Définir les politiques et le Policy as Code
Le Policy as Code (PaC) consiste à utiliser du code pour définir, automatiser, appliquer et gérer les politiques qui régissent le fonctionnement des environnements cloud natifs et de leurs ressources.
Mais avant d'aller plus loin, revenons un instant à la base. Qu'est-ce qu'une politique ? Les politiques définissent les règles, critères et conditions qui précisent comment les systèmes sont, ou doivent être, configurés, modifiés, utilisés et sécurisés. Elles décrivent aussi le comportement attendu des systèmes lorsque toutes les conditions sont remplies.
Par exemple : la politique réseau Kubernetes qui contrôle le trafic empêche les flux entrants et sortants indésirables vers et depuis les pods Kubernetes. Avant le PaC, cette politique, comme des centaines d'autres, était documentée en langage naturel. Chaque fois que des ingénieurs écrivaient du code ou interagissaient avec un logiciel, on s'attendait à ce qu'ils connaissent et respectent un nombre de politiques impossible à mémoriser. Et parce que les politiques rédigées en langage naturel se prêtent aux interprétations multiples, aux barrières linguistiques et aux nuances contextuelles, les violations de politiques étaient fréquentes. Ainsi, le code devait souvent être renvoyé aux développeurs pour corrections. Ce dépannage permanent ralentissait fortement le time-to-market (TTM) et captait du temps que les développeurs auraient pu consacrer à l'innovation.
Avec le Policy as Code, les politiques sont écrites dans un code de haut niveau, lisible par l'humain, pour les rendre accessibles à toutes les équipes : sécurité, opérations, développement et administrateurs.
Le Guide Pratique Pour Des Responsables De La Sécurité
Un guide pratique pour transformer les équipes, les processus et les outils de sécurité afin de soutenir le développement du cloud.
Les avantages du Policy as Code
Lorsqu'il est déployé sur l'ensemble de la stack, le PaC fluidifie les démarches DevOps, DevSecOps et GitOps, ainsi que les workflows de déploiement continu (CI/CD). Voici d'autres bénéfices clés du PaC.
Précision
En codifiant les politiques, les parties prenantes s'assurent que les règles veulent dire exactement ce qu'elles doivent dire. Le format de code lisible et de haut niveau du PaC garantit l'absence d'ambiguïté. Par ailleurs, le risque d'erreurs humaines liées aux processus manuels est éliminé. Autre avantage majeur : le PaC favorise la cohérence des politiques sur toute la stack. Par exemple, si vous avez mis en place des politiques de configuration réseau, vous avez l'assurance qu'elles resteront homogènes à travers les conteneurs, les machines virtuelles et au-delà.
Efficacité
Puisque les politiques sont exprimées en code, les files d'attente et cycles de revue sont réduits. Ainsi, les ingénieurs n'ont plus à retenir toutes les politiques ni à les appliquer manuellement à chaque besoin. En outre, en versionnant les politiques dans des dépôts Git, les équipes d'ingénierie peuvent suivre l'historique des modifications et revenir sans friction à une version antérieure si la plus récente pose problème. Le PaC accélère donc le développement, les tests et le déploiement, ce qui réduit le TTM et augmente la vélocité de développement.
Sécurité de l'infrastructure et du réseau
Bien mis en œuvre, le PaC peut considérablement renforcer votre posture de sécurité. En effet, avec le PaC, vous pouvez empêcher efficacement l'utilisation de frameworks, d'images de conteneurs et de logiciels issus de sources non fiables. Vous pouvez aussi bloquer la création, la suppression ou la mise en pause de certains types de ressources ; garantir que les buckets de stockage n'ont pas d'accès public en écriture non souhaité ; assainir les réseaux en restreignant l'usage d'adresses IP publiques ; et bien plus encore.
Conformité et reporting
Les organisations peuvent établir des rapports d'inventaire sur les systèmes non conformes, avec le détail des politiques spécifiques violées, en temps réel. Cela facilite la détection proactive des problèmes d'adhérence ou de dérive des politiques, ce qui réduit les incidents de non-conformité. De plus, les outils PaC rendent les audits de conformité moins pénibles, en fournissant des pistes d'audit sur qui a fait quoi, et quand.
