Ce tableau met en correspondance les exigences de gestion des risques ICT de l’article 21 de DORA avec des contrôles concrets de sécurité des pipelines CI/CD. Il soutient l’interprétation réglementaire, la préparation aux audits et les revues d’implémentation technique.
Article 21(1) — Cadre de gestion des risques ICT
Exigence DORA
Contrôle CI/CD
Preuve générée
Identifier et évaluer les risques ICT
Tests de sécurité automatisés (SAST, SCA, DAST)
Rapports de scan, journaux de pipeline
Prévenir et atténuer les risques ICT
Application des politiques et portes de pipeline
Décisions de porte, approbations
Détecter les activités anormales
Surveillance des pipelines et alertes
Journaux d’alertes, événements SIEM
Répondre aux incidents ICT
Rollback contrôlé et redéploiements
Historique de déploiement
Récupérer après les perturbations
Builds et releases reproductibles
Métadonnées de build
Article 21(2)(a) — Contrôle d’accès
Exigence DORA
Contrôle CI/CD
Preuve générée
Empêcher les accès non autorisés
RBAC pour la configuration CI/CD
Journaux de contrôle d’accès
Protéger les opérations privilégiées
Comptes de service au moindre privilège
Politiques IAM
Sécuriser l’accès administratif
MFA pour les administrateurs CI/CD
Journaux d’authentification
Contrôler les identités d’automatisation
Identités de pipeline séparées
Inventaire des identités
Article 21(2)(b) — Séparation des fonctions
Exigence DORA
Contrôle CI/CD
Preuve générée
Séparer les rôles en conflit
Exigences de revue de code
Historique des pull requests
Empêcher l’auto-approbation
Règles d’approbation appliquées par le pipeline
Enregistrements d’approbation
Contrôler l’autorité de release
Permissions de build et déploiement séparées
Cartographie des rôles de pipeline
Journaliser les contournements et exceptions
Journalisation des exceptions
Journaux d’audit des contournements
Article 21(2)(c) — Journalisation et surveillance
Exigence DORA
Contrôle CI/CD
Preuve générée
Surveiller l’activité des systèmes ICT
Journalisation complète de l’exécution des pipelines
Journaux d’exécution
Détecter les événements pertinents pour la sécurité
Alertes de contrôles échoués et anomalies
Alertes de sécurité
Conserver les journaux de manière sécurisée
Stockage centralisé des journaux
Configuration de rétention
Supporter les investigations
Pistes d’audit immuables
Journaux prêts pour l’investigation
Article 21(2)(d) — Gestion des changements et intégrité
Exigence DORA
Contrôle CI/CD
Preuve générée
Contrôler les changements aux systèmes ICT
Pipelines CI/CD obligatoires
Historique de déploiement
Assurer l’intégrité des changements
Signature et vérification des artefacts
Métadonnées de signature
Tracer les changements de bout en bout
Liaison source → pipeline → artefact
Enregistrements de provenance
Empêcher les déploiements non autorisés
Portes de politique et approbations
Journaux d’application des portes
Article 21(2)(e) — Résilience, sauvegarde et reprise
Exigence DORA
Contrôle CI/CD
Preuve générée
Assurer la résilience des systèmes
Environnements de build durcis et isolés
Configuration de l’environnement
Prévenir les points de défaillance uniques
Composants CI/CD redondants
Documentation d’architecture
Activer les mécanismes de reprise
Workflows de rollback et redéploiement
Journaux de reprise
Protéger les configurations
Sauvegarde sécurisée de la configuration du pipeline
Enregistrements de sauvegarde
Article 21(2)(f) — Amélioration continue
Exigence DORA
Contrôle CI/CD
Preuve générée
Revoir la posture de risque ICT
Revues périodiques de sécurité des pipelines
Rapports de revue
Mettre à jour les contrôles si nécessaire
Modifications de configuration du pipeline
Journaux de changements
Améliorer la détection et la prévention
Mises à jour d’outils et ajustement des règles
Historique des versions
S’aligner sur les menaces en évolution
Mises à jour de pipeline informées par les menaces
Évaluations des risques
Comment les auditeurs utilisent ce tableau
Valider que les exigences de l’article 21 sont techniquement appliquées
Identifier où le CI/CD contribue à la gestion des risques ICT
Demander des preuves spécifiques générées par les pipelines
Évaluer la cohérence et la reproductibilité des contrôles
Contenu conçu pour les environnements réglementés : contrôles avant outils, enforcement par politiques dans le CI/CD, et evidence-by-design pour l’audit.
Focus sur la traçabilité, les approbations, la gouvernance des exceptions et la rétention des preuves de bout en bout.
