{"id":1306,"date":"2026-01-06T20:04:52","date_gmt":"2026-01-06T19:04:52","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-article-21-%e2%86%94-ci-cd-controls-mapping-2\/"},"modified":"2026-03-26T00:40:57","modified_gmt":"2026-03-25T23:40:57","slug":"dora-article-21-%e2%86%94-ci-cd-controls-mapping","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-21-%e2%86%94-ci-cd-controls-mapping\/","title":{"rendered":"DORA Article 21 \u2194 Cartographie des contr\u00f4les CI\/CD"},"content":{"rendered":"\n

Ce tableau met en correspondance les exigences de gestion des risques ICT de l’article 21 de DORA avec des contr\u00f4les concrets de s\u00e9curit\u00e9 des pipelines CI\/CD.
Il soutient l’interpr\u00e9tation r\u00e9glementaire, la pr\u00e9paration aux audits et les revues d’impl\u00e9mentation technique.<\/p>\n\n\n\n

\n\n\n\n

Article 21(1) \u2014 Cadre de gestion des risques ICT<\/h2>\n\n\n\n
Exigence DORA<\/strong><\/th>Contr\u00f4le CI\/CD<\/strong><\/th>Preuve g\u00e9n\u00e9r\u00e9e<\/strong><\/th><\/tr><\/thead>
Identifier et \u00e9valuer les risques ICT<\/td>Tests de s\u00e9curit\u00e9 automatis\u00e9s (SAST, SCA, DAST)<\/td>Rapports de scan, journaux de pipeline<\/td><\/tr>
Pr\u00e9venir et att\u00e9nuer les risques ICT<\/td>Application des politiques et portes de pipeline<\/td>D\u00e9cisions de porte, approbations<\/td><\/tr>
D\u00e9tecter les activit\u00e9s anormales<\/td>Surveillance des pipelines et alertes<\/td>Journaux d’alertes, \u00e9v\u00e9nements SIEM<\/td><\/tr>
R\u00e9pondre aux incidents ICT<\/td>Rollback contr\u00f4l\u00e9 et red\u00e9ploiements<\/td>Historique de d\u00e9ploiement<\/td><\/tr>
R\u00e9cup\u00e9rer apr\u00e8s les perturbations<\/td>Builds et releases reproductibles<\/td>M\u00e9tadonn\u00e9es de build<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Article 21(2)(a) \u2014 Contr\u00f4le d’acc\u00e8s<\/h2>\n\n\n\n
Exigence DORA<\/strong><\/th>Contr\u00f4le CI\/CD<\/strong><\/th>Preuve g\u00e9n\u00e9r\u00e9e<\/strong><\/th><\/tr><\/thead>
Emp\u00eacher les acc\u00e8s non autoris\u00e9s<\/td>RBAC pour la configuration CI\/CD<\/td>Journaux de contr\u00f4le d’acc\u00e8s<\/td><\/tr>
Prot\u00e9ger les op\u00e9rations privil\u00e9gi\u00e9es<\/td>Comptes de service au moindre privil\u00e8ge<\/td>Politiques IAM<\/td><\/tr>
S\u00e9curiser l’acc\u00e8s administratif<\/td>MFA pour les administrateurs CI\/CD<\/td>Journaux d’authentification<\/td><\/tr>
Contr\u00f4ler les identit\u00e9s d’automatisation<\/td>Identit\u00e9s de pipeline s\u00e9par\u00e9es<\/td>Inventaire des identit\u00e9s<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Article 21(2)(b) \u2014 S\u00e9paration des fonctions<\/h2>\n\n\n\n
Exigence DORA<\/strong><\/th>Contr\u00f4le CI\/CD<\/strong><\/th>Preuve g\u00e9n\u00e9r\u00e9e<\/strong><\/th><\/tr><\/thead>
S\u00e9parer les r\u00f4les en conflit<\/td>Exigences de revue de code<\/td>Historique des pull requests<\/td><\/tr>
Emp\u00eacher l’auto-approbation<\/td>R\u00e8gles d’approbation appliqu\u00e9es par le pipeline<\/td>Enregistrements d’approbation<\/td><\/tr>
Contr\u00f4ler l’autorit\u00e9 de release<\/td>Permissions de build et d\u00e9ploiement s\u00e9par\u00e9es<\/td>Cartographie des r\u00f4les de pipeline<\/td><\/tr>
Journaliser les contournements et exceptions<\/td>Journalisation des exceptions<\/td>Journaux d’audit des contournements<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Article 21(2)(c) \u2014 Journalisation et surveillance<\/h2>\n\n\n\n
