10-7 · Chapitre 10 · 5 min de lecture

Quand les résultats des scans de sécurité sont ignorés (et comment y remédier)

Votre pipeline inclut un scan de sécurité. Les outils sont configurés, les quality gates en place. Pourtant, les résultats sont ignorés. Découvrez comment rendre les findings actionnables et réduire la fatigue des notifications.

Quand les résultats des scans de sécurité sont ignorés (et comment y remédier)

Votre pipeline inclut un scan de sécurité. Les outils sont configurés. Les quality gates sont en place. Tout semble parfait sur le papier.

Mais voici ce qui se passe réellement : un développeur reçoit une notification indiquant que le pipeline a échoué à cause de CVE-2024-1234 dans une dépendance. Le log affiche un code d'erreur et un chemin de fichier interminable. Le développeur ouvre un navigateur, cherche cette CVE, lit des descriptions techniques, et tente de déterminer s'il s'agit d'un vrai danger ou simplement de bruit. Cela lui prend quinze minutes de changement de contexte. Après la troisième fois cette semaine, le développeur apprend soit à ignorer la notification, soit à trouver un moyen rapide de contourner le quality gate.

Ce n'est pas un problème d'équipe paresseuse. C'est un problème de présentation et de workflow.

Pourquoi les développeurs cessent de se soucier des résultats de scan

La plupart des outils de sécurité présentent leurs résultats d'une manière optimisée pour le reporting de conformité, pas pour l'action. Ils déversent des numéros CVE bruts, des scores de sévérité techniques et des chemins de fichiers. Ils partent du principe que le lecteur a le temps et le contexte nécessaires pour enquêter sur chaque résultat à partir de zéro.

Les développeurs évoluent dans une réalité différente. Ils sont en plein milieu de l'écriture de code, de la correction d'un bug ou de la préparation d'une release. Chaque interruption leur coûte de la concentration. Lorsqu'un résultat de scan les oblige à quitter leur éditeur, ouvrir un navigateur, rechercher une vulnérabilité, puis décider quoi faire, la friction est suffisamment élevée pour que beaucoup choisissent de l'ignorer ou de le contourner.

Le problème s'aggrave avec le temps. Lorsque les développeurs voient le même type de notification à plusieurs reprises sans instructions claires sur la conduite à tenir, ils développent une fatigue de notification. Le scan devient un bruit de fond. Le pipeline continue de tourner, les rapports sont toujours générés, mais personne ne les lit.

Rendre les findings actionnables, pas informatifs

La solution commence par changer la façon dont les résultats de scan sont présentés. Au lieu d'afficher un numéro CVE brut, incluez les informations dont un développeur a réellement besoin pour agir :

Quel est le risque réel ? Pas seulement « sévérité critique », mais « cette bibliothèque permet une exécution de code à distance ».
Quelle est la correction ? « Mettez à jour la bibliothèque X de la version 1.2.3 vers la version 1.2.4. »
Qui peut aider ? « Contactez l'équipe sécurité sur Slack au #security-help. »

Cela transforme la notification d'un avertissement en un guide. Le développeur n'a pas besoin de quitter son contexte pour déterminer la prochaine étape. Il voit le problème, la solution et où obtenir de l'aide, le tout au même endroit.

Voici un exemple de ce à quoi ressemble un résultat de scan bien structuré et actionnable en JSON :

{
  "cve": "CVE-2024-1234",
  "package": "lodash",
  "current_version": "4.17.20",
  "severity": "critical",
  "risk": "Pollution de prototype menant à une exécution de code à distance",
  "fix_version": "4.17.21",
  "owner": "team-payments",
  "remediation_url": "https://docs.internal.example.com/fix-lodash-rce",
  "contact_channel": "#security-help"
}

Le même principe s'applique aux résultats d'analyse statique, aux problèmes de conformité des licences et aux erreurs de configuration d'infrastructure. Chaque résultat doit répondre à trois questions : Quel est le problème ? Que dois-je faire ? À qui demander si je suis bloqué ?

