{"id":1219,"date":"2026-01-07T07:20:45","date_gmt":"2026-01-07T06:20:45","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-compliance-architecture-ci-cd-as-a-regulated-ict-system-2\/"},"modified":"2026-03-26T00:40:28","modified_gmt":"2026-03-25T23:40:28","slug":"dora-compliance-architecture-ci-cd-as-a-regulated-ict-system","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-compliance-architecture-ci-cd-as-a-regulated-ict-system\/","title":{"rendered":"Architecture de conformit\u00e9 DORA : le CI\/CD comme syst\u00e8me ICT r\u00e9glement\u00e9"},"content":{"rendered":"\n

Le Digital Operational Resilience Act (DORA) introduit un changement fondamental dans la fa\u00e7on dont les organisations r\u00e9glement\u00e9es doivent concevoir, exploiter et gouverner leurs syst\u00e8mes ICT. Sous DORA, la conformit\u00e9 ne se limite plus aux politiques ou aux contr\u00f4les p\u00e9riodiques \u2014 elle doit \u00eatre int\u00e9gr\u00e9e directement dans les architectures techniques et les flux op\u00e9rationnels.<\/p>\n\n\n\n

Cet article fournit une explication conceptuelle et architecturale<\/strong> de la place des pipelines CI\/CD dans le mod\u00e8le de conformit\u00e9 DORA. Il explique pourquoi les pipelines de livraison logicielle modernes doivent \u00eatre trait\u00e9s comme des syst\u00e8mes ICT r\u00e9glement\u00e9s, comment les contr\u00f4les de s\u00e9curit\u00e9 et de r\u00e9silience doivent fonctionner tout au long du cycle de vie logiciel, et o\u00f9 les exigences DORA croisent les pratiques DevSecOps.<\/p>\n\n\n\n

L’objectif de cet article est la compr\u00e9hension<\/strong> : clarifier l’intention architecturale derri\u00e8re DORA, introduire des concepts cl\u00e9s tels que l’application des politiques, la preuve par conception et la tra\u00e7abilit\u00e9 op\u00e9rationnelle, et aider les lecteurs \u00e0 construire le bon mod\u00e8le mental avant de passer \u00e0 l’impl\u00e9mentation ou \u00e0 la pr\u00e9paration d’audit.<\/p>\n\n\n\n\n\n

\n\n\n\n

Sous DORA, les pipelines CI\/CD ne sont plus de simples outils d’ing\u00e9nierie \u2014 ce sont des syst\u00e8mes ICT r\u00e9glement\u00e9s<\/strong> qui affectent directement la r\u00e9silience op\u00e9rationnelle, la s\u00e9curit\u00e9 et la conformit\u00e9 r\u00e9glementaire. \u00c0 ce titre, ils doivent \u00eatre con\u00e7us, gouvern\u00e9s et audit\u00e9s avec la m\u00eame rigueur que les plateformes de production.<\/p>\n\n\n\n

Cet article d\u00e9finit l’architecture de conformit\u00e9 DORA de r\u00e9f\u00e9rence<\/strong> utilis\u00e9e dans Regulated DevSecOps. Il d\u00e9crit comment les pipelines CI\/CD fonctionnent comme des syst\u00e8mes ICT contr\u00f4l\u00e9s sous DORA, comment les contr\u00f4les techniques appliquent les exigences r\u00e9glementaires tout au long du cycle de livraison, et comment les preuves auditables sont g\u00e9n\u00e9r\u00e9es par conception.<\/p>\n\n\n\n

Cet article se concentre sur l’impl\u00e9mentation et la gouvernance<\/strong>. Il fournit un mod\u00e8le architectural structur\u00e9 align\u00e9 sur l’Article 21 de DORA, servant de fondation pour les analyses approfondies, les mappings de contr\u00f4les, les packs de preuves et les guides de pr\u00e9paration d’audit publi\u00e9s sur ce site.<\/p>\n\n\n\n\n\n

\n\n\n\n

Pourquoi l’architecture est essentielle pour la conformit\u00e9 DORA<\/strong><\/h2>\n\n\n\n

DORA ne prescrit pas de technologies sp\u00e9cifiques. Il se concentre plut\u00f4t sur les r\u00e9sultats : contr\u00f4le des risques, r\u00e9silience, tra\u00e7abilit\u00e9 et responsabilit\u00e9. L’architecture joue un r\u00f4le crucial dans la traduction de ces attentes r\u00e9glementaires en impl\u00e9mentations techniques concr\u00e8tes.<\/p>\n\n\n\n

Une architecture de conformit\u00e9 bien d\u00e9finie garantit que :<\/p>\n\n\n\n

    \n
  • Les contr\u00f4les de risques ICT sont appliqu\u00e9s de mani\u00e8re coh\u00e9rente<\/li>\n\n\n\n
  • Les responsabilit\u00e9s sont clairement attribu\u00e9es<\/li>\n\n\n\n
  • Les preuves sont g\u00e9n\u00e9r\u00e9es en continu<\/li>\n\n\n\n
  • Les audits peuvent \u00eatre soutenus sans rem\u00e9diation ad hoc<\/li>\n<\/ul>\n\n\n\n

    Les pipelines CI\/CD se situent \u00e0 l’intersection du d\u00e9veloppement, des op\u00e9rations et de la gouvernance, ce qui en fait un point d’ancrage naturel pour une architecture align\u00e9e sur DORA.<\/p>\n\n\n\n

    \n\n\n\n

    Vue d’ensemble de l’architecture de conformit\u00e9 DORA<\/strong><\/h2>\n\n\n\n

    L’architecture de conformit\u00e9 DORA est structur\u00e9e autour de trois couches fondamentales :<\/p>\n\n\n\n

      \n
    1. Gouvernance et gestion des risques ICT<\/strong><\/li>\n\n\n\n
    2. Les pipelines CI\/CD comme syst\u00e8mes r\u00e9glement\u00e9s<\/strong><\/li>\n\n\n\n
    3. Contr\u00f4les de production et op\u00e9rationnels<\/strong><\/li>\n<\/ol>\n\n\n\n

      Ces couches sont soutenues par des capacit\u00e9s transversales de preuves et de surveillance qui assurent une conformit\u00e9 continue plut\u00f4t qu’une validation ponctuelle.<\/p>\n\n\n\n\n

      \n\n DORA Compliance Architecture \u2013 CI\/CD as Regulated System<\/title>\n Architecture diagram showing how CI\/CD pipelines enforce DORA Article 21 ICT risk management controls and generate continuous compliance evidence.<\/desc>\n\n