{"id":1225,"date":"2026-03-25T17:23:49","date_gmt":"2026-03-25T16:23:49","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/appsec-governance-model-roles-responsibilities-2\/"},"modified":"2026-03-26T00:09:33","modified_gmt":"2026-03-25T23:09:33","slug":"appsec-governance-model-roles-responsibilities","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/application-security-governance\/appsec-governance-model-roles-responsibilities\/","title":{"rendered":"Mod\u00e8le de gouvernance AppSec \u2014 R\u00f4les, responsabilit\u00e9s et supervision"},"content":{"rendered":"<h2>Pourquoi la gouvernance AppSec est distincte de la gouvernance g\u00e9n\u00e9rale de la s\u00e9curit\u00e9 IT<\/h2>\n<p>De nombreuses organisations traitent la s\u00e9curit\u00e9 applicative comme un sous-ensemble de la gouvernance de la s\u00e9curit\u00e9 IT \u2014 une ligne dans une politique de s\u00e9curit\u00e9 de l&rsquo;information, supervis\u00e9e par le m\u00eame comit\u00e9 qui g\u00e8re la s\u00e9curit\u00e9 r\u00e9seau et la protection des postes de travail. C&rsquo;est une erreur structurelle que les auditeurs devraient identifier imm\u00e9diatement.<\/p>\n<p>La gouvernance de la s\u00e9curit\u00e9 applicative pr\u00e9sente des caract\u00e9ristiques uniques qui exigent une supervision d\u00e9di\u00e9e :<\/p>\n<ul>\n<li><strong>Les applications sont d\u00e9velopp\u00e9es, non achet\u00e9es (ou fortement personnalis\u00e9es) :<\/strong> Contrairement aux composants d&rsquo;infrastructure, les applications sur mesure introduisent des risques propres \u00e0 l&rsquo;organisation. Les contr\u00f4les IT g\u00e9n\u00e9riques ne les couvrent pas.<\/li>\n<li><strong>Le risque est int\u00e9gr\u00e9 dans le processus de d\u00e9veloppement :<\/strong> Les vuln\u00e9rabilit\u00e9s sont introduites lors de la conception, du codage et de la configuration \u2014 des phases que la gouvernance traditionnelle de la s\u00e9curit\u00e9 IT touche rarement.<\/li>\n<li><strong>Plusieurs \u00e9quipes partagent la responsabilit\u00e9 :<\/strong> D\u00e9veloppement, op\u00e9rations, s\u00e9curit\u00e9 et parties prenantes m\u00e9tier jouent tous un r\u00f4le. Sans gouvernance claire, des lacunes de responsabilit\u00e9 apparaissent.<\/li>\n<li><strong>Rapidit\u00e9 du changement :<\/strong> Les pratiques de d\u00e9veloppement modernes impliquent que les applications changent chaque semaine ou chaque jour. Les mod\u00e8les de gouvernance con\u00e7us pour des revues trimestrielles d&rsquo;infrastructure ne peuvent pas suivre le rythme.<\/li>\n<li><strong>Les attentes r\u00e9glementaires augmentent :<\/strong> DORA, NIS2 et les r\u00e9glementations sectorielles exigent d\u00e9sormais explicitement des contr\u00f4les sur le d\u00e9veloppement logiciel et les composants tiers, pas seulement sur les syst\u00e8mes IT op\u00e9rationnels.<\/li>\n<\/ul>\n<p>Pour les auditeurs, la question cl\u00e9 est : <strong>l&rsquo;organisation dispose-t-elle d&rsquo;une structure de gouvernance sp\u00e9cifiquement con\u00e7ue pour la s\u00e9curit\u00e9 applicative, avec des r\u00f4les d\u00e9finis, des droits de d\u00e9cision et des m\u00e9canismes de supervision ?<\/strong><\/p>\n<h2>R\u00f4les cl\u00e9s dans la gouvernance AppSec<\/h2>\n<p>Une gouvernance efficace de la s\u00e9curit\u00e9 applicative n\u00e9cessite des r\u00f4les clairement d\u00e9finis avec des responsabilit\u00e9s document\u00e9es. Les r\u00f4les suivants sont essentiels \u2014 bien que les titres puissent varier selon les organisations.