Expert Cybersécurité & IAv9.0
Logo Ayi NEDJIMI Consultants
Besoin d'un accompagnement expert ?
Devis personnalisé sous 24h — audit, conformité, incident
Nos livres — PDF offerts
Proxmox VE 9
Proxmox VE 9
379 pages · Clustering, HA, Ceph, SDN
Télécharger →
Sécuriser Active Directory
Sécuriser Active Directory
447 pages · Attaques, Tiering, Monitoring
Télécharger →
Tiering Model Active Directory
Tiering Model AD
PAW, ESAE, Tier 0/1/2, GPO
Télécharger →
SIEM Hybride Wazuh
SIEM Hybride Wazuh
Wazuh + Graylog + Suricata · SOC
Télécharger →
Tous les articles
Livres Blancs Gratuits
Voir tous →
Formation OWASP 2026 : Top 10, ASVS, ZAP & Labs PME
PDF

Formation OWASP 2026 : Top 10, ASVS, ZAP & Labs PME
Certifications Pentest 2026 : OSCP, CRTP, CRT, PNPT
PDF

Certifications Pentest 2026 : OSCP, CRTP, CRT, PNPT
Sécuriser Active Directory — Le Guide Complet (447 pages)
PDF

Sécuriser Active Directory — Le Guide Complet (447 pages)
Proxmox VE 9 — L'ouvrage complet : Guide IA Complet 2026
PDF

Proxmox VE 9 — L'ouvrage complet : Guide IA Complet 2026
DFIR : Réponse à Incident et Forensics | Guide Expert
PDF

DFIR : Réponse à Incident et Forensics | Guide Expert
Zero Trust : Architecture et Déploiement Entreprise
PDF

Zero Trust : Architecture et Déploiement Entreprise
Red Team vs Blue Team : Méthodologies et Outils Expert
PDF

Red Team vs Blue Team : Méthodologies et Outils Expert
Sécurité Microsoft 365 : Audit et Durcissement Complet
PDF

Sécurité Microsoft 365 : Audit et Durcissement Complet
Guide Complet du Pentest Cloud : AWS, Azure et GCP
PDF

Guide Complet du Pentest Cloud : AWS, Azure et GCP
Sécurité DevSecOps : Intégrer la Sécurité dans le CI/CD
PDF

Sécurité DevSecOps : Intégrer la Sécurité dans le CI/CD
IA Offensive et Défensive en Cybersécurité | Guide 2025
PDF

IA Offensive et Défensive en Cybersécurité | Guide 2025
Conformité ISO 27001 : Guide Pratique d'Implémentation
PDF

Conformité ISO 27001 : Guide Pratique d'Implémentation

Téléchargement gratuit · Aucune inscription requise

Tous les livres blancs
Checklists Sécurité — Audit & Durcissement
Formats disponibles
📄 PDF 📊 Excel 🌐 Web

11 checklists professionnelles couvrant 2 200+ points de contrôle. Téléchargement gratuit, aucune inscription.

Toutes les checklists Demander un audit
Centre Ressources ISO 27001
55+ templates & guides gratuits
Centre Ressources AirCyber
Labellisation Bronze/Silver/Gold
Centre Ressources NIS 2
Conformité directive UE 2022/2555
Guides Conformité & Réglementations 2026
Audit & Pentest
Pentest Active Directory Pentest Cloud Pentest Kubernetes Pentest Virtualisation Pentest Microsoft 365 Audit Infrastructure Audit Kubernetes Audit Microsoft 365
Conformité & Gouvernance
ISO 27001 EBIOS RM AirCyber — Boost Aerospace RSSI Externalisé
Forensics & Incident
Investigation numérique Réponse à incident Rétro-ingénierie Analyse données chiffrées
Forces de l’Ordre
Cellule d’Investigation Judiciaire
Tous les articles Articles IA Livres Blancs Grands Guides Checklists Sécurité Blog Actualités Tech Alertes CVE Patch Tuesday Hub Panorama Ransomware France Outils de Déchiffrement Ransomware Recherche avancée
Open Source & IA
Hub Open Source GitHub — 9 projets Hugging Face — LLMs FR Benchmark IA mensuel
Formations
Normes
ISO 27001 SOC 2 PCI DSS 4.0.1
Certifications France
HDS 2026 SecNumCloud 2026
Réglementations 2026
DORA 2026 NIS 2 AI Act 2026 CRA RGPD 2026
IA & Certifications
ISO 42001 Foundation ISO 42001 Lead Implementer ISO 42001 Lead Auditor
Contact

Audit de Sécurité Kubernetes — Conformité & Hardening

Votre cluster Kubernetes est-il réellement sécurisé ? Nous auditons chaque composant — RBAC, Network Policies, Pod Security Standards, secrets, admission controllers — selon les référentiels CIS Benchmark et NSA/CISA. Rapport détaillé avec plans de remédiation opérationnels.

