~5 minutes
Cet article fait partie de la série Sécurité Kubernetes. Si vous cherchez l’introduction et le sommaire complet, commencez par là.
L’OWASP a publié son Kubernetes Top 10 en 2022. Quatre ans plus tard, la liste reste étonnamment pertinente : les dix risques identifiés à l’époque sont toujours présents dans les clusters d’ aujourd’hui. Ce qui a radicalement changé, c’est l’outillage disponible pour les adresser.
En 2022, beaucoup de mitigations étaient complexes à mettre en œuvre, reposaient sur des alpha features ou nécessitaient des outils tiers lourds. En 2026, l’écosystème a mûri : ValidatingAdmissionPolicy avec CEL, Sigstore, Gateway API a remplacé l’Ingress dans la majorité des nouvelles installations, et OpenTelemetry est devenu le standard d’observabilité de facto dans la communauté CNCF.
L’OWASP Kubernetes Top 10 n’est pas une checklist qu’on coche une fois. C’est un référentiel vivant qu’on confronte au cluster réel, à chaque release, à chaque nouveau workload déployé.
Cet article est le point d’entrée de la série : chaque risque fait l’objet d’un article dédié, avec les vecteurs d’attaque actuels, les outils de mitigation open source et un aperçu de l’intégration en pipeline DevSecOps.
Les dix risques en un coup d’œil
S Spoofing · T Tampering · R Répudiation · I Information disclosure · D Denial of Service · E Elevation of privilege
Par où commencer
Ce que j’aurais aimé avoir quand j’ai sécurisé mes premiers clusters : deux points non-négociables à adresser avant tout le reste.
- ✓ Désactiver l’authentification anonyme sur l’API Server (
--anonymous-auth=false) - ✓ Activer l’audit logging de l’API Server avec au moins le niveau Metadata
Les 18 autres points de la checklist complète, organisés en 5 niveaux de priorité (de l'urgence fondamentale à la maturité avancée), sont disponibles en contenu premium.
- ✓ L'OWASP Kubernetes Top 10 de 2022 reste valide en 2026 ; ce sont les outils de mitigation qui ont radicalement évolué.
- ✓ ValidatingAdmissionPolicy avec CEL est stable depuis K8s 1.28 ; elle remplace progressivement les webhooks d'admission tiers pour les cas simples.
- ✓ Sigstore/Cosign v2 en mode keyless est le standard de signature d'images en 2026 ; l'intégrer dans le pipeline CI/CD bloque les images non signées à l'admission.
- ✓ Le chiffrement etcd at-rest avec KMS est disponible nativement sur tous les clouds majeurs ; l'activer est non négociable pour les clusters de production.
- ✓ PodSecurityAdmission en mode enforce (profil restricted) couvre la majorité des besoins de hardening des workloads sans outillage supplémentaire.
- ✓ Falco + Falco Talon est la combinaison de référence pour la détection comportementale et la réponse automatique en 2026.
- ✓ SLSA v1.0, les SBOMs (CycloneDX/SPDX) et VEX forment le triptyque de sécurité supply chain à adopter pour atteindre un niveau de maturité avancé.
- ✓ La sécurité Kubernetes est un processus continu ; les équipes matures automatisent les contrôles et formalisent les revues périodiques plutôt que de s'appuyer sur des audits annuels.