{"id":1476,"date":"2026-02-24T13:53:29","date_gmt":"2026-02-24T12:53:29","guid":{"rendered":"https:\/\/regulated-devsecops.com\/dora\/"},"modified":"2026-03-26T07:07:21","modified_gmt":"2026-03-26T06:07:21","slug":"dora","status":"publish","type":"page","link":"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora\/","title":{"rendered":"DORA"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\"><strong>Digital Operational Resilience Act (DORA) \u2014 CI\/CD et risque ICT dans les environnements r\u00e9glement\u00e9s<\/strong><\/h2>\n\n\n\n<p>Le Digital Operational Resilience Act (DORA) \u00e9tablit un cadre unifi\u00e9 pour la gestion du risque ICT dans le secteur financier europ\u00e9en.<\/p>\n\n\n\n<p>Il s&rsquo;applique aux :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Banques<\/li>\n\n\n\n<li>Compagnies d&rsquo;assurance<\/li>\n\n\n\n<li>Soci\u00e9t\u00e9s d&rsquo;investissement<\/li>\n\n\n\n<li>\u00c9tablissements de paiement<\/li>\n\n\n\n<li>Prestataires de services sur crypto-actifs<\/li>\n\n\n\n<li>Fournisseurs tiers critiques de services ICT<\/li>\n<\/ul>\n\n\n\n<p>DORA ne r\u00e9glemente pas le code.<br>Il r\u00e9glemente la r\u00e9silience op\u00e9rationnelle.<\/p>\n\n\n\n<p>Les pipelines CI\/CD, l&rsquo;infrastructure cloud et les services ICT tiers rel\u00e8vent directement de son p\u00e9rim\u00e8tre.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pourquoi DORA est important pour le CI\/CD<\/strong><\/h2>\n\n\n\n<p>Dans les environnements financiers r\u00e9glement\u00e9s, les pipelines CI\/CD font partie du syst\u00e8me ICT.<br>Cela signifie qu&rsquo;ils doivent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Appliquer des contr\u00f4les d&rsquo;acc\u00e8s<\/li>\n\n\n\n<li>S\u00e9parer les responsabilit\u00e9s<\/li>\n\n\n\n<li>Prot\u00e9ger les environnements de production<\/li>\n\n\n\n<li>G\u00e9n\u00e9rer des preuves d&rsquo;audit<\/li>\n\n\n\n<li>G\u00e9rer le risque tiers<\/li>\n\n\n\n<li>Soutenir la r\u00e9ponse aux incidents et la reprise d&rsquo;activit\u00e9<\/li>\n<\/ul>\n\n\n\n<p>DORA transforme le CI\/CD d&rsquo;un outil de livraison en un syst\u00e8me de contr\u00f4le r\u00e9glement\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Les deux piliers critiques de DORA pour le CI\/CD<\/strong><\/h2>\n\n\n\n<p>Bien que DORA contienne plusieurs chapitres, deux domaines sont particuli\u00e8rement pertinents pour le CI\/CD et les architectures cloud :<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>1. Article 21 \u2014 Gestion du risque ICT et cadre de contr\u00f4le<\/strong><\/h3>\n\n\n\n<p>L&rsquo;article 21 exige des entit\u00e9s financi\u00e8res qu&rsquo;elles mettent en \u0153uvre des contr\u00f4les robustes de gestion du risque ICT.<\/p>\n\n\n\n<p>Pour le CI\/CD, cela se traduit par :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Gestion s\u00e9curis\u00e9e des changements<\/li>\n\n\n\n<li>D\u00e9ploiements contr\u00f4l\u00e9s<\/li>\n\n\n\n<li>S\u00e9paration des responsabilit\u00e9s<\/li>\n\n\n\n<li>Gouvernance des acc\u00e8s<\/li>\n\n\n\n<li>Journalisation et tra\u00e7abilit\u00e9<\/li>\n\n\n\n<li>Conservation des preuves<\/li>\n\n\n\n<li>Application du cycle de d\u00e9veloppement s\u00e9curis\u00e9<\/li>\n<\/ul>\n\n\n\n<p>Le CI\/CD doit permettre :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des approbations bas\u00e9es sur le risque<\/li>\n\n\n\n<li>Des portes de politique obligatoires<\/li>\n\n\n\n<li>Des contr\u00f4les de s\u00e9curit\u00e9 bloquants<\/li>\n\n\n\n<li>Un historique des changements tra\u00e7able<\/li>\n<\/ul>\n\n\n\n<p>\ud83d\udd0e Guides associ\u00e9s :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-21-deep-dive-enforcing-ict-risk-controls-via-ci-cd\/\" data-type=\"post\" data-id=\"252\">DORA