Sécurité et audit des accès

Contrôler ce que Codex peut voir et faire

La sécurité est un enjeu majeur quand un agent IA accède à votre code source. Codex a été conçu avec des gardes-fous, mais il est de votre responsabilité de les configurer correctement.

Le modèle de sécurité de Codex

Isolation par sandbox

Chaque tâche Codex s’exécute dans un sandbox isolé :

• Pas d’accès Internet pendant l’exécution (sauf aux registres de packages pré-autorisés)
• Pas d’accès aux autres repos : une tâche sur le repo A ne peut pas lire le repo B
• Pas de persistance : le sandbox est détruit après la tâche
• Pas d’exécution arbitraire : Codex ne peut lancer que les commandes documentées dans AGENTS.md

Ce que Codex peut voir

Codex a accès en lecture à :

• Tout le contenu du repository connecté (code, configs, docs)
• L’historique Git du repository
• Les variables d’environnement non sensibles que vous configurez

Codex ne voit pas :

• Les secrets de votre .env de production
• Les autres repositories non connectés
• Votre système de fichiers local
• Vos credentials de services tiers

Protéger les données sensibles

Fichiers à exclure

Créez un fichier .codexignore à la racine du repo (même syntaxe que .gitignore) :

# .codexignore
.env*
secrets/
credentials/
*.pem
*.key
config/production.json

Les fichiers listés dans .codexignore sont invisibles pour Codex, même s’ils sont dans le repository.

Variables d’environnement

Ne mettez jamais de vrais secrets dans AGENTS.md. Utilisez des placeholders :

## Variables d'environnement
Les commandes de test utilisent des variables fictives :
- DATABASE_URL=postgresql://test:test@localhost:5432/test_db
- AUTH_SECRET=test-secret-for-development-only

Logs d’audit

Ce qui est loggé

Le plan Enterprise fournit des logs d’audit détaillés :

• Qui : quel utilisateur a lancé la tâche
• Quoi : la description de la tâche
• Où : quel repository et quels fichiers ont été lus/modifiés
• Quand : horodatage précis
• Résultat : succès, échec, ou rejeté

Consulter les logs

Organization Settings → Audit Logs

Les logs sont filtrables par utilisateur, par repository, par période, et par type d’action. Ils sont exportables en CSV pour une analyse externe.

Alertes

Configurez des alertes pour les événements critiques :

• Tâche lancée sur un repo sensible
• Plus de X tâches en une heure par un même utilisateur
• Modification de fichier de configuration (package.json, tsconfig.json, etc.)
• Tentative d’accès à un fichier dans .codexignore

Conformité et réglementation

RGPD

Si votre code traite des données personnelles européennes :

• Vérifiez que votre plan OpenAI inclut le DPA (Data Processing Agreement)
• Configurez la région de traitement (EU si disponible)
• Documentez l’utilisation de Codex dans votre registre des traitements
• Informez les équipes que le code est analysé par un service tiers

SOC 2 / ISO 27001

Pour les organisations certifiées :

• Codex est certifié SOC 2 Type II (vérifiez la dernière date)
• Les logs d’audit satisfont les exigences de traçabilité
• L’isolation par sandbox répond aux exigences de séparation des environnements

Bonnes pratiques de sécurité

Points clés à retenir

• Codex fonctionne dans un sandbox isolé sans accès Internet
• Utilisez .codexignore pour masquer les fichiers sensibles
• Les logs d’audit tracent toutes les actions de Codex
• Vérifiez la conformité RGPD si vous traitez des données européennes
• Ne mettez jamais de vrais secrets dans AGENTS.md