Processus d’audit de certification ISO 27001 — Vue d’ensemble
La certification ISO 27001 implique un audit externe en deux étapes mené par un organisme de certification accrédité. Comprendre ce processus est essentiel pour les responsables conformité préparant les environnements CI/CD à l’évaluation.
Étape 1 — Revue documentaire
L’audit d’Étape 1 est principalement une revue documentaire. L’auditeur évalue si la documentation de votre SMSI est complète et si l’organisation est prête pour l’évaluation d’Étape 2. Pour les environnements CI/CD, cela signifie vérifier que :
- Le périmètre du SMSI inclut explicitement l’infrastructure et les processus de pipeline CI/CD
- La Déclaration d’Applicabilité (DdA) traite les contrôles de l’Annexe A pertinents pour CI/CD
- Les évaluations de risques couvrent les scénarios de menaces spécifiques à CI/CD
- Les politiques et procédures font référence aux processus automatisés de développement et de déploiement
- Le programme d’audit interne a couvert les contrôles de sécurité CI/CD
Résultat courant de l’Étape 1 pour CI/CD : Les auditeurs constatent fréquemment que la documentation du SMSI a été rédigée avant l’adoption de CI/CD et n’a pas été mise à jour. Il en résulte une recommandation de mettre à jour la documentation avant de passer à l’Étape 2.
Étape 2 — Audit de preuves
L’audit d’Étape 2 est le moment où les auditeurs examinent les preuves d’implémentation et d’efficacité. Pour les environnements CI/CD, cela signifie démontrer que les contrôles documentés fonctionnent réellement et produisent des résultats vérifiables. Les auditeurs demanderont des artefacts spécifiques, interrogeront le personnel responsable de la sécurité des pipelines et pourront observer les opérations de pipeline.
L’audit d’Étape 2 a généralement lieu quatre à huit semaines après l’Étape 1 pour permettre de combler les lacunes documentaires.
Ce que les auditeurs demandent lors de l’Étape 2 pour les environnements CI/CD
Les auditeurs abordent la collecte de preuves CI/CD de manière systématique à travers les domaines de contrôle. Les sections suivantes détaillent ce qui est demandé, quel format est acceptable et combien de temps les preuves doivent être conservées.
Catégories de preuves et artefacts CI/CD
1. Documentation du SMSI
Le fondement de l’audit. Les auditeurs vérifient que le cadre du SMSI traite spécifiquement de CI/CD.
- Artefacts CI/CD spécifiques : Déclaration de périmètre du SMSI nommant les systèmes CI/CD ; politique de sécurité de l’information référençant les pipelines automatisés ; politique de développement sécurisé ; plans de traitement des risques spécifiques à CI/CD
- Formats acceptables : Documents approuvés dans un système de gestion documentaire avec contrôle de version, dates de revue et signatures d’approbation
- Exigences de rétention : Version actuelle plus au moins la version précédente ; historique de revue pour le cycle de certification complet (trois ans)
2. Registres d’évaluation des risques
Les auditeurs s’attendent à ce que les risques spécifiques à CI/CD soient identifiés, évalués et traités.
- Artefacts CI/CD spécifiques : Entrées du registre des risques pour la compromission de pipeline, les attaques de la chaîne d’approvisionnement, l’exposition de secrets, le déploiement non autorisé et la falsification de l’environnement de build ; plans de traitement des risques avec mapping des contrôles ; méthodologie d’évaluation des risques couvrant les scénarios de menaces CI/CD
- Formats acceptables : Registre des risques (tableur, export de plateforme GRC ou format documenté) ; rapports d’évaluation des risques avec dates et identification de l’évaluateur
- Exigences de rétention : Registre des risques actuel plus versions historiques montrant l’évolution des risques ; minimum trois ans de registres d’évaluation des risques
3. Preuves de contrôle d’accès
L’un des domaines les plus scrutés pour CI/CD.
- Artefacts CI/CD spécifiques : Listes d’utilisateurs de la plateforme de pipeline avec attributions de rôles ; inventaires de comptes de service ; registres de revue d’accès montrant la recertification périodique ; preuves d’application de l’authentification multi-facteurs ; journaux d’accès privilégié pour l’administration des pipelines ; registres de provisionnement et de dé-provisionnement des accès
- Formats acceptables : Rapports d’accès générés par la plateforme ; registres de validation de revue d’accès ; captures d’écran de configuration d’authentification avec horodatages ; workflows de demande et d’approbation d’accès
- Exigences de rétention : Configurations d’accès actuelles ; registres de revue d’accès pour au moins 12 mois ; journaux de changements d’accès pour le cycle de certification complet
4. Registres de gestion des changements
La fonction principale du pipeline — faire passer les changements par des étapes contrôlées — doit elle-même être documentée.
