Par où commencer avec la supply chain security

XZ Utils, Polyfill.io, tj-actions : les attaques récentes montrent que la supply chain logicielle ne concerne plus seulement les dépendances open source, mais aussi les pipelines CI/CD, les registres, les actions tierces et les artefacts publiés. L’objectif n’est pas de tout sécuriser d’un coup, mais de commencer par les contrôles qui réduisent réellement le risque.

Actualité 2025

Le compromis tj-actions/changed-files (mars 2025) a montré à quel point le pinning sur SHA et la réduction des permissions CI/CD sont devenus des mesures de base. Les secrets de milliers de repos se sont retrouvés exposés via les logs.

Cette page vous aide à identifier votre problème principal, choisir la bonne rubrique, et passer à l’action cette semaine — sans vous perdre dans un guide exhaustif.

Les 4 portes d’entrée

Selon votre situation actuelle, commencez par la rubrique qui correspond à votre besoin prioritaire.

1. Vous manquez de visibilité sur vos composants

Symptôme : vous ne savez pas exactement ce qui compose vos artefacts, ni ce qui tourne réellement en production.

Commencez par :

SBOM de A à Z Inventorier tous vos composants

xBOM : l'écosystème complet Build, runtime, services, crypto, IA

VEX Qualifier les vulnérabilités

Syft Générer des SBOM en CLI

2. Votre pipeline est votre point faible

Symptôme : vos workflows CI/CD utilisent des actions taguées, ont des permissions trop larges, ou manipulent des secrets sans contrôle strict.

Commencez par :

OWASP Top 10 CI/CD Les 10 risques majeurs des pipelines

Hardening build Linux Sécuriser votre environnement de build

Gouvernance du code source Contrôler qui peut modifier quoi

Gitleaks Scanner les secrets dans le code

3. Vous voulez garantir l’intégrité de vos artefacts

Symptôme : impossible de prouver que vos images Docker viennent bien de vous, ni qu’elles ont été construites par votre pipeline légitime.

Commencez par :

Sigstore L'écosystème de signature keyless

Cosign Signer vos images conteneurs

in-toto Attestations de provenance

Provenance SLSA Niveaux de maturité

4. Vous devez évaluer, décider et vous conformer

Symptôme : vous adoptez des dépendances sans critères clairs, vous ne savez pas comment évaluer vos fournisseurs, ou vous devez préparer CRA/NIS2.

Commencez par :

OpenSSF Scorecard Évaluer la posture d'un projet

Sécuriser les dépendances Critères d'adoption

Kusari Automatiser les décisions go/no-go

TPRM technique Évaluer vos fournisseurs tiers

Auto-évaluation rapide

Répondez à ces 6 questions pour identifier vos lacunes et la rubrique à consulter en priorité.

Question	Si non, allez vers
Savez-vous ce qui compose vos artefacts (SBOM) ?	Inventaires et BOM
Savez-vous ce qui tourne réellement en production ?	xBOM / OBOM
Vos pipelines peuvent-ils être modifiés ou détourner des secrets ?	OWASP Top 10 CI/CD
Vérifiez-vous l’intégrité et la provenance de vos artefacts ?	Signer, attester, vérifier
Évaluez-vous vos dépendances et fournisseurs avant adoption ?	Évaluer et décider
Avez-vous identifié vos obligations CRA / NIS2 ?	Guide CRA

Glissez pour voir

Les 5 quick wins à faire cette semaine

Pas le temps de tout lire ? Ces 5 actions réduisent immédiatement votre surface d’attaque.

1. Générez un SBOM sur un projet critique

   syft . -o cyclonedx-json > sbom.json && syft . -o table

   Découvrez les dépendances transitives que vous ignoriez.

2. Scannez ce SBOM pour les CVE critiques

   grype sbom:sbom.json --fail-on critical

   Corrigez d’abord les Critical et High.

3. Auditez vos workflows CI/CD

   Remplacez les actions taguées par des SHA immuables :

   # ❌ Dangereux
   - uses: actions/checkout@v4
   
   # ✅ Sécurisé
   - uses: actions/checkout@b4ffde65f46336ab88eb53be808477a3936bae11

4. Activez le scan de secrets

   gitleaks detect --source . -v

   Intégrez en pre-commit ou en CI pour bloquer les PR contenant des secrets.

5. Définissez une règle simple

   “Aucune image de production non signée ne sera déployée d’ici 6 mois.”

   C’est un objectif clair qui oriente les prochaines étapes.

Parcours conseillé par rôle

Développeur

Votre impact : vous êtes en première ligne pour intégrer les bonnes pratiques dès l’écriture du code.

Cette semaine :

1. Épinglez vos dépendances (versions exactes dans les lock files)
2. Installez un pre-commit hook Gitleaks
3. Lancez syft . -o table pour visualiser votre SBOM
4. Signez vos commits avec gitsign

Lectures prioritaires : SBOM, Gitleaks, gitsign

DevOps / SRE

Votre impact : vous contrôlez les pipelines et l’infrastructure — les cibles privilégiées des attaquants.

Cette semaine :

1. Auditez et durcissez vos workflows CI/CD (permissions, SHA, secrets)
2. Intégrez SBOM + scan de vulnérabilités dans la CI
3. Planifiez la signature des images avec Cosign
4. Évaluez Kyverno pour la vérification Kubernetes

Lectures prioritaires : OWASP Top 10 CI/CD, Hardening build, Cosign

Architecte / RSSI

Votre impact : vous définissez les standards et préparez la conformité.

Cette semaine :

1. Définissez la politique SBOM : format (CycloneDX), fréquence, stockage
2. Choisissez le niveau SLSA cible par type d’artefact
3. Évaluez GUAC vs Dependency-Track pour la centralisation
4. Initiez la roadmap CRA (obligations de reporting dès septembre 2026)

Lectures prioritaires : xBOM, SLSA, TPRM technique

Checklist minimale

Action	Priorité	Fait
Générer un SBOM sur un projet critique	🔴 Critique	☐
Scanner les vulnérabilités (Grype, Trivy)	🔴 Critique	☐
Activer Dependabot ou GitLab Security	🔴 Critique	☐
Épingler les versions de dépendances	🔴 Critique	☐
Auditer les permissions CI/CD	🟠 Haute	☐
Épingler les actions GitHub sur SHA	🟠 Haute	☐
Scanner les secrets (Gitleaks)	🟠 Haute	☐
Signer les images (Cosign)	🟡 Moyenne	☐
Générer des attestations SLSA	🟡 Moyenne	☐
Déployer GUAC ou Dependency-Track	🟢 Avancé	☐

Glissez pour voir

Conformité : ce qu’il faut savoir maintenant

Le Cyber Resilience Act (CRA) européen formalise l’importance du SBOM et de la documentation supply chain :

• 11 septembre 2026 : obligations de reporting des vulnérabilités
• 11 décembre 2027 : entrée en application des obligations principales (SBOM, délais de correction, notification d’incidents sous 24h)

Commencer maintenant vous donne 18 mois pour structurer vos processus sans précipitation.

NIS2 et au-delà

NIS2 impose une gestion des risques de la supply chain sans prescrire de format spécifique. Avoir un SBOM et une évaluation des tiers (TPRM) vous positionne favorablement.

Où aller ensuite

xBOM : l'écosystème complet Comprendre les inventaires au-delà du SBOM

Framework SLSA Atteindre les niveaux de maturité 1 à 3

GUAC Graphe de dépendances et corrélation

TPRM technique Évaluer vos fournisseurs tiers

×

📖 Voir la documentation →