Cas d'usage et mise en œuvre du Policy as Code
Pour tirer le meilleur parti du PaC, utilisez-le dans les scénarios suivants :
Admission reviews pour Kubernetes : combiner le Policy as Code avec un admission controller Kubernetes vous permet d'appliquer des politiques de sécurité dans vos clusters Kubernetes et d'empêcher le déploiement ou la modification de ressources si elles violent les politiques que vous avez définies de manière centralisée. Par exemple, vous pouvez :
autoriser la récupération d'images depuis des registres spécifiques uniquement – empêcher des auteurs non fiables d'introduire des risques (malware, artefacts indésirables) dans vos images ;
refuser le déploiement de pods lorsque les images conteneurs comportent des vulnérabilités critiques.
Zero trust implementation : de plus en plus d'entreprises adoptent l'IAM et le RBAC pour faciliter la zero trust implementation. En complément de l'IAM et du RBAC, le PaC – grâce à une logique de politiques très versatile – peut prendre en charge des applications zero trust plus complexes en limitant les accès fondés sur les rôles selon le temps, l'emplacement ou la durée. Le PaC peut aussi préciser les types de modifications de configuration que différents administrateurs autorisés peuvent réaliser.
Sandboxing : les entreprises peuvent créer des garde-fous — définis en code — qui s'activent automatiquement pour isoler des environnements logiciels potentiellement vulnérables ou des actions malveillantes effectuées par des workloads.
Réduction des coûts : le PaC est particulièrement utile pour le contrôle des coûts. Ainsi, vous pouvez intégrer des API fournies par des éditeurs pour calculer les coûts runtime et utiliser le PaC pour plafonner les dépenses cloud et l'usage des ressources. Une fois les mesures d'économie en place, le PaC valide les changements de configuration (comme l'augmentation des appels d'API) et les opérations de déploiement de ressources (y compris l'autoscaling) par rapport aux politiques existantes avant de les autoriser, limitant ainsi les factures surprises.
Watch 5-minute demo
Watch the demo to learn how Wiz Code scans infrastructure as code, container images, and CI/CD pipelines to catch risks early—before they reach the cloud.
Watch now
Comment fonctionne le Policy as Code ?
En PaC, les politiques sont généralement écrites dans des langages déclaratifs dédiés comme Rego, puis stockées dans des formats de fichiers tels que YAML, JSON, ou tout langage compatible avec le moteur de politiques ou de règles sous-jacent. Le moteur intègre des garde-fous qui se déclenchent automatiquement pour vérifier qu'aucune règle implémentée n'est violée.
Dans le cloud, toutes les politiques visent trois préoccupations clés. Voyons ces préoccupations et comment elles s'insèrent dans le processus pas à pas de mise en œuvre du PaC.
Préoccupations fondamentales des politiques
La sécurité, la conformité et les bonnes pratiques opérationnelles sont les piliers du Policy as Code.
Bonnes pratiques de sécurité
Les bonnes pratiques de sécurité sont des garde-fous dont les équipes sécurité se servent pour prévenir les compromissions, repérer tôt les menaces potentielles ou vulnérabilités, et traiter efficacement les incidents de sécurité. Elles incluent des pratiques qui renforcent la protection des données, la sécurité réseau et infrastructure, les contrôles d'accès et la conservation des données. Des exemples courants de politiques de sécurité sont celles qui limitent la source des images de conteneurs aux registres approuvés uniquement, et celles qui empêchent la création d'instances de calcul associées à des adresses IP publiques.
Exigences de conformité
Les exigences de conformité couvrent la conservation des données, leur stockage et la protection de la vie privée des clients, telles que mandatées par des organismes de régulation comme le RGPD (GDPR) ou le PCI DSS. Suivre plusieurs exigences de conformité tout au long du cycle de vie du développement logiciel peut devenir bloquant. Ainsi, les entreprises peuvent créer des politiques correspondantes et automatiser leur application.
Par exemple, SOC 2 définit comment les entreprises collectent, stockent et traitent les PII des clients — ainsi que qui a accès à ces données sensibles. Une politique pertinente restreindrait l'accès aux données sensibles au strict besoin d'en connaître en s'appuyant sur une stratégie de type role-based access control (RBAC). Ou encore, pensez à la politique « pas d'instance de calcul avec IP publique » évoquée plus haut : elle sert à la fois à répondre à des standards de sécurité internes et à satisfaire des exigences SOC 2.