- Artefacts CI/CD spécifiques : Historiques d’exécution de pipeline montrant le cycle de vie complet du changement ; registres d’approbation pour les déploiements en production ; registres de changements d’urgence avec revues rétrospectives ; historique de changements de configuration de pipeline (historique de versioning pipeline-as-code) ; registres de mise en production avec traçabilité vers les changements approuvés
- Formats acceptables : Journaux d’audit de la plateforme de pipeline ; historique du système de contrôle de version ; registres de workflow d’approbation ; comptes-rendus de comité consultatif des changements (CAB) le cas échéant
- Exigences de rétention : Historique complet des déploiements pour au moins 12 mois ; historique de configuration de pipeline pour le cycle de certification complet ; registres de changements d’urgence conservés pour revue
5. Résultats des tests de sécurité
Preuves que les tests de sécurité sont intégrés, obligatoires et efficaces.
- Artefacts CI/CD spécifiques : Résultats d’analyse statique par exécution de pipeline ; résultats d’analyse de vulnérabilités des dépendances ; résultats de tests de sécurité dynamiques ; rapports de tests d’intrusion pour l’infrastructure de pipeline ; taux de passage/échec des tests de sécurité dans le temps ; registres d’échecs de tests de sécurité ayant bloqué les déploiements
- Formats acceptables : Rapports d’outils de sécurité liés à des exécutions de pipeline spécifiques ; tableaux de bord d’analyse de tendances avec données sous-jacentes ; rapports de tests d’intrusion par des testeurs qualifiés
- Exigences de rétention : Résultats d’analyse individuels conservés au moins 12 mois ; données de tendances pour le cycle de certification complet ; rapports de tests d’intrusion conservés jusqu’à l’évaluation suivante
6. Registres de gestion des incidents
Preuves que les incidents de sécurité liés à CI/CD sont détectés, traités et sources d’apprentissage.
- Artefacts CI/CD spécifiques : Registres d’incidents pour tout événement de sécurité de pipeline ; documentation de procédure de réponse aux incidents couvrant les scénarios CI/CD ; rapports de revue post-incident ; preuves d’exercices d’incidents ou d’exercices de simulation impliquant des scénarios de compromission de pipeline ; registres d’actions correctives
- Formats acceptables : Registres du système de gestion des incidents ; documents de revue post-incident ; rapports d’exercices de simulation ; registres de suivi des actions correctives
- Exigences de rétention : Tous les registres d’incidents pour le cycle de certification complet (trois ans) ; actions correctives suivies jusqu’à clôture
7. Registres de gestion des fournisseurs
Preuves que les dépendances CI/CD tierces sont gérées et surveillées.
- Artefacts CI/CD spécifiques : Registre des fournisseurs incluant les fournisseurs de plateformes CI/CD, les fournisseurs de plugins et les fournisseurs de services cloud ; évaluations des risques tiers pour les prestataires de services CI/CD ; exigences de sécurité contractuelles ; registres de surveillance du niveau de service ; inventaire des dépendances (SBOM) pour les composants de pipeline
- Formats acceptables : Entrées du registre des fournisseurs ; rapports d’évaluation des risques ; extraits de contrats montrant les clauses de sécurité ; comptes-rendus de réunions de revue de service ; sorties SBOM dans des formats standards
- Exigences de rétention : Registre des fournisseurs et contrats à jour ; évaluations des risques mises à jour au moins annuellement ; registres de revue de service pour 12 mois minimum
Tableau récapitulatif des preuves
| Type de preuve | Système source | Format | Rétention |
|---|---|---|---|
| Périmètre et politiques du SMSI | Système de gestion documentaire | Documents approuvés avec contrôle de version | Versions actuelle + précédentes ; historique de revue de 3 ans |
| Registre des risques (entrées CI/CD) | Plateforme GRC ou registre des risques | Entrées de risques structurées avec dates d’évaluation | Versions actuelle + historiques ; 3 ans |
| Listes d’accès utilisateurs du pipeline | Console d’administration de la plateforme CI/CD | Export utilisateur/rôle avec horodatages | Config actuelle + 12 mois de journaux de changements |
| Validations de revue d’accès | Outil de gouvernance d’accès ou registres manuels | Registres de revue avec identité du relecteur et date | 12 mois minimum |
| Pistes d’audit d’exécution de pipeline | Journaux de la plateforme CI/CD | Entrées de journal immuables par exécution | 12 mois minimum |
| Registres d’approbation de déploiement | Plateforme CI/CD ou outil de workflow | Registres d’approbation avec identité de l’approbateur et horodatage | 12 mois minimum |