En savoir plus
CKS

Certified Kubernetes Security

CIS

Benchmark Kubernetes certifié

+50

Clusters audités

Qu'est-ce qu'un audit de sécurité Kubernetes ?

Un audit de sécurité Kubernetes est une évaluation méthodique et exhaustive de la configuration, de l'architecture et des pratiques opérationnelles d'un cluster Kubernetes. L'objectif est d'identifier les écarts de configuration, les vulnérabilités connues et les déviations par rapport aux bonnes pratiques reconnues par l'industrie.

Contrairement à un pentest Kubernetes qui simule les actions d'un attaquant, l'audit adopte une approche white-box : nous accédons à l'intégralité de la configuration du cluster (manifests, RBAC, policies, etcd) pour réaliser un contrôle systématique point par point. Chaque contrôle est mappé sur un référentiel reconnu — CIS Kubernetes Benchmark, NSA/CISA Hardening Guide ou NIST SP 800-190.

L'audit couvre les composants du control plane (API Server, etcd, scheduler, controller-manager), les worker nodes (kubelet, kube-proxy, container runtime), le réseau (CNI, Network Policies, Service Mesh), la supply chain (images, registries, signatures), les secrets (encryption at rest, gestion du cycle de vie) et les admission controllers (OPA/Gatekeeper, Kyverno).

Le livrable final est un rapport structuré avec chaque finding classé par sévérité (critique, haute, moyenne, basse, informationnelle), accompagné de recommandations précises, de manifests YAML correctifs et d'un plan de remédiation priorisé. Nous ne nous contentons pas de pointer les problèmes : nous fournissons les solutions clés en main.

78%

Des clusters K8s ont au moins une misconfiguration critique

250+

Contrôles vérifiés par audit (CIS Benchmark)

67%

Des incidents K8s liés au RBAC mal configuré

93%

Des entreprises utilisent K8s en production

Composants audités — Vue d'ensemble

Control Plane

API Server, etcd, scheduler, controller-manager, cloud-controller. Flags de sécurité, TLS, audit logging.

Worker Nodes

Kubelet, kube-proxy, container runtime (containerd/CRI-O), configuration OS, permissions fichiers.

Workloads

Pods, Deployments, DaemonSets, StatefulSets. SecurityContext, capabilities, seccomp, AppArmor/SELinux.

Secrets & Chiffrement

Encryption at rest etcd, KMS provider, rotation des secrets, intégration Vault/External Secrets.

Réseau

CNI (Calico, Cilium), Network Policies, Ingress Controllers, Service Mesh (Istio, Linkerd), mTLS.

RBAC

Roles, ClusterRoles, Bindings, ServiceAccounts. Principe du moindre privilège, audit des permissions excessives.

Admission Controllers

OPA/Gatekeeper, Kyverno, Pod Security Admission. Policies de validation et mutation des ressources.

Supply Chain

Images de base, scan de vulnérabilités, signatures (Cosign/Notary), SBOM, provenance des artefacts.

Référentiels appliqués

CIS

CIS Kubernetes Benchmark v1.9

Le référentiel de facto pour la sécurisation des clusters Kubernetes. Couvre le control plane, les worker nodes, les policies et les workloads. Plus de 120 contrôles catégorisés en Scored et Not Scored. Chaque contrôle est vérifié automatiquement via kube-bench puis validé manuellement par nos auditeurs.

NSA

NSA/CISA Kubernetes Hardening Guide

Publié conjointement par la NSA et la CISA, ce guide couvre la sécurité des pods, l'isolation réseau, l'authentification, l'autorisation, la journalisation et la détection des menaces. Approche pragmatique orientée menaces réelles. Complète le CIS Benchmark avec des recommandations opérationnelles.

NIST

NIST SP 800-190

Guide de sécurité des containers du NIST. Couvre les risques spécifiques aux images, registries, orchestrateurs, containers et systèmes hôtes. Fournit des contremesures détaillées pour chaque catégorie de risque. Utile pour les organisations soumises à des exigences réglementaires fédérales ou européennes.

Périmètre d'audit détaillé

Chaque couche de votre infrastructure Kubernetes est passée au crible. Voici les 8 domaines couverts par notre audit, chacun avec des dizaines de contrôles spécifiques.

API Server Hardening

Sécurisation complète du point d'entrée central du cluster.

