{"id":1250,"date":"2026-02-19T10:39:18","date_gmt":"2026-02-19T09:39:18","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/supplier-governance-ci-cd-controls-strict-auditor-version-2\/"},"modified":"2026-03-26T00:10:47","modified_gmt":"2026-03-25T23:10:47","slug":"supplier-governance-ci-cd-controls-strict-auditor-version","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/supplier-governance-ci-cd-controls-strict-auditor-version\/","title":{"rendered":"Gouvernance des fournisseurs et contr\u00f4les CI\/CD \u2014 Version stricte pour auditeurs"},"content":{"rendered":"\n

<\/p>\n\n\n\n

Section A \u2014 Gouvernance & Inventaire<\/strong><\/h2>\n\n\n\n
Contr\u00f4le<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th>R\u00e9f\u00e9rence de preuve<\/strong><\/th><\/tr><\/thead>
Un inventaire complet des fournisseurs li\u00e9s au CI\/CD existe<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
La classification de criticit\u00e9 des fournisseurs est d\u00e9finie<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Un propri\u00e9taire m\u00e9tier est formellement d\u00e9sign\u00e9<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Un propri\u00e9taire technique est formellement d\u00e9sign\u00e9<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Une \u00e9valuation annuelle des risques est r\u00e9alis\u00e9e<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
La liste des sous-traitants est document\u00e9e<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Section B \u2014 Contr\u00f4les contractuels & r\u00e9glementaires<\/strong><\/h2>\n\n\n\n
Contr\u00f4le<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th>R\u00e9f\u00e9rence de preuve<\/strong><\/th><\/tr><\/thead>
Les obligations de s\u00e9curit\u00e9 sont incluses dans le contrat<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Le SLA de notification d’incident est d\u00e9fini<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Une clause de droits d’audit est pr\u00e9sente<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
La transparence sur la localisation des donn\u00e9es est incluse<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
La clause de strat\u00e9gie de sortie est d\u00e9finie contractuellement<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Section C \u2014 Application technique CI\/CD<\/h2>\n\n\n\n
Contr\u00f4le<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th>R\u00e9f\u00e9rence de preuve<\/strong><\/th><\/tr><\/thead>
SSO impos\u00e9 sur les comptes admin CI\/CD<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
MFA obligatoire pour les r\u00f4les privil\u00e9gi\u00e9s<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Acc\u00e8s bas\u00e9 sur les r\u00f4les avec moindre privil\u00e8ge<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Branches prot\u00e9g\u00e9es appliqu\u00e9es<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Approbations obligatoires pour la production configur\u00e9es<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Les barri\u00e8res de politique bloquent les r\u00e9sultats critiques<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Signature des artefacts impos\u00e9e<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
G\u00e9n\u00e9ration de SBOM automatis\u00e9e<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Isolation des runners impl\u00e9ment\u00e9e<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Section D \u2014 Preuves & R\u00e9tention<\/h2>\n\n\n\n
Contr\u00f4le<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th>R\u00e9f\u00e9rence de preuve<\/strong><\/th><\/tr><\/thead>
Journaux CI\/CD conserv\u00e9s selon la politique<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Journaux d’approbation exportables<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
R\u00e9sultats de scan de s\u00e9curit\u00e9 archiv\u00e9s centralement<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Tra\u00e7abilit\u00e9 compl\u00e8te commit \u2192 artefact \u2192 prod<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Dur\u00e9e de r\u00e9tention des preuves document\u00e9e<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Section E \u2014 Strat\u00e9gie de sortie & Test PRA<\/h2>\n\n\n\n
Contr\u00f4le<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th>R\u00e9f\u00e9rence de preuve<\/strong><\/th><\/tr><\/thead>
Un plan de sortie document\u00e9 existe<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Export du code test\u00e9<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Export de la configuration pipeline test\u00e9<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Export des artefacts test\u00e9<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr>
Exercice PRA \/ migration r\u00e9alis\u00e9<\/td>\u2610<\/td>\u2610<\/td><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Bloc de d\u00e9cision de l’auditeur<\/strong><\/h2>\n\n\n\n