{"id":1317,"date":"2026-01-31T15:18:12","date_gmt":"2026-01-31T14:18:12","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-article-28-explained-managing-ict-third-party-risk-in-ci-cd-and-cloud-environments-2\/"},"modified":"2026-03-26T00:15:56","modified_gmt":"2026-03-25T23:15:56","slug":"dora-article-28-explained-managing-ict-third-party-risk-in-ci-cd-and-cloud-environments","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-28-explained-managing-ict-third-party-risk-in-ci-cd-and-cloud-environments\/","title":{"rendered":"DORA Article 28 expliqu\u00e9 : g\u00e9rer le risque tiers ICT dans les environnements CI\/CD et cloud"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\"><strong>Introduction<\/strong><\/h2>\n\n\n\n<p>Le Digital Operational Resilience Act (DORA) introduit un cadre complet pour renforcer la r\u00e9silience num\u00e9rique des entit\u00e9s financi\u00e8res \u00e0 travers l&rsquo;Union europ\u00e9enne. Alors que l&rsquo;attention se porte souvent sur la gestion interne des risques ICT sous l&rsquo;<strong>Article 21<\/strong>, l&rsquo;<strong>Article 28 d\u00e9place le focus vers l&rsquo;ext\u00e9rieur<\/strong>, traitant des risques introduits par les <strong>fournisseurs de services ICT tiers<\/strong>.<\/p>\n\n\n\n<p>Dans les environnements d&rsquo;entreprise modernes, la livraison logicielle repose fortement sur des plateformes externes telles que les fournisseurs cloud, les outils CI\/CD SaaS, les services d&rsquo;h\u00e9bergement de code source et les solutions de s\u00e9curit\u00e9 manag\u00e9es. DORA Article 28 int\u00e8gre formellement ces d\u00e9pendances dans le p\u00e9rim\u00e8tre, exigeant des organisations qu&rsquo;elles <strong>identifient, \u00e9valuent, contr\u00f4lent et surveillent continuellement les risques ICT tiers<\/strong>.<\/p>\n\n\n\n<p>Cet article explique <strong>ce que DORA Article 28 exige r\u00e9ellement<\/strong>, pourquoi <strong>les pipelines CI\/CD et les outils DevSecOps sont directement impact\u00e9s<\/strong>, et comment les organisations doivent aborder la conformit\u00e9 dans les environnements r\u00e9glement\u00e9s.<\/p>\n\n\n\n<!-- GeneratePress Inline SVG \u2013 Regulated DevSecOps -->\n<figure class=\"gp-rds-diagram\">\n<?xml version=\"1.0\" encoding=\"UTF-8\"?>\n<svg xmlns=\"http:\/\/www.w3.org\/2000\/svg\"\n     viewBox=\"0 0 1200 640\"\n     role=\"img\"\n     aria-labelledby=\"title desc\"\n     data-theme=\"light\">\n  <title id=\"title\">DORA Article 28 Architecture (CI\/CD + Cloud Third-Party Risque)<\/title>\n  <desc id=\"desc\">\n    Vue architecturale liant les \u00e9tapes de livraison CI\/CD et cloud aux fournisseurs ICT tiers,\n    avec les contr\u00f4les transversaux DORA Article 28 et les preuves attendues.\n  <\/desc>\n\n  <style>\n    :root{\n      --bg:transparent;\n      --text:#0f172a;\n      --muted:#475569;\n      --stroke:#cbd5e1;\n      --card:#ffffff;\n\n      --accent:#2563eb;\n      --accentSoft:#dbeafe;\n\n      --sec:#7c3aed;\n      --secSoft:#ede9fe;\n\n      --evidence:#059669;\n      --evidenceSoft:#d1fae5;\n\n      --warn:#b45309;\n      --warnSoft:#ffedd5;\n    }\n\n    svg[data-theme=\"dark\"]{\n      --text:#e5e7eb;\n      --muted:#9ca3af;\n      --stroke:#374151;\n      --card:#0b1220;\n\n      --accent:#60a5fa;\n      --accentSoft:#0b2a55;\n\n      --sec:#a78bfa;\n      --secSoft:#2a144d;\n\n      --evidence:#34d399;\n      --evidenceSoft:#063a2c;\n\n      --warn:#f59e0b;\n      --warnSoft:#3b2a07;\n    }\n\n    .txt{font-family:ui-sans-serif,system-ui,-apple-system,Segoe UI,Roboto,Arial;}\n    .title{font-weight:800;font-size:22px;fill:var(--text);}\n    .sub{font-weight:500;font-size:14px;fill:var(--muted);}\n    .label{font-weight:800;font-size:12px;fill:var(--text);letter-spacing:.02em;}\n    .small{font-weight:600;font-size:11px;fill:var(--muted);}\n\n    .card{fill:var(--card);stroke:var(--stroke);stroke-width:1.5;rx:14;}\n    .panel{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:14;stroke-dasharray:6 6;}\n    .chip{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:7;}\n    .chipText{font-weight:800;font-size:11px;fill:var(--text);}\n    .sec .chip{stroke:var(--sec);fill:var(--secSoft);}\n    .ev .chip{stroke:var(--evidence);fill:var(--evidenceSoft);}\n    .warn .chip{stroke:var(--warn);fill:var(--warnSoft);}\n\n    .band{fill:transparent;stroke:var(--stroke);stroke-width:1.5;rx:14;stroke-dasharray:6 6;}\n    .bandTitle{font-weight:900;font-size:12px;fill:var(--muted);letter-spacing:.06em;}\n\n    .flow{fill:none;stroke:var(--stroke);stroke-width:2.5;stroke-linecap:round;stroke-linejoin:round;}\n    .arrow{marker-end:url(#arrow);}\n    .link{fill:none;stroke:var(--accent);stroke-width:2.5;stroke-linecap:round;stroke-dasharray:7 7;opacity:.85;}\n  <\/style>\n\n  <defs>\n    <marker id=\"arrow\" viewBox=\"0 0 10 10\" refX=\"9.2\" refY=\"5\" markerWidth=\"7\" markerHeight=\"7\" orient=\"auto\">\n      <path d=\"M0 0 L10 5 L0 10 Z\" fill=\"var(--stroke)\"\/>\n    <\/marker>\n  <\/defs>\n\n  <!-- Header -->\n  <text class=\"txt title\" x=\"40\" y=\"48\">DORA Article 28 Architecture<\/text>\n  <text class=\"txt sub\" x=\"40\" y=\"74\">Contr\u00f4les du risque tiers ICT dans le CI\/CD et la livraison cloud (inventaire \u2022 contrats \u2022 surveillance \u2022 sortie \u2022 preuves).<\/text>\n\n  <!-- Cross-cutting controls band -->\n  <g transform=\"translate(40,92)\">\n    <rect class=\"band\" x=\"0\" y=\"0\" width=\"1120\" height=\"62\"\/>\n    <text class=\"txt bandTitle\" x=\"10\" y=\"36\">ARTICLE 28 CROSS-CUTTING CONTROLS<\/text>\n\n    <g class=\"sec\" transform=\"translate(300,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"180\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"90\" y=\"20\" text-anchor=\"middle\">Inventaire fournisseurs et criticit\u00e9<\/text>\n    <\/g>\n\n    <g class=\"sec\" transform=\"translate(490,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"160\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"80\" y=\"20\" text-anchor=\"middle\">Clauses contractuelles<\/text>\n    <\/g>\n\n    <g class=\"sec\" transform=\"translate(660,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"150\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"75\" y=\"20\" text-anchor=\"middle\">Sous-traitants<\/text>\n    <\/g>\n\n    <g class=\"ev\" transform=\"translate(820,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"140\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"70\" y=\"20\" text-anchor=\"middle\">Surveillance<\/text>\n    <\/g>\n\n    <g class=\"warn\" transform=\"translate(970,16)\">\n      <rect class=\"chip\" x=\"0\" y=\"0\" width=\"130\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"65\" y=\"20\" text-anchor=\"middle\">Strat\u00e9gie de sortie<\/text>\n    <\/g>\n  <\/g>\n\n  <!