La plateforme CI/CD orchestre tous les accès et tous les secrets de la chaîne : sa compromission donne le contrôle de toute la production. Le domaine Plateforme & orchestration (ORC) sécurise la plateforme CI/CD elle-même et ses exécuteurs (runners), le maillon de plus haut impact de la chaîne.
Un runner exécute du code avec des secrets et des droits étendus, souvent sur des machines partagées : c'est une cible privilégiée. Sept familles couvrent ce périmètre. L'éphémérité détruit le runner après chaque job pour qu'un attaquant ne le réutilise pas ; l'identité et l'enregistrement remplacent les jetons statiques par des identités courtes (JIT) ; l'isolation réseau et l'isolation d'exécution (microVM, seccomp, non-root) empêchent l'évasion et le vol de secrets entre jobs ; l'intégrité et la provenance du runner garantissent que son image n'est pas piégée ; l'affectation, segmentation et gouvernance séparent les runners par niveau de confiance et les déploient en IaC ; et l'observabilité, détection et réponse ferme la boucle en surveillant le runtime.
Concrètement, ces exigences parent : le runner persistant réutilisé par un attaquant, le jeton statique volé, l'évasion de conteneur vers l'hôte, le vol de secrets entre jobs partagés, l'image de runner piégée, et l'exfiltration non détectée faute de surveillance runtime. Cette page couvre les 42 exigences SOCLE du domaine en sept familles, des fondamentales (R1) aux souveraines (R3).
La plateforme CI/CD orchestre tous les accès et secrets : sa compromission compromet toute la chaîne.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Les exigences essentielles
Section intitulée « Les exigences essentielles »durcissement de la plateforme CI/CD (configuration, accès) selon CIS et guides éditeurs.#
La plateforme CI/CD (serveur, contrôleur) est la cible de plus haut impact : la compromettre, c'est contrôler tous les pipelines, secrets et déploiements. La durcir selon les référentiels CIS et guides éditeurs réduit la surface là où elle compte le plus.
- Preuve attendue
- Rapport de durcissement de la plateforme CI/CD (CIS / guides éditeurs) ; revue des accès.
Correspondances & menaces parées 6 standards · 3 menaces
Le système de gestion de source lui-même (forge self-hosted, serveur Git) est compromis, donnant à l'attaquant le contrôle du code, des droits et des workflows. La racine de confiance du code tombe : tout en aval devient suspect SLSA (C) CNCF Source Code. La plateforme d'orchestration CI/CD elle-même (serveur, contrôleur, base de secrets) est compromise, donnant le contrôle de tous les pipelines, secrets et déploiements. C'est le vecteur de plus haut impact : il rend caducs les contrôles en aval CNCF Publishing CICD-SEC-7. Le registre de paquets ou un miroir est compromis, permettant d'altérer ou de substituer des artefacts pour tous ses utilisateurs. L'infrastructure de distribution devient le point de défaillance unique CNCF Publishing.
contrôle de flux et IAM de la plateforme : aucun contournement des contrôles de pipeline.#
Si les contrôles de pipeline (revues, gates, protections) peuvent être contournés, ils ne valent rien. L'exigence impose un contrôle de flux et un IAM stricts : aucun chemin (déclencheur, permission, API) ne doit permettre de sauter ces garde-fous.
- Preuve attendue
- Configuration des contrôles de flux et de l'IAM ; preuve d'impossibilité de contourner le pipeline.
- Outillage
- zizmor poutine Legitify Plumber
Correspondances & menaces parées 5 standards · 2 menaces
Poisoned Pipeline Execution directe : l'attaquant modifie la définition du pipeline (fichier de CI) pour y injecter des commandes exécutées avec les privilèges du build. Le contrôle du fichier de workflow donne le contrôle de l'exécution CICD-SEC-4. Poisoned Pipeline Execution indirecte : l'injection passe par un fichier consommé par le pipeline (Makefile, script, configuration d'outil) plutôt que par le fichier de CI. Le résultat est identique : exécution de code attaquant dans le pipeline CICD-SEC-4 LOTP.
exécuteurs (runners) durcis et isolés par niveau de confiance (inventaire, durcissement, configuration vérifiée).#
Des runners mutualisés sans inventaire ni durcissement mélangent des charges de confiance différentes sur la même machine. L'exigence impose de les inventorier, durcir et isoler par niveau de confiance : un runner du code interne n'exécute pas une PR externe.
- Preuve attendue
- Checklist de durcissement des exécuteurs appliquée ; configuration vérifiée.
- Outillage
- zizmor poutine Legitify Plumber
Correspondances & menaces parées 5 standards · 1 menace
La plateforme d'orchestration CI/CD elle-même (serveur, contrôleur, base de secrets) est compromise, donnant le contrôle de tous les pipelines, secrets et déploiements. C'est le vecteur de plus haut impact : il rend caducs les contrôles en aval CNCF Publishing CICD-SEC-7.
segmentation par tier de confiance des environnements d'exécution.#
Faire tourner dev, prod et charges non fiables sur les mêmes environnements ouvre le mouvement latéral. Une segmentation par tier de confiance cloisonne ces mondes : une compromission dans un tier ne contamine pas les autres.
- Preuve attendue
- Schéma de segmentation des environnements d'exécution par tier de confiance.
