10-8 · Chapitre 10 · 6 min de lecture

Quand votre garde-fou de sécurité ne fonctionne plus : mesurer et améliorer l'efficacité du pipeline

Vous avez mis en place des scans de sécurité, des vérifications de conformité et des quality gates. Six mois plus tard, les développeurs multiplient les exceptions, l'équipe sécurité se noie dans les faux positifs et personne ne fait plus confiance au pipeline. Ce n'est pas un problème d'outil, mais d'efficacité des garde-fous.

Quand votre garde-fou de sécurité ne fonctionne plus : mesurer et améliorer l'efficacité du pipeline

Vous avez mis en place des scans de sécurité, des vérifications de conformité et des quality gates dans votre pipeline. Tout semblait solide. Six mois plus tard, les développeurs multiplient les demandes d'exception, l'équipe sécurité se noie dans les faux positifs et personne ne fait plus confiance aux résultats du pipeline.

Ce n'est pas un problème d'outil. C'est un problème d'efficacité des garde-fous.

Les garde-fous que vous installez aujourd'hui ne conviendront plus à votre équipe dans six mois. Les équipes changent. Les bibliothèques sont mises à jour. Les règles de conformité évoluent. De nouveaux vecteurs d'attaque apparaissent. Si vous n'évaluez jamais vos garde-fous, deux choses se produisent : ils deviennent trop laxistes et laissent passer de vrais problèmes, ou ils deviennent trop stricts et les développeurs trouvent des moyens de les contourner.

Comment savoir si votre garde-fou fonctionne ?

La façon la plus simple de mesurer l'efficacité d'un garde-fou est d'examiner les données que votre pipeline produit déjà. Vous n'avez pas besoin d'une plateforme d'observabilité séparée pour cela. Votre système CI/CD, vos outils de sécurité et votre système de tickets contiennent déjà les chiffres.

Commencez par trois métriques.

Pour calculer votre taux de faux positifs à partir d'un workflow GitHub Actions, exécutez ce script contre l'API :

#!/bin/bash
# Calcul du taux de faux positifs à partir des résultats de scan de sécurité GitHub Actions
# Nécessite : gh CLI authentifié, jq installé

REPO="owner/repo"
DAYS=30

# Récupère tous les runs de workflow terminés pour un workflow de scan de sécurité
gh api "/repos/$REPO/actions/runs?event=pull_request&status=completed&created=>=$(date -d "$DAYS days ago" -I)" \
  --jq '.workflow_runs[] | select(.name | test("security-scan")) | .id' \
  | while read -r run_id; do
      # Récupère les annotations (avertissements/échecs) pour chaque run
      gh api "/repos/$REPO/check-runs/$run_id/annotations" \
        --jq '.[] | select(.annotation_level == "failure") | .message'
    done \
  | sort | uniq -c | sort -rn | head -20

# Examine manuellement les principaux résultats pour estimer les faux positifs
# Puis calcule : nombre_de_faux_positifs / nombre_total_de_resultats * 100

Taux de faux positifs. Combien de résultats se sont avérés inoffensifs après une vérification manuelle ? Si ce nombre est élevé, votre équipe se lassera et commencera à ignorer les résultats des scans. Un taux de faux positifs de 30 % peut encore être tolérable. Un taux de 70 % signifie que votre garde-fou est du bruit, pas une protection.

Taux de contournement. Combien de modifications sont passées par un mécanisme d'exception ? Si ce nombre ne cesse d'augmenter, votre garde-fou est soit trop strict, soit mal aligné avec la réalité. Un taux de contournement qui croît chaque mois est un signe d'alarme indiquant que vos règles ne correspondent pas à la façon dont votre équipe travaille réellement.

Délai moyen de réponse. Combien de temps s'écoule entre l'apparition d'un résultat et le moment où quelqu'un agit dessus ? Si les résultats restent là pendant des jours, votre garde-fou ne protège rien. Un résultat qui met une semaine à être traité pourrait tout aussi bien ne pas exister.

Examinez ces chiffres à chaque sprint ou chaque mois. Mais ne vous contentez pas de regarder les graphiques. Observez les tendances derrière les chiffres.

Lisez les tendances, pas seulement les chiffres

Un taux de contournement élevé pour la même règle dans plusieurs équipes signifie que la règle elle-même est probablement erronée. Peut-être que le seuil est trop bas. Peut-être que la règle ne s'applique pas à ce type de code. Peut-être que l'outil est mal configuré.

Une seule équipe soumettant de nombreuses exceptions alors que d'autres n'en soumettent aucune peut indiquer que cette équipe a un contexte différent. Sa base de code est peut-être plus ancienne. Ses dépendances sont peut-être différentes. Son modèle de déploiement ne correspond peut-être pas aux règles standard.