-- Panels -->\n  <g transform=\"translate(40,170)\">\n    <rect class=\"panel\" x=\"0\" y=\"0\" width=\"725\" height=\"370\"\/>\n    <text class=\"txt label\" x=\"18\" y=\"28\">CHA\u00ceNE DE LIVRAISON INTERNE (VOTRE PLAN DE CONTR\u00d4LE)<\/text>\n\n    <rect class=\"panel\" x=\"740\" y=\"0\" width=\"380\" height=\"370\"\/>\n    <text class=\"txt label\" x=\"758\" y=\"28\">FOURNISSEURS ICT TIERS (P\u00c9RIM\u00c8TRE ARTICLE 28)<\/text>\n\n    <rect class=\"panel\" x=\"0\" y=\"380\" width=\"1120\" height=\"80\"\/>\n    <text class=\"txt label\" x=\"18\" y=\"408\">PREUVES ATTENDUES (SORTIES PR\u00caTES POUR L&rsquo;AUDIT)<\/text>\n  <\/g>\n\n  <!-- Internal cards -->\n  <g transform=\"translate(70,220)\">\n    <rect class=\"card\" width=\"210\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">1. PLAN<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">Mod\u00e8le de menaces \u2022 Risque<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"178\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"89\" y=\"20\" text-anchor=\"middle\">\u00c9valuation du risque tiers<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(300,220)\">\n    <rect class=\"card\" width=\"210\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">2. CODE<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">PR \u2022 Revue<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"178\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"89\" y=\"20\" text-anchor=\"middle\">Limites d&rsquo;acc\u00e8s + SoD<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(530,220)\">\n    <rect class=\"card\" width=\"220\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">3. BUILD<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">CI \u2022 Artefacts<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"188\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"94\" y=\"20\" text-anchor=\"middle\">SCA + SBOM + Signature<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(70,380)\">\n    <rect class=\"card\" width=\"210\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">4. TEST<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">QA \u2022 Staging<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"178\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"89\" y=\"20\" text-anchor=\"middle\">Portes de validation s\u00e9curit\u00e9<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(300,380)\">\n    <rect class=\"card\" width=\"210\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">5. RELEASE<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">Approbations \u2022 Politique<\/text>\n    <g class=\"sec\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"178\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"89\" y=\"20\" text-anchor=\"middle\">Application adoss\u00e9e aux contrats<\/text>\n    <\/g>\n  <\/g>\n\n  <g transform=\"translate(530,380)\">\n    <rect class=\"card\" width=\"220\" height=\"120\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"30\">6. DEPLOY &amp; RUN<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"52\">Cloud \u2022 Runtime<\/text>\n    <g class=\"ev\" transform=\"translate(16,70)\">\n      <rect class=\"chip\" width=\"188\" height=\"30\"\/>\n      <text class=\"txt chipText\" x=\"94\" y=\"20\" text-anchor=\"middle\">Surveillance + incident evidence<\/text>\n    <\/g>\n  <\/g>\n\n  <!-- \u2705 INTERNAL FLOW (clean routed) -->\n  <!-- PLAN -> CODE -->\n  <path class=\"flow arrow\" d=\"M 280 280 L 300 280\"\/>\n\n  <!-- CODE -> BUILD -->\n  <path class=\"flow arrow\" d=\"M 510 280 L 530 280\"\/>\n\n  <!