<\/p>\n<h3>Responsable de la s\u00e9curit\u00e9 applicative<\/h3>\n<p>L&rsquo;individu (ou le responsable d&rsquo;\u00e9quipe) charg\u00e9 de d\u00e9finir et maintenir le programme de s\u00e9curit\u00e9 applicative de l&rsquo;organisation. Ce r\u00f4le est propri\u00e9taire de la strat\u00e9gie AppSec, des d\u00e9cisions d&rsquo;outillage, du d\u00e9veloppement des politiques et des m\u00e9triques du programme. Dans les grandes organisations, il peut s&rsquo;agir d&rsquo;une \u00e9quipe d\u00e9di\u00e9e ; dans les plus petites, ce r\u00f4le peut \u00eatre int\u00e9gr\u00e9 \u00e0 la fonction s\u00e9curit\u00e9 plus large.<\/p>\n<h3>Security Champions<\/h3>\n<p>Des repr\u00e9sentants int\u00e9gr\u00e9s au sein des \u00e9quipes de d\u00e9veloppement qui servent de premier point de contact pour les questions de s\u00e9curit\u00e9. Ils ne remplacent pas les sp\u00e9cialistes s\u00e9curit\u00e9 mais font le lien entre le d\u00e9veloppement et la fonction AppSec. Leur efficacit\u00e9 d\u00e9pend d&rsquo;une formation formelle, de temps d\u00e9di\u00e9 et d&rsquo;une reconnaissance au sein de la structure de gouvernance.<\/p>\n<h3>Responsables d&rsquo;\u00e9quipe de d\u00e9veloppement<\/h3>\n<p>Responsables de s&rsquo;assurer que leurs \u00e9quipes suivent les pratiques de d\u00e9veloppement s\u00e9curis\u00e9, traitent les vuln\u00e9rabilit\u00e9s dans les SLA convenus et participent aux activit\u00e9s de s\u00e9curit\u00e9 requises (revues de code, sessions de mod\u00e9lisation des menaces). Ils sont responsables de la rem\u00e9diation au sein de leurs \u00e9quipes.<\/p>\n<h3>CISO \/ Directeur de la s\u00e9curit\u00e9<\/h3>\n<p>Fournit le parrainage ex\u00e9cutif du programme AppSec, assure un financement ad\u00e9quat et rend compte du risque de s\u00e9curit\u00e9 applicative au conseil d&rsquo;administration ou au comit\u00e9 des risques. Le CISO est en fin de compte responsable de la posture de s\u00e9curit\u00e9 de l&rsquo;organisation, y compris la s\u00e9curit\u00e9 applicative.<\/p>\n<h3>Propri\u00e9taire du risque<\/h3>\n<p>G\u00e9n\u00e9ralement un responsable m\u00e9tier qui d\u00e9tient le risque associ\u00e9 \u00e0 une application sp\u00e9cifique ou un ensemble d&rsquo;applications. Le propri\u00e9taire du risque accepte le risque r\u00e9siduel, approuve les exceptions et s&rsquo;assure que les d\u00e9cisions m\u00e9tier prennent en compte les implications de s\u00e9curit\u00e9 applicative.<\/p>\n<h3>Responsable conformit\u00e9<\/h3>\n<p>S&rsquo;assure que le programme AppSec satisfait les exigences r\u00e9glementaires, mappe les contr\u00f4les aux obligations r\u00e9glementaires et coordonne avec les auditeurs externes. Le responsable conformit\u00e9 valide que la collecte de preuves r\u00e9pond aux attentes r\u00e9glementaires.<\/p>\n<h2>Matrice RACI pour les activit\u00e9s AppSec<\/h2>\n<p>Une matrice RACI (Responsible, Accountable, Consulted, Informed) \u00e9limine l&rsquo;ambigu\u00eft\u00e9 sur qui fait quoi. Les auditeurs devraient demander ce document comme \u00e9l\u00e9ment central de gouvernance.<\/p>\n<table>\n<thead>\n<tr>\n<th>Activit\u00e9<\/th>\n<th>Resp. AppSec<\/th>\n<th>Security Champions<\/th>\n<th>Resp. \u00e9quipe dev<\/th>\n<th>CISO<\/th>\n<th>Propri\u00e9taire du risque<\/th>\n<th>Resp. conformit\u00e9<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Mod\u00e9lisation des menaces<\/strong><\/td>\n<td>A<\/td>\n<td>R<\/td>\n<td>R<\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Configuration des tests de s\u00e9curit\u00e9<\/strong><\/td>\n<td>R\/A<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Triage des vuln\u00e9rabilit\u00e9s<\/strong><\/td>\n<td>A<\/td>\n<td>R<\/td>\n<td>R<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Suivi de la rem\u00e9diation<\/strong><\/td>\n<td>A<\/td>\n<td>C<\/td>\n<td>R<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Approbation des