{"id":23920,"date":"2026-06-01T16:12:45","date_gmt":"2026-06-01T14:12:45","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23920"},"modified":"2026-06-01T16:12:45","modified_gmt":"2026-06-01T14:12:45","slug":"container-security-not-only-a-scanner","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/container-security-not-only-a-scanner\/23920\/","title":{"rendered":"Fonctionnalit\u00e9s de Kaspersky Container Security"},"content":{"rendered":"<p>Parmi les diff\u00e9rents outils propos\u00e9s par Kaspersky figure une plateforme sp\u00e9cialement con\u00e7ue pour s\u00e9curiser les environnements conteneuris\u00e9s. Mais dans cet article, je souhaite vous parler de Kaspersky Container Security (KCS) \u2013 non pas en tant que repr\u00e9sentant du fournisseur, mais en tant que membre d\u2019une \u00e9quipe qui utilise activement cette solution dans son travail quotidien. Notre \u00e9quipe charg\u00e9e de la s\u00e9curit\u00e9 des produits est charg\u00e9e de mettre en place des processus de d\u00e9veloppement s\u00e9curis\u00e9s \u00e0 l\u2019\u00e9chelle de l\u2019entreprise. Nous intervenons \u00e0 chaque \u00e9tape du cycle de vie du d\u00e9veloppement logiciel, et notre priorit\u00e9 est d\u2019aider les \u00e9quipes produit \u00e0 d\u00e9tecter les probl\u00e8mes de s\u00e9curit\u00e9 d\u00e8s leur apparition afin qu\u2019elles puissent respecter le calendrier de leurs lancements. Pour y parvenir, nous avons mis en place plusieurs processus, dont l\u2019un est sp\u00e9cialement ax\u00e9 sur la s\u00e9curit\u00e9 des conteneurs. C\u2019est pr\u00e9cis\u00e9ment \u00e0 ce niveau que nous pouvons compter sur notre propre plateforme Kaspersky Container Security.<\/p>\n<p>Les solutions de s\u00e9curit\u00e9 pour les conteneurs sont g\u00e9n\u00e9ralement consid\u00e9r\u00e9es avant tout comme des outils d\u2019analyse d\u2019images destin\u00e9s au registre de conteneurs. Cependant, Kaspersky Container Security (KCS) est davantage une plateforme de s\u00e9curit\u00e9 compl\u00e8te destin\u00e9e aux environnements de conteneurs, qui prend en charge diverses t\u00e2ches gr\u00e2ce \u00e0 son int\u00e9gration de bout en bout au flux de travail des conteneurs. Bien qu\u2019il permette sans aucun doute d\u2019analyser des images de conteneurs, ce qui est \u00e9videmment important, notre utilisation de KCS nous a d\u00e9montr\u00e9 que sa v\u00e9ritable force r\u00e9side dans son int\u00e9gration simultan\u00e9e \u00e0 plusieurs \u00e9tapes du flux de travail\u00a0:<\/p>\n<ul>\n<li>Mod\u00e8les standard<\/li>\n<li>V\u00e9rification des artefacts avant la sortie ou le d\u00e9ploiement<\/li>\n<li>Surveillance des conteneurs d\u00e9j\u00e0 en cours d\u2019ex\u00e9cution dans le cluster<\/li>\n<\/ul>\n<h2>Le sc\u00e9nario de base\u00a0: comment KCS analyse les images<\/h2>\n<p>Au fond, il s\u2019agit d\u2019un processus classique. KCS analyse les images \u00e0 la recherche de probl\u00e8mes courants dans les conteneurs\u00a0: vuln\u00e9rabilit\u00e9s connues, programmes malveillants, secrets cod\u00e9s en dur et erreurs de configuration. Cependant, le r\u00e9sultat de l\u2019analyse n\u2019est pas un simple verdict abstrait. Le syst\u00e8me calcule une note de risque \u00e0 partir des r\u00e9sultats, offrant ainsi une image claire de l\u2019\u00e9tat de s\u00e9curit\u00e9 de la ressource. Dans la pratique, cette fonctionnalit\u00e9 est extr\u00eamement utile, car les \u00e9quipes ne se voient pas simplement un message \u00a0\u00bb\u00a0image non conforme\u00a0\u00ab\u00a0, mais obtiennent une analyse d\u00e9taill\u00e9e et transparente des facteurs \u00e0 l\u2019origine du risque et des mesures \u00e0 prendre en priorit\u00e9.