~5 minutes
Cet article fait partie de la série Sécurité Kubernetes. Si vous cherchez l’introduction et le sommaire complet, commencez par là.
L’OWASP a publié son Kubernetes Top 10 en 2022. Quatre ans plus tard, la liste reste étonnamment pertinente : les dix risques identifiés à l’époque sont toujours présents dans les clusters d’ aujourd’hui. Ce qui a radicalement changé, c’est l’outillage disponible pour les adresser.
En 2022, beaucoup de mitigations étaient complexes à mettre en œuvre, reposaient sur des alpha features ou nécessitaient des outils tiers lourds. En 2026, l’écosystème a mûri : ValidatingAdmissionPolicy avec CEL, Sigstore, Gateway API a remplacé l’Ingress dans la majorité des nouvelles installations, et OpenTelemetry est devenu le standard d’observabilité de facto dans la communauté CNCF.
L’OWASP Kubernetes Top 10 n’est pas une checklist qu’on coche une fois. C’est un référentiel vivant qu’on confronte au cluster réel, à chaque release, à chaque nouveau workload déployé.
Cet article est le point d’entrée de la série : chaque risque fait l’objet d’un article dédié, avec les vecteurs d’attaque actuels, les outils de mitigation open source et un aperçu de l’intégration en pipeline DevSecOps.
Les dix risques en un coup d’œil
| Risque | Catégorie | S Usurpation |
T Falsification |
R Répudiation |
I Divulgation |
D Déni de service |
E Élévation |
|---|---|---|---|---|---|---|---|
| K01 : Contrôles d'accès API | Authentification | ✓ | ✓ | ✓ | ✓ | · | ✓ |
| K02 : Charges de travail malveillantes | Runtime | · | ✓ | · | ✓ | ✓ | ✓ |
| K03 : Visibilité réseau excessive | Réseau (isolation) | ✓ | ✓ | · | ✓ | ✓ | · |
| K04 : Manque de sécurité conteneurs | Hardening | · | ✓ | · | ✓ | ✓ | ✓ |
| K05 : Configuration obsolète et vulnérable | Versions et config | · | ✓ | · | ✓ | ✓ | ✓ |
| K06 : Secrets non protégés | Données sensibles | ✓ | · | ✓ | ✓ | · | ✓ |
| K07 : Configuration réseau incorrecte | Réseau (infra) | ✓ | ✓ | · | ✓ | ✓ | · |
| K08 : RBAC mal configuré | Autorisation | ✓ | ✓ | ✓ | ✓ | · | ✓ |
| K09 : Journalisation et monitoring inadéquats | Observabilité | · | ✓ | ✓ | ✓ | · | · |
| K10 : Compromission de la supply chain | Supply chain | ✓ | ✓ | ✓ | ✓ | · | ✓ |
S Spoofing · T Tampering · R Répudiation · I Information disclosure · D Denial of Service · E Elevation of privilege
Par où commencer
Ce que j’aurais aimé avoir quand j’ai sécurisé mes premiers clusters : deux points non-négociables à adresser avant tout le reste.
- ✓ Désactiver l’authentification anonyme sur l’API Server (
--anonymous-auth=false) - ✓ Activer l’audit logging de l’API Server avec au moins le niveau Metadata
Les 18 autres points de la checklist complète, organisés en 5 niveaux de priorité (de l'urgence fondamentale à la maturité avancée), sont disponibles en contenu premium.
- ✓ L'OWASP Kubernetes Top 10 de 2022 reste valide en 2026 ; ce sont les outils de mitigation qui ont radicalement évolué.
- ✓ ValidatingAdmissionPolicy avec CEL est stable depuis K8s 1.28 ; elle remplace progressivement les webhooks d'admission tiers pour les cas simples.
- ✓ Sigstore/Cosign v2 en mode keyless est le standard de signature d'images en 2026 ; l'intégrer dans le pipeline CI/CD bloque les images non signées à l'admission.
- ✓ Le chiffrement etcd at-rest avec KMS est disponible nativement sur tous les clouds majeurs ; l'activer est non négociable pour les clusters de production.
- ✓ PodSecurityAdmission en mode enforce (profil restricted) couvre la majorité des besoins de hardening des workloads sans outillage supplémentaire.
- ✓ Falco + Falco Talon est la combinaison de référence pour la détection comportementale et la réponse automatique en 2026.
- ✓ SLSA v1.0, les SBOMs (CycloneDX/SPDX) et VEX forment le triptyque de sécurité supply chain à adopter pour atteindre un niveau de maturité avancé.
- ✓ La sécurité Kubernetes est un processus continu ; les équipes matures automatisent les contrôles et formalisent les revues périodiques plutôt que de s'appuyer sur des audits annuels.
Articles lies
VVAH : Visa open-source son harness agentique de découverte et remédiation de vulnérabilités
VVAH (Visa Vulnerability Agentic Harness) : pipeline agentique SAST + remédiation + validation, open-source par Visa. Ce qu'il fait, où il s'insère...
16/07/2026Patch Tuesday juillet 2026 : un Hyper-V à 9.9 et l'IA comme seule réponse à l'échelle
Analyse du Patch Tuesday juillet 2026 côté Azure et cloud-native : Hyper-V VMSwitch CVSS 9.9, Azure OpenAI, Entra Provisioning, AD FS zero-day. Et ...
15/07/2026Le Résumé de la semaine 2026-W28
Résumé de la semaine 2026-W28 : Mean Time to Breach : pourquoi vos cycles de patch ne vous protègent plus ; Le minimum syndical sur GitHub: ce qu'i...
13/07/20265 risques des Agent Skills que tout CISO doit connaître:
Relai commenté de l'article CSA sur les 5 risques de sécurité des Agent Skills. Analyse des menaces, correspondance OWASP Agentic Skills Top 10, et...
13/07/2026Le Résumé de la semaine 2026-W27
Résumé de la semaine 2026-W27 : Pwn Requests : pourquoi GitHub verrouille pull_request_target (et ce que ça dit de vos pipelines GitLab ou Jenkins)...
06/07/2026