exceptions<\/strong><\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>A<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<\/tr>\n<tr>\n<td><strong>Rapport de m\u00e9triques<\/strong><\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<td>A<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>S\u00e9lection des outils<\/strong><\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<td>A<\/td>\n<td>I<\/td>\n<td>C<\/td>\n<\/tr>\n<tr>\n<td><strong>Formation \u00e0 la s\u00e9curit\u00e9<\/strong><\/td>\n<td>R\/A<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><em>R = Responsible (effectue le travail), A = Accountable (propri\u00e9taire du r\u00e9sultat), C = Consulted, I = Informed<\/em><\/p>\n<h2>Structure de gouvernance : centralis\u00e9e, int\u00e9gr\u00e9e ou hybride<\/h2>\n<p>La mani\u00e8re dont la fonction AppSec est organis\u00e9e au sein de l&rsquo;entreprise a des implications significatives sur l&rsquo;efficacit\u00e9, la responsabilit\u00e9 et l&rsquo;auditabilit\u00e9.<\/p>\n<table>\n<thead>\n<tr>\n<th>Mod\u00e8le<\/th>\n<th>Description<\/th>\n<th>Forces<\/th>\n<th>Faiblesses<\/th>\n<th>Adapt\u00e9 pour<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>Centralis\u00e9<\/strong><\/td>\n<td>Une \u00e9quipe AppSec d\u00e9di\u00e9e fournit tous les tests de s\u00e9curit\u00e9, revues et conseils. Les \u00e9quipes de d\u00e9veloppement demandent des services de s\u00e9curit\u00e9.<\/td>\n<td>Standards coh\u00e9rents ; propri\u00e9t\u00e9 claire ; plus facile \u00e0 auditer ; expertise sp\u00e9cialis\u00e9e concentr\u00e9e<\/td>\n<td>Peut devenir un goulot d&rsquo;\u00e9tranglement ; peut manquer de contexte d\u00e9veloppement ; per\u00e7u comme des contr\u00f4leurs externes<\/td>\n<td>Organisations fortement r\u00e9glement\u00e9es ; portefeuilles de d\u00e9veloppement plus petits ; organisations en d\u00e9but de maturit\u00e9 AppSec<\/td>\n<\/tr>\n<tr>\n<td><strong>Int\u00e9gr\u00e9<\/strong><\/td>\n<td>Des ing\u00e9nieurs s\u00e9curit\u00e9 sont plac\u00e9s au sein de chaque \u00e9quipe de d\u00e9veloppement et rapportent \u00e0 la direction du d\u00e9veloppement.<\/td>\n<td>Int\u00e9gration profonde avec le d\u00e9veloppement ; retour plus rapide ; s\u00e9curit\u00e9 align\u00e9e au contexte produit<\/td>\n<td>Standards incoh\u00e9rents entre \u00e9quipes ; la s\u00e9curit\u00e9 peut \u00eatre d\u00e9prioritis\u00e9e par la direction du d\u00e9veloppement ; plus difficile de maintenir l&rsquo;ind\u00e9pendance ; difficile \u00e0 auditer de mani\u00e8re coh\u00e9rente<\/td>\n<td>Grandes entreprises technologiques ; organisations avec une culture s\u00e9curit\u00e9 mature ; organisations orient\u00e9es produit<\/td>\n<\/tr>\n<tr>\n<td><strong>Hybride<\/strong><\/td>\n<td>Une \u00e9quipe AppSec centrale d\u00e9finit les standards, s\u00e9lectionne les outils et assure la supervision. Des Security Champions ou des ing\u00e9nieurs int\u00e9gr\u00e9s g\u00e8rent les activit\u00e9s quotidiennes au sein des \u00e9quipes de d\u00e9veloppement.<\/td>\n<td>\u00c9quilibre entre coh\u00e9rence et int\u00e9gration ; la supervision centrale soutient l&rsquo;auditabilit\u00e9 ; \u00e9volutif pour de grands portefeuilles<\/td>\n<td>N\u00e9cessite une coordination forte ; l&rsquo;efficacit\u00e9 des Security Champions varie ; les doubles lignes hi\u00e9rarchiques peuvent cr\u00e9er de la confusion<\/td>\n<td>La plupart des organisations r\u00e9glement\u00e9es ; organisations avec plusieurs \u00e9quipes de d\u00e9veloppement ; entit\u00e9s soumises \u00e0 DORA, NIS2 ou PCI DSS<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Pour les organisations r\u00e9glement\u00e9es, le <strong>mod\u00e8le hybride<\/strong> est g\u00e9n\u00e9ralement le plus d\u00e9fendable du point de vue de l&rsquo;audit car il pr\u00e9serve la supervision centrale (critique pour l&rsquo;application coh\u00e9rente des politiques et la collecte de preuves) tout en maintenant une int\u00e9gration pratique avec les \u00e9quipes de d\u00e9veloppement.