[{"data":1,"prerenderedAt":689},["ShallowReactive",2],{"/fr-fr/the-source/security":3,"footer-fr-fr":35,"the-source-banner-fr-fr":346,"the-source-navigation-fr-fr":358,"the-source-newsletter-fr-fr":385,"footer-source-/fr-fr/the-source/security/":396,"the-source-the-source-resources-fr-fr":408,"authors-fr-fr":439,"categories-fr-fr":470,"security-articles-list-fr-fr":471},{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":8,"seo":9,"content":12,"type":27,"slug":28,"_id":29,"_type":30,"title":7,"_source":31,"_file":32,"_stem":33,"_extension":34},"/fr-fr/the-source/security","the-source",false,"",{"layout":5},{"title":10,"description":11,"ogImage":7},"Sécurité et conformité","Découvrez comment les entreprises peuvent se protéger des dernières menaces de sécurité tout en respectant les exigences de conformité.",[13,19],{"componentName":14,"componentContent":15},"TheSourceCategoryHero",{"title":10,"description":11,"image":16},{"config":17},{"src":18},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463273/aplkxrvwpii26xao5yhi.png",{"componentName":20,"componentContent":21},"TheSourceCategoryMainSection",{"config":22},{"sourceCTAs":23},[24,25,26],"source-lp-guide-to-dynamic-sboms","source-lp-a-field-guide-to-threat-vectors-in-the-software-supply-chain","application-security-in-the-digital-age","category","security","content:fr-fr:the-source:security:index.yml","yaml","content","fr-fr/the-source/security/index.yml","fr-fr/the-source/security/index","yml",{"_path":36,"_dir":37,"_draft":6,"_partial":6,"_locale":7,"data":38,"_id":342,"_type":30,"title":343,"_source":31,"_file":344,"_stem":345,"_extension":34},"/shared/fr-fr/main-footer","fr-fr",{"text":39,"source":40,"edit":46,"contribute":51,"config":56,"items":61,"minimal":333},"Git est une marque déposée de Software Freedom Conservancy et notre utilisation de « GitLab » est sous licence",{"text":41,"config":42},"Afficher le code source de la page",{"href":43,"dataGaName":44,"dataGaLocation":45},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":47,"config":48},"Modifier cette page",{"href":49,"dataGaName":50,"dataGaLocation":45},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":52,"config":53},"Veuillez contribuer",{"href":54,"dataGaName":55,"dataGaLocation":45},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":57,"facebook":58,"youtube":59,"linkedin":60},"https://twitter.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[62,89,161,232,294],{"title":63,"links":64,"subMenu":70},"Plateforme",[65],{"text":66,"config":67},"Plateforme DevSecOps",{"href":68,"dataGaName":69,"dataGaLocation":45},"/fr-fr/platform/","devsecops platform",[71],{"title":72,"links":73},"Tarifs",[74,79,84],{"text":75,"config":76},"Voir les forfaits",{"href":77,"dataGaName":78,"dataGaLocation":45},"/fr-fr/pricing/","view plans",{"text":80,"config":81},"Pourquoi choisir GitLab Premium ?",{"href":82,"dataGaName":83,"dataGaLocation":45},"/fr-fr/pricing/premium/","why premium",{"text":85,"config":86},"Pourquoi choisir GitLab Ultimate ?",{"href":87,"dataGaName":88,"dataGaLocation":45},"/fr-fr/pricing/ultimate/","why ultimate",{"title":90,"links":91},"Solutions",[92,97,101,106,111,116,121,126,131,136,141,146,151,156],{"text":93,"config":94},"Transformation digitale",{"href":95,"dataGaName":96,"dataGaLocation":45},"/fr-fr/topics/digital-transformation/","digital transformation",{"text":10,"config":98},{"href":99,"dataGaName":100,"dataGaLocation":45},"/fr-fr/solutions/application-security-testing/","Application security testing",{"text":102,"config":103},"Livraison de logiciels automatisée",{"href":104,"dataGaName":105,"dataGaLocation":45},"/fr-fr/solutions/delivery-automation/","automated software delivery",{"text":107,"config":108},"Développement agile",{"href":109,"dataGaName":110,"dataGaLocation":45},"/fr-fr/solutions/agile-delivery/","agile delivery",{"text":112,"config":113},"Transformation cloud",{"href":114,"dataGaName":115,"dataGaLocation":45},"/fr-fr/topics/cloud-native/","cloud transformation",{"text":117,"config":118},"SCM",{"href":119,"dataGaName":120,"dataGaLocation":45},"/fr-fr/solutions/source-code-management/","source code management",{"text":122,"config":123},"CI/CD",{"href":124,"dataGaName":125,"dataGaLocation":45},"/fr-fr/solutions/continuous-integration/","continuous integration & delivery",{"text":127,"config":128},"Gestion de la chaîne de valeur",{"href":129,"dataGaName":130,"dataGaLocation":45},"/fr-fr/solutions/value-stream-management/","value stream management",{"text":132,"config":133},"GitOps",{"href":134,"dataGaName":135,"dataGaLocation":45},"/fr-fr/solutions/gitops/","gitops",{"text":137,"config":138},"Entreprises",{"href":139,"dataGaName":140,"dataGaLocation":45},"/fr-fr/enterprise/","enterprise",{"text":142,"config":143},"PME",{"href":144,"dataGaName":145,"dataGaLocation":45},"/fr-fr/small-business/","small business",{"text":147,"config":148},"Secteur public",{"href":149,"dataGaName":150,"dataGaLocation":45},"/fr-fr/solutions/public-sector/","public sector",{"text":152,"config":153},"Formation",{"href":154,"dataGaName":155,"dataGaLocation":45},"/fr-fr/solutions/education/","education",{"text":157,"config":158},"Services financiers",{"href":159,"dataGaName":160,"dataGaLocation":45},"/fr-fr/solutions/finance/","financial services",{"title":162,"links":163},"Ressources",[164,169,174,179,184,189,193,197,202,207,212,217,222,227],{"text":165,"config":166},"Installation",{"href":167,"dataGaName":168,"dataGaLocation":45},"/fr-fr/install/","install",{"text":170,"config":171},"Guides de démarrage rapide",{"href":172,"dataGaName":173,"dataGaLocation":45},"/fr-fr/get-started/","quick setup checklists",{"text":175,"config":176},"Apprentissage",{"href":177,"dataGaName":178,"dataGaLocation":45},"https://university.gitlab.com/","learn",{"text":180,"config":181},"Documentation sur le produit",{"href":182,"dataGaName":183,"dataGaLocation":45},"https://docs.gitlab.com/","docs",{"text":185,"config":186},"Blog",{"href":187,"dataGaName":188},"/fr-fr/blog/","blog",{"text":190,"config":191},"Histoires de réussite client",{"href":192,"dataGaLocation":45},"/fr-fr/customers/",{"text":194,"config":195},"Histoires de succès client",{"href":192,"dataGaName":196,"dataGaLocation":45},"customer success stories",{"text":198,"config":199},"Travail à distance",{"href":200,"dataGaName":201,"dataGaLocation":45},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"text":203,"config":204},"Services GitLab",{"href":205,"dataGaName":206,"dataGaLocation":45},"/fr-fr/services/","services",{"text":208,"config":209},"TeamOps",{"href":210,"dataGaName":211,"dataGaLocation":45},"/fr-fr/teamops/","teamops",{"text":213,"config":214},"Communauté",{"href":215,"dataGaName":216,"dataGaLocation":45},"/community/","community",{"text":218,"config":219},"Forum",{"href":220,"dataGaName":221,"dataGaLocation":45},"https://forum.gitlab.com/","forum",{"text":223,"config":224},"Événements",{"href":225,"dataGaName":226,"dataGaLocation":45},"/events/","events",{"text":228,"config":229},"Partenaires",{"href":230,"dataGaName":231,"dataGaLocation":45},"/fr-fr/partners/","partners",{"title":233,"links":234},"Société",[235,240,245,250,255,260,265,269,274,279,284,289],{"text":236,"config":237},"À propos",{"href":238,"dataGaName":239,"dataGaLocation":45},"/fr-fr/company/","company",{"text":241,"config":242},"Emplois",{"href":243,"dataGaName":244,"dataGaLocation":45},"/jobs/","jobs",{"text":246,"config":247},"Leadership",{"href":248,"dataGaName":249,"dataGaLocation":45},"/company/team/e-group/","leadership",{"text":251,"config":252},"Équipe",{"href":253,"dataGaName":254,"dataGaLocation":45},"/company/team/","team",{"text":256,"config":257},"Manuel",{"href":258,"dataGaName":259,"dataGaLocation":45},"https://handbook.gitlab.com/","handbook",{"text":261,"config":262},"Relations avec les investisseurs",{"href":263,"dataGaName":264,"dataGaLocation":45},"https://ir.gitlab.com/","investor relations",{"text":266,"config":267},"Sustainability",{"href":268,"dataGaName":266,"dataGaLocation":45},"/sustainability/",{"text":270,"config":271},"Diversité, inclusion et appartenance (DIB)",{"href":272,"dataGaName":273,"dataGaLocation":45},"/fr-fr/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":275,"config":276},"Centre de confiance",{"href":277,"dataGaName":278,"dataGaLocation":45},"/fr-fr/security/","trust center",{"text":280,"config":281},"Newsletter",{"href":282,"dataGaName":283,"dataGaLocation":45},"/company/contact/","newsletter",{"text":285,"config":286},"Presse",{"href":287,"dataGaName":288,"dataGaLocation":45},"/press/","press",{"text":290,"config":291},"Déclaration de transparence sur l'esclavage moderne",{"href":292,"dataGaName":293,"dataGaLocation":45},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":295,"links":296},"Nous contacter",[297,302,307,312,317,322,327],{"text":298,"config":299},"Échanger avec un expert",{"href":300,"dataGaName":301,"dataGaLocation":45},"/fr-fr/sales/","sales",{"text":303,"config":304},"Aide",{"href":305,"dataGaName":306,"dataGaLocation":45},"/support/","get help",{"text":308,"config":309},"Portail clients GitLab",{"href":310,"dataGaName":311,"dataGaLocation":45},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"text":313,"config":314},"Statut",{"href":315,"dataGaName":316,"dataGaLocation":45},"https://status.gitlab.com/","status",{"text":318,"config":319},"Conditions d'utilisation",{"href":320,"dataGaName":321},"/terms/","terms of use",{"text":323,"config":324},"Déclaration de confidentialité",{"href":325,"dataGaName":326,"dataGaLocation":45},"/fr-fr/privacy/","privacy statement",{"text":328,"config":329},"Préférences en matière de cookies",{"dataGaName":330,"dataGaLocation":45,"id":331,"isOneTrustButton":332},"cookie preferences","ot-sdk-btn",true,{"items":334},[335,337,340],{"text":318,"config":336},{"href":320,"dataGaName":321,"dataGaLocation":45},{"text":338,"config":339},"Politique de confidentialité",{"href":325,"dataGaName":326,"dataGaLocation":45},{"text":328,"config":341},{"dataGaName":330,"dataGaLocation":45,"id":331,"isOneTrustButton":332},"content:shared:fr-fr:main-footer.yml","Main Footer","shared/fr-fr/main-footer.yml","shared/fr-fr/main-footer",{"_path":347,"_dir":348,"_draft":6,"_partial":6,"_locale":7,"id":349,"visibility":332,"title":350,"button":351,"_id":355,"_type":30,"_source":31,"_file":356,"_stem":357,"_extension":34},"/shared/fr-fr/the-source/banner/the-economics-of-software-innovation-2025-08-18","banner","The Economics of Software Innovation","The Economics of Software Innovation—AI’s $750 Billion Opportunity",{"config":352,"text":354},{"href":353},"/software-innovation-report/","Get the research report","content:shared:fr-fr:the-source:banner:the-economics-of-software-innovation-2025-08-18.yml","shared/fr-fr/the-source/banner/the-economics-of-software-innovation-2025-08-18.yml","shared/fr-fr/the-source/banner/the-economics-of-software-innovation-2025-08-18",{"_path":359,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"logo":360,"subscribeLink":365,"navItems":369,"_id":381,"_type":30,"title":382,"_source":31,"_file":383,"_stem":384,"_extension":34},"/shared/fr-fr/the-source/navigation",{"altText":361,"config":362},"the source logo",{"src":363,"href":364},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750191004/t7wz1klfb2kxkezksv9t.svg","/fr-fr/the-source/",{"text":366,"config":367},"S'abonner",{"href":368},"#subscribe",[370,374,377],{"text":371,"config":372},"Intelligence artificielle",{"href":373},"/fr-fr/the-source/ai/",{"text":10,"config":375},{"href":376},"/fr-fr/the-source/security/",{"text":378,"config":379},"Plateforme et infrastructure",{"href":380},"/fr-fr/the-source/platform/","content:shared:fr-fr:the-source:navigation.yml","Navigation","shared/fr-fr/the-source/navigation.yml","shared/fr-fr/the-source/navigation",{"_path":386,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"title":387,"description":388,"submitMessage":389,"formData":390,"_id":393,"_type":30,"_source":31,"_file":394,"_stem":395,"_extension":34},"/shared/fr-fr/the-source/newsletter","La newsletter The Source","Recevez une mine d'informations sur l'avenir du développement logiciel.","Vous êtes désormais inscrit à la newsletter The Source.",{"config":391},{"formId":392,"formName":283,"hideRequiredLabel":332},28453,"content:shared:fr-fr:the-source:newsletter.yml","shared/fr-fr/the-source/newsletter.yml","shared/fr-fr/the-source/newsletter",{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":397,"seo":398,"content":399,"type":27,"slug":28,"_id":29,"_type":30,"title":7,"_source":31,"_file":32,"_stem":33,"_extension":34},{"layout":5},{"title":10,"description":11,"ogImage":7},[400,404],{"componentName":14,"componentContent":401},{"title":10,"description":11,"image":402},{"config":403},{"src":18},{"componentName":20,"componentContent":405},{"config":406},{"sourceCTAs":407},[24,25,26],[409,425],{"_path":410,"_dir":411,"_draft":6,"_partial":6,"_locale":7,"config":412,"title":414,"description":415,"link":416,"_id":422,"_type":30,"_source":31,"_file":423,"_stem":424,"_extension":34},"/shared/fr-fr/the-source/source-lp-ctas/navigating-ai-maturity-in-devsecops","source-lp-ctas",{"slug":413},"navigating-ai-maturity-in-devsecops","La maturité de l'IA dans l'approche DevSecOps","Lisez les [conclusions de notre enquête menée auprès de plus de 5 000 professionnels DevSecOps dans le monde entier](/fr-fr/developer-survey/2024/ai/) pour savoir comment les entreprises intègrent l'IA dans le cycle de vie du développement logiciel.",{"text":417,"config":418},"Lire le rapport",{"href":419,"dataGaName":420,"dataGaLocation":421},"/fr-fr/developer-survey/2024/ai/","Navigating AI Maturity in DevSecOps","thesource","content:shared:fr-fr:the-source:source-lp-ctas:navigating-ai-maturity-in-devsecops.yml","shared/fr-fr/the-source/source-lp-ctas/navigating-ai-maturity-in-devsecops.yml","shared/fr-fr/the-source/source-lp-ctas/navigating-ai-maturity-in-devsecops",{"_path":426,"_dir":411,"_draft":6,"_partial":6,"_locale":7,"config":427,"title":429,"description":430,"link":431,"_id":436,"_type":30,"_source":31,"_file":437,"_stem":438,"_extension":34},"/shared/fr-fr/the-source/source-lp-ctas/source-lp-how-to-get-started-using-ai-in-software-development",{"slug":428},"source-lp-how-to-get-started-using-ai-in-software-development","Comment commencer à intégrer l'IA dans le développement logiciel","Lisez notre e-book pour découvrir des conseils pratiques qui vous aideront à créer un framework stratégique pour intégrer l'IA et développer des logiciels sécurisés plus rapidement.",{"text":432,"config":433},"Lire l'e-book",{"href":434,"dataGaName":435,"dataGaLocation":421},"/the-source/ai/getting-started-with-ai-in-software-development-a-guide-for-leaders/","How to Get Started Using AI in Software Development","content:shared:fr-fr:the-source:source-lp-ctas:source-lp-how-to-get-started-using-ai-in-software-development.yml","shared/fr-fr/the-source/source-lp-ctas/source-lp-how-to-get-started-using-ai-in-software-development.yml","shared/fr-fr/the-source/source-lp-ctas/source-lp-how-to-get-started-using-ai-in-software-development",{"amanda-rueda":440,"andre-michael-braun":441,"andrew-haschka":442,"ayoub-fandi":443,"brian-wald":444,"bryan-ross":445,"chandler-gibbons":446,"dave-steer":447,"ddesanto":448,"derek-debellis":449,"emilio-salvador":450,"erika-feldman":451,"george-kichukov":452,"gitlab":453,"grant-hickman":454,"haim-snir":455,"iganbaruch":456,"jlongo":457,"joel-krooswyk":458,"josh-lemos":459,"julie-griffin":460,"kristina-weis":461,"lee-faus":462,"ncregan":463,"rschulman":464,"sabrina-farmer":465,"sandra-gittlen":466,"sharon-gaudin":467,"stephen-walters":468,"taylor-mccaslin":469},"Amanda Rueda","Andre Michael Braun","Andrew Haschka","Ayoub Fandi","Brian Wald","Bryan Ross","Chandler Gibbons","Dave Steer","David DeSanto","Derek DeBellis","Emilio Salvador","Erika Feldman","George Kichukov","GitLab","Grant Hickman","Haim Snir","Itzik Gan Baruch","Joseph Longo","Joel Krooswyk","Josh Lemos","Julie Griffin","Kristina Weis","Lee Faus","Niall Cregan","Robin Schulman","Sabrina Farmer","Sandra Gittlen","Sharon Gaudin","Stephen Walters","Taylor McCaslin",{"ai":371,"platform":378,"security":10},[472,497,535,555,574,594,614,646,668],{"_path":473,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":474,"seo":478,"content":483,"type":492,"category":28,"slug":493,"_id":494,"_type":30,"title":479,"_source":31,"_file":495,"_stem":496,"_extension":34,"date":484,"description":485,"timeToRead":486,"heroImage":481,"keyTakeaways":487,"articleBody":491},"/fr-fr/the-source/security/key-security-trends-for-cisos-in-2025",{"layout":5,"template":475,"author":476,"featured":6,"sourceCTA":477,"isHighlighted":6,"authorName":459},"TheSourceArticle","josh-lemos","source-lp-ai-guide-for-enterprise-leaders-building-the-right-approach",{"title":479,"description":480,"ogImage":481,"config":482},"Tendances clés en matière de sécurité en 2025 que les responsables de la sécurité doivent connaître","Découvrez les tendances sécurité de 2025 et comment l'IA crée de nouveaux risques et défis, transforme la gestion des identités et renforce les équipes DevOps.