Exigence DORA<\/strong><\/th>Contr\u00f4le CI\/CD<\/strong><\/th>Preuve g\u00e9n\u00e9r\u00e9e<\/strong><\/th><\/tr><\/thead>
Surveiller l’activit\u00e9 des syst\u00e8mes ICT<\/td>Journalisation compl\u00e8te de l’ex\u00e9cution des pipelines<\/td>Journaux d’ex\u00e9cution<\/td><\/tr>
D\u00e9tecter les \u00e9v\u00e9nements pertinents pour la s\u00e9curit\u00e9<\/td>Alertes de contr\u00f4les \u00e9chou\u00e9s et anomalies<\/td>Alertes de s\u00e9curit\u00e9<\/td><\/tr>
Conserver les journaux de mani\u00e8re s\u00e9curis\u00e9e<\/td>Stockage centralis\u00e9 des journaux<\/td>Configuration de r\u00e9tention<\/td><\/tr>
Supporter les investigations<\/td>Pistes d’audit immuables<\/td>Journaux pr\u00eats pour l’investigation<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Article 21(2)(d) \u2014 Gestion des changements et int\u00e9grit\u00e9<\/h2>\n\n\n\n
Exigence DORA<\/strong><\/th>Contr\u00f4le CI\/CD<\/strong><\/th>Preuve g\u00e9n\u00e9r\u00e9e<\/strong><\/th><\/tr><\/thead>
Contr\u00f4ler les changements aux syst\u00e8mes ICT<\/td>Pipelines CI\/CD obligatoires<\/td>Historique de d\u00e9ploiement<\/td><\/tr>
Assurer l’int\u00e9grit\u00e9 des changements<\/td>Signature et v\u00e9rification des artefacts<\/td>M\u00e9tadonn\u00e9es de signature<\/td><\/tr>
Tracer les changements de bout en bout<\/td>Liaison source \u2192 pipeline \u2192 artefact<\/td>Enregistrements de provenance<\/td><\/tr>
Emp\u00eacher les d\u00e9ploiements non autoris\u00e9s<\/td>Portes de politique et approbations<\/td>Journaux d’application des portes<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Article 21(2)(e) \u2014 R\u00e9silience, sauvegarde et reprise<\/h2>\n\n\n\n
Exigence DORA<\/strong><\/th>Contr\u00f4le CI\/CD<\/strong><\/th>Preuve g\u00e9n\u00e9r\u00e9e<\/strong><\/th><\/tr><\/thead>
Assurer la r\u00e9silience des syst\u00e8mes<\/td>Environnements de build durcis et isol\u00e9s<\/td>Configuration de l’environnement<\/td><\/tr>
Pr\u00e9venir les points de d\u00e9faillance uniques<\/td>Composants CI\/CD redondants<\/td>Documentation d’architecture<\/td><\/tr>
Activer les m\u00e9canismes de reprise<\/td>Workflows de rollback et red\u00e9ploiement<\/td>Journaux de reprise<\/td><\/tr>
Prot\u00e9ger les configurations<\/td>Sauvegarde s\u00e9curis\u00e9e de la configuration du pipeline<\/td>Enregistrements de sauvegarde<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Article 21(2)(f) \u2014 Am\u00e9lioration continue<\/h2>\n\n\n\n
Exigence DORA<\/strong><\/th>Contr\u00f4le CI\/CD<\/strong><\/th>Preuve g\u00e9n\u00e9r\u00e9e<\/strong><\/th><\/tr><\/thead>
Revoir la posture de risque ICT<\/td>Revues p\u00e9riodiques de s\u00e9curit\u00e9 des pipelines<\/td>Rapports de revue<\/td><\/tr>
Mettre \u00e0 jour les contr\u00f4les si n\u00e9cessaire<\/td>Modifications de configuration du pipeline<\/td>Journaux de changements<\/td><\/tr>
Am\u00e9liorer la d\u00e9tection et la pr\u00e9vention<\/td>Mises \u00e0 jour d’outils et ajustement des r\u00e8gles<\/td>Historique des versions<\/td><\/tr>
S’aligner sur les menaces en \u00e9volution<\/td>Mises \u00e0 jour de pipeline inform\u00e9es par les menaces<\/td>\u00c9valuations des risques<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
\n\n\n\n

Comment les auditeurs utilisent ce tableau<\/h2>\n\n\n\n