75 % des containers hautement vulnérables !
Alors que la sécurisation des applications traditionnelles suit des processus très établis, ce n’est pas le cas pour les containers. Sysdig tire la sonnette d’alarme.
Le dernier rapport Sysdig sur la sécurité du cloud pointe l’ampleur des dégâts. 75% des images de containers analysés par leur plateforme présentent des vulnérabilités « hautes ou critiques » non patchées.
Dans un billet de blog, cet acteur de la sécurité explique que, chaque jour, sa plateforme détecte des dizaines de milliers de vulnérabilités dans les environnements DevOps de ses clients. L’étude montre par ailleurs que 85% des images de containers qui tournent en production contiennent au moins une vulnérabilité non patchée, mais pour laquelle un patch existe bien.
Le constat est d’autant plus inquiétant que 83 % des personnes interrogées utilisaient Kubernetes en production en 2020, contre 78 % l’année précédente et 58 % en 2019. Du coup, la plateforme est devenue une cible tentante pour les cyberattaquants. Selon Red Hat, 94 % des entreprises ont subi un incident de sécurité Kubernetes au cours des 12 mois précédents !
Manque de rigueur…
Alors que la sécurisation des applications traditionnelles suit des processus très établis, ce n’est pas le cas pour les containers. Sans consignes spécifiques, pas de sécurité ! Une grande partie de l’innovation que nous verrons au cours des prochains cycles concernera la sécurité des conteneurs, estiment les spécialistes de Sysdig.
Autre indice qui doit inquiéter CIO et CISO, 76% des images s’exécutent en root, autrement dit sous forme de containers à privilèges. S’ils sont compromis, les répercussions peuvent être dramatiques. Pour Sysdig, une partie du problème provient d’un manque de rigueur des développeurs qui oublient de configurer correctement les permissions avant que l’image ne soit poussée en production. C’est un problème qui doit être résolu au niveau de la chaîne DevSecOps. Mais il est pour l’instant sous-estimé : cette mauvaise pratique est en progression de 31% par rapport à l’an dernier.
Mauvaises pratiques
Par ailleurs, en analysant les métriques de leur plateforme, SysDig a aussi constaté qu’en 2021, 62% de leurs entreprises clientes ont détecté et découvert des containers en production disposant de shell en ligne de commandes. Autrement dit, ces containers n’ont plus aucun caractère immuable ; ils peuvent être pris en contrôle à distance par des attaquants. Là encore, ce chiffre pointe sur de mauvaises pratiques qui devraient être analysées, détectées et corrigées par la chaîne DevSecOps.
Bien évidemment, les mauvaises pratiques ne se limitent pas aux problèmes de sécurité. Le rapport SysDig pointe également un manque de rigueur et donc de bonnes pratiques dans le contrôle des ressources au sein des clusters Kubernetes. Ainsi, 60% des containers en production n’ont aucune limite d’utilisation CPU. Et 51% n’ont aucune limite de consommation mémoire. C’est un problème particulièrement sur le cloud public où les entreprises sont facturées aux ressources consommées. Ne pas borner les besoins d’un container peut rapidement faire grimper les factures…