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464506/hyue0lgqq2lqk3arwnel.jpg",{"ignoreTitleCharLimit":332},{"title":479,"date":484,"description":485,"timeToRead":486,"heroImage":481,"keyTakeaways":487,"articleBody":491},"2025-02-25","Découvrez les principales tendances en matière de sécurité pour 2025 : comment l'IA engendre à la fois de nouveaux risques et de nouvelles opportunités, remodèle la gestion des identités et renforce les équipes DevOps.","Lecture : 5 min",[488,489,490],"L'adoption de l'IA est à la fois source de risques et d'opportunités en matière de sécurité : vous devez surveiller comment les fournisseurs l’intègrent aux outils, anticiper les éventuelles pannes tout en renforçant vos contrôles de sécurité grâce à elle.","Il est nécessaire de moderniser la gestion des identités afin de gérer les interactions complexes entre machines, les autorisations dynamiques et l'accès au système d'IA. Ce changement nécessite des outils de sécurité plus flexibles et adaptatifs.","Les outils d'IA aident à combler le déficit de compétences en sécurité au sein des équipes DevOps en automatisant les contrôles de sécurité, en suggérant des coding patterns sécurisés et en intégrant la sécurité à chaque étape du développement logiciel.","En 2025, bon nombre d'outils de sécurité critiques incluront des modèles d'IA sur lesquels vous n'aurez ni visibilité ni contrôle total. Votre direction s'interroge déjà sur les moyens d'éviter la prochaine atteinte à la sécurité majeure qui ferait la une des journaux. Pendant ce temps, vos concurrents tirent parti de l'IA pour automatiser la sécurité à une échelle qui était encore impensable il y a seulement quelques mois. L'évolution des réglementations complique davantage la situation, avec de nouvelles règles en vigueur dans l'Union européenne et en Californie qui encadrent votre utilisation des systèmes d'IA.\n\nLe domaine de la sécurité évolue à toute allure. Adoptez une approche réfléchie pour tourner ces défis à votre avantage afin de renforcer vos défenses et de vous protéger contre les nouvelles cybermenaces. Voici trois tendances que vous devez anticiper, car elles domineront les questions de sécurité des entreprises cette année.\n\n## 1. Les vulnérabilités dans les LLM propriétaires\nDe nombreux fournisseurs utilisent désormais des grands modèles de langage (LLM) propriétaires qui servent de modèle de fondation dans leurs produits. Cette évolution expose votre entreprise à de nouveaux risques. La plupart de ces LLM fonctionnent en vase clos : vous disposez d'une visibilité très restreinte sur leurs mécanismes internes et les contrôles de sécurité dont ils disposent. Les experts en sécurité ont démontré la fragilité des garde-fous de l'IA. La surface d'attaque des modèles eux-mêmes et, par conséquence, des produits dans lesquels ils sont intégrés, ne cesse de croître.\n\nDans la mesure où de nombreux produits intègrent les mêmes LLM propriétaires, une attaque sur un grand modèle de langage pourrait affecter plusieurs de vos systèmes simultanément. Cette concentration des risques est particulièrement préoccupante, car elle se produit en parallèle de l'augmentation du nombre de fonctions commerciales critiques qui dépendent d'outils alimentés par l'IA. Dès lors, il devient impératif de pouvoir :\n\n- Identifier parmi vos fournisseurs ceux qui utilisent des LLM\n- Évaluer les contrôles de sécurité qu'ils ont mis en place\n- Anticiper d'éventuelles pannes en cas de défaillance d'un service basé sur un LLM\n- Élaborer des plans de sauvegarde pour les systèmes critiques dépendant de l'IA\n\n> Pour en savoir plus, consultez cet article : [7 questions à poser à votre fournisseur DevOps pour établir une stratégie d'IA basée sur la transparence](https://about.gitlab.com/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/)\n\n## 2. Les défis de la gestion des identités\nLe cloud et les systèmes d'IA transforment la façon dont nous gérons l'accès aux systèmes utilisés quotidiennement. Vos systèmes de gestion des identités doivent désormais être capables de gérer :\n\n- Une augmentation des identités non humaines liées à des services automatisés\n- Un plus grand nombre de connexions entre machines\n- Des changements rapides apportés aux droits d'accès\n- Des chaînes complexes d'autorisations entre les services\n- Des systèmes d'IA qui nécessitent différents niveaux d'accès aux données\n\nOr, les outils traditionnels de gestion des identités et des accès n'ont pas été conçus pour relever ces défis. Vous aurez besoin d'outils plus flexibles, capables de s'adapter rapidement à l'évolution de vos besoins. Mettre en œuvre les [principes Zero Trust et l'accès privilégié Just-In-Time](https://about.gitlab.com/the-source/security/field-guide-to-threat-vectors-in-the-software-supply-chain/) permet de mieux contrôler ces environnements dynamiques.\n\nLes équipes de sécurité doivent également élaborer des stratégies pour faire face à la complexité croissante de l'IA agentique, sans se départir du niveau de rigueur et d'auditabilité qu'elles appliquent aux utilisateurs humains. À mesure que les systèmes d'IA se multiplient, [le suivi et la sécurisation de ces identités non humaines](https://about.gitlab.com/blog/improve-ai-security-in-gitlab-with-composite-identities/) deviennent aussi essentiels que la gestion des accès des utilisateurs humains.\n\n## 3. L'implémentation de la sécurité dans le processus DevOps\n[Dans une enquête récente](https://about.gitlab.com/developer-survey/), 58 % des développeurs ont déclaré se sentir responsables de la sécurité applicative. Il demeure toutefois difficile de recruter des ingénieurs DevOps dotés de compétences dans ce domaine. Les outils alimentés par l'IA peuvent contribuer à combler cette lacune en se chargeant des tâches suivantes :\n\n- Vérifier la présence de failles de sécurité et de menaces potentielles dans le code dès les premières étapes du processus de développement, avant qu'elles ne causent des problèmes\n- Suggérer des coding patterns sécurisés\n- Configurer automatiquement les autorisations d'accès appropriées\n- Automatiser les tâches répétitives tout au long du processus de développement\n\nCes outils peuvent aider votre équipe de sécurité en place à gagner en efficacité, tout en simplifiant la détection des problèmes de sécurité fréquents avant que le code n'atteigne l'environnement de production. Résultat : moins de situations d'urgence auxquelles votre équipe doit faire face, ainsi qu'une posture de sécurité globale renforcée.\n\nEnvisagez d'investir dans des outils qui s'intègrent directement dans les workflows des développeurs. Plus ces derniers ont les moyens de travailler dans des environnements sécurisés, plus ils sont enclins à naturellement adopter de bonnes pratiques de sécurité.\n\n## Passez à l'action : tirez parti de l'IA pour sécuriser le développement logiciel\nPour garder une longueur d'avance face à ces transformations, suivez ces principes :\n\n1. Déterminez les points de contact entre les outils d'IA et vos systèmes, puis évaluez les risques associés\n2. Adaptez votre gestion des identités aux exigences du cloud et de l'IA\n3. Identifiez des moyens de renforcer vos mesures de sécurité avec l'IA\n4. Informez régulièrement votre direction des nouveaux risques et réglementations liés à l'IA\n5. Établissez un dialogue avec vos principaux fournisseurs afin de comprendre les mesures de sécurité qu'ils appliquent à l'utilisation de l'IA\n6. Formez vos équipes aux menaces de sécurité ainsi qu'aux opportunités liés à l'IA\n\nBien que l'IA introduise de nouveaux risques, elle vous offre également des outils puissants permettant de protéger votre entreprise. L'enjeu consiste à exploiter le potentiel de l'IA pour renforcer votre posture de sécurité tout en restant attentif aux nouvelles menaces. Révisez régulièrement votre stratégie de sécurité liée à l'IA pour rester proactif aux risques émergents.\n\n## Les perspectives d'avenir\nLe domaine de la sécurité continuera d'évoluer au rythme des avancées de la technologie d'IA. Faites preuve de flexibilité et adaptez votre stratégie de sécurité à l’émergence de nouvelles menaces comme de nouvelles opportunités. Renforcez la collaboration au sein de votre entreprise, en particulier avec les équipes juridiques, de développement et des opérations. Vous pourrez ainsi répondre plus efficacement aux défis de sécurité.\n\nEn dépit de l'évolution des technologies, n'oubliez pas que votre mission principale demeure inchangée : protéger les actifs de votre entreprise et garantir la sécurité de vos activités commerciales. Optez pour de nouveaux outils et approches lorsque cela est pertinent, sans vous précipiter pour adopter l'IA, ni perdre de vue les principes de base en matière de sécurité.","article","key-security-trends-for-cisos-in-2025","content:fr-fr:the-source:security:key-security-trends-for-cisos-in-2025.yml","fr-fr/the-source/security/key-security-trends-for-cisos-in-2025.yml","fr-fr/the-source/security/key-security-trends-for-cisos-in-2025",{"_path":498,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"slug":499,"type":492,"category":28,"config":500,"seo":503,"content":507,"_id":532,"_type":30,"title":508,"_source":31,"_file":533,"_stem":534,"_extension":34,"description":504,"date":509,"timeToRead":510,"heroImage":505,"keyTakeaways":511,"articleBody":515,"faq":516},"/fr-fr/the-source/security/why-legacy-code-is-a-security-risk-and-how-ai-can-help","why-legacy-code-is-a-security-risk-and-how-ai-can-help",{"layout":5,"template":475,"featured":6,"author":501,"sourceCTA":502,"isHighlighted":6,"authorName":458},"joel-krooswyk","source-lp-how-a-devsecops-platform-drives-business-success-the-complete-guide",{"description":504,"ogImage":505,"ogDescription":504,"title":506,"ogTitle":506},"Modernisez vos systèmes hérités, renforcez la sécurité et stimulez la croissance de votre entreprise grâce à la refactorisation du code alimentée par l'IA.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463670/cdynzww9p2annh3mmbhl.png","Code hérité : protégez votre entreprise avec l'IA",{"description":504,"title":508,"date":509,"timeToRead":510,"heroImage":505,"keyTakeaways":511,"articleBody":515,"faq":516},"Le code hérité met la sécurité de votre entreprise en péril : voici comment l'IA peut vous aider","2025-01-15T00:00:00.000Z","Lecture : 6 min",[512,513,514],"La maintenance du code hérité est coûteuse et fastidieuse. Si celui-ci n'est pas compatible avec les outils de sécurité modernes, il devient un sérieux handicap pour les entreprises, tous secteurs confondus.","La refactorisation du code s'impose comme une stratégie puissante pour augmenter la lisibilité du code, et pour renforcer la stabilité du code base existant ainsi que la productivité et l'efficacité des développeurs.","Associée à des outils de sécurité préventifs, la refactorisation du code alimentée par l'IA peut aider les équipes à moderniser leur code hérité tout en réduisant le risque de failles de sécurité.","L'accélération rapide des technologies est passionnante, car elle ouvre la voie à de nouveaux produits, de nouvelles opportunités de croissance et de nouvelles innovations. Pourtant, cette évolution fulgurante et les changements qu'elle engendre présente aussi des risques, notamment en matière de sécurité : un seul acteur malveillant peut provoquer des perturbations massives de l'activité, nuire à la réputation et engendrer des pertes financières importantes.\n\nFace à cette réalité, de nombreux leaders s'inquiètent de leur dépendance à l'égard des systèmes « hérités » ou obsolètes, tout en affirmant clairement leur besoin urgent de transformation digitale. Bien que le code hérité ne soit pas intrinsèquement problématique, il n'est souvent pas compatible avec les outils de sécurité modernes, et peut exposer votre entreprise à des vulnérabilités exploitables. Associé à du code open source, qui nécessite une vigilance continue en matière de sécurité et de conformité, votre code base peut mettre en danger les données, les utilisateurs ainsi que la réputation de votre entreprise. \n\nOutre ces risques, il est coûteux et fastidieux à maintenir, même pour des développeurs expérimentés. \n\nCette dépendance est non seulement problématique, mais aussi coûteuse à long terme. La question est donc de savoir comment sortir de cette impasse.  \n\nDans cet article, découvrez ce qu'est le code hérité et comment la refactorisation alimentée par l'IA peut renforcer la sécurité et moderniser durablement le code base. Avec les fonctionnalités de test et de sécurité pilotées par l'IA, votre équipe pourra se projeter vers l'avenir en toute sérénité. \n\n## Qu'est-ce que le code hérité ? \n\nLe code hérité fait référence à un code base existant qu'une équipe hérite de ses anciens membres, et qu'elle continue d'utiliser et de maintenir. Même s'il fonctionne très bien, plusieurs développeurs l'ont probablement modifié au fil des années, rendant difficile la distinction entre les modifications qui sont utiles et celles qui sont superflues. De plus, le code est parfois écrit à l'aide d'un framework obsolète ou dans un langage de programmation que personne dans l'équipe ne connaît (qu'il soit simplement ancien ou complètement obsolète). \n\nAlors pour quelles raisons les entreprises s'appuient-elles encore sur du code hérité ? Les motivations peuvent varier. L'analogie avec une vieille maison est parlante : elle est confortable et familière, mais la plomberie n'est pas fiable, l'installation électrique est dépassée et il y a toujours quelque chose à réparer. Bien sûr, vous pourriez la rénover, mais cela impliquerait un énorme bouleversement : la présence quotidienne d'entrepreneurs en bâtiment, la nécessité d'obtenir des permis, vivre dans le chaos pendant des mois, ainsi que des coûts incontrôlables.