- Outillage
- zizmor poutine Legitify
Correspondances & menaces parées 5 standards · 2 menaces
Un pipeline déclenché par une contribution publique exécute du code non fiable dans un contexte privilégié, exposant secrets et droits du projet. La surface vient de l'ouverture du pipeline aux contributions externes CICD-SEC-4. Un runner auto-hébergé non éphémère conserve un état entre jobs (fichiers, secrets, processus), permettant à un job compromis de piéger les suivants ou d'exfiltrer des données d'autres pipelines. La persistance du runner est l'angle mort CICD-SEC-7.
configuration de la plateforme en IaC, auditée et versionnée.#
Une plateforme configurée à la main dérive et devient invérifiable ; une modification malveillante y passe inaperçue. En IaC, versionnée et auditée, sa configuration est revue comme du code et tout écart devient visible.
- Preuve attendue
- Code IaC de la plateforme, versionné ; résultat d'audit de configuration.
- Outillage
- zizmor poutine Legitify
Correspondances & menaces parées 5 standards · 1 menace
La plateforme d'orchestration CI/CD elle-même (serveur, contrôleur, base de secrets) est compromise, donnant le contrôle de tous les pipelines, secrets et déploiements. C'est le vecteur de plus haut impact : il rend caducs les contrôles en aval CNCF Publishing CICD-SEC-7.
intégrations tierces (OAuth, GitHub Apps, bots, serveurs MCP) connectées au SCM/CI inventoriées, au moindre privilège et revues.#
Les intégrations tierces (OAuth, GitHub Apps, bots, serveurs MCP) connectées au SCM/CI sont des accès privilégiés souvent oubliés : une appli compromise hérite de leurs droits. On les inventorie, on les met au moindre privilège et on les revoit.
- Preuve attendue
- Inventaire des intégrations tierces (OAuth/GitHub Apps/bots/MCP) ; revue des permissions et preuves de révocation.
- Outillage
- zizmor poutine Legitify
Correspondances & menaces parées 5 standards · 8 menaces
Un attaquant contrôlant plusieurs comptes (ou un compte et un bot) approuve sa propre contribution, contournant l'exigence de revue par un tiers indépendant. La règle de revue existe mais est neutralisée par collusion d'identités SLSA (B1). Un compte de service ou bot autorisé à fusionner sans revue à deux est détourné pour introduire du code, court-circuitant le contrôle humain. Les automatismes sur-privilégiés deviennent un chemin d'injection SLSA (B1). Un service externe intégré au pipeline (scanner, notificateur, déployeur SaaS) est compromis et abuse de son accès au CI, aux secrets ou au code. La confiance déléguée à une tierce partie devient un chemin d'attaque (cas Codecov) CICD-SEC-8. Une application OAuth autorisée sur l'organisation est compromise et abuse de ses portées d'accès au code, aux secrets ou aux pipelines. La confiance accordée à une intégration tierce devient un accès attaquant (cas Heroku / Travis) CICD-SEC-8. Une GitHub App ou un bot disposant de permissions élevées est détourné pour agir sur les dépôts ou les workflows. Les privilèges de l'automate dépassent souvent le besoin, élargissant l'impact d'un abus CICD-SEC-8. Un écart entre le moment de la vérification et le moment de l'usage (TOCTOU), exploité via un bot, permet de substituer un contenu validé par un contenu malveillant. La fenêtre entre contrôle et action est l'angle d'attaque CICD-SEC-4. Un outil, skill ou serveur MCP exposé à un agent est piégé pour exécuter des actions malveillantes ou exfiltrer des données lorsqu'il est invoqué. L'agent, en appelant l'outil de confiance, déclenche la charge (ATLAS) ATLAS (Publish Poisoned AI Agent Tool). Une application OAuth ou intégration SaaS de confiance, au-delà du SCM/CI (CRM, support, observabilité), est compromise ou abusée : consentement OAuth détourné, jetons volés, contournement MFA, pour persister et exfiltrer des données (ex. campagne Salesloft/Drift 2025). La confiance accordée à une intégration tierce devient un accès latéral au SI ATT&CK T1671 OWASP CICD-SEC-8.
révocation des intégrations tierces inutiles ou compromises (procédure et capacité testée).#
Une intégration tierce inutile ou compromise reste un accès ouvert tant qu'elle n'est pas révoquée. L'exigence demande une procédure de révocation testée : pouvoir couper vite un OAuth, une App ou un bot suspect fait la différence en incident.
- Preuve attendue
- Procédure de révocation ; trace de révocation d'intégrations.
- Outillage
- zizmor poutine Legitify
Correspondances & menaces parées 3 standards · 4 menaces
Un service externe intégré au pipeline (scanner, notificateur, déployeur SaaS) est compromis et abuse de son accès au CI, aux secrets ou au code. La confiance déléguée à une tierce partie devient un chemin d'attaque (cas Codecov) CICD-SEC-8. Une application OAuth autorisée sur l'organisation est compromise et abuse de ses portées d'accès au code, aux secrets ou aux pipelines. La confiance accordée à une intégration tierce devient un accès attaquant (cas Heroku / Travis) CICD-SEC-8. Une GitHub App ou un bot disposant de permissions élevées est détourné pour agir sur les dépôts ou les workflows. Les privilèges de l'automate dépassent souvent le besoin, élargissant l'impact d'un abus CICD-SEC-8. Une application OAuth ou intégration SaaS de confiance, au-delà du SCM/CI (CRM, support, observabilité), est compromise ou abusée : consentement OAuth détourné, jetons volés, contournement MFA, pour persister et exfiltrer des données (ex. campagne Salesloft/Drift 2025). La confiance accordée à une intégration tierce devient un accès latéral au SI ATT&CK T1671 OWASP CICD-SEC-8.
Les familles de ce domaine
Section intitulée « Les familles de ce domaine »Le détail est organisé par famille de contrôle. Chaque famille a sa page dédiée.