Déploiement & admission : vecteurs d'attaque (SOCLE)

L'étape Déploiement & admission de la chaîne logicielle regroupe 3 vecteurs d'attaque, ancrés dans OWASP CICD-SEC-9 · CIS. Chaque vecteur décrit ce que vise l'attaquant et renvoie aux exigences SOCLE qui le neutralisent.

Admission d'artefact non conforme

Contournement de la politique d'admission

Configuration de déploiement non sécurisée

Techniques principales observées à cette étape : ce sont des approches alternatives, pas une séquence.

Vecteurs d'attaque

Les pastilles renvoient aux exigences SOCLE qui neutralisent chaque vecteur.

V-ADM-1Admission d'artefact non conforme

Un artefact non signé, non scanné ou hors politique passe le contrôle d'admission et entre en production. Le dernier filtre avant l'exécution laisse passer ce qu'il devait bloquer.

Ancré dansCICD-SEC-9

Exigences qui le neutralisent SOCLE-DPL-GEN-1 SOCLE-DPL-ADM-1 SOCLE-DPL-CFG-1 SOCLE-DPL-ADM-2 SOCLE-DPL-RBK-2

V-ADM-2Contournement de la politique d'admission

La politique d'admission (vérification de signature, provenance, conformité) est contournée ou désactivée, laissant déployer des artefacts non vérifiés. Une exception ou une faille de configuration neutralise le garde-fou.

Ancré dansSLSA (verification)

Exigences qui le neutralisent SOCLE-DPL-GEN-1 SOCLE-DPL-GEN-4 SOCLE-DPL-CFG-1

V-ADM-3Configuration de déploiement non sécurisée

Le manifeste de déploiement est mal configuré (privilèges excessifs, montages sensibles, réseau ouvert), exposant la charge dès sa mise en service. La faiblesse n'est pas dans l'artefact mais dans la façon dont il est déployé (CIS Kubernetes).

Ancré dansCIS K8s

Exigences qui le neutralisent SOCLE-DPL-GEN-3 SOCLE-DPL-CFG-3 SOCLE-DPL-SEP-3 SOCLE-INT-VER-2 SOCLE-DPL-GEN-2 SOCLE-DPL-SEP-1 SOCLE-DPL-SEP-2

Prochaines étapes

Étape suivante : Runtime & exploitationVecteurs suivants de la chaîne Panorama des vecteursLes 16 étapes de la chaîne