Sécuriser la chaîne CI/CD avec GLIMPS Malware

Lorsqu’il s’agit de vecteurs d’attaque, les cybercriminels redoublent d’ingéniosité pour s’infiltrer là où on les attend le moins. Ces dernières années, l’attention s’est portée sur une cible jusqu’ici négligée : la chaîne CI/CD. Massivement utilisée par les développeurs pour automatiser la fabrication des logiciels, cette mécanique fluide et rapide repose pourtant sur des fondations peu sécurisées. Elle constitue donc une surface d’attaque de choix pour les cybercriminels, qui peuvent insérer du code malveillant à différentes étapes du cycle de développement.

Et c’est justement ce manque de contrôle, combiné à l’importation massive de dépendances tierces, qui en fait un angle mort dans la stratégie de cybersécurité des entreprises.

Pourquoi la phase de développement, et notamment la chaîne CI/CD, reste-t-elle si peu sécurisée malgré son rôle central dans la construction des logiciels ? Comment les cyberattaquants opèrent-ils pour les infiltrer ? Et comment intégrer une détection proactive sans perturber la philosophie DevOps basée sur le déploiement continu ?

Éclairage et réponse de nos experts.

Avec la démocratisation du cloud et des microservices, le développement logiciel a changé d’échelle. Longtemps restée l’apanage d’un ensemble d’éditeurs spécialisés, la philosophie DevOps est aujourd’hui monnaie courante dans une majorité d’entreprises – banques, opérateurs télécoms, industriels, acteurs publics – qui conçoivent en interne leurs propres outils métiers.

Comme le souligne Timothée Billet, Directeur Commercial chez GLIMPS : « Portails clients, extranets, API métiers, applications mobiles, automatisations internes : le logiciel est devenu une brique essentielle de l’activité, quelle que soit la taille de l’entreprise ou son secteur ».

Un changement rendu possible notamment grâce au modèle CI/CD (Continuous Integration / Continuous Delivery), qui permet d’automatiser les étapes du cycle de développement : validation du code, tests, compilation, packaging, puis déploiement en production. Le tout, sans intervention humaine.

Selon un rapport de l’année 2024, publié par la société JetBrains, 50 % des développeurs déclarent utiliser régulièrement des outils CI/CD.  Une démocratisation qui s’accompagne le plus souvent d’un changement de paradigme de sécurité.

En s’appuyant sur des composants extérieurs – tels que des bibliothèques de librairies open source, des scripts tiers – des dépendances sont téléchargées automatiquement depuis des registres publics comme npm, PyPI ou Maven. Si cette automatisation apporte une fluidité dans la phase de mise en production, elle supprime de nombreux contrôles manuels que les développeurs assuraient auparavant dans le cycle de validation.

Ce qui transite dans le pipeline CI/CD n’est donc pas toujours visible, ni maîtrisé. Et plus l’intégration est fluide, plus l’exposition augmente. Ce décalage entre performance technique et maîtrise sécuritaire est aujourd’hui au cœur des nouvelles menaces qui pèsent sur la chaîne de développement.

Pensée avant tout pour accélérer les cycles de développement, la chaîne CI/CD intègre rarement des solutions de cybersécurité. Dans la majorité des organisations, les contrôles de sécurité s’appliquent avant la phase de mise en production ou aux postes utilisateurs. Mais le code malveillant, lui, peut s’infiltrer bien plus tôt.

Comme souvent, le mode opératoire est simple et connu puisqu’il suffit qu’un attaquant publie un package malveillant avec un nom trompeur pour qu’il soit intégré par erreur dans un projet. « Un mode opératoire déjà utilisé sur les stores d’applications mobiles. Ce fut le cas avec “Deepseeek” – une fausse bibliothèque Python se faisant passer pour “Deepseek”, le LLM d’origine chinoise publié en Janvier 2025. Une fois installée, cette fausse librairie exfiltrait les données locales de l’utilisateur » comme l’explique Alexis Peru, Architecte Solution chez GLIMPS.

D’autres attaques visent directement le pipeline lui-même. Des scripts malveillants peuvent être injectés dans les fichiers de configuration des outils CI/CD, afin d’exécuter du code arbitraire pendant les phases de build ou de déploiement.

Ces scénarios ne sont pas théoriques. L’équipe Red Team de Palo Alto Networks (Unit42) a démontré la faisabilité d’une compromission complète de pipeline, en s’inspirant de l’attaque de la supply chain SolarWinds Orion. Leurs tests ont révélé des failles structurelles : absence de vérification des artefacts, manque de traçabilité, confiance implicite dans tous les éléments du workflow.

Face à ces nouvelles formes de compromission logicielle, la détection proactive devient essentielle. C’est dans ce contexte que s’inscrit GLIMPS Malware Detect, une solution conçue pour intégrer la détection de malwares directement dans les chaînes CI/CD, sans perturber le cycle de développement.

La force de GLIMPS Malware Detect réside dans son fonctionnement totalement automatisé. Une fois l’API intégrée dans un pipeline – GitHub Actions, GitLab CI, Jenkins ou tout autre orchestrateur – chaque fichier, librairie, ou artefact généré peut être analysé en temps réel. L’objectif est clair : détecter toute tentative d’introduction de code malveillant dès sa création, avant qu’il ne soit déployé ou intégré dans un produit final.

Contrairement aux outils de sécurité traditionnels, souvent pensés pour la production ou les endpoints, GLIMPS s’insère en amont, dans les processus de développement eux-mêmes. Cela permet de bloquer des fichiers piégés bien avant qu’ils n’aient la moindre chance d’atteindre un environnement de production.

L’analyse repose sur un moteur propriétaire, combinant des algorithmes de machine learning et d’analyse de binaires, capable de repérer des malwares connus et inconnus, mais aussi les comportements suspects , même sans signature. L’intégration se fait via des bibliothèques Python ou Go, disponibles en open source sur le dépôt GitHub public de GLIMPS, facilitant son adoption même dans des environnements DevOps très agiles.

Au-delà de la détection, GLIMPS garantit la souveraineté et la confidentialité des données : les fichiers analysés ne sont ni conservés ni partagés. L’analyse peut être hébergée en France, ou directement dans l’infrastructure du client, assurant ainsi une étanchéité complète — un critère déterminant dans les secteurs sensibles.

Alors que les chaînes CI/CD deviennent incontournables dans le développement logiciel, leur sécurité reste largement sous-estimée. En intégrant la détection de malwares au cœur même du pipeline, GLIMPS Malware Detect permet de sécuriser les livraisons logicielles sans ralentir les déploiements et l’innovation.

Envie de tester l’intégration de GLIMPS dans votre chaîne CI/CD ? Découvrez nos bibliothèques clés en main sur GitHub ou contactez notre équipe pour une démonstration personnalisée.