DORA Article 28 : Signaux d’alerte — Défaillances courantes des risques tiers dans les pipelines CI/CD

par

Les manquements au titre de DORA Article 28 proviennent rarement de politiques absentes.

Ils proviennent de faiblesses cachées dans les pipelines CI/CD dépendant de tiers qui ne se révèlent que lors d’audits ou d’incidents.

Les auditeurs recherchent des signaux d’alerte — des indices que le risque ICT lié aux tiers est non géré, non appliqué ou non étayé par des preuves.

Les plateformes CI/CD sont une source fréquente de telles constatations car elles combinent services externes, exécution privilégiée et automatisation.

Cet article met en lumière les signaux d’alerte les plus courants liés à l’Article 28 concernant les pipelines CI/CD, leur importance et la manière dont les auditeurs les interprètent.

CI/CD Red Flags — DORA Article 28 (Third-Party Risk) Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention. CI/CD Red Flags — DORA Article 28 Third-party risk failures auditors frequently flag in Git, CI/CD SaaS, runners, registries, and cloud runtime. CROSS-CUTTING (ARTICLE 28) Supplier governance Audit rights Exit strategy Evidence retention Git Hosting GitHub / GitLab SaaS No audit rights CI/CD SaaS Orchestrator No exit plan CI Runners Cloud execution Shared runners Registries Artifacts + images No retention Cloud Runtime Prod services No sub-processor view ENGINEER REMEDIATION HINTS Tested exit strategy (CI/CD) Dedicated / isolated runners Supplier + sub-processor map Centralized logs + retention Auditor rule: if controls cannot produce time-bound evidence on demand, they are treated as ineffective under Article 28. Focus areas: CI/CD platform scope, contractual auditability, runner isolation, sub-processor governance, and evidence retention.
Enterprise CI/CD diagram highlighting common DORA Article 28 third-party risk red flags: missing exit plan, shared runners, lack of sub-processor visibility, missing audit rights, and missing evidence retention.

Pourquoi les signaux d’alerte CI/CD sont importants au titre de l’Article 28

Sous DORA, le risque lié aux tiers n’est pas théorique.

Les auditeurs évaluent si une défaillance chez un fournisseur tiers pourrait :

  • perturber des services critiques,
  • compromettre l’intégrité des systèmes,
  • ou empêcher le respect des obligations réglementaires.

Les pipelines CI/CD sont souvent des points de défaillance uniques dans la livraison logicielle.

Les signaux d’alerte dans ce domaine sont donc traités comme des constatations de haute gravité.

Signal d’alerte n°1 — Absence de plan de sortie des plateformes CI/CD SaaS

Ce que les auditeurs observent

Les organisations dépendent fortement des plateformes CI/CD SaaS mais ne peuvent pas démontrer :

  • comment migrer les pipelines,
  • comment récupérer les logs et artefacts historiques,
  • comment maintenir la continuité si le fournisseur devient indisponible.

Pourquoi c’est un signal d’alerte

DORA Article 28 exige explicitement des stratégies de sortie pour les fournisseurs ICT tiers critiques.

Un plan de sortie qui n’existe que sur papier — sans faisabilité technique — est considéré comme insuffisant.

Conclusion typique de l’auditeur

“The organization is operationally locked-in to a critical ICT provider.”

Signal d’alerte n°2 — Runners CI partagés entre locataires

Ce que les auditeurs observent

Les tâches CI s’exécutent sur :

  • des runners partagés,
  • une infrastructure mutualisée,
  • avec une visibilité limitée sur les contrôles d’isolation.

Souvent, les organisations ne peuvent pas expliquer :

  • comment l’isolation des runners est appliquée,
  • qui contrôle l’environnement d’exécution,
  • si la fuite de données est techniquement empêchée.

Pourquoi c’est un signal d’alerte

Les runners partagés augmentent :

  • le risque de confidentialité,
  • le risque d’intégrité,
  • l’exposition aux mouvements latéraux.

Au titre de l’Article 28, cela soulève des questions sur la classification des risques fournisseurs et l’efficacité des contrôles.

Signal d’alerte n°3 — Aucune visibilité sur les sous-traitants

Ce que les auditeurs observent

Les organisations :

  • contractent avec un fournisseur CI/CD ou Git principal,
  • mais manquent de visibilité sur les sous-traitants (fournisseurs cloud, runners, registres, services de surveillance).