\n\nAlors, vous continuez à réparer au cas par cas, en espérant que tout finisse par perdurer. Ce n'est pas idéal, mais cela fonctionne, au moins pour le moment. C'est un peu la même chose avec le code hérité. C'est la solution familière et « qui fonctionne », même si elle est démodée et inefficace. Réécrire entièrement le code hérité est une perspective décourageante avec ses propres risques et coûts. De plus, qui a le temps de procéder à une refonte complète alors qu'il y a de nouvelles fonctionnalités à créer et des bogues urgents à corriger ?\n\nLorsqu'il est temps de mettre à jour le code, de nombreuses entreprises décident de conserver leur code hérité, estimant que sa maintenance entraîne moins de perturbations immédiates. La mise à jour du code implique beaucoup de développement et de tests, ainsi que la nécessité, dans certains cas, de former une équipe afin de s'assurer qu'elle possède les compétences nécessaires pour travailler avec le langage de programmation ou le framework obsolète. En l'absence de documentation, la mise à jour peut être encore plus compliquée.   \n\n## Quels sont les risques à utiliser le code hérité ?\n\nSi votre entreprise (comme beaucoup) choisit de conserver son code hérité, elle s'expose à une multitude de problèmes potentiels. Étant donné que ce code n'a pas été conçu pour les nouvelles technologies, vous ne pourrez peut-être pas l'intégrer aux logiciels les plus récents et les plus performants (comme les outils d'IA, par exemple), ce qui pourrait également avoir un impact sur les performances et l'évolutivité de vos produits. Un tel choix peut freiner votre productivité, et au final avoir un impact sur l'expérience client. \n\nLe plus préoccupant avec le code hérité, qu'il date de 5 ou 50 ans, c'est qu'il n'est pas compatible avec les scanners de sécurité modernes, qui ne détectent souvent pas les vulnérabilités, laissant passer des failles potentielles pendant que vous effectuez les mises à jour. De plus, les développeurs chargés de ces mises à jour peuvent ne pas maîtriser le langage ou sa structure et même augmenter accidentellement le risque de failles. Enfin, les applications plus anciennes sont généralement écrites en C ou C++, qui sont des langages à mémoire non sécurisée, dont il est prouvé qu'ils hébergent [70 % des vulnérabilités identifiées](https://www.cisa.gov/news-events/news/urgent-need-memory-safety-software-products).\n\nCes trois problèmes (l'absence de solutions de sécurisation adaptées, le manque de méthodes permettant de mettre le code hérité à jour de façon sécurisé et le risque élevé de vulnérabilités) sont autant de signes avant-coureurs qui devraient alerter les entreprises, quel que soit leur secteur d'activité. \n\nDans son recensement des mauvaises pratiques susceptibles de compromettre les infrastructures critiques, la [Cybersecurity and Infrastructure Security Agency (CISA)](https://www.cisa.gov/stopransomware/bad-practices) aux Éatats-Unis a formulé l'avertissement suivant :\n\n« L'utilisation de logiciels non pris en charge (ou en fin de vie) pour des infrastructures ou fonctions critiques nationales représente un danger majeur. Elle augmente considérablement les risques pesant sur la sécurité nationale, l'économie, ainsi que sur la santé et la sécurité publiques. Cette pratique est d'autant plus préoccupante lorsqu'il s'agit de technologies accessibles depuis Internet. »\n\nMême si votre activité ne relève ni de la sécurité nationale ni de la santé publique, cet avertissement reste applicable : l'utilisation d'un code obsolète constitue une mauvaise pratique à éviter autant que faire ce peut. \n\n## La solution : la refactorisation du code\n\nSelon l'auteur et développeur de logiciels [Martin Fowler](https://www.martinfowler.com/), « la refactorisation est une technique rigoureuse et maîtrisée permettant d'améliorer la conception d'un code base existant en améliorant et en modifiant sa structure interne, sans en altérer le comportement externe. » \n\nEn d'autres termes, elle vous permet de sécuriser et de moderniser votre code hérité tout en préservant ses fonctionnalités d'origine. \n\nLa refactorisation peut prendre différentes formes, comme la refactorisation inline, qui consiste à simplifier le code en supprimant les éléments obsolètes, ou la refactorisation par abstraction, qui consiste à supprimer les doublons en regroupant les éléments redondants. Si elle est essentielle pour rendre le code plus lisible, stable et sécurisé, elle nécessite du temps, une expertise particulière ainsi que de nombreux tests, tandis que les équipes de développement sont déjà surchargées par d'autres tâches. \n\nAinsi, bien que la refactorisation du code soit certainement la solution pour faire évoluer votre code hérité, il s'agit d'un projet en soi, en particulier si vous travaillez à grande échelle. \n\n## Comment l'IA facilite-t-elle la refactorisation ?\n\nL'IA accélère non seulement le cycle de développement logiciel, mais elle peut également [aider les équipes à accélérer le processus de refactorisation](https://about.gitlab.com/blog/refactor-code-into-modern-languages-with-ai-powered-gitlab-duo/). Des outils comme [GitLab Duo](https://about.gitlab.com/blog/gitlab-duo-chat-now-generally-available/) peuvent en effet vous assister avec des explications du code existant et en générant du nouveau code, deux des plus grands obstacles lors de la modernisation du code hérité. Si un développeur ne connaît pas un langage, l'IA peut l'aider à combler ses lacunes. Elle peut également [analyser les causes profondes, générer des tests](https://about.gitlab.com/blog/developing-gitlab-duo-blending-ai-and-root-cause-analysis-to-fix-ci-cd/) et [aider les développeurs à corriger les vulnérabilités](https://about.gitlab.com/the-source/ai/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/). L'IA rend ainsi la refactorisation plus accessible et rapide, permettant de sortir ce projet du backlog et d'alléger la charge des développeurs. \n\nSelon [notre enquête Global DevSecOps 2024](https://about.gitlab.com/developer-survey/2024/ai/), 34 % des professionnels du développement interrogés utilisant déjà l'IA à chaque étape du cycle de développement logiciel l'utilisent pour moderniser le code hérité. Ce chiffre est encore plus élevé dans le secteur des services financiers (46 %). \n\nCependant, vous devez garder à l'esprit certains aspects lorsque vous souhaitez adopter l'IA, car elle n'est pas parfaite. Elle nécessite encore des tests, des garde-fous et une supervision humaine. Il est indéniable qu'elle peut absolument faciliter et accélérer certaines des tâches manuelles, critiques et fastidieuses, mais elle ne peut pas faire ce travail seule. Elle doit être intégrée dans une stratégie globale de sécurité, complétée par d'autres outils pour que votre code reste aussi sécurisé que possible. Nous vous recommandons de créer une [nomenclature logicielle dynamique](https://about.gitlab.com/blog/the-ultimate-guide-to-sboms/) (SBOM) pour surveiller les risques de licence et de sécurité associés à votre logiciel, y compris le code hérité.\n\n## Transformez votre code hérité en un atout durable\n\nPasser de la simple maintenance du code hérité à sa modernisation peut sembler intimidant, mais c'est la meilleure voie à suivre si vous souhaitez garantir la sécurité de vos données et la pérennité de votre entreprise. Avec les bons outils et les méthodes adaptées, cette transition devient plus efficace pour vos équipes et plus rentable pour votre entreprise. \n\nBonne nouvelle : vos équipes n'ont pas besoin de consacrer du temps et des ressources à déchiffrer les anciens langages et à travailler avec les anciens frameworks, tâches qui entraînent frustration, retards et goulots d'étranglement. En laissant l'IA effectuer le travail difficile de refactorisation de votre code afin que ce dernier soit sûr, sécurisé et fonctionne comme il se doit, votre équipe de développement peut se concentrer sur ce qu'elle fait de mieux : créer de nouveaux produits, de nouvelles fonctionnalités et générer de la valeur pour vos clients.",[517,520,523,526,529],{"header":518,"content":519},"Pourquoi le code hérité est-il considéré comme posant un risque pour la sécurité ?","Le code hérité présente des risques, car il utilise souvent des frameworks ou des langages de programmation obsolètes dépourvus de mesures de sécurité modernes. Il est donc incompatible avec les outils de sécurité les plus récents, ce qui augmente le risque de vulnérabilités. De plus, les logiciels non pris en charge ou en fin de vie peuvent être facilement exploités par des attaquants, ce qui compromet l'intégrité et la sécurité des données.",{"header":521,"content":522},"Comment la refactorisation du code alimentée par l'IA peut-elle renforcer la sécurité du code hérité ?","La refactorisation du code alimentée par l'IA modernise les systèmes hérités en :\n - identifiant les coding patterns obsolètes ou non sécurisés et en suggérant des alternatives sécurisées.\n - automatisant les améliorations du code sans modifier le comportement externe, ce qui améliore la lisibilité et la maintenabilité.\n - générant des tests de sécurité et analysant les causes profondes des vulnérabilités, ce qui permet une correction plus rapide.\nCette approche réduit les efforts manuels et accélère la transition vers des codes bases plus sécurisés, efficaces et évolutifs.",{"header":524,"content":525},"À quels défis s'attendre lors de la maintenance du code hérité sans l'aide de l'IA ?","Les défis sont les suivants :\n - __Manque de prise en charge des outils de sécurité modernes__ : les scanners de sécurité traditionnels peuvent ne pas être compatibles avec le code hérité.\n - __Frameworks complexes et obsolètes__ : les développeurs peuvent ne pas avoir l'expertise nécessaire pour maintenir ou mettre à jour l'ancien code.\n - __Coûts de maintenance élevés__ : la maintenance des systèmes hérités est coûteuse et chronophage, ce qui détourne les ressources de l'innovation.\n - __Risques de sécurité__ : le code obsolète est plus sujet aux vulnérabilités et aux attaques, ce qui augmente le risque de violation de données.",{"header":527,"content":528},"Comment GitLab prend-il en charge la refactorisation alimentée par l'IA et la modernisation du code hérité ?","GitLab s'appuie sur GitLab Duo pour aider les développeurs à comprendre le code hérité, en leur fournissant des explications claires et en générant des suggestions de code. GitLab propose également :\n - des scans de sécurité pilotés par l'IA pour détecter les vulnérabilités dans le code hérité.\n - des corrections et des tests automatisés pour améliorer la sécurité du code.\n - des nomenclatures logicielles (SBOM) dynamiques offrant une visibilité sur les risques de licence et de sécurité, y compris les composants hérités.",{"header":530,"content":531},"Quels sont les avantages de l'utilisation de l'IA dans le cadre de la refactorisation du code hérité ?","Les avantages sont les suivants :\n - __Sécurité renforcée__ : l'IA identifie et atténue les vulnérabilités, améliorant ainsi la posture de sécurité.\n - __Productivité accrue__ : l'automatisation des tâches répétitives permet aux développeurs de se concentrer sur l'innovation.\n - __Rentabilité__ : réduction des coûts de maintenance en modernisant le code pour qu'il fonctionne avec les frameworks et les outils actuels.\n - __Modernisation évolutive__ : l'IA donne lieu à une refactorisation évolutive et cohérente des codes bases complexes, ce qui permet de pérenniser les actifs logiciels de l'entreprise.","content:fr-fr:the-source:security:why-legacy-code-is-a-security-risk-and-how-ai-can-help.yml","fr-fr/the-source/security/why-legacy-code-is-a-security-risk-and-how-ai-can-help.yml","fr-fr/the-source/security/why-legacy-code-is-a-security-risk-and-how-ai-can-help",{"_path":536,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":537,"seo":538,"content":542,"type":492,"category":28,"slug":551,"_id":552,"_type":30,"title":543,"_source":31,"_file":553,"_stem":554,"_extension":34,"date":544,"description":545,"timeToRead":486,"heroImage":541,"keyTakeaways":546,"articleBody":550},"/fr-fr/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",{"layout":5,"template":475,"author":476,"featured":332,"sourceCTA":26,"isHighlighted":6,"authorName":459},{"title":539,"description":540,"ogImage":541},"Sécurité de l'information : comment résoudre les frictions ","Les défis de sécurité génèrent des frictions qui freinent les équipes, mais la gestion de la pile technologique et des vulnérabilités est tout aussi cruciale.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464489/mragusmxl1wz8ozdaoml.png",{"title":543,"date":544,"description":545,"timeToRead":486,"heroImage":541,"keyTakeaways":546,"articleBody":550},"Identifier et remédier aux frustrations les plus courantes en matière de sécurité de l'information","2024-10-29","Le domaine de la sécurité suscite bien des frustrations, généralement considérées comme un problème culturel. Les dirigeants doivent porter leur attention sur d'autres enjeux, comme la complexité de la pile technologique et la gestion des vulnérabilités.",[547,548,549],"L'analyse des vulnérabilités avec authentification renforce la gestion des failles de sécurité. Elle peut toutefois détourner les équipes d'ingénierie vers des tâches non critiques, créant ainsi des tensions entre les équipes de sécurité et d'ingénierie.","Adopter une approche minimaliste pour le développement logiciel optimise la sécurité des applications, en réduisant les dépendances, diminuant le nombre de faux positifs et allégeant la charge de travail des développeurs.","L'adoption d'une approche « guidée », qui repose sur des design patterns testés et approuvés basés sur des cas d'utilisation reproductibles, peut faciliter le travail des équipes d'ingénierie tout en renforçant la sécurité.","Cette année, l'[enquête annuelle menée par GitLab auprès des professionnels DevSecOps](https://about.gitlab.com/fr-fr/developer-survey/) révèle plusieurs obstacles liés à la culture d'entreprise qui pourraient entraver l'alignement entre les équipes d'ingénierie et de sécurité. Une majorité (58 %) des professionnels de la sécurité interrogés déclarent qu'il leur est difficile de faire en sorte que le développement priorise la correction des vulnérabilités. Par ailleurs, 52 % estiment que leurs efforts pour résoudre rapidement ces failles de sécurité sont souvent ralentis par la bureaucratie interne. Parmi les frustrations liées à leur travail, ils citent notamment la difficulté à interpréter les résultats des analyses de sécurité, le nombre trop élevé de faux positifs et le fait que les tests sont effectués trop tardivement dans le cycle de développement logiciel.\n\nBien que l'approche [DevSecOps](/topics/devsecops/) promette une meilleure intégration entre l'ingénierie et la sécurité, ces frustrations et déséquilibres montrent que des défis subsistent. Ce constat reflète un problème plus large lié à la manière dont les entreprises perçoivent la sécurité, organisent la collaboration entre les équipes, et allouent du temps à cette priorité.\n\n## Améliorer la gestion du nombre toujours plus grand de vulnérabilités\n\nL'analyse des vulnérabilités met en évidence toutes les vulnérabilités potentielles. Cependant, la présence d'une vulnérabilité ou d'une exposition commune (CVE) dans un logiciel ne signifie pas nécessairement que celle-ci est accessible ou exploitable. Les équipes de sécurité et les développeurs doivent donc hiérarchiser et filtrer les résultats des rapports d'analyse, dont le nombre a augmenté de manière exponentielle au fil des ans avec l'adoption de l'analyse de vulnérabilité avec authentification.