Audit & Pentest

Pentest Kubernetes — Clusters et workloads testés en conditions réelles

Audit offensif de vos clusters Kubernetes : container escape, RBAC abuse, secrets exposure, supply chain attacks — avec des techniques manuelles que les scanners ne détectent pas.

Demander un devis Appel rapide

Escape réel, pas scanners

Tests d'évasion de conteneurs manuels, exploitation de CVE récents (runC, containerd), techniques de breakout depuis des pods privilégiés ou mal isolés.

RBAC cartographié

Analyse des rôles et bindings Kubernetes style BloodHound : chemins d'escalade de privileges vers cluster-admin identifiés et visualisés.

Supply chain inclus

Images Docker, registries privés, pipelines CI/CD, Helm charts — la supply chain complète analysée pour des risques d'injection et de compromission en amont.

Périmètre & Méthodologie

Basé sur les benchmarks CIS Kubernetes, NIST SP 800-190 et les recommandations NSA/CISA pour la sécurité des clusters Kubernetes.

RBAC misconfiguration & escalation

Cartographie des ClusterRoles et RoleBindings, identification des chemins vers cluster-admin et des permissions dangereuses.

Container escape (privileged, hostPID, hostNetwork)

Tests de breakout depuis des pods mal configurés : privileged containers, hostPath mounts, capabilities dangereuses.

Secrets en clair (env vars, ConfigMaps)

Identification des secrets Kubernetes non chiffrés at rest, credentials dans ConfigMaps et variables d'environnement.

Supply chain (images, registries, CI/CD)

Analyse de la chaîne d'approvisionnement : images non signées, vulnérabilités de base, pipelines CI/CD compromettables.

etcd exposure

Test d'accès à la base de données etcd : chiffrement au repos, authentification TLS, accès réseau restreint.

API server hardening

Audit de la configuration de l'API server : admission controllers, anonymous auth, audit logs, flags de sécurité.

Network Policy gaps

Cartographie des flux réseau autorisés entre namespaces et pods, identification des mouvements latéraux possibles.

Falco/audit logging bypass

Test de contournement des systèmes de détection runtime (Falco, Sysdig) et évasion des alertes d'audit Kubernetes.

Notre processus

Cadrage et accès cluster

Définition du périmètre (namespaces, nœuds, workloads), niveau d'accès initial (anonymous, service account, user) et règles d'engagement.

Reconnaissance et cartographie RBAC

Enumération complète du cluster : pods, services, secrets, ConfigMaps, rôles, bindings. Analyse des chemins d'escalade vers cluster-admin.

Exploitation et container escape

Tests d'exploitation ciblés : breakout de conteneurs, escalade RBAC, extraction de secrets, mouvements latéraux inter-namespaces.

Supply chain et CI/CD analysis

Audit des pipelines de déploiement, registries d'images, signatures Cosign/Notary, et possibilités d'injection dans la chaîne de build.

Rapport et Helm hardening checklist

Rapport technique complet avec checklist de hardening Helm, matrice RBAC de remédiation et roadmap de sécurisation du cluster.

Livrables

Rapport exécutif & technique

Helm hardening checklist

RBAC remediation matrix

Preuves d'exploitation

Présentation de restitution

Auditez vos clusters Kubernetes

Un pod privilégié, un secret non chiffré ou un RBAC trop permissif peut compromettre tout votre cluster. Obtenez une évaluation complète avant que les attaquants ne le fassent.

Demander un audit Kubernetes