DevSecOps

Shift-left. Sécurité dans la CI. Pas après.

Intégration de la sécurité à chaque étape du pipeline : SAST, DAST, SCA, IaC scanning, secrets scanning, SBOM. Vulnérabilités détectées avant la prod, pas après l'incident.

Audit pipeline ⇇ Voir notre méthode

GitHub Actions · GitLab CI · CircleCI
SAST · DAST · SCA · IaC scanning
Semgrep · Snyk · Trivy · Checkov
SBOM · supply chain · SLSA

Le contexte

Une vulnérabilité corrigée en dev coûte 100× moins qu'en prod.

En 2026, le coût d'une vulnérabilité dépend de quand on la trouve. NIST/IBM : 5 € pour la corriger en code review, 50 € en QA, 500 € en staging, 5 000 € en production. Et ça, c'est avant l'éventuel breach. Pourtant, beaucoup d'équipes intègrent la sécurité uniquement à la fin — quand c'est trop tard pour bien faire.

Le shift-left, c'est intégrer la sécurité dans le pipeline CI/CD : à chaque commit, on scan. Pas que le code (SAST). Aussi les dépendances (SCA pour CVE connues), l'infrastructure-as-code (Checkov, tfsec), les secrets (gitleaks), les images Docker (Trivy), la supply chain (SLSA, Sigstore). Et un SBOM (Software Bill of Materials) généré automatiquement à chaque release.

Notre approche : on intègre tous ces contrôles dans ta CI sans la ralentir. Failed-fast sur les criticités, alert-only sur le reste. Dashboards de vulnérabilités centralisés. Pas de noise — uniquement les vraies criticités avec contexte et fix proposé.

100×

Coût évité

Vulnérabilité corrigée en CI vs en production

< 5 min

CI time impact

Tous les scans intégrés sans dépasser 5 min sur le pipeline

Build cassé inutilement

Failed-fast uniquement sur critique/high — pas de noise

SLSA L3

Supply chain

Artifacts signés, provenance vérifiée, build hermétique

Ce qu'on met en place

Six contrôles de sécurité dans la CI/CD.

Du code au déploiement, chaque étape a son scan adapté avec ses outils dédiés.

SAST PASS

SAST (code statique)

CVE dans ton code.

Static Application Security Testing : analyse du code source sans l'exécuter. Détection des injections SQL, XSS, path traversal, deserialization. Semgrep (rules custom), CodeQL, Snyk Code. Faux positifs filtrés via baseline.

SCA PASS

SCA (dépendances)

CVE dans tes deps.

Software Composition Analysis : scan des CVE connues dans tes packages npm, pip, maven, etc. Snyk, Dependabot, Renovate, Trivy. Auto-remediation des upgrades patch/minor. Politique de remédiation par criticité (P0 < 24h).

IaC PASS

IaC scanning

Avant que le SG soit ouvert.

Scan des Terraform, CloudFormation, K8s manifests, Helm avant apply. Détection des SG ouverts, IAM trop permissif, encryption manquante. Checkov, tfsec, Terrascan. Intégré en pre-commit hook + CI.

Secrets PASS

Secrets scanning

Aucune clé qui leak.

Détection de secrets hardcodés dans le code, l'historique git, les commits incoming. gitleaks, TruffleHog, detect-secrets, GitHub Push Protection. Block en pre-commit + scan continue sur PRs.

Container PASS

Container & image scan

Tes images Docker auditées.

Scan des images Docker pour CVE OS + libs. Détection des layers vulnérables, configs root, packages vétustes. Trivy, Grype, Snyk Container. SBOM généré (Syft). Politique de build : minimal base images, multi-stage.

DAST PASS

DAST & runtime

Test en staging avant prod.

Dynamic Application Security Testing : scan en exécution sur staging. OWASP ZAP, Burp Suite Pro. Tests automatisés OWASP Top 10 sur chaque release. Optionnel : runtime monitoring Falco/Tetragon sur K8s.

Notre approche

Quatre étapes, du baseline à l'autonomie.

