Cette checklist aide les organisations à valider que leurs pipelines CI/CD sont prêts pour l’audit avant l’arrivée des auditeurs. Elle se concentre sur la gouvernance, l’application des contrôles et la disponibilité des preuves plutôt que sur les détails de configuration des outils.
Utilisez cette checklist comme une revue finale de préparation pour réduire le stress d’audit et éviter les constats de dernière minute.
1. Préparation du périmètre et de la gouvernance
Vérification
Oui
Non
Les pipelines CI/CD sont explicitement inclus dans le périmètre de conformité
⬜
⬜
Les pipelines sont classés comme systèmes ICT / réglementés
⬜
⬜
La propriété et la responsabilité du CI/CD sont définies
⬜
⬜
Le CI/CD est couvert dans les évaluations de risques ICT
⬜
⬜
Les documents de gouvernance référencent explicitement le CI/CD
⬜
⬜
2. Contrôle d’accès et privilèges
Vérification
Oui
Non
L’accès CI/CD suit les principes du moindre privilège
⬜
⬜
Les utilisateurs humains et les identités de pipeline sont séparés
⬜
⬜
Le RBAC est appliqué pour l’administration des pipelines
⬜
⬜
Le MFA est activé pour les administrateurs CI/CD
⬜
⬜
Les revues d’accès privilégié sont documentées
⬜
⬜
3. Séparation des fonctions
Vérification
Oui
Non
Les développeurs ne peuvent pas auto-approuver les changements en production
⬜
⬜
Les revues de code sont obligatoires avant l’exécution du pipeline
⬜
⬜
Les permissions de build et de déploiement sont séparées
⬜
⬜
Les dérogations d’urgence sont journalisées et approuvées
⬜
⬜
Les règles de séparation sont périodiquement révisées
⬜
⬜
4. Gestion des changements et traçabilité
Vérification
Oui
Non
Tous les changements en production passent par les pipelines CI/CD
⬜
⬜
Le code source, l’exécution du pipeline et le déploiement sont liés
⬜
⬜
Les approbations sont traçables et horodatées
⬜
⬜
Les déploiements hors bande sont empêchés ou journalisés
⬜
⬜
Les changements de production aléatoires peuvent être tracés de bout en bout
⬜
⬜
5. Application des contrôles de sécurité
Vérification
Oui
Non
SAST, SCA et autres scans sont obligatoires
⬜
⬜
Les vérifications de sécurité échouées bloquent les déploiements
⬜
⬜
Les politiques de sécurité sont appliquées via des gates de pipeline
⬜
⬜
Les exceptions de sécurité sont documentées et approuvées
⬜
⬜
Les contrôles de sécurité sont cohérents entre les pipelines
⬜
⬜
6. Journalisation, surveillance et rétention
Vérification
Oui
Non
Toutes les exécutions de pipeline sont journalisées
⬜
⬜
Les logs incluent les approbations et les résultats de sécurité
⬜
⬜
Les logs sont collectés de manière centralisée
⬜
⬜
La rétention des logs répond aux exigences réglementaires
⬜
⬜
Les logs peuvent être récupérés rapidement sur demande
⬜
⬜
7. Résilience et préparation aux incidents
Vérification
Oui
Non
La résilience CI/CD est documentée
⬜
⬜
Les procédures de rollback existent et sont testées
⬜
⬜
Les incidents CI/CD sont couverts par les playbooks IR
⬜
⬜
Les credentials de pipeline peuvent être révoqués rapidement
⬜
⬜
Les incidents CI/CD passés sont documentés
⬜
⬜
8. Disponibilité des preuves
Vérification
Oui
Non
Les preuves sont générées par le système, pas manuellement
⬜
⬜
Les preuves sont horodatées et immuables
⬜
⬜
Les preuves peuvent être reproduites à la demande
⬜
⬜
Les preuves sont regroupées par contrôle ou réglementation
⬜
⬜
Les équipes savent où les preuves sont stockées
⬜
⬜
9. Alignement des équipes et préparation à l’audit
Vérification
Oui
Non
Les équipes engineering, sécurité et conformité sont alignées
⬜
⬜
Les équipes fournissent des réponses cohérentes
⬜
⬜
Un audit à blanc a été effectué
⬜
⬜
Les lacunes connues ont des plans de remédiation
⬜
⬜
Les points de contact pour l’audit sont définis
⬜
⬜
Question finale pré-audit
Si un auditeur demande un déploiement de production aléatoire datant de six mois, pouvez-vous l’expliquer et le prouver intégralement en quelques minutes ?
Si la réponse est oui, vos pipelines CI/CD sont probablement prêts pour l’audit.
Architecte senior DevSecOps et sécurité, avec plus de 15 ans d’expérience en ingénierie logicielle sécurisée, sécurité CI/CD et environnements d’entreprise réglementés.
Certifié CSSLP et EC-Council Certified DevSecOps Engineer, avec une expérience concrète dans la conception d’architectures CI/CD sécurisées, auditables et conformes.
