IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les microservices, les conteneurs et Kubernetes ont créé des angles morts en matière de cybersécurité.


Sujet :

Sécurité

  1. #1
    Communiqués de presse

    Femme Profil pro
    Rédacteur technique
    Inscrit en
    mai 2018
    Messages
    592
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 31
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : mai 2018
    Messages : 592
    Points : 25 536
    Points
    25 536
    Par défaut Les microservices, les conteneurs et Kubernetes ont créé des angles morts en matière de cybersécurité.
    89 % des RSSI pensent que les microservices, les conteneurs et Kubernetes ont créé des angles morts en matière de sécurité des applications, selon une récente étude de Dynatrace

    Selon une nouvelle étude publiée par Dynatrace, les RSSI sont de plus en plus préoccupés par le fait que l'adoption croissante des architectures natives du cloud et des pratiques DevSecOps pourrait avoir brisé les approches traditionnelles de la sécurité des applications.

    L'étude révèle que 89 % des RSSI pensent que les microservices, les conteneurs et Kubernetes ont créé des angles morts en matière de sécurité des applications. En outre, 71 % d'entre eux admettent qu'ils ne sont pas totalement convaincus que le code est exempt de vulnérabilités avant sa mise en production.

    En outre, l'enquête mondiale menée auprès de 700 RSSI montre que 97 % des organisations ne disposent pas d'une visibilité en temps réel des vulnérabilités d'exécution dans les environnements de production conteneurisés. Près des deux tiers (63 %) des responsables de la sécurité informatique affirment que les méthodes DevOps et le développement agile ont rendu plus difficiles la détection et la gestion des vulnérabilités logicielles, et 74 % déclarent que les contrôles de sécurité traditionnels, tels que les scanners de vulnérabilités, ne sont plus adaptés à l'univers natif du cloud.

    Nom : dynatrace.png
Affichages : 4417
Taille : 3,0 Ko

    "L'utilisation accrue des architectures cloud-natives a fondamentalement brisé les approches traditionnelles de la sécurité des applications", déclare Bernd Greifeneder, fondateur et directeur technologique de Dynatrace. "Cette étude confirme ce que nous avions prévu depuis longtemps : les analyses de vulnérabilité et les évaluations d'impact manuelles ne sont plus en mesure de suivre le rythme des changements dans les environnements cloud dynamiques et les cycles d'innovation rapides d'aujourd'hui. L'évaluation des risques est devenue presque impossible en raison du nombre croissant de dépendances de services internes et externes, de la dynamique des runtime, de la livraison continue et du développement de logiciels polyglottes qui utilisent un nombre toujours plus grand de technologies tierces. Des équipes déjà très sollicitées sont obligées de choisir entre la vitesse et la sécurité, exposant ainsi leurs organisations à des risques inutiles."

    Parmi les autres conclusions, citons qu'en moyenne, les organisations doivent réagir à 2 169 nouvelles alertes de vulnérabilités potentielles de la sécurité des applications chaque mois. Mais 77 % des RSSI affirment que la plupart des alertes de sécurité et des vulnérabilités sont des faux positifs qui ne nécessitent pas d'action, car il ne s'agit pas d'expositions réelles. En outre, 68 % d'entre eux affirment que le volume d'alertes rend très difficile la hiérarchisation des vulnérabilités en fonction du risque et de l'impact.

    Source : Dynatrace

    Et vous ?

    Trouvez-vous cette étude pertinente ?

    Voir aussi :

    Les opérations de cybersécurité ont du retard : comment le manque de ressources affecte les analystes de sécurité, une étude mondiale réalisée par Trend Micro

    Un rapport révèle que le chiffrement des premiers réseaux téléphoniques a été délibérément affaibli, certains appareils sortis même ces dernières années utilisent toujours les mêmes algorithmes

    La police démantèle un gang de ransomware en Ukraine, qui a piraté un certain nombre de cibles américaines et sud-coréennes
    Publication de communiqués de presse en informatique. Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Homme Profil pro
    Formateur en informatique
    Inscrit en
    septembre 2020
    Messages
    28
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Formateur en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : septembre 2020
    Messages : 28
    Points : 97
    Points
    97
    Par défaut
    C'est une évidence !

