Policy as Code
Qu'est-ce que Policy as Code ?
Policy as CodePratique consistant à définir les règles de sécurité, de conformité et de gouvernance dans du code lisible par machine, versionné, testé, revu et appliqué automatiquement.
Policy as Code (PaC) traite les politiques organisationnelles — quelles configurations sont autorisées, qui peut faire quoi, dans quelles régions les données peuvent résider — comme du code source stocké dans un dépôt Git, testé en CI, revu par pull request et appliqué par des moteurs automatisés. Les implémentations courantes incluent OPA avec Rego, Kyverno pour Kubernetes, HashiCorp Sentinel pour Terraform, AWS Config Rules et Azure Policy. PaC supprime l'ambiguïté des PDF et wikis : un refus de conteneurs privilégiés devient un test qui échoue, et les rapports de conformité se génèrent à partir des mêmes règles. L'approche fait passer la gouvernance à l'échelle de plusieurs équipes et clouds, s'intègre aux pipelines DevSecOps et produit des preuves auditables.
● Exemples
- 01
Une règle Rego OPA refusant tout Pod Kubernetes sans readinessProbe en production.
- 02
Une politique Sentinel bloquant les plans Terraform créant des buckets S3 non chiffrés.
● Questions fréquentes
Qu'est-ce que Policy as Code ?
Pratique consistant à définir les règles de sécurité, de conformité et de gouvernance dans du code lisible par machine, versionné, testé, revu et appliqué automatiquement. Cette notion relève de la catégorie Sécurité du cloud en cybersécurité.
Que signifie Policy as Code ?
Pratique consistant à définir les règles de sécurité, de conformité et de gouvernance dans du code lisible par machine, versionné, testé, revu et appliqué automatiquement.
Comment fonctionne Policy as Code ?
Policy as Code (PaC) traite les politiques organisationnelles — quelles configurations sont autorisées, qui peut faire quoi, dans quelles régions les données peuvent résider — comme du code source stocké dans un dépôt Git, testé en CI, revu par pull request et appliqué par des moteurs automatisés. Les implémentations courantes incluent OPA avec Rego, Kyverno pour Kubernetes, HashiCorp Sentinel pour Terraform, AWS Config Rules et Azure Policy. PaC supprime l'ambiguïté des PDF et wikis : un refus de conteneurs privilégiés devient un test qui échoue, et les rapports de conformité se génèrent à partir des mêmes règles. L'approche fait passer la gouvernance à l'échelle de plusieurs équipes et clouds, s'intègre aux pipelines DevSecOps et produit des preuves auditables.
Comment se défendre contre Policy as Code ?
Les défenses contre Policy as Code combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Policy as Code ?
Noms alternatifs courants : PaC.
● Termes liés
- cloud-security№ 756
OPA (Open Policy Agent)
Moteur de politiques généraliste, gradué CNCF, qui découple les décisions d'autorisation des applications et de l'admission Kubernetes via le langage Rego.
- cloud-security№ 991
Sécurité as Code
Pratique consistant à exprimer contrôles, tests et infrastructure de sécurité sous forme de code source, versionnés, revus, automatisés et livrés en continu avec les applications.
- compliance№ 204
Conformité
Discipline visant à respecter les exigences légales, réglementaires, contractuelles et internes de sécurité par des contrôles documentés, des preuves et une évaluation continue.
- cloud-security№ 600
Sécurité de Kubernetes
Protection d'un cluster Kubernetes — son API server, son plan de contrôle, ses nœuds, ses workloads et son réseau — contre les mauvaises configurations, les compromissions et le mouvement latéral.
- cloud-security№ 1014
Sécurité du Service Mesh
Ensemble de contrôles d'identité, de chiffrement et d'autorisation qu'un service mesh fournit pour sécuriser le trafic service-à-service en environnement cloud-native.
- network-security№ 1262
Réseau Zero Trust
Architecture qui ne fait jamais confiance par défaut aux utilisateurs, terminaux ou services et impose une vérification continue, basée sur l'identité, de chaque connexion.