Bonnes pratiques opérationnelles
Les bonnes pratiques opérationnelles garantissent la bonne marche de votre stack. Le provisioning, le dimensionnement et la gestion des ressources font partie des aspects opérationnels que les équipes peuvent adresser avec le PaC. Par exemple, des politiques qui encouragent le déploiement d'au moins deux instances serveurs plutôt qu'une, pour la redondance, ou qui privilégient des instances de stockage de taille moyenne pour éviter le gaspillage et réduire les coûts, facilitent les bonnes pratiques opérationnelles.
Getting started with Open Policy Agent (OPA) to improve your cloud security
En savoir plus
Mettre en œuvre le Policy as Code
Suivez ces cinq étapes pour déployer le PaC :
1. Définir et codifier les politiques
Des équipes pluridisciplinaires définissent les exigences relatives aux installations logicielles, aux configurations système et sécurité, ainsi qu'à la conformité réglementaire. Une fois les politiques définies pour refléter l'état cible de l'infrastructure, les équipes les transposent en code à l'aide d'outils propriétaires ou d'outils open source tels qu'Open Policy Agent (OPA) et Selefra. (Nous reviendrons sur ces outils open source.)
Les outils PaC mobilisent trois entrées pour faire respecter la conformité aux politiques : le code de politique, qui exécute les vérifications de conformité ; les données, c'est-à-dire les informations contre lesquelles le code vérifie les interactions des machines ou des équipes d'ingénierie ; et l'entrée de requête, qui déclenche les contrôles d'adhérence.
2. Automatiser et tester les politiques
Ensuite, l'outil PaC déploie les politiques codifiées sur l'ensemble de la stack, y compris les réseaux, les environnements de conteneurisation, les instances de stockage, les pipelines CI/CD et les environnements de test. L'outil automatise aussi l'exécution du code de politique et facilite les tests pour prévenir la dérive et garantir que les politiques codifiées signifient exactement ce que vous avez prévu.
3. Écrire et pousser le code applicatif
Une fois le PaC en place, les équipes DevSecOps peuvent écrire du code et interagir avec l'infrastructure cloud et réseau (par exemple en provisionnant des ressources cloud ou en appliquant des règles de pare-feu) tout en respectant les politiques.
4. Scanner automatiquement les violations
À intervalles planifiés, ou à chaque exécution de code et/ou provisioning de ressources, l'outil PaC recherche automatiquement des violations en évaluant l'entrée de requête par rapport au code de politique et aux données. Une fois le scan terminé, il produit un résultat de requête au format JSON indiquant sa conclusion : y a-t-il eu violation ou non ?
5. Déployer le logiciel
Si une violation est détectée, elle est signalée avec des recommandations de correction. Les équipes d'ingénierie corrigent alors les violations, puis déploient le logiciel, les mises à jour ou les changements de configuration.
The State of Code Security Report [2025]
Policy as Code (PaC) is essential for enforcing security standards, but weak branch protection settings in repositories undermine its effectiveness. The State of Code Security Report 2025 found that 66% of public repositories lack proper branch protection, making unauthorized changes easier.
Download report
PaC vs. IaC vs. SaC
Le Policy as Code (PaC), l'Infrastructure as Code (IaC) et le Security as Code (SaC) sont trois approches consistant à codifier des règles qui gouvernent les opérations IT. Toutefois, l'IaC s'appuie sur les règles PaC lors du provisioning de l'infrastructure, tandis que le SaC est un aspect du PaC qui peut être utilisé pour gérer l'infrastructure as code. Voici une comparaison d'ensemble des trois concepts.
| Paramètres | PaC | IaC | SaC |
|---|---|---|---|
| Définition | Un ensemble de règles et de critères pour votre environnement IT, écrit sous forme de code | Le code utilisé pour construire et gérer l'infrastructure en respectant les règles PaC | Un ensemble de protocoles de sécurité codifiés utilisés pour intégrer des mesures de sécurité dans le processus de développement logiciel |
| Objectif | Aligner les opérations de sécurité, la gestion de la conformité, le provisioning de l'infrastructure et la gestion des données sur les politiques réglementaires et organisationnelles | Automatiser le provisioning de l'infrastructure | Déplacer la sécurité en amont (shift-left) |
| Exemples de cas d'usage | Admission reviews pour Kubernetes, zero trust implementations, réduction des coûts, sandboxing | Provisioning d'environnements de production, de sandboxing, de test et de déploiement, et de pipelines CI/CD | Contrôles d'accès, sandboxing, tests de sécurité et scans de vulnérabilités |
Outils PaC open source
Plusieurs moteurs de politiques open source peuvent être exploités par les entreprises pour mettre en œuvre le PaC. Voici les principaux choix.