-- BUILD -> TEST (elbow: down then left to TEST) -->\n  <path class=\"flow arrow\"\n        d=\"M 640 340\n           L 640 340\n           C 640 350  620 352  600 352\n           L 180 352\n           C 170 352  170 382  170 370\n           L 170 380\"\/>\n\n  <!-- TEST -> RELEASE -->\n  <path class=\"flow arrow\" d=\"M 280 440 L 300 440\"\/>\n\n  <!-- RELEASE -> DEPLOY&RUN -->\n  <path class=\"flow arrow\" d=\"M 510 440 L 530 440\"\/>\n\n  <!-- Third-party provider cards -->\n  <g transform=\"translate(810,220)\">\n    <rect class=\"card\" width=\"320\" height=\"70\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"28\">H\u00e9bergement Git \/ Source (SaaS)<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"50\">Identit\u00e9 \u2022 Protection des branches \u2022 Logs d&rsquo;audit<\/text>\n  <\/g>\n\n  <g transform=\"translate(810,300)\">\n    <rect class=\"card\" width=\"320\" height=\"70\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"28\">Plateforme CI\/CD + Runners<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"50\">Isolation des builds \u2022 Port\u00e9e des tokens \u2022 Gouvernance des runners<\/text>\n  <\/g>\n\n  <g transform=\"translate(810,380)\">\n    <rect class=\"card\" width=\"320\" height=\"70\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"28\">Registres + D\u00e9pendances<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"50\">Artefacts \u2022 Conteneurs \u2022 Miroirs \u2022 Outils SBOM<\/text>\n  <\/g>\n\n  <g transform=\"translate(810,460)\">\n    <rect class=\"card\" width=\"320\" height=\"70\"\/>\n    <text class=\"txt label\" x=\"16\" y=\"28\">Runtime cloud + Observabilit\u00e9<\/text>\n    <text class=\"txt small\" x=\"16\" y=\"50\">Disponibilit\u00e9 \u2022 DR \u2022 Logs\/Traces \u2022 Int\u00e9gration SIEM<\/text>\n  <\/g>\n\n\n\n  <!-- Evidence chips -->\n  <g transform=\"translate(60,585)\" class=\"ev\">\n    <rect class=\"chip\" width=\"200\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"100\" y=\"22\" text-anchor=\"middle\">Inventaire fournisseurs + hi\u00e9rarchisation<\/text>\n  <\/g>\n\n  <g transform=\"translate(275,585)\" class=\"sec\">\n    <rect class=\"chip\" width=\"210\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"105\" y=\"22\" text-anchor=\"middle\">Clauses contractuelles + audit rights<\/text>\n  <\/g>\n\n  <g transform=\"translate(500,585)\" class=\"sec\">\n    <rect class=\"chip\" width=\"190\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"95\" y=\"22\" text-anchor=\"middle\">SBOM + provenance + signature<\/text>\n  <\/g>\n\n  <g transform=\"translate(705,585)\" class=\"ev\">\n    <rect class=\"chip\" width=\"220\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"110\" y=\"22\" text-anchor=\"middle\">Logs d&rsquo;acc\u00e8s + pistes d&rsquo;audit pipeline<\/text>\n  <\/g>\n\n  <g transform=\"translate(940,585)\" class=\"warn\">\n    <rect class=\"chip\" width=\"210\" height=\"34\"\/>\n    <text class=\"txt chipText\" x=\"105\" y=\"22\" text-anchor=\"middle\">Plan de sortie + preuves de test DR\/BCP<\/text>\n  <\/g>\n\n\n<!-- \u2705 DASHED LINKS (aligned mid-right to mid-left) -->\n    <!-- CODE -> Git -->\n    <path  class=\"link\" d=\"M 398 220 C 400 221 393 205 413 204 C 452 202 684 206 739 206 C 794 206 748 250 789 251 C 830 252 800 252 800 252\" transform=\"matrix(1, 0, 0, 1, 0, 0)\"\/>\n    <!