  • • Flags de sécurité (--anonymous-auth, --authorization-mode)
  • • TLS certificates et cipher suites
  • • Audit policy et log shipping
  • • Admission controllers actifs
  • • Rate limiting et API priority

RBAC & Identité

Audit exhaustif du modèle de permissions et des identités.

  • • Matrice complète Roles/ClusterRoles
  • • ServiceAccounts et token projection
  • • Privilèges excessifs (wildcard verbs/resources)
  • • Intégration OIDC/LDAP
  • • Impersonation et escalade

Segmentation Réseau

Isolation réseau entre namespaces, pods et services.

  • • Network Policies (Ingress/Egress)
  • • Default deny vs allow-all
  • • CNI capabilities (Calico, Cilium)
  • • Service Mesh mTLS (Istio, Linkerd)
  • • Exposition Services (NodePort, LoadBalancer)

Pod Security

Sécurité au niveau des workloads et containers.

  • • Pod Security Standards (Restricted/Baseline)
  • • SecurityContext (runAsNonRoot, readOnlyRootFilesystem)
  • • Linux capabilities (drop ALL, add minimum)
  • • Seccomp & AppArmor profiles
  • • Resource limits et quotas

Secrets Management

Protection des données sensibles dans le cluster.

  • • Encryption at rest (EncryptionConfiguration)
  • • KMS provider vs aesgcm vs secretbox
  • • Intégration HashiCorp Vault / AWS Secrets Manager
  • • External Secrets Operator
  • • Rotation automatique et cycle de vie

Supply Chain Sécurité

Chaîne d'approvisionnement des images et artefacts.

  • • Scan d'images (Trivy, Grype)
  • • Signatures d'images (Cosign, Notary v2)
  • • SBOM (Software Bill of Materials)
  • • Registry policies (allowed registries)
  • • Base images et vulnérabilités connues

Journalisation & Détection

Observabilité sécurité et détection des anomalies.

  • • Audit Logging API Server
  • • Falco runtime security
  • • Intégration SIEM (ELK, Wazuh)
  • • Alerting et incident response
  • • Métriques sécurité (Prometheus)

etcd Security

Protection du datastore critique du cluster.

  • • Chiffrement TLS client/server
  • • Authentification par certificats
  • • Encryption at rest des données
  • • Accès restreint (firewall, network isolation)
  • • Backup et recovery sécurisés

Qui est concerné par un audit Kubernetes ?

Toute organisation exploitant des clusters Kubernetes en production — que ce soit on-premise, en cloud géré (EKS, AKS, GKE) ou en multi-cloud. L'audit est particulièrement pertinent dans ces contextes :

  • Fintech & Banque — conformité PCI-DSS, DORA, exigences réglementaires
  • Santé & HDS — hébergement de données de santé sur K8s
  • Éditeurs SaaS — sécurisation de la plateforme multi-tenant
  • E-commerce — protection des données de paiement
  • Migration vers K8s — valider la sécurité avant la mise en production
  • Certification ISO 27001 — auditer les contrôles technologiques K8s
  • Post-incident — comprendre l'étendue de la compromission
  • DevSecOps — intégrer la sécurité dans le pipeline CI/CD

Le saviez-vous ?

Selon le rapport Red Hat 2025, 89% des organisations ont connu au moins un incident de sécurité lié à Kubernetes au cours des 12 derniers mois. Les misconfigurations représentent 46% de ces incidents, loin devant les vulnérabilités logicielles (28%). Un audit régulier est la meilleure prévention.

Méthodologie d'audit détaillée

Notre audit Kubernetes suit une méthodologie en 6 phases, chacune produisant des livrables spécifiques. Approche white-box systématique, combinée à l'expertise manuelle de nos auditeurs certifiés CKS.

1

Reconnaissance & cartographie du cluster

Jour 1-2

Phase de découverte complète de l'environnement Kubernetes. Nous cartographions l'architecture du cluster, identifions tous les composants déployés, les namespaces, les workloads, les accès réseau et les dépendances externes. Cette phase permet de dimensionner précisément le périmètre d'audit.