\n\nSi ce processus a renforcé l'efficacité des programmes de sécurité à bien des égards, il conduit toutefois les développeur à corriger sans arrêt des failles sans importance réelle. Lorsque les équipes perdent du temps à appliquer des correctifs qui ne résolvent pas une vulnérabilité exploitable, elles ne consacrent pas suffisamment de temps aux tâches plus critiques, telles que l'application de correctifs à des failles véritablement vulnérables et exploitables. Cette situation contribue largement à la divergence actuelle entre les priorités des équipes de sécurité et celles de l'ingénierie.\n\nLa question est donc de savoir comment les entreprises peuvent s'attaquer aux cause profondes de ces problèmes pour favoriser une meilleure intégration entre les équipes d'ingénierie et de sécurité. Voici trois approches pour éviter les frustrations les plus courantes en matière de sécurité, en ciblant directement la source du problème.\n\n### 1. Réduire les faux positifs et se concentrer sur des signaux pertinents, fiables et  exploitables\n\nLe nombre excessif de faux positifs constitue la deuxième source de frustration majeure pour les professionnels de sécurité, selon notre enquête. Bien qu’ils représentent un problème réel, ils révèlent souvent une gestion inefficace des vulnérabilités. \n\nSi une entreprise détecte de nombreux faux positifs, cela peut indiquer qu'elle n'a pas mis en place les mesures adéquates pour assurer la pertinence et la fiabilité de ses découvertes en matière de failles de sécurité. Pour améliorer l’efficacité, les entreprises doivent cibler leurs efforts de sécurité sur les vulnérabilités les plus critiques. Les solutions classiques de test statique de sécurité des applications (SAST) sont insuffisantes. Elles restent essentielles, mais elles perdent de leur utilité si leurs résultats sont mal contextualisés ou difficiles à gérer. Pour optimiser l'impact des tests SAST, il est crucial de les intégrer [de manière fluide avec les autres outils de sécurité et de développement, et de les rendre accessibles aux développeurs](https://about.gitlab.com/blog/oxeye-joins-gitlab-to-advance-application-security-capabilities/).\n\nLa plupart des outils d'analyse offrent une visibilité limitée, rendant plus difficile la compréhension des résultats. C'est dans ce domaine que [les fonctionnalités alimentées par l'IA peuvent s'avérer utiles pour expliquer les failles de sécurité](https://about.gitlab.com/fr-fr/the-source/ai/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/).\n\n### 2. Réduire la complexité de la pile technologique et la surface d'attaque\n\nSe concentrer sur l'essentiel ne s'applique pas seulement aux tests de sécurité, mais en premier lieu à la façon dont les entreprises développent leurs logiciels.\n\nBien que l'IA promette de simplifier les processus de développement logiciel, [notre enquête montre que de nombreuses entreprises ont encore un long chemin à parcourir](https://about.gitlab.com/the-source/platform/3-surprising-findings-from-our-2024-global-devsecops-survey/). Les répondants utilisant l’IA étaient d’ailleurs plus enclins à vouloir consolider leurs outils que ceux qui ne l’utilisent pas, ce qui suggère que l’ajout de solutions ponctuelles intégrant divers modèles d’IA pourrait accroître la complexité au lieu de la réduire.\n\nCette complexité technologique contribue largement aux frustrations liées à la sécurité. Développer des systèmes logiciels complexes et multifonctionnels entraîne nécessairement un certain niveau de complexité. Cependant, les entreprises doivent prendre des mesures pour éviter la complexité qui résulte de décisions de conception loin d'être optimales, comme des dépendances redondantes ou un code difficile à maintenir. Une telle complexité accroît la surface d'attaque, augmente le nombre de résultats d'analyse de vulnérabilités à gérer, et alourdit les priorités des équipes de sécurité.\n\nPour limiter cette surcharge, il est essentiel de réduire le nombre d’outils et de logiciels utilisés, en intégrant uniquement ceux qui sont réellement nécessaires dans les codes bases. Cela permet de diminuer les dépendances inutiles, de renforcer la sécurité de la chaîne d’approvisionnement logicielle, de réduire les faux positifs générés par les scanners de vulnérabilités et d’alléger la charge de travail des développeurs en leur épargnant les résolutions de problèmes non critiques.\n\n### 3. Normaliser les procédures\n\nLa réalisation de tests de sécurité trop tard dans le cycle de vie du développement logiciel était également l'une des principales sources de frustration identifiées par les répondants à notre enquête. Les équipes peuvent se sentir frustrées lorsque la livraison de code est retardée à cause d'une vulnérabilité détectée tardivement. Mais très souvent, il n'était pas possible de détecter cette vulnérabilité plus tôt. Il est toutefois possible de mettre en place des composants de sécurité facilement déployables et réutilisables. Cela permet de limiter les variables et les vulnérabilités potentielles.\n\nEn adoptant une approche « guidée » fondée sur [des design patterns testés et approuvés basés sur des cas d'utilisation reproductibles](https://about.gitlab.com/the-source/platform/how-devops-and-platform-engineering-turbocharge-efficiency/), les équipes peuvent anticiper les risques. Cette méthode balisée est recommandée. Elle repose sur un ensemble d'outils, de processus et de composants bien structurés qui aide les équipes à créer des applications sécurisées plus efficacement. L'utilisation de GitOps pour la gestion des versions et le déploiement d’une infrastructure en tant que code, avec une architecture bien pensée et testée, capable de se déployer à grande échelle pour tous les types de charges de travail en est un exemple parfait. \n\nBien que l'adoption d'une procédure balisée risque de supprimer une certaine flexibilité, elle réduit finalement la charge opérationnelle et le nombre de retouches des équipes d'ingénierie, tout en renforçant la sécurité. La collaboration entre les équipes de sécurité et de développement est essentielle pour atteindre cet objectif. Les équipes de sécurité peuvent participer à la création de procédures structurées, tandis que les équipes d’ingénierie doivent contribuer à leur intégration et à leur mise à jour au sein du code base.\n\n## La sécurité, une pratique multidisciplinaire{class=\"no-anchor\"}\n\nLa sécurité évolue vers une pratique multidisciplinaire qui rapproche de plus en plus les équipes d'ingénierie et celles chargées de la sécurité. Avec l'adoption rapide de l'IA pour accélérer le développement logiciel (66 % des répondants à notre enquête publient désormais des logiciels deux fois plus rapidement que l'année précédente), les entreprises doivent impérativement mettre en place des systèmes et des frameworks qui optimisent la sécurité. Cela démontre la forte interconnexion entre développement et sécurité. Pour cela, il est essentiel de promouvoir une culture de collaboration. Les équipes de sécurité et d'ingénierie doivent travailler main dans la main pour repenser les bases du développement logiciel. Cela inclut l'optimisation des codes bases existants et la création de solutions évolutives orientées ingénierie, que les équipes techniques de l’entreprise peuvent adopter facilement.","security-its-more-than-culture-addressing-the-root-cause-of-common-security","content:fr-fr:the-source:security:security-its-more-than-culture-addressing-the-root-cause-of-common-security.yml","fr-fr/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security.yml","fr-fr/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",{"_path":556,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":557,"seo":558,"content":563,"type":492,"category":28,"slug":570,"_id":571,"_type":30,"title":559,"_source":31,"_file":572,"_stem":573,"_extension":34,"date":544,"description":560,"timeToRead":564,"heroImage":561,"keyTakeaways":565,"articleBody":569},"/fr-fr/the-source/security/strengthen-your-cybersecurity-strategy-with-secure-by-design",{"layout":5,"template":475,"author":501,"featured":6,"sourceCTA":24,"isHighlighted":6,"authorName":458},{"title":559,"description":560,"ogImage":561,"config":562},"Secure by Design : notre guide pour renforcer votre cybersécurité","Examinez de plus près les grands principes du Secure by Design et les concepts connexes, et découvrez les mesures que vous pouvez prendre dès aujourd'hui.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463932/pnfdgovoaq5qd1yprxuc.png",{"ignoreTitleCharLimit":332},{"title":559,"date":544,"description":560,"timeToRead":564,"heroImage":561,"keyTakeaways":565,"articleBody":569},"6 minutes de lecture",[566,567,568],"Secure by Design, Secure by Default et Secure by Demand préviennent les vulnérabilités et attaques sur la chaîne logistique logicielle en encourageant l'intégration de la sécurité dans tous les aspects du design et développement des produits.","L'adoption d'une approche DevSecOps complète, ainsi que la création et la mise à jour régulière de nomenclatures logicielles (SBOM), sont des étapes clés pour répondre aux principes Secure by Design.","L'intégration de l'IA dans le cycle de développement logiciel peut également accélérer les processus de développement, renforcer la sécurité et faciliter la résolution des vulnérabilités.","L'approche des équipes de développement en matière de cybersécurité doit constamment évoluer à mesure que les surfaces d'attaque augmentent et qu'elles en apprennent davantage sur les menaces potentielles. Sachant que les menaces peuvent provenir de n'importe quel point de la [chaîne d'approvisionnement logicielle](https://about.gitlab.com/fr-fr/solutions/supply-chain/ \"Chaîne d'approvisionnement logicielle\"), le concept Secure by Design intègre la sécurité dans les phases de conception, de codage, de test et de déploiement du développement logiciel. Élevé au rang de norme pour les agences fédérales américaines, et pour toute entreprise utilisant leurs logiciels, le concept Secure by Design est devenu une véritable référence pour l'intégration de la sécurité dans le cycle de vie du développement logiciel.\n\nAu fil du temps, le concept Secure by Design s'est ramifié en concepts connexes tels que _Secure by Default_ et _Secure by Demand_, lesquels mettent l'accent sur différentes façons d'aborder les principes Secure by Design :\n\n- Le concept [Secure by Default](#les-principes-secure-by-default) vise à garantir que tous les produits logiciels sont sécurisés dès leur déploiement.\n- Le concept [Secure by Demand](#les-principes-secure-by-demand) étend les principes du concept Secure by Design au processus d'achat.\n\nDécouvrez dans cet article une explication approfondie des grands principes du Secure by Design et de ces approches connexes, ainsi qu'un guide pour aider les équipes de développement à adapter leurs stratégies afin de prévenir les vulnérabilités exploitables et les attaques de la chaîne d'approvisionnement logicielle.\n\n## Les principes du concept Secure by Design\nL'agence de cybersécurité et de sécurité des infrastructures américaine (CISA) a présenté en avril 2023 son [initiative Secure by Design](https://www.cisa.gov/securebydesign) en insistant sur trois principes clés en matière de sécurité des logiciels :\n\n1. Prendre en charge les résultats en matière de sécurité des clients\n1. Adopter une approche radicalement transparente et responsable\n1. Mettre en place une structure organisationnelle et un leadership permettant d'atteindre ces objectifs\n\nLe concept Secure by Design intègre des grands principes et des protocoles de sécurité à chaque étape du processus de développement logiciel. Les mesures de sécurité sont ainsi considérées comme une priorité et intégrées directement dans les phases de conception, de codage, de test et de déploiement du développement logiciel.\n\nL'objectif du concept Secure by Design est de créer une structure sécurisée pour les logiciels dès leur phase de conception, en réduisant les vulnérabilités et les surfaces d'attaque potentielles.\n\n### Les principes du Secure by Default\nVariante du concept Secure by Design, le concept Secure by Default vise à garantir que tout logiciel ou matériel est configuré de la manière la plus sûre possible, sans que l'utilisateur ait à le reconfigurer. Les produits appliquant les principes du Secure by Default activent automatiquement les [contrôles de sécurité](https://about.gitlab.com/fr-fr/topics/devsecops/devsecops-security-checklist/ \"Liste de contrôle de sécurité DevSecOps\") essentiels pour protéger les entreprises contre les accès non autorisés par des acteurs malveillants. Les utilisateurs n'ont donc pas besoin de suivre des étapes supplémentaires pour s'assurer qu'un produit est protégé contre les techniques d'exploitation les plus courantes.\n\nLes stratégies du concept Secure by Default comprennent l'élimination des mots de passe par défaut, l'authentification multifacteur et l'authentification unique, afin que seuls les utilisateurs autorisés puissent accéder aux ressources. Cette approche comprend également des mises à jour et des correctifs automatiques, ainsi que des configurations sécurisées pour tous les comptes d'utilisateurs et les appareils.\n\n### Les principes du Secure by Demand\nLe concept Secure by Demand associe les principes du Secure by Design à la budgétisation et aux achats afin de faire du concept Secure by Design un impératif pour les fournisseurs et les sous-traitants. Le [guide du concept Secure by Demand de la CISA](https://www.cisa.gov/resources-tools/resources/secure-demand-guide) propose une série de questions et de ressources que les acquéreurs de logiciels, les acheteurs et les responsables des achats peuvent utiliser pour mieux comprendre l'approche d'un fournisseur potentiel en matière de cybersécurité. Il s'agit notamment de questions sur les pratiques d'authentification du fournisseur, sur la sécurité de la chaîne d'approvisionnement logicielle, ainsi que sur la divulgation et le signalement des vulnérabilités.\n\nEn exigeant des fournisseurs qu'ils adhèrent aux principes et protocoles du concept Secure by Design dans leurs produits et services, les entreprises peuvent contribuer à empêcher les vulnérabilités potentielles de s'introduire dans leur chaîne d'approvisionnement logicielle. L'approche Secure by Demand incite également les fournisseurs à améliorer en permanence leur propre dispositif de cybersécurité.\n\n## Comment élaborer une stratégie de cybersécurité avec le concept Secure by Design ?\nLa mise en œuvre du concept Secure by Design passe par la mise en place de pratiques DevSecOps efficaces, la tenue à jour d'une [nomenclature logicielle (SBOM)](https://about.gitlab.com/fr-fr/blog/the-ultimate-guide-to-sboms/ \"Qu’est-ce qu’une nomenclature logicielle (SBOM) ?\") et l'intégration de l'IA pour lutter contre les menaces à tous les points du cycle de vie du développement logiciel.\n\n### Adoptez les pratiques DevSecOps\nL'une des premières étapes nécessaires à la mise en œuvre du concept Secure by Design consiste à mettre en place un processus de développement logiciel sécurisé. Il s'agit donc de développer, construire, sécuriser et déployer des logiciels à l'aide d'une approche [DevSecOps](https://about.gitlab.com/fr-fr/topics/devsecops/ \"Qu'est-ce que DevSecOps ?