Ce tableau d’audit orienté conformité met en correspondance les contrôles de sécurité CI/CD avec les référentiels réglementaires et d’assurance courants. Il est destiné à soutenir les audits internes, les évaluations externes et la préparation réglementaire dans les environnements d’entreprise.
🔐 Gestion des identités et des accès (IAM)
Contrôle
ISO 27001
SOC 2
DORA
Oui
Non
Moindre privilège appliqué aux comptes de service CI/CD
A.8.2 / A.5.15
CC6.1
ICT Risk Mgmt
⬜
⬜
Séparation entre les identités humaines et de pipeline
A.6.3
CC6.3
Governance
⬜
⬜
Accès basé sur les rôles pour la configuration des pipelines
A.5.18
CC6.2
Access Control
⬜
⬜
MFA appliqué pour les administrateurs CI/CD
A.5.17
CC6.1
ICT Security
⬜
⬜
Approbation requise pour les actions de pipeline privilégiées
A.5.19
CC7.2
Change Mgmt
⬜
⬜
🔑 Gestion des secrets
Contrôle
ISO 27001
SOC 2
DORA
Oui
Non
Secrets non stockés dans le contrôle de source
A.8.12
CC6.1
ICT Security
⬜
⬜
Injection des secrets au moment de l’exécution
A.8.24
CC6.7
ICT Risk Mgmt
⬜
⬜
Secrets limités par environnement
A.5.15
CC6.2
Governance
⬜
⬜
Rotation régulière des secrets
A.8.15
CC6.1
ICT Security
⬜
⬜
Valeurs des secrets exclues des journaux
A.8.16
CC7.2
Monitoring
⬜
⬜
📦 Intégrité des artefacts et chaîne d’approvisionnement logicielle
Contrôle
ISO 27001
SOC 2
DORA
Oui
Non
Environnements de build CI/CD durcis
A.8.20
CC6.6
ICT Resilience
⬜
⬜
Signature des artefacts appliquée
A.8.23
CC7.3
Supply Chain
⬜
⬜
Provenance reliant code, pipeline et artefact
A.8.9
CC7.2
Traceability
⬜
⬜
Dépôts d’artefacts appliquant l’immuabilité
A.8.10
CC6.5
ICT Security
⬜
⬜
Promotion limitée aux artefacts de confiance
A.8.21
CC6.6
Change Mgmt
⬜
⬜
🔗 Intégrations tierces et CI/CD
Contrôle
ISO 27001
SOC 2
DORA
Oui
Non
Plugins CI/CD tiers formellement approuvés
A.5.22
CC6.3
Third-Party Risk
⬜
⬜
Intégrations épinglées à des versions spécifiques
A.8.8
CC7.3
Supply Chain
⬜
⬜
Vérification d’intégrité des actions externes
A.8.23
CC7.3
ICT Security
⬜
⬜
Restriction des plugins maintenus par la communauté
A.5.23
CC6.6
Risk Mgmt
⬜
⬜
Surveillance de l’utilisation des intégrations
A.8.16
CC7.2
Monitoring
⬜
⬜
📊 Journalisation, surveillance et preuves d’audit
Contrôle
ISO 27001
SOC 2
DORA
Oui
Non
Activité des pipelines CI/CD entièrement journalisée
A.8.15
CC7.2
Monitoring
⬜
⬜
Les journaux incluent les approbations et les contrôles de sécurité
A.8.14
CC7.3
Governance
⬜
⬜
Collecte centralisée des journaux
A.8.16
CC7.2
ICT Risk Mgmt
⬜
⬜
Rétention des journaux alignée sur la politique
A.5.34
CC7.4
Record Keeping
⬜
⬜
Les preuves supportent les audits et les investigations
A.5.31
CC2.2
Compliance
⬜
⬜
🛡️ Gestion des changements et gouvernance
Contrôle
ISO 27001
SOC 2
DORA
Oui
Non
Changements revus et approuvés via le pipeline
A.8.32
CC8.1
Change Mgmt
⬜
⬜
Séparation entre les rôles de build et de déploiement
A.6.3
CC6.3
Governance
⬜
⬜
Application des politiques via des portes automatisées
A.5.19
CC7.2
ICT Security
⬜
⬜
Exceptions formellement approuvées et journalisées
A.5.31
CC2.3
Compliance
⬜
⬜
Gouvernance CI/CD revue périodiquement
A.5.36
CC1.2
Oversight
⬜
⬜
Comment utiliser ce tableau d’audit de conformité
Utiliser lors des audits internes ISO 27001
Joindre aux évaluations de préparation SOC 2
Soutenir les preuves de gestion des risques ICT DORA
Suivre les actions de remédiation dans la colonne Notes
Réviser périodiquement à mesure que les pipelines CI/CD évoluent
Contenu conçu pour les environnements réglementés : contrôles avant outils, enforcement par politiques dans le CI/CD, et evidence-by-design pour l’audit.
Focus sur la traçabilité, les approbations, la gouvernance des exceptions et la rétention des preuves de bout en bout.