Activités

  • • Inventaire des namespaces et workloads
  • • Cartographie de l'architecture réseau
  • • Identification des services exposés
  • • Analyse de la topologie du cluster
  • • Récupération des configurations actives
  • • Identification de la version K8s et des add-ons

Outils

  • • kubectl (cluster-info, get all)
  • • kube-bench (premier scan CIS)
  • • kubescape (posture assessment)
  • • kubectl-who-can (permission mapping)
  • • rbac-tool (RBAC visualization)
  • • Trivy (scan initial des images)

Résultat

  • • Cartographie complète du cluster
  • • Inventaire des actifs et dépendances
  • • Premier score CIS Benchmark
  • • Surface d'attaque identifiée
  • • Périmètre d'audit validé
  • • Quick wins identifiés
2

Audit RBAC & gestion des identités

Jour 3-5

Le RBAC est la première ligne de défense d'un cluster Kubernetes. Nous auditons chaque Role, ClusterRole, Binding et ServiceAccount pour identifier les privilèges excessifs, les escalades possibles et les violations du principe du moindre privilège. C'est systématiquement le domaine où nous trouvons le plus de findings critiques.

Activités

  • • Dump et analyse de tous les Roles/ClusterRoles
  • • Matrice de permissions par namespace
  • • Recherche de wildcards (*, verbs: [*])
  • • Analyse des ServiceAccounts par défaut
  • • Vérification de l'auto-mount des tokens
  • • Test d'escalade de privilèges RBAC

Outils

  • • kubectl auth can-i --list
  • • rbac-tool / rakkess
  • • kubectl-who-can
  • • kubeaudit (RBAC checks)
  • • rbac-police
  • • Scripts d'analyse custom

Résultat

  • • Matrice RBAC complète exportée
  • • Liste des permissions excessives
  • • Chemins d'escalade identifiés
  • • Recommandations de moindre privilège
  • • Manifests YAML correctifs fournis
  • • Score RBAC avant/après
3

Audit réseau & segmentation

Jour 5-7

Dans un cluster Kubernetes, tout pod peut par défaut communiquer avec tout autre pod. C'est la configuration la plus dangereuse possible. Nous vérifions que les Network Policies sont en place, qu'elles appliquent le deny-by-default et que l'isolation réseau est effective entre les namespaces, les environnements et les niveaux de sécurité.

Activités

  • • Inventaire de toutes les Network Policies
  • • Vérification du default deny par namespace
  • • Test de connectivité inter-namespaces
  • • Analyse des Ingress Controllers
  • • Vérification mTLS Service Mesh
  • • Audit des services exposés (NodePort, LB)

Outils

  • • kubectl (Network Policy analysis)
  • • Cilium connectivity test
  • • netassert (network assertion testing)
  • • kube-hunter (network scanning)
  • • nmap / tcpdump (validation manuelle)
  • • istioctl analyze (Service Mesh)

Résultat

  • • Carte des flux réseau autorisés/bloqués
  • • Namespaces sans isolation identifiés
  • • Network Policies correctives fournies
  • • Recommandations CNI et Service Mesh
  • • Services sur-exposés répertoriés
  • • Architecture réseau cible proposée
4

Audit workloads & sécurité des pods

Jour 7-9

Chaque pod, chaque container est analysé pour vérifier la conformité aux Pod Security Standards. Nous identifions les containers privilégiés, les capabilities dangereuses, les montages de volumes sensibles, l'absence de limites de ressources et les images non scannées. C'est le socle de la défense en profondeur.

Activités

  • • Scan de tous les SecurityContext
  • • Vérification runAsNonRoot, readOnlyRootFilesystem
  • • Analyse des Linux capabilities
  • • Vérification des profils seccomp/AppArmor
  • • Audit des montages de volumes (hostPath, etc.)
  • • Contrôle des resource limits/requests

Outils

  • • kubeaudit (security context audit)
  • • kubesec (risk analysis)
  • • Trivy (image vulnerability scan)
  • • Polaris (workload validation)
  • • kube-score (best practices scoring)
  • • OPA conftest (policy testing)

Résultat

  • • Inventaire de tous les pods non conformes
  • • SecurityContext correctifs par workload
  • • Rapport de vulnérabilités des images
  • • Profils seccomp/AppArmor personnalisés
  • • Policies OPA/Kyverno prêtes à déployer
  • • Score Pod Security amélioré
5

Audit secrets, chiffrement & supply chain

Jour 9-11

Les secrets Kubernetes stockés en base64 dans etcd sans chiffrement sont une cible privilégiée. Nous vérifions le chiffrement at rest, la gestion du cycle de vie des secrets, l'intégration avec des solutions externes (Vault, AWS Secrets Manager) et la sécurité de toute la chaîne d'approvisionnement des images.