\") complète.\n\nAujourd'hui, de nombreuses équipes de développement utilisent des outils complexes pour créer de nouveaux programmes. Selon une [récente enquête de GitLab](https://about.gitlab.com/fr-fr/developer-survey/), 62 % des personnes interrogées affirment utiliser 6 outils ou plus pour le développement logiciel, tandis que 20 % disent en utiliser au moins 11. Cette inefficacité accroît les risques en introduisant des failles de sécurité potentielles.\n\nLes équipes de développement devraient pouvoir accéder à tous les outils nécessaires aux workflows DevSecOps dans une interface unique et facile à utiliser. Une solution de bout en bout telle qu'une [plateforme DevSecOps](/platform/) permet la mise en œuvre d'une approche Secure by Design sans alourdir la charge de travail des équipes.\n\n### Créez et tenez à jour des SBOM\nLa transparence est un autre élément essentiel du concept Secure by Design. Les entreprises doivent comprendre ce que contiennent leurs logiciels, en particulier lorsqu'ils peuvent inclure des composants provenant de sources multiples.\n\nLes SBOM sont des outils essentiels pour parvenir à cette transparence. En offrant un inventaire détaillé des composants logiciels, y compris la version, la licence et les dépendances, elles permettent de mieux cerner les vulnérabilités potentielles ou toute injection de code malveillant.\n\nLa tenue à jour de cet inventaire permet de comprendre pleinement les vulnérabilités et les risques qui pourraient survenir lorsque des éléments sont extraits de dépôts open source et de composants tiers sous licence. Une plateforme DevSecOps peut aider à [générer et mettre à jour automatiquement les SBOM](/solutions/application-security-testing/), à les intégrer dans les workflows existants et à les relier aux vulnérabilités associées.\n\nBien que de nombreuses entreprises utilisent aujourd'hui des SBOM, celles-ci doivent être dynamiques, connectées à des outils de scanning de sécurité et mises à jour en permanence pour être pleinement efficaces. Intégrées à des outils de scanning et à des tableaux de bord, les SBOM permettent d'identifier les risques liés à une application. Même lorsqu'elles ne sont pas requises, les SBOM peuvent contribuer à la [conformité aux règles de sécurité](https://about.gitlab.com/fr-fr/solutions/application-security-testing/ \"Sécurité et conformité \") en validant que le code est sécurisé.\n\n### Utilisez l'IA dans le développement logiciel\nAlors que les entreprises explorent les possibilités de l'IA, les workflows de développement logiciel constituent un point d'entrée précieux pour intégrer cette technologie et exploiter son potentiel à accélérer les processus de développement et à renforcer la sécurité.\n\nLes entreprises de tous les secteurs commencent déjà à explorer ces applications : 39 % des personnes interrogées [au cours de l'enquête de GitLab](https://about.gitlab.com/fr-fr/developer-survey/2024/ai/) ont déclaré qu'elles utilisaient déjà l'IA dans leur cycle de développement logiciel.\n\nLe recours à l'IA dans l'ensemble du cycle de développement logiciel permet d'éviter les effets de silo et les backlogs générés par l'utilisation de multiples IA dans les différents workflows de développement. L'IA peut remplir des fonctions essentielles telles que :\n\n* L'explication du code et le réusinage du code hérité en [langages à mémoire sécurisée](https://about.gitlab.com/blog/memory-safe-vs-unsafe/)\n* L'[analyse des causes profondes pour les pipelines DevSecOps](https://about.gitlab.com/fr-fr/blog/developing-gitlab-duo-blending-ai-and-root-cause-analysis-to-fix-ci-cd/), qui permet de résoudre rapidement des problèmes complexes pendant les tests\n* La [résolution des vulnérabilités](https://about.gitlab.com/fr-fr/the-source/ai/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/) pour comprendre les vulnérabilités connues et favoriser une remédiation plus approfondie\n\nAlors que les leaders du secteur intègrent l'IA dans leurs workflows, il est crucial de faire de la confidentialité et de la sécurité des données une priorité. Un aspect essentiel de l'adoption du concept Secure by Design est l'élaboration d'une [stratégie d'IA qui protège les données sensibles et les droits de propriété intellectuelle](https://about.gitlab.com/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/).\n\n### Adoptez le concept Secure By Design dès aujourd’hui !\nLe concept Secure by Design pourrait bientôt devenir l'approche par défaut pour créer un écosystème logiciel plus fiable. Le [gouvernement américain](https://about.gitlab.com/the-source/security/national-cybersecurity-strategy-a-wake-up-call-for-software-developers/) travaille actuellement avec des équipes de développement logiciel pour créer des frameworks incitant légalement le secteur privé à produire et à sortir des logiciels répondant aux principes du Secure by Design, afin de pousser les entreprises à investir davantage dans les technologies et les pratiques sécurisées.\n\nGrâce à l'intégration de la sécurité dès le départ dans le développement logiciel, à la transparence garantie par des SBOM efficaces et à l'amélioration du processus de développement par l'IA, toutes les personnes impliquées dans le cycle de développement logiciel seront en mesure de mener leurs projets à bien.","strengthen-your-cybersecurity-strategy-with-secure-by-design","content:fr-fr:the-source:security:strengthen-your-cybersecurity-strategy-with-secure-by-design.yml","fr-fr/the-source/security/strengthen-your-cybersecurity-strategy-with-secure-by-design.yml","fr-fr/the-source/security/strengthen-your-cybersecurity-strategy-with-secure-by-design",{"_path":575,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":576,"seo":578,"content":582,"type":492,"category":28,"slug":590,"_id":591,"_type":30,"title":583,"_source":31,"_file":592,"_stem":593,"_extension":34,"date":584,"description":580,"timeToRead":486,"heroImage":581,"keyTakeaways":585,"articleBody":589},"/fr-fr/the-source/security/how-gitlab-can-help-you-prepare-for-your-soc-2-exam",{"layout":5,"template":475,"author":577,"featured":6,"isHighlighted":6,"authorName":453},"gitlab",{"title":579,"description":580,"ogImage":581},"Conformité SOC 2 : préparez votre audit avec GitLab ","Découvrez les fonctionnalités de la plateforme DevSecOps permettant de se préparer à un audit du framework SOC 2.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463759/yk7f6poowtw5y5d5oflv.png",{"title":583,"date":584,"description":580,"timeToRead":486,"heroImage":581,"keyTakeaways":585,"articleBody":589},"Audit de conformité SOC 2 : préparez-vous en toute simplicité avec GitLab","2024-07-18",[586,587,588],"Avec les tests automatisés et les rapports sur la couverture de code, les entreprises peuvent satisfaire les critères de disponibilité et d'intégrité du traitement des données définis par le framework SOC 2.","Les scans de sécurité et les contrôles basés sur les rôles de GitLab garantissent la conformité avec ce framework tout en protégeant les données contre les vulnérabilités et les accès non autorisés.","Les modèles GitLab pour les tests de charge et les tests de performances des navigateurs simplifient les audits SOC 2 en validant les performances et la sécurité des applications à chaque étape du développement logiciel.","Les clients utilisant la plateforme [DevSecOps](https://about.gitlab.com/fr-fr/topics/devsecops/ \"Qu'est-ce que le DevSecOps ? \") de GitLab ont constaté qu'elle facilite le processus d'audit SOC 2. Découvrez dans cet article le framework SOC 2 et les fonctionnalités de GitLab qui aident les clients à se préparer à cet audit de conformité.\n\n## Introduction au SOC 2\nLe framework [SOC 2](https://us.aicpa.org/interestareas/frc/assuranceadvisoryservices/serviceorganization-smanagement) (pour System and Organization Controls 2) est une norme de conformité volontaire qui précise les modalités de gestion des données clients dont les entreprises doivent faire preuve. Le rapport d'audit SOC 2 leur permet de certifier la fiabilité des logiciels qu'elles mettent à disposition de leurs clients professionnels.\n\nDéveloppé par l'Association of International Certified Professional Accountants (AICPA), le framework SOC 2 se concentre sur cinq critères de services de confiance (TSC) :\n- La sécurité : protéger les données des clients contre les vulnérabilités et les accès non autorisés.\n- La disponibilité : garantir que les systèmes sont tolérants aux pannes et performants, même sous des charges élevées, afin de respecter les accords de niveau de service en matière de disponibilité.\n- L'intégrité du traitement des données : assurer que les systèmes fonctionnent comme prévu, sans vulnérabilités, erreurs ou bogues.\n- La confidentialité : protéger les informations confidentielles telles que le code source de l'application, les noms d'utilisateur et les mots de passe, les informations de carte de crédit, etc., afin que seules les personnes autorisées puissent y accéder.\n- Le respect de la vie privée : protéger l'accès aux informations personnelles sensibles (PII) contre les utilisateurs non autorisés.\n\nLa sécurité est le seul critère obligatoire pour tous les audits SOC 2. Les autres critères peuvent être pris en compte s'ils sont jugés critiques pour les services fournis.\n\n## TSC de sécurité\nCe critère concerne non seulement la sécurité des serveurs et des systèmes physiques, mais aussi des applications. Les vulnérabilités logicielles peuvent exposer une application aux attaques, mettant les données des clients en danger. Toutefois, GitLab peut vous apporter de l'aide dans ce domaine. \n\nGitLab propose des scans de sécurité pour identifier les vulnérabilités potentielles dans les applications développées par une entreprise, notamment :\n- [Les tests statiques de sécurité des applications (SAST)](https://docs.gitlab.com/ee/user/application_security/sast/) : ils analysent le code source à la recherche de bogues et de vulnérabilités potentiels, tels qu'un code non sécurisé pouvant entraîner une exécution involontaire du code.\n- [L'analyse des dépendances](https://docs.gitlab.com/ee/user/application_security/dependency_scanning/) : elle permet d'identifier les failles de sécurité dans les dépendances logicielles d'une application.\n- [L'analyse des conteneurs](https://docs.gitlab.com/ee/user/application_security/container_scanning/) : elle met en lumière les failles de sécurité dans les dépendances du système d'exploitation d'une application conteneurisée.\n- [Les tests dynamiques de sécurité des applications (DAST)](https://docs.gitlab.com/ee/user/application_security/dast/) : ils détectent les failles de sécurité dans une application web en cours d'exécution qui la rendent vulnérable à une attaque.\n- [Le scanning d'infrastructure en tant que code (IaC)](https://docs.gitlab.com/ee/user/application_security/iac_scanning/) : il analyse les fichiers de configuration de l'infrastructure en tant que code, y compris les fichiers Terraform, Ansible, AWS CloudFormation et [Kubernetes](https://about.gitlab.com/fr-fr/blog/kubernetes-the-container-orchestration-solution/ \"Qu'est-ce que Kubernetes ? \"), pour identifier les failles de sécurité.\n\nGitLab fournit également un [rapport sur les vulnérabilités](https://docs.gitlab.com/ee/user/application_security/vulnerability_report/) détaillé, qui présente toutes les failles de sécurité connues dans l'application actuelle, sur la base des scans mentionnés précédemment. De plus, GitLab met également à disposition une nomenclature logicielle ([SBOM](https://docs.gitlab.com/ee/user/application_security/dependency_list/)) au format JSON CycloneDX standard, qui révèle toutes les dépendances, tant au niveau du logiciel que du système d'exploitation, ainsi que les vulnérabilités connues associées.\n\nCes scans réguliers des vulnérabilités et les rapports de vulnérabilité complets répondent aux trois critères de sécurité suivants.\n- CC7.1 : pour atteindre ces objectifs, l'entité met en place des procédures de détection et de surveillance permettant d'identifier (1) les modifications de configuration qui introduisent de nouvelles vulnérabilités et (2) les vulnérabilités récemment découvertes.\n- CC4.1, principe n° 16 du COSO : l'entité sélectionne, développe et effectue des évaluations continues et/ou séparées pour déterminer si les composantes du contrôle interne sont présentes et fonctionnent.\n- CC4.2, principe n° 17 du COSO : l'entité évalue et communique les déficiences du contrôle interne en temps opportun aux parties responsables de la prise des mesures correctives, y compris la haute direction et le conseil d'administration, le cas échéant.\n\nLa gouvernance et l'application des réglementations constituent l'élément fondamental des scans de sécurité. Les fonctionnalités de GitLab garantissent que les scans sont réalisés régulièrement et que les équipes de développement logiciel ne sont pas en mesure de les contourner. Parmi ces fonctionnalités figurent :\n- [Les contrôles d'accès basés sur les rôles](https://docs.gitlab.com/ee/user/permissions.html) pour limiter les utilisateurs pouvant apporter des modifications aux paramètres de configuration au niveau du projet.\n- [Les stratégies d'exécution des scans](https://docs.gitlab.com/ee/user/application_security/policies/scan-execution-policies.html) pour exécuter les scans sur chaque dépôt de code.\n- [Les politiques d'approbation des merge requests](https://docs.gitlab.com/ee/user/application_security/policies/merge_request_approval_policies.html) pour s'assurer que les résultats des scans sont examinés et validés par les parties prenantes responsables de la sécurité, afin d'éviter l'introduction de vulnérabilités nouvellement détectées dans le logiciel déployé.\n- [Les rapports de conformité](https://docs.gitlab.com/ee/user/application_security/) mettent en évidence toute modification des configurations GitLab susceptible d'enfreindre les processus de sécurité en place.\n\nUne fois ces configurations définies, les entreprises peuvent prouver qu'elles accordent la priorité à la sécurité de leurs applications et qu'elles appliquent des pratiques de sécurité strictes.\n\n## TSC de disponibilité et d'intégrité du traitement\nGitLab peut également vous aider à appliquer les critères de services de confiance dans les domaines de la disponibilité et de l'intégrité du traitement. Ils mettent l'accent sur la qualité et les performances de l'application elle-même. Pour garantir la conformité à ces critères, GitLab fournit :\n- Les résultats des tests unitaires et les modifications de la couverture du code, présentés sous la forme de [rapports de couverture du code](https://docs.gitlab.com/ee/ci/testing/code_coverage.html), qui garantissent que le code source est validé par une suite de tests rigoureux.\n- [L'analyse de la qualité du code](https://docs.gitlab.com/ee/ci/testing/code_quality.html), qui évalue la qualité et la complexité du code source pour en faciliter la lecture et sa maintenance.\n\nCes pratiques de développement logiciel mentionnées ici sont utilisées dès les premières étapes du cycle du développement pour garantir que le code est testé et de haute qualité. En outre, GitLab propose des modèles pour exécuter divers types de tests automatisés sur une application en cours d'exécution, afin de s'assurer qu'elle fonctionne comme prévu. Ces tests comprennent :\n- [Les tests de performances du navigateur](https://docs.gitlab.com/ee/ci/testing/browser_performance_testing.html), qui mesurent le temps de chargement des sites web tout au long du cycle de développement afin d'évaluer l'impact de toute modification du code sur les performances du navigateur.