<\/p>\n<h2>Cadre de politiques<\/h2>\n<p>La gouvernance AppSec n\u00e9cessite un ensemble de politiques interconnect\u00e9es qui \u00e9tablissent les attentes et fournissent la base de l&rsquo;\u00e9valuation d&rsquo;audit. Au minimum, les politiques suivantes devraient exister :<\/p>\n<h3>Politique de d\u00e9veloppement s\u00e9curis\u00e9<\/h3>\n<p>D\u00e9finit les pratiques de codage s\u00e9curis\u00e9 obligatoires, les exigences de tests de s\u00e9curit\u00e9 par niveau d&rsquo;application, les attentes en mati\u00e8re de revue de code et les obligations de formation. C&rsquo;est la politique fondamentale de l&rsquo;ensemble du programme AppSec.<\/p>\n<h3>Politique de gestion des vuln\u00e9rabilit\u00e9s (sp\u00e9cifique aux applications)<\/h3>\n<p>Sp\u00e9cifie comment les vuln\u00e9rabilit\u00e9s applicatives sont identifi\u00e9es, tri\u00e9es, prioris\u00e9es, assign\u00e9es, rem\u00e9di\u00e9es et v\u00e9rifi\u00e9es. Doit inclure les SLA de rem\u00e9diation par s\u00e9v\u00e9rit\u00e9 et niveau d&rsquo;application, les proc\u00e9dures d&rsquo;escalade pour les vuln\u00e9rabilit\u00e9s en retard, et les crit\u00e8res de suppression ou d&rsquo;acceptation des vuln\u00e9rabilit\u00e9s.<\/p>\n<h3>Politique de gestion des exceptions<\/h3>\n<p>Documente le processus de demande, d&rsquo;approbation et de suivi des exceptions aux exigences de s\u00e9curit\u00e9. Doit sp\u00e9cifier qui peut approuver les exceptions, les limites de dur\u00e9e des exceptions, les contr\u00f4les compensatoires requis et la cadence de revue des exceptions ouvertes.<\/p>\n<h3>Politique sur les composants tiers<\/h3>\n<p>R\u00e9git l&rsquo;utilisation des composants open-source et commerciaux tiers, y compris les sources approuv\u00e9es, les exigences de conformit\u00e9 des licences, les obligations de surveillance des vuln\u00e9rabilit\u00e9s et les attentes de mise \u00e0 jour\/correctifs.<\/p>\n<h2>M\u00e9canismes de supervision<\/h2>\n<p>La gouvernance n&rsquo;est efficace que si des m\u00e9canismes de supervision existent pour surveiller la conformit\u00e9, identifier les probl\u00e8mes et favoriser l&rsquo;am\u00e9lioration.<\/p>\n<h3>Comit\u00e9 de pilotage AppSec<\/h3>\n<p>Une r\u00e9union r\u00e9guli\u00e8re (g\u00e9n\u00e9ralement mensuelle ou trimestrielle) des parties prenantes seniors qui examine la performance du programme, approuve les changements de politique, traite les risques strat\u00e9giques et alloue les ressources. Les membres devraient inclure le CISO, le responsable AppSec, la direction senior du d\u00e9veloppement et un repr\u00e9sentant de la conformit\u00e9.<\/p>\n<h3>Comit\u00e9 de revue des vuln\u00e9rabilit\u00e9s<\/h3>\n<p>Une r\u00e9union op\u00e9rationnelle r\u00e9guli\u00e8re (g\u00e9n\u00e9ralement hebdomadaire ou bimensuelle) qui examine les vuln\u00e9rabilit\u00e9s critiques et de haute s\u00e9v\u00e9rit\u00e9, suit les progr\u00e8s de rem\u00e9diation, approuve les exceptions et escalade les \u00e9l\u00e9ments en retard. C&rsquo;est ici que les d\u00e9cisions de gouvernance quotidiennes sont prises et document\u00e9es.<\/p>\n<h3>Tableaux de bord de m\u00e9triques<\/h3>\n<p>Des rapports automatis\u00e9s qui offrent une visibilit\u00e9 sur la sant\u00e9 du programme : tendances des vuln\u00e9rabilit\u00e9s, couverture des tests, conformit\u00e9 aux SLA de rem\u00e9diation, nombre d&rsquo;exceptions et r\u00e9sultats des portes de politique. Les tableaux de bord doivent \u00eatre g\u00e9n\u00e9r\u00e9s \u00e0 partir des donn\u00e9es d&rsquo;outillage, et non compil\u00e9s manuellement.