Aller au contenu
DevSecOps Logo DevSecOps
Docs
Blog
Blog

Sécuriser vos pipelines CI/CD avec les OWASP Top 10 CI/CD Security Risks

Mise à jour :

Logo owasp

Les pipelines CI/CD (Intégration Continue/Déploiement Continu) sont devenus incontournables dans le développement logiciel moderne. Ils accélèrent la livraison en automatisant l’intégration, les tests et le déploiement. Cependant, cette automatisation introduit des vulnérabilités spécifiques : une seule faille peut compromettre des secrets sensibles, infecter la chaîne d’approvisionnement, ou perturber vos services en production.

Le projet OWASP Top 10 CI/CD Security Risks dresse la liste des principaux risques de sécurité liés à ces pipelines. Cet article explique chaque risque, illustre les problèmes qu’il soulève et propose des solutions pratiques pour bâtir des chaînes CI/CD résilientes.

Incidents majeurs de sécurité dans les chaînes d’approvisionnement logicielles

Avant de plonger dans chaque risque, revenons sur trois incidents qui ont marqué l’industrie :

  1. Attaque de la chaîne d’approvisionnement SolarWinds (2020)

    • Des acteurs malveillants ont compromis le pipeline CI/CD de SolarWinds pour injecter du code malveillant dans les mises à jour logicielles Orion.
    • Risques OWASP CI/CD associés :
      • CICD-SEC-1 : Insufficient Flow Control Mechanisms (mécanismes de contrôle de flux insuffisants)
      • CICD-SEC-10 : Insufficient Logging and Visibility (journalisation et visibilité insuffisantes)

  2. Incident Codecov Bash Uploader (2021)

    • Le script Bash Uploader de Codecov a été modifié pour exfiltrer des informations sensibles, affectant de nombreux pipelines CI/CD.
    • Risques OWASP CI/CD associés :
      • CICD-SEC-6 : Insufficient Credential Hygiene (hygiène des identifiants insuffisante)
      • CICD-SEC-9 : Improper Artifact Integrity Validation (validation incorrecte de l’intégrité des artefacts)

  3. Fuite de secrets Travis CI (2021)

    • Des variables d’environnement sensibles (clés API, jetons) ont été exposées en raison d’une configuration système non sécurisée.
    • Risques OWASP CI/CD associés :
      • CICD-SEC-7 : Insecure System Configuration (configuration système non sécurisée)

Ces attaques soulignent la criticité de la sécurité dans vos pipelines : une seule brèche peut avoir des répercussions dévastatrices sur l’ensemble de la chaîne de développement et de livraison.

Les 10 principaux risques de sécurité CI/CD selon OWASP

1. CICD-SEC-1 : Insufficient Flow Control Mechanisms

Description

Des contrôles de flux défaillants permettent à des composants non validés ou malveillants de progresser du développement à la production. Sans processus structuré (gates, validations, approbations manuelles, etc.), il est trop facile d’injecter du code compromettant dans le pipeline.

Problèmes courants

  • Déploiements directement en production sans étapes de validation intermédiaires
  • Absence d’approbation manuelle pour les déploiements critiques
  • Mauvaise configuration des contrôles de flux entre les environnements (développement, test, production)

Conséquences

  • Mise en production de code vulnérable ou malveillant
  • Risque accru de contamination croisée entre les environnements

Recommandations

  • Mettre en place des étapes de validation (tests automatisés, revues de code, approbations manuelles) avant chaque déploiement
  • Segmenter clairement les environnements (dev, test, staging, prod) et limiter la promotion automatique
  • Utiliser des pipelines « multi-stades » avec des gates explicites (approbations ou validations)

2. CICD-SEC-2 : Inadequate Identity and Access Management

Description

Le contrôle d’accès aux ressources CI/CD, aux dépôts de code et aux artefacts est souvent mal géré. Des droits trop larges ou mal configurés permettent à des utilisateurs non autorisés, ou à des comptes compromis, d’accéder à des zones sensibles du pipeline.

Problèmes courants

  • Comptes partagés entre plusieurs utilisateurs
  • Absence de mécanismes d’authentification forte (2FA, MFA)
  • Droits administratifs attribués par défaut à tous les membres d’un projet

Conséquences

  • Accès non autorisé aux secrets, aux scripts de build, ou aux environnements critiques
  • Escalade de privilèges menant à une compromission majeure du pipeline

Recommandations

  • Mettre en place une gestion granulaire des droits (RBAC : Role-Based Access Control)
  • Activer la double authentification (MFA) pour tous les comptes privilégiés
  • Consigner et auditer les accès aux ressources critiques

3. CICD-SEC-3 : Dependency Chain Abuse

Description

Les pipelines CI/CD s’appuient sur de multiples dépendances (bibliothèques, SDK, outils, conteneurs). L’exploitation d’une vulnérabilité dans l’une de ces dépendances — surtout open source — peut entraîner une compromission systémique.