Les inventaires fournisseurs s’arrêtent souvent au premier niveau.

Pourquoi c’est un signal d’alerte

DORA Article 28 exige une surveillance non seulement des fournisseurs directs, mais aussi des chaînes de sous-traitance critiques.

L’absence de visibilité sur les sous-traitants indique :

  • une évaluation des risques incomplète,
  • une gouvernance fournisseurs insuffisante.

Signal d’alerte n°4 — Absence de droits d’audit dans les contrats CI/CD

Ce que les auditeurs observent

Les contrats avec les fournisseurs CI/CD ou Git SaaS :

  • ne comportent pas de clauses d’audit ou d’inspection,
  • ou contiennent des droits d’audit pratiquement inutilisables.

Dans certains cas, les équipes d’ingénierie ignorent les limitations contractuelles.

Pourquoi c’est un signal d’alerte

Sans droits d’audit :

  • les contrôles ne peuvent pas être vérifiés indépendamment,
  • la dépendance aux assurances du fournisseur devient inévitable.

Les auditeurs traitent cela comme une lacune structurelle de conformité, et non comme un oubli procédural.

Signal d’alerte n°5 — Absence de conservation des preuves pour les activités CI/CD

Ce que les auditeurs observent

Les plateformes CI/CD génèrent des logs, des approbations et des traces d’exécution, mais :

  • les logs sont conservés pendant de courtes périodes,
  • les preuves sont écrasées ou inaccessibles,
  • les politiques de conservation sont indéfinies.

Les preuves sont souvent collectées après notification d’audit, et non de manière continue.

Pourquoi c’est un signal d’alerte

DORA Article 28 est fondé sur les preuves.

Si les preuves ne peuvent pas être produites à la demande, les contrôles sont considérés comme inefficaces.

Ce signal d’alerte entraîne fréquemment :

  • des observations d’audit,
  • des plans de remédiation,
  • des revues de suivi.

Signaux d’alerte CI/CD supplémentaires fréquemment identifiés par les auditeurs

  • Utilisation non restreinte des plugins de la marketplace CI/CD
  • Absence de portes d’approbation pour les modifications de pipeline
  • Secrets exposés à des contextes d’exécution tiers
  • Absence de surveillance de la disponibilité de la plateforme CI/CD
  • Application incohérente des contrôles entre les pipelines

Chacun de ces points affaiblit la confiance dans la gestion des risques liés aux tiers.

Comment les auditeurs utilisent les signaux d’alerte

Les signaux d’alerte sont rarement évalués isolément.

Les auditeurs recherchent des schémas récurrents :

  • plusieurs signaux d’alerte autour du même fournisseur,
  • des écarts entre les contrats et l’application technique,
  • des liens manquants entre les contrôles et les preuves.

Lorsque des schémas émergent, les auditeurs peuvent :

  • augmenter la criticité du fournisseur,
  • élargir le périmètre d’audit,
  • exiger une remédiation dans des délais stricts.

Comment traiter ces signaux d’alerte de manière proactive

Les organisations qui obtiennent de bons résultats au titre de l’Article 28 :

  • intègrent explicitement les plateformes CI/CD comme tiers ICT,
  • appliquent les contrôles via la configuration des pipelines,
  • alignent les contrats avec la réalité technique,
  • génèrent des preuves continues et immuables.

Surtout, elles traitent la sécurité CI/CD comme faisant partie de la gouvernance des risques tiers, et non simplement comme un outillage DevOps.

Point clé

Les pipelines CI/CD figurent parmi les sources les plus courantes de constatations d’audit au titre de l’Article 28.

Les signaux d’alerte tels que :

  • l’absence de stratégies de sortie,
  • un isolement insuffisant,
  • l’absence de droits d’audit,
  • une conservation des preuves insuffisante

signalent un risque tiers non géré.

Traiter ces problèmes en amont transforme les pipelines CI/CD de passifs d’audit en atouts de conformité solides.

Contenu associé

Contexte “audit-ready”

Contenu conçu pour les environnements réglementés : contrôles avant outils, enforcement par politiques dans le CI/CD, et evidence-by-design pour l’audit.

Focus sur la traçabilité, les approbations, la gouvernance des exceptions et la rétention des preuves de bout en bout.

Voir la méthodologie sur la page About.