Ce tableau d’audit met en correspondance les contrôles de sécurité CI/CD avec les exigences de la directive NIS2 et les contrôles PCI DSS. Il soutient la gestion des risques, la sécurité de la chaîne d’approvisionnement et la préparation aux audits pour les systèmes critiques et liés aux paiements.
🔐 Gestion des identités et des accès (IAM)
Contrôle
NIS2
PCI DSS
Oui
Non
Moindre privilège appliqué aux comptes de service CI/CD
Art. 21(2)(b)
Req. 7.2
⬜
⬜
Séparation des identités humaines et de pipeline
Art. 21(2)(d)
Req. 7.1
⬜
⬜
RBAC appliqué pour les systèmes CI/CD
Art. 21(2)(b)
Req. 7.2
⬜
⬜
MFA appliqué pour les administrateurs CI/CD
Art. 21(2)(a)
Req. 8.4
⬜
⬜
Les actions privilégiées nécessitent une approbation
Art. 21(2)(d)
Req. 6.4
⬜
⬜
🔑 Gestion des secrets et des identifiants
Contrôle
NIS2
PCI DSS
Oui
Non
Secrets non stockés dans le code source
Art. 21(2)(a)
Req. 3.4
⬜
⬜
Injection des secrets au moment de l’exécution
Art. 21(2)(a)
Req. 3.6
⬜
⬜
Identifiants limités par environnement
Art. 21(2)(b)
Req. 7.2
⬜
⬜
Rotation régulière des secrets
Art. 21(2)(c)
Req. 3.6.4
⬜
⬜
Secrets exclus des journaux
Art. 21(2)(a)
Req. 10.5
⬜
⬜
📦 Chaîne d’approvisionnement logicielle et intégrité des artefacts
Contrôle
NIS2
PCI DSS
Oui
Non
Environnements de build CI/CD durcis
Art. 21(2)(e)
Req. 6.2
⬜
⬜
Signature des artefacts appliquée
Art. 21(2)(e)
Req. 6.3
⬜
⬜
Provenance et traçabilité des artefacts
Art. 21(2)(e)
Req. 6.4
⬜
⬜
Dépôts d’artefacts immuables
Art. 21(2)(a)
Req. 6.4
⬜
⬜
Seuls les artefacts de confiance sont promus
Art. 21(2)(d)
Req. 6.4
⬜
⬜
🔗 Intégrations tierces et CI/CD
Contrôle
NIS2
PCI DSS
Oui
Non
Outils CI/CD tiers formellement approuvés
Art. 21(2)(e)
Req. 12.8
⬜
⬜
Actions tierces épinglées à des versions spécifiques
Art. 21(2)(e)
Req. 6.3
⬜
⬜
Intégrité des composants CI/CD externes vérifiée
Art. 21(2)(e)
Req. 6.2
⬜
⬜
Plugins communautaires restreints
Art. 21(2)(b)
Req. 6.2
⬜
⬜
Activité des intégrations surveillée
Art. 21(2)(c)
Req. 10.4
⬜
⬜
📊 Journalisation, surveillance et préparation aux incidents
Contrôle
NIS2
PCI DSS
Oui
Non
Activité des pipelines CI/CD entièrement journalisée
Art. 21(2)(c)
Req. 10.2
⬜
⬜
Les journaux incluent les approbations et les événements de sécurité
Art. 21(2)(c)
Req. 10.3
⬜
⬜
Journalisation centralisée activée
Art. 21(2)(c)
Req. 10.5
⬜
⬜
Rétention des journaux alignée sur la politique
Art. 21(2)(c)
Req. 10.7
⬜
⬜
Les journaux CI/CD supportent l’investigation des incidents
Art. 23
Req. 12.10
⬜
⬜
🛡️ Gouvernance, risques et gestion des changements
Contrôle
NIS2
PCI DSS
Oui
Non
CI/CD inclus dans la gestion des risques de cybersécurité
Art. 21
Req. 12.2
⬜
⬜
Séparation des fonctions appliquée
Art. 21(2)(d)
Req. 7.1
⬜
⬜
Approbations des changements appliquées via les pipelines
Art. 21(2)(d)
Req. 6.4
⬜
⬜
Exceptions formellement approuvées et documentées
Art. 21(2)(b)
Req. 12.3
⬜
⬜
Posture de sécurité CI/CD revue périodiquement
Art. 21(2)(f)
Req. 12.11
⬜
⬜
Comment utiliser ce tableau d’audit NIS2 / PCI DSS
Utiliser pour les évaluations des risques de cybersécurité NIS2
Soutenir les audits PCI DSS Requirement 6 et 10
Démontrer l’inclusion du CI/CD dans la gouvernance organisationnelle de la sécurité
Joindre les références de preuves dans la colonne Notes
Réévaluer après les changements de pipeline ou d’outillage
Contenu conçu pour les environnements réglementés : contrôles avant outils, enforcement par politiques dans le CI/CD, et evidence-by-design pour l’audit.
Focus sur la traçabilité, les approbations, la gouvernance des exceptions et la rétention des preuves de bout en bout.
