Pourquoi les pipelines CI/CD relèvent du périmètre SMSI ISO 27001 Les pipelines d’intégration et de livraison continues (CI/CD) ne sont pas de simples outils d’ingénierie — ce sont des installations de traitement de l’information qui manipulent du code source, des identifiants, des clés cryptographiques et des autorisations de déploiement en production. Selon ISO 27001, tout … Lire la suite
NIS2 Article 23 : Vue d’ensemble des exigences de signalement d’incidents NIS2 Article 23 impose des obligations strictes de notification d’incidents aux entités essentielles et importantes. Les organisations doivent signaler les incidents significatifs à leur CSIRT national ou autorité compétente dans des délais stricts : Alerte précoce : Dans les 24 heures suivant la prise … Lire la suite
Vue d’ensemble : NIS2 Article 21 et mesures de gestion des risques de cybersécurité La Directive NIS2 Article 21 établit les mesures de base de gestion des risques de cybersécurité que les entités essentielles et importantes doivent mettre en œuvre. Pour les organisations s’appuyant sur des pipelines CI/CD pour livrer des logiciels, ces exigences se … Lire la suite
Introduction Les approches traditionnelles de conformité reposent fortement sur des audits périodiques, la collecte manuelle de preuves et une documentation statique. Bien que ce modèle puisse satisfaire les exigences réglementaires de base, il peine à suivre le rythme des pratiques modernes de livraison logicielle portées par l’intégration continue et la livraison continue (CI/CD). Dans les … Lire la suite
Contrôles des risques ICT tiers pour les pipelines CI/CD réglementés Pourquoi cette checklist existe Dans les environnements réglementés, les fournisseurs ne sont pas « externes ». Ils font partie de votre système de livraison. Lorsque des services tiers supportent votre SDLC (hébergement Git, CI/CD SaaS, registres d’artefacts, runtime cloud, scanners de sécurité), les auditeurs s’attendent … Lire la suite
Le moteur de contrôle technique derrière la livraison logicielle réglementée Introduction Dans les environnements réglementés, la conformité ne s’obtient pas par la documentation seule.Elle s’obtient par des mécanismes d’application techniques. La couche d’application CI/CD (CI/CD Enforcement Layer) est le composant architectural qui garantit que : Sans couche d’application, le CI/CD reste un outil de livraison.Avec … Lire la suite
Traiter le CI/CD comme un système réglementé d’application et d’audit Introduction Dans les environnements réglementés, les pipelines CI/CD sont souvent mal compris comme des outils de productivité développeur. En réalité, ce sont des systèmes d’application des contrôles. Lorsqu’il est correctement conçu, un pipeline CI/CD devient : Cet article présente un modèle d’architecture CI/CD-only, où le … Lire la suite
Les manquements au titre de DORA Article 28 proviennent rarement de politiques absentes. Ils proviennent de faiblesses cachées dans les pipelines CI/CD dépendant de tiers qui ne se révèlent que lors d’audits ou d’incidents. Les auditeurs recherchent des signaux d’alerte — des indices que le risque ICT lié aux tiers est non géré, non appliqué … Lire la suite
Cette checklist met en évidence les signaux d’alerte courants liés au CI/CD au titre de DORA Article 28. Chaque élément représente une situation fréquemment identifiée lors d’audits comme une défaillance de risque ICT tiers. Si un ou plusieurs éléments s’appliquent, les auditeurs peuvent classer la plateforme CI/CD ou le fournisseur comme à haut risque ou … Lire la suite
DORA Article 28 exige des entités financières qu’elles gèrent les risques introduits par les fournisseurs de services ICT tiers. Dans la livraison logicielle moderne, les pipelines CI/CD figurent parmi les systèmes les plus dépendants de tiers de l’organisation. Les plateformes Git, les runners CI, les plugins et les registres d’artefacts ne sont pas de simples … Lire la suite