Problèmes courants

  • Téléchargement de librairies ou d’images Docker non vérifiées depuis des registres publics
  • Patches ou mises à jour de sécurité non appliqués
  • Attaque de type « typosquatting » ou dépendance malveillante insérée dans le fichier de configuration

Conséquences

  • Introduction de backdoors ou de failles critiques dans tout le pipeline
  • Compromission en cascade affectant plusieurs projets

Recommandations

  • Utiliser des outils de scan (ex. Trivy, Snyk, OWASP Dependency-Check) pour identifier les vulnérabilités
  • Vérifier la provenance et l’authenticité de chaque dépendance avant adoption
  • Mettre à jour régulièrement et appliquer les correctifs de sécurité

4. CICD-SEC-4 : Poisoned Pipeline Execution (PPE)

Description

Des scripts, jobs ou configurations malveillants peuvent être injectés dans votre pipeline, conduisant à l’exécution de commandes nuisibles. Les attaquants profitent souvent de failles de confiance dans les scripts de build, ou de l’absence de validation avant leur exécution.

Problèmes courants

  • Runners ou agents partagés entre plusieurs projets sans isolation
  • Scripts non validés ajoutés dans le dépôt par des utilisateurs mal intentionnés
  • Absence de signature ou de contrôle d’intégrité des scripts et des jobs

Conséquences

  • Exécution de code malveillant sur les serveurs hôtes
  • Vol de secrets, exfiltration de données, dégradations diverses

Recommandations

  • Mettre en place une isolation forte (VM, conteneur) pour chaque runner ou job
  • Approuver manuellement les modifications de scripts critiques
  • Signer et vérifier l’intégrité des scripts avant leur exécution

5. CICD-SEC-5 : Insufficient PBAC (Pipeline-Based Access Controls)

Description

Le Pipeline-Based Access Control (PBAC) définit quelles étapes, quels jobs et quels environnements sont accessibles à quel moment et par qui. Lorsqu’il est insuffisant, une fuite ou un accès non autorisé dans un job peut donner un accès à toute la chaîne de déploiement.

Problèmes courants

  • Permissions excessives accordées à tous les jobs ou tous les utilisateurs
  • Aucune séparation stricte entre les jobs critiques (déploiement, destruction d’environnement) et les jobs moins sensibles
  • Manque de politiques claires sur l’accès aux données et artefacts générés pendant la pipeline

Conséquences

  • Escalade de privilèges via un job moins critique pour atteindre la production
  • Déploiements non autorisés, modifications non contrôlées de l’infrastructure

Recommandations

  • Définir des règles de PBAC précises : chaque job ne doit accéder qu’à ce dont il a besoin
  • Séparer clairement les rôles « build » et « déploiement » (jobs, runners, environnements)
  • Monitorer et enregistrer l’utilisation des ressources pipeline pour repérer les accès anormaux

6. CICD-SEC-6 : Insufficient Credential Hygiene

Description

Les secrets (clés API, tokens d’accès, mots de passe, certificats…) sont omniprésents dans un pipeline CI/CD. Lorsqu’ils sont mal gérés, ils deviennent une porte d’entrée pour les attaquants.

Problèmes courants

  • Secrets en clair dans des fichiers de configuration (ex. .yml, .env)
  • Partage des mêmes clés entre plusieurs équipes ou projets
  • Absence de rotation périodique des identifiants

Conséquences

  • Utilisation frauduleuse des secrets pour accéder à des services critiques
  • Vol de données, déploiements non autorisés, ou sabotages

Recommandations

  • Stocker les secrets dans un gestionnaire sécurisé (ex. HashiCorp Vault, AWS Secrets Manager)
  • Mettre en place des scans automatiques (ex. GitLeaks, Trufflehog) pour détecter d’éventuels secrets exposés
  • Automatiser la rotation des secrets et utiliser des politiques de moindre privilège

7. CICD-SEC-7 : Insecure System Configuration

Description

De nombreuses plateformes CI/CD (Jenkins, GitLab CI, CircleCI, etc.) proposent des configurations par défaut ou simplifiées qui laissent des failles importantes si elles ne sont pas durcies.

