Poste de travail dev/ops (SOCLE WKS)

Le poste du développeur détient les credentials, les clés et le code, et il exécute en permanence du code non fiable : dépendances, projets clonés, outils. C'est une frontière de confiance majeure, et souvent la cible la plus rentable : un poste compromis donne accès à toute la chaîne.

Trois chemins reviennent : une extension d'IDE ou de navigateur malveillante (même sur un éditeur vérifié), un paquet ou projet piégé exécuté localement (faux test technique), et l'installation d'outils par curl | sh depuis une source non vérifiée. À chaque fois, du code non fiable s'exécute avec les droits du développeur et ses accès. Le domaine Poste de travail dev/ops (WKS) couvre donc quatre dimensions complémentaires : durcir le poste (chiffrement, patch, EDR), maîtriser son identité et son isolation (MFA, moindre privilège, exécution en bac à sable), garantir l'hygiène de la chaîne locale (secret scanning pré-commit, signature des commits, sources d'outils maîtrisées) et neutraliser les outils détournables (« living off the pipeline »).

Concrètement, ces exigences parent : le poste volé non chiffré qui livre code et clés, l'administration permanente qui transforme un malware en compromission totale, le code non fiable exécuté sur l'hôte, l'extension piégée qui vole vos jetons, et les outils légitimes détournés de la chaîne locale. Cette page couvre les 29 exigences SOCLE du domaine en quatre familles, des fondamentales (R1) aux souveraines (R3).

Le poste a souvent plus d'accès que la prod

Un développeur cumule jetons Git, clés cloud, accès registres. C'est pourquoi des attaques comme le faux entretien (Lazarus / BeaverTail) ou les extensions d'IDE piégées visent directement le poste. Voir le modèle de menaces.

L'enjeu

Le poste dev/ops détient les credentials et exécute du code non fiable : frontière de confiance majeure.

Les pièges à éviter

Les erreurs les plus fréquentes sur ce périmètre :

droits admin permanents

exécution de code non fiable hors bac à sable

extensions IDE / CLI non maîtrisées

Les exigences essentielles

Six exigences forment la base : poste durci et chiffré, MFA et moindre privilège, isolation du code non fiable, hygiène de la chaîne locale, EDR/device trust, et extensions maîtrisées.

Comment lire R1R2R3du fondamental au souverain Doitobligatoire Devraitrecommandé Chaque carte porte son énoncé, le pourquoi, la preuve attendue et ses correspondances aux standards.

Afficher R1 R1 + R2 R1 + R2 + R3

SOCLE-WKS-GEN-1 R1 Doit Essentiel

poste durci et chiffré (disque) ; OS et outils maintenus à jour.#

Le poste du développeur accède au code source, aux secrets et aux clés de signature : c'est une cible de choix (cas LastPass 2022, entrée par la machine d'un ingénieur). Un poste durci, chiffré et à jour réduit la surface qu'un attaquant exploite pour faire du développeur une porte d'entrée de la chaîne.

Preuve attendue

Preuve de chiffrement disque ; rapport de durcissement et de mise à jour du poste.

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

CIS Benchmarks ANSSI-BP-028

Menaces parées

Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.

SOCLE-WKS-GEN-2 R1 Doit Essentiel

identité forte (MFA) et moindre privilège ; pas d'administration permanente.#

Un poste aux droits admin permanents transforme le moindre malware en compromission totale. Imposer une identité forte (MFA) et le moindre privilège, sans administration permanente, borne ce qu'un code hostile peut faire s'il s'exécute : il hérite d'un compte bridé, pas des pleins pouvoirs.

Preuve attendue

Configuration MFA ; absence de droits admin permanents.

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

NIST 800-207 OWASP CICD-SEC-2

Menaces parées

Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.

SOCLE-WKS-GEN-3 R2 Doit Essentiel

exécution du code non fiable isolée localement (conteneurs/VM/devcontainers).#

Cloner et lancer un dépôt inconnu, c'est exécuter du code arbitraire sur sa machine : un postinstall piégé suffit. Isoler cette exécution dans un conteneur, une VM ou un devcontainer contient la casse à un environnement jetable, au lieu de votre poste, vos secrets et votre ~/.ssh.

Preuve attendue

Dispositif d'isolation locale du code non fiable (devcontainers/VM/conteneurs).

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

NIST 800-207 SSDF PO.5

Menaces parées

Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.

SOCLE-WKS-GEN-4 R1 Doit Essentiel

hygiène de la chaîne locale : secret scanning pré-commit, signature des commits, sources d'outils maîtrisées.#

Les fuites commencent souvent localement : un secret poussé par mégarde, un commit usurpé, un outil tiré d'une source douteuse. Le secret scanning pré-commit, la signature des commits et des sources d'outils maîtrisées ferment ces failles avant qu'elles n'atteignent le dépôt distant, où elles sont quasi impossibles à effacer.

