{"id":1242,"date":"2026-02-17T09:58:56","date_gmt":"2026-02-17T08:58:56","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/supplier-governance-ci-cd-controls-checklist-2\/"},"modified":"2026-03-26T00:10:20","modified_gmt":"2026-03-25T23:10:20","slug":"supplier-governance-ci-cd-controls-checklist","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/supplier-governance-ci-cd-controls-checklist\/","title":{"rendered":"Gouvernance des fournisseurs et contr\u00f4les CI\/CD \u2014 Checklist"},"content":{"rendered":"\n<p><em>Contr\u00f4les des risques ICT tiers pour les pipelines CI\/CD r\u00e9glement\u00e9s<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pourquoi cette checklist existe<\/strong><\/h2>\n\n\n\n<p>Dans les environnements r\u00e9glement\u00e9s, les fournisseurs ne sont pas \u00ab externes \u00bb. Ils font partie de votre syst\u00e8me de livraison.<\/p>\n\n\n\n<p>Lorsque des services tiers supportent votre SDLC (h\u00e9bergement Git, CI\/CD SaaS, registres d&rsquo;artefacts, runtime cloud, scanners de s\u00e9curit\u00e9), les auditeurs s&rsquo;attendent \u00e0 ce que vous d\u00e9montriez :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>La gouvernance des fournisseurs<\/strong> (inventaire, classification, contrats, plans de sortie)<\/li>\n\n\n\n<li><strong>Les contr\u00f4les techniques CI\/CD<\/strong> (isolation des acc\u00e8s, application des politiques, r\u00e9tention des preuves)<\/li>\n\n\n\n<li><strong>La surveillance continue et la responsabilit\u00e9<\/strong> (sous-traitants, SLA, incidents)<\/li>\n<\/ul>\n\n\n\n<p>Cette checklist est con\u00e7ue pour \u00eatre utilis\u00e9e par les \u00e9quipes <strong>s\u00e9curit\u00e9<\/strong>, <strong>ing\u00e9nierie<\/strong>, <strong>risques<\/strong> et <strong>audit<\/strong> comme r\u00e9f\u00e9rentiel de contr\u00f4le commun.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>P\u00e9rim\u00e8tre : fournisseurs impactant typiquement le CI\/CD<\/strong><\/h2>\n\n\n\n<p>Utilisez cette checklist pour tout fournisseur fournissant :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>H\u00e9bergement Git (GitHub\/GitLab SaaS)<\/li>\n\n\n\n<li>Plateforme CI\/CD (GitHub Actions, GitLab CI SaaS, CircleCI, etc.)<\/li>\n\n\n\n<li>Runners (runners h\u00e9berg\u00e9s \/ partag\u00e9s \/ cloud)<\/li>\n\n\n\n<li>Registres d&rsquo;artefacts (conteneurs \/ Maven \/ registres binaires)<\/li>\n\n\n\n<li>Proxys et miroirs de d\u00e9pendances<\/li>\n\n\n\n<li>Runtime cloud \/ Kubernetes manag\u00e9 \/ PaaS<\/li>\n\n\n\n<li>Outils de s\u00e9curit\u00e9 SaaS (SAST\/DAST\/SCA, scan de secrets)<\/li>\n\n\n\n<li>Observabilit\u00e9 et journalisation SaaS (SIEM \/ monitoring)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>1) Inventaire et propri\u00e9t\u00e9 des fournisseurs<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Checklist<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Un inventaire complet des fournisseurs utilis\u00e9s dans le SDLC\/CI\/CD existe (y compris les usages non d\u00e9clar\u00e9s).<\/li>\n\n\n\n<li>Chaque fournisseur a un <strong>propri\u00e9taire m\u00e9tier<\/strong> et un <strong>propri\u00e9taire technique<\/strong> d\u00e9sign\u00e9s.<\/li>\n\n\n\n<li>L&rsquo;inventaire capture <strong>o\u00f9<\/strong> le fournisseur intervient (Git, CI, registre, runtime, journalisation).<\/li>\n\n\n\n<li>La criticit\u00e9 est d\u00e9finie par fournisseur (impact en cas d&rsquo;indisponibilit\u00e9\/compromission).<\/li>\n\n\n\n<li>Les localisations des donn\u00e9es et le mod\u00e8le d&rsquo;h\u00e9bergement des fournisseurs sont document\u00e9s (UE\/US, multi-r\u00e9gion, etc.).<\/li>\n\n\n\n<li>Les chemins d&rsquo;acc\u00e8s tiers \u00e0 vos syst\u00e8mes sont r\u00e9pertori\u00e9s (SSO, tokens API, agents, webhooks).