Intégrez la conformité à vos workflows DevSecOps avec GitLab

La conformité n'est plus une formalité, mais un vecteur stratégique : elle aide à maîtriser les risques opérationnels, renforce la confiance des clients et améliore la performance globale. Pourtant, trouver l'équilibre entre exigences de conformité et vélocité peut s'avérer particulièrement complexe pour les équipes de développement logiciel. Les frameworks de conformité personnalisés de GitLab apportent une réponse concrète à cette problématique en intégrant la vérification de la conformité directement dans vos workflows de développement.

Découvrez dans cet article tout ce que vous devez savoir sur les frameworks de conformité personnalisés de GitLab et comment les utiliser de façon optimale.

Qu’est-ce qu’un framework de conformité personnalisé ?

Les frameworks de conformité personnalisés de GitLab vous permettent de définir, d'appliquer et de faire respecter vos propres normes de conformité directement dans votre instance GitLab. GitLab propose déjà des fonctionnalités de conformité « prêtes à l’emploi », mais chaque entreprise a ses propres obligations. Avec les frameworks personnalisés, vous pouvez donc définir vos propres stratégies de conformité en fonction de réglementations spécifiques, de vos politiques internes ou des normes de votre secteur.

Ces frameworks offrent les principaux avantages suivants :

• Réduction significative du suivi manuel
• Accélération de la préparation aux audits
• Intégration native des contrôles de conformité

GitLab propose à ce jour plus de 50 contrôles préconfigurés, modifiables, que vous pouvez activer selon vos besoins. Ils couvrent un large éventail de réglementations, comme la loi HIPAA dans le domaine de la santé, le RGPD pour la protection des données, la norme SOC 2 relative aux prestataires de services et bien d'autres réglementations propres à des secteurs d'activité spécifiques. En voici quelques exemples :

• Séparation des tâches : au moins deux approbateurs requis, y compris l'auteur de la merge request
• Scanners de sécurité : scans SAST et analyse des dépendances exécutés automatiquement
• Authentification/autorisation : visibilité du projet définie sur privé et authentification unique (SSO) activée
• Configuration de l'application : vérification obligatoire des statuts de conformité et utilisation de fichiers de configuration Terraform exigée

En outre, vous pouvez étendre les capacités de conformité de GitLab en configurant vos propres contrôles sur des environnements externes à l'aide de l'API GitLab.

Comment créer un framework de conformité personnalisé dans GitLab ?

Maintenant que nous avons clarifié l’importance des frameworks de conformité personnalisés, voyons comment les mettre en œuvre dans votre environnement GitLab, en utilisant l'application de démonstration reprise dans la vidéo ci-dessous.

Remarque : un abonnement GitLab Ultimate est requis.

Étape 1 : définissez vos exigences de conformité

Avant de créer votre framework de conformité personnalisé, vous devez définir clairement vos exigences en la matière :

1. Identifiez les réglementations applicables : déterminez les obligations légales et normes qui s'appliquent à votre entreprise (par exemple, le RGPD, la norme PCI DSS ou la loi HIPAA).
2. Associez les exigences à des contrôles : décomposez chaque exigence réglementaire identifiée en contrôles spécifiques et exploitables.
3. Hiérarchisez les exigences : concentrez vos efforts sur les domaines à haut risque et les exigences à fort impact.

Étape 2 : créez votre framework de conformité personnalisé dans GitLab

Voici comment procéder :

1. Accédez à la section Sécurisation > Centre de conformité de votre groupe GitLab.
2. Cliquez sur le bouton Nouveau framework.
3. Sélectionnez Créer un framework vide.

4. Renseignez son nom, sa description et choisissez sa couleur.

5. Ajoutez des exigences :
   a. Accédez à l'onglet Exigences.

   b. Cliquez sur le bouton Nouvelle exigence.

   c. Fournissez un nom et une description.
   d. Dans la section Contrôles, sélectionnez Choisir un contrôle GitLab.
   e. Sélectionnez un contrôle dans la liste (par exemple, au moins deux approbations, l'exécution de scans SAST).
   f. Cliquez ensuite sur le bouton Créer une exigence.