Article 21 \u2014 Analyse approfondie<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-21-%e2%86%94-ci-cd-controls-mapping\/\" data-type=\"post\" data-id=\"255\">DORA Article 21 \u2014 Correspondance des contr\u00f4les CI\/CD<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/ci-cd-security\/dora-article-21-auditor-checklist-ci-cd-ict-risk-management\/\" data-type=\"post\" data-id=\"257\">DORA Article 21 \u2014 Checklist pour auditeurs<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-21-evidence-pack-for-auditors\/\" data-type=\"post\" data-id=\"259\">DORA Article 21 \u2014 Dossier de preuves<\/a><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>2. Article 28 \u2014 Gestion du risque tiers ICT<\/strong><\/h3>\n\n\n\n<p>L&rsquo;article 28 porte sur les prestataires tiers de services ICT.<\/p>\n\n\n\n<p>Pour les \u00e9cosyst\u00e8mes CI\/CD modernes, cela inclut :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les plateformes d&rsquo;h\u00e9bergement Git<\/li>\n\n\n\n<li>Les fournisseurs SaaS de CI\/CD<\/li>\n\n\n\n<li>Les registres d&rsquo;artefacts<\/li>\n\n\n\n<li>Les environnements d&rsquo;ex\u00e9cution cloud<\/li>\n\n\n\n<li>Les plugins et int\u00e9grations de marketplace<\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;article 28 exige :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Une \u00e9valuation formelle des risques fournisseurs<\/li>\n\n\n\n<li>Des clauses contractuelles de s\u00e9curit\u00e9<\/li>\n\n\n\n<li>Des droits d&rsquo;audit<\/li>\n\n\n\n<li>Des strat\u00e9gies de sortie<\/li>\n\n\n\n<li>Des tests de r\u00e9silience<\/li>\n\n\n\n<li>Un suivi continu<\/li>\n<\/ul>\n\n\n\n<p>Si votre pipeline fonctionne sur une infrastructure SaaS, vous g\u00e9rez un risque tiers ICT.<\/p>\n\n\n\n<p>\ud83d\udd0e Guides associ\u00e9s :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-explained-managing-ict-third-party-risk-in-ci-cd-and-cloud-environments\/\" data-type=\"post\" data-id=\"337\">DORA Article 28 \u2014 Expliqu\u00e9<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-architecture-third-party-risk-controls-across-ci-cd-pipelines\/\" data-type=\"post\" data-id=\"364\">DORA Article 28 \u2014 Architecture<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-auditor-checklist-yes-no-evidence\/\" data-type=\"post\" data-id=\"353\">DORA Article 28 \u2014 Checklist pour auditeurs<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-evidence-pack-what-auditors-expect-to-see\/\" data-type=\"post\" data-id=\"366\">DORA Article 28 \u2014 Dossier de preuves<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-exit-strategy-testing-dr-bcp\/\" data-type=\"post\" data-id=\"879\">DORA Article 28 \u2014 Tests de strat\u00e9gie de sortie<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>DORA et architecture CI\/CD<\/strong><\/h2>\n\n\n\n<p>Une architecture conforme \u00e0 DORA doit :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Imposer des workflows d&rsquo;approbation obligatoires<\/li>\n\n\n\n<li>Emp\u00eacher l&rsquo;acc\u00e8s direct \u00e0 la production<\/li>\n\n\n\n<li>Bloquer les builds non conformes<\/li>\n\n\n\n<li>Signer et tracer les artefacts<\/li>\n\n\n\n<li>Conserver les logs de d\u00e9ploiement<\/li>\n\n\n\n<li>Surveiller les \u00e9v\u00e9nements en production<\/li>\n\n\n\n<li>Isoler les acc\u00e8s privil\u00e9gi\u00e9s<\/li>\n<\/ul>\n\n\n\n<p>La conformit\u00e9 DORA ne s&rsquo;obtient pas par la documentation seule.<br>Elle n\u00e9cessite une application architecturale.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>DORA et conformit\u00e9 continue<\/strong><\/h2>\n\n\n\n<p>DORA attend que les contr\u00f4les fonctionnent en continu \u2014 et non p\u00e9riodiquement.