<\/li>\n<\/ul>\n\n\n\n<p><strong>Exemples de preuves<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Tableur d&rsquo;inventaire des fournisseurs \/ entr\u00e9e CMDB<\/li>\n\n\n\n<li>Carte d&rsquo;architecture montrant les points de contact fournisseurs<\/li>\n\n\n\n<li>Registre de propri\u00e9t\u00e9 (RACI)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>2) Classification des risques fournisseurs<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Checklist<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Une classification formelle des risques existe (Critique \/ \u00c9lev\u00e9 \/ Moyen \/ Faible).<\/li>\n\n\n\n<li>L&rsquo;\u00e9valuation des risques inclut <strong>confidentialit\u00e9, int\u00e9grit\u00e9, disponibilit\u00e9<\/strong> et <strong>impact r\u00e9glementaire<\/strong>.<\/li>\n\n\n\n<li>Les fournisseurs CI\/CD et d&rsquo;artefacts sont trait\u00e9s comme <strong>critiques pour l&rsquo;int\u00e9grit\u00e9<\/strong> par d\u00e9faut.<\/li>\n\n\n\n<li>La classification des risques d\u00e9termine les exigences de contr\u00f4le obligatoires (ex. : journalisation renforc\u00e9e, plan de sortie).<\/li>\n\n\n\n<li>La classification des risques est r\u00e9vis\u00e9e au moins annuellement ou lors de changements majeurs.<\/li>\n<\/ul>\n\n\n\n<p><strong>Exemples de preuves<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Rapport d&rsquo;\u00e9valuation des risques \/ questionnaire<\/li>\n\n\n\n<li>M\u00e9thodologie de risques tiers<\/li>\n\n\n\n<li>Horodatages et approbations des revues<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>3) Base contractuelle (s\u00e9curit\u00e9 + auditabilit\u00e9)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Checklist<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le contrat inclut des obligations de s\u00e9curit\u00e9 (contr\u00f4les de base, gestion des vuln\u00e9rabilit\u00e9s, chiffrement).<\/li>\n\n\n\n<li>Le contrat inclut des <strong>droits d&rsquo;audit<\/strong> ou un m\u00e9canisme d&rsquo;assurance \u00e9quivalent.<\/li>\n\n\n\n<li>Le contrat inclut des d\u00e9lais de notification de violation\/incident (y compris les crit\u00e8res de mat\u00e9rialit\u00e9).<\/li>\n\n\n\n<li>Le contrat inclut des obligations de divulgation des sous-traitants.<\/li>\n\n\n\n<li>Le contrat inclut des exigences de r\u00e9tention et de suppression des donn\u00e9es.<\/li>\n\n\n\n<li>Le contrat inclut des attentes de continuit\u00e9 de service (PCA\/PRA).<\/li>\n\n\n\n<li>Le contrat inclut des clauses de sortie\/transition (export de donn\u00e9es, support de migration).<\/li>\n<\/ul>\n\n\n\n<p><strong>Exemples de preuves<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Clauses contractuelles sign\u00e9es (annexe s\u00e9curit\u00e9)<\/li>\n\n\n\n<li>Registre des sous-traitants<\/li>\n\n\n\n<li>Clause SLA de notification d&rsquo;incident<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>4) Identit\u00e9, acc\u00e8s et isolation (application technique)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Checklist<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le SSO est impos\u00e9 pour les consoles d&rsquo;administration des fournisseurs lorsque possible.<\/li>\n\n\n\n<li>Le MFA est obligatoire pour les comptes privil\u00e9gi\u00e9s.<\/li>\n\n\n\n<li>Les r\u00f4les sont minimaux et mapp\u00e9s aux besoins m\u00e9tier (moindre privil\u00e8ge).<\/li>\n\n\n\n<li>Les revues d&rsquo;acc\u00e8s sont effectu\u00e9es r\u00e9guli\u00e8rement (trimestriellement pour les fournisseurs critiques).<\/li>\n\n\n\n<li>Les runners CI\/CD sont isol\u00e9s (pas de runners partag\u00e9s pour les charges sensibles).<\/li>\n\n\n\n<li>Les secrets ne sont pas stock\u00e9s dans les interfaces fournisseurs sauf contr\u00f4le (utiliser vault\/injection).<\/li>\n\n\n\n<li>Les tokens tiers sont limit\u00e9s en p\u00e9rim\u00e8tre, renouvel\u00e9s et surveill\u00e9s.<\/li>\n<\/ul>\n\n\n\n<p><strong>Exemples de preuves<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Exports de politiques IAM \/ captures d&rsquo;\u00e9cran<\/li>\n\n\n\n<li>Journaux de revue d&rsquo;acc\u00e8s<\/li>\n\n\n\n<li>Configuration des runners montrant l&rsquo;isolation<\/li>\n\n\n\n<li>Politique de rotation des tokens + preuve<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>5) Application des politiques pipeline (barri\u00e8res incontournables)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Checklist<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des approbations obligatoires existent pour les d\u00e9ploiements en production.