Policies & garde-fous
Gouvernance by design : appliquer sécurité et conformité via policy-as-code sans bloquer les équipes.
La position d’Argy est simple : la gouvernance doit être intégrée aux workflows de delivery et d’opérations.
Quand la gouvernance est une étape de revue externe, elle devient un goulot. Quand elle est codifiée, elle devient une capacité de plateforme.
Qu’est-ce qu’un garde‑fou ?
Un garde‑fou est une règle qui :
- empêche des changements risqués,
- enforce des exigences de conformité,
- rend les décisions explicites.
Exemples :
- tags/labels obligatoires,
- patterns réseau approuvés,
- exploitation et enforcement des résultats d’audits sécurité (SAST, SCA, scans conteneurs) comme preuves de delivery,
- exploitation et enforcement des résultats d’audits conformité (RGPD, DORA, benchmarks CIS) comme exigences du workflow,
- règles de provenance d’image,
- exigences de chiffrement,
- defaults least‑privilege.
Policy-as-Code (où ça s’insère)
Le policy-as-code peut valider :
- des plans IaC,
- des manifests Kubernetes,
- des paramètres de configuration.
OPA/Rego ou Kyverno sont des moteurs fréquents. L’important n’est pas l’outil mais le point d’intégration : la policy est évaluée dans le golden path.
Modes d’enforcement
Dans la réalité, on déploie la gouvernance progressivement :
- Warn : rendre les écarts visibles.
- Fail : bloquer les changements non conformes.
- Exception : bornée dans le temps, explicite, auditable.
Aller plus loin
- Vue d’ensemble : Modèle de sécurité
- Comment les garde‑fous sont embarqués : Concevoir des modules