Apr\u00e8s avoir examin\u00e9 des impl\u00e9mentations CI\/CD dans des environnements r\u00e9glement\u00e9s \u2014 services financiers, sant\u00e9, infrastructures critiques et entreprises technologiques soumises \u00e0 SOC 2, ISO 27001, DORA, NIS2 et PCI DSS \u2014 certaines constatations d’audit apparaissent avec une coh\u00e9rence remarquable. Ce ne sont pas des cas marginaux. Ce sont des d\u00e9faillances de gouvernance syst\u00e9miques que les auditeurs rencontrent de mani\u00e8re r\u00e9p\u00e9t\u00e9e.<\/p>\n
Cet article pr\u00e9sente les dix constatations d’audit les plus courantes dans les pipelines CI\/CD, r\u00e9dig\u00e9 pour les auditeurs, les responsables conformit\u00e9 et les gestionnaires de risques. Les \u00e9quipes conformit\u00e9 devraient utiliser ceci comme une checklist d’auto-\u00e9valuation pr\u00e9-audit.<\/p>\n
Plusieurs individus utilisent des comptes de service partag\u00e9s avec des privil\u00e8ges \u00e9lev\u00e9s. Les actions individuelles ne peuvent pas \u00eatre attribu\u00e9es \u00e0 des personnes sp\u00e9cifiques.<\/p>\n
La responsabilit\u00e9 individuelle est un principe fondamental du contr\u00f4le d’acc\u00e8s. Sans tra\u00e7abilit\u00e9, l’investigation des incidents devient impossible et la s\u00e9paration des fonctions perd tout sens.<\/p>\n
Impl\u00e9menter des comptes individuels. Lier les actions de comptes de service aux individus via des d\u00e9clencheurs de pipeline authentifi\u00e9s. Appliquer le moindre privil\u00e8ge.<\/p>\n
Les portes d’approbation peuvent \u00eatre contourn\u00e9es ou le m\u00eame individu peut initier et approuver un changement. La s\u00e9paration des fonctions n’est pas appliqu\u00e9e.<\/p>\n
Les portes d’approbation sont le m\u00e9canisme principal de s\u00e9paration des fonctions en CI\/CD. Si contournables, le contr\u00f4le est inefficace \u2014 d\u00e9faillance de conception.<\/p>\n
Portes non contournables sauf processus d’urgence gouvern\u00e9. R\u00e8gles anti-auto-approbation. Journalisation et revue de tout contournement.<\/p>\n
Journaux non conserv\u00e9s au-del\u00e0 de 30 jours, ou stock\u00e9s dans des syst\u00e8mes modifiables par le personnel op\u00e9rationnel.<\/p>\n
Les journaux sont des preuves primaires pour la gestion des changements et les tests de s\u00e9curit\u00e9. Les journaux modifiables compromettent l’int\u00e9grit\u00e9 des preuves.<\/p>\n
Politiques de r\u00e9tention align\u00e9es. Stockage immuable. M\u00e9canismes de v\u00e9rification d’int\u00e9grit\u00e9.<\/p>\n
Identifiants, cl\u00e9s API ou certificats int\u00e9gr\u00e9s directement dans le code source ou les configurations de pipeline.<\/p>\n
Accessibles \u00e0 quiconque a acc\u00e8s au d\u00e9p\u00f4t, impossible \u00e0 renouveler sans modification de code, persistent dans l’historique m\u00eame apr\u00e8s suppression.<\/p>\n
Supprimer tous les secrets cod\u00e9s en dur. Solution centralis\u00e9e de gestion des secrets. Renouveler les identifiants expos\u00e9s. D\u00e9tection automatis\u00e9e dans les pipelines.<\/p>\n
Les outils de scan (SAST, DAST, SCA) sont int\u00e9gr\u00e9s mais leurs r\u00e9sultats ne conditionnent pas les d\u00e9ploiements. Des vuln\u00e9rabilit\u00e9s critiques passent en production.<\/p>\n
