Sécurité Avancée Open Source : SSO (Authentik), Secrets et Coffres

Bonnes notions de TLS, reverse proxy, DNS, LDAP/AD, conteneurs, notions d’OIDC/SAML

Déployer un SSO d’entreprise avec Authentik et fédération d’identités - Sécuriser et distribuer les secrets applicatifs avec HashiCorp Vault en haute disponibilité- Mettre en place des coffres forts numériques pour comptes privilégiés et secrets d’équipe - Industrialiser l’intégration SSO/Secrets dans CI/CD, VMs, conteneurs et Kubernetes, avec audit et rotation automatique

Jour 1 — Déployer et fédérer un SSO avec Authentik

Positionner les standards d’authentification moderne : OIDC, OAuth2, SAML, tokens, scopes, claims
Installer Authentik en Docker Compose et découvrir Providers, Applications, Policies, Users, Groups
Configurer l’annuaire : intégration LDAP/AD, mappers d’attributs, synchronisation
Configurer les flux : OIDC (Authorization Code + PKCE), SAML SSO, proxies intégrés
Personnaliser l’expérience : pages de login, branding, gestion du consentement

Atelier fil rouge : protéger le Back-office de l’app avec Authentik et OIDC, mapping des rôles fonctionnels

Jour 2 — Renforcer Authentik en production

Sécuriser l’instance : TLS, reverse proxy NGINX/Traefik, gestion des secrets, 2FA/MFA
Gouverner les accès : Policies (IP, heures, groupes), RBAC avancé, delegation
Intégrer les IdP externes : Azure AD, Google Workspace, annuaires externes
Automatiser l’administration : API d’Authentik, scripts, backups, mises à jour
Monter en disponibilité : clustering, persistance Postgres, monitoring avec Prometheus
Auditer et tracer : logs, événements, intégration Wazuh/OpenSearch, alertes sur anomalies

Atelier fil rouge : basculer le Front et l’API sur OIDC avec Authentik, activer MFA adaptatif

Jour 3 — Gérer les secrets avec HashiCorp Vault

Comprendre les concepts : init/unseal, storage backend, auth methods, secret engines, policies
Installer Vault en mode dev puis HA intégré (Raft), activer l’audit device et les logs
Sélectionner les méthodes d’authent : AppRole, Kubernetes, LDAP, JWT, Token
Exploiter les moteurs de secrets : KV v2 pour config, Transit pour chiffrement/déchiffrement, Database pour secrets dynamiques, PKI pour certificats courts
Écrire des policies least-privilege et mettre en place l’auto-rotation des secrets dynamiques

Atelier fil rouge : extraire les secrets de l’app vers Vault KV, chiffrer des données avec Transit, générer des comptes DB éphémères

Jour 4 — Intégrer SSO et secrets dans l’infra et le CI/CD

Sécuriser les reverse proxies : NGINX auth_request + oauth2-proxy, Traefik ForwardAuth, intégration Authentik Proxy Provider
Intégrer dans les pipelines : accès temporaires à Vault depuis GitLab/Gitea Actions, masquage de variables, rotation post-déploiement
Gérer les secrets sur Kubernetes : auth k8s de Vault, CSI/Agent Injector, External Secrets Operator, bonnes pratiques de namespaces et RBAC
Protéger les accès SSH et machines : certificats SSH signés par Vault, récupération ponctuelle d’identifiants privilégiés
Comparer Ansible Vault, Mozilla SOPS/age et Vault pour IaC et inventaires

Atelier fil rouge : déployer l’app sur k3s avec Authentik (SSO via oauth2-proxy) et secrets rendus par External Secrets Operator

Jour 5 — Coffres forts numériques, PAM open source et conformité

Choisir un coffre d’équipe : Bitwarden (self-host), Passbolt et bonnes pratiques de partage et délégation
Mettre en place une gestion des comptes privilégiés légère : stratégies d’accès “break-glass”, justification, journalisation et rotation via Vault
Sécuriser les fichiers et sauvegardes : Borg/Restic, SOPS/age, chiffrement côté client, clés de récupération
Tracer et répondre aux incidents : tableaux de bord d’authent, détection de comportements anormaux, playbooks de révocation de tokens et rotation massive de secrets
Aligner conformité et durabilité : politique d’expiration des secrets, revues périodiques d’accès, sauvegardes et tests de restauration, matrice RACI et preuves d’audit

Atelier fil rouge : déployer un coffre d’équipe, migrer les secrets restants, documenter le runbook d’incident et les preuves d’audit

Livrables et évaluations

Livrables : dépôts Git des ateliers, exports de configuration Authentik, scripts d’initialisation Vault, manifests Kubernetes et playbooks CI fournis
Évaluation continue : quiz courts en fin de module, validation par la mise en œuvre complète du fil rouge, revue de sécurité finale avec checklist d’audit
Attendus en sortie : plateforme SSO Authentik opérationnelle, Vault HA avec politiques et moteurs clés, reverse proxy OIDC en place, intégration CI/CD ou Kubernetes, coffre d’équipe en production pilote

Active Learning

contrôle continu ou certification si prévue dans le financement

Sources des exercices + Support papier