Activités

  • • Vérification EncryptionConfiguration
  • • Test du chiffrement at rest etcd
  • • Audit du provider KMS
  • • Scan d'images avec SBOM
  • • Vérification des signatures (Cosign)
  • • Audit des registries autorisées

Outils

  • • etcdctl (encryption verification)
  • • Trivy (image + filesystem scan)
  • • Grype (vulnerability scanning)
  • • Cosign (signature verification)
  • • syft (SBOM generation)
  • • External Secrets Operator check

Résultat

  • • Statut chiffrement at rest documenté
  • • Liste des secrets non chiffrés
  • • Rapport SBOM de toutes les images
  • • CVE critiques/hautes identifiées
  • • Plan de rotation des secrets
  • • Architecture secrets cible (Vault)
6

Rapport, remédiation & transfert

Jour 11-15

Consolidation de l'ensemble des findings dans un rapport structuré, présentation des résultats aux équipes techniques et à la direction, fourniture des manifests correctifs et du plan de remédiation priorisé. Nous ne partons pas sans nous assurer que vos équipes comprennent chaque finding et chaque recommandation.

Activités

  • • Rédaction du rapport d'audit complet
  • • Classification des findings par CVSS
  • • Préparation des manifests correctifs
  • • Présentation aux équipes DevOps/SRE
  • • Présentation à la direction (executive summary)
  • • Atelier de remédiation hands-on

Livrables

  • • Rapport d'audit (80-120 pages)
  • • Executive summary (5 pages)
  • • Fichiers YAML correctifs
  • • Plan de remédiation priorisé
  • • Score CIS Benchmark détaillé
  • • Matrice RBAC nettoyée

Résultat

  • • Vision claire de la posture sécurité K8s
  • • Quick wins appliqués immédiatement
  • • Feuille de route 30/60/90 jours
  • • Équipes formées sur les bonnes pratiques
  • • Base de référence pour les audits futurs
  • • Conformité CIS/NSA documentée

Prestation clé en main — tout est inclus

Un audit Kubernetes complet qui couvre l'intégralité du périmètre : contrôles automatisés, analyse manuelle, manifests correctifs et transfert de compétences. Rien n'est en option.

Tests techniques automatisés + manuels

Combinaison d'outils spécialisés Kubernetes et d'analyse manuelle par nos experts CKS. Les outils détectent les misconfigurations connues, l'expert trouve les problèmes subtils que les scanners ratent.

  • kube-bench (CIS Benchmark automatisé)
  • kubeaudit (sécurité des workloads)
  • Trivy (scan d'images et filesystem)
  • Falco (runtime security rules)
  • OPA/Gatekeeper (policy validation)
  • Analyse manuelle par expert CKS

Livrables opérationnels

Pas de rapport générique : chaque livrable est spécifique à votre cluster, avec des manifests YAML prêts à appliquer et des commandes exactes à exécuter.

  • Rapport d'audit détaillé (80-120 pages PDF)
  • Executive summary pour la direction
  • Fichiers YAML correctifs (Git repo privé)
  • Score CIS Benchmark point par point
  • Matrice RBAC nettoyée (export CSV + YAML)
  • Network Policies correctives

Modes opératoires détaillés

Chaque recommandation est accompagnée d'un mode opératoire pas-à-pas. Vos équipes DevOps peuvent appliquer les correctifs sans ambigüité.

  • Guides de hardening par composant
  • Commandes kubectl prêtes à copier-coller
  • Helm values.yaml sécurisés
  • Terraform/Pulumi modules correctifs
  • Pipeline CI/CD security gates
  • Runbooks de réponse aux alertes Falco

Accompagnement & transfert

L'audit ne s'arrête pas au rapport. Nous accompagnons vos équipes dans l'application des correctifs et le transfert de compétences.

  • Présentation détaillée des findings
  • Atelier de remédiation hands-on (1 jour)
  • Suivi de remédiation à 30 jours
  • Contre-audit post-remédiation (optionnel)
  • Support technique 30 jours post-audit
  • Formation K8s Security (en option)

Double expertise : conformité + technique

Notre audit Kubernetes n'est pas un simple scan automatisé. Nous combinons la rigueur des référentiels de conformité (CIS, NSA, NIST) avec l'expertise offensive de nos pentesters pour une couverture complète.

Volet conformité

  • CIS Kubernetes Benchmark v1.9 — 120+ contrôles vérifiés systématiquement
  • NSA/CISA Hardening Guide — recommandations gouvernementales appliquées
  • NIST SP 800-190 — sécurité des containers et orchestrateurs
  • Pod Security Standards — Restricted, Baseline, Privileged
  • Mapping ISO 27001 — contrôles technologiques Annexe A
  • Score de conformité — pourcentage par domaine avec benchmark

Volet technique

  • Analyse RBAC en profondeur — graphes de permissions, chemins d'escalade
  • Tests réseau réels — validation des Network Policies par injection de trafic
  • Scan de vulnérabilités images — CVE critiques, base images obsolètes
  • Test de chiffrement etcd — vérification que les secrets sont chiffrés at rest
  • Audit admission controllers — efficacité des policies OPA/Kyverno
  • Runtime security — règles Falco, détection d'anomalies en temps réel

Votre cluster est-il conforme au CIS Benchmark ?

