Devops, Agile, Method. & TestsConference50min
GitLab CI/CD sous attaque : secrets volés, pipelines détournés, défenses durables
La session révèle, à partir d’attaques réelles, comment des pipelines GitLab CI/CD mal configurés exposent secrets et artefacts. Elle propose des réglages durables, une gouvernance équilibrée et un contrôle continu pour sécuriser la chaîne sans freiner les équipes, transformant la CI/CD en système vivant de sécurité opérationnelle.
talk.summaryAiDisclaimer
Aurelien CogetPlumber
Stéphane Robert3DS Outscale
Votre pipeline GitLab CI/CD est-il vraiment plus fiable que l’application qu’il déploie ?
À partir de deux scénarios d’attaque réalistes, exfiltration de secrets via variables CI et compromission via merge request malveillante, cette session montre comment des mauvaises configurations courantes peuvent être exploitées, et comment mettre en place des protections durables sans freiner les équipes.
La CI/CD est devenue un composant critique du SI. Pourtant, sur GitLab, elle concentre encore trop souvent variables sensibles, permissions excessives et règles d’exécution risquées.
Nous partirons de cas concrets observés en production :
À partir de trois années passées à sécuriser des pipelines GitLab en production, nous montrerons ce qui tient dans la durée :
Vous faites partie de l'équipe Dev, Ops, Sécu ? Nous verrons comment repenser la sécurité GitLab CI/CD comme un système vivant : moins basé sur des audits ponctuels, davantage sur des garde-fous durables, mesurables et compatibles avec la réalité des équipes.
À partir de deux scénarios d’attaque réalistes, exfiltration de secrets via variables CI et compromission via merge request malveillante, cette session montre comment des mauvaises configurations courantes peuvent être exploitées, et comment mettre en place des protections durables sans freiner les équipes.
La CI/CD est devenue un composant critique du SI. Pourtant, sur GitLab, elle concentre encore trop souvent variables sensibles, permissions excessives et règles d’exécution risquées.
Nous partirons de cas concrets observés en production :
- exploitation de variables CI mal protégées pour exfiltrer secrets et tokens ;
- compromission d’un pipeline via une merge request, jusqu’à la publication d’artefacts corrompus.
À partir de trois années passées à sécuriser des pipelines GitLab en production, nous montrerons ce qui tient dans la durée :
- les réglages qui réduisent réellement la surface d’exposition ;
- des règles de gouvernance qui évitent les dérives sans bloquer les équipes ;
- des mécanismes de contrôle continu pour détecter les écarts avant qu’ils ne deviennent critiques.
Vous faites partie de l'équipe Dev, Ops, Sécu ? Nous verrons comment repenser la sécurité GitLab CI/CD comme un système vivant : moins basé sur des audits ponctuels, davantage sur des garde-fous durables, mesurables et compatibles avec la réalité des équipes.
Aurelien Coget
Je suis Aurélien COGET, CEO de Plumber.
Je suis passionné par l'automatisation des tâches dans le cycle de vie de la livraison de logiciels (SDLC).
Je me concentre sur la façon de sécuriser les chaînes d'approvisionnement DevOps.
J'aime voyager 🌎, partager d'autres cultures 👩🏾🤝👨🏽, pêcher 🎣
Je suis également membre actif d'un cluster d'entreprises numériques en Occitanie.
Je suis passionné par l'automatisation des tâches dans le cycle de vie de la livraison de logiciels (SDLC).
Je me concentre sur la façon de sécuriser les chaînes d'approvisionnement DevOps.
J'aime voyager 🌎, partager d'autres cultures 👩🏾🤝👨🏽, pêcher 🎣
Je suis également membre actif d'un cluster d'entreprises numériques en Occitanie.
Stéphane Robert
Stéphane Robert is a DevOps / DevSecOps engineer, trainer, and technical content creator. He helps teams adopt cloud, infrastructure as code, automation, and software supply chain security best practices. With strong expertise in Linux, Kubernetes, Terraform, Ansible, and cloud architectures, he also designs training programs, hands-on labs, and technical documentation for engineers, system administrators, and platform teams. Through his website and conference talks, he promotes a pragmatic approach to DevOps focused on real-world implementation, upskilling, and secure engineering practices.