entreprise à protéger ses données et se tourner vers des concurrents plus fiables.
La majorité des entreprises interrogées ont mis en place une initiative DevSecOps
La majorité des entreprises adoptent le modèle DevSecOps, un terme qui englobe les processus et les outils permettant d'intégrer la sécurité au cycle de développement des applications, au lieu d'en faire un processus distinct. Les entreprises qui n'ont pas d'initiative DevSecOps et qui gèrent séparément la sécurité et les pratiques DevOps (17 %) ne profitent pas des avantages qu'offre l'intégration de la sécurité au cycle de développement, notamment l'amélioration de l'efficacité, de la rapidité et de la qualité de la distribution des logiciels.
Les vulnérabilités et les erreurs de configuration sont au cœur des préoccupations dans les environnements Kubernetes et de conteneurs
Plus de la moitié des entreprises interrogées s'inquiètent des vulnérabilités et des erreurs de configuration, en raison du haut niveau de personnalisation des conteneurs et de Kubernetes. L'exécution des conteneurs dans des environnements dynamiques, le partage du noyau du système d'exploitation et des autres ressources, ainsi que le nombre important de composants tiers rendent difficile le maintien d'une posture de sécurité cohérente. Tous ces facteurs combinés compliquent la configuration de la sécurité, ainsi que la détection et la réduction des vulnérabilités, et c'est ce qui préoccupe le plus les entreprises interrogées dans le cadre de notre enquête.
Les logiciels Open Source posent problème pour la sécurité de la chaîne d'approvisionnement des logiciels
La sécurité de la chaîne d'approvisionnement des logiciels est devenue un sujet sensible face à la hausse rapide des attaques. Les entreprises interrogées sont préoccupées par différents aspects de la chaîne d'approvisionnement des logiciels, et principalement par les vulnérabilités dans les logiciels et l'utilisation des logiciels Open Source. Les inquiétudes concernant les vulnérabilités sont compréhensibles, car elles peuvent engendrer des incidents graves, comme la fuite de données, l'intrusion d'un logiciel malveillant ou des accès non autorisés. Quant aux logiciels Open Source, largement utilisés dans les approches de développement modernes, ils posent problème pour la sécurité de la chaîne d'approvisionnement, notamment lorsqu'ils sont mal gérés ou qu'ils présentent des vulnérabilités.
Lisez le rapport complet pour savoir comment améliorer la sécurité
En considérant la sécurité comme secondaire, les entreprises risquent de perdre l'avantage majeur que constitue l'accélération du développement et du lancement des applications, car leurs environnements cloud-native ne sont pas créés, déployés et gérés en toute sécurité. Nos résultats montrent que les processus de création et de déploiement conditionnent considérablement la sécurité, comme en témoigne la prévalence des erreurs de configuration et des vulnérabilités dans les entreprises. Par conséquent, il faut mettre en œuvre la sécurité dès le début et l'intégrer de façon transparente aux workflows DevOps, au lieu de l'ajouter juste avant la mise en production de l'application.
Découvrez les résultats complets de l'enquête et les principales conclusions.