<\/li>\n\n\n\n<li>Les barri\u00e8res de politique bloquent les releases en cas de r\u00e9sultats critiques de scan (SAST\/SCA\/DAST selon applicabilit\u00e9).<\/li>\n\n\n\n<li>La signature des artefacts est impos\u00e9e avant la promotion de release.<\/li>\n\n\n\n<li>La g\u00e9n\u00e9ration de SBOM est automatis\u00e9e pour les releases.<\/li>\n\n\n\n<li>Les branches prot\u00e9g\u00e9es \/ r\u00e8gles de merge sont appliqu\u00e9es pour les d\u00e9p\u00f4ts r\u00e9glement\u00e9s.<\/li>\n\n\n\n<li>Les exceptions sont gouvern\u00e9es (limit\u00e9es dans le temps, approuv\u00e9es, document\u00e9es).<\/li>\n\n\n\n<li>Les administrateurs de pipeline ne peuvent pas d\u00e9sactiver silencieusement les contr\u00f4les (changements trac\u00e9s).<\/li>\n<\/ul>\n\n\n\n<p><strong>Exemples de preuves<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Configuration du pipeline CI\/CD (barri\u00e8res)<\/li>\n\n\n\n<li>Configuration des branches prot\u00e9g\u00e9es<\/li>\n\n\n\n<li>Enregistrements d&rsquo;approbation de release<\/li>\n\n\n\n<li>Registre des exceptions<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>6) G\u00e9n\u00e9ration et r\u00e9tention des preuves (pr\u00eat pour l&rsquo;audit par conception)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Checklist<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les journaux CI\/CD sont conserv\u00e9s pendant une dur\u00e9e d\u00e9finie conforme aux exigences.<\/li>\n\n\n\n<li>Les \u00e9v\u00e9nements d&rsquo;approbation sont journalis\u00e9s et exportables.<\/li>\n\n\n\n<li>Les r\u00e9sultats de scan de s\u00e9curit\u00e9 sont stock\u00e9s de mani\u00e8re centralis\u00e9e (pas uniquement dans les tableaux de bord des fournisseurs).<\/li>\n\n\n\n<li>La tra\u00e7abilit\u00e9 existe : commit \u2192 ex\u00e9cution pipeline \u2192 artefact \u2192 d\u00e9ploiement \u2192 production.<\/li>\n\n\n\n<li>Le stockage des preuves est inviolable ou \u00e0 acc\u00e8s contr\u00f4l\u00e9.<\/li>\n\n\n\n<li>Les exports d&rsquo;audit sont test\u00e9s (capacit\u00e9 \u00e0 produire des preuves rapidement).<\/li>\n<\/ul>\n\n\n\n<p><strong>Exemples de preuves<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Politique de r\u00e9tention des preuves<\/li>\n\n\n\n<li>Param\u00e8tres de r\u00e9tention SIEM \/ configuration d&rsquo;archivage<\/li>\n\n\n\n<li>Rapport de tra\u00e7abilit\u00e9 (release \u00e9chantillon)<\/li>\n\n\n\n<li>Enregistrement de test d&rsquo;export (\u00ab exercice d&rsquo;audit \u00bb)<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>7) Surveillance, incidents et responsabilit\u00e9 des fournisseurs<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Checklist<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le fournisseur fournit des notifications d&rsquo;incidents de s\u00e9curit\u00e9 dans le SLA d\u00e9fini.<\/li>\n\n\n\n<li>Vous surveillez le statut\/disponibilit\u00e9 du fournisseur et int\u00e9grez les signaux dans les workflows op\u00e9rationnels.<\/li>\n\n\n\n<li>Les anomalies de pipeline CI\/CD sont surveill\u00e9es (workflows inattendus, nouveaux tokens, nouveaux runners).<\/li>\n\n\n\n<li>Les avis de s\u00e9curit\u00e9 des fournisseurs sont suivis et \u00e9valu\u00e9s.<\/li>\n\n\n\n<li>Vous maintenez un playbook d&rsquo;incident interne r\u00e9f\u00e9ren\u00e7ant les chemins d&rsquo;escalade fournisseurs.<\/li>\n\n\n\n<li>Vous pouvez corr\u00e9ler les \u00e9v\u00e9nements de pipeline et les \u00e9v\u00e9nements fournisseurs (chronologie partag\u00e9e).