<\/p>\n\n\n\n<p>Le CI\/CD peut y contribuer en :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Automatisant l&rsquo;application des politiques<\/li>\n\n\n\n<li>G\u00e9n\u00e9rant des logs inviolables<\/li>\n\n\n\n<li>Enregistrant les cha\u00eenes d&rsquo;approbation<\/li>\n\n\n\n<li>Pr\u00e9servant la tra\u00e7abilit\u00e9 des d\u00e9ploiements<\/li>\n\n\n\n<li>Suivant l&rsquo;utilisation des services tiers<\/li>\n<\/ul>\n\n\n\n<p>Lorsqu&rsquo;il est correctement con\u00e7u, le pipeline devient un moteur de conformit\u00e9.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>DORA vs autres r\u00e9f\u00e9rentiels<\/strong><\/h2>\n\n\n\n<p>DORA chevauche :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>ISO 27001 (contr\u00f4les Annexe A)<\/li>\n\n\n\n<li>SOC 2 (acc\u00e8s logique et gestion des changements)<\/li>\n\n\n\n<li>NIS2 (r\u00e9silience de la cha\u00eene d&rsquo;approvisionnement)<\/li>\n\n\n\n<li>PCI DSS (d\u00e9veloppement s\u00e9curis\u00e9 et contr\u00f4le d&rsquo;acc\u00e8s)<\/li>\n<\/ul>\n\n\n\n<p>Cependant, DORA est une r\u00e9glementation \u2014 pas une certification volontaire.<br>Il introduit des attentes de supervision et des m\u00e9canismes d&rsquo;application.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Id\u00e9es re\u00e7ues courantes sur DORA<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u274c \u00ab DORA ne concerne que la cybers\u00e9curit\u00e9. \u00bb<\/strong><\/h3>\n\n\n\n<p>DORA couvre la r\u00e9silience op\u00e9rationnelle, y compris la gouvernance, la surveillance et la gestion des tiers.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u274c \u00ab Les fournisseurs cloud g\u00e8rent la conformit\u00e9 DORA. \u00bb<\/strong><\/h3>\n\n\n\n<p>Les entit\u00e9s financi\u00e8res restent responsables, m\u00eame lorsqu&rsquo;elles utilisent des prestataires ICT tiers.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>\u274c \u00ab Avoir des outils de s\u00e9curit\u00e9 \u00e9quivaut \u00e0 la conformit\u00e9. \u00bb<\/strong><\/h3>\n\n\n\n<p>Sans gouvernance appliqu\u00e9e et preuves, les outils seuls sont insuffisants.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Mod\u00e8le de maturit\u00e9 DORA pour le CI\/CD<\/strong><\/h2>\n\n\n\n<p>Les organisations se situent g\u00e9n\u00e9ralement dans l&rsquo;une des quatre cat\u00e9gories suivantes :<\/p>\n\n\n\n<p><strong>Niveau 1 \u2014 Contr\u00f4les informels<\/strong><\/p>\n\n\n\n<p>Approbations manuelles, journalisation incoh\u00e9rente.<\/p>\n\n\n\n<p><strong>Niveau 2 \u2014 S\u00e9curit\u00e9 bas\u00e9e sur les outils<\/strong><\/p>\n\n\n\n<p>Outils de s\u00e9curit\u00e9 int\u00e9gr\u00e9s mais non bloquants.<\/p>\n\n\n\n<p><strong>Niveau 3 \u2014 Contr\u00f4les CI\/CD appliqu\u00e9s<\/strong><\/p>\n\n\n\n<p>Les portes de politique bloquent les releases non conformes.<\/p>\n\n\n\n<p><strong>Niveau 4 \u2014 Syst\u00e8me ICT r\u00e9glement\u00e9<\/strong><\/p>\n\n\n\n<p>S\u00e9paration compl\u00e8te des responsabilit\u00e9s, tra\u00e7abilit\u00e9, conservation des preuves et gouvernance des tiers.<\/p>\n\n\n\n<p>Les institutions financi\u00e8res devraient viser le niveau 3 ou le niveau 4.