Aller au contenu
DevSecOps Logo Stéphane ROBERT
Docs
Blog

Scanners de vulnérabilités

Mise à jour :

Une vulnérabilité non détectée est une vulnérabilité exploitable. Les scanners automatisés identifient les CVE connues dans vos images conteneur, configurations cloud et dépendances avant qu’un attaquant ne les trouve.

Pourquoi scanner les vulnérabilités ?

Les failles de sécurité sont omniprésentes :

  • Images conteneur : une image Alpine ou Debian contient des dizaines de paquets, chacun pouvant avoir des CVE
  • Dépendances applicatives : npm, pip, Maven… des millions de packages, des milliers de vulnérabilités publiées chaque année
  • Infrastructure as Code : une mauvaise configuration Terraform ou Kubernetes peut exposer des ressources sensibles
  • Dockerfiles : des pratiques non sécurisées (root, secrets en dur)

Le scan automatisé intégré à la CI/CD bloque les déploiements à risque.

Qui est concerné ?

ProfilBesoin principal
DéveloppeurScanner avant de commit, comprendre les CVE
Ops / SREAutomatiser les scans dans la CI/CD
DevSecOpsDéfinir les seuils de blocage, gérer les exceptions
RSSIReporting, conformité, suivi des remédiations

Types de scanners

Scanner d’images conteneur

Analyse les couches d’une image OCI/Docker pour identifier les paquets installés et leurs CVE associées.

  • Trivy : scanner polyvalent (images, IaC, secrets, SBOM)
  • Grype : rapide, focus sur les images et SBOM

Scanner IaC (Infrastructure as Code)

Détecte les mauvaises configurations dans Terraform, CloudFormation, Kubernetes, Helm avant le déploiement.

  • Checkov : 1000+ règles, multi-cloud (AWS, Azure, GCP)
  • Trivy : supporte aussi le scan IaC

Linter de Dockerfile

Vérifie les bonnes pratiques de construction d’images Docker (CIS Benchmarks, pas de root, pas de secrets).

  • Dockle : audit d’images selon les benchmarks CIS

Scénario : pipeline CI/CD sécurisé

Une équipe veut bloquer les déploiements vulnérables.

  1. Build : Trivy scanne l’image, bloque si CVE critique ou haute
  2. IaC : Checkov valide les manifests Terraform
  3. Dockerfile : Dockle vérifie les bonnes pratiques
  4. SBOM : Grype analyse le SBOM généré pour un audit continu

Résultat : une CVE critique dans OpenSSL bloque le déploiement.

Pièges courants

  • Scanner sans agir — les rapports s’accumulent, les CVE restent
  • Bloquer sur toutes les CVE — paralysie, faux positifs
  • Ignorer les CVE “moyennes” — combinées, elles peuvent être critiques
  • Scanner uniquement au build — les CVE apparaissent après le déploiement
  • Oublier les images de base — elles aussi ont des vulnérabilités

Outils disponibles

Trivy Scanner polyvalent : images, IaC, secrets, SBOM.
Grype Scanner de vulnérabilités rapide pour images et SBOM.
Checkov Audit de sécurité pour Terraform, CloudFormation, Kubernetes.
Dockle Linter de sécurité pour images Docker (CIS Benchmarks).
OpenSSF Scorecard Évaluer la posture sécurité des projets open source.

Outils à explorer

  • Snyk — scanner SaaS avec fix automatique des dépendances
  • Clair — scanner d’images open source (CoreOS/Red Hat)
  • Anchore — analyse d’images avec politiques personnalisables
  • KICS — scanner IaC open source (Checkmarx)

À retenir

  1. Automatisez — intégrez les scans dans chaque build CI/CD
  2. Priorisez — focus sur les CVE critiques et hautes exploitables
  3. Contextualisez — une CVE dans un binaire non utilisé est moins urgente
  4. Suivez les remédiations — scanner sans corriger ne sert à rien
  5. Mettez à jour les bases — les CVE sont publiées quotidiennement

Liens utiles