\n- [Les tests de charge](https://docs.gitlab.com/ee/ci/testing/load_performance_testing.html), qui évaluent les performances système du backend d'une application au cours du cycle de développement pour mesurer l'impact de toute modification du code sur les performances générales.\n- [Les tests à données aléatoires guidés par la couverture de code](https://docs.gitlab.com/ee/user/application_security/coverage_fuzzing/), qui envoient des données inattendues, invalides ou aléatoires à une application et surveillent ensuite son comportement pour détecter d'éventuelles instabilités ou pannes.\n- [Les tests de l'API par injection de données aléatoires](https://docs.gitlab.com/ee/user/application_security/api_fuzzing/), qui envoient des données inattendues, invalides ou aléatoires aux points de terminaison de l'API pour rechercher des bogues et des failles de sécurité.\n\nEn se concentrant sur la mise en œuvre de pratiques DevSecOps solides avec GitLab visant à créer des applications sécurisées de haute qualité, les entreprises peuvent plus facilement réussir les audits SOC 2 et attester de la sécurité des données de leurs clients.\n\n> **En savoir plus :** [Renforcez votre stratégie de cybersécurité](https://about.gitlab.com/fr-fr/the-source/security/strengthen-your-cybersecurity-strategy-with-secure-by-design/) avec le concept Secure by Design.","how-gitlab-can-help-you-prepare-for-your-soc-2-exam","content:fr-fr:the-source:security:how-gitlab-can-help-you-prepare-for-your-soc-2-exam.yml","fr-fr/the-source/security/how-gitlab-can-help-you-prepare-for-your-soc-2-exam.yml","fr-fr/the-source/security/how-gitlab-can-help-you-prepare-for-your-soc-2-exam",{"_path":595,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":596,"seo":597,"content":602,"type":492,"category":28,"slug":610,"_id":611,"_type":30,"title":598,"_source":31,"_file":612,"_stem":613,"_extension":34,"date":603,"description":599,"timeToRead":604,"heroImage":600,"keyTakeaways":605,"articleBody":609},"/fr-fr/the-source/security/10-tips-to-prioritize-security-in-software-development",{"layout":5,"template":475,"author":577,"featured":6,"isHighlighted":6,"authorName":453},{"title":598,"description":599,"ogImage":600,"config":601},"Développement logiciel : 10 conseils incontournables pour une sécurité à toute épreuve","Suivez ces conseils pour intégrer la sécurité en amont dans le cycle de développement, améliorer votre productivité et livrer des logiciels plus sécurisés.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464607/pmqkaclogv0y5tf4hk3t.png",{"ignoreTitleCharLimit":332},{"title":598,"date":603,"description":599,"timeToRead":604,"heroImage":600,"keyTakeaways":605,"articleBody":609},"2024-04-16","Lecture : 2 minutes",[606,607,608],"Intégrer les tests et contrôles de sécurité dès les premières étapes du SDLC protège les logiciels contre les vulnérabilités.","GitLab intègre la sécurité dans sa plateforme DevSecOps pour une gestion proactive des risques.","Optimisez les processus avec GitLab pour gagner en rapidité et assurer la conformité à chaque étape du développement.","Les cyberattaques et les menaces liées à la cybersécurité restent l'une des principales priorités des entreprises. Dans ce contexte, le rôle des développeurs évolue constamment. Le [Rapport Global DevSecOps 2024](https://about.gitlab.com/developer-survey/) de GitLab révèle que plus de la moitié des personnes interrogées déclarent être responsables de la sécurité des applications au sein d'une équipe plus large. Ce constat confirme l'adoption croissante des pratiques de sécurité dès les premières étapes du développement.\n\nL'intégration de la sécurité en amont, qui consiste à intégrer les bonnes pratiques de sécurité dès la phase de conception des logiciels, permet de détecter et de corriger les vulnérabilités plus tôt dans le cycle de développement (SDLC). Cette approche améliore l'efficacité des équipes et accélère la livraison des logiciels.\n\nAlors que 67 % des professionnels de la sécurité interrogés dans le cadre de cette étude déclarent avoir déjà adopté une approche de sécurité en amont ou prévoient de le faire au cours des trois prochaines années, il peut s'avérer difficile de savoir par où commencer.\n\nVoici donc 10 conseils pour aider vos équipes à renforcer la sécurité en amont pour un processus DevSecOps plus efficace.\n\n### 1. Mesurez le temps perdu\n\nCombien de temps votre équipe consacre-t-elle à la correction des vulnérabilités une fois les modifications intégrées au code via les merge requests ? Évaluez ce temps, puis tentez d'identifier un schéma en analysant les types de vulnérabilités les plus fréquentes ou leur source. Enfin, apportez les ajustements nécessaires pour réduire leur nombre et les risques de sécurité associés.\n\n### 2. Identifiez les goulots d'étranglement\n\nQuels sont les points de friction et les goulots d'étranglement entre les protocoles de sécurité et les processus de développement ? Identifiez ces obstacles, puis créez et mettez à exécution un plan de résolution.\n\n### 3. Démarrez par de petits changements\n\nApportez de petites modifications au code : elles sont plus faciles à examiner, à sécuriser et à déployer rapidement qu'un projet de grande envergure.\n\n### 4. Abandonnez l'approche en cascade\n\nDes processus de sécurité en cascade ralentissent encore plus votre cycle de développement logiciel ? En éliminant ou en réduisant cette pratique, votre équipe de développement évitera bien des difficultés au moment où elle devra s'adapter aux évolutions et aux nouveaux besoins.\n\n### 5. Automatisez les scans\n\nLes processus manuels ralentissent et entravent le processus de détection des vulnérabilités ? Automatisez la détection des vulnérabilités et générez des rapports directement dans une merge request afin de faciliter la revue de code, la recherche des sources des vulnérabilités et leur correction par les développeurs.\n\n### 6. Mettez à jour les workflows\n\nLes scannings de sécurité sont-ils intégrés aux workflows de vos développeurs ? La création et l'intégration de mesures de sécurité dans les workflows des développeurs leur permet de repérer et de corriger les vulnérabilités avant même que le code ne quitte leurs mains.\n\n### 7. Assurez la conformité en continu\n\nLes tâches non planifiées et imprévues retardent la sortie des nouvelles versions ? L'automatisation et la mise en œuvre de frameworks de conformité contribuent à une meilleure cohérence entre les applications, les équipes et les environnements de développement.\n\n### 8. Mettez à disposition des développeurs des rapports de sécurité\n\nVos développeurs ont-ils accès aux rapports SAST et DAST ? Ces outils précieux aident les équipes de développement à mettre en place des pratiques de codage sécurisées et à corriger les vulnérabilités au sein même de leur workflow.\n\n### 9. Travaillez plus intelligemment en équipe\n\nDonnez à l'équipe de sécurité les moyens de travailler plus efficacement grâce à des tableaux de bord de sécurité indiquant les vulnérabilités résolues et non résolues, ainsi que leur emplacement, leur auteur et leur statut de correction.\n\n### 10. Simplifiez votre chaîne d'outils\n\nRationalisez et réduisez votre chaîne d'outils pour que vos équipes puissent concentrer leur travail sur une seule interface : une source unique de vérité.\n\n## Contrôlez la sécurité en amont avec GitLab\n\nGitLab vous aide à mettre en œuvre une stratégie de sécurité proactive pour détecter les vulnérabilités plus tôt dans le cycle de développement logiciel. La sécurité et la conformité sont intégrées à la plateforme DevSecOps de GitLab, qui dispose d'un workflow de bout en bout vous permettant de comprendre et de gérer les risques. Analysez automatiquement les vulnérabilités sur une branche de fonctionnalité afin de pouvoir les corriger avant de passer à l'étape de production.\n\nGitLab soutient depuis toujours les initiatives DevSecOps des organismes gouvernementaux fédéraux, étatiques et locaux américains, ainsi que des fournisseurs et établissements d'enseignement. Par le biais de sa plateforme de développement logiciel complète, GitLab répond aux exigences strictes en matière de sécurité et de conformité. Découvrez [comment GitLab peut vous aider à contrôler la sécurité en amont](https://about.gitlab.com/solutions/public-sector/) tout en accélérant votre mise en production.","10-tips-to-prioritize-security-in-software-development","content:fr-fr:the-source:security:10-tips-to-prioritize-security-in-software-development.yml","fr-fr/the-source/security/10-tips-to-prioritize-security-in-software-development.yml","fr-fr/the-source/security/10-tips-to-prioritize-security-in-software-development",{"_path":615,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"slug":616,"type":492,"category":28,"config":617,"seo":618,"content":622,"_id":643,"_type":30,"title":623,"_source":31,"_file":644,"_stem":645,"_extension":34,"description":619,"date":624,"timeToRead":486,"keyTakeaways":625,"articleBody":629,"faq":630,"heroImage":620},"/fr-fr/the-source/security/how-to-implement-secret-management-best-practices-with-gitlab","how-to-implement-secret-management-best-practices-with-gitlab",{"layout":5,"template":475,"featured":6,"isHighlighted":6,"authorName":-1},{"description":619,"ogDescription":619,"ogImage":620,"title":621,"ogTitle":621},"Une gestion des secrets non sécurisées expose les entreprises qui hébergent les données clients. Découvrez comment limiter ce risque et renforcer la confiance.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463593/wgbh2snwpsyle9jom1k1.png","Gestion des secrets : bonnes pratiques et mise en œuvre",{"description":619,"title":623,"date":624,"timeToRead":486,"keyTakeaways":625,"articleBody":629,"faq":630,"heroImage":620},"Bonnes pratiques de gestion des secrets : comment les mettre en œuvre","2024-03-12T00:00:00.000Z",[626,627,628],"La gestion non sécurisée des secrets expose les entreprises à des violations de données. L'intégration native de GitLab renforce la sécurité.","La gestion des secrets, auditable et attribuable, permet aux équipes de sécurité de détecter les activités anormales ou malveillantes et d'y répondre rapidement.","GitLab prend en charge le stockage et l'utilisation des secrets à l'aide de mécanismes de contrôle d'accès et d'outils de détection avancés.","Les pratiques de gestion des secrets (SMP) non sécurisées représentent un risque majeur pour toute entreprise, en particulier celles chargées du stockage et de la protection des données de leurs clients. Ce problème courant figure souvent au cœur du registre des risques d'une entreprise. Un secret divulgué peut compromettre la confidentialité des systèmes et potentiellement entraîner une violation de données, avec à la clé, des pertes financières importantes et une perte de confiance des clients.\n\nDans de nombreuses entreprises, ces pratiques non sécurisées sont souvent dues à un manque d'expertise ou à une méconnaissance des outils et des stratégies à même de résoudre ce problème. La mise en place de pratiques SMP appropriées permet de limiter les risques de compromission et de renforcer la confiance dans la stratégie de gestion des secrets de l'entreprise. Découvrez dans cet article les bonnes pratiques en matière de gestion des secrets, la capacité de GitLab à les prendre en charge ainsi que notre stratégie pour améliorer les fonctionnalités natives de gestion des secrets de la plateforme DevSecOps de GitLab.\n\n## Élaboration d'une stratégie de chiffrement\n\nToute entreprise a besoin d'une stratégie de chiffrement solide pour garantir que les développeurs travaillent de manière standardisée et que l'ensemble des applications et de leurs composants respectent les exigences de chiffrement définies par l'entreprise.\n\nLa compréhension des données traitées, du niveau de  tolérance au risque, et des menaces auxquelles votre entreprise est exposée vous aidera à élaborer une stratégie de chiffrement efficace.\n\n### Génération de secrets\n\nLes secrets, y compris les jetons d'accès et les clés SSH, doivent être générés à l'aide de dispositifs de chiffrement dédiés, tels que les modules de sécurité matériels (HSM), qui génèrent des secrets de chiffrement forts et les stockent dans un environnement qui résiste aux intrusions et à toute tentative d'altérations.\n\nSi l'usage d'appareils physiques peut être coûteux et prohibitif sur le plan opérationnel pour les entreprises, les principaux fournisseurs de services cloud proposent des services Cloud HSM, comme [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) et [GCP Cloud HSM](https://cloud.google.com/kms/docs/hsm).\n\n### Stockage des secrets\n\nLe stockage des secrets est tout aussi essentiel que leur génération. Les secrets générés doivent être stockés de manière sécurisée sur le long terme, tout en restant accessibles de manière contrôlée et sécurisée pour les utilisateurs qui en ont besoin.\n\nLes principaux fournisseurs de services cloud, ainsi que des sociétés spécialisées dans la sécurité telles que [HashiCorp](https://www.vaultproject.io/), offrent des services cloud pour stocker et récupérer des secrets en toute sécurité. Ces services permettent aux utilisateurs d'intégrer facilement des secrets dans leurs processus et leur code, ce qui évite de devoir les coder en dur dans les applications.\n\n#### Comment la plateforme GitLab prend-elle en charge le stockage des secrets ?\n\nGitLab fournit une prise en charge native des [fournisseurs de solutions de gestion de secrets](https://docs.gitlab.com/ee/ci/secrets/index.html) suivants :\n\n- Vault par HashiCorp\n- Secret Manager de Google Cloud\n- Azure Key Vault\n\nEn configurant la plateforme GitLab pour qu'elle se connecte à l'un de ces services, les secrets ne sont explicitement requis qu'au moment où un job CI en a besoin. Lorsqu'ils ne sont pas utilisés, ils restent stockés en toute sécurité dans l'environnement du service de gestion des secrets, ce qui réduit le risque de compromission. En plus de ces intégrations natives, GitLab prend également en charge l'[authentification OIDC](https://docs.gitlab.com/ee/ci/secrets/id_token_authentication.html) qui permet de s'authentifier auprès d'autres fournisseurs (par exemple AWS Secrets Manager). Cette méthode de stockage des secrets, beaucoup plus sécurisée et recommandée, constitue une alternative nettement plus robuste par rapport au stockage et au [masquage](https://docs.gitlab.com/ee/ci/variables/#mask-a-cicd-variable) des secrets en tant que variables CI/CD.\n\n### Utilisation des secrets\n\nLes secrets doivent être utilisés dans un seul but. Leur réutilisation dans plusieurs applications ou services augmente le risque d'exposition et amplifie les conséquences sur l'entreprise en cas de compromission.\n\nPour limiter le risque d'exposition ou d'activité malveillante, l'accès aux secrets doit être strictement encadré selon le [principe de moindre privilège](https://about.gitlab.com/blog/the-ultimate-guide-to-least-privilege-access-with-gitlab/). L'accès ne doit être accordé qu'aux personnes ou aux services qui en ont besoin afin de soutenir leur travail et leurs activités opérationnelles.\n\n#### Comment la plateforme GitLab prend-elle en charge l'utilisation des secrets ?