<\/p>\n<h3>Rapports ex\u00e9cutifs<\/h3>\n<p>Des rapports p\u00e9riodiques (trimestriels ou selon les besoins) au conseil d&rsquo;administration, au comit\u00e9 des risques ou \u00e0 la direction ex\u00e9cutive qui r\u00e9sument la posture de risque de s\u00e9curit\u00e9 applicative, les progr\u00e8s de maturit\u00e9 du programme, les incidents cl\u00e9s et l&rsquo;ad\u00e9quation des ressources. C&rsquo;est souvent une attente r\u00e9glementaire sous DORA et NIS2.<\/p>\n<h2>Ce que les auditeurs devraient v\u00e9rifier<\/h2>\n<p>Lors de l&rsquo;\u00e9valuation de la gouvernance AppSec, les auditeurs devraient examiner les \u00e9l\u00e9ments suivants :<\/p>\n<ul>\n<li><strong>R\u00f4les et responsabilit\u00e9s document\u00e9s :<\/strong> Une matrice RACI actuelle ou un document \u00e9quivalent existe et a \u00e9t\u00e9 approuv\u00e9 par la direction<\/li>\n<li><strong>Preuves de r\u00e9unions de gouvernance :<\/strong> Comptes rendus des r\u00e9unions du comit\u00e9 de pilotage, des comit\u00e9s de revue des vuln\u00e9rabilit\u00e9s et de tout autre forum de gouvernance \u2014 incluant la participation, les d\u00e9cisions prises et les actions suivies jusqu&rsquo;\u00e0 leur ach\u00e8vement<\/li>\n<li><strong>Registres d&rsquo;escalade :<\/strong> Preuves que les probl\u00e8mes sont escalad\u00e9s lorsque les SLA sont d\u00e9pass\u00e9s ou que des exceptions sont demand\u00e9es, avec des r\u00e9sultats document\u00e9s<\/li>\n<li><strong>Cadence de revue des politiques :<\/strong> Toutes les politiques AppSec ont des cycles de revue d\u00e9finis (g\u00e9n\u00e9ralement annuels), avec des preuves que les revues ont \u00e9t\u00e9 men\u00e9es et les mises \u00e0 jour approuv\u00e9es<\/li>\n<li><strong>Ad\u00e9quation des ressources :<\/strong> Preuves que la fonction AppSec est ad\u00e9quatement dot\u00e9e en ressources par rapport \u00e0 la taille du portefeuille applicatif et au profil de risque<\/li>\n<li><strong>Programme Security Champions :<\/strong> Si un mod\u00e8le Security Champions est utilis\u00e9, preuves de formation, de participation et d&rsquo;int\u00e9gration dans les processus de gouvernance<\/li>\n<li><strong>Rapports \u00e0 la direction :<\/strong> Preuves que le risque de s\u00e9curit\u00e9 applicative est rapport\u00e9 au conseil d&rsquo;administration ou au comit\u00e9 des risques \u00e0 une fr\u00e9quence appropri\u00e9e<\/li>\n<\/ul>\n<h2>Signaux d&rsquo;alerte<\/h2>\n<p>Les constats suivants indiquent des faiblesses de gouvernance que les auditeurs devraient signaler :<\/p>\n<ul>\n<li><strong>Pas de propri\u00e9t\u00e9 AppSec d\u00e9di\u00e9e :<\/strong> Les responsabilit\u00e9s de s\u00e9curit\u00e9 applicative sont vaguement r\u00e9parties entre la s\u00e9curit\u00e9 IT, le d\u00e9veloppement et les op\u00e9rations sans point unique de responsabilit\u00e9<\/li>\n<li><strong>Tests de s\u00e9curit\u00e9 enti\u00e8rement d\u00e9tenus par le d\u00e9veloppement :<\/strong> Lorsque les \u00e9quipes de d\u00e9veloppement sont seules responsables des tests de s\u00e9curit\u00e9 sans supervision ind\u00e9pendante, il existe un conflit d&rsquo;int\u00e9r\u00eats inh\u00e9rent \u2014 les tests peuvent \u00eatre d\u00e9prioritis\u00e9s lorsque les d\u00e9lais de livraison pressent l&rsquo;\u00e9quipe<\/li>\n<li><strong>Pas de processus formel d&rsquo;exception :<\/strong> Les vuln\u00e9rabilit\u00e9s sont supprim\u00e9es, accept\u00e9es ou report\u00e9es sans processus d&rsquo;approbation document\u00e9, \u00e9valuation des risques ou limite de dur\u00e9e<\/li>\n<li><strong>R\u00e9unions de gouvernance non tenues ou mal fr\u00e9quent\u00e9es :<\/strong> Les r\u00e9unions du comit\u00e9 de pilotage ou du comit\u00e9 de revue sont fr\u00e9quemment annul\u00e9es, ou les parties prenantes seniors n&rsquo;y assistent pas<\/li>\n<li><strong>Les politiques existent mais ne sont pas appliqu\u00e9es :<\/strong> Les politiques sont document\u00e9es mais il n&rsquo;existe aucun m\u00e9canisme pour v\u00e9rifier la conformit\u00e9 et aucune cons\u00e9quence en cas de non-conformit\u00e9<\/li>\n<li><strong>Pas de m\u00e9triques ni de rapports :<\/strong> L&rsquo;organisation ne peut pas produire de donn\u00e9es quantitatives sur sa posture de s\u00e9curit\u00e9 applicative<\/li>\n<li><strong>Le CISO n&rsquo;a pas de visibilit\u00e9 sur l&rsquo;AppSec :<\/strong> La s\u00e9curit\u00e9 applicative est g\u00e9r\u00e9e enti\u00e8rement au sein du d\u00e9veloppement sans rapport \u00e0 la fonction s\u00e9curit\u00e9<\/li>\n<\/ul>\n<h2>Lectures compl\u00e9mentaires<\/h2>\n<p>Pour des conseils connexes sur la s\u00e9curit\u00e9 applicative et les cadres de gouvernance, voir :<\/p>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/application-security\/\">Vue d&rsquo;ensemble de la s\u00e9curit\u00e9 applicative<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/devsecops\/\">Vue d&rsquo;ensemble DevSecOps<\/a><\/li>\n<\/ul>\n<hr\/>\n<h3>Ressources connexes pour les auditeurs<\/h3>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/glossary\/\">Glossaire<\/a> \u2014 D\u00e9finitions en langage clair des termes techniques<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/executive-audit-briefing-ci-cd-pipelines-in-regulated-environments\/\">Briefing d&rsquo;audit ex\u00e9cutif<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/how-auditors-actually-review-ci-cd-pipelines\/\">Comment les auditeurs examinent les pipelines CI\/CD<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dual-compliance-architecture-explained\/\">Architecture de double conformit\u00e9<\/a><\/li>\n<\/ul>\n<p><em>Nouveau dans l&rsquo;audit CI\/CD ? Commencez par notre <a href=\"https:\/\/regulated-devsecops.com\/fr\/start-here\/\">Guide de l&rsquo;auditeur<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pourquoi la gouvernance AppSec est distincte de la gouvernance g\u00e9n\u00e9rale de la s\u00e9curit\u00e9 IT De nombreuses organisations traitent la s\u00e9curit\u00e9 applicative comme un sous-ensemble de la gouvernance de la s\u00e9curit\u00e9 IT \u2014 une ligne dans une politique de s\u00e9curit\u00e9 de l&rsquo;information, supervis\u00e9e par le m\u00eame comit\u00e9 qui g\u00e8re la s\u00e9curit\u00e9 r\u00e9seau et la protection des &#8230; <a title=\"Mod\u00e8le de gouvernance AppSec \u2014 R\u00f4les, responsabilit\u00e9s et supervision\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/application-security-governance\/appsec-governance-model-roles-responsibilities\/\" aria-label=\"En savoir plus sur Mod\u00e8le de gouvernance AppSec \u2014 R\u00f4les, responsabilit\u00e9s et supervision\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[121,125],"tags":[],"post_folder":[],"class_list":["post-1225","post","type-post","status-publish","format-standard","hentry","category-application-security-governance","category-devsecops-operating-models"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1225","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1225"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1225\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1225"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1225"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1225"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1225"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}