<\/p>\n<p>Mais ce n\u2019est pas tout. KCS fonctionne parfaitement dans les cas o\u00f9 la recherche d\u2019un probl\u00e8me ne suffit pas\u00a0: vous devez l\u2019associer au cycle de vie de l\u2019artefact. Lorsqu\u2019une \u00e9quipe g\u00e8re des centaines de versions, une analyse p\u00e9riodique du registre ne suffit pas et n\u00e9cessite presque toujours une intervention manuelle. Vous devez savoir quel pipeline est \u00e0 l\u2019origine du risque, quelles politiques ont \u00e9t\u00e9 d\u00e9clench\u00e9es et quelles sont les prochaines \u00e9tapes. KCS assure ce lien essentiel.<\/p>\n<h2>Sc\u00e9nario avanc\u00e9\u00a0: int\u00e9gration CI\/CD<\/h2>\n<p>L\u2019une des fonctionnalit\u00e9s moins connues de KCS est sa capacit\u00e9 \u00e0 effectuer des analyses \u00e0 grande \u00e9chelle au sein des pipelines CI\/CD. Pour notre \u00e9quipe, c\u2019est la mani\u00e8re la plus efficace d\u2019utiliser le KCS. Le principe est simple\u00a0: vous int\u00e9grez le scanner dans le pipeline, et les r\u00e9sultats de l\u2019analyse apparaissent directement dans les journaux d\u2019ex\u00e9cution. Ils sont \u00e9galement transmis \u00e0 la console centrale de la solution, o\u00f9 ils sont consign\u00e9s dans une section CI\/CD d\u00e9di\u00e9e qui relie les r\u00e9sultats au nom de l\u2019artefact, \u00e0 l\u2019heure de l\u2019analyse, au pipeline et au niveau de gravit\u00e9.<\/p>\n<p>Dans un environnement CI\/CD, vous pouvez analyser des images \u00e0 partir d\u2019archives tar ou directement \u00e0 partir de d\u00e9p\u00f4ts Git. Pr\u00eat \u00e0 l\u2019emploi, KCS prend en charge GitLab, Jenkins, TeamCity et GitHub Actions. Dans la pratique, KCS peut \u00eatre int\u00e9gr\u00e9 \u00e0 n\u2019importe quel orchestrateur de pipeline.<\/p>\n<p>Un autre aspect essentiel de l\u2019utilisation de KCS dans le cadre du CI\/CD concerne les strat\u00e9gies de s\u00e9curit\u00e9. Notre solution repose sur un mod\u00e8le dans lequel les r\u00e8gles permettent non seulement de collecter les r\u00e9sultats, mais aussi de contr\u00f4ler le comportement du pipeline lui-m\u00eame. Cette fonctionnalit\u00e9 s\u2019av\u00e8re particuli\u00e8rement utile pour les d\u00e9ploiements progressifs. Vous pouvez commencer en mode audit, puis passer progressivement \u00e0 des compilations d\u00e9faillantes lorsque des secrets, des erreurs de configuration critiques ou des vuln\u00e9rabilit\u00e9s sont d\u00e9tect\u00e9s. Cette approche progressive s\u2019av\u00e8re g\u00e9n\u00e9ralement plus efficace que de simplement appuyer sur un bouton pour tout bloquer d\u2019un seul coup.<\/p>\n<h2>Comment KCS facilite nos processus de travail<\/h2>\n<p>Nous disposons de notre propre syst\u00e8me d\u2019analyse de composition. Nous n\u2019utilisons donc pas exclusivement KCS comme source de r\u00e9f\u00e9rence. Au contraire, il constitue un atout suppl\u00e9mentaire puissant dans nos processus de travail, et c\u2019est pr\u00e9cis\u00e9ment l\u00e0 que nous en tirons le plus grand b\u00e9n\u00e9fice.<\/p>\n<p>Alors que notre syst\u00e8me interne d\u2019analyse de la composition g\u00e8re le suivi des composants, les d\u00e9pendances et l\u2019\u00e9valuation des risques au niveau du code, KCS excelle dans la s\u00e9curisation du p\u00e9rim\u00e8tre des conteneurs. Il g\u00e8re la num\u00e9risation technique des images et la s\u00e9curit\u00e9 CI\/CD, tout en regroupant les rapports sur les artefacts des conteneurs. Cela ne remet pas en cause notre analyse interne, mais la renforce pr\u00e9cis\u00e9ment l\u00e0 o\u00f9 les conteneurs prennent en charge les charges de travail r\u00e9elles.<\/p>\n<p>Cela nous est particuli\u00e8rement utile dans deux cas de figure. D\u2019une part, il permet de contr\u00f4ler les artefacts d\u00e8s les premi\u00e8res \u00e9tapes du d\u00e9veloppement. D\u2019autre part, il joue un r\u00f4le de contr\u00f4leur lors de la validation des versions. Nous ne discutons plus des risques apr\u00e8s la sortie. Nous les d\u00e9tectons l\u00e0 o\u00f9 l\u2019\u00e9quipe peut encore corriger rapidement un Dockerfile, un chart Helm ou un jeu de configurations, sans processus d\u2019approbation interminable.