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Ressources pratiques DORA<\/strong><\/h2>\n\n\n\n<p>Architecture :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-compliance-architecture-explained\/\" data-type=\"post\" data-id=\"277\">Architecture de conformit\u00e9 DORA \u2014 Expliqu\u00e9e<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-compliance-architecture-ci-cd-as-a-regulated-ict-system\/\" data-type=\"post\" data-id=\"274\">Architecture de conformit\u00e9 DORA : le CI\/CD comme syst\u00e8me ICT r\u00e9glement\u00e9<\/a><\/li>\n<\/ul>\n\n\n\n<p>Article 21 :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-21-deep-dive-enforcing-ict-risk-controls-via-ci-cd\/\" data-type=\"post\" data-id=\"252\">DORA Article 21 \u2014 Analyse approfondie<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-21-%e2%86%94-ci-cd-controls-mapping\/\" data-type=\"post\" data-id=\"255\">DORA Article 21 \u2014 Correspondance des contr\u00f4les<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-21-evidence-pack-for-auditors\/\" data-type=\"post\" data-id=\"259\">DORA Article 21 \u2014 Dossier de preuves<\/a><\/li>\n<\/ul>\n\n\n\n<p>Article 28 :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-architecture-third-party-risk-controls-across-ci-cd-pipelines\/\" data-type=\"post\" data-id=\"364\">DORA Article 28 \u2014 Architecture<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-exit-strategy-testing-dr-bcp\/\" data-type=\"post\" data-id=\"879\">DORA Article 28 \u2014 Tests de strat\u00e9gie de sortie<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/third-party-risk-in-ci-cd-pipelines-under-dora-article-28\/\" data-type=\"post\" data-id=\"368\">Risque tiers dans le CI\/CD sous DORA<\/a><\/li>\n<\/ul>\n\n\n\n<p>Audit et gouvernance :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/executive-audit-briefing-ci-cd-pipelines-in-regulated-environments\/\" data-type=\"post\" data-id=\"272\">Briefing d&rsquo;audit ex\u00e9cutif \u2014 CI\/CD dans les environnements r\u00e9glement\u00e9s<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/audit-day-playbook-how-to-handle-ci-cd-audits-in-regulated-environments\/\" data-type=\"post\" data-id=\"268\">Guide du jour d&rsquo;audit<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/how-auditors-actually-review-ci-cd-pipelines\/\" data-type=\"post\" data-id=\"261\">Comment les auditeurs examinent r\u00e9ellement les pipelines CI\/CD<\/a><\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Principe final<\/strong><\/h2>\n\n\n\n<p>DORA n&rsquo;est pas un exercice de documentation.<br>C&rsquo;est un mandat de r\u00e9silience op\u00e9rationnelle.<\/p>\n\n\n\n<p>Dans les institutions financi\u00e8res modernes, les pipelines CI\/CD font partie du p\u00e9rim\u00e8tre ICT r\u00e9glement\u00e9.<\/p>\n\n\n\n<p>Si votre architecture applique les contr\u00f4les et g\u00e9n\u00e8re des preuves d\u00e8s la conception, DORA devient g\u00e9rable.<br>Si les contr\u00f4les sont manuels ou informels, DORA devient un risque syst\u00e9mique.<\/p>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Digital Operational Resilience Act (DORA) \u2014 CI\/CD et risque ICT dans les environnements r\u00e9glement\u00e9s Le Digital Operational Resilience Act (DORA) \u00e9tablit un cadre unifi\u00e9 pour la gestion du risque ICT dans le secteur financier europ\u00e9en. Il s&rsquo;applique aux : DORA ne r\u00e9glemente pas le code.Il r\u00e9glemente la r\u00e9silience op\u00e9rationnelle. Les pipelines CI\/CD, l&rsquo;infrastructure cloud et &#8230; <a title=\"DORA\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora\/\" aria-label=\"En savoir plus sur DORA\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"parent":1460,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1476","page","type-page","status-publish"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1476","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1476"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1476\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1460"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1476"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}