Site version bêta
Site version bêta
Site version bêta
Site version bêta
Besoin de vous protéger ?
< toutes les solutions

Audit de sécurité d'une chaîne de CI/CD

Identifier et démontrer les principaux scénarios d’attaque de la chaîne de CI/CD

Les chaînes CI/CD sont devenues essentielles dans les systèmes informatiques modernes, facilitant des livraisons rapides et automatisées. Avec l’essor du Cloud et de l’infrastructure as code (IaC), elles constituent de plus en plus souvent la colonne vertébrale de l’usine logicielle des entreprises. Cependant, leur complexité et les privilèges qui leur sont conférées en font des cibles privilégiées des attaquants, rendant leur sécurisation stratégique.

L'objectif de l'audit est de déterminer la surface d'exposition, les dépendances et l'impact de la chaîne CI/CD sur l'entreprise, et d'identifier les vulnérabilités exploitables par un attaquant externe ou interne disposant de différents niveaux de privilèges.

Thématiques couvertes

Les tests d’intrusion s’appuient sur les risques identifiés par notre expertise et le TOP 10 CI/CD Security Risk de l’OWASP couvrant les thématiques suivantes à chaque étape de la chaîne de CI/CD:

  • La gestion des identités et l’authentification ;
  • Les contrôles d’accès et validations à chaque étapes (Code source, branches, construction, tests, livraison et déploiement) ;
  • La gestion des secrets ;
  • La gestion des artefacts ;
  • La configuration et le durcissement des systèmes, en particulier ceux de l’environnement d’ exécution (jobs) ;
  • La surveillance et la traçabilité des actions ;
  • La segmentation et le cloisonnement de l’infrastructure.

Exemples d’attaques mises en œuvre

  • Recherche de secrets au sein des dépôts Git et de l’environnement de CI/CD (logs, variables, issues, etc.) associés aux projets ;
  • Exécution de code malveillant dans le contexte des pipelines CI/CD (pipeline injection, exploitation des règles de déclenchement des pipelines, interactions entre projets) ;
  • Évasion de conteneur (runners) et latéralisation sur d’autres projets/environnement (scans réseau, utilisation des ressources de l’hôte ou des ressources Cloud accessibles) ;
  • Exploitation des dépendances des images et artefacts  (attaque par supply chain) ;
  • Élévation de privilèges au sein de l’environnement Cloud.

Approche & Méthodologie
  • Intervention en binôme systématique, basée sur l'ISO 19011
  • Approche humaine avec prise en compte par nos consultants des risques métiers réels et de la logique business du périmètre audité
  • Une maitrise totale des outils (internes et externes)
  • Des rapports clairs et didactiques
Livrables
  • Nous accordons une attention particulière à la qualité de nos livrables, fruit de notre investissement et de nos engagements.
  • Chaque rapport est soigneusement rédigé, structuré de manière claire, validé par un second regard expert, et pensé pour être compréhensible aussi bien par des profils techniques que non techniques.
Envie de rejoindre l'aventure ?
Contactez-nous