L'objectif : limiter ce qu'un compte ou un code piégé peut atteindre. Cette famille (W2, domaine Poste de travail) impose une authentification forte (MFA) pour le poste et les services, le moindre privilège (pas d'admin permanent), une séparation des usages (compte admin distinct, élévation à la demande), l'isolation du code non fiable (devcontainers, VM), et au souverain le device trust (accès conditionné à la conformité du poste).
Un mot de passe seul se phishe ou se rejoue : la MFA ajoute un facteur que l'attaquant distant ne possède pas. Travailler en permanence en administrateur offre les pleins pouvoirs au premier malware exécuté ; le moindre privilège et la séparation des usages (compte admin distinct, élévation à la demande) cloisonnent. Cloner et lancer un dépôt inconnu, c'est exécuter du code arbitraire : l'isoler en devcontainer ou VM contient la casse à un environnement jetable. Au souverain, le device trust refuse tout poste hors politique de sécurité.
Concrètement, ces exigences parent : l'identifiant phishé sans MFA, l'administration permanente qui transforme un malware en compromission totale, la propagation d'un compromis faute de séparation des usages, et le code non fiable exécuté hors bac à sable. Cinq exigences, des fondamentales (R1) aux souveraines (R3).
Des privilèges permanents transforment un phishing en compromission complète.
Les pièges à éviter
Section intitulée « Les pièges à éviter »Les erreurs les plus fréquentes sur ce périmètre :
Exigences
Section intitulée « Exigences »authentification forte (MFA) pour l'accès au poste et aux services.#
Un mot de passe seul se phishe ou se rejoue : c'est le vecteur d'entrée le plus courant. La MFA sur l'accès au poste et aux services ajoute un facteur qu'un attaquant distant ne possède pas, bloquant l'usage d'identifiants volés avant qu'ils n'ouvrent l'accès au code et aux pipelines.
- Preuve attendue
- Configuration MFA pour le poste et les services.
Correspondances & menaces parées 2 standards · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.
moindre privilège : pas de droits admin permanents pour l'usage courant.#
Travailler en permanence en administrateur offre les pleins pouvoirs au premier malware exécuté. Réserver l'usage courant à un compte non privilégié limite l'impact : un code hostile s'exécute bridé et ne peut ni installer de persistance ni modifier la configuration système sans élévation explicite.
- Preuve attendue
- Absence de droits admin permanents pour l'usage courant.
Correspondances & menaces parées 2 standards · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.
séparation des usages : compte admin distinct, élévation à la demande.#
Mélanger administration et usage quotidien sur un même compte propage tout compromis aux droits élevés. Un compte admin distinct et une élévation à la demande cloisonnent : navigation, messagerie et code tournent sans privilège, et l'administration n'est sollicitée que ponctuellement, sous contrôle.
- Preuve attendue
- Compte admin distinct ; mécanisme d'élévation à la demande.
Correspondances & menaces parées 1 standard · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.
exécution du code non fiable isolée (devcontainers/VM/conteneurs).#
Builder ou tester un dépôt non fiable directement sur l'hôte expose vos secrets et votre système à son code. L'isolation en devcontainer, VM ou conteneur confine cette exécution à un bac à sable jetable : si le code est piégé, il abîme un environnement remplaçable, pas votre poste de travail.
- Preuve attendue
- Dispositif d'isolation du code non fiable (devcontainers/VM/conteneurs).
Correspondances & menaces parées 2 standards · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.
device trust : accès conditionné à la conformité vérifiée du poste.#
Autoriser n'importe quel appareil à atteindre vos ressources ignore son état réel de sécurité. Le device trust conditionne l'accès à une conformité vérifiée (chiffrement, patch, EDR actifs) : un poste hors politique est refusé, fermant la voie aux machines compromises ou personnelles non maîtrisées.
- Preuve attendue
- Politique de device trust : accès conditionné à la conformité du poste.
Correspondances & menaces parées 1 standard · 1 menace
Un développeur est piégé (faux entretien d'embauche, projet de test, dépendance à essayer) pour exécuter localement un projet malveillant. Le code s'exécute hors bac à sable avec ses droits et exfiltre credentials et portefeuilles (campagnes Lazarus / BeaverTail) CNCF Dev Tooling SoK.