| Historique de configuration de pipeline | Système de contrôle de version | Historique des commits pour les fichiers pipeline-as-code | Cycle de certification complet (3 ans) |
| Résultats d’analyse de sécurité | Outils de tests de sécurité intégrés au pipeline | Rapports d’outils liés aux IDs d’exécution de pipeline | 12 mois individuels ; 3 ans données de tendances |
| Rapports de tests d’intrusion | Prestataire de tests qualifié | Rapport formel avec périmètre, constats, remédiation | Jusqu’à l’évaluation suivante |
| Registres d’incidents | Système de gestion des incidents | Tickets d’incidents avec chronologie et résolution | 3 ans |
| Évaluations des risques fournisseurs | Plateforme GRC ou registres manuels | Rapports d’évaluation avec niveaux de risque | Mise à jour annuelle ; 3 ans d’historique |
| SBOM / inventaire des dépendances | Outil d’analyse des dépendances du pipeline | Format SBOM standard (CycloneDX, SPDX) | Par mise en production ; 12 mois minimum |
Raisons courantes de non-conformités dans les environnements CI/CD
Les non-conformités suivantes sont les plus fréquemment soulevées lors des audits de certification des organisations disposant de pipelines CI/CD :
- Lacune de périmètre du SMSI : L’infrastructure CI/CD n’est pas explicitement incluse dans le périmètre du SMSI, ce qui entraîne la non-application des contrôles
- Documentation périmée : Les politiques et procédures rédigées avant l’adoption de CI/CD et jamais mises à jour pour refléter les processus automatisés
- Revues d’accès incomplètes : Les comptes de service de pipeline et les identifiants d’automatisation exclus des revues d’accès périodiques
- Pistes d’audit manquantes : Les journaux de pipeline sont modifiables, incomplets ou non conservés pour la période requise
- Portes de sécurité contournables : Les étapes de tests de sécurité dans le pipeline peuvent être ignorées sans approbation formelle et documentation
- Pas d’évaluation des risques fournisseurs pour les outils CI/CD : Les plateformes et plugins CI/CD tiers non inclus dans le registre des risques fournisseurs
- Changements d’urgence sans revue rétrospective : Correctifs déployés en dehors du pipeline standard sans justification documentée et revue post-déploiement
- Lacunes d’évaluation des risques : Les scénarios de menaces spécifiques à CI/CD (attaque de chaîne d’approvisionnement, exposition de secrets, compromission de pipeline) non évalués dans le registre des risques
Attentes des audits de surveillance
Après la certification initiale, des audits de surveillance sont menés annuellement (couvrant généralement un tiers des contrôles chaque année). Pour les environnements CI/CD, les auditeurs de surveillance se concentreront sur :
- Efficacité continue : Les contrôles conformes lors de la certification fonctionnent-ils toujours efficacement ?
- Couverture de la revue de direction : La direction a-t-elle revu la performance de la sécurité CI/CD ?
- Actions correctives : Les non-conformités de l’audit précédent ont-elles été traitées et vérifiées ?
- Changements depuis le dernier audit : Y a-t-il eu des changements significatifs dans l’environnement CI/CD, et ont-ils fait l’objet d’une évaluation des risques ?
- Constats d’audit interne : Les audits internes ont-ils couvert les contrôles CI/CD, et les constats ont-ils été traités ?
- Amélioration continue : Existe-t-il des preuves d’amélioration des contrôles de sécurité CI/CD depuis le dernier audit ?
Préparer la recertification
L’audit de recertification triennal est plus complet que les audits de surveillance. Il réévalue l’ensemble du SMSI. Pour les environnements CI/CD, la préparation doit inclure :
- Revue et mise à jour complètes de toutes les politiques et procédures liées à CI/CD
- Cycle complet de revues d’accès pour tous les comptes et identifiants de pipeline
- Évaluation des risques mise à jour couvrant toute nouvelle technologie ou processus CI/CD adopté pendant le cycle de certification
- Preuves de trois ans de fonctionnement continu des contrôles (pistes d’audit, registres de revue, registres d’incidents)
- Registres de revue de direction traitant spécifiquement des tendances de performance de la sécurité CI/CD
- Rapports d’audit interne couvrant tous les contrôles de l’Annexe A pertinents pour CI/CD
- Preuves d’initiatives d’amélioration continue pour la sécurité des pipelines
Lectures complémentaires
- Hub de conformité ISO 27001
- Avant l’arrivée de l’auditeur — Checklist de préparation à l’audit CI/CD
Ressources connexes pour les auditeurs
- Glossaire — Définitions en langage clair des termes techniques
- Playbook du jour d’audit
- Briefing exécutif d’audit
- Architecture de double conformité
Nouveau dans l’audit CI/CD ? Commencez par notre Guide de l’auditeur.