Attribuer la propriété sans blâme

Les informations actionnables aident, mais elles ne suffisent pas à elles seules. Les résultats ont besoin d'une propriété claire. Sans propriété, tout le monde suppose que quelqu'un d'autre s'en chargera.

La propriété ne signifie pas blâmer un individu quand quelque chose tourne mal. Cela signifie que chaque résultat a une équipe responsable de son traitement dans un délai raisonnable. L'équipe qui a écrit le code à l'origine du résultat est l'équipe qui possède la correction.

Fixez des délais réalistes en fonction de la sévérité. Les résultats critiques nécessitent une attention dans les 24 heures. Les résultats de sévérité élevée peuvent avoir 72 heures. Les résultats de moindre sévérité peuvent être placés dans un backlog de sprint régulier. Les délais doivent être suffisamment agressifs pour éviter l'accumulation, mais suffisamment réalistes pour que les équipes puissent effectivement les respecter.

Rendre l'escalade automatique, pas personnelle

Lorsqu'un résultat approche de son échéance sans action, l'escalade doit se produire automatiquement. Pas par un e-mail personnel blâmant quelqu'un, mais par une notification qui remonte la chaîne.

Un modèle pratique : le pipeline envoie les résultats dans le canal Slack de l'équipe concernée sous forme de ticket pouvant être assigné, étiqueté et suivi. Si l'échéance approche, la notification remonte au canal du responsable engineering. Si elle est dépassée, elle remonte encore plus haut.

Le but n'est pas de punir. Le but est de garantir que les résultats ne soient pas perdus parce que tout le monde est occupé par d'autres tâches. L'escalade automatique crée de la visibilité sans exiger que quelqu'un joue le rôle de gendarme.

Utiliser les tendances, pas les listes brutes

Un tableau de bord qui affiche une liste brute de résultats est écrasant et inutile pour comprendre la situation dans son ensemble. Un tableau de bord qui montre les tendances raconte une histoire.

Suivez si le nombre de résultats diminue de semaine en semaine. Recherchez des schémas : certaines bibliothèques reviennent-elles systématiquement ? Certaines équipes laissent-elles plus de résultats que d'autres ? Ces données aident les équipes sécurité et engineering à avoir des conversations productives sur les problèmes systémiques, au lieu de se blâmer mutuellement pour des résultats individuels.

Lorsque les équipes peuvent voir que leurs efforts réduisent le nombre de résultats au fil du temps, le scan devient un outil d'amélioration plutôt qu'une source de friction.

Liste de contrôle pratique pour que les résultats de scan soient pris en compte

Pour chaque résultat, incluez le risque réel, la correction et un contact pour obtenir de l'aide.
Assignez chaque résultat à l'équipe propriétaire du code concerné.
Fixez des délais basés sur la sévérité : critique en 24 heures, élevé en 72 heures.
Escaladez automatiquement lorsque les délais approchent, pas par blâme personnel.
Affichez les tendances sur le tableau de bord, pas seulement des listes brutes de résultats.

Le passage du garde-barrière au guide

Lorsque les résultats de scan sont présentés comme des conseils actionnables avec une propriété claire et une escalade automatique, quelque chose change. Les équipes cessent de considérer le scan de sécurité comme une barrière à contourner. Elles commencent à le traiter comme un outil qui les aide à livrer un code plus sûr sans les ralentir.

Le pipeline cesse d'être un simple vérificateur. Il devient un enseignant. Les équipes apprennent quels types de problèmes leur code a tendance à introduire. Elles apprennent quelles bibliothèques nécessitent des mises à jour régulières. Elles apprennent à écrire du code qui passe les scans du premier coup.

C'est le véritable objectif. Non seulement trouver des vulnérabilités, mais constituer une équipe qui en produit naturellement moins au fil du temps.