ISO\/IEC 27001 est le syst\u00e8me de management de la s\u00e9curit\u00e9 de l’information (SMSI) le plus largement adopt\u00e9 dans le monde. Pour les organisations op\u00e9rant dans des secteurs r\u00e9glement\u00e9s, la certification ISO 27001 sert fr\u00e9quemment de base sur laquelle des obligations de conformit\u00e9 suppl\u00e9mentaires \u2014 telles que DORA, NIS2, SOC 2 ou PCI DSS \u2014 sont superpos\u00e9es. Lorsque les pipelines CI\/CD constituent l’\u00e9pine dorsale de la livraison logicielle, ils entrent pleinement dans le p\u00e9rim\u00e8tre du SMSI et doivent \u00eatre gouvern\u00e9s avec la m\u00eame rigueur que toute autre installation de traitement de l’information.<\/p>\n\n\n\n
Cette page hub fournit un guide complet pour aligner les contr\u00f4les de s\u00e9curit\u00e9 CI\/CD avec les exigences ISO 27001:2022, pr\u00e9parer les audits de certification et constituer une base de preuves qui satisfait les \u00e9valuateurs externes.<\/p>\n\n\n\n
ISO\/IEC 27001:2022 sp\u00e9cifie les exigences pour \u00e9tablir, mettre en \u0153uvre, maintenir et am\u00e9liorer continuellement un SMSI. La norme suit une approche bas\u00e9e sur les risques : les organisations identifient les risques de s\u00e9curit\u00e9 de l’information, s\u00e9lectionnent les contr\u00f4les appropri\u00e9s pour traiter ces risques et d\u00e9montrent une efficacit\u00e9 continue par la surveillance et la mesure.<\/p>\n\n\n\n
La norme se compose de deux \u00e9l\u00e9ments principaux :<\/p>\n\n\n\n
La certification est accord\u00e9e par des organismes de certification accr\u00e9dit\u00e9s \u00e0 l’issue d’un processus d’audit en deux \u00e9tapes, avec des audits de surveillance continus et un cycle de recertification complet tous les trois ans.<\/p>\n\n\n\n
Les syst\u00e8mes CI\/CD ne sont pas des outils p\u00e9riph\u00e9riques \u2014 ce sont des installations de traitement de l’information qui manipulent directement certains des actifs informationnels les plus sensibles de l’organisation. Les pipelines traitent le code source, g\u00e8rent les identifiants et secrets, produisent et stockent les artefacts de build, orchestrent les d\u00e9ploiements vers les environnements de production et g\u00e9n\u00e8rent des donn\u00e9es op\u00e9rationnelles qui constituent des preuves du fonctionnement des contr\u00f4les.<\/p>\n\n\n\n
Sous ISO 27001, tout syst\u00e8me qui traite, stocke ou transmet des actifs informationnels dans le p\u00e9rim\u00e8tre d\u00e9fini du SMSI doit \u00eatre soumis \u00e0 des contr\u00f4les appropri\u00e9s. Les pipelines CI\/CD r\u00e9pondent \u00e0 chaque \u00e9l\u00e9ment de cette d\u00e9finition. Les exclure du p\u00e9rim\u00e8tre cr\u00e9erait une lacune inacceptable dans le SMSI, et les auditeurs exp\u00e9riment\u00e9s examineront sp\u00e9cifiquement si l’infrastructure de livraison a \u00e9t\u00e9 trait\u00e9e de mani\u00e8re appropri\u00e9e.<\/p>\n\n\n\n
De plus, les pipelines CI\/CD repr\u00e9sentent une surface d’attaque \u00e0 fort impact. Un pipeline compromis peut injecter du code malveillant en production, exfiltrer des secrets ou contourner tous les autres contr\u00f4les de s\u00e9curit\u00e9 de l’organisation. Le processus d’\u00e9valuation des risques devrait reconna\u00eetre cela et garantir que des contr\u00f4les proportionn\u00e9s sont appliqu\u00e9s.<\/p>\n\n\n\n
La r\u00e9vision 2022 de l’Annexe A a restructur\u00e9 les contr\u00f4les en quatre th\u00e8mes. Les contr\u00f4les suivants sont particuli\u00e8rement pertinents pour la s\u00e9curit\u00e9 CI\/CD et doivent \u00eatre trait\u00e9s explicitement dans la D\u00e9claration d’Applicabilit\u00e9.<\/p>\n\n\n\n
C’est le domaine de contr\u00f4le le plus \u00e9tendu pour les environnements CI\/CD. Plusieurs contr\u00f4les introduits ou restructur\u00e9s dans la r\u00e9vision 2022 sont directement applicables :<\/p>\n\n\n\n
La certification ISO 27001 implique un audit initial structur\u00e9 en deux \u00e9tapes, suivi d’une surveillance continue et d’une recertification :<\/p>\n\n\n\n
