Aide-mémoire Q&R du jour d’audit

par

Pipelines CI/CD en environnements réglementés

Utilisez cet aide-mémoire le jour de l’audit pour répondre aux questions CI/CD courantes de manière claire, cohérente et avec des preuves.

Réponses courtes. Pas de spéculation. Toujours accompagner d’une preuve.

1. Périmètre et gouvernance

Q : Les pipelines CI/CD sont-ils dans le périmètre de conformité ?

Réponse

Oui. Les pipelines CI/CD sont traités comme des systèmes ICT réglementés car ils impactent directement les systèmes de production.

Preuves à montrer

  • Inventaire des systèmes ICT
  • Évaluation de risques incluant le CI/CD

Q : Qui est responsable de la sécurité et de la gouvernance CI/CD ?

Réponse

La gouvernance CI/CD est conjointement détenue par le Platform Engineering et la Sécurité, avec une responsabilité définie.

Preuves

  • Document RACI ou de propriété
  • Référence à la politique de gouvernance

2. Contrôle d’accès

Q : Qui peut modifier les pipelines CI/CD ?

Réponse

Seuls les administrateurs autorisés avec RBAC et MFA peuvent modifier les configurations de pipeline.

Preuves

  • Configuration RBAC CI/CD
  • Politiques IAM
  • Écran/logs d’application MFA

Q : Les pipelines utilisent-ils des credentials partagés ?

Réponse

Non. Chaque pipeline utilise des comptes de service dédiés avec le moindre privilège.

Preuves

  • Liste des comptes de service
  • Périmètres de permissions

3. Séparation des fonctions

Q : Les développeurs peuvent-ils déployer directement en production ?

Réponse

Non. Les déploiements en production nécessitent une approbation indépendante appliquée par le pipeline.

Preuves

  • Règles d’approbation
  • Définition du workflow de déploiement

Q : Quelqu’un peut-il approuver ses propres changements ?

Réponse

Non. L’auto-approbation est techniquement empêchée.

Preuves

  • Règles de pull request
  • Exemple d’historique d’approbation

4. Gestion des changements

Q : Comment vous assurez-vous que tous les changements de production passent par le CI/CD ?

Réponse

L’accès direct à la production est restreint. Tous les déploiements sont exécutés via les pipelines CI/CD.

Preuves

  • Logs de déploiement
  • Restrictions d’accès à l’infrastructure

Q : Pouvez-vous tracer une release de production jusqu’au code source ?

Réponse

Oui. Nous maintenons une traçabilité complète du commit au déploiement.

Preuves

  • ID de commit
  • ID d’exécution de pipeline
  • Métadonnées d’artefact

5. Contrôles de sécurité

Q : Les scans de sécurité sont-ils obligatoires ?

Réponse

Oui. Les scans de sécurité sont appliqués et bloquent le déploiement en cas d’échec.

Preuves

  • Définition du pipeline
  • Exemple de build échoué

Q : Comment les exceptions de sécurité sont-elles gérées ?

Réponse

Les exceptions nécessitent une approbation formelle et sont journalisées.

Preuves

  • Enregistrements d’exceptions
  • Logs d’approbation

6. Journalisation et surveillance

Q : Les activités CI/CD sont-elles journalisées ?

Réponse

Oui. Toutes les exécutions de pipeline et les modifications sont journalisées de manière centralisée.

Preuves

  • Tableau de bord de logs central
  • Exemples de logs de pipeline

Q : Combien de temps les logs CI/CD sont-ils conservés ?

Réponse

Les logs sont conservés conformément aux exigences réglementaires.

Preuves

  • Politique de rétention
  • Configuration SIEM

7. Incidents et résilience

Q : Que se passe-t-il si un credential CI/CD est compromis ?

Réponse

Les credentials peuvent être révoqués immédiatement et les pipelines désactivés.

Preuves

  • Processus de révocation IAM
  • Extrait du playbook d’incidents

Q : Testez-vous les procédures de rollback ?

Réponse

Oui. Les procédures de rollback et de reprise sont testées régulièrement.

Preuves

  • Enregistrements de tests
  • Historique de déploiement

8. Qualité des preuves

Q : Comment fournissez-vous les preuves d’audit ?

Réponse

Les preuves sont générées par le système, horodatées et reproductibles.

Preuves

  • Logs
  • Métadonnées de pipeline
  • Exemples de piste d’audit

Q : Pouvez-vous reproduire les preuves à la demande ?

Réponse

Oui. Les preuves peuvent être récupérées directement depuis les systèmes CI/CD et de journalisation.

Preuves

  • Requête en direct ou rapport préparé

9. Gestion des questions difficiles

Q : « Pourquoi ne faites-vous pas X ? »

Réponse sûre

Ce contrôle est adressé par des mécanismes alternatifs alignés avec notre évaluation des risques.

Ensuite, montrez ce que vous faites, pas ce que vous ne faites pas.

Q : « N’est-ce pas non conforme ? »

Réponse sûre

Selon notre interprétation et les contrôles en place, cette exigence est adressée. Nous sommes ouverts à des clarifications supplémentaires.

Ne jamais argumenter émotionnellement sur l’interprétation de la réglementation.

10. Règles d’or finales (à imprimer)

  • Ne pas spéculer
  • Ne pas sur-expliquer
  • Montrer la preuve, puis s’arrêter
  • Une seule voix à la fois
  • Le CI/CD est un système réglementé

Ressources associées

NOTES D’UTILISATION (important)

  • Gardez ce document ouvert pendant les appels d’audit
  • Partagez-le uniquement avec l’équipe en contact avec les auditeurs
  • N’improvisez pas en dehors de ce périmètre
  • Mettez-le à jour après chaque audit
À propos de l’auteur

Architecte senior DevSecOps et sécurité, avec plus de 15 ans d’expérience en ingénierie logicielle sécurisée, sécurité CI/CD et environnements d’entreprise réglementés.

Certifié CSSLP et EC-Council Certified DevSecOps Engineer, avec une expérience concrète dans la conception d’architectures CI/CD sécurisées, auditables et conformes.

En savoir plus sur la page About.