\n\nGitLab fournit aux administrateurs un solide [modèle de contrôle d'accès basé sur les rôles](https://docs.gitlab.com/ee/user/permissions.html) et offre également la possibilité de créer des [rôles personnalisés](https://docs.gitlab.com/ee/user/custom_roles.html). Les administrateurs peuvent ainsi adapter les profils d'accès à leurs normes organisationnelles et leur niveau de tolérance au risque.\n\nGitLab permet également aux utilisateurs d'effectuer une [détection des secrets](https://docs.gitlab.com/ee/user/application_security/secret_detection/) pour vérifier les secrets et les identifiants de connexion involontairement dévoilés dans le code. Les utilisateurs de GitLab Ultimate peuvent appliquer des [mesures correctives automatiques aux secrets divulgués](https://docs.gitlab.com/ee/user/application_security/secret_detection/automatic_response/), telles que la révocation du secret, afin d'atténuer l'impact potentiel en cas de fuite des informations d'identification.\n\n### Auditabilité\n\nL'accès aux secrets et leur utilisation doivent être auditables et attribuables. Dans un scénario idéal, les utilisateurs ne devraient jamais pouvoir afficher les secrets en texte brut. Malheureusement, la réalité opérationnelle des entreprises ne permet pas toujours de respecter cet idéal.\n\nUne gestion des secrets auditable et attribuable permet aux équipes de sécurité de détecter rapidement les activités anormales ou malveillantes et d'y apporter une réponse efficace, que ce soit par des actions automatisées ou des interventions manuelles ciblées.\n\n#### Comment la plateforme GitLab prend-elle en charge l'auditabilité ?\n\nGitLab enregistre les [événements d'audit](https://docs.gitlab.com/ee/administration/audit_events.html) liés aux activités impliquant la création de clés et de jetons au sein de la plateforme. En voici quelques exemples :\n\n- événements de jetons d'accès personnels\n- événements de jetons de déploiement \n- événements de jetons d'agents de cluster\n\nCes événements sont enregistrés dans la base de données de GitLab et sont également disponibles à des fins de [diffusion d'événements d'audit](https://docs.gitlab.com/ee/administration/audit_event_streaming/) pour les clients utilisant GitLab Ultimate.\n\n## Prochainement disponible : Secret Manager de GitLab\n\nGitLab prévoit de lancer une solution native de gestion des secrets d'ici fin 2024. Secret Manager de GitLab sera une solution cloud multilocataire accessible à la fois par les clients de GitLab.com et GitLab Self-Managed via le nouveau service Cloud Connector. Ce dernier offre une interface conviviale, cohérente avec celle des variables CI/CD actuelle, ce qui facilitera l'adoption par rapport à un produit tiers, avec une courbe d'apprentissage réduite. Secret Manager de GitLab garantira la sécurité et la protection des informations sensibles dans vos pipelines CI. \n\n> Pour en savoir plus ou pour toute question sur la solution Secret Manager de GitLab, consultez notre [epic MVC](https://gitlab.com/groups/gitlab-org/-/epics/10723) et laissez un commentaire.",[631,634,637,640],{"header":632,"content":633},"Qu'est-ce que la gestion des secrets et pourquoi est-elle importante pour la sécurité des logiciels ?","La gestion des secrets consiste à stocker, accéder et utiliser en toute sécurité des informations sensibles telles que des clés API, des jetons d'accès et des mots de passe. Si cette pratique est rigoureuse, elle permet d'éviter les accès non autorisés, réduit le risque de violations de données, et garantit la confidentialité et l'intégrité des données sensibles tout au long des processus de développement et de déploiement de logiciels.",{"header":635,"content":636},"Comment la plateforme GitLab prend-elle en charge la récupération et le stockage sécurisés des secrets ?","GitLab s'intègre aux principaux fournisseurs de solutions de gestion des secrets, notamment Vault de HashiCorp, Secret Manager de Google Cloud et Azure Key Vault. Ces intégrations permettent de stocker les secrets en toute sécurité et de les récupérer explicitement uniquement lorsque les jobs d'intégration continue (CI) en ont besoin, ce qui réduit les risques d'exposition et d'accès non autorisé.",{"header":638,"content":639},"Quelles sont les bonnes pratiques en matière de génération et d'utilisation des secrets ?","- __Génération de secrets__ : utilisez des dispositifs de chiffrement tels que les modules de sécurité matériels (HSM) pour générer des secrets forts. Les services HSM cloud (par exemple, AWS CloudHSM, GCP Cloud HSM) offrent une génération de secrets économique et résistante aux altérations.\n- __Utilisation des secrets__ : appliquez le principe de moindre privilège, en veillant à ce que chaque secret soit utilisé dans un seul but et qu'il ne soit accessible qu'aux utilisateurs ou services dûment autorisés. Évitez de coder en dur les secrets afin de limiter au maximum les risques d'exposition.",{"header":641,"content":642},"Comment la plateforme GitLab facilite-t-elle la détection des secrets et l'auditabilité ?","GitLab propose une fonctionnalité de détection des secrets permettant d'identifier les secrets et les identifiants de connexion validés dans le code par inadvertance. Les administrateurs peuvent mettre en place des réponses automatisées, telles que la révocation des secrets divulgués, afin de réduire au maximum les risques de sécurité. De plus, les événements d'audit enregistrent et diffusent en continu les activités liées à l'utilisation des tokens et des clés, ce qui permet une surveillance continue et la détection des anomalies en temps réel.","content:fr-fr:the-source:security:how-to-implement-secret-management-best-practices-with-gitlab.yml","fr-fr/the-source/security/how-to-implement-secret-management-best-practices-with-gitlab.yml","fr-fr/the-source/security/how-to-implement-secret-management-best-practices-with-gitlab",{"_path":647,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":648,"seo":650,"content":654,"type":492,"category":28,"slug":664,"_id":665,"_type":30,"title":655,"_source":31,"_file":666,"_stem":667,"_extension":34,"date":656,"description":657,"timeToRead":658,"heroImage":653,"keyTakeaways":659,"articleBody":663},"/fr-fr/the-source/security/enterprise-scale-security-and-compliance-policy-management-in-the-ai-era",{"layout":5,"template":475,"author":649,"featured":6,"isHighlighted":6,"authorName":454},"grant-hickman",{"title":651,"description":652,"ogImage":653},"Stratégies de sécurité et de conformité avec l'IA","Découvrez comment la gestion des stratégies de sécurité de GitLab peut renforcer la sécurité et assurer la conformité à chaque étape du développement logiciel.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464499/qriml3qncnibzphitcax.png",{"title":655,"date":656,"description":657,"timeToRead":658,"heroImage":653,"keyTakeaways":659,"articleBody":663},"Comment adapter la gestion des stratégies de sécurité et de conformité aux besoins de l'entreprise à l'ère de l'IA","2023-10-17","Découvrez comment la gestion des stratégies de sécurité de GitLab permet de renforcer votre sécurité et garantir votre conformité au rythme de votre développement logiciel.","Lecture : 8 minutes",[660,661,662],"Les équipes de sécurité peinent à suivre le rythme effréné du développement logiciel, récemment intensifié par l'IA. Une gestion efficace des vulnérabilités est désormais essentielle pour garantir la sécurité par défaut.","Les stratégies de sécurité de GitLab automatisent la conformité, favorisant la collaboration entre les équipes AppSec et de développement pour une détection et une correction efficace des vulnérabilités.","Les techniques de priorisation (CVSS et outils d'évaluation du niveau de risque) aident à gérer les vulnérabilités. Elles permettent d'allouer les ressources aux problèmes critiques, face à l'augmentation des vulnérabilités dans le code généré par l'IA.","Suivre le rythme du développement logiciel représente un véritable défi pour les équipes de sécurité, notamment avec des dirigeants qui négligent souvent à tort l'importance de la sécurité dans ce processus et un déséquilibre entre le nombre de développeurs et de professionnels en charge de la sécurité. Désormais bien établie, l'IA accélère encore cette dynamique. La rapidité de développement ne fera qu'augmenter à mesure que les entreprises évolueront. Par conséquent, les outils de sécurité utilisés pour gouverner les processus de développement doivent répondre à cette croissance.\n\nLes équipes de sécurité des applications (AppSec) doivent gérer et hiérarchiser correctement les vulnérabilités. Grâce aux [stratégies de sécurité de GitLab](https://docs.gitlab.com/ee/user/application_security/policies/), ainsi qu'à notre suite d'outils dédiés, les entreprises peuvent favoriser la collaboration entre leurs équipes AppSec et leurs équipes de développement, facilitant ainsi la détection, la hiérarchisation et la correction des vulnérabilités. Ces stratégies fournissent également un mécanisme pour automatiser la conformité à la sécurité et la gérer à l'échelle de l'entreprise.\n\nBien que les scans d'un plus grand nombre de sources potentielles de vulnérabilités multiplient les occasions de détection précoce et de résolution des failles, le volume croissant des découvertes de vulnérabilités peut submerger les équipes AppSec. Identifier les données exploitables devient de plus en plus difficile alors même que les scans en plus grand nombre fait gagner en visibilité et fournissent des informations de façon collective.\n\n## Processus de priorisation lors du traitement des vulnérabilités\nPlusieurs approches courantes sont possibles pour gérer la priorisation des vulnérabilités :\n\n- **Common Vulnerability Scoring System (CVSS) :** cette méthode standardisée évalue la gravité d'une vulnérabilité. À partir des scores CVSS, les entreprises peuvent hiérarchiser les vulnérabilités en fonction de leur impact potentiel et allouer des ressources en conséquence.\n\n- **Outils d'évaluation du niveau de risques :** ils permettent aux entreprises d'évaluer les vulnérabilités en fonction de la probabilité qu'elles soient exploitées et de leur impact potentiel sur l'activité de l'entreprise. En tenant compte des facteurs contextuels, tels que la valeur des actifs, les capacités des acteurs de la menace et la fréquence à laquelle une faille est exploitée, les entreprises peuvent hiérarchiser efficacement les vulnérabilités.\n\n- **Modélisation des menaces :** il s'agit d'une approche qui consiste à identifier et à évaluer les menaces potentielles pesant sur une application ou un système. À partir d'une analyse complète de l'architecture du système, du flux de données et des vecteurs d'attaque potentiels, les entreprises peuvent hiérarchiser les vulnérabilités en fonction de leur pertinence par rapport aux menaces probables. Cette approche permet d'allouer efficacement les ressources en se concentrant sur les vulnérabilités qui sont le plus susceptibles d'être exploitées.\n\n- **Business Impact Analysis (BIA) :** cette technique est utilisée pour évaluer l'impact potentiel des vulnérabilités sur les opérations et les objectifs de l'entreprise. Il s'agit d'identifier les actifs critiques, d'évaluer leur importance pour l'entreprise et de quantifier les conséquences potentielles si une attaque réussissait. À partir de l'impact potentiel sur leurs finances, leur réputation et leurs opérations, les entreprises peuvent hiérarchiser les vulnérabilités qui présentent le risque le plus important pour leurs fonctions de base.\n\nÀ mesure que le code généré par l'IA prolifère, le nombre de vulnérabilités introduites involontairement augmente également. De telles techniques revêtent désormais une importance capitale pour aider les entreprises à classer les vulnérabilités par ordre de priorité. Comment appliquer ces frameworks conceptuels dans le monde réel ? Voyons comment mettre ces techniques en pratique.\n\n## Gestion des stratégies de sécurité\n[Les stratégies de sécurité](https://docs.gitlab.com/ee/user/application_security/policies/) transforment les stratégies au niveau de l'entreprise et les exigences de conformité en instructions opérationnelles tangibles qui sont intégrées à vos pratiques DevSecOps et au cycle du développement logiciel. En créant des règles dans les stratégies de sécurité de GitLab, les entreprises peuvent définir des critères granulaires pour l'évaluation des vulnérabilités, en veillant à ce que seules les découvertes exploitables soient signalées pour examen.\n\nLes stratégies de sécurité vous permettent de mettre en œuvre vos exigences de sécurité et de conformité, ainsi que vos bonnes pratiques, en les intégrant directement dans votre code. Les [stratégies d'exécution des scans](https://docs.gitlab.com/ee/user/application_security/policies/scan-execution-policies.html) imposent aux scanners de s'exécuter dans des projets spécifiques en fonction de vos besoins et exigences, en veillant à ce que les vulnérabilités et risques d'exposition soient détectés avant que le code ne soit fusionné en production.\n\nVous pouvez également tirer parti des [politiques d'approbation des merge requests](https://docs.gitlab.com/ee/user/application_security/policies/scan-result-policies.html) et créez des workflows personnalisés afin de remédier aux vulnérabilités. Elles évaluent les résultats des scanners de sécurité et de conformité pour empêcher ou bloquer les merge requests, à moins qu'elles n'aient été soigneusement revues et approuvées en fonction des règles que vous avez définies.\n\nGrâce à l'ensemble de ces stratégies de sécurité, vous pouvez ajouter une couche de surveillance à votre processus de développement. Vous avez ainsi la certitude que le code, qu'il ait été écrit par des développeurs ou par l'IA, a été automatiquement scanné. D'autre part, la collaboration entre les équipes d'ingénierie et AppSec se concentre sur les violations des exigences de conformité les plus actionnables. \n\n### Définition de règles granulaires dans les politiques d'approbation des merge requests\nPour aller plus loin, vous pouvez définir des règles granulaires dans les stratégies d'approbation des merge requests en fonction des filtres et des attributs partagés ci-dessous. Elles peuvent vous aider à déterminer les vulnérabilités qui requièrent une action immédiate, facilitant ainsi une prise de décision plus rapide et plus efficace :\n\n- **Statut de vulnérabilité :** les stratégies de sécurité peuvent être ciblées en fonction du statut d'une vulnérabilité. Elles sont souvent axées sur les vulnérabilités nouvellement détectées qui doivent être hiérarchisées. Il est également possible de créer des règles basées sur des vulnérabilités précédemment détectées en fonction d'une gravité donnée, ou d'inclure/exclure des vulnérabilités si elles ont été rejetées.\n\n- **Branche :** ciblez l'implémentation uniquement sur des branches spécifiques, par exemple en concentrant la mise en œuvre sur la branche par défaut des projets critiques, ou en ciblant toutes les branches protégées.\n\n- **Correction disponible :** filtrez les résultats des découvertes de vulnérabilités issus de l'analyse des dépendances et des conteneurs lorsqu'une correction n'est pas disponible. Celles-ci dépendent souvent des modifications apportées en amont par des tiers et ne peuvent donc pas être corrigées immédiatement. Il est possible de créer des tickets à partir des vulnérabilités. Une date d'échéance peut être ajoutée pour remédier à la situation lorsqu'un correctif devient disponible.