Pourquoi les pipelines CI/CD relèvent du périmètre SMSI ISO 27001
Les pipelines d’intégration et de livraison continues (CI/CD) ne sont pas de simples outils d’ingénierie — ce sont des installations de traitement de l’information qui manipulent du code source, des identifiants, des clés cryptographiques et des autorisations de déploiement en production. Selon ISO 27001, tout système qui traite, stocke ou transmet des actifs informationnels doit relever du périmètre de votre Système de Management de la Sécurité de l’Information (SMSI).
Pour les auditeurs et les responsables conformité, la question essentielle n’est pas de savoir si les pipelines CI/CD sont dans le périmètre, mais si l’organisation les a identifiés comme des actifs informationnels, a évalué les risques associés et a appliqué les contrôles appropriés de l’Annexe A. Ne pas inclure l’infrastructure CI/CD dans le périmètre du SMSI constitue en soi une non-conformité.
Cet article fournit un mapping complet des contrôles de l’Annexe A vers les environnements de pipelines CI/CD, avec des orientations spécifiques sur les preuves attendues par les auditeurs et les lacunes fréquemment constatées.
Mapping complet de l’Annexe A vers CI/CD
Le tableau suivant associe chaque domaine de contrôle pertinent de l’Annexe A à sa pertinence pour les pipelines CI/CD, avec les attentes spécifiques en matière de preuves pour les auditeurs de certification.
| Contrôle Annexe A | Objectif du contrôle | Pertinence CI/CD | Preuves pour les auditeurs |
|---|---|---|---|
| A.5 — Politiques de sécurité de l’information | Orientation de la direction pour la sécurité de l’information | Les pipelines CI/CD doivent être régis par des politiques de sécurité documentées couvrant les processus automatisés de build, de test et de déploiement | Politique de sécurité CI/CD approuvée ; registres de revue de politique ; validation par la direction ; preuves de communication de la politique aux administrateurs de pipelines |
| A.6 — Organisation de la sécurité de l’information | Organisation interne et télétravail | Les rôles et responsabilités pour la sécurité des pipelines doivent être définis — qui gère la configuration des pipelines, qui approuve les règles de déploiement, séparation des fonctions entre développement et mise en production | Matrice RACI pour les opérations CI/CD ; fiches de poste mentionnant les responsabilités pipeline ; preuves de séparation entre la configuration des pipelines et la rédaction du code |
| A.8 — Gestion des actifs | Responsabilité des actifs, classification de l’information, manipulation des supports | Les composants des pipelines (serveurs de build, dépôts d’artefacts, coffres-forts de secrets) sont des actifs informationnels qui doivent être inventoriés et classifiés | Registre des actifs incluant l’infrastructure CI/CD ; labels de classification appliqués aux artefacts de pipeline ; procédures de manipulation des données pour les sorties de build |
| A.9 — Contrôle d’accès ★ | Exigences métier, gestion des accès utilisateurs, accès aux systèmes et applications | L’accès aux pipelines est un point de contrôle critique — qui peut modifier les définitions de pipeline, déclencher des déploiements, accéder aux secrets ou contourner les portes qualité | Politique de contrôle d’accès couvrant CI/CD ; revues d’accès utilisateurs pour les plateformes de pipeline ; preuves du moindre privilège ; registres d’application du MFA ; journaux d’accès privilégié pour l’administration des pipelines |
| A.10 — Cryptographie | Contrôles cryptographiques et gestion des clés | Les pipelines manipulent des clés de signature, des certificats TLS, le chiffrement des secrets au repos et en transit, la signature des artefacts | Procédures de gestion des clés pour les secrets de pipeline ; normes de chiffrement pour le stockage des secrets ; registres de gestion des certificats ; procédures de vérification de signature des artefacts |