<\/p>\n<p>Sa gestion de la nomenclature logicielle (SBOM) m\u00e9rite \u00e9galement d\u2019\u00eatre soulign\u00e9e. Notre syst\u00e8me repose principalement sur des SBOM \u00e0 jour et pertinentes. KCS propose des modes sp\u00e9cialement con\u00e7us pour le traitement des SBOM et peut m\u00eame g\u00e9n\u00e9rer des r\u00e9sultats d\u2019analyse dans ce m\u00eame format. \u00c0 cet \u00e9gard, KCS s\u2019int\u00e8gre parfaitement \u00e0 nos processus internes, ce qui nous permet de l\u2019adapter \u00e0 nos flux de travail existants, et non l\u2019inverse.<\/p>\n<h2>Pourquoi KCS est bien plus qu\u2019un simple scanner \u00e0 nos yeux<\/h2>\n<p>Son autre atout majeur r\u00e9side dans la s\u00e9curit\u00e9 des clusters. \u00c0 ce stade, KCS ne se limite pas \u00e0 un simple outil d\u2019analyse d\u2019images. Il propose des r\u00e8gles d\u2019ex\u00e9cution pour les conteneurs et les n\u0153uds, des modes d\u2019audit et de blocage, ainsi qu\u2019un ensemble de profils de s\u00e9curit\u00e9. Concr\u00e8tement, cela signifie que KCS peut \u00eatre utilis\u00e9 non seulement pour d\u00e9tecter les vuln\u00e9rabilit\u00e9s au sein d\u2019une image, mais aussi pour surveiller l\u2019activit\u00e9 r\u00e9elle du conteneur une fois qu\u2019il est en service. Les strat\u00e9gies peuvent prendre en compte la provenance des images, les signatures num\u00e9riques, les restrictions en mati\u00e8re de capacit\u00e9s et de volumes, et m\u00eame les processus et les connexions r\u00e9seau ex\u00e9cut\u00e9s \u00e0 l\u2019int\u00e9rieur du conteneur.<\/p>\n<p>Lorsqu\u2019un probl\u00e8me est d\u00e9tect\u00e9, il est possible d\u2019enregistrer d\u2019abord les r\u00e9sultats en mode audit plut\u00f4t que de bloquer imm\u00e9diatement le processus. Dans les environnements de production, c\u2019est toujours la meilleure solution. Un autre outil essentiel consiste \u00e0 garantir la tra\u00e7abilit\u00e9 fiable des images. KCS prend en charge la v\u00e9rification des signatures num\u00e9riques, ce qui permet de ne plus se limiter \u00e0 la simple d\u00e9tection des vuln\u00e9rabilit\u00e9s (CVE), mais de s\u00e9curiser l\u2019ensemble de la cha\u00eene logistique logicielle de l\u2019entreprise.<\/p>\n<h2>Production de rapports<\/h2>\n<p>KCS ne se contente pas d\u2019afficher les probl\u00e8mes qu\u2019il d\u00e9tecte. Il constitue une source compl\u00e8te d\u2019informations. Il permet de g\u00e9n\u00e9rer des rapports sur les images, les risques accept\u00e9s et les benchmarks Kubernetes.<\/p>\n<p>Les rapports g\u00e9n\u00e9r\u00e9s sont disponibles aux formats HTML, PDF, CSV, JSON et XML, avec une prise en charge sp\u00e9cifique du format SARIF pour les rapports d\u00e9taill\u00e9s, ce qui est id\u00e9al pour l\u2019int\u00e9gration dans les flux de travail de s\u00e9curit\u00e9 des applications. En ce qui concerne les SBOM mentionn\u00e9es ci-dessus, les sc\u00e9narios d\u2019analyse peuvent g\u00e9n\u00e9rer des artefacts et des r\u00e9sultats aux formats CycloneDX et SPDX, ce qui facilite leur int\u00e9gration dans les processus existants.<\/p>\n<h2>Pourquoi nous continuons \u00e0 utiliser KCS<\/h2>\n<p>Pour faire simple, KCS compl\u00e8te parfaitement nos processus de travail \u2013 non pas parce qu\u2019il r\u00e9sout tous les probl\u00e8mes, mais parce qu\u2019il s\u2019int\u00e8gre efficacement dans les sc\u00e9narios d\u2019ing\u00e9nierie.