Gouvernance, CI/CD, fournisseurs et chaîne d’approvisionnement logicielle
Cette checklist reflète la façon dont les exigences NIS2 de la chaîne d’approvisionnement sont réellement examinées par les auditeurs et les autorités de supervision. Elle se concentre sur la gouvernance, l’application technique et les preuves, plutôt que sur des déclarations de politique de haut niveau.
Utilisez cette checklist pour évaluer la préparation avant un audit ou pour guider la préparation des preuves lors de la supervision.
1. Périmètre et identification des fournisseurs
Focus de l’auditeur
Tous les fournisseurs pertinents sont-ils identifiés et dans le périmètre ?
Checklist
- ⬜ L’inventaire des fournisseurs existe et est maintenu
- ⬜ L’inventaire inclut :
- éditeurs de logiciels
- plateformes CI/CD
- fournisseurs cloud et d’infrastructure
- services ICT externalisés
- ⬜ Les fournisseurs sont associés aux services ou systèmes supportés
- ⬜ Le périmètre de la chaîne d’approvisionnement est formellement documenté
Signaux d’alerte typiques
- Fournisseurs CI/CD exclus du périmètre fournisseur
- Listes de fournisseurs incomplètes ou obsolètes
2. Criticité des fournisseurs et classification des risques
Focus de l’auditeur
Les risques de la chaîne d’approvisionnement sont-ils évalués proportionnellement ?
Checklist
- ⬜ Les fournisseurs sont classés par criticité
- ⬜ Les critères de classification incluent :
- impact sur les services essentiels
- niveau d’accès privilégié
- sensibilité des données
- substituabilité
- ⬜ Les évaluations de risques sont documentées et reproductibles
- ⬜ Les fournisseurs critiques sont clairement identifiés
Signaux d’alerte typiques
- Aucune distinction entre fournisseurs critiques et non critiques
- Évaluations de risques réalisées de manière informelle
3. Gouvernance et propriété des fournisseurs
Focus de l’auditeur
Qui est responsable du risque fournisseur ?
Checklist
- ⬜ Chaque fournisseur a un propriétaire interne clairement désigné
- ⬜ Les rôles de gouvernance fournisseur sont définis
- ⬜ Des revues périodiques des fournisseurs sont effectuées
- ⬜ Les risques liés aux fournisseurs sont escaladés de manière appropriée
Signaux d’alerte typiques
- Propriété du fournisseur floue ou implicite
- Aucune preuve de supervision continue des fournisseurs
4. Contrôles d’achat et contractuels
Focus de l’auditeur
Les exigences de cybersécurité sont-elles applicables ?
Checklist
- ⬜ Exigences de cybersécurité intégrées dans les achats
- ⬜ Les contrats incluent :
- obligations de sécurité
- exigences de notification d’incident
- clauses de coopération
- ⬜ Clauses de sécurité appliquées de manière cohérente aux fournisseurs critiques
- ⬜ Les exceptions contractuelles sont documentées et justifiées
Signaux d’alerte typiques
- Exigences de sécurité appliquées de manière incohérente
- Aucune traçabilité entre les contrats et les évaluations de risques
5. Contrôles CI/CD de la chaîne d’approvisionnement
Focus de l’auditeur
Comment le risque de la chaîne d’approvisionnement est-il appliqué techniquement ?
Checklist
- ⬜ Les pipelines CI/CD sont obligatoires pour les changements en production
- ⬜ L’accès aux plateformes CI/CD est restreint (RBAC, MFA)
- ⬜ Les modifications de pipeline sont contrôlées et journalisées
- ⬜ La séparation des fonctions est appliquée via les approbations
- ⬜ Les intégrations tierces dans le CI/CD sont gouvernées
Signaux d’alerte typiques
- Déploiements manuels ou hors bande
- Comptes de service CI/CD avec des privilèges excessifs
6. Contrôles d’intégrité des dépendances et des logiciels
Focus de l’auditeur
Comment faites-vous confiance à ce que vous déployez ?