\n\n- **Faux positifs :** lorsque nos scanners GitLab déterminent qu'une découverte de vulnérabilités est un faux positif (pour l'analyse des conteneurs et des dépendances), nous mettons à jour le statut de la vulnérabilité en conséquence. Les stratégies de sécurité peuvent ensuite exploiter cette information pour exclure les faux positifs du processus de suivi, ce qui permet aux développeurs et aux ingénieurs AppSec de les ignorer et de fusionner le code sans les prendre en compte. Les vulnérabilités restent toutefois accessibles dans le rapport des vulnérabilités pour une analyse plus approfondie si nécessaire.\n\n- **Accord sur le niveau de service (SLA) ou ancienneté :** les entreprises peuvent parfois tolérer certaines vulnérabilités de faible gravité pendant une période définie, à condition qu'elles soient planifiées pour être résolues dans le cadre d'un SLA raisonnable. Par exemple, votre stratégie de sécurité pourrait définir un SLA en fonction de la gravité d'une vulnérabilité et autoriser le merge du code contenant des vulnérabilités de gravité moyenne sans approbation pendant 60 jours, à condition que celles-ci soient résolues à l'aide d'un ticket de suivi comportant une date d'échéance. En revanche, si la vulnérabilité est détectée au-delà des 60 jours accordés par le SLA, les merge requests seront bloquées tant que la vulnérabilité ne sera pas traitée.\n\n![strategies-securite-regles-sd-tous-filtres](https://res.cloudinary.com/about-gitlab-com/image/upload/v1752175811/Blog/k0bror5vmcosg8jm4zi1.png)\n\n### Priorisation des résultats critiques dans l'ensemble de l'entreprise\nUne approche courante pour gérer de grands volumes de vulnérabilités consiste à aller crescendo et à hiérarchiser les résultats les plus critiques découverts dans votre processus de développement. La mise en place d'un SLA pour le processus de priorisation lors du traitement des vulnérabilités peut vous aider à y parvenir, en définissant des règles qui imposent de résoudre les vulnérabilités en accord avec les termes du SLA et en fonction du niveau de la gravité de la vulnérabilité. Pour en savoir plus, regardez notre vidéo de démonstration rapide de l'utilisation d'une politique d'approbation des merge requests dans GitLab pour appliquer un SLA différent pour chaque niveau de gravité de vulnérabilité. Dans ce cas, si une découverte de vulnérabilités de gravité élevée est détectée, les merge requests ne seront pas bloquées pendant 30 jours, ce qui donnera aux développeurs le temps de résoudre le problème dans la période définie par le SLA.\n\n\u003C!-- blank line -->\n\u003Cfigure class=\"video_container\">\n  \u003Ciframe src=\"https://www.youtube.com/embed/cOsAaLXdV2k\" frameborder=\"0\" allowfullscreen=\"true\"> \u003C/iframe>\n\u003C/figure>\n\u003C!-- blank line -->\n\n### Séparation des tâches\n\nLes stratégies de sécurité peuvent être gérées de différentes manières, mais il est préférable de les centraliser dans un projet GitLab dédié, qui assure ainsi une séparation claire des responsabilités entre les professionnels de la sécurité et les équipes de développement. Ces stratégies sont stockées dans des fichiers YAML. Cette approche de politique en tant que code donne les moyens nécessaires à votre équipe de sécurité et offre de nombreux avantages Citons notamment : un historique Git de toutes les modifications apportées aux stratégies pour gagner en visibilité, un contrôle de version pour revenir plus facilement en arrière en cas de modifications perturbatrices, une surveillance et des approbations obligatoires pour toutes les modifications apportées aux stratégies (si nécessaire) Ajoutons également l'auditabilité par le biais des événements d'audit de GitLab et des contrôles concrets pouvant être transmis aux auditeurs comme preuves.\n\n![gitlab strategies-securite strategie-yml](https://res.cloudinary.com/about-gitlab-com/image/upload/v1752175821/Blog/bqfig4ufupuitbarasuj.png)\n\n## Combinaison de tous ces éléments\nLa gestion de l'afflux sans cesse croissant de vulnérabilités nécessite une approche précise qui associe des scans avec une hiérarchisation et une remédiation efficaces. Les stratégies de sécurité de GitLab fournissent une solution puissante en favorisant la collaboration, en permettant de définir des règles de stratégie flexibles et personnalisées, et en offrant un moyen de mettre en place les exigences et les frameworks de conformité avec précision. En tirant parti des outils de sécurité de GitLab et en appliquant des filtres et des attributs personnalisés, les entreprises sont à même de rationaliser la gestion des vulnérabilités et de concentrer leurs efforts sur la gestion des risques les plus critiques. Elles peuvent ainsi à terme renforcer leur posture de sécurité globale et répondre aux exigences des organismes externes. Si des craintes peuvent planer sur le code généré par l'IA, les trois piliers de la sécurité (personnes, processus et technologie) demeurent inchangés. En intégrant des stratégies de sécurité dans vos processus commerciaux, vous pouvez protéger votre entreprise contre de tels risques.\n\nEn plus d'utiliser des stratégies de sécurité pour appliquer une politique en tant que code à grande échelle, la plateforme DevSecOps de GitLab offre une suite robuste d'outils de sécurité. Dans notre [Rapport Global DevSecOps 2023](https://learn.gitlab.com/devsecops-survey-2023/), 57 % des professionnels de la sécurité ont déclaré utiliser six outils ou plus pour le développement de logiciels et 69 % des professionnels de la sécurité ont déclaré vouloir consolider leur chaîne d'outils. De nombreux CISO (responsables de la sécurité de l'information) ont pour but de consolider les outils ; GitLab contribue à limiter l'étalement de la chaîne d'outils. Nous proposons les principales solutions de scanning de sécurité : tests statiques de sécurité des applications (y compris pour l'infrastructure en tant que code), détection des secrets, tests dynamiques de la sécurité des applications (y compris pour les API), analyse des dépendances et sécurité des API. Nous simplifions également la gestion des vulnérabilités pour les équipes AppSec en leur fournissant des rapports de vulnérabilité dynamiques. Enfin, nous veillons à la conformité grâce aux frameworks de conformité, aux rapports d'adhésion au framework de conformité et aux événements d'audit.\n\nDécouvrez la gestion de la [sécurité des applications](https://docs.gitlab.com/ee/user/application_security/#use-security-scanning-tools-with-merge-request-pipelines) à l'aide de GitLab.\n\n> **Pour aller plus loin :** Josh Lemos, CISO de GitLab, explique comment [remédier aux frustrations les plus courantes en matière de sécurité](https://about.gitlab.com/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security/).\n","enterprise-scale-security-and-compliance-policy-management-in-the-ai-era","content:fr-fr:the-source:security:enterprise-scale-security-and-compliance-policy-management-in-the-ai-era.yml","fr-fr/the-source/security/enterprise-scale-security-and-compliance-policy-management-in-the-ai-era.yml","fr-fr/the-source/security/enterprise-scale-security-and-compliance-policy-management-in-the-ai-era",{"_path":669,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":670,"seo":672,"content":677,"type":492,"category":28,"slug":685,"_id":686,"_type":30,"title":673,"_source":31,"_file":687,"_stem":688,"_extension":34,"date":678,"description":674,"timeToRead":679,"heroImage":675,"keyTakeaways":680,"articleBody":684},"/fr-fr/the-source/security/how-to-strengthen-security-by-applying-devsecops-principles",{"layout":5,"template":475,"author":671,"featured":6,"isHighlighted":6,"authorName":463},"ncregan",{"title":673,"description":674,"ogImage":675,"config":676},"Principes DevSecOps : la clé pour renforcer la sécurité dans les processus de développement","Découvrez comment appliquer les principes DevSecOps et exploitez leur puissance dès aujourd'hui.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464433/bdwagz0bt5bpgghjkout.png",{"ignoreTitleCharLimit":332},{"title":673,"date":678,"description":674,"timeToRead":679,"heroImage":675,"keyTakeaways":680,"articleBody":684},"2023-02-23","Lecture : 4 min",[681,682,683],"L'approche DevSecOps intègre la sécurité tout au long du SDLC, permettant ainsi de protéger les applications sans retarder leur livraison.","L'automatisation, élément central de l'approche DevSecOps, renforce la sécurité en optimisant la détection et la réponse aux menaces.","La collaboration, pilier de l'approche DevSecOps, favorise une approche unifiée, garantissant un développement logiciel à la fois rapide et sécurisé.","En appliquant les principes DevSecOps, les équipes de développement peuvent non seulement protéger leurs applications contre les attaques malveillantes, mais aussi générer rapidement et efficacement de la valeur. Dans cet article, nous vous proposons d'explorer en détail ces principes et à comprendre comment ils permettent aux entreprises de garder une longueur d'avance en matière de sécurité. Plongeons dans le vif du sujet.\n\n## Les fondamentaux de l'approche DevSecOps\nL'approche [DevSecOps](/topics/devsecops/) repose sur trois piliers : le développement, la sécurité et les opérations. Elle permet aux équipes de développement logiciel de créer des produits fiables et sécurisés tout en apportant de la valeur, rapidement et efficacement. Une mise en œuvre réussie de cette méthodologie s'appuie sur l'intégration continue, l'automatisation et les tests à chaque étape du développement. L'objectif est de raccourcir le délai de mise sur le marché sans jamais compromettre la qualité ni la sécurité.\n\n## Aperçu des principes DevSecOps\nLes équipes de développement qui adoptent les [principes DevSecOps](/blog/4-must-know-devops-principles/) parviennent à créer rapidement des applications sécurisées et fiables, grâce à l'intégration de tests de sécurité à chaque étape du processus de développement. Elles intègrent alors la sécurité dès les premières étapes du cycle du développement logiciel (SDLC), de la conception initiale au processus de déploiement et de livraison continus. Les acteurs malveillants n'ont ainsi pas l'opportunité d'exploiter les vulnérabilités du système pour créer des failles de sécurité, réduisant ainsi le risque global de cyberattaques.\n\nL'essentiel de l'approche DevOps repose sur ces trois grands principes :\n\n### L'automatisation et l'intégration\nL'automatisation et l'intégration sont des composantes essentielles de l'approche DevSecOps. L'automatisation des processus de sécurité contribue au développement d'applications fiables et sécurisées, tout en réduisant le risque que des attaques malveillantes surviennent. Vous pouvez configurer et exécuter ces mesures de sécurité à différentes étapes du cycle de développement. Une sécurité et une conformité logicielle continue simplifient et optimisent les pratiques de sécurité.\n\n### La livraison et le déploiement continus\nLa livraison et le déploiement continus permettent aux équipes de réagir rapidement aux menaces potentielles et de protéger leur chaîne d'approvisionnement logicielle contre les attaques malveillantes. [Le déploiement continu via des processus automatisés](/blog/cd-solution-overview/) accélère le développement de nouveaux produits et fonctionnalités, tout en garantissant la sécurité et la qualité des applications.\n\n### Une approche collaborative de la sécurité\nLa sécurité étant au cœur de l’approche DevSecOps, [une approche hautement collaborative](/topics/version-control/software-team-collaboration/) est nécessaire pour assurer la fiabilité des applications. Elle doit être combinée avec de multiples contrôles de sécurité continus. Toutes les parties prenantes impliquées dans le processus de développement doivent prendre part à la mise en place des mesures de sécurité.\n\nLes équipes de sécurité doivent travailler de concert avec les développeurs pour intégrer des [contrôles de sécurité appropriés](/topics/devsecops/devsecops-security-checklist/) et empêcher les failles de sécurité dans les applications. De leur côté, les équipes des opérations doivent collaborer avec les équipes de sécurité pour que les applications soient déployées et surveillées sans être exposées aux risques de menaces.\n\n### La sécurité à chaque étape du cycle de développement logiciel\nL'importance de la sécurité à chaque étape du SDLC garantit le développement efficace d'applications sécurisées, sans compromettre la qualité. Il est indispensable d'intégrer la sécurité à [toutes les étapes du cycle de vie](/blog/top-10-gitlab-hacks/), dès la conception, mais aussi tout au long du développement et du déploiement.\n\nLes développeurs doivent veiller à concevoir des applications qui intègrent des contrôles de sécurité appropriés. Les équipes des opérations quant à elles doivent les déployer et les surveiller en éliminant tout risque de sécurité.\n\n### Stratégies de surveillance et de réponse proactives\nDes stratégies de surveillance et de réponse proactives sont essentielles au maintien de la sécurité des applications tout au long de leur cycle de vie. [La surveillance](/blog/working-with-performance-metrics/) repose sur l'utilisation d'outils automatisés qui détectent les vulnérabilités potentielles et alertent les équipes dès qu'elles surviennent.\n\nLes risques sont ainsi minimisés, alors même que la cohérence des pratiques de sécurité est garantie à l'échelle de l'entreprise. Une stratégie de réponse proactive permet également d'identifier et de résoudre les problèmes avant qu'ils ne deviennent des menaces sérieuses pour la sécurité.\n\n## Avantages de la mise en œuvre des principes DevSecOps\nAdopter l'approche DevSecOps offre de nombreux avantages aux entreprises :\n1. Elle instaure la confiance auprès des clients qui bénéficient d'applications sécurisées.\n2. Elle empêche les acteurs malveillants d'exploiter les vulnérabilités et améliore la sécurité des systèmes.\n3. Elle permet aux équipes d'offrir rapidement de la valeur tout en garantissant les plus hauts niveaux de sécurité.\n4. En intégrant la sécurité à chaque étape du pipeline de développement logiciel, de la conception au déploiement, les équipes DevSecOps sont capables d'identifier et de traiter rapidement les risques, réduisant ainsi l'exposition aux attaques malveillantes.\n5. La pratique DevSecOps aide les entreprises à garder une longueur d'avance sur les menaces potentielles et à rester compétitives sur leurs marchés.\n\n[Utiliser une plateforme DevSecOps](/blog/whats-next-for-devsecops/) est donc un impératif pour toute entreprise cherchant à protéger ses systèmes contre les attaques malveillantes tout en générant de la valeur rapidement et efficacement. De surcroît, l'intégration de la sécurité en amont du processus de développement garantit que toutes les nouvelles applications sont sécurisées dès leur création. En instaurant une culture DevSecOps, les entreprises maximisent la productivité et la qualité de l'ensemble du processus de développement logiciel.","how-to-strengthen-security-by-applying-devsecops-principles","content:fr-fr:the-source:security:how-to-strengthen-security-by-applying-devsecops-principles.yml","fr-fr/the-source/security/how-to-strengthen-security-by-applying-devsecops-principles.yml","fr-fr/the-source/security/how-to-strengthen-security-by-applying-devsecops-principles",1761249164838]