Open Policy Agent
Open Policy Agent (OPA) est un projet Graduated de la Cloud Native Computing Foundation (CNCF) conçu pour offrir un cadre cohérent de mise en œuvre du Policy as Code. Ainsi, OPA peut appliquer des politiques sur des microservices, des pipelines CI/CD, Kubernetes, des serveurs, des passerelles d'API et plus encore. Les politiques OPA sont exprimées dans un langage déclaratif de haut niveau appelé Rego.
HashiCorp Sentinel
HashiCorp Sentinel est un framework de Policy as Code qui permet aux organisations de définir, d'appliquer et de gérer des politiques sur toute leur infrastructure. Intégré à la suite d'outils HashiCorp comme Terraform, Vault et Consul, Sentinel permet une gouvernance automatisée et granulaire en garantissant l'application cohérente des politiques de conformité et de sécurité tout au long du cycle de vie de l'infrastructure.
Selefra
Selefra, pour « select from infrastructure », s'intègre aux environnements multi-cloud et SaaS, y compris Kubernetes, GitHub, AWS, Azure, GCP et Slack, pour proposer des suggestions de politiques et aider à implémenter des politiques de sécurité, d'architecture et de coûts.
Kyverno OSS
Kyverno OSS est la version open source de Kyverno. C'est un projet CNCF utilisé pour appliquer des politiques de sécurité et de gouvernance dans des environnements Kubernetes, avec des politiques codifiées en tant que ressources Kubernetes.
Kubewarden
Kubewarden est un moteur de politiques Kubernetes pour appliquer la sécurité et la conformité dans les environnements K8s, y compris au niveau des clusters et des conteneurs. Vous pouvez créer des politiques Kubewarden avec des DSL ou des langages de programmation classiques, puis utiliser des registres d'images pour les distribuer sous forme de modules WebAssembly.
PaC avec Wiz
Wiz Code renforce vos initiatives de Policy as Code en automatisant les vérifications de sécurité et de conformité tout au long de votre pipeline de développement. En définissant et en appliquant des politiques de sécurité sous forme de code, Wiz Code garantit que vos applications respectent les standards de sécurité du développement jusqu'au déploiement, réduisant le risque d'erreurs de configuration et de violations de politiques.
Avantages clés de Wiz Code pour le Policy as Code :
Application automatisée des politiques : Wiz Code applique les politiques de sécurité et de conformité à chaque étape de votre cycle de développement, garantissant que seul un code conforme atteint la production.
Politiques personnalisables : définissez facilement des règles de sécurité adaptées aux besoins spécifiques de votre organisation, pour une application cohérente sur toutes les équipes et tous les projets.
Intégration fluide aux pipelines CI/CD : intégrez les contrôles de politiques directement dans votre pipeline CI/CD, en automatisant la validation du code par rapport à des standards de sécurité et de conformité prédéfinis.
Feedback en temps réel : les développeurs reçoivent un retour immédiat sur les violations de politiques, ce qui accélère la remédiation et réduit le risque de déployer un code non conforme.
Conformité continue : grâce à une surveillance continue, Wiz Code veille à ce que tous les changements d'infrastructure et de code adhèrent aux politiques de sécurité, ce qui aide à maintenir la conformité dans des environnements cloud dynamiques.
En intégrant le Policy as Code dans votre workflow de développement avec Wiz Code, vous assurez une application cohérente de la sécurité et de la conformité, vous rationalisez les processus de développement et vous réduisez le risque de violations de politiques dans votre infrastructure cloud.
Sécurisez et assurez la conformité sur l'ensemble de votre stack avec des politiques contextuelles et contrôlées par l'entreprise dès aujourd'hui. Demandez une démo pour commencer.
