AccueilActualités informatiqueRapport Sysdig : les déploiements de conteneurs présentent majoritairement des vulnérabilités

Rapport Sysdig : les déploiements de conteneurs présentent majoritairement des vulnérabilités

Pour la cinquième fois, le fournisseur de plateformes Sysdig, qui se concentre sur Secure DevOps, publie son rapport annuel « Cloud-Native Security and Usage Report » (anciennement « Container Security and Usage Report »). Après avoir constaté l’année dernière une sensibilisation croissante des utilisateurs aux thèmes de la sécurité et du monitoring – et donc un changement de cap dans la sécurité des conteneurs -, l’édition 2022 du rapport dresse un tableau mitigé. Des outils open source comme Prometheus et Falco contribuent à une automatisation poussée de la surveillance des environnements de production et de la détection des menaces, mais près des trois quarts des images de conteneurs analysées continuent de présenter des vulnérabilités, voire de fonctionner en mode racine.

Sommaire

Pas moins de 42% des images de conteneurs analysées sont scannées très tôt dans le processus de construction, dans le sens d’une stratégie shift-security-left dans les pipelines CI/CD, mais pour plus de la moitié des images, le contrôle a lieu après le déploiement, seulement au moment de l’exécution. Ce faisant, les entreprises semblent prendre sciemment le risque de ne corriger d’éventuelles failles que plus tard et de privilégier une mise à disposition plus rapide du logiciel pour les utilisateurs. Selon le rapport Sysdig, 85 % des images de conteneurs utilisées dans des environnements de production présentent au moins une faille. Pour trois quarts des images, le degré de gravité de la vulnérabilité est même considéré comme élevé ou critique.

Les principales tendances du rapport 2022 sur la sécurité et l’utilisation des clouds natifs

(Image : Sysdig)

La situation est encore aggravée par la tendance à intégrer de plus en plus d’images de conteneurs à partir de dépôts publics qui ne sont pas systématiquement validés ou contrôlés quant aux points faibles – leur part est passée de 47 à 61 pour cent par rapport à l’année précédente. Avec une part de marché de 26%, Quay a pu se placer pour la première fois devant Docker Hub, et des fournisseurs comme Red Hat ou AWS ont pu doubler leur part respective.

Les problèmes de sécurité résultent en outre souvent de configurations erronées des environnements de production. Un facteur important est par exemple la configuration des droits pour les conteneurs. La dernière étude de Sysdig a montré que 76% des images fonctionnent avec des privilèges root. Il s’agit d’une nette augmentation par rapport aux 58 pour cent du rapport de l’année dernière. Dans de nombreuses entreprises, la mise en œuvre des processus DevSecOps recommandés est manifestement à la traîne par rapport aux modèles d’exploitation natifs du cloud.

Dans ce contexte, les responsables de Sysdig considèrent comme un signe positif le fait que l’utilisation d’outils open source tels que Prometheus ou Falco ne cesse d’augmenter. Alors que Prometheus s’est établi comme l’outil le plus important pour le monitoring, la journalisation et le traçage avec une part de 83%, Falco sert de moteur de détection des menaces pour Kubernetes, entre autres pour pouvoir détecter les comportements inattendus, les intrusions et le vol de données lors de l’exécution. Les hub pulls Docker du projet, que Sysdig avait remis à l’incubateur de la CNCF, ont doublé au cours des 12 derniers mois pour atteindre un peu plus de 40 millions. Grâce à des alertes, Falco informe par exemple les utilisateurs de conteneurs contenant des Terminal Shells ou d’images fonctionnant avec des privilèges de root.

Le rapport complet Cloud-Native Security and Usage Report 2022 fournit un aperçu détaillé de la situation de sécurité des environnements de conteneurs et Kubernetes cloud-natifs ainsi que de leur fonctionnement. Le rapport se base sur des analyses de données provenant d’environ trois millions de déploiements de conteneurs de clients Sysdig. Le fournisseur a également inclus des données provenant de sources publiques telles que GitHub, Docker Hub et la Cloud Native Computing Foundation (CNCF). Le rapport peut être téléchargé gratuitement sur le site de l’entreprise.

Plus d'articles