~5 minutes
Cet article fait partie de la série Sécurité Kubernetes. Si vous cherchez l’introduction et le sommaire complet, commencez par là.
L’OWASP a publié son Kubernetes Top 10 en 2022. Quatre ans plus tard, la liste reste étonnamment pertinente : les dix risques identifiés à l’époque sont toujours présents dans les clusters d’ aujourd’hui. Ce qui a radicalement changé, c’est l’outillage disponible pour les adresser.
En 2022, beaucoup de mitigations étaient complexes à mettre en œuvre, reposaient sur des alpha features ou nécessitaient des outils tiers lourds. En 2026, l’écosystème a mûri : ValidatingAdmissionPolicy avec CEL, Sigstore, Gateway API a remplacé l’Ingress dans la majorité des nouvelles installations, et OpenTelemetry est devenu le standard d’observabilité de facto dans la communauté CNCF.
L’OWASP Kubernetes Top 10 n’est pas une checklist qu’on coche une fois. C’est un référentiel vivant qu’on confronte au cluster réel, à chaque release, à chaque nouveau workload déployé.
Cet article est le point d’entrée de la série : chaque risque fait l’objet d’un article dédié, avec les vecteurs d’attaque actuels, les outils de mitigation open source et un aperçu de l’intégration en pipeline DevSecOps.
Les dix risques en un coup d’œil
| Risque | Catégorie | S Usurpation |
T Falsification |
R Répudiation |
I Divulgation |
D Déni de service |
E Élévation |
|---|---|---|---|---|---|---|---|
| K01 : Contrôles d'accès API | Authentification | ✓ | ✓ | ✓ | ✓ | · | ✓ |
| K02 : Charges de travail malveillantes | Runtime | · | ✓ | · | ✓ | ✓ | ✓ |
| K03 : Visibilité réseau excessive | Réseau (isolation) | ✓ | ✓ | · | ✓ | ✓ | · |
| K04 : Manque de sécurité conteneurs | Hardening | · | ✓ | · | ✓ | ✓ | ✓ |
| K05 : Configuration obsolète et vulnérable | Versions et config | · | ✓ | · | ✓ | ✓ | ✓ |
| K06 : Secrets non protégés | Données sensibles | ✓ | · | ✓ | ✓ | · | ✓ |
| K07 : Configuration réseau incorrecte | Réseau (infra) | ✓ | ✓ | · | ✓ | ✓ | · |
| K08 : RBAC mal configuré | Autorisation | ✓ | ✓ | ✓ | ✓ | · | ✓ |
| K09 : Journalisation et monitoring inadéquats | Observabilité | · | ✓ | ✓ | ✓ | · | · |
| K10 : Compromission de la supply chain | Supply chain | ✓ | ✓ | ✓ | ✓ | · | ✓ |
S Spoofing · T Tampering · R Répudiation · I Information disclosure · D Denial of Service · E Elevation of privilege
Par où commencer
Ce que j’aurais aimé avoir quand j’ai sécurisé mes premiers clusters : deux points non-négociables à adresser avant tout le reste.
- ✓ Désactiver l’authentification anonyme sur l’API Server (
--anonymous-auth=false) - ✓ Activer l’audit logging de l’API Server avec au moins le niveau Metadata
Les 18 autres points de la checklist complète, organisés en 5 niveaux de priorité (de l'urgence fondamentale à la maturité avancée), sont disponibles en contenu premium.
- ✓ L'OWASP Kubernetes Top 10 de 2022 reste valide en 2026 ; ce sont les outils de mitigation qui ont radicalement évolué.
- ✓ ValidatingAdmissionPolicy avec CEL est stable depuis K8s 1.28 ; elle remplace progressivement les webhooks d'admission tiers pour les cas simples.
- ✓ Sigstore/Cosign v2 en mode keyless est le standard de signature d'images en 2026 ; l'intégrer dans le pipeline CI/CD bloque les images non signées à l'admission.
- ✓ Le chiffrement etcd at-rest avec KMS est disponible nativement sur tous les clouds majeurs ; l'activer est non négociable pour les clusters de production.
- ✓ PodSecurityAdmission en mode enforce (profil restricted) couvre la majorité des besoins de hardening des workloads sans outillage supplémentaire.
- ✓ Falco + Falco Talon est la combinaison de référence pour la détection comportementale et la réponse automatique en 2026.
- ✓ SLSA v1.0, les SBOMs (CycloneDX/SPDX) et VEX forment le triptyque de sécurité supply chain à adopter pour atteindre un niveau de maturité avancé.
- ✓ La sécurité Kubernetes est un processus continu ; les équipes matures automatisent les contrôles et formalisent les revues périodiques plutôt que de s'appuyer sur des audits annuels.
Articles lies
Intégrer MITRE ATT&CK dans une approche DevSecOps : du threat model au pipeline
Intégrer ATT&CK dans un pipeline DevSecOps va bien au-delà d'ajouter un scanner. C'est relier chaque étape du développement à des menaces réelles:
26/06/2026MITRE ATT&CK appliqué aux applications Web cloud native
Mapper les attaques cloud native avec MITRE ATT&CK Cloud : Kubernetes, IAM, containers, APIs, CI/CD et détections adaptées.
19/06/2026Le Résumé de la semaine 2026-W24
Résumé de la semaine 2026-W24: K08: RBAC mal configuré; K09: Journalisation et monitoring inadéquats; K10: Compromission de la supply chain
15/06/2026MITRE ATT&CK en pratique : naviguer les matrices pour sécuriser vos systèmes
Comprendre MITRE ATT&CK en pratique : matrices Enterprise, Cloud et ATLAS, cas d'usage défense et méthode pour prioriser les TTPs.
15/06/2026K10 : Compromission de la supply chain
Réduire le risque OWASP K10 Kubernetes avec Sigstore, SLSA, SBOM CycloneDX, Kyverno et des contrôles d'admission supply chain.
12/06/2026