AppSec Shift-Left: SAST, SCA et Secrets Scanning sans Bloquer l Equipe

Chaque fois qu un CISO annonce 'shift-left' un jeudi, une equipe plateforme passe le week-end a retirer des gates du pipeline. La promesse d attraper les vulnerabilites avant le merge est reelle, mais l execution finit souvent en SAST avec 4 000 findings, en SCA hurlant sur une CVE de 2017 dans une lib de test, et en scanner de secrets qui plante parce que quelqu un a commit un .env.example. Le resultat est previsible: PRs ignorees, builds casses, devs frustres et securite reduite a de la bureaucratie. Chez Basilisk OffSec nous traitons l AppSec comme un produit interne, avec SLA, metriques de friction et un deploiement par etapes qui demarre en warning-only et termine en blocage chirurgical.

Avant d installer le moindre outil, definis ce que tu appelles 'critique'. Sans cette definition, Semgrep, Snyk et CodeQL vont se battre pour savoir qui alarme le plus. Prends le threat model du service comme base: si tu n en as pas encore, commence par Threat Modeling STRIDE en Sprints : Exemple Complet sur un Microservice et classe les actifs en trois tiers. Pour un microservice tier-1 qui traite des PII, toute CWE-89 ou CWE-78 detectee par SAST doit casser le build. Pour un job batch interne, un rapport hebdomadaire suffit peut-etre. Ce mapping severite-par-contexte reduit de 60 a 80 pour cent les faux positifs pertinents, selon les mesures de notre pilote a 12 squads en 2025.

Le SAST seul ne resout rien. Combine Semgrep (regles YAML custom, peu chers a maintenir) avec CodeQL pour les flux de donnees plus profonds en Java et C#. Demarre en mode 'comment-only' sur GitHub: le bot poste le finding sur la PR sans faire echouer le check. Mesure deux choses pendant 30 jours: temps median entre commentaire et fix, et taux de 'wont-fix'. Si 'wont-fix' depasse 40 pour cent, c est ta baseline de regles qui est fausse, pas l equipe. Apres cette fenetre, ne promeus en gate bloquant que les regles dont la precision depasse 85 pour cent. Pour les injections web, complete avec de la pratique via SQL Injection en Pratique: Exploiter, Detecter et Mitiger dans un Lab Controle et XSS Moderne: DOM, Stored et Reflected avec Exemples Reels en Environnement de Test pour que les devs comprennent ce que le linter signale.

Le SCA est l endroit ou la plupart des equipes trebuchent. Trivy, Grype et osv-scanner sont solides, mais chacun va remonter des centaines de CVE transitives dans des dependances que tu n appelles jamais. La seule metrique qui compte est la reachability. Utilise Endor Labs, Socket ou osv-scanner avec le flag --experimental-call-analysis pour filtrer les CVE sur des fonctions non invoquees. Combine avec un SBOM signe et une politique de quarantaine, comme detaille dans Supply Chain Security: Signature Sigstore et SBOM Reels en CI/CD. Et n oublie pas le typosquatting et le namespace hijacking: un proxy interne (Artifactory, Nexus) avec allowlist resout 90 pour cent du probleme, et Dependency Confusion et Typosquatting: Defense Pratique pour Equipes Dev couvre les pieges qui passent encore.

Le scan de secrets est la victoire rapide que beaucoup ratent. Gitleaks et Trufflehog en pre-commit attrapent la fuite avant le push, mais il faut un second scanner cote serveur (GitHub Advanced Security ou Gitleaks via Action) pour couvrir le bypass du hook local. Point critique: des qu un secret est detecte sur un commit deja pushe, considere-le comme publie. Force la rotation, ne reecris pas l historique. En 2025 nous avons vu 3 incidents ou des equipes ont brule des heures sur git filter-repo pendant que la cle AWS etait deja abusee. Garde un runbook automatise qui revoque la credential en moins de 5 minutes et ouvre un ticket de post-mortem.

Les metriques de friction separent l AppSec fonctionnelle du theatre de securite. Suis quatre KPI par squad: temps median du pipeline securite (cible sous 4 minutes), taux de rerun cause par des scanners flaky (cible sous 5 pour cent), MTTR des findings critiques (cible sous 7 jours), et NPS interne des equipes produit sur l outillage. Si le NPS passe sous zero, mets en pause l expansion et enquete. Ajoute des sessions purple team mensuelles sur des flux reels, alignees avec Purple Team en Pratique: Construire une Boucle de Feedback Red vs Blue, pour verifier que ce que le SAST trouve correspond a ce que la red team exploite reellement.

Le takeaway pratique est simple: ne bascule pas tout en bloquant le jour un. Commence en warning, definis la criticite par contexte, mesure la friction, et ne promeus que les regles a precision prouvee. Six mois plus tard, tu auras un pipeline que les devs respectent parce qu il se trompe rarement, et quand il alarme, ca vaut le coup de regarder. C est ca le vrai shift-left, pas du shift-blame.