Trop d’entreprises n’adoptent pas encore l’automatisation lorsqu’il s’agit de sécuriser leurs déploiements cloud. Voilà l’une des conclusions surprenantes du dernier rapport State of DevSecOps 2024. Résumé.
Sur une période de 14 jours, indique le rapport, au moins 38 % des entreprises utilisant AWS ont déployé des charges de travail ou effectué des actions sensibles manuellement via la console dans un environnement de production. Traduction ? Elles s’appuient sur des opérations manuelless plutôt que l’automatisation.
L’adoption de l’infrastructure en tant que code (IaC) varie également chez les fournisseurs de cloud. L’IaC est considérée comme une pratique essentielle pour sécuriser les environnements de production dans le cloud, car elle permet de s’assurer que les opérations humaines ont des autorisations limitées sur les environnements de production, que tous les changements sont examinés par des pairs et que les problèmes sont identifiés en amont dans le processus. Plus de 71 % des organisations utilisent l’IaC en s’appuyant sur au moins une technologie d’IaC populaire, telle que Terraform, CloudFormation ou Pulumi. Ce chiffre est inférieur à 55% sur Google Cloud.
Autres résultats l’étude:
- Alors que les attaques détectées par des scanners de sécurité automatisés représentent le plus grand nombre de tentatives, la grande majorité de ces attaques sont inoffensives et ne génèrent que du bruit pour les défenseurs. Sur les dizaines de millions de requêtes malveillantes identifiées par ces scanners, seules 0,0065 % ont réussi à déclencher une vulnérabilité.
- Un nombre important d’organisations continuent de s’appuyer dans leurs pipelines CI/CD sur des identifiants à longue durée de vie, l’une des causes les plus courantes de violation de données. Même dans les cas où des identifiants à courte durée de vie auraient été à la fois plus pratiques et plus sûrs, 63 % ont utilisé au moins une fois une forme d’identifiant à longue durée de vie pour authentifier les pipelines d’actions GitHub.
- Les applications Java sont les plus impactées par les vulnérabilités tierces ; 90 % des services Java sont susceptibles de présenter une ou plusieurs vulnérabilités critiques introduites par une bibliothèque tierce, contre une moyenne de 47 % pour les autres langages de programmation.
Le rapport State of DevSecOps 2024 de Datadog est disponible dès à présent en anglais depuis cette page.
