Sécurité de Kubernetes : des motifs d'être optimiste ?

Au fil des rapports de Red Hat sur la sécurité de Kubernetes, certains indicateurs dénotent un gain de maturité.

Un vrai gain de maturité ? Ce n’est traditionnellement pas sous cet angle que Red Hat présente son rapport annuel sur la sécurité de Kubernetes.

L’éditeur a effectivement plutôt tendance à mettre en avant les manques en la matière… non sans tendre la perche vers ses propres offres.
Reste que ledit gain de maturité s’illustre dans les chiffres. On peut, tout du moins, interpréter en ce sens certains indicateurs.

Le manque d’investissements moins pointé du doigt

L’édition 2022 du rapport de Red Hat se fondait sur un échantillon de 300 répondants. 31 % avaient désigné le manque d’investissement dans la sécurité comme leur principale inquiétude concernant la stratégie conteneurs/Kubernetes de leur organisation.
Ce taux était passé à 38 % en 2023, sur un échantillon de 600 répondants (25 % citant une « progression trop lente » de la stratégie ; 14 %, une gestion inadéquate des besoins de conformité).
Cette année, sur la même taille d’échantillon, il est passé à 19 %. Comme l’item « progression trop lente ».

Les mauvaises configurations inquiètent moins

Autre élément interprétable comme un signe de maturité : le taux de répondants qui disent s’inquiéter des mauvaises configurations de conteneurs. Au dernier pointage, ils sont 27 %. Ils étaient 46 % voilà deux ans. En corollaire, la crainte des attaques croît (24 % vs 16 %).

Le DevSecOps se généralise

Pas exclusif à la sécurité de Kubernetes, mais indicateur potentiel de maturité : la proportion de mise en œuvre de stratégies DevSecOps. En 2022, ils étaient 51 % à affirmer que leur organisation avait posé des fondations (politiques et workflows communs entre DevOps et sécurité). Et 27 % à déclarer en être à un stade qualifiable d’avancé (intégration et automatisation de la sécurité sur le cycle de vie des projets). Soit un taux global de mise en place du DevSecOps de 78 %.
Dans les derniers relevés, ce taux s’élève à 90 %. Et la part des organisations « avancées » est passée à 42 %.
L’équipe DevSecOps n’est pas pour autant toujours la principale responsable de la sécurité de Kubernetes. Elle l’est en l’occurrence dans 15 % des cas. Sur l’ensemble de l’échantillon, ce rôle échoit à des Ops dans la moitié des organisations.

Il y a des choses qui évoluent moins sensiblement. Par exemple sur la supply chain logicielle. Le principal élément d’inquiétude reste les composants applicatifs vulnérables (37 % ; + 5 points d’une année sur l’autre). Suit toujours le contrôle d’accès insuffisant (32 % ; + 2 points). Les templates IaC restent peu cités (18 % ; + 1 point). Moins en tout cas que les images de conteneurs non sécurisées (32 %) ou le manque d’automatisation (30 %).

Sur l’échantillon 2024, les scanners de vulnérabilités restent les outils de sécurité les plus utilisés pour la supply chain logicielle (44 %). L’analyse statique est à 34 % ; le SBOM, à 32 % ; les contrôleurs d’admission, à 28 % ; l’analyse des dépendances, à 25 % ; la signature/attestation, à 23 %.

Lire aussi : Kubernetes a-t-il besoin d’une LTS ?