Checklist
- ⬜ Des inventaires de dépendances existent pour les applications critiques
- ⬜ L’analyse des dépendances (SCA) est effectuée
- ⬜ Les vulnérabilités critiques déclenchent une remédiation ou une décision
- ⬜ Les SBOMs sont disponibles pour les systèmes critiques (le cas échéant)
- ⬜ L’intégrité et la provenance des artefacts sont assurées
Signaux d’alerte typiques
- Aucune visibilité sur les dépendances
- Incapacité à tracer les artefacts déployés
7. Gestion des accès tiers
Focus de l’auditeur
Les fournisseurs ont-ils un accès contrôlé ?
Checklist
- ⬜ Les comptes tiers et de service sont inventoriés
- ⬜ L’accès suit les principes du moindre privilège
- ⬜ L’accès privilégié est approuvé et journalisé
- ⬜ Des revues d’accès périodiques sont effectuées
- ⬜ Des procédures de révocation d’accès existent
Signaux d’alerte typiques
- Comptes fournisseurs de longue durée sans revue
- Identifiants partagés ou non documentés
8. Surveillance et détection
Focus de l’auditeur
Pouvez-vous détecter les événements liés à la chaîne d’approvisionnement ?
Checklist
- ⬜ L’activité des pipelines CI/CD est surveillée
- ⬜ Les alertes de vulnérabilité des dépendances sont surveillées
- ⬜ Les anomalies liées aux fournisseurs sont détectables
- ⬜ Les alertes ont des chemins d’escalade définis
Signaux d’alerte typiques
- Les journaux existent mais ne sont pas examinés
- Aucune alerte pour les problèmes CI/CD ou de dépendances
9. Réponse aux incidents et coordination fournisseur
Focus de l’auditeur
Êtes-vous préparé aux incidents fournisseurs ?
Checklist
- ⬜ Les plans de réponse aux incidents incluent des scénarios fournisseur
- ⬜ Les chemins d’escalade et de notification fournisseur sont définis
- ⬜ Capacité à révoquer rapidement l’accès fournisseur
- ⬜ Des simulations ou tests d’incidents sont réalisés
- ⬜ Les revues post-incident sont documentées
Signaux d’alerte typiques
- Incidents fournisseurs traités de manière ad hoc
- Aucun processus de coordination documenté
10. Conservation des preuves et auditabilité
Focus de l’auditeur
Les preuves peuvent-elles être produites à la demande ?
Checklist
- ⬜ Les périodes de conservation des preuves sont définies
- ⬜ Les journaux CI/CD et les enregistrements de sécurité sont conservés
- ⬜ La documentation fournisseur est archivée
- ⬜ Les preuves historiques peuvent être retrouvées
Signaux d’alerte typiques
- Périodes de conservation courtes
- Preuves dispersées à travers les systèmes
Questions finales d’évaluation de l’auditeur
Avant de clôturer un audit, les superviseurs se posent généralement les questions suivantes :
- Les risques de la chaîne d’approvisionnement sont-ils clairement compris ?
- Les contrôles sont-ils appliqués techniquement, pas seulement documentés ?
- Les preuves sont-elles fiables, complètes et récupérables ?
- Le CI/CD est-il traité comme faisant partie de l’environnement réglementé ?
Si ces questions peuvent être répondues avec confiance, la préparation NIS2 de la chaîne d’approvisionnement est généralement considérée comme satisfaisante.
Conclusion
La conformité NIS2 de la chaîne d’approvisionnement est évaluée à travers les preuves, l’application et la responsabilité. Cette checklist reflète la façon dont les auditeurs évaluent la maturité en pratique et aide les organisations à identifier les lacunes avant que la supervision ne survienne.
Contenu associé
- NIS2 Supply Chain Evidence Pack
- NIS2 Supply Chain Security Deep Dive
- NIS2 Security Architecture — Explained
- Supplier Governance & CI/CD Controls Checklist
- How Auditors Actually Review CI/CD Pipelines