<\/li>\n<\/ul>\n\n\n\n<p><strong>Exemples de preuves<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Tableaux de bord de surveillance + r\u00e8gles d&rsquo;alerte<\/li>\n\n\n\n<li>Plan de r\u00e9ponse aux incidents avec contacts fournisseurs<\/li>\n\n\n\n<li>Post-mortems r\u00e9f\u00e9ren\u00e7ant l&rsquo;implication des fournisseurs<\/li>\n\n\n\n<li>Tickets de suivi des avis de s\u00e9curit\u00e9<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>8) Visibilit\u00e9 des sous-traitants (profondeur de la cha\u00eene d&rsquo;approvisionnement)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Checklist<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Le fournisseur fournit une liste actualis\u00e9e des sous-traitants.<\/li>\n\n\n\n<li>Les changements de sous-traitants sont notifi\u00e9s et examin\u00e9s.<\/li>\n\n\n\n<li>Les sous-traitants critiques font l&rsquo;objet d&rsquo;une \u00e9valuation des risques.<\/li>\n\n\n\n<li>Les flux de donn\u00e9es impliquant des sous-traitants sont compris.<\/li>\n\n\n\n<li>Les contrats incluent des obligations relatives aux sous-traitants (s\u00e9curit\u00e9 &amp; notification).<\/li>\n<\/ul>\n\n\n\n<p><strong>Exemples de preuves<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Export de la liste des sous-traitants<\/li>\n\n\n\n<li>Enregistrement de la revue des risques<\/li>\n\n\n\n<li>Diagrammes de flux de donn\u00e9es<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>9) Test de la strat\u00e9gie de sortie (r\u00e9alisme PRA &amp; PCA)<\/strong><\/h2>\n\n\n\n<p>\u2705 <strong>Checklist<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Vous disposez d&rsquo;un plan de sortie document\u00e9 pour chaque fournisseur CI\/CD critique.<\/li>\n\n\n\n<li>Vous pouvez exporter le code source, les d\u00e9finitions de pipeline, les artefacts et les journaux.<\/li>\n\n\n\n<li>Vous disposez d&rsquo;un chemin de migration test\u00e9 (CI\/CD alternatif, registre, mod\u00e8le de runners).<\/li>\n\n\n\n<li>Vous effectuez des tests de sortie (exercices th\u00e9oriques + techniques) \u00e0 intervalles d\u00e9finis.<\/li>\n\n\n\n<li>Les attentes RTO\/RPO sont document\u00e9es et valid\u00e9es avec des preuves.<\/li>\n<\/ul>\n\n\n\n<p><strong>Exemples de preuves<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Document du plan de sortie<\/li>\n\n\n\n<li>Journaux et captures d&rsquo;\u00e9cran des tests d&rsquo;export<\/li>\n\n\n\n<li>Rapport d&rsquo;exercice PRA<\/li>\n\n\n\n<li>Preuve de concept de migration<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h1 class=\"wp-block-heading\"><strong>Tableau d&rsquo;audit (Oui \/ Non \/ Notes)<\/strong><\/h1>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Domaine de contr\u00f4le<\/strong><\/th><th><strong>V\u00e9rification<\/strong><\/th><th class=\"has-text-align-center\" data-align=\"center\"><strong>Oui<\/strong><\/th><th class=\"has-text-align-center\" data-align=\"center\"><strong>Non<\/strong><\/th><th><strong>Notes \/ Lien vers preuve<\/strong><\/th><\/tr><\/thead><tbody><tr><td>Inventaire<\/td><td>Inventaire des fournisseurs complet (SDLC\/CI\/CD)<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Propri\u00e9t\u00e9<\/td><td>Propri\u00e9taire m\u00e9tier + technique d\u00e9fini<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Classification<\/td><td>Classification des risques appliqu\u00e9e aux fournisseurs CI\/CD<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Contrats<\/td><td>Obligations de s\u00e9curit\u00e9 dans le contrat<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Contrats<\/td><td>Droits d&rsquo;audit \/ m\u00e9canisme d&rsquo;assurance<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Contrats<\/td><td>SLA de notification d&rsquo;incident d\u00e9fini<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Contrats<\/td><td>Clauses de sortie incluses<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Acc\u00e8s<\/td><td>SSO impos\u00e9 (si possible)<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Acc\u00e8s<\/td><td>MFA obligatoire pour les comptes privil\u00e9gi\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Acc\u00e8s<\/td><td>R\u00f4les \u00e0 moindre privil\u00e8ge appliqu\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Runners<\/td><td>Isolation des runners (pas de runners partag\u00e9s)<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Secrets<\/td><td>Secrets