Un scan qui signale systématiquement la même bibliothèque comme une vulnérabilité, même après que l'équipe a confirmé qu'elle n'est pas exploitable dans son contexte, signifie que vous devez configurer la liste de suppression. Ne laissez pas le même faux positif faire perdre du temps à tout le monde à chaque build.

Une augmentation soudaine des faux positifs après une mise à jour d'outil signifie que la nouvelle version a modifié sa logique de détection. Vous devez revoir les règles, pas simplement accepter les nouveaux paramètres par défaut.

Ces tendances vous indiquent ce qu'il faut ajuster. Mais l'ajustement n'est pas une porte ouverte à tous les changements.

Comment ajuster les garde-fous sans briser la confiance

Chaque modification d'un garde-fou doit suivre le même processus que les modifications de code. Écrivez-la. Révisez-la. Testez-la. Enregistrez-la. Cela empêche les équipes d'assouplir les règles simplement parce qu'elles sont pressées.

Planifiez une revue périodique des garde-fous. Chaque mois ou chaque trimestre, réunissez l'équipe sécurité, l'équipe plateforme et des représentants des équipes de développement. Examinez les données. Discutez des règles qui doivent être renforcées et de celles qui doivent être assouplies. Convenez des changements et documentez-les.

Cette réunion ne vise pas à approuver des exceptions. Elle vise à améliorer le système. Si la même exception revient sans cesse, modifiez la règle. Si une règle n'attrape jamais rien de réel, supprimez-la. Si une règle génère trop de faux positifs, ajustez son seuil.

Une chose souvent négligée : les retours des personnes qui utilisent réellement le pipeline. Les développeurs qui interagissent quotidiennement avec les garde-fous savent exactement quelles règles ont du sens et lesquelles sont simplement frustrantes. Si le pipeline échoue constamment pour des raisons qui ne s'appliquent pas à leur contexte, ils trouveront des moyens de le désactiver.

N'attendez pas les plaintes. Sollicitez régulièrement des retours. Utilisez les rétrospectives. Envoyez un court sondage. Ou regardez simplement les commentaires dans les pull requests qui incluent des demandes d'exception. Ces commentaires vous indiquent exactement où le garde-fou échoue.

L'objectif réel n'est pas zéro échec

Une idée reçue courante est qu'un bon garde-fou fait échouer le pipeline rarement. C'est faux. Un bon garde-fou attrape les vrais problèmes avant qu'ils n'atteignent la production, tout en laissant passer rapidement les modifications sûres.

Si votre garde-fou échoue trop souvent pour des modifications inoffensives, votre équipe perd confiance. Elle commence à ignorer les résultats. Elle soumet des exceptions sans les lire. Elle traite le pipeline comme de la bureaucratie, pas comme une protection.

Si votre garde-fou n'échoue presque jamais, votre équipe se sent en sécurité alors qu'elle ne devrait pas l'être. Elle cesse de penser à la sécurité parce que le pipeline attrapera tout. Mais aucun pipeline n'attrape tout.

L'équilibre entre ces deux extrêmes n'est pas quelque chose que vous définissez une fois pour toutes. C'est quelque chose que vous trouvez en mesurant, en évaluant et en ajustant en continu.

Liste de contrôle pratique pour la revue des garde-fous

Chaque mois ou chaque sprint, parcourez cette liste :

Vérifiez le taux de faux positifs pour chaque type de scan. S'il dépasse 40 %, enquêtez.
Vérifiez la tendance du taux de contournement. S'il augmente pendant trois périodes consécutives, révisez les règles contournées.
Vérifiez le délai moyen de réponse pour les résultats critiques. S'il dépasse 48 heures, révisez le chemin d'alerte et d'escalade.
Passez en revue les cinq principales règles ayant généré le plus d'exceptions. Demandez-vous si chaque règle a toujours du sens.
Recueillez un retour des développeurs sur ce qui les frustre le plus dans le pipeline.
Vérifiez si des mises à jour d'outils ou de dépendances ont modifié le comportement des scans au cours du dernier mois.

Cela prend trente minutes. Cela permet d'économiser des heures de débogage inutile et de développeurs frustrés.

Après des garde-fous efficaces

Une fois que vos garde-fous fonctionnent bien, l'étape suivante consiste à les gérer depuis un endroit unique. Les différentes équipes ne devraient pas configurer leurs propres outils de sécurité de manière indépendante. Différents projets ne devraient pas avoir des règles différentes pour le même type de risque. C'est là qu'intervient l'ingénierie de plateforme : une couche unifiée qui standardise les règles, les outils et les configurations pour toutes les équipes.

Mais c'est un sujet pour un autre article. Pour l'instant, concentrez-vous sur le fait de rendre vos garde-fous actuels mesurables, révisables et ajustables. Un garde-fou que vous n'évaluez jamais n'est pas un garde-fou. C'est juste un mur que tout le monde apprend à escalader.