/ SPEAKER
Thibault Lengagne
Padok
Head of Cybersecurity à Padok, Thibault est en charge de la branche spécialisée en sécurité Cloud, en tant que directeur technique. Son but : allier Sécurité et DevOps pour trouver des solutions innovantes qui protègent les systèmes tout en améliorant le quotidien des développeurs.
La gestion des secrets a toujours été un sujet complexe : comment et où les stocker, comment les partager,qui les utilise, ont-ils été volés ? Sérieusement, quand avez-vous changé le mot de passe de votre base de données pour la dernière fois ? Selon les chiffres de Verizon, 49% des attaques informatiques impliquent le vol et l'utilisation de secrets, parfois des mois après leur exfiltration.
Est-il possible de construire un écosystème sans secret long-terme, en coupant ainsi l’herbe sous le pied des hackers ? Les avancées technologiques récentes (SSO, OIDC, Cloud IAM, Workload Identity, Vault credential brokering, Just-in-Time access) rendent ce rêve non seulement réalisable, mais en prime, elles simplifient la vie des développeurs.
A la lumière de plus d’une dizaine de missions dans des écosystèmes différents, Thibault se propose de vous montrer par des exemples concrets le chemin vers l’infrastructure “Zero-Creds” :
More Est-il possible de construire un écosystème sans secret long-terme, en coupant ainsi l’herbe sous le pied des hackers ? Les avancées technologiques récentes (SSO, OIDC, Cloud IAM, Workload Identity, Vault credential brokering, Just-in-Time access) rendent ce rêve non seulement réalisable, mais en prime, elles simplifient la vie des développeurs.
A la lumière de plus d’une dizaine de missions dans des écosystèmes différents, Thibault se propose de vous montrer par des exemples concrets le chemin vers l’infrastructure “Zero-Creds” :
- Comment supprimer les secrets utilisés par les développeurs ? (applicatifs, base de données, clés SSH…)
- Quels mécanismes et outils permettent la rotation automatique des secrets utilisés par les machines ?
Pour tout ceux qui souhaitent parler de sécurité Kubernetes !
Plusieurs sujets sont possibles, qui seront plus ou moins développés en fonction des participants.
Le but est de partager nos expériences, les réussites comme les échecs :
More Plusieurs sujets sont possibles, qui seront plus ou moins développés en fonction des participants.
Le but est de partager nos expériences, les réussites comme les échecs :
- La roadmap générale : dans quel ordre traiter les sujets de sécurité
- L'outillage de sécurité
- La sécurité des workers de CI/CD (build d'image docker, déploiement, ...)
- Network security : Network Policy, Service mesh
- Runtime security
Si j’étais un hacker, comment est-ce que je prendrais le contrôle de votre cluster Kubernetes
2H Hands-on Lab (INTERMEDIATE level)
Un cluster Kubernetes est un orchestrateur de conteneurs qui permet de déployer et de gérer des applications de manière efficace. Cependant, en raison de sa complexité, un tel cluster peut facilement être vulnérable aux attaques et sa sécurité peut être compromise. Pour éviter cela, la meilleure option reste de tester ses défenses en se mettant dans la peau d’un attaquant !
Devenez vous-même un hacker pour la durée de cet atelier. Vous allez réaliser les différentes étapes de compromission un cluster Kubernetes et du compte AWS sous-jacent. Nous aborderons différentes techniques d’attaques en commençant par l'exécution de commandes sur un pod puis, grâce à différentes élévations de privilège, la compromission totale du cluster. Nous mettrons également en place des mesures préventives dans le but d’empêcher ces différentes failles de sécurité d’être exploitées.
More Devenez vous-même un hacker pour la durée de cet atelier. Vous allez réaliser les différentes étapes de compromission un cluster Kubernetes et du compte AWS sous-jacent. Nous aborderons différentes techniques d’attaques en commençant par l'exécution de commandes sur un pod puis, grâce à différentes élévations de privilège, la compromission totale du cluster. Nous mettrons également en place des mesures préventives dans le but d’empêcher ces différentes failles de sécurité d’être exploitées.
English 
Français