2026-03-08
By Emre SalmanogluDevSecOps : le guide complet pour les equipes securite et ingenierie
Apprenez comment integrer la securite dans votre pipeline CI/CD et satisfaire les exigences ISO 27001, SOC 2, NIS2 et DORA. Couvre SAST, DAST, SCA, securite des conteneurs, analyse IaC et preuves de conformite.
DevSecOps
securite applicative
securite CI/CD
shift left
conformite
Qu'est-ce que le DevSecOps ?
Le DevSecOps est la pratique consistant a integrer la securite dans chaque phase du cycle de vie du developpement logiciel plutot que de la traiter comme un point de controle final. Il integre des tests de securite automatises dans les pipelines CI/CD, fait de la securite une responsabilite partagee entre les equipes de developpement, de securite et d'exploitation, et garantit que les applications sont construites de maniere securisee des la premiere ligne de code.
Le passage des revues de securite traditionnelles au DevSecOps reflete la realite de la livraison logicielle moderne : lorsque les equipes deploient plusieurs fois par jour, la securite ne peut pas attendre les tests d'intrusion trimestriels. Au lieu de cela, la securite doit etre continue, automatisee et adaptee aux developpeurs.
Etapes du pipeline DevSecOps
| Etape | Activites de securite | Outils |
|---|---|---|
| Planification | Modelisation des menaces, exigences de securite, patrons de conception securises | STRIDE, modeles de menaces OWASP |
| Code | Standards de codage securise, hooks pre-commit, plugins de securite IDE | Semgrep, SonarLint, regles de securite ESLint |
| Build | SAST, SCA, analyse des dependances, detection de secrets | Semgrep, Snyk, GitLeaks, Trivy |
| Test | DAST, tests de securite API, analyse de conteneurs | OWASP ZAP, Burp Suite, Trivy |
| Deploiement | Analyse IaC, controleurs d'admission, signature d'images | Checkov, OPA/Gatekeeper, Cosign |
| Exploitation | Protection en temps d'execution, WAF, RASP | Falco, ModSecurity, WAF cloud |
| Surveillance | Surveillance des vulnerabilites, suivi SBOM, alertes CVE | Dependabot, Snyk Monitor, Grype |
Types de tests de securite
| Type de test | Ce qu'il analyse | Quand il s'execute | Force de detection |
|---|---|---|---|
| SAST | Code source, bytecode | Temps de build | Vulnerabilites au niveau du code (SQLi, XSS, injection) |
| DAST | Application en cours d'execution | Post-deploiement | Vulnerabilites en temps d'execution, erreurs de configuration |
| SCA | Dependances tierces | Temps de build | CVE connus dans les bibliotheques open source |
| IAST | Application pendant les tests | Tests d'integration | Chemins de code en temps d'execution avec contexte |
| Detection de secrets | Code, configurations, commits | Pre-commit, build | Identifiants codes en dur, cles API, tokens |
| Analyse IaC | Terraform, CloudFormation, manifestes K8s | Pre-deploiement | Erreurs de configuration d'infrastructure |
| Analyse de conteneurs | Images Docker, registres | Build, deploiement, temps d'execution | Vulnerabilites d'images, erreurs de configuration |
Gestion des vulnerabilites en DevSecOps
| Severite | SLA (MTTR) | Action du pipeline | Exemple |
|---|---|---|---|
| Critique | 24 heures | Bloquer le deploiement | Execution de code a distance, injection SQL |
| Elevee | 7 jours | Bloquer le deploiement | Contournement d'authentification, SSRF |
| Moyenne | 30 jours | Avertir, autoriser le deploiement | XSS (stocke), deserialisation non securisee |
| Faible | 90 jours | Information uniquement | Divulgation d'informations, erreurs verbeuses |
Securite de la chaine d'approvisionnement logicielle
| Controle | Ce qu'il fait | Outils |
|---|---|---|
| Generation de SBOM | Creer un inventaire de tous les composants logiciels | Syft, CycloneDX, SPDX |
| Analyse des dependances | Identifier les vulnerabilites connues dans les dependances | Snyk, Dependabot, Renovate |
| Conformite des licences | Detecter les licences restrictives ou incompatibles | FOSSA, Snyk, WhiteSource |
| Signature des artefacts | Signer cryptographiquement les artefacts de build | Cosign, Sigstore, Notary |
| Attestation de provenance | Prouver ou et comment les artefacts ont ete construits | Framework SLSA, in-toto |
| Securite des registres | Controler quelles images peuvent etre deployees | Harbor, controleurs d'admission |
Gestion des secrets