6. Cliquez sur le bouton Créer un framework.

Une fois créé, ce framework pourra être appliqué à vos projets selon les paramètres définis. Par ailleurs, GitLab permet également d'importer des frameworks de conformité au format JSON, selon le schéma prévu.

Étape 3 : appliquez le framework à vos projets

Une fois votre framework de conformité créé, suivez les étapes ci-dessous pour l’appliquer à un ou plusieurs projets :

1. Accédez au Centre de conformité de GitLab, puis sélectionnez l'onglet Projets.
2. Utilisez la barre de recherche pour Rechercher ou Filtrer les projets concernés.
3. Sélectionnez le ou les projets dans la liste.
4. Cliquez sur le bouton Choisir une action groupée.
5. Sélectionnez Appliquer les frameworks aux projets sélectionnés.
6. Cliquez sur le bouton Sélectionner des frameworks.
7. Sélectionnez le ou les frameworks de votre choix dans la liste.
8. Cliquez sur le bouton Appliquer.

Une fois cette opération effectuée, le framework sélectionné est associé aux projets choisis. Les exigences définies sont alors visibles et peuvent être vérifiées directement dans l'interface GitLab.

Étape 4 : surveillez et générez des rapports de conformité

Une fois votre framework de conformité en place, GitLab vous offre un suivi continu et centralisé dans le Centre de conformité :

1. Suivez le statut de conformité de vos projets, y compris les détails sur les contrôles appliqués, ainsi que des correctifs suggérés pour les contrôles ayant échoué.
2. Générez des rapports de conformité pour les audits et l'examen par les parties prenantes.
3. Configurez des alertes de conformité pour informer les parties prenantes des problèmes de conformité potentiels.
4. Consultez les événements d'audit pour une vue d'ensemble des mesures prises concernant les paramètres de conformité.

Exemple : mise en œuvre d'un framework de conformité SOC 2

Le SOC 2 (System and Organization Controls 2), développée par l'American Institute of Certified Public Accountants, est une norme d'audit rigoureuse qui évalue les contrôles mis en œuvre par les prestataires de services en matière de sécurité, de disponibilité, d'intégrité du traitement des données, de confidentialité et de protection des données personnelles. Pour en savoir plus, consultez le guide sur le respect des exigences de sécurité SOC 2 avec GitLab.

Voici un exemple concret d'implémentation d'un framework de conformité personnalisé GitLab dont l'objectif est de vérifier la conformité à la norme de sécurité SOC 2 à l’aide des contrôles GitLab préconfigurés suivants :

• Contrôles contre les accès non autorisés
• Procédures d'identification et d'atténuation des risques
• Systèmes de détection et de gestion des incidents de sécurité

Avertissement : il ne s'agit là que d'un exemple qui illustre certains des contrôles possibles pour vérifier l'adhésion à la norme SOC 2. Avant toute mise en production, validez votre configuration avec votre équipe sécurité ou conformité.

Ce framework se présentera comme suit :

• Nom : Exigences de sécurité SOC 2

• Description : Ajout des exigences de sécurité pour la conformité au framework SOC 2

• Exigences :

  • Contrôles contre les accès non autorisés

    • Authentification SSO activée
    • Portée des tokens pour les jobs CI/CD activée
    • Authentification multifacteur requise au niveau de l'entreprise

• Procédures d'identification et d'atténuation des risques

  • Au moins deux approbations requises avant tout merge
  • Merge request approuvée par l'auteur
  • Merge request approuvée par les validateurs
  • Branche par défaut protégée

• Systèmes de détection et de gestion des incidents de sécurité

  • Analyse des dépendances activée
  • SAST activé
  • DAST activé

Lorsqu'il est appliqué à vos projets, ce framework vous permet de surveiller toute erreur de conformité et d'identifier les corrections envisageables. Notez que vous pouvez associer plusieurs frameworks de conformité à vos projets, par exemple, pour couvrir les exigences d'intégrité des processus SOC 2.

Comment définir des stratégies de sécurité en accord avec les exigences de conformité ?