| A.12 — Sécurité des opérations ★ | Procédures opérationnelles, protection contre les logiciels malveillants, sauvegarde, journalisation, gestion des vulnérabilités | Les opérations de pipeline nécessitent une gestion des changements, une planification de capacité, une séparation des environnements, une journalisation complète et une analyse des vulnérabilités de l’infrastructure de pipeline elle-même | Registres de gestion des changements pour la configuration des pipelines ; preuves de séparation entre les pipelines build/staging/production ; journaux d’exécution de pipeline avec rétention ; résultats d’analyse de vulnérabilités pour la plateforme CI/CD ; procédures de sauvegarde des définitions de pipeline |
| A.14 — Acquisition, développement et maintenance des systèmes ★ | Exigences de sécurité, développement sécurisé, données de test | Le domaine de contrôle le plus directement pertinent — couvre le cycle de développement sécurisé, les procédures de contrôle des changements, l’intégration des tests de sécurité et les critères d’acceptation appliqués par les pipelines | Politique de développement sécurisé ; preuves de contrôle des changements appliqué par le pipeline ; résultats des tests de sécurité automatisés ; configurations des portes d’acceptation ; registres de revue de code liés aux déclencheurs de pipeline |
| A.15 — Relations avec les fournisseurs ★ | Sécurité de l’information dans les relations fournisseurs, gestion de la prestation de services | Les pipelines CI/CD dépendent fortement de composants tiers — plugins, images de base, registres de paquets, services CI hébergés dans le cloud et dépendances open-source | Registre des fournisseurs incluant les prestataires de services CI/CD ; évaluations des risques tiers pour les outils de pipeline ; SLA pour les services CI/CD hébergés ; registres de provenance des dépendances ; politiques de sécurité de la chaîne d’approvisionnement |
| A.16 — Gestion des incidents de sécurité de l’information | Gestion des incidents et améliorations | Les compromissions de pipeline (fuites de secrets, attaques de la chaîne d’approvisionnement, déploiements non autorisés) doivent être couvertes par les procédures de gestion des incidents | Procédures de réponse aux incidents couvrant les scénarios CI/CD ; preuves d’exercices d’incidents spécifiques aux pipelines ; registres de revue post-incident ; chemins d’escalade pour les événements de sécurité des pipelines |
| A.18 — Conformité | Conformité aux exigences légales/contractuelles, revues de sécurité de l’information | Les configurations de pipeline et les registres de déploiement servent de preuves de conformité ; les pipelines eux-mêmes doivent se conformer aux exigences réglementaires | Registre des exigences de conformité référençant CI/CD ; piste d’audit des configurations de pipeline ; preuves de revues de conformité régulières des opérations de pipeline ; registres d’évaluations d’impact des changements réglementaires sur les pipelines |
★ Désigne les domaines de contrôle les plus critiques pour les environnements CI/CD.
Contrôles critiques pour CI/CD : A.9, A.12, A.14, A.15
A.9 — Contrôle d’accès
Le contrôle d’accès dans les environnements CI/CD présente des défis uniques sur lesquels les auditeurs se concentrent intensément. Les pipelines nécessitent souvent un accès étendu pour déployer dans différents environnements, créant une tension entre le besoin opérationnel et le moindre privilège. Les points clés d’examen incluent :
- Gestion de l’identité des pipelines — Les comptes de service utilisés par les pipelines sont-ils individuellement identifiables et soumis à des revues d’accès ?
- Portée d’accès aux secrets — Un job de pipeline peut-il accéder uniquement aux secrets dont il a besoin, ou hérite-t-il d’un accès large aux identifiants ?
- Contrôles de dérogation humaine — Qui peut contourner les portes qualité automatisées, et cela est-il journalisé et revu ?
- Séparation des fonctions — La même personne qui écrit le code peut-elle également approuver et déclencher son déploiement en production ?
