La plateforme CI/CD exécute du code avec des secrets et des droits étendus : c'est une cible de premier choix. Cette famille est la dernière ligne : journaliser les exécutions, surveiller le runtime et préparer la réponse, pour qu'un incident soit détecté en minutes plutôt que découvert des mois plus tard.
Dans le détail, la famille impose une journalisation des exécutions horodatée, conservée et traçable ; une surveillance runtime du comportement (connexions sortantes, activité fichier, processus, via eBPF) qui aurait repéré tj-actions par une connexion anormale ; une détection d'exfiltration et d'anomalies avec alerte sur tout flux non autorisé (la logique default-deny coupe un ver comme Shai-Hulud) ; et une collecte forensique par job doublée d'une procédure de réponse testée, pour ne pas improviser le jour J.
Concrètement, ces exigences parent : l'exfiltration de secrets qui passe inaperçue faute de surveillance, les anomalies comportementales non détectées, l'incident impossible à reconstituer sans journaux ni forensique, et la réponse improvisée qui échoue le jour J.
Sans observabilité, l'exfiltration de secrets et les anomalies passent inaperçues.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »journalisation des exécutions conservée, horodatée et traçable.#
Sans journaux horodatés, conservés et traçables, un incident est invisible : impossible de savoir ce qui s'est exécuté, quand, avec quels accès. C'est le socle de toute détection et forensique ; comme un SBOM, sa valeur se révèle après coup, donc on le pose avant.
- Preuve attendue
- Échantillon de journaux d'exécution (horodatés, conservés, traçables).
Correspondances & menaces parées 3 standards · 2 menaces
Pendant un job, l'attaquant lit en mémoire le jeton OIDC court ou les identifiants fédérés pour s'authentifier auprès de services en aval. L'éphémérité du jeton ne protège pas si le job lui-même est compromis CICD-SEC-6. Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK.
surveillance runtime : connexions sortantes, activité fichier, processus (ex. eBPF).#
Vérifier la configuration d'un pipeline ne dit rien de ce qu'il fait à l'exécution. La surveillance runtime (egress, fichiers, processus, via eBPF) observe le comportement réel : c'est ainsi que tj-actions a été repéré, par une connexion sortante anormale absente du YAML.
- Preuve attendue
- Configuration de surveillance runtime (eBPF/agent) active sur les runners.
Correspondances & menaces parées 3 standards · 1 menace
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK.
détection d'exfiltration de secrets et d'anomalies comportementales ; alerte sur flux non autorisé.#
Surveiller sans règle de réaction ne sert à rien. L'exigence demande une détection d'exfiltration et d'anomalies, avec alerte sur tout flux non autorisé. La logique default-deny en sortie coupe court à un ver comme Shai-Hulud qui republie depuis le pipeline (Harden-Runner, Falco).
- Preuve attendue
- Règles de détection d'exfiltration/anomalies + exemple d'alerte.
- Outillage
- Harden-Runner Falco
Correspondances & menaces parées 3 standards · 3 menaces
Pendant un job, l'attaquant lit en mémoire le jeton OIDC court ou les identifiants fédérés pour s'authentifier auprès de services en aval. L'éphémérité du jeton ne protège pas si le job lui-même est compromis CICD-SEC-6. Un paquet compromis vole les jetons de publication des mainteneurs qui l'installent et republie automatiquement d'autres paquets, se propageant de proche en proche (cas Shai-Hulud). L'auto-propagation transforme une compromission isolée en épidémie CNCF Attack Chaining. Un job compromis balaie la mémoire ou l'environnement du runner pour récolter les secrets d'autres étapes ou pipelines. Le partage de runner sans isolation expose les secrets transverses CICD-SEC-6.
collecte forensique préservée par job ; procédure de réponse à incident définie et testée.#
Une alerte sans réponse ne vaut rien. Préserver une collecte forensique par job permet de reconstituer l'incident ; une procédure de réponse testée évite qu'elle s'effondre le jour J. Ce contrôle ferme la boucle : détecter, contenir, éradiquer, réapprendre.
- Preuve attendue
- Procédure de réponse à incident testée + preuve de collecte forensique par job.
Correspondances & menaces parées 3 standards · 1 menace
Une charge compromise exfiltre des données ou des secrets en production vers un système contrôlé par l'attaquant. La détection comportementale runtime est la dernière ligne, une fois les contrôles amont franchis ATT&CK.