Bien que cet aspect ne soit pas obligatoire, il est fortement recommandé d'appliquer des stratégies de sécurité aux projets associés à un framework de conformité personnalisé. Cette approche garantit que les exigences de conformité critiques sont correctement appliquées de manière automatisée et cohérente dans les pipelines CI/CD. Par exemple, si votre framework de conformité personnalisé impose que des scans de sécurité soient exécutés sur chaque pipeline, une stratégie de sécurité peut en forcer l’exécution.

GitLab fournit différentes stratégies de sécurité pour répondre aux différents objectifs de sécurité et de conformité :

• Stratégie d'exécution des scans : impose l'exécution de scans de sécurité dans les pipelines ou selon un calendrier précis.
• Politique d'approbation des merge requests : définit des paramètres et règles d'approbation au niveau du projet en fonction des résultats des scans.
• Stratégie d'exécution de pipeline : force l'exécution de jobs CI/CD spécifiques dans les pipelines.
• Stratégie de gestion des vulnérabilités : corrige automatiquement les vulnérabilités afin qu’elles soient supprimées de la branche par défaut.

Si votre framework de conformité personnalisé exige l'exécution de scans SAST, voici comment créer une stratégie de sécurité pour en garantir l’exécution automatique :

1. Accédez à un projet qui dispose d'un framework de conformité personnalisé incluant les scans SAST.
2. Dans la barre latérale du projet, sélectionnez Sécurisation > Politiques.
3. Cliquez sur le bouton Nouvelle stratégie.
4. Dans la section Stratégie d'exécution des scans, cliquez sur le bouton Sélectionner une stratégie.
5. Renseignez le Nom et la Description.
6. Dans la section Actions, sélectionnez SAST comme type de scan à exécuter.

7. Dans la section Conditions, sélectionnez tous les pipelines, quelle que soit la branche.

8. Cliquez sur le bouton Configurer avec une merge request.
9. Une merge request est alors créée dans un projet distinct dédié aux stratégies de sécurité appliquées à ce projet.
10. Cliquez sur le bouton Fusionner.

Désormais, les scans SAST s'exécuteront automatiquement sur toutes les branches du projet afin de garantir le respect continu des exigences de conformité. Nous vous conseillons de parcourir les autres types de stratégies de sécurité pour identifier celles qui répondent le mieux à vos besoins.

5 bonnes pratiques pour des frameworks de conformité efficaces

Pour tirer pleinement parti des frameworks de conformité personnalisés de GitLab, nous vous conseillons de suivre les principes suivants :

1. Avancez pas à pas : commencez par une seule réglementation ou norme critique avant d'aller plus loin.
2. Impliquez les principales parties prenantes : incluez les équipes de conformité, de sécurité et de développement dans la création du framework.
3. Automatisez dans la mesure du possible : utilisez GitLab CI/CD pour automatiser les contrôles de conformité.
4. Documentez minutieusement votre approche : conservez une documentation claire du lien entre chaque exigence réglementaire et les contrôles GitLab mis en place.
5. Révisez régulièrement vos frameworks : mettez à jour vos frameworks à mesure que les réglementations évoluent ou que de nouvelles exigences sont nécessaires.

Lancez-vous dès aujourd'hui

Les frameworks de conformité personnalisés de GitLab marquent une avancée majeure pour intégrer la conformité directement dans le workflow de développement DevSecOps. En les adoptant, vous réduisez les frais liés à la conformité, améliorez votre gestion des risques et accélérez vos cycles de développement logiciel, tout en garantissant la meilleure conformité possible aux exigences réglementaires.

Grâce à cette approche, vos équipes bénéficient à la fois de la flexibilité dont elles ont besoin pour répondre aux exigences réglementaires et de la structure indispensable pour garantir des pratiques de conformité cohérentes dans l'ensemble de l'entreprise.

Dans un contexte réglementaire de plus en plus exigeant, des outils comme les frameworks de conformité personnalisés de GitLab sont essentiels pour traiter la conformité comme un processus continu, sans compromettre la vélocité de développement.

Lancez-vous dès aujourd'hui avec un essai gratuit de 60 jours de GitLab Ultimate.

Pour en savoir plus, consultez nos ressources connexes :

• Documentation sur les frameworks de conformité personnalisés
• Epic sur les frameworks de conformité personnalisés
• Documentation sur les stratégies de sécurité
• Solutions de sécurité et de conformité de GitLab