À l’heure où la méthode de travail DevOps semble gagner toutes les entreprises technologiques, de nombreux professionnels ont commencé à s’inquiéter sur la sécurité des conteneurs souvent préférés pour leur flexibilité et leur agilité. L’un des éléments clés dans la mise en œuvre du DevOps est la technologie des conteneurs. Les conteneurs sont de plus en plus mis en œuvre par les entreprises. Le DevOps est un mouvement en ingénierie informatique et une pratique technique visant à l'unification du développement logiciel (dev) et de l'administration des infrastructures informatiques (ops), notamment, l’administration système.
Apparu courant de 2010, le mouvement DevOps se caractérise principalement par la promotion de l’automation et du suivi (monitoring) de toutes les étapes de la création d'un logiciel, depuis le développement, l'intégration, les tests, la livraison jusqu'au déploiement, l'exploitation et la maintenance des infrastructures. Les principes DevOps soutiennent des cycles de développement plus courts, une augmentation de la fréquence des déploiements et des livraisons continues pour une meilleure atteinte des objectifs économiques de l'entreprise. La virtualisation à base de conteneurs est une méthode de virtualisation dans laquelle la couche de virtualisation s'exécute au sein même du système d’exploitation.
Dans cette approche, le noyau du système d'exploitation hôte exécute directement plusieurs machines virtuelles invitées et autonomes sans passer par une couche logicielle supplémentaire. Ces machines invitées s'appellent des conteneurs. Les conteneurs permettent donc de s'affranchir des hyperviseurs et de la gestion qui découle de l'exécution sur chaque machine virtuelle d'un système d’exploitation invité. Cette approche permet d'améliorer les performances, puisqu'un seul et unique système d'exploitation (l'hôte) se charge des appels matériels. Elle permet également d'héberger sur un serveur beaucoup plus d'instances virtualisées que la virtualisation traditionnelle.
Cette technologie est depuis quelques années très utilisée par de grandes firmes telles que Google, BlaBlacar, etc. L’un des plus connus de ces conteneurs est Docker (il s'agit d'un conteneur Linux). Cette façon de faire est très répandue aujourd’hui dans le monde technologique. Mais la technologie des conteneurs garantit-elle une sécurité optimale pour les ressources des entreprises ?
Une récente étude de Tripwire, une agence de cybersécurité, révèle que 60 % des entreprises ont subi un incident lié à la sécurité des conteneurs en 2018. Les résultats de l’étude publiés le 7 janvier dernier indiquent que les entreprises qui ont adopté le DevOps feront certainement face à des défis importants et des risques liés à la sécurité de leurs conteneurs. Pour Tripwire, si ces entreprises veulent minimiser les risques et leur exposition aux menaces numériques, elles devront penser à des solutions immédiates pour sécuriser leurs conteneurs.
Tripwire a procédé à l’interrogation d’environ 311 professionnels de la sécurité informatique qui gèrent des environnements avec des conteneurs dans beaucoup d’entreprises et les réponses étaient pour la plupart inquiétantes. D’abord, 60 % ont confirmé avoir subi quelques problèmes concernant la sécurisation et le déploiement de leurs conteneurs. L’étude de Tripwire fait ressortir que pour la majorité des entreprises dont il est question, plus le nombre de conteneurs en production augmente, plus les risques de sécurité augmentent.
« 86 % des organisations interrogées avaient des conteneurs en production au moment de l'étude. Plus il y avait de conteneurs dans la production, plus il était probable qu'ils subissent un incident lié à la sécurité des conteneurs. Parmi les entreprises comptant plus de 100 conteneurs en production, 75% avaient subi un incident lié à la sécurité. Il n’est donc pas étonnant que 94% des répondants se disent préoccupés par la sécurité des conteneurs. Soixante et onze pour cent des personnes allaient jusqu'à prédire que le nombre d'incidents liés à la sécurité des conteneurs augmenterait au cours de la prochaine cette année », indique Tripwire.
Selon Tripwire, si de tels risques planent sur les installations de ces entreprises, cela peut être la conséquence directe de leur manque d’expérience ou leur immaturité dans la mise en œuvre du DevOps. L’étude rapporte à ce sujet que beaucoup d’entreprises dans le lot traînent encore des lacunes dans leurs stratégies actuelles pour sécuriser leurs conteneurs. Par exemple, lit-on dans le rapport, à peine 12 % des répondants au sondage ont déclaré pouvoir détecter un conteneur compromis en quelques minutes. Quarante-cinq pour cent des participants au sondage ont déclaré que cela prendrait des heures, alors que certains estimaient que cela prendrait encore plus longtemps. Dans le même temps, près de la moitié (47 %) des professionnels de la sécurité informatique ont déclaré que leurs entreprises fabriquaient des conteneurs vulnérables, tandis que presque le même nombre (46 %) ont déclaré ne pas savoir avec certitude si c'était le cas.
Bon nombre de ces entreprises limitent pour ce fait leurs déploiements de DevOps pour parer certains risques de sécurité, indiquent les résultats de l’étude. Elles veulent toutes pouvoir acquérir de nouveaux environnements offrant bien plus de sécurité. « Avec la croissance et l'adoption de conteneurs, les entreprises sentent la pression pour accélérer leur déploiement. Pour faire face à la demande, les équipes acceptent les risques en ne sécurisant pas les conteneurs. Sur la base de cette étude, nous pouvons constater que le résultat est que la majorité des organisations sont confrontées à des incidents de sécurité des conteneurs », a expliqué Tim Erlin, vice-président chargé de la gestion des produits et de la stratégie chez Tripwire.
Source : Tripwire
Et vous ?
Disposez-vous d’un déploiement de conteneurs pour votre entreprise ? Comment assurez-vous leurs sécurités ?
Voir aussi
Les cinq étapes de l'évolution DevOps identifiées par le state of devops 2018, présentées par Puppet et Splunk
Azure DevOps : Microsoft annonce le successeur de Visual Studio Team Services et un service d'intégration et déploiement continus intégrés à GitHub
Le « DevOps » et le développeur « FullStack » mettraient en danger le métier de développeur le constat inquiétant de Jeff Knupp
Les conteneurs du DevOps présentent-ils des risques pour la sécurité de vos données ?
Oui, selon une étude
Les conteneurs du DevOps présentent-ils des risques pour la sécurité de vos données ?
Oui, selon une étude
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !