Plateforme / Secure CI/CD
FR EN

Plateforme

Secure CI/CD

CI/CD sécurisé : protéger la chaîne de construction et de déploiement des applications et modèles d’IA.

Plan
Plateforme
Étapes du flux
3
Référentiels
NIST 800-53 · OWASP LLM03

Technologie

Pourquoi l’utiliser

Garantir que ce qui est construit et déployé est exactement ce qui a été revu, testé et approuvé.

Pourquoi c’est important pour la sécurité

Le pipeline est une cible privilégiée : le compromettre permet d’injecter du code ou un modèle malveillant en production.

Implémentations GitHub Actions durciSLSAsignature d’artefacts (Sigstore)scanners SAST/DAST

Un pipeline non sécurisé déploie les attaques aussi vite que les correctifs.

Recommandations par palier de maturité

Survolez une recommandation pour l’explication · chaque recommandation porte son numéro de contrôle

Foundation

Socle minimal viable
  • Tests de sécurité automatisés (SAST, dépendances).
    NIST 800-53 SA-11
    Les vulnérabilités sont détectées avant le déploiement.
  • Contrôle des changements et revue de code.
    NIST 800-53 CM-3
    Aucun changement ne part en production sans revue.
  • Secrets hors du pipeline (coffre).
    NIST 800-53 IA-5
    Pas de secrets en clair dans les fichiers de CI.

Enterprise

Standard d’entreprise
  • Signature et vérification des artefacts.
    NIST 800-53 SI-7 · SR-4
    Seuls des artefacts signés et tracés sont déployables.
  • Moindre privilège des exécuteurs de pipeline.
    NIST 800-53 AC-6
    Un runner compromis a un pouvoir limité.
  • Processus de développement sécurisé documenté.
    NIST 800-53 SA-15
    La sécurité est intégrée au cycle de vie, pas ajoutée après.

Advanced

Haute exigence / régulé
  • Provenance vérifiable des builds (SLSA).
    NIST 800-53 SR-4OWASP LLM03:2025
    On prouve la chaîne complète du code source à l’artefact déployé.
  • Détection de dérive entre dépôt et production.
    NIST 800-53 CM-6 · SI-4
    Tout écart entre l’état attendu et l’état réel est repéré.
  • Tests de sécurité des modèles dans le pipeline.
    NIST AI 600-1 MS-2.7-008
    Le modèle est éprouvé à chaque livraison, pas seulement le code.

Notes d’architecture

  • Signez tout ce que vous déployez.détails ▸
    Sans signature, impossible de prouver qu’un artefact est légitime.
    Adoptez la signature d’artefacts et la provenance (SLSA) pour bloquer les injections en chaîne.

Références

NIST SP 800-53 Rev5
SA-11 (Developer Testing), SA-15 (Dev Process), CM-3/CM-6, SR-4 (Provenance), SI-7, IA-5, AC-6.
OWASP LLM03:2025
Supply Chain — le pipeline en est un maillon critique.

Abréviations

PDP
Policy Decision Point · point de décision d’autorisation
PEP
Policy Enforcement Point · point d’application des politiques
PIP
Policy Information Point · point d’information de politique
PAP
Policy Administration Point · point d’administration des politiques
IdP
Identity Provider · fournisseur d’identité
TSS
Token Service · service de jetons
NHI
Non-Human Identity · identité non-humaine
RBAC
Role-Based Access Control · contrôle d’accès basé sur les rôles
ABAC
Attribute-Based Access Control · contrôle d’accès basé sur les attributs
MFA
Multi-Factor Authentication · authentification multifacteur
HITL
Human-in-the-loop · validation humaine dans la boucle
JIT
Just-In-Time · juste-à-temps
CAE
Continuous Access Evaluation · évaluation continue de l’accès
CAEP
Continuous Access Evaluation Profile
DPoP
Demonstrating Proof-of-Possession · preuve de possession du jeton
mTLS
mutual TLS · TLS mutuel
PII
Personally Identifiable Information · données à caractère personnel
KMS
Key Management Service · service de gestion des clés
CI/CD
Continuous Integration / Continuous Delivery
SIEM
Security Information and Event Management
SOAR
Security Orchestration, Automation and Response
SCIM
System for Cross-domain Identity Management
XACML
eXtensible Access Control Markup Language
OPA
Open Policy Agent
OWASP
Open Worldwide Application Security Project
NIST
National Institute of Standards and Technology
ATLAS
Adversarial Threat Landscape for Artificial-Intelligence Systems
LLM
Large Language Model · grand modèle de langage
WAF
Web Application Firewall · pare-feu applicatif web
CDN
Content Delivery Network · réseau de diffusion de contenu
DDoS
Distributed Denial of Service · déni de service distribué
DLP
Data Loss Prevention · prévention des fuites de données
JWT
JSON Web Token
API
Application Programming Interface · interface de programmation
CRS
Core Rule Set (OWASP) · jeu de règles de base
RAG
Retrieval-Augmented Generation · génération augmentée par récupération
MCP
Model Context Protocol · protocole de contexte pour les modèles
PBAC
Permission-Based Access Control · contrôle d’accès par permissions
HSM
Hardware Security Module · module matériel de sécurité
UEBA
User and Entity Behavior Analytics · analyse comportementale
SBOM
Software Bill of Materials · nomenclature logicielle
SLSA
Supply-chain Levels for Software Artifacts
WORM
Write Once, Read Many · écriture unique
SPIFFE
Secure Production Identity Framework For Everyone