Problèmes courants

  • Mots de passe par défaut non modifiés
  • Absence de chiffrement des communications (TLS/SSL) entre services
  • Ports et interfaces d’administration exposés sur Internet

Conséquences

  • Ouverture d’un accès direct aux attaquants pour manipuler le pipeline
  • Interception et altération de données en transit (ex. code source, artefacts)

Recommandations

  • Changer immédiatement tous les mots de passe par défaut et imposer des règles strictes de complexité
  • Activer et imposer le chiffrement TLS/SSL pour toutes les communications
  • Vérifier et limiter l’exposition des services CI/CD sur le réseau (firewall, VPN, etc.)

8. CICD-SEC-8 : Ungoverned Usage of 3rd Party Services

Description

Les pipelines CI/CD intègrent souvent des services tiers (analyses de code, scan, hébergement, etc.). Lorsque ces services ne sont pas validés, surveillés ou contractualisés correctement, ils peuvent constituer un point d’entrée majeur.

Problèmes courants

  • Intégration de plugins, scripts ou actions tierces sans audit
  • Dépendance excessive à des outils externes sans contrat de service ni SLA
  • Manque de surveillance en continu des performances et de la sécurité de ces services

Conséquences

  • Risque de fuite de données vers un prestataire non fiable
  • Intégration d’un service compromis qui propage sa compromission dans votre pipeline

Recommandations

  • Effectuer un audit de sécurité et de fiabilité avant d’intégrer un service tiers
  • Définir des contrats (SLA, conditions d’utilisation) et vérifier la conformité (RGPD, etc.)
  • Surveiller en continu la performance et la sécurité des outils tiers

9. CICD-SEC-9 : Improper Artifact Integrity Validation

Description

Les artefacts produits lors des builds (binaires, images Docker, packages) doivent être signés, validés, et stockés de manière sécurisée. Sans ces précautions, un attaquant peut injecter ou altérer les artefacts pour y inclure des backdoors.

Problèmes courants

  • Pas de signature ni de hash des artefacts
  • Stockage des artefacts dans un serveur ou un registre sans contrôle d’accès
  • Absence de vérification systématique de l’intégrité avant le déploiement

Conséquences

  • Déploiement d’artefacts falsifiés ou malveillants sur des environnements de production
  • Remontée de fausses versions ou corruption de la chaîne logicielle

Recommandations

  • Mettre en place une signature numérique (ex. Notary, cosign) et des hashes (SHA256, etc.)
  • Stocker les artefacts dans un registre ou un serveur d’artefacts sécurisé
  • Automatiser la vérification d’intégrité avant chaque déploiement

10. CICD-SEC-10 : Insufficient Logging and Visibility

Description

Sans logs complets et centralisés, il est quasi impossible de détecter et d’investiguer rapidement un incident dans le pipeline. Les attaques peuvent ainsi passer inaperçues pendant de longues périodes.

Problèmes courants

  • Logs de pipeline éparpillés, non corrélés
  • Absence de surveillance en temps réel
  • Politiques de rétention trop courtes

Conséquences

  • Détection tardive des compromissions, voire absence totale de détection
  • Difficultés à déterminer l’ampleur de l’incident et à restaurer un état sûr

Recommandations

  • Centraliser les logs (ex. ELK Stack, Splunk) et corréler les événements critiques
  • Configurer des alertes sur les activités suspectes (connexion inhabituelle, échec d’authentification répétée, etc.)
  • Conserver les journaux sur une période suffisante (6 à 12 mois) pour faciliter l’investigation

Conclusion : Construisez des pipelines CI/CD robustes

La sécurisation des pipelines CI/CD constitue un pilier incontournable de la cybersécurité moderne. Les OWASP Top 10 CI/CD Security Risks servent de guide pour identifier les failles majeures et y remédier : gestion d’accès, hygiène des secrets, validation des artefacts, segmentation des environnements, etc.

Pour aller plus loin :

  • Mettez en place un processus de revue et de durcissement régulier de vos pipelines (audits, tests d’intrusion).
  • Automatisez au maximum les contrôles de sécurité (scan des dépendances, validation d’intégrité, rotation des secrets).
  • Formez vos équipes aux bonnes pratiques (documentation claire, simulations d’incidents, retour d’expérience).

Investir dans la sécurité de votre CI/CD, c’est assurer la pérennité de vos projets et protéger votre chaîne d’approvisionnement logicielle contre des attaques potentiellement dévastatrices. Des outils comme R2Devops, des audits réguliers et une approche « Zero Trust » autour du pipeline vous permettront de bâtir une infrastructure fiable et résiliente.

Agissez dès maintenant pour renforcer la sécurité de vos pipelines et prévenir les menaces liées à l’automatisation. Votre réputation, vos données et vos utilisateurs vous remercieront.