Ex\u00e9cuter des scans sans agir est du th\u00e9\u00e2tre de s\u00e9curit\u00e9. L’organisation a connaissance des vuln\u00e9rabilit\u00e9s mais choisit de ne pas les traiter.<\/p>\n
Seuils clairs conditionnant le pipeline. Portes bloquant le d\u00e9ploiement. Processus d’exception gouvern\u00e9 avec acceptation document\u00e9e du risque.<\/p>\n
Pas de g\u00e9n\u00e9ration de Software Bills of Materials ni d’inventaire complet des composants tiers et open-source.<\/p>\n
Sans SBOM, impossible d’identifier les applications affect\u00e9es lors de la divulgation d’une vuln\u00e9rabilit\u00e9 dans un composant tiers (Log4Shell, Spring4Shell, etc.).<\/p>\n
G\u00e9n\u00e9ration automatis\u00e9e de SBOM dans le pipeline CI\/CD. Formats standards (CycloneDX ou SPDX). D\u00e9p\u00f4t central. Processus de croisement avec les divulgations de vuln\u00e9rabilit\u00e9s.<\/p>\n
D\u00e9veloppeurs ou op\u00e9rateurs acc\u00e8dent directement \u00e0 la production et effectuent des changements en dehors du pipeline CI\/CD.<\/p>\n
Tout le cadre de contr\u00f4le du pipeline est compromis. Chaque contr\u00f4le int\u00e9gr\u00e9 peut \u00eatre contourn\u00e9. Le pipeline devient optionnel.<\/p>\n
Restreindre l’acc\u00e8s aux comptes de service du pipeline. Acc\u00e8s juste-\u00e0-temps pour les urgences avec journalisation et revue post-acc\u00e8s. Surveillance et alertes sur les changements directs.<\/p>\n
R\u00e9sultats de scans supprim\u00e9s ou marqu\u00e9s comme \u00ab accept\u00e9s \u00bb sans documentation formelle d’acceptation du risque.<\/p>\n
Les suppressions non gouvern\u00e9es ne sont pas de l’acceptation de risque ; c’est de l’ignorance de risque. Elles cr\u00e9ent des poches cach\u00e9es de risque non g\u00e9r\u00e9.<\/p>\n
Processus formel d’acceptation avec justification document\u00e9e, approbation appropri\u00e9e, dates d’expiration et revue p\u00e9riodique. Revoir r\u00e9trospectivement toutes les suppressions existantes.<\/p>\n
Les environnements de d\u00e9veloppement, staging et production ne sont pas ad\u00e9quatement s\u00e9par\u00e9s. Infrastructure, identifiants ou donn\u00e9es partag\u00e9s.<\/p>\n
La s\u00e9paration prot\u00e8ge la production contre les changements non autoris\u00e9s et emp\u00eache la contamination entre environnements.<\/p>\n
Limites claires avec infrastructure, identifiants et contr\u00f4les d’acc\u00e8s s\u00e9par\u00e9s. Acc\u00e8s production restreint. Anonymisation des donn\u00e9es pour les environnements hors production.<\/p>\n
Contr\u00f4les appliqu\u00e9s de mani\u00e8re incoh\u00e9rente. Certaines \u00e9quipes ont des pipelines bien gouvern\u00e9s, d’autres op\u00e8rent avec des contr\u00f4les minimaux.<\/p>\n
La conformit\u00e9 est une obligation organisationnelle. La posture n’est aussi forte que le pipeline le plus faible. Cela sugg\u00e8re l’absence d’un standard \u00e0 l’\u00e9chelle de l’entreprise.<\/p>\n
Standard de gouvernance de pipeline \u00e0 l’\u00e9chelle de l’entreprise. M\u00e9canismes d’application (templates, policy-as-code). \u00c9valuation des \u00e9carts et rem\u00e9diation.<\/p>\n