| Approche | Niveau de securite | Cas d'usage |
|---|---|---|
| Variables d'environnement | Faible | Developpement local uniquement |
| Fichiers de configuration chiffres | Moyen | Deploiements simples |
| Gestionnaire de secrets | Eleve | Systemes de production (AWS Secrets Manager, HashiCorp Vault, Azure Key Vault) |
| Tokens a courte duree | Tres eleve | Authentification service a service |
| Identite de charge de travail | Tres eleve | Applications cloud-native (aucun secret du tout) |
Exigences de conformite
Correspondance avec les referentiels
| Exigence | ISO 27001 | SOC 2 | NIS2 | DORA |
|---|---|---|---|---|
| Politique de developpement securise | A.8.25 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Tests de securite | A.8.29 | CC8.1 | Art. 21(2)(e) | Art. 8(3) |
| Pratiques de codage securise | A.8.28 | CC8.1 | Art. 21(2)(e) | Art. 8(1) |
| Gestion des changements | A.8.32 | CC8.1 | Art. 21(2)(e) | Art. 8(2) |
| Separation des environnements | A.8.31 | CC6.7 | Art. 21(2)(e) | Art. 8(4) |
| Gestion des vulnerabilites | A.8.8 | CC7.1 | Art. 21(2)(e) | Art. 8(3) |
| Securite des composants tiers | A.8.30 | CC9.2 | Art. 21(2)(d) | Art. 8(5) |
Preuves d'audit
| Type de preuve | Description | Referentiel |
|---|---|---|
| Politique de developpement securise | SDLC documente avec les points d'integration securite | Tous les referentiels |
| Configuration de securite du pipeline | Pipeline CI/CD montrant les portes de securite et les analyses | ISO 27001, SOC 2 |
| Rapports d'analyse SAST/DAST | Resultats d'analyse reguliers avec preuves de remediation | Tous les referentiels |
| Rapports de vulnerabilites des dependances | Rapports SCA montrant les vulnerabilites connues et les correctifs | Tous les referentiels |
| Registres de revue de code | Revues de pull request avec considerations de securite | ISO 27001, SOC 2 |
| Registres de remediation des vulnerabilites | Tickets montrant le delai de la decouverte au correctif | Tous les referentiels |
| Preuves de separation des environnements | Configuration prouvant l'isolation dev/staging/production | ISO 27001, DORA |
Erreurs courantes
| Erreur | Risque | Correction |
|---|---|---|
| Analyses de securite sans application | Vulnerabilites deployees malgre la detection | Mettre en oeuvre des portes bloquantes pour les resultats critiques/eleves |
| Analyse uniquement sur la branche principale | Vulnerabilites trouvees trop tard dans le developpement | Analyser a chaque pull request et branche de fonctionnalite |
| Ignorer les vulnerabilites des dependances | CVE connus dans les applications en production | Automatiser les mises a jour des dependances avec Dependabot/Renovate |
| Secrets codes en dur dans le code | Exposition des identifiants via le controle de version | Hooks pre-commit avec detection de secrets, utiliser des gestionnaires de secrets |
| Pas d'analyse d'images de conteneurs | Images de base vulnerables en production | Analyser les images au build, dans les registres et a l'admission |
| L'equipe securite comme goulot d'etranglement | Les developpeurs contournent la securite pour respecter les delais | Outils de securite en libre-service, pipelines automatises, formation des developpeurs |
Comment Orbiq accompagne la conformite DevSecOps
Orbiq vous aide a demontrer vos pratiques de developpement securise :
- Collecte de preuves — Centralisez les configurations de pipeline, les rapports d'analyse et les registres de remediation
- Surveillance continue — Suivez la maturite DevSecOps et les tendances des vulnerabilites
- Trust Center — Partagez votre posture de developpement securise via votre Trust Center
- Correspondance de conformite — Reliez les controles DevSecOps a ISO 27001, SOC 2, NIS2 et DORA
- Preparation d'audit — Packages de preuves pre-construits pour les auditeurs
Pour aller plus loin
- Gestion des vulnerabilites — Gerer les vulnerabilites dans l'ensemble de l'organisation
- Securite de la chaine d'approvisionnement — Securiser les composants tiers
- Gestion de la posture de securite cloud — Securiser l'infrastructure cloud
- Chiffrement — Proteger les secrets et les donnees en transit
- Reponse aux incidents — Reagir aux vulnerabilites de securite en production
- Modelisation des menaces — Identifier les menaces lors de la conception