- DevOps
- Conférence
- 55 min
GitLab CI/CD sous attaque : secrets volés, pipelines détournés, défenses durables
Date jeudi
Horaire 9h30 à 10h25
Salle Amphi A
Description
Votre pipeline GitLab CI/CD est-il vraiment plus fiable que l'application qu'il déploie ? À partir de deux scénarios d'attaque réalistes, exfiltration de secrets via variables CI et compromission par merge request malveillante, cette session montre comment un attaquant exploite les mauvaises configurations les plus courantes, puis comment mettre en place des protections durables sans freiner les équipes. La CI/CD est devenue un composant critique du système d’information. Pourtant, sur GitLab, elle concentre encore trop souvent des variables sensibles, des permissions excessives et des règles d’exécution qui ouvrent la porte à des abus simples mais redoutablement efficaces. Dans cette session, nous partons de deux scénarios d’attaque réalistes observés autour de GitLab CI/CD : - l’exploitation de variables CI mal protégées pour exfiltrer des secrets, tokens ou credentials ; - la compromission d’un pipeline via une merge request malveillante, jusqu’à la publication d’artefacts corrompus ou l’introduction de code non maîtrisé dans la chaîne de livraison. L’objectif n’est pas de faire peur, ni de dérouler une checklist figée. À partir de trois années passées à sécuriser des pipelines GitLab en production, nous montrons surtout ce qui tient dans la durée : - les réglages GitLab qui réduisent réellement la surface d’exposition ; - les règles de gouvernance qui évitent les dérives sans bloquer les développeurs ; - les mécanismes de contrôle continu qui permettent de détecter les écarts avant qu’ils ne deviennent exploitables. Ensemble nous verrons comment repenser la sécurité GitLab CI/CD comme un système vivant : moins basé sur des audits ponctuels, davantage sur des garde-fous durables, mesurables et compatibles avec la réalité des équipes.
Orateur·ices
Stéphane Robert
Stéphane Robert a un parcours atypique débutant sa formation par la chaudronnerie avant de se passionner pour la programmation informatique. Après ses études, il a travaillé dans la conception de produits et la formation, avant de se consacrer au DevOps après son arrivé dans le Nord de la France. Depuis 15 ans, il travaille sur des projets variés, se concentrant sur l'automatisation, le développement d'API Python, l pratique d'Ansible. Ces cinq dernières anneées il décidé de partager ses connaisssances sur le DevOps avec son blog.
Aurelien Coget
Je suis Aurélien COGET, CEO de R2Devops avec +15 ans d'expérience dans la dynamisation des productions logicielles. Je suis passionné par l'automatisation des tâches dans le cycle de vie de la livraison de logiciels (SDLC). Je me concentre sur la façon de sécuriser les chaînes d'approvisionnement DevOps, en tirant parti des approches Open Source et Inner Source. J'aime voyager 🌎, partager d'autres cultures 👩🏾🤝👨🏽, et jouer de la guitare 🎸 Je suis également membre actif d'un cluster d'entreprises numériques en Occitanie. J'organise et anime des ateliers avec des personnes expérimentées afin de partager leurs compétences avec la communauté. Live opensource: https://bit.ly/3XnHSSY
Actions rapides
Les sessions futures sur le même thème
- DevOps
- Quicky
L'arme secrète d'Uber, Tinder et Slack : Buildkite
Uber. Slack. Tinder. Elastic. Shopify. Vous pensez connaître la CI/CD qui propulse ces géants ? Vous imaginez sûrement une usine à gaz Jenkins ou des milliers de GitHub Actions ? Et bien non. Vous ne la connaissez pas. Leur point commun s'appelle Buildkite. Mais pourquoi l'élite de la Tech a-t-elle choisi cet outsider plutôt que les standards du marché ? C'est la question que je me suis posée. J'ai testé pour vous cet OVNI de l'intégration continue. Venez découvrir mon retour d'expérience et comprendre pourquoi, après ce talk, vous ne regarderez plus vos pipelines de la même façon.
Jeudi
11h05 à 11h20 - Amphi C- DevOps
- Conférence
L'observabilité en vrai : logs, lessive et 350 VMs
Les logs, l'observabilité, la viz', sur le papier ça se fait bien. Mais dans la réalité, c'est une autre paire de manches. De la collecte à l’indexation en passant par le nettoyage, nous explorerons les solutions mise en oeuvre dans le cadre d’une forge logicielle. Nous verrons comment Grafana nous à permis le parsing et l’exploitation des données. Et aussi comment ELK nous a aidé à assainir nos données pour éviter d’acheter des disques tous les 6 mois ! Sans oublier la mise en place de la stratégie d’alerting et d’uniformisation sur un parc de 350+ VMs. Avec ce rex, tu repartiras avec des patterns immédiats à appliquer (collecte, nettoyage, indexation), quelques pièges à éviter et des règles pragmatiques d’alerting pour faire de l’observabilité une habitude opérationnelle.
Vendredi
11h30 à 12h25 - Amphi D- DevOps
- Conférence
Sécuriser son réseau Kubernetes avec Cilium
Quelques lignes de commandes suffisent aujourd'hui pour créer son cluster Kubernetes dans le cloud. On peut alors y déployer sa panoplie de Pods, Deployments, Services, etc. avec peu d'efforts (quoique beaucoup de YAML). Mais qu'en est-il des accès réseaux ? Comment restreindre les accès en entrée et en sortie de son cluster ? Comment contrôler les requêtes HTTP entre microservices ? Et comment sécuriser les données qui transitent entre ces microservices ? Dans ce talk, nous répondrons à ces questions avec Cilium, un plugin réseau pour Kubernetes. Cilium permet d'acheminer les paquets entre conteneurs, d'appliquer les politiques de sécurité réseau, de chiffrer les données en transit et bien plus. Il offre aussi divers outils visuels pour créer ses politiques de sécurité et comprendre ce qui se passe côté réseau [1, 2]. Au programme : - Une courte introduction aux réseaux de conteneurs à la Kubernetes. - Comment Cilium utilise eBPF pour faire la différence. - Sécuriser les accès IP, TCP, HTTP et autres en suivant les bonnes pratiques. - Chiffrer ses données applicatives sans sidecar ni prise de tête. [1] https://docs.cilium.io/en/latest/gettingstarted/hubble/ [2] https://editor.networkpolicy.io
Vendredi
12h30 à 13h25 - Amphi C