    D'autres questions se posent :

    - Quel est le pourcentage de projets qui dédient un busget à la sécurité (post création / formation des développeurs) ?
    - si il existe un budget sécurité, quel est son pourcentage par rapport au budget total du projet (et de sa maintenance) ?

    Et quand on entend parler d'extraction de données cloud parce que les bases elastic search avaient des accès par défaut, on met ça sur le dos du "cloud" ?

    My 2cents ;-)

  3. #3
    Membre extrêmement actif
    Profil pro
    Consultant en technologies
    Inscrit en
    novembre 2005
    Messages
    527
    Détails du profil
    Informations personnelles :
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Consultant en technologies
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : novembre 2005
    Messages : 527
    Points : 845
    Points
    845
    Par défaut
    Des tests de sécurité existent , comme les bonnes pratiques , donc pas d 'excuses

  4. #4
    Membre expérimenté
    Homme Profil pro
    Noob
    Inscrit en
    octobre 2009
    Messages
    441
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Noob

    Informations forums :
    Inscription : octobre 2009
    Messages : 441
    Points : 1 621
    Points
    1 621
    Par défaut
    Il y a aussi la question du choix des technos. Je serais très curieux de savoir combien de systèmes utilisent Kubernetes alors qu'ils n'en ont absolument pas besoin. J'ai le sentiment que bien souvent c'est le bazooka pour tuer la mouche, lequel bazooka requiert des compétences spécifiques pour bien l'utiliser qui ne sont pas innées même si on est un bon technicien. Dans des TPE/PME je doute qu'une personne principalement dédiée à l'infrastructure soit systématiquement embauchée.

  5. #5
    Membre expérimenté
    Profil pro
    Ingénieur système Linux N3
    Inscrit en
    juillet 2008
    Messages
    395
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur système Linux N3

    Informations forums :
    Inscription : juillet 2008
    Messages : 395
    Points : 1 341
    Points
    1 341
    Par défaut Des failles ? C'est clair
    Mon précédent projet c'était le maintien en conditions opérationnelles d'une plateforme de traitement de messageries. Manque de bol, il y avait 2 bibliothèques compilées dont le code source a été perdu. Et donc obligé de mettre le produit dans un container Docker. C'est bien un container docker, le système est resté opérationnel avec ses 2 libs. Par contre, la couche SSL, j'ai utilisé celle du système hôte parce que la couche SSL de l'ancien système vieux de 13 ans, oui mais non... De même, ces 2 libs, plus de code source donc pas moyen de les auditer ou de les mettre à jour. J'aurais préféré les ré-écrire mais malheureusement je n'avais ni les ressources ni le temps ni le budget. Donc en conclusion, les containers c'est bien mais ça crée des failles de sécurité

  6. #6
    Membre éclairé Avatar de pcdwarf
    Homme Profil pro
    Administrateur systèmes et réseaux
    Inscrit en
    février 2010
    Messages
    235
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Administrateur systèmes et réseaux
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : février 2010
    Messages : 235
    Points : 833
    Points
    833
    Par défaut
    Le problème de docker/kubernetes, c'est la facilité avec laquelle ça permet de construire des usines à gaz à base de boites noires.

    certains créent des containers comme on créerait des fonctions dans un dev normal.

    Quand on a qu'un martaud, tout problème est un clou....
    quand tu vois un système de LB/HA devant un cluster de containers tomcat qui créent un webservice dont le seul role est de traduire du latin1 en utf-8 pour un morceau de l'app principale... C'est que visiblement, quelqu'un est devenu fan un peu trop vite.

Discussions similaires

  1. Réponses: 5
    Dernier message: 24/03/2020, 17h06
  2. Réponses: 0
    Dernier message: 26/03/2019, 13h56
  3. Les conteneurs du DevOps présentent-ils des risques pour la sécurité de vos données ?
    Par Bill Fassinou dans le forum Débats sur le développement - Le Best Of
    Réponses: 1
    Dernier message: 17/01/2019, 15h42
  4. question générale sur les conteneurs
    Par tut dans le forum C++
    Réponses: 6
    Dernier message: 01/09/2004, 10h11

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo