Humanix-Cybersecurity Logo
DevSecOps

Sécurité Kubernetes & conteneurs

Durcissez vos clusters Kubernetes avant qu'un attaquant ne le fasse pour vous.

Durée
21h · 3 modules de 7h
Public visé
DevOps engineers, SRE, administrateurs systèmes/cloud gérant des clusters Kubernetes en production ou en projet de migration.
Tarif inter
1 800 € HT / stagiaire (parcours 21h)
À la carte : 600 € HT / stagiaire (module 7h)
Tarif intra
5 000 € HT / groupe jusqu'à 8 stagiaires (parcours 21h)
À la carte : 1 800 € HT / groupe (module 7h)

Format modulaire : parcours de 21h en 3 modules de 7h. Suivez le parcours complet ou seulement les modules de 7h qui vous intéressent, à la carte.

Objectifs pédagogiques

  • Auditer la configuration de sécurité d'un cluster Kubernetes avec des outils automatisés (kube-bench, kubeaudit)
  • Configurer le RBAC Kubernetes selon le principe du moindre privilège pour les utilisateurs et les service accounts
  • Implémenter des Network Policies pour segmenter le trafic inter-pods et limiter la surface d'attaque
  • Durcir les pods avec les Security Contexts, les Pod Security Standards et les RuntimeClasses
  • Sécuriser la supply chain des images conteneur : registre privé, signature, admission controllers, SBOM
  • Détecter et répondre à une compromission de pod en environnement Kubernetes
  • Configurer les spécificités sécurité de distributions légères (RKE2, K3s) pour les contextes PME
  • Produire un plan de durcissement Kubernetes priorisé et actionnable

Prérequis

Expérience opérationnelle avec Kubernetes (déploiement, kubectl, manifests YAML). Bases en conteneurisation Docker. Notions de réseau (TCP/IP, DNS, proxies).

Programme détaillé

M1

Surface d'attaque K8s & RBAC · module 7h

  • Anatomie d'un cluster Kubernetes du point de vue d'un attaquant : API server, etcd, kubelet, cloud metadata
  • REX incident : compromission d'un cluster K3s en production via un pod privilégié mal configuré
  • Lab : prise en main du cluster dédié (RKE2 ou K3s selon le profil des stagiaires)
  • Audit automatisé : kube-bench (CIS Benchmark), kubeaudit, Polaris, interprétation des résultats
  • RBAC en profondeur : Roles, ClusterRoles, bindings, service accounts, conception selon le moindre privilège
  • Atelier : auditer le cluster lab, identifier les 5 risques majeurs, reconfigurer le RBAC
M2

Network Policies, Pod Security & supply chain · module 7h

  • Network Policies : syntaxe, stratégies (deny-all par défaut, allow-list), CNI et leurs limitations
  • Atelier : implémenter une segmentation réseau complète sur le cluster lab
  • Pod Security : Security Contexts, Pod Security Standards (Restricted/Baseline/Privileged), OPA Gatekeeper / Kyverno
  • Supply chain conteneur : registre privé, scan d'images (Trivy), admission controllers (signature Cosign, policies)
  • Secrets Kubernetes : limitations natives, intégration External Secrets Operator / Vault
  • Atelier : durcir les workloads du cluster lab et mettre en place un admission controller
M3

Distributions légères, détection & mise en situation · module 7h

  • Spécificités sécurité RKE2 / K3s : configuration durcie par défaut, CIS profile, embedded etcd
  • Runtime security : Falco, détection d'activité suspecte en temps réel dans les pods
  • Scénario d'attaque : le formateur compromet un pod, les stagiaires doivent détecter, contenir et remédier
  • Mise en situation finale : le stagiaire reçoit un cluster mal configuré et doit produire un plan de durcissement et l'appliquer
  • Revue collective, feedback personnalisé
  • Feuille de route : plan de durcissement priorisé pour le SI du stagiaire

Points forts

Formateur DevSecOps / pentester, double vision attaque et défense sur les environnements conteneurisés
Un vrai cluster par stagiaire, pas un bac à sable partagé
Focus distributions légères (RKE2, K3s) adaptées au contexte PME
Scénario d'attaque live : le formateur compromet un pod, les stagiaires détectent et répondent

Ancrage terrain

Retour d'expérience mission (anonymisé)

Mission d'audit K8s pour un éditeur SaaS. Cluster K3s en production avec pods privilégiés, RBAC par défaut (cluster-admin pour tous les service accounts), pas de network policies. Compromission complète depuis un pod applicatif en 20 minutes. Le scénario d'attaque du module 3 en est directement dérivé.

Modalités

Modalités pédagogiques
80 % pratique / 20 % théorie. Travail sur un vrai cluster Kubernetes (RKE2 ou K3s) dédié par stagiaire. Chaque concept est mis en pratique immédiatement. Scénario fil rouge : durcissement progressif d'un cluster vulnérable. REX d'incident réel intégré.
Moyens techniques
Cluster Kubernetes dédié par stagiaire (RKE2 ou K3s sur VMs). Outils : kube-bench, kubeaudit, Polaris, Falco, Trivy, Cosign, Kyverno/OPA Gatekeeper. Accès kubectl individuel.
Évaluation des acquis
Positionnement en amont. Évaluation continue via les ateliers. Mise en situation finale : durcir un cluster vulnérable et produire un plan de remédiation. Questionnaire de satisfaction.
Modalités d'accès
Inscription par formulaire sur le site ou via Digital 113 / Human Coders. Délai d'accès : 2 à 4 semaines.
Accessibilité PSH
Formation accessible aux personnes en situation de handicap. Contactez-nous en amont pour adapter les modalités. Référent handicap : Florian Durano, fdurano@humanix-cybersecurity.fr.
Cadre légal
Les démonstrations d'attaque sont réalisées exclusivement sur le cluster lab isolé. Le formateur rappelle le cadre légal applicable.

Intéressé par cette formation ?

Inter, intra, sur-mesure, contactez-nous pour un devis ou une session.

Demander un devis Programme PDF One-pager PDF