• DevOps
• Conférence
• Standard
• 55 min

GitLab CI/CD sous attaque : secrets volés, pipelines détournés, défenses durables

• Date jeudi
• Horaire 9h30 à 10h25
• Salle Amphi A

Description

Votre pipeline GitLab CI/CD est-il vraiment plus fiable que l'application qu'il déploie ? À partir de deux scénarios d'attaque réalistes, exfiltration de secrets via variables CI et compromission par merge request malveillante, cette session montre comment un attaquant exploite les mauvaises configurations les plus courantes, puis comment mettre en place des protections durables sans freiner les équipes. La CI/CD est devenue un composant critique du système d’information. Pourtant, sur GitLab, elle concentre encore trop souvent des variables sensibles, des permissions excessives et des règles d’exécution qui ouvrent la porte à des abus simples mais redoutablement efficaces. Dans cette session, nous partons de deux scénarios d’attaque réalistes observés autour de GitLab CI/CD : - l’exploitation de variables CI mal protégées pour exfiltrer des secrets, tokens ou credentials ; - la compromission d’un pipeline via une merge request malveillante, jusqu’à la publication d’artefacts corrompus ou l’introduction de code non maîtrisé dans la chaîne de livraison. L’objectif n’est pas de faire peur, ni de dérouler une checklist figée. À partir de trois années passées à sécuriser des pipelines GitLab en production, nous montrons surtout ce qui tient dans la durée : - les réglages GitLab qui réduisent réellement la surface d’exposition ; - les règles de gouvernance qui évitent les dérives sans bloquer les développeurs ; - les mécanismes de contrôle continu qui permettent de détecter les écarts avant qu’ils ne deviennent exploitables. Ensemble nous verrons comment repenser la sécurité GitLab CI/CD comme un système vivant : moins basé sur des audits ponctuels, davantage sur des garde-fous durables, mesurables et compatibles avec la réalité des équipes.

Orateur·ices

Stéphane Robert

Stéphane Robert a un parcours atypique débutant sa formation par la chaudronnerie avant de se passionner pour la programmation informatique. Après ses études, il a travaillé dans la conception de produits et la formation, avant de se consacrer au DevOps après son arrivé dans le Nord de la France. Depuis 15 ans, il travaille sur des projets variés, se concentrant sur l'automatisation, le développement d'API Python, l pratique d'Ansible. Ces cinq dernières anneées il décidé de partager ses connaisssances sur le DevOps avec son blog.

Aurelien Coget

Je suis Aurélien COGET, CEO de R2Devops avec +15 ans d'expérience dans la dynamisation des productions logicielles. Je suis passionné par l'automatisation des tâches dans le cycle de vie de la livraison de logiciels (SDLC). Je me concentre sur la façon de sécuriser les chaînes d'approvisionnement DevOps, en tirant parti des approches Open Source et Inner Source. J'aime voyager 🌎, partager d'autres cultures 👩🏾‍🤝‍👨🏽, et jouer de la guitare 🎸 Je suis également membre actif d'un cluster d'entreprises numériques en Occitanie. J'organise et anime des ateliers avec des personnes expérimentées afin de partager leurs compétences avec la communauté. Live opensource: https://bit.ly/3XnHSSY

Actions rapides

mettre en favoris Ajouter à Google Calendar Télécharger le fichier ICS

Partager la session

---

Les sessions futures sur le même thème

• • DevOps
  • Quicky

  L'arme secrète d'Uber, Tinder et Slack : Buildkite

  Uber. Slack. Tinder. Elastic. Shopify. Vous pensez connaître la CI/CD qui propulse ces géants ? Vous imaginez sûrement une usine à gaz Jenkins ou des milliers de GitHub Actions ? Et bien non. Vous ne la connaissez pas. Leur point commun s'appelle Buildkite. Mais pourquoi l'élite de la Tech a-t-elle choisi cet outsider plutôt que les standards du marché ? C'est la question que je me suis posée. J'ai testé pour vous cet OVNI de l'intégration continue. Venez découvrir mon retour d'expérience et comprendre pourquoi, après ce talk, vous ne regarderez plus vos pipelines de la même façon.

  Jeudi 11h05 à 11h20 - Amphi C
• • DevOps
  • Quicky

  Tuner uv pour travailler avec Docker

  Vous utilisez uv, le super gestionnaire de packages Python ? Vous avez bien raison. Si vous faites des builds fréquents, vous voudrez éviter de télécharger les dépendances à chaque fois. Et au moment de construire une image docker de votre application, il faudra minimiser son contenu pour réduire la surface d'attaque et accélérer son transfert. Ça tombe bien, Astral a tout prévu pour ça au moyen d'options et de variables d'environnement dédiées ! Je vous ai déjà dit que c'était un super outil ?

  Vendredi 11h05 à 11h20 - Amphi C
• • DevOps
  • Conférence

  L'observabilité en vrai : logs, lessive et 350 VMs

  Les logs, l'observabilité, la viz', sur le papier ça se fait bien. Mais dans la réalité, c'est une autre paire de manches. De la collecte à l’indexation en passant par le nettoyage, nous explorerons les solutions mise en oeuvre dans le cadre d’une forge logicielle. Nous verrons comment Grafana nous à permis le parsing et l’exploitation des données. Et aussi comment ELK nous a aidé à assainir nos données pour éviter d’acheter des disques tous les 6 mois ! Sans oublier la mise en place de la stratégie d’alerting et d’uniformisation sur un parc de 350+ VMs. Avec ce rex, tu repartiras avec des patterns immédiats à appliquer (collecte, nettoyage, indexation), quelques pièges à éviter et des règles pragmatiques d’alerting pour faire de l’observabilité une habitude opérationnelle.

  Vendredi 11h30 à 12h25 - Amphi D