Quoi montrer, où le trouver, et pourquoi c’est important
Ce dossier de preuves répertorie les artefacts techniques et opérationnels que les institutions financières doivent présenter pour démontrer leur conformité à DORA Article 21. Il se concentre sur les pipelines CI/CD en tant que systèmes ICT réglementés et met l’accent sur des preuves reproductibles et prêtes pour l’audit.
Comment utiliser ce dossier de preuves
Utilisez-le comme checklist lors de la préparation d’audit
Partagez-le avec les équipes engineering, sécurité et conformité
Attachez des références aux systèmes réels, logs et dépôts
Assurez-vous que les preuves sont actuelles, traçables et reproductibles
Article 21(1) — Cadre de gestion des risques ICT
Preuves à fournir
Type de preuve
Ce que les auditeurs attendent
Registre des risques ICT
Pipelines CI/CD explicitement listés comme systèmes ICT concernés
Modèles de menaces
Risques liés au CI/CD (abus de credentials, supply chain, intégrité)
Plans de traitement des risques
Contrôles mappés aux pipelines CI/CD
Documentation de gouvernance
Propriété de la sécurité et des risques CI/CD
Sources typiques
Outils de gestion des risques
Documentation d’architecture
Dépôts de gouvernance sécurité
Article 21(2)(a) — Contrôle d’accès
Preuves à fournir
Type de preuve
Ce que les auditeurs attendent
Politiques IAM
Moindre privilège pour les comptes de service CI/CD
Configuration RBAC
Séparation des rôles pour l’administration des pipelines
Application du MFA
Preuve que le MFA est requis pour les utilisateurs privilégiés
Inventaire des identités
Distinction entre identités humaines et d’automatisation
Sources typiques
Plateforme IAM
Configuration du système CI/CD
Rapports de revue d’accès
Article 21(2)(b) — Séparation des fonctions
Preuves à fournir
Type de preuve
Ce que les auditeurs attendent
Règles de revue de code
Revue par les pairs obligatoire et appliquée
Workflows d’approbation
Approbation indépendante pour les changements en production
Cartographie des rôles
Séparation entre les rôles de build, validation et déploiement
Journaux d’exceptions
Enregistrements des dérogations et approbations
Sources typiques
Plateforme de contrôle de code source
Définitions des pipelines CI/CD
Journaux d’audit
Article 21(2)(c) — Journalisation et surveillance
Preuves à fournir
Type de preuve
Ce que les auditeurs attendent
Logs d’exécution des pipelines
Historique complet des exécutions et résultats
Logs d’événements de sécurité
Vérifications échouées, releases bloquées
Tableaux de bord de surveillance
Visibilité sur la santé des pipelines
Politiques de rétention des logs
Alignement avec les exigences réglementaires
Sources typiques
Plateformes CI/CD
SIEM / systèmes de journalisation
Outils de surveillance
Article 21(2)(d) — Gestion des changements et intégrité
Preuves à fournir
Type de preuve
Ce que les auditeurs attendent
Registres de déploiement
Tous les changements en production traçables via les pipelines
Signature des artefacts
Preuve d’intégrité cryptographique
Métadonnées de provenance
Lien source → build → artefact
Approbations de release
Points de décision auditables
Sources typiques
Dépôts d’artefacts
Magasins de métadonnées CI/CD
Systèmes de gestion des releases
Article 21(2)(e) — Résilience, sauvegarde et reprise
Preuves à fournir
Type de preuve
Ce que les auditeurs attendent
Diagrammes d’architecture CI/CD
Redondance et isolation
Procédures de sauvegarde
Sauvegardes sécurisées des configurations de pipelines
Tests de reprise
Preuves d’exercices de rollback et de reprise
Playbooks d’incidents
Procédures de réponse spécifiques au CI/CD
Sources typiques
Documentation d’architecture
Systèmes de sauvegarde
Outils de gestion des incidents
Article 21(2)(f) — Amélioration continue
Preuves à fournir
Type de preuve
Ce que les auditeurs attendent
Rapports de revue
Revues de sécurité CI/CD périodiques
Journaux de modifications
Améliorations apportées aux contrôles des pipelines
Métriques et KPIs
Indicateurs de sécurité et de résilience
Supervision managériale
Preuves de revue de gouvernance
Sources typiques
Dossiers de revue de sécurité
Historique des modifications CI/CD
Comptes rendus de réunions de gouvernance
Pièges courants d’audit (ce qu’il ne faut PAS montrer seul)
Les auditeurs remettront en question :
Les politiques de haut niveau sans application technique
Les captures d’écran sans traçabilité
Les attestations manuelles sans preuves système
Les exemples ponctuels au lieu de contrôles reproductibles
Les preuves doivent être générées par le système, horodatées et reproductibles.
Conseils de mise en forme pour les auditeurs
Regroupez les preuves par sous-section de l’Article 21
Fournissez un accès en lecture seule aux logs et tableaux de bord
Incluez un exemple de preuve + explication
Indiquez clairement les responsables des contrôles
Évitez de surcharger les auditeurs avec des données non pertinentes
Contenu conçu pour les environnements réglementés : contrôles avant outils, enforcement par politiques dans le CI/CD, et evidence-by-design pour l’audit.
Focus sur la traçabilité, les approbations, la gouvernance des exceptions et la rétention des preuves de bout en bout.
