{"id":556,"date":"2026-02-24T10:44:16","date_gmt":"2026-02-24T09:44:16","guid":{"rendered":"https:\/\/secure-pipelines.com\/?p=556"},"modified":"2026-03-24T13:00:01","modified_gmt":"2026-03-24T12:00:01","slug":"engineer-remediation-guide-for-ci-cd-supplier-controls","status":"publish","type":"post","link":"https:\/\/secure-pipelines.com\/fr\/ci-cd-security\/engineer-remediation-guide-for-ci-cd-supplier-controls\/","title":{"rendered":"Guide de rem\u00e9diation pour les contr\u00f4les des fournisseurs CI\/CD"},"content":{"rendered":"<p><em>Ce qu&rsquo;il faut concr\u00e8tement modifier dans les environnements CI\/CD r\u00e9els<\/em><\/p>\n<h2 class=\"wp-block-heading\"><strong>\ud83d\udd10 Renforcement des acc\u00e8s et de l&rsquo;identit\u00e9<\/strong><\/h2>\n<p><strong>En cas de non-conformit\u00e9 des contr\u00f4les SSO\/MFA :<\/strong><\/p>\n<ul class=\"wp-block-list\">\n<li>Imposer le SSO SAML pour l&rsquo;organisation GitHub\/GitLab.<\/li>\n<li>D\u00e9sactiver l&rsquo;authentification par mot de passe pour les administrateurs.<\/li>\n<li>Imposer la MFA mat\u00e9rielle pour les r\u00f4les privil\u00e9gi\u00e9s.<\/li>\n<li>Supprimer les jetons d&rsquo;acc\u00e8s personnels sans date d&rsquo;expiration.<\/li>\n<li>Configurer la rotation automatique des jetons.<\/li>\n<\/ul>\n<h2 class=\"wp-block-heading\"><strong>\ud83e\uddf1 Isolation des runners<\/strong><\/h2>\n<p><strong>En cas d&rsquo;utilisation de runners partag\u00e9s dans des pipelines r\u00e9glement\u00e9s :<\/strong><\/p>\n<ul class=\"wp-block-list\">\n<li>Migrer vers des runners auto-h\u00e9berg\u00e9s et isol\u00e9s.<\/li>\n<li>Utiliser un groupe de runners par niveau de sensibilit\u00e9.<\/li>\n<li>Restreindre l&rsquo;ex\u00e9cution des runners \u00e0 des projets sp\u00e9cifiques.<\/li>\n<li>D\u00e9sactiver les runners \u00ab publics\/partag\u00e9s \u00bb pour les d\u00e9p\u00f4ts r\u00e9glement\u00e9s.<\/li>\n<\/ul>\n<h2 class=\"wp-block-heading\"><strong>\ud83d\udeab Portes de contr\u00f4le de politique non bloquantes<\/strong><\/h2>\n<p>Si les r\u00e9sultats SAST\/SCA\/DAST sont uniquement consultatifs :<\/p>\n<ul class=\"wp-block-list\">\n<li>Convertir les seuils de s\u00e9v\u00e9rit\u00e9 critique en blocage effectif.<\/li>\n<li>Exiger une approbation s\u00e9curit\u00e9 pour tout contournement.<\/li>\n<li>Journaliser chaque contournement avec une r\u00e9f\u00e9rence de ticket.<\/li>\n<li>Ajouter une date d&rsquo;expiration aux approbations d&rsquo;exceptions.<\/li>\n<\/ul>\n<h2 class=\"wp-block-heading\"><strong>\ud83d\udce6 Int\u00e9grit\u00e9 des artefacts<\/strong><\/h2>\n<p>En cas d&rsquo;absence de signature des artefacts :<\/p>\n<ul class=\"wp-block-list\">\n<li>Mettre en \u0153uvre la signature des conteneurs\/images (Cosign \/ Notary).<\/li>\n<li>Imposer la v\u00e9rification des signatures au moment du d\u00e9ploiement.<\/li>\n<li>Bloquer les artefacts non sign\u00e9s \u00e0 l&rsquo;\u00e9tape de mise en production.<\/li>\n<li>Conserver les journaux de v\u00e9rification des signatures.<\/li>\n<\/ul>\n<h2 class=\"wp-block-heading\"><strong>Centralisation des preuves<\/strong><\/h2>\n<p>Si les journaux n&rsquo;existent que dans l&rsquo;interface du fournisseur :<\/p>\n<ul class=\"wp-block-list\">\n<li>Transmettre les journaux CI\/CD vers le SIEM.