78% des clusters Kubernetes que nous auditons présentent des misconfigurations critiques. Ne laissez pas une configuration par défaut compromettre votre infrastructure. Demandez un audit maintenant.

Audit vs Pentest vs Scan automatisé

Comprenez les différences entre les approches de sécurité Kubernetes pour choisir la prestation adaptée à votre besoin. Les trois sont complémentaires.

Critère Audit K8s Pentest K8s Scan automatisé
Approche White-box, systématique Black/Gray-box, offensif Automatisé, superficiel
Objectif Conformité + hardening complet Simulation d'attaque réaliste Détection de misconfigurations connues
Référentiels CIS, NSA, NIST, ISO 27001 MITRE ATT&CK for Containers Vendor-specific
Profondeur Exhaustif (250+ contrôles) Ciblé (exploitation réelle) Limité (patterns connus)
Durée typique 10 à 15 jours 10 à 20 jours 1 heure
Livrables Rapport + manifests + plan de remédiation Rapport d'exploitation + preuves Dashboard + JSON/CSV
Impact production Zéro (lecture seule) Faible (contrôlé) Zéro
Idéal pour Mise en conformité, hardening initial Validation sécurité offensive Monitoring continu CI/CD

Recommandation

Commencez par un audit de conformité pour établir une baseline solide, puis complétez par un pentest Kubernetes pour valider la résistance à une attaque réelle. Intégrez ensuite des scans automatisés dans votre pipeline CI/CD pour le monitoring continu.

CIS Kubernetes Benchmark en détail

Le CIS Kubernetes Benchmark est le référentiel le plus utilisé pour auditer la sécurité des clusters. Voici les domaines couverts et les contrôles clés que nous vérifions.

1. Control Plane Components

API Server (1.1 à 1.2)

  • 1.1.1 — Ensure anonymous-auth is disabled
  • 1.1.2 — Ensure --authorization-mode includes RBAC
  • 1.1.3 — Ensure --profiling is disabled
  • 1.1.4 — Ensure audit-log-path is set
  • 1.1.5 — Ensure --kubelet-certificate-authority is set
  • 1.1.6 — Ensure --encryption-provider-config is set

etcd (1.3) & Controller Manager (1.4)

  • 1.3.1 — Ensure etcd TLS is enabled (--cert-file, --key-file)
  • 1.3.2 — Ensure --client-cert-auth is true
  • 1.3.3 — Ensure --auto-tls is disabled
  • 1.4.1 — Ensure --terminated-pod-gc-threshold is set
  • 1.4.2 — Ensure --use-service-account-credentials is true
  • 1.4.3 — Ensure --bind-address is 127.0.0.1

2. Worker Node Security

Kubelet (2.1)

  • 2.1.1 — Ensure --anonymous-auth is false
  • 2.1.2 — Ensure --authorization-mode is not AlwaysAllow
  • 2.1.3 — Ensure --read-only-port is 0
  • 2.1.4 — Ensure --protect-kernel-defaults is true

Configuration Files (2.2)

  • 2.2.1 — Ensure kubelet config file permissions are 600
  • 2.2.2 — Ensure kubelet config file ownership is root:root
  • 2.2.3 — Ensure proxy kubeconfig permissions are restricted
  • 2.2.4 — Ensure admin.conf permissions are 600

3. Policies & Pod Security

RBAC & ServiceAccounts (3.1)

  • Ensure RBAC is enabled
  • Minimize wildcard use in Roles
  • Minimize cluster-admin bindings
  • Ensure default SA is not used

Pod Security (3.2)

  • Ensure privileged containers are not allowed
  • Minimize hostNetwork/hostPID/hostIPC
  • Ensure runAsNonRoot is set
  • Ensure root filesystem is read-only

Network Policies (3.3)

  • Ensure default deny ingress per NS
  • Ensure default deny egress per NS
  • Ensure CNI supports Network Policies
  • Ensure all namespaces have policies

Audit par plateforme — EKS, AKS, GKE

Chaque plateforme Kubernetes gérée a ses spécificités de sécurité. Notre audit s'adapte à votre environnement avec des contrôles dédiés.

