{"id":1275,"date":"2026-01-19T19:40:07","date_gmt":"2026-01-19T18:40:07","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/before-the-auditor-arrives-ci-cd-audit-readiness-checklist-2\/"},"modified":"2026-03-26T00:13:12","modified_gmt":"2026-03-25T23:13:12","slug":"before-the-auditor-arrives-ci-cd-audit-readiness-checklist","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/before-the-auditor-arrives-ci-cd-audit-readiness-checklist\/","title":{"rendered":"Avant l’arriv\u00e9e de l’auditeur : checklist de pr\u00e9paration d’audit CI\/CD"},"content":{"rendered":"\n

Cette checklist aide les organisations \u00e0 valider que leurs pipelines CI\/CD sont pr\u00eats pour l’audit avant<\/strong> l’arriv\u00e9e des auditeurs. Elle se concentre sur la gouvernance, l’application des contr\u00f4les et la disponibilit\u00e9 des preuves plut\u00f4t que sur les d\u00e9tails de configuration des outils.<\/p>\n\n\n\n

Utilisez cette checklist comme une revue finale de pr\u00e9paration<\/strong> pour r\u00e9duire le stress d’audit et \u00e9viter les constats de derni\u00e8re minute.<\/p>\n\n\n\n

\n\n\n\n

1. Pr\u00e9paration du p\u00e9rim\u00e8tre et de la gouvernance<\/strong><\/h2>\n\n\n\n
V\u00e9rification<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th><\/tr><\/thead>
Les pipelines CI\/CD sont explicitement inclus dans le p\u00e9rim\u00e8tre de conformit\u00e9<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les pipelines sont class\u00e9s comme syst\u00e8mes ICT \/ r\u00e9glement\u00e9s<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
La propri\u00e9t\u00e9 et la responsabilit\u00e9 du CI\/CD sont d\u00e9finies<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Le CI\/CD est couvert dans les \u00e9valuations de risques ICT<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les documents de gouvernance r\u00e9f\u00e9rencent explicitement le CI\/CD<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

2. Contr\u00f4le d’acc\u00e8s et privil\u00e8ges<\/strong><\/h2>\n\n\n\n
V\u00e9rification<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th><\/tr><\/thead>
L’acc\u00e8s CI\/CD suit les principes du moindre privil\u00e8ge<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les utilisateurs humains et les identit\u00e9s de pipeline sont s\u00e9par\u00e9s<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Le RBAC est appliqu\u00e9 pour l’administration des pipelines<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Le MFA est activ\u00e9 pour les administrateurs CI\/CD<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les revues d’acc\u00e8s privil\u00e9gi\u00e9 sont document\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

3. S\u00e9paration des fonctions<\/strong><\/h2>\n\n\n\n
V\u00e9rification<\/th>Oui<\/th>Non<\/th><\/tr><\/thead>
Les d\u00e9veloppeurs ne peuvent pas auto-approuver les changements en production<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les revues de code sont obligatoires avant l’ex\u00e9cution du pipeline<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les permissions de build et de d\u00e9ploiement sont s\u00e9par\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les d\u00e9rogations d’urgence sont journalis\u00e9es et approuv\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les r\u00e8gles de s\u00e9paration sont p\u00e9riodiquement r\u00e9vis\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

4. Gestion des changements et tra\u00e7abilit\u00e9<\/strong><\/h2>\n\n\n\n
V\u00e9rification<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th><\/tr><\/thead>
Tous les changements en production passent par les pipelines CI\/CD<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Le code source, l’ex\u00e9cution du pipeline et le d\u00e9ploiement sont li\u00e9s<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les approbations sont tra\u00e7ables et horodat\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les d\u00e9ploiements hors bande sont emp\u00each\u00e9s ou journalis\u00e9s<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les changements de production al\u00e9atoires peuvent \u00eatre trac\u00e9s de bout en bout<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

5. Application des contr\u00f4les de s\u00e9curit\u00e9<\/strong><\/h2>\n\n\n\n
V\u00e9rification<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th><\/tr><\/thead>
SAST, SCA et autres scans sont obligatoires<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les v\u00e9rifications de s\u00e9curit\u00e9 \u00e9chou\u00e9es bloquent les d\u00e9ploiements<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les politiques de s\u00e9curit\u00e9 sont appliqu\u00e9es via des gates de pipeline<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les exceptions de s\u00e9curit\u00e9 sont document\u00e9es et approuv\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les contr\u00f4les de s\u00e9curit\u00e9 sont coh\u00e9rents entre les pipelines<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

6. Journalisation, surveillance et r\u00e9tention<\/strong><\/h2>\n\n\n\n
V\u00e9rification<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th><\/tr><\/thead>
Toutes les ex\u00e9cutions de pipeline sont journalis\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les logs incluent les approbations et les r\u00e9sultats de s\u00e9curit\u00e9<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les logs sont collect\u00e9s de mani\u00e8re centralis\u00e9e<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
La r\u00e9tention des logs r\u00e9pond aux exigences r\u00e9glementaires<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les logs peuvent \u00eatre r\u00e9cup\u00e9r\u00e9s rapidement sur demande<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

7. R\u00e9silience et pr\u00e9paration aux incidents<\/strong><\/h2>\n\n\n\n
V\u00e9rification<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th><\/tr><\/thead>
La r\u00e9silience CI\/CD est document\u00e9e<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les proc\u00e9dures de rollback existent et sont test\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les incidents CI\/CD sont couverts par les playbooks IR<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les credentials de pipeline peuvent \u00eatre r\u00e9voqu\u00e9s rapidement<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les incidents CI\/CD pass\u00e9s sont document\u00e9s<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

8. Disponibilit\u00e9 des preuves<\/strong><\/h2>\n\n\n\n
V\u00e9rification<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th><\/tr><\/thead>
Les preuves sont g\u00e9n\u00e9r\u00e9es par le syst\u00e8me, pas manuellement<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les preuves sont horodat\u00e9es et immuables<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les preuves peuvent \u00eatre reproduites \u00e0 la demande<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les preuves sont regroup\u00e9es par contr\u00f4le ou r\u00e9glementation<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les \u00e9quipes savent o\u00f9 les preuves sont stock\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

9. Alignement des \u00e9quipes et pr\u00e9paration \u00e0 l’audit<\/strong><\/h2>\n\n\n\n
V\u00e9rification<\/strong><\/th>Oui<\/strong><\/th>Non<\/strong><\/th><\/tr><\/thead>
Les \u00e9quipes engineering, s\u00e9curit\u00e9 et conformit\u00e9 sont align\u00e9es<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les \u00e9quipes fournissent des r\u00e9ponses coh\u00e9rentes<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Un audit \u00e0 blanc a \u00e9t\u00e9 effectu\u00e9<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les lacunes connues ont des plans de rem\u00e9diation<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr>
Les points de contact pour l’audit sont d\u00e9finis<\/td>\u2b1c<\/td>\u2b1c<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Question finale pr\u00e9-audit<\/strong><\/h2>\n\n\n\n

Si un auditeur demande un d\u00e9ploiement de production al\u00e9atoire datant de six mois, pouvez-vous l’expliquer et le prouver int\u00e9gralement en quelques minutes ?<\/strong><\/p>\n\n\n\n

Si la r\u00e9ponse est oui, vos pipelines CI\/CD sont probablement pr\u00eats pour l’audit.<\/p>\n\n\n\n

\n\n\n\n

Ressources associ\u00e9es<\/strong><\/h2>\n\n\n\n