Guide de remédiation pour les contrôles des fournisseurs CI/CD

par

Ce qu’il faut concrètement modifier dans les environnements CI/CD réels

🔐 Renforcement des accès et de l’identité

En cas de non-conformité des contrôles SSO/MFA :

  • Imposer le SSO SAML pour l’organisation GitHub/GitLab.
  • Désactiver l’authentification par mot de passe pour les administrateurs.
  • Imposer la MFA matérielle pour les rôles privilégiés.
  • Supprimer les jetons d’accès personnels sans date d’expiration.
  • Configurer la rotation automatique des jetons.

🧱 Isolation des runners

En cas d’utilisation de runners partagés dans des pipelines réglementés :

  • Migrer vers des runners auto-hébergés et isolés.
  • Utiliser un groupe de runners par niveau de sensibilité.
  • Restreindre l’exécution des runners à des projets spécifiques.
  • Désactiver les runners « publics/partagés » pour les dépôts réglementés.

🚫 Portes de contrôle de politique non bloquantes

Si les résultats SAST/SCA/DAST sont uniquement consultatifs :

  • Convertir les seuils de sévérité critique en blocage effectif.
  • Exiger une approbation sécurité pour tout contournement.
  • Journaliser chaque contournement avec une référence de ticket.
  • Ajouter une date d’expiration aux approbations d’exceptions.

📦 Intégrité des artefacts

En cas d’absence de signature des artefacts :

  • Mettre en œuvre la signature des conteneurs/images (Cosign / Notary).
  • Imposer la vérification des signatures au moment du déploiement.
  • Bloquer les artefacts non signés à l’étape de mise en production.
  • Conserver les journaux de vérification des signatures.

Centralisation des preuves

Si les journaux n’existent que dans l’interface du fournisseur :

  • Transmettre les journaux CI/CD vers le SIEM.
  • Exporter les rapports d’analyse vers un stockage centralisé de preuves.
  • Capturer les événements d’approbation.
  • Archiver les définitions de pipeline pour chaque version.

🔁 Faiblesse de la stratégie de sortie

Si un plan de sortie existe mais n’a pas été testé :

  • Exporter l’intégralité du dépôt et des branches.
  • Exporter les fichiers YAML de pipeline.
  • Exporter les images de conteneurs.
  • Simuler une reconstruction dans un système CI alternatif.
  • Documenter le temps de reprise.

Les tests de sortie doivent inclure une reconstruction réelle des artefacts.

Angle mort des sous-traitants

En cas de manque de visibilité sur les sous-traitants :

  • Demander la liste officielle au fournisseur.
  • Documenter les changements trimestriellement.
  • Cartographier les sous-traitants critiques dans l’architecture.
  • Ajouter une clause exigeant une notification préalable.