<\/li>\n<li>Exporter les rapports d&rsquo;analyse vers un stockage centralis\u00e9 de preuves.<\/li>\n<li>Capturer les \u00e9v\u00e9nements d&rsquo;approbation.<\/li>\n<li>Archiver les d\u00e9finitions de pipeline pour chaque version.<\/li>\n<\/ul>\n<h2 class=\"wp-block-heading\"><strong>\ud83d\udd01 Faiblesse de la strat\u00e9gie de sortie<\/strong><\/h2>\n<p>Si un plan de sortie existe mais n&rsquo;a pas \u00e9t\u00e9 test\u00e9 :<\/p>\n<ul class=\"wp-block-list\">\n<li>Exporter l&rsquo;int\u00e9gralit\u00e9 du d\u00e9p\u00f4t et des branches.<\/li>\n<li>Exporter les fichiers YAML de pipeline.<\/li>\n<li>Exporter les images de conteneurs.<\/li>\n<li>Simuler une reconstruction dans un syst\u00e8me CI alternatif.<\/li>\n<li>Documenter le temps de reprise.<\/li>\n<\/ul>\n<p>Les tests de sortie doivent inclure une reconstruction r\u00e9elle des artefacts.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Angle mort des sous-traitants<\/strong><\/h2>\n<p>En cas de manque de visibilit\u00e9 sur les sous-traitants :<\/p>\n<ul class=\"wp-block-list\">\n<li>Demander la liste officielle au fournisseur.<\/li>\n<li>Documenter les changements trimestriellement.<\/li>\n<li>Cartographier les sous-traitants critiques dans l&rsquo;architecture.<\/li>\n<li>Ajouter une clause exigeant une notification pr\u00e9alable.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Ce qu&rsquo;il faut concr\u00e8tement modifier dans les environnements CI\/CD r\u00e9els \ud83d\udd10 Renforcement des acc\u00e8s et de l&rsquo;identit\u00e9 En cas de non-conformit\u00e9 des contr\u00f4les SSO\/MFA : Imposer le SSO SAML pour l&rsquo;organisation GitHub\/GitLab. D\u00e9sactiver l&rsquo;authentification par mot de passe pour les administrateurs. Imposer la MFA mat\u00e9rielle pour les r\u00f4les privil\u00e9gi\u00e9s. Supprimer les jetons d&rsquo;acc\u00e8s personnels sans &#8230; <a title=\"Guide de rem\u00e9diation pour les contr\u00f4les des fournisseurs CI\/CD\" class=\"read-more\" href=\"https:\/\/secure-pipelines.com\/fr\/ci-cd-security\/engineer-remediation-guide-for-ci-cd-supplier-controls\/\" aria-label=\"En savoir plus sur Guide de rem\u00e9diation pour les contr\u00f4les des fournisseurs CI\/CD\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[49,52,53,50],"tags":[],"post_folder":[],"class_list":["post-556","post","type-post","status-publish","format-standard","hentry","category-ci-cd-security","category-github-actions","category-gitlab-ci","category-software-supply-chain"],"_links":{"self":[{"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/posts\/556","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/comments?post=556"}],"version-history":[{"count":1,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/posts\/556\/revisions"}],"predecessor-version":[{"id":567,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/posts\/556\/revisions\/567"}],"wp:attachment":[{"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/media?parent=556"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/categories?post=556"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/tags?post=556"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/secure-pipelines.com\/fr\/wp-json\/wp\/v2\/post_folder?post=556"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}