inject\u00e9s au runtime (vault)<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Barri\u00e8res de politique<\/td><td>Approbations obligatoires pour la prod<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Barri\u00e8res de politique<\/td><td>Barri\u00e8res bloquantes sur les r\u00e9sultats critiques<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Int\u00e9grit\u00e9<\/td><td>Signature des artefacts impos\u00e9e<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Int\u00e9grit\u00e9<\/td><td>SBOM g\u00e9n\u00e9r\u00e9e automatiquement<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Preuves<\/td><td>Journaux conserv\u00e9s selon la politique<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Preuves<\/td><td>Enregistrements d&rsquo;approbation exportables<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Preuves<\/td><td>Tra\u00e7abilit\u00e9 commit\u2192prod prouv\u00e9e<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Surveillance<\/td><td>Anomalies fournisseurs + pipeline surveill\u00e9es<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Sous-traitants<\/td><td>Visibilit\u00e9 et revue des sous-traitants<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><tr><td>Test de sortie<\/td><td>Plan de sortie test\u00e9 avec preuves<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Guide d&rsquo;impl\u00e9mentation technique<\/strong><\/h2>\n\n\n\n<p>Cette checklist d\u00e9finit les attentes en mati\u00e8re de gouvernance.<\/p>\n\n\n\n<p>Pour un guide pratique d&rsquo;impl\u00e9mentation pour les ing\u00e9nieurs (GitHub, GitLab, isolation des runners, barri\u00e8res de politique, signature d&rsquo;artefacts), consultez :<br>\ud83d\udc49 <strong><a href=\"https:\/\/secure-pipelines.com\/ci-cd-security\/engineer-remediation-guide-for-ci-cd-supplier-controls\/\" data-type=\"link\" data-id=\"https:\/\/secure-pipelines.com\/ci-cd-security\/engineer-remediation-guide-for-ci-cd-supplier-controls\/\" target=\"_blank\" rel=\"noopener\">Guide de rem\u00e9diation pour les contr\u00f4les fournisseurs CI\/CD<\/a><\/strong><\/p>\n\n\n\n<p>Cet article compagnon fournit des exemples de configuration concrets et des patrons d&rsquo;impl\u00e9mentation.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Article connexe<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/supplier-governance-ci-cd-controls-strict-auditor-version\/\" data-type=\"post\" data-id=\"915\">Gouvernance des fournisseurs et contr\u00f4les CI\/CD \u2014 Version stricte pour auditeurs<\/a><\/strong><\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Contr\u00f4les des risques ICT tiers pour les pipelines CI\/CD r\u00e9glement\u00e9s Pourquoi cette checklist existe Dans les environnements r\u00e9glement\u00e9s, les fournisseurs ne sont pas \u00ab externes \u00bb. Ils font partie de votre syst\u00e8me de livraison. Lorsque des services tiers supportent votre SDLC (h\u00e9bergement Git, CI\/CD SaaS, registres d&rsquo;artefacts, runtime cloud, scanners de s\u00e9curit\u00e9), les auditeurs s&rsquo;attendent &#8230; <a title=\"Gouvernance des fournisseurs et contr\u00f4les CI\/CD \u2014 Checklist\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/supplier-governance-ci-cd-controls-checklist\/\" aria-label=\"En savoir plus sur Gouvernance des fournisseurs et contr\u00f4les CI\/CD \u2014 Checklist\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[126,123],"tags":[],"post_folder":[],"class_list":["post-1242","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks","category-ci-cd-governance"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1242","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1242"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1242\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1242"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1242"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1242"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1242"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}