Published 8 mars 2026
By Emre SalmanogluDevSecOps : le guide complet pour les équipes sécurité et ingenierie
Apprenez comment integrer la sécurité dans votre pipeline CI/CD et satisfaire les exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre SAST, DAST, SCA, sécurité des conteneurs, analyse IaC et preuves de conformité.
DevSecOps
sécurité applicative
sécurité CI/CD
shift left
conformité
Qu'est-ce que le DevSecOps ?
Le DevSecOps est la pratique consistant a integrer la sécurité dans chaque phase du cycle de vie du developpement logiciel plutot que de la traiter comme un point de contrôle final. Il integre des tests de sécurité automatises dans les pipelines CI/CD, fait de la sécurité une responsabilite partagee entre les équipes de developpement, de sécurité et d'exploitation, et garantit que les applications sont construites de manière securisee des la premiere ligne de code.
Le passage des revues de sécurité traditionnelles au DevSecOps reflete la realite de la livraison logicielle moderne : lorsque les équipes deploient plusieurs fois par jour, la sécurité ne peut pas attendre les tests d'intrusion trimestriels. Au lieu de cela, la sécurité doit etre continue, automatisee et adaptee aux developpeurs.
Etapes du pipeline DevSecOps
| Etape | Activites de sécurité | Outils |
|---|---|---|
| Planification | Modelisation des menaces, exigences de sécurité, patrons de conception securises | STRIDE, modèles de menaces OWASP |
| Code | Standards de codage securise, hooks pre-commit, plugins de sécurité IDE | Semgrep, SonarLint, regles de sécurité ESLint |
| Build | SAST, SCA, analyse des dependances, detection de secrets | Semgrep, Snyk, GitLeaks, Trivy |
| Test | DAST, tests de sécurité API, analyse de conteneurs | OWASP ZAP, Burp Suite, Trivy |
| Deploiement | Analyse IaC, controleurs d'admission, signature d'images | Checkov, OPA/Gatekeeper, Cosign |
| Exploitation | Protection en temps d'execution, WAF, RASP | Falco, ModSecurity, WAF cloud |
| Surveillance | Surveillance des vulnerabilites, suivi SBOM, alertes CVE | Dependabot, Snyk Monitor, Grype |
Types de tests de sécurité
| Type de test | Ce qu'il analyse | Quand il s'execute | Force de detection |
|---|---|---|---|
| SAST | Code source, bytecode | Temps de build | Vulnerabilites au niveau du code (SQLi, XSS, injection) |
| DAST | Application en cours d'execution | Post-deploiement | Vulnerabilites en temps d'execution, erreurs de configuration |
| SCA | Dependances tierces | Temps de build | CVE connus dans les bibliotheques open source |
| IAST | Application pendant les tests | Tests d'integration | Chemins de code en temps d'execution avec contexte |
| Detection de secrets | Code, configurations, commits | Pre-commit, build | Identifiants codes en dur, cles API, tokens |
| Analyse IaC | Terraform, CloudFormation, manifestes K8s | Pre-deploiement | Erreurs de configuration d'infrastructure |
| Analyse de conteneurs | Images Docker, registres | Build, deploiement, temps d'execution | Vulnerabilites d'images, erreurs de configuration |
Gestion des vulnerabilites en DevSecOps
| Severite | SLA (MTTR) | Action du pipeline | Exemple |
|---|---|---|---|
| Critique | 24 heures | Bloquer le deploiement | Execution de code a distance, injection SQL |
| Elevee | 7 jours | Bloquer le deploiement | Contournement d'authentification, SSRF |
| Moyenne | 30 jours | Avertir, autoriser le deploiement | XSS (stocke), deserialisation non securisee |
| Faible | 90 jours | Information uniquement | Divulgation d'informations, erreurs verbeuses |
Sécurité de la chaîne d'approvisionnement logicielle
| Contrôle | Ce qu'il fait | Outils |
|---|---|---|
| Generation de SBOM | Creer un inventaire de tous les composants logiciels | Syft, CycloneDX, SPDX |
| Analyse des dependances | Identifier les vulnerabilites connues dans les dependances | Snyk, Dependabot, Renovate |
| Conformité des licences | Detecter les licences restrictives ou incompatibles | FOSSA, Snyk, WhiteSource |
| Signature des artefacts | Signer cryptographiquement les artefacts de build | Cosign, Sigstore, Notary |
| Attestation de provenance | Prouver ou et comment les artefacts ont ete construits | Framework SLSA, in-toto |
| Sécurité des registres | Controler quelles images peuvent etre deployees | Harbor, controleurs d'admission |
Gestion des secrets
| Approche | Niveau de sécurité | Cas d'usage |
|---|---|---|
