Conformité et audit¶
Répondre aux frameworks de conformité, automatiser la collecte de preuves et intégrer le policy as code dans les pipelines.
Frameworks de conformité¶
| Framework | Périmètre | Certification | Obligations clés |
|---|---|---|---|
| ISO 27001 | Système de management de la sécurité (SMSI) | Auditeur tiers accredite | PSSI, gestion des risques, plan de traitement |
| SOC 2 | Contrôles sur la disponibilité, confidentialite, intégrité | Auditeur CPA (Type I / Type II) | Preuves continues sur periode d'observation |
| HDS | Hebergement de données de sante (France) | ANS + auditeur accredite | Conditions spécifiques infra sante |
| SecNumCloud | Cloud souverain (France) | ANSSI | Exigences strictes souveraineté, personnel, localisation |
ISO 27001 vs SOC 2¶
Les deux référentiels sont complementaires mais différents dans leur approche :
- ISO 27001 certifie l'organisation et son système de management — approche normative
- SOC 2 rapporte sur les contrôles effectifs sur une periode — approche probatoire
Beaucoup d'organisations visent les deux : ISO 27001 pour la reconnaissance internationale, SOC 2 pour les clients americains.
La conformité est un état continu, pas un audit annuel
L'audit de certification est le point de contrôle, pas l'objectif. Une organisation conforme maintient ses contrôles toute l'année et collecte les preuves en continu. Arriver à l'audit sans préparation garantit les ecarts.
Audit trail¶
Ce qu'il faut logger¶
| Catégorie | Exemples | Rétention recommandee |
|---|---|---|
| Accès privilegies | Connexions SSH, sudo, accès console | 1 an minimum |
| Modifications de configuration | Changements firewall, IAM, politique | 1 an minimum |
| Accès aux données sensibles | Lecture/écriture sur données personnelles | 6 mois a 1 an |
| Événements d'authentification | Succès, échecs, MFA | 90 jours minimum |
| Actions dans les pipelines CI/CD | Déploiements, modifications secrets | Durée du projet + 1 an |
Intégrité des logs¶
Les logs doivent être proteges contre la modification :
- Centralisation dans un SIEM en temps réel (les logs locaux peuvent être effaces)
- Signature cryptographique ou write-once storage
- Accès en lecture seule pour les équipes non-sécurité
Collecte de preuves¶
Les frameworks de conformité exigent des preuves : captures d'écran, exports, rapports demontrant que les contrôles sont en place et effectifs.
Automatiser la collecte¶
| Type de preuve | Méthode d'automatisation |
|---|---|
| Configuration des systèmes | Export périodique via Ansible facts, AWS Config, Azure Policy |
| État du patching | Rapport Nessus / OpenVAS programme |
| Revue des accès | Export IAM planifie + diff avec periode précédente |
| Tests de backup | Playbook de restauration avec résultat versionne |
| Scan de vulnérabilités | Rapport Trivy/Grype archive en CI |
Les plateformes de GRC (Governance, Risk, Compliance) comme Vanta, Drata ou Tugboat Logic automatisent une partie importante de cette collecte en se connectant directement aux APIs des fournisseurs cloud et outils DevOps.
Policy as code¶
Le policy as code permet de définir les règles de conformité sous forme de code versionnable, testable et executable dans les pipelines CI/CD.
Outils¶
| Outil | Périmètre | Langage | Intégration |
|---|---|---|---|
| OPA / Rego | Kubernetes, Terraform, API | Rego | Admission controller, CI |
| Sentinel | Terraform Cloud / Enterprise | Sentinel | Pipeline Terraform |
| Checkov | IaC (Terraform, CloudFormation, Helm) | Python | CI/CD |
| Conftest | Tout fichier de configuration | Rego | CI/CD |
| Kyverno | Kubernetes uniquement | YAML | Admission controller |
Exemple de cycle policy as code¶
flowchart LR
A["Definir\nles politiques\n(code)"] --> B["Implementer\nles controles\n(IaC, config)"]
B --> C["Audit\nautomatique\n(CI/CD)"]
C -->|Ecart detecte| D["Remediation\n(PR, ticket)"]
D --> B
C -->|Conforme| E["Rapport\nconformite"]
E --> F["Gap analysis\nperiodique"]
F --> ARapports et dashboards¶
Génération automatique¶
- Exporter les résultats de scans (OpenSCAP, Checkov) en formats lisibles (HTML, JSON, PDF)
- Centraliser dans un dashboard (Grafana, SIEM, outil GRC)
- Calculer un score de conformité par périmètre et le faire évoluer dans le temps
Gap analysis¶
La gap analysis compare l'état actuel aux exigences du framework et produit une liste d'ecarts priorises. Elle doit être repérée périodiquement (au moins trimestrielle) et pas seulement avant un audit.
Un ecart bien documente avec un plan de remédiation est toujours preferable a un ecart non identifié : les auditeurs valorisent la maturité du processus, pas seulement les résultats.