Said OULMAKHZOUNE Comprendre Type I vs. Type II : pourquoi la distinction est importante Les rapports SOC 2 existent sous deux formes, et la distinction est cruciale pour les organisations qui s’appuient sur les pipelines CI/CD pour la livraison logicielle. Type I (Point dans le temps) : Évalue si les contrôles sont correctement conçus et implémentés à … Lire la suite
NIS2 Article 21(2)(d) : exigences de sécurité de la chaîne d’approvisionnement L’article 21(2)(d) de NIS2 exige des entités essentielles et importantes qu’elles traitent la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs directs ou prestataires de services. Pour les organisations qui … Lire la suite
Introduction : pourquoi les pipelines CI/CD relèvent du périmètre SOC 2 La livraison logicielle moderne repose sur les pipelines CI/CD comme mécanisme central par lequel les changements de code passent du développement à la production. Pour les organisations poursuivant une attestation SOC 2, ces pipelines ne sont pas simplement une infrastructure d’ingénierie — ce sont … Lire la suite
Pourquoi les pipelines CI/CD relèvent du périmètre SMSI ISO 27001 Les pipelines d’intégration et de livraison continues (CI/CD) ne sont pas de simples outils d’ingénierie — ce sont des installations de traitement de l’information qui manipulent du code source, des identifiants, des clés cryptographiques et des autorisations de déploiement en production. Selon ISO 27001, tout … Lire la suite
NIS2 Article 23 : Vue d’ensemble des exigences de signalement d’incidents NIS2 Article 23 impose des obligations strictes de notification d’incidents aux entités essentielles et importantes. Les organisations doivent signaler les incidents significatifs à leur CSIRT national ou autorité compétente dans des délais stricts : Alerte précoce : Dans les 24 heures suivant la prise … Lire la suite
Vue d’ensemble : NIS2 Article 21 et mesures de gestion des risques de cybersécurité La Directive NIS2 Article 21 établit les mesures de base de gestion des risques de cybersécurité que les entités essentielles et importantes doivent mettre en œuvre. Pour les organisations s’appuyant sur des pipelines CI/CD pour livrer des logiciels, ces exigences se … Lire la suite
Introduction Cette checklist est conçue pour les revues d’audit formelles de la gestion des risques ICT tiers sous DORA Article 28. Elle s’adresse simultanément à deux audiences : Chaque section couvre un domaine spécifique de l’Article 28 avec : la checklist d’audit formelle (Oui / Non / Preuve), les attentes d’implémentation correspondantes pour les ingénieurs, … Lire la suite
Introduction Cet article relie les obligations de DORA Article 28 aux contrôles techniques concrets et aux preuves que les auditeurs s’attendent à vérifier. Il fait le pont entre deux perspectives complémentaires : L’objectif est d’éliminer l’ambiguïté entre le texte réglementaire, l’outillage, la gouvernance et la conformité — et de fournir une référence unique pour la … Lire la suite
Introduction Les approches traditionnelles de conformité reposent fortement sur des audits périodiques, la collecte manuelle de preuves et une documentation statique. Bien que ce modèle puisse satisfaire les exigences réglementaires de base, il peine à suivre le rythme des pratiques modernes de livraison logicielle portées par l’intégration continue et la livraison continue (CI/CD). Dans les … Lire la suite
Section A — Gouvernance & Inventaire Contrôle Oui Non Référence de preuve Un inventaire complet des fournisseurs liés au CI/CD existe ☐ ☐ La classification de criticité des fournisseurs est définie ☐ ☐ Un propriétaire métier est formellement désigné ☐ ☐ Un propriétaire technique est formellement désigné ☐ ☐ Une évaluation annuelle des risques est … Lire la suite
