CI/CD Article 28 : Signaux d’alerte — Checklist d’audit

par

Cette checklist met en évidence les signaux d’alerte courants liés au CI/CD au titre de DORA Article 28.

Chaque élément représente une situation fréquemment identifiée lors d’audits comme une défaillance de risque ICT tiers.

Si un ou plusieurs éléments s’appliquent, les auditeurs peuvent classer la plateforme CI/CD ou le fournisseur comme à haut risque ou non conforme.

CI/CD Red Flags — DORA Article 28 (Third-Party Risk) Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention. CI/CD Red Flags — DORA Article 28 Third-party risk failures auditors frequently flag in Git, CI/CD SaaS, runners, registries, and cloud runtime. CROSS-CUTTING (ARTICLE 28) Supplier governance Audit rights Exit strategy Evidence retention Git Hosting GitHub / GitLab SaaS Absence de droits d’audit CI/CD SaaS Orchestrator Absence de plan de sortie CI Runners Cloud execution Runners partagés Registries Artifacts + images No retention Cloud Runtime Prod services No sub-processor view ENGINEER REMEDIATION HINTS Tested exit strategy (CI/CD) Dedicated / isolated runners Supplier + sub-processor map Centralized logs + retention Auditor rule: if controls cannot produce time-bound evidence on demand, they are treated as ineffective under Article 28. Focus areas: CI/CD platform scope, contractual auditability, runner isolation, sub-processor governance, and evidence retention.
Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention.

Checklist des signaux d’alerte tiers CI/CD (Revue rapide)

Gouvernance et stratégie de sortie

  • ⬜ Aucun plan de sortie documenté pour les plateformes CI/CD SaaS
  • ⬜ Le plan de sortie existe mais n’a jamais été testé techniquement
  • ⬜ Aucune capacité d’exporter les logs et artefacts CI/CD historiques
  • ⬜ Les pipelines ne peuvent pas être redéployés sur une plateforme alternative

Infrastructure CI/CD et isolation

  • ⬜ Les tâches CI s’exécutent sur des runners partagés ou mutualisés sans garanties claires d’isolation
  • ⬜ Les mécanismes d’isolation des runners sont non documentés ou inconnus
  • ⬜ L’environnement d’exécution CI est entièrement contrôlé par le fournisseur
  • ⬜ Les secrets sont exposés à des contextes d’exécution tiers

Visibilité sur les fournisseurs et sous-traitants

  • ⬜ Le fournisseur CI/CD SaaS n’est pas répertorié dans l’inventaire des tiers ICT
  • ⬜ Les sous-traitants (cloud, runners, registres) ne sont pas identifiés
  • ⬜ Aucune classification des risques pour les tiers liés au CI/CD
  • ⬜ La criticité du fournisseur n’influence pas les contrôles appliqués

Contrôles contractuels et juridiques

  • ⬜ Les contrats CI/CD n’incluent pas de droits d’audit ou d’inspection
  • ⬜ Les droits d’audit existent mais ne sont pas pratiquement applicables
  • ⬜ Aucun SLA contractuel de notification d’incident
  • ⬜ Les clauses de sortie et de résiliation sont absentes ou floues

Preuves et auditabilité

  • ⬜ Les logs CI/CD sont conservés pendant une période courte ou indéfinie
  • ⬜ Les enregistrements d’approbation et de modification ne sont pas traçables
  • ⬜ Les métadonnées et la provenance des artefacts sont absentes
  • ⬜ Les preuves sont collectées manuellement uniquement lors des audits

Gouvernance CI/CD et application des politiques

  • ⬜ Aucune porte d’approbation pour les modifications de pipeline
  • ⬜ Utilisation non restreinte des plugins ou actions de la marketplace
  • ⬜ Aucun verrouillage de version ni revue des composants CI/CD tiers
  • ⬜ Les contrôles varient entre les pipelines sans justification

Checklist type auditeur (Oui / Non)

Point de contrôleOuiNon
Les plateformes CI/CD sont incluses dans l’inventaire des tiers ICT
Les fournisseurs CI/CD sont classifiés par risque
Les stratégies de sortie existent et sont techniquement réalisables
Les runners CI sont isolés et contrôlés
Les sous-traitants sont identifiés et gouvernés
Les droits d’audit sont définis contractuellement
Les SLA de notification d’incident sont en place
Les logs CI/CD sont conservés et protégés
Les approbations et portes de politique sont appliquées
Les preuves peuvent être produites à la demande

Signaux d’alerte expliqués (Interprétation d’audit)

Signal d’alertePourquoi les auditeurs s’en soucientContrôle attendu
Absence de plan de sortieRisque de verrouillage fournisseurStratégie de sortie technique testée
Runners partagésRisque de confidentialité et d’intégritéRunners isolés ou dédiés
Absence de visibilité sur les sous-traitantsExposition au risque cachéeCartographie complète de la chaîne d’approvisionnement
Absence de droits d’auditAucune vérification indépendanteClauses d’audit applicables
Absence de conservation des preuvesLes contrôles ne peuvent pas être prouvésConservation automatisée des logs

Comment les auditeurs utilisent cette checklist

Les auditeurs ne s’attendent pas à un risque nul.

Ils s’attendent à ce que :

  • les risques soient identifiés,
  • les contrôles soient appliqués,
  • les preuves soient disponibles et cohérentes.

Plusieurs éléments non cochés dans la même catégorie entraînent souvent :

  • une classification à haut risque,
  • des plans de remédiation,
  • des audits de suivi.

Comment utiliser cette checklist en interne

Utilisation recommandée :

  • l’exécuter avant un audit,
  • l’exécuter après l’intégration d’un nouveau fournisseur CI/CD,
  • l’inclure dans les revues des risques tiers,
  • la relier à votre Checklist de sécurité CI/CD et à votre Pack de preuves.

Contenu associé

Contexte “audit-ready”

Contenu conçu pour les environnements réglementés : contrôles avant outils, enforcement par politiques dans le CI/CD, et evidence-by-design pour l’audit.

Focus sur la traçabilité, les approbations, la gouvernance des exceptions et la rétention des preuves de bout en bout.

Voir la méthodologie sur la page About.