L’organisme de certification examine la documentation du SMSI pour sa compl\u00e9tude et sa conformit\u00e9. Pour les environnements CI\/CD, les auditeurs v\u00e9rifieront si les syst\u00e8mes de pipeline sont inclus dans la d\u00e9claration de p\u00e9rim\u00e8tre, si l’\u00e9valuation des risques couvre les menaces de livraison logicielle et si la D\u00e9claration d’Applicabilit\u00e9 traite les contr\u00f4les pertinents de l’Annexe A. Ils examineront \u00e9galement les politiques couvrant le d\u00e9veloppement s\u00e9curis\u00e9, la gestion des changements, le contr\u00f4le d’acc\u00e8s et la gestion des fournisseurs en lien avec le pipeline de livraison.<\/p>\n\n\n\n
L’auditeur v\u00e9rifie que les contr\u00f4les document\u00e9s sont mis en \u0153uvre et fonctionnent efficacement. Pour le CI\/CD, cela signifie d\u00e9montrer que les configurations de pipeline appliquent les politiques d\u00e9clar\u00e9es, que les logs fournissent des preuves du fonctionnement des contr\u00f4les, que les revues d’acc\u00e8s ont \u00e9t\u00e9 effectu\u00e9es et que les r\u00e9sultats des tests de s\u00e9curit\u00e9 montrent une gestion active des vuln\u00e9rabilit\u00e9s. Les auditeurs peuvent demander des d\u00e9monstrations en direct, des \u00e9chantillons de logs d’ex\u00e9cution de pipeline, des enregistrements de revue d’acc\u00e8s et des preuves de r\u00e9ponse aux incidents.<\/p>\n\n\n\n
R\u00e9alis\u00e9s annuellement entre les cycles de certification, les audits de surveillance \u00e9chantillonnent des contr\u00f4les sp\u00e9cifiques pour v\u00e9rifier la conformit\u00e9 continue. Les auditeurs peuvent se concentrer sur les domaines o\u00f9 des non-conformit\u00e9s ont \u00e9t\u00e9 pr\u00e9c\u00e9demment identifi\u00e9es, ou sur les contr\u00f4les particuli\u00e8rement pertinents pour le profil de risque de l’organisation \u2014 y compris les contr\u00f4les CI\/CD si l’environnement de livraison logicielle constitue une part importante du p\u00e9rim\u00e8tre du SMSI.<\/p>\n\n\n\n
Tous les trois ans, un audit complet de recertification est r\u00e9alis\u00e9. Il s’agit essentiellement d’une r\u00e9p\u00e9tition du processus des \u00e9tapes 1 et 2 et offre l’occasion de d\u00e9montrer que le SMSI a m\u00fbri, que les enseignements des audits pr\u00e9c\u00e9dents ont \u00e9t\u00e9 int\u00e9gr\u00e9s et que les contr\u00f4les restent efficaces \u00e0 mesure que l’environnement CI\/CD \u00e9volue.<\/p>\n\n\n\n
Les auditeurs ISO 27001 exp\u00e9riment\u00e9s \u00e9valuant les environnements CI\/CD se concentrent sur quatre domaines cl\u00e9s :<\/p>\n\n\n\n
Les non-conformit\u00e9s suivantes sont fr\u00e9quemment identifi\u00e9es lors des audits ISO 27001 des organisations avec des pipelines CI\/CD :<\/p>\n\n\n\n
Explorez des conseils d\u00e9taill\u00e9s sur des aspects sp\u00e9cifiques de la conformit\u00e9 ISO 27001 dans les environnements CI\/CD :<\/p>\n\n\n\n
Les contr\u00f4les ISO 27001 chevauchent fr\u00e9quemment les exigences d’autres r\u00e9f\u00e9rentiels r\u00e9glementaires. Les organisations poursuivant plusieurs certifications peuvent tirer parti d’un ensemble de contr\u00f4les unifi\u00e9 :<\/p>\n\n\n\n
ISO 27001 : le cadre fondamental pour la s\u00e9curit\u00e9 de l’information dans la livraison logicielle ISO\/IEC 27001 est le syst\u00e8me de management de la s\u00e9curit\u00e9 de l’information (SMSI) le plus largement adopt\u00e9 dans le monde. Pour les organisations op\u00e9rant dans des secteurs r\u00e9glement\u00e9s, la certification ISO 27001 sert fr\u00e9quemment de base sur laquelle des obligations … Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"parent":1460,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"footnotes":""},"class_list":["post-1478","page","type-page","status-publish"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1478","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1478"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1478\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/pages\/1460"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1478"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}