Section A — Gouvernance & Inventaire
| Contrôle | Oui | Non | Référence de preuve |
|---|---|---|---|
| Un inventaire complet des fournisseurs liés au CI/CD existe | ☐ | ☐ | |
| La classification de criticité des fournisseurs est définie | ☐ | ☐ | |
| Un propriétaire métier est formellement désigné | ☐ | ☐ | |
| Un propriétaire technique est formellement désigné | ☐ | ☐ | |
| Une évaluation annuelle des risques est réalisée | ☐ | ☐ | |
| La liste des sous-traitants est documentée | ☐ | ☐ |
Section B — Contrôles contractuels & réglementaires
| Contrôle | Oui | Non | Référence de preuve |
|---|---|---|---|
| Les obligations de sécurité sont incluses dans le contrat | ☐ | ☐ | |
| Le SLA de notification d’incident est défini | ☐ | ☐ | |
| Une clause de droits d’audit est présente | ☐ | ☐ | |
| La transparence sur la localisation des données est incluse | ☐ | ☐ | |
| La clause de stratégie de sortie est définie contractuellement | ☐ | ☐ |
Section C — Application technique CI/CD
| Contrôle | Oui | Non | Référence de preuve |
|---|---|---|---|
| SSO imposé sur les comptes admin CI/CD | ☐ | ☐ | |
| MFA obligatoire pour les rôles privilégiés | ☐ | ☐ | |
| Accès basé sur les rôles avec moindre privilège | ☐ | ☐ | |
| Branches protégées appliquées | ☐ | ☐ | |
| Approbations obligatoires pour la production configurées | ☐ | ☐ | |
| Les barrières de politique bloquent les résultats critiques | ☐ | ☐ | |
| Signature des artefacts imposée | ☐ | ☐ | |
| Génération de SBOM automatisée | ☐ | ☐ | |
| Isolation des runners implémentée | ☐ | ☐ |
Section D — Preuves & Rétention
| Contrôle | Oui | Non | Référence de preuve |
|---|---|---|---|
| Journaux CI/CD conservés selon la politique | ☐ | ☐ | |
| Journaux d’approbation exportables | ☐ | ☐ | |
| Résultats de scan de sécurité archivés centralement | ☐ | ☐ | |
| Traçabilité complète commit → artefact → prod | ☐ | ☐ | |
| Durée de rétention des preuves documentée | ☐ | ☐ |
Section E — Stratégie de sortie & Test PRA
| Contrôle | Oui | Non | Référence de preuve |
|---|---|---|---|
| Un plan de sortie documenté existe | ☐ | ☐ | |
| Export du code testé | ☐ | ☐ | |
| Export de la configuration pipeline testé | ☐ | ☐ | |
| Export des artefacts testé | ☐ | ☐ | |
| Exercice PRA / migration réalisé | ☐ | ☐ |
Bloc de décision de l’auditeur
- Niveau de risque global : ___
- Constats critiques : ___
- Remédiation requise avant le : ___
- Date d’audit de suivi : ___