<\/p>\n<p>Nous appr\u00e9cions \u00e9galement que l\u2019\u00e9quipe produit tienne compte de nos commentaires. L\u2019\u00e9quipe KCS int\u00e8gre r\u00e9ellement nos requ\u00eates op\u00e9rationnelles dans sa feuille de route de d\u00e9veloppement. Par exemple, l\u2019int\u00e9gration pouss\u00e9e des SBOM et certains types de rapports sp\u00e9cifiques ont \u00e9t\u00e9 ajout\u00e9s \u00e0 KCS directement gr\u00e2ce \u00e0 notre exp\u00e9rience de terrain.<\/p>\n<p>En r\u00e9sum\u00e9, lorsqu\u2019il est correctement int\u00e9gr\u00e9, Kaspersky Container Security permet de couvrir plusieurs domaines \u00e0 la fois : de l\u2019analyse de base des conteneurs \u00e0 la s\u00e9curit\u00e9 des environnements CI\/CD et des clusters. D\u2019apr\u00e8s notre exp\u00e9rience, cette solution apporte une r\u00e9elle valeur ajout\u00e9e au sein d\u2019un \u00e9cosyst\u00e8me de conteneurs dynamique. Pour en savoir plus sur cette solution, consultez la <a href=\"https:\/\/www.kaspersky.fr\/enterprise-security\/container-security?icid=fr_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">page officielle de KCS<\/a>.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"mdr\"><input type=\"hidden\" class=\"placeholder_for_banner\" data-cat_id=\"mdr\" value=\"21073\">\n","protected":false},"excerpt":{"rendered":"<p>Comment nous utilisons Kaspersky Container Security au sein de Kaspersky, et pourquoi ce produit repr\u00e9sente bien plus qu&rsquo;un simple scanner d&rsquo;images \u00e0 nos yeux.<\/p>\n","protected":false},"author":2795,"featured_media":23921,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[4604,3950,4603],"class_list":{"0":"post-23920","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-ci-cd","11":"tag-conteneurs","12":"tag-securite-des-conteneurs"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/container-security-not-only-a-scanner\/23920\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/container-security-not-only-a-scanner\/30719\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/container-security-not-only-a-scanner\/25770\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/container-security-not-only-a-scanner\/30568\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/container-security-not-only-a-scanner\/32125\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/container-security-not-only-a-scanner\/30703\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/container-security-not-only-a-scanner\/41860\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/container-security-not-only-a-scanner\/14553\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/container-security-not-only-a-scanner\/55771\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/container-security-not-only-a-scanner\/25002\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/container-security-not-only-a-scanner\/33503\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/container-security-not-only-a-scanner\/30657\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/container-security-not-only-a-scanner\/36227\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/container-security-not-only-a-scanner\/36120\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/conteneurs\/","name":"conteneurs"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23920","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2795"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23920"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23920\/revisions"}],"predecessor-version":[{"id":23923,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23920\/revisions\/23923"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23921"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23920"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23920"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23920"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}