A.12 — Sécurité des opérations
La sécurité des opérations pour CI/CD exige des auditeurs qu’ils vérifient que l’infrastructure de pipeline est traitée avec la même rigueur opérationnelle que les systèmes de production. Points d’audit courants :
- Gestion des changements pour les définitions de pipeline — Les changements pipeline-as-code doivent passer par un contrôle formel des changements
- Séparation des environnements — Les pipelines de build, test, staging et production doivent démontrer une séparation logique ou physique
- Exhaustivité de la journalisation — Chaque exécution de pipeline, approbation, dérogation et changement de configuration doit être journalisé avec des pistes d’audit immuables
- Gestion des vulnérabilités — La plateforme CI/CD elle-même doit être soumise à une évaluation des vulnérabilités et à des correctifs
A.14 — Acquisition, développement et maintenance des systèmes
C’est le domaine de contrôle fondamental pour CI/CD. Les auditeurs s’attendent à ce que le pipeline applique le cycle de développement sécurisé plutôt que de simplement le documenter. Les preuves doivent démontrer que les tests de sécurité sont automatisés et obligatoires, que les procédures de contrôle des changements ne peuvent pas être contournées, et que les critères d’acceptation sont définis et appliqués avant le déploiement en production.
A.15 — Relations avec les fournisseurs
Les pipelines CI/CD modernes ont des dépendances étendues envers la chaîne d’approvisionnement. Les auditeurs se concentrent de plus en plus sur la capacité des organisations à comprendre et gérer le risque lié aux composants tiers des pipelines, aux plugins, aux images de base et aux services hébergés. Un Software Bill of Materials (SBOM) et le suivi de la provenance des dépendances deviennent des attentes de base.
Ce que recherchent spécifiquement les auditeurs de certification
Lors d’un audit de certification Stage 2, les auditeurs examinant les environnements CI/CD demandent généralement :
- Périmètre documenté — Inclusion explicite de l’infrastructure CI/CD dans la déclaration de périmètre du SMSI
- Couverture de l’évaluation des risques — Risques spécifiques CI/CD identifiés dans le registre des risques avec des plans de traitement
- Alignement des politiques — Politiques de sécurité qui traitent spécifiquement des processus automatisés de développement et de déploiement
- Preuves d’implémentation des contrôles — Non seulement que les contrôles existent, mais qu’ils sont efficaces et fonctionnent de manière cohérente
- Amélioration continue — Preuves que les contrôles de sécurité CI/CD sont revus et améliorés au fil du temps
- Registres de compétences — Preuves que le personnel gérant la sécurité des pipelines dispose de la formation et de la sensibilisation appropriées
Lacunes courantes dans les environnements CI/CD
Sur la base des constats d’audit dans les organisations, les lacunes les plus fréquemment identifiées incluent :
| Domaine de lacune | Constat type | Niveau de risque |
|---|---|---|
| Pipeline absent du registre des actifs | Infrastructure CI/CD absente de l’inventaire des actifs informationnels | Élevé |
| Pas de revues d’accès pour les pipelines | Les comptes de service et les identifiants de pipeline ne sont jamais soumis à une revue d’accès périodique | Élevé |
| Contrôle des changements manquant pour la config pipeline | Les définitions de pipeline sont modifiées sans gestion formelle des changements | Élevé |
| Journalisation insuffisante | Les pistes d’audit de pipeline sont incomplètes, modifiables ou non conservées conformément à la politique | Élevé |
| Risques tiers non évalués | Les plugins et services CI/CD ne sont pas inclus dans les évaluations des risques fournisseurs | Moyen |
| Pas de scénarios d’incident pour CI/CD | Les procédures de réponse aux incidents ne couvrent pas les scénarios de compromission de pipeline | Moyen |
| Tests de sécurité facultatifs | Les portes qualité peuvent être contournées sans justification documentée et approbation | Élevé |
| Secrets dans les journaux de pipeline | Valeurs sensibles exposées dans les journaux de build sans contrôles de masquage | Critique |
Prochaines étapes
Pour une compréhension approfondie des exigences de certification ISO 27001 pour les environnements CI/CD, consultez nos ressources connexes :
- Hub de conformité ISO 27001
- Audit de sécurité CI/CD — Mapping de conformité pour ISO 27001, SOC 2 et DORA
Ressources connexes pour les auditeurs
- Glossaire — Définitions en langage clair des termes techniques
- Architecture de double conformité
- Contrôles de sécurité CI/CD fondamentaux
- Comment les auditeurs examinent les pipelines CI/CD
Nouveau dans l’audit CI/CD ? Commencez par notre Guide de l’auditeur.