| Variables d'environnement | Faible | Developpement local uniquement |
| Fichiers de configuration chiffres | Moyen | Deploiements simples |
| Gestionnaire de secrets | Eleve | Systemes de production (AWS Secrets Manager, HashiCorp Vault, Azure Key Vault) |
| Tokens a courte duree | Tres eleve | Authentification service a service |
| Identite de charge de travail | Tres eleve | Applications cloud-native (aucun secret du tout) |
Exigences de conformité
Correspondance avec les référentiels
| Exigence | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Politique de developpement securise | A.8.25 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Tests de sécurité | A.8.29 | CC8.1 | Art. 21(2)(e) | Art. 8(3) |
| Pratiques de codage securise | A.8.28 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Gestion des changements | A.8.32 | CC8.1 | Art. 21(2)(e) | Art. 8(2) |
| Separation des environnements | A.8.31 | CC6.7 | Art. 21(2)(e) | Art. 8(4) |
| Gestion des vulnerabilites | A.8.8 | CC7.1 | Art. 21(2)(e) | Art. 8(3) |
| Sécurité des composants tiers | A.8.30 | CC9.2 | Art. 21(2)(d) | Art. 8(5) |
Preuves d'audit
| Type de preuve | Description | Referentiel |
|---|---|---|
| Politique de developpement securise | SDLC documente avec les points d'integration sécurité | Tous les référentiels |
| Configuration de sécurité du pipeline | Pipeline CI/CD montrant les portes de sécurité et les analyses | ISO 27001, SOC 2 |
| Rapports d'analyse SAST/DAST | Resultats d'analyse reguliers avec preuves de remediation | Tous les référentiels |
| Rapports de vulnerabilites des dependances | Rapports SCA montrant les vulnerabilites connues et les correctifs | Tous les référentiels |
| Registres de revue de code | Revues de pull request avec considerations de sécurité | ISO 27001, SOC 2 |
| Registres de remediation des vulnerabilites | Tickets montrant le delai de la decouverte au correctif | Tous les référentiels |
| Preuves de separation des environnements | Configuration prouvant l'isolation dev/staging/production | ISO 27001, DORA |
Erreurs courantes
| Erreur | Risque | Correction |
|---|---|---|
| Analyses de sécurité sans application | Vulnerabilites deployees malgre la detection | Mettre en oeuvre des portes bloquantes pour les resultats critiques/eleves |
| Analyse uniquement sur la branche principale | Vulnerabilites trouvees trop tard dans le developpement | Analyser a chaque pull request et branche de fonctionnalite |
| Ignorer les vulnerabilites des dependances | CVE connus dans les applications en production | Automatiser les mises à jour des dependances avec Dependabot/Renovate |
| Secrets codes en dur dans le code | Exposition des identifiants via le contrôle de version | Hooks pre-commit avec detection de secrets, utiliser des gestionnaires de secrets |
| Pas d'analyse d'images de conteneurs | Images de base vulnerables en production | Analyser les images au build, dans les registres et a l'admission |
| L'équipe sécurité comme goulot d'etranglement | Les developpeurs contournent la sécurité pour respecter les delais | Outils de sécurité en libre-service, pipelines automatises, formation des developpeurs |
Comment Orbiq accompagne la conformité DevSecOps
Orbiq vous aide a demontrer vos pratiques de developpement securise :
- Collecte de preuves — Centralisez les configurations de pipeline, les rapports d'analyse et les registres de remediation
- Surveillance continue — Suivez la maturité DevSecOps et les tendances des vulnerabilites
- Trust Center — Partagez votre posture de developpement securise via votre Trust Center
- Correspondance de conformité — Reliez les contrôles DevSecOps a ISO 27001, SOC 2, NIS2 et DORA
- Preparation d'audit — Packages de preuves pre-construits pour les auditeurs
Pour aller plus loin
- Compliance as Code : Guide du developpeur — Automatiser les contrôles de conformité dans votre pipeline CI/CD avec des politiques versionnees et des API
- Gestion des vulnerabilites — Gerer les vulnerabilites dans l'ensemble de l'organisation
- Sécurité de la chaîne d'approvisionnement — Securiser les composants tiers
- Gestion de la posture de sécurité cloud — Securiser l'infrastructure cloud
- Chiffrement — Proteger les secrets et les données en transit
- Réponse aux incidents — Reagir aux vulnerabilites de sécurité en production
- Modelisation des menaces — Identifier les menaces lors de la conception