Le Résumé de la semaine 2026-W21

May 17, 2026

Catégories

• summary
• weekly

Tags

• ANSSI
• ARMO
• Audit
• CEL
• CIS
• CNCF
• DevSecOps
• Gatekeeper
• Kubernetes
• Kubescape
• MITRE
• NSA
• Neo4j
• OPA
• OSAKA
• Pentest
• Rego
• ValidatingAdmissionPolicy
• admission-controller
• benchmark
• compliance
• kube-bench
• policy-as-code

🔍 Licence d'Utilisation 🔍

Sauf mention contraire, le contenu de ce blog est sous licence CC BY-NC-ND 4.0.

© 2025 à 2042 Sébastien Gioria. Tous droits réservés.

💬TL;DR

La sécurité Kubernetes ne se réduit pas à un seul outil ; c'est une chaîne de contrôles complémentaires, chacun couvrant un angle que les autres laissent découvert. Cette semaine, j'ai exploré quatre outils qui forment ensemble une couverture solide : OPA et Gatekeeper pour contrôler ce qui entre dans le cluster avec des policies d'admission, OSAKA pour cartographier les chemins d'attaque avant que les attaquants ne le fassent à votre place, kube-bench pour auditer la conformité CIS configuration par configuration, et Kubescape pour consolider hardening, scan CVE, analyse RBAC et SBOM dans une seule plateforme CNCF. Aucun ne remplace les autres ; ensemble, ils couvrent la chaîne de sécurité K8s de l'admission jusqu'au monitoring en production.

La semaine dernière vous avez peut etre loupé :

---

⚖️ OPA & Gatekeeper : policy-as-code en 2026, sans la langue de bois - 12/05/2026 En mai 2026, le paysage policy-as-code K8s a mué. Gatekeeper v3.22 génère du ValidatingAdmissionPolicy natif, Kyverno monte en puissance, et CEL devient la norme. Reste à savoir si OPA vaut encore le coût dans une chaîne déjà chargée…. Lire l’article

---

🗺️ OSAKA (ANSSI) : cartographiez les chemins d’attaque de votre cluster avant les attaquants - 14/05/2026 OSAKA transforme vos configs Kubernetes en graphes Neo4j exploitables pour révéler les chemins d’attaque réels. L’outil open source de l’ANSSI, pensé pour les auditeurs, change la façon de voir un cluster…. Lire l’article

---

✅ kube-bench : l’audit CIS Kubernetes en une commande, écart par écart - 16/05/2026 kube-bench automatise l’audit de conformité CIS sur votre cluster. Une commande, un rapport détaillé, et des recommandations de remédiation directement applicables en production…. Lire l’article

---

🛡️ Kubescape v3 : hardening + CVE + RBAC + SBOM; une seule plateforme CNCF - 18/05/2026 Kubescape v3 consolide hardening multi-frameworks, scan de vulnérabilités, analyse RBAC et génération SBOM dans une seule plateforme CNCF. Le tout-en-un qui fait taire les silos…. Lire l’article

---

#DevSecOps #OWASP #CloudSecurityAlliance

Partager Tweet LinkedIn Reddit