Amazon EKS
  • IAM Roles for Service Accounts (IRSA)
  • EKS Pod Identity
  • VPC CNI & Security Groups for Pods
  • Control Plane Logging (CloudWatch)
  • EKS Managed Node Groups security
  • AWS KMS encryption for secrets
  • Private API endpoint
  • GuardDuty EKS Runtime Monitoring
Azure AKS
  • Azure AD (Entra ID) RBAC integration
  • Workload Identity
  • Azure Policy for AKS
  • Azure CNI / Cilium networking
  • Defender for Containers
  • Key Vault CSI driver
  • Private cluster configuration
  • Authorized IP ranges
Google GKE
  • Workload Identity Federation
  • GKE Autopilot security model
  • Binary Authorization
  • Shielded GKE Nodes
  • VPC-native clusters
  • Application-layer encryption
  • Security Command Center
  • Private cluster & authorized networks

Cas client — Fintech, 12 clusters EKS, 340 findings

Retour d'expérience anonymisé d'un audit Kubernetes pour une fintech européenne soumise à PCI-DSS et DORA.

Contexte

  • Secteur : Fintech, 150 collaborateurs, services de paiement en ligne
  • Infra : 12 clusters Amazon EKS, 3 environnements (dev, staging, prod)
  • Enjeu : Mise en conformité PCI-DSS v4.0 + préparation DORA
  • État initial : Score CIS Benchmark de 34%, aucune Network Policy, RBAC cluster-admin partout

Résultats

34% → 96%

Score CIS Benchmark

340

Findings identifiés

42

Critiques corrigés

15 jours

Durée de l'audit

Chronologie du projet

Semaine 1

Reconnaissance & RBAC

Cartographie des 12 clusters, dump RBAC complet, premier scan CIS Benchmark. Découverte de 47 ClusterRoleBindings cluster-admin.

Semaine 2

Réseau & Workloads

Audit Network Policies (aucune en place), scan des 2 400+ images, analyse des SecurityContext. 180 pods privilégiés identifiés.

Semaine 3

Secrets & Supply Chain

Secrets non chiffrés dans etcd, pas de KMS, images sans signature. Migration vers AWS KMS + External Secrets Operator recommandée.

Semaine 3

Rapport & Remédiation

Livraison du rapport (142 pages), 340 findings dont 42 critiques. Atelier de remédiation de 2 jours. Score cible 96% atteint à J+45.

Répartition des findings

42

Critiques

87

Hautes

124

Moyennes

67

Basses

20

Info

Nos engagements contractuels

Des engagements concrets, inscrits au contrat. Pas de promesses en l'air.

Auditeur CKS dédié

Un seul consultant certifié Certified Kubernetes Security de A à Z. Pas de turnover, pas de junior. Expertise technique garantie.

Zéro impact production

L'audit est 100% non intrusif. Lecture seule, aucune modification de configuration. Votre production n'est jamais impactée.

Rapport sous 5 jours

Le rapport d'audit complet est livré sous 5 jours ouvrés après la fin des tests. Les findings critiques sont signalés en temps réel.

Contre-audit gratuit

Un contre-audit est inclus 30 à 90 jours après la livraison pour vérifier que les remédiations ont été correctement appliquées.

Questions fréquentes sur l'audit Kubernetes

L'audit Kubernetes est une évaluation systématique de la configuration du cluster par rapport à des référentiels reconnus (CIS Benchmark, NSA/CISA). C'est une approche white-box, exhaustive, orientée conformité et hardening. Le pentest Kubernetes est une simulation d'attaque réelle (black/gray-box) qui cherche à exploiter des vulnérabilités pour évaluer l'impact réel d'une compromission. Les deux sont complémentaires : l'audit établit la baseline de sécurité, le pentest la valide en conditions réelles. Nous recommandons de commencer par l'audit, puis de compléter par un pentest une fois les remédiations appliquées.

Oui, absolument. Notre méthodologie s'adapte à chaque plateforme. Sur les clusters managés, le control plane est géré par le cloud provider, donc certains contrôles CIS ne s'appliquent pas directement. En revanche, nous ajoutons des contrôles spécifiques à la plateforme : IRSA pour EKS, Workload Identity pour AKS/GKE, policies cloud (AWS Security Hub, Azure Policy, Security Command Center), configuration réseau cloud, etc. Le périmètre est adapté mais la couverture reste exhaustive.

La durée dépend du nombre de clusters et de leur complexité. Pour un cluster unique (dev+staging+prod), comptez 10 à 15 jours ouvrés. Pour un environnement multi-cluster (5-10 clusters), prévoyez 15 à 25 jours. La phase de rapport et de présentation est incluse dans ce délai. Nous fournissons un planning détaillé lors du cadrage initial pour que vos équipes puissent s'organiser.