On part de l'état actuel de ta CI, on greffe les contrôles progressivement, on évite de freiner les devs.

01 job:

Baseline & audit (1 sem)

Audit de la CI/CD existante : étapes actuelles, durée, niveau d'auto. Inventaire repos, languages, frameworks. Liste des vulnérabilités déjà présentes (scan one-shot complet). Objectifs de couverture définis avec ton équipe.

✓ Audit CI + baseline vulnérabilités + roadmap

02 job:

Intégration progressive (2-3 sem)

Mise en place des scans par phases : d'abord SCA + Secrets (rapides, gain immédiat), puis SAST (custom rules), puis IaC + Container. Mode warning-only au début pour éviter casser les builds. Migration progressive vers failed-fast.

✓ Scans en place + dashboards centralisés + alerting

03 job:

Tuning & remediation (1-2 sem)

Filtrage des faux positifs, custom rules métier, baseline des dettes acceptées. Priorisation des dettes existantes (P0/P1/P2). Mise en place des SLA de remédiation par criticité. Auto-merge des upgrades patch sécurité.

✓ Pipeline tuné + dettes priorisées + SLA actifs

04 job:

Autonomie & runbook (1 sem)

Formation des devs : comment lire un finding, comment fixer, quand demander aide. Documentation des process. Runbook incident sécurité. Métriques de progrès (MTTR, vulnerability backlog age). Handoff à ton équipe.

✓ Doc + formation + runbook + métriques tableau de bord

Stack technique

Les outils qu'on utilise vraiment.

Pas de plateforme miracle — combinaison de best-of-breed selon le besoin.

SAST

Semgrep · CodeQL · Snyk Code · SonarQube

Semgrep pour les rules custom rapides. CodeQL gratuit sur GitHub (Advanced Security). Snyk Code pour la couverture multi-langues. SonarQube si dette technique large.

SCA & dependencies

Snyk · Dependabot · Renovate · Trivy

Dependabot natif GitHub (gratuit, simple). Renovate plus configurable. Snyk avec base CVE étendue. Trivy aussi pour images + IaC.

IaC scanning

Checkov · tfsec · Terrascan · KICS

Checkov couverture la plus large (Terraform, CF, K8s, Helm, Docker). tfsec rapide intégré pre-commit. Terrascan pour compliance benchmarks. KICS option de plus.

Secrets scanning

gitleaks · TruffleHog · detect-secrets · GitHub PP

gitleaks scan git history rapidement. TruffleHog + entropy detection. detect-secrets pour CI/CD avec baseline. GitHub Push Protection natif pour block au push.

Container & SBOM

Trivy · Grype · Syft · Snyk Container · Docker Scout

Trivy le standard de facto multi-format. Grype rapide. Syft pour générer SBOM SPDX/CycloneDX. Docker Scout intégré Docker Desktop.

Supply chain

Sigstore (Cosign) · SLSA · in-toto · Sigstore Rekor

Cosign pour signer images + artifacts. SLSA framework pour mesurer la maturité (L1-L4). Rekor audit log immuable des signatures.

Garanties chiffrées

Quatre engagements contractuels.

< 5 min

CI overhead

Les scans ajoutés ne dépassent jamais 5 min sur le pipeline. Si oui, on optimise jusqu'à atteindre la cible.

< 5%

Faux positifs

Pipeline tuné avec baseline + custom rules pour atteindre moins de 5% de faux positifs sur les findings remontés.

100%

Repos couverts

Tous tes repos en scope couverts par les scans, pas seulement les principaux. Inventory tracking auto.

SBOM SPDX

Chaque release

SBOM (Software Bill of Materials) au format SPDX généré automatiquement à chaque release. Conforme exigences EO 14028 US et CRA EU.

Tarification

Chaque projet est unique. Le devis aussi.

Plutôt que des forfaits abstraits, on cadre selon ton contexte : périmètre, complexité, délais, contraintes. Tu nous écris en 3 phrases ce que tu veux faire — on te revient avec un devis ferme sous 48h ouvrées.

Réponse sous 48 h ouvrées Demander un devis →