Preuve attendue

Hooks pré-commit (secret scanning), configuration de signature des commits, politique de sources d'outils.

Correspondances & menaces parées 2 standards · 1 menace

Correspondance

OWASP CICD-SEC-6 SLSA (Source)

Menaces parées

Un outil en ligne de commande est installé depuis une source non vérifiée (curl | sh, miroir non officiel) et son binaire est trojanisé. L'installation, exécutée avec les droits du poste, ouvre un accès ou vole des secrets avant même tout usage CNCF Dev Tooling.

SOCLE-WKS-GEN-5 R2 Devrait Essentiel

EDR/télémétrie et conformité du poste vérifiée (device trust).#

Un poste compromis qui pousse du code reste invisible sans télémétrie. Un EDR centralisé détecte les comportements anormaux et le device trust conditionne l'accès à la conformité vérifiée du poste : une machine hors politique ne peut plus servir de tremplin silencieux vers le SCM.

Preuve attendue

Déploiement EDR/télémétrie ; vérification de conformité du poste (device trust).

Outillage

osquery

Correspondances & menaces parées 2 standards · 2 menaces

Correspondance

NIST 800-207 CIS Benchmarks

Menaces parées

Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK. Un outil en ligne de commande est installé depuis une source non vérifiée (curl | sh, miroir non officiel) et son binaire est trojanisé. L'installation, exécutée avec les droits du poste, ouvre un accès ou vole des secrets avant même tout usage CNCF Dev Tooling.

SOCLE-WKS-GEN-6 R1 Doit Essentiel

extensions d'IDE et outils dev maîtrisés : liste autorisée, sources/signatures vérifiées, auto-update silencieux désactivé, délai de quarantaine avant adoption.#

Une extension d'IDE s'exécute avec vos droits et peut voler jetons et code : plusieurs ont été retirées des marketplaces après coup. Liste autorisée, signatures vérifiées, auto-update désactivé et délai de quarantaine évitent qu'une mise à jour piégée s'installe silencieusement chez tous les développeurs.

Preuve attendue

Liste autorisée d'extensions/outils ; preuve de désactivation de l'auto-update et de quarantaine.

Correspondances & menaces parées 3 standards · 3 menaces

Correspondance

OWASP CICD-SEC-6 OWASP CICD-SEC-3 CIS Benchmarks

Menaces parées

Une extension d'éditeur (VS Code, JetBrains), même sous un éditeur d'apparence vérifiée, embarque du code malveillant exécuté sur le poste du développeur. Elle vole identifiants, jetons et clés, ou installe un RAT, en s'exécutant avec les droits du dev et l'accès à ses dépôts et secrets CNCF Dev Tooling. Le jeton de publication (PAT) d'un éditeur d'extension fuite, permettant de pousser une mise à jour piégée diffusée automatiquement à toute la base installée. Une seule fuite de jeton compromet des milliers de postes via le canal de mise à jour de confiance CNCF Dev Tooling CNCF Publishing. Un assistant IA ou une documentation recommande une extension ou un paquet dont le nom n'existe pas encore ; l'attaquant enregistre ce nom (squat) pour livrer du code malveillant aux utilisateurs qui suivent la recommandation. La surface naît de la confiance aveugle dans les suggestions automatisées CNCF Dev Tooling.

Les familles de ce domaine

Le détail est organisé par famille de contrôle, chacune sur sa page.

Durcissement & conformité du posteChiffrement, mises à jour, EDR (W1) Identité, privilèges & isolation localeMFA, moindre privilège, isolation (W2) Outils de développement & hygièneSources, secret scan, signature (W3) Outils détournables (LOTP)Neutraliser l'exécution arbitraire (W4)

À retenir

• Le poste est une frontière de confiance : il a souvent plus d'accès que la production.
• Les essentielles : durcir et chiffrer, MFA et moindre privilège, isoler le code non fiable, hygiène de la chaîne, extensions maîtrisées.
• La menace vient du code non fiable exécuté localement (extensions, paquets, curl | sh).
• Quatre familles : durcissement, identité/isolation, hygiène des outils, outils détournables (LOTP).

Prochaines étapes

Suivant : Durcissement & conformité du posteFamille suivante du domaine Démarche & référentielVue d'ensemble SOCLE

SOCLE v1.0.0-rc.4 version candidate, non certifiante · modèle stable, contenus en consolidation. Voir la trajectoire.

Référentiel SOCLE © 2026 Stéphane Robert, publié sous licence Creative Commons CC BY 4.0.

Vous pouvez le réutiliser, adapter et même l'exploiter commercialement, à condition de citer l'auteur et de conserver un lien vers la source. La citation attendue : « Référentiel SOCLE, Stéphane Robert, blog.stephane-robert.info ».

×

📖 Voir la documentation →