Nous avons besoin d'un accès lecture seule au cluster via un kubeconfig dédié. Idéalement un ClusterRole avec des permissions get/list/watch sur toutes les ressources. Pour le CIS Benchmark complet, un accès SSH aux worker nodes est également nécessaire (pour vérifier les permissions fichiers et la configuration kubelet). Sur les clusters managés, un accès console cloud en lecture seule complète le dispositif. Nous ne modifions jamais rien : l'audit est 100% non intrusif.

Non. L'audit est entièrement non intrusif. Toutes les opérations sont en lecture seule (get, list, watch). Nous ne créons pas de pods, ne modifions pas de configurations, ne déployons pas d'agents. Les scans d'images sont effectués hors-bande (pull depuis le registry, scan local). Même kube-bench s'exécute en lecture seule. Votre production n'est pas impactée. C'est précisément la différence avec un pentest, qui lui peut générer une charge limitée.

Nous recommandons un audit complet une fois par an au minimum, et un contre-audit à 6 mois pour vérifier la remédiation. En complément, des scans automatisés (kube-bench, Trivy, kubescape) intégrés dans votre pipeline CI/CD assurent un monitoring continu. Tout changement majeur (upgrade K8s, migration cloud, nouveau CNI, ajout de cluster) devrait également déclencher un audit ciblé. Pour les environnements réglementés (PCI-DSS, HDS), l'audit annuel est obligatoire.

Les 5 findings les plus fréquents dans nos audits sont : (1) RBAC excessif avec des ClusterRoleBindings cluster-admin sur des ServiceAccounts applicatifs, (2) absence de Network Policies (allow-all par défaut), (3) containers s'exécutant en root avec des capabilities dangereuses, (4) secrets non chiffrés dans etcd et (5) images avec des CVE critiques non patchées. Ces 5 problèmes représentent environ 60% des findings critiques dans nos audits. La bonne nouvelle : ils sont tous facilement corrigibles avec les bons manifests.

Nous fournissons les deux. Chaque finding du rapport est accompagné d'une recommandation technique précise et, quand c'est applicable, d'un manifest YAML correctif prêt à appliquer. Pour les findings RBAC, nous fournissons les Roles/ClusterRoles nettoyés. Pour les Network Policies, nous fournissons les policies deny-by-default et les règles d'exception. Pour les images, nous indiquons les versions patchées. Tout est livré dans un repo Git privé pour faciliter l'intégration dans votre workflow GitOps.

Pourquoi nous choisir ?

Certifié CKS (Kubernetes Security)

Nos auditeurs sont certifiés CKS par la CNCF. C'est la certification la plus exigeante du marché en sécurité Kubernetes. Pas de généralistes : des spécialistes.

Expertise audit + pentest K8s

Nous ne faisons pas que cocher des cases CIS Benchmark. Notre expérience offensive (pentest K8s, container escape) nous permet de prioriser les findings par exploitabilité réelle.

Manifests correctifs inclus

Pas seulement un constat : chaque finding est accompagné de fichiers YAML prêts à appliquer, testés et validés. Votre équipe DevOps peut les déployer immédiatement.

Multi-plateforme

EKS, AKS, GKE, k3s, RKE2, OpenShift — nous connaissons les spécificités de chaque distribution. L'audit est adapté à votre plateforme, pas générique.

+50 clusters audités

Plus de 50 clusters Kubernetes audités en environnement de production. Fintech, santé, SaaS, e-commerce. Nous connaissons les patterns d'erreur courants.

Open source first

Nous recommandons des solutions open source (Falco, Trivy, OPA, Kyverno, Cilium) pour maximiser votre ROI et éviter le vendor lock-in.

Sécurisez votre cluster Kubernetes

78% des clusters présentent des misconfigurations critiques. Chaque jour sans audit, c'est un risque de compromission non maîtrisé. Obtenez une vision claire de votre posture de sécurité Kubernetes en 15 jours.

Réponse sous 24h — Échange initial gratuit et sans engagement

15+
ans d'expertise cyber & IA
100+
missions réalisées
ISO 27001
Lead Implementer & Auditor
24h
réponse devis
Réponse sous 24h ouvrées

Discutons de votre projet Audit Kubernetes

Échange découverte gratuit de 30 minutes. Devis personnalisé sous 24h ouvrées. Aucun engagement, aucune obligation.

Réserver un échange 30 min
Sans engagement 30 min offerts Conseil pro immédiat NDA possible

Un projet cybersécurité ?

Expert dispo · Réponse 24h

Devis