-- BUILD -> CI\/CD -->\n    <path  class=\"link\" d=\"M 747 270 C 782 258 785 342 811 334\" transform=\"matrix(1, 0, 0, 1, 0, 0)\"\/>\n    <!-- BUILD -> Registries -->\n    <path  class=\"link\" d=\"M 748 270 C 803 257 758 418 810 417\" transform=\"matrix(1, 0, 0, 1, 0, 0)\"\/>\n    <!-- DEPLOY&RUN -> Cloud -->\n    <path  class=\"link\" d=\"M 748 435 C 782 425 787 509 811 494\" transform=\"matrix(1, 0, 0, 1, 0, 0)\"\/>\n\n\n<\/svg>\n\n  <figcaption class=\"gp-rds-caption\">\n    Vue architecturale liant les \u00e9tapes de livraison CI\/CD et cloud aux fournisseurs ICT tiers,\n    avec les contr\u00f4les transversaux DORA Article 28 et les preuves attendues.\n  <\/figcaption>\n<\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Ce que couvre DORA Article 28<\/strong><\/h2>\n\n\n\n<p>DORA Article 28 \u00e9tablit un cadre structur\u00e9 pour la <strong>gestion des risques tiers ICT<\/strong>. Son objectif est de garantir que les entit\u00e9s financi\u00e8res maintiennent leur r\u00e9silience op\u00e9rationnelle m\u00eame lorsque des services critiques sont fournis par des prestataires externes.<\/p>\n\n\n\n<p>\u00c0 haut niveau, l&rsquo;Article 28 exige des organisations qu&rsquo;elles :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Identifient et maintiennent un inventaire des fournisseurs de services ICT tiers<\/li>\n\n\n\n<li>Classifient les fournisseurs selon leur criticit\u00e9 et leur risque<\/li>\n\n\n\n<li>R\u00e9alisent une due diligence avant l&rsquo;int\u00e9gration<\/li>\n\n\n\n<li>D\u00e9finissent des clauses de s\u00e9curit\u00e9 et d&rsquo;audit obligatoires dans les contrats<\/li>\n\n\n\n<li>Surveillent continuellement les risques tiers<\/li>\n\n\n\n<li>G\u00e8rent le risque de concentration et les cha\u00eenes de d\u00e9pendances<\/li>\n\n\n\n<li>Pr\u00e9parent et testent des strat\u00e9gies de sortie<\/li>\n<\/ul>\n\n\n\n<p>Contrairement aux approches traditionnelles de gestion des fournisseurs, DORA Article 28 traite les fournisseurs ICT comme des <strong>composants int\u00e9graux du paysage de risque op\u00e9rationnel<\/strong>, et non comme des pr\u00e9occupations p\u00e9riph\u00e9riques d&rsquo;externalisation.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pourquoi le CI\/CD et le DevSecOps sont explicitement dans le p\u00e9rim\u00e8tre<\/strong><\/h2>\n\n\n\n<p>Bien que DORA ne mentionne pas explicitement CI\/CD ou DevSecOps, <strong>l&rsquo;Article 28 s&rsquo;applique clairement \u00e0 eux en pratique<\/strong>.<\/p>\n\n\n\n<p>Les pipelines CI\/CD modernes d\u00e9pendent de multiples services ICT tiers, notamment :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plateformes d&rsquo;h\u00e9bergement de code source (ex. h\u00e9bergement Git SaaS)<\/li>\n\n\n\n<li>Plateformes d&rsquo;orchestration CI\/CD<\/li>\n\n\n\n<li>Runners de build et environnements d&rsquo;ex\u00e9cution manag\u00e9s<\/li>\n\n\n\n<li>D\u00e9p\u00f4ts d&rsquo;artefacts et registres de conteneurs<\/li>\n\n\n\n<li>Gestion des d\u00e9pendances et \u00e9cosyst\u00e8mes de packages<\/li>\n\n\n\n<li>Infrastructure cloud et services d&rsquo;ex\u00e9cution manag\u00e9s<\/li>\n<\/ul>\n\n\n\n<p>Chacun de ces services peut impacter :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&rsquo;int\u00e9grit\u00e9 du code<\/li>\n\n\n\n<li>La s\u00e9curit\u00e9 de la cha\u00eene d&rsquo;approvisionnement logicielle<\/li>\n\n\n\n<li>La disponibilit\u00e9 des pipelines de livraison<\/li>\n\n\n\n<li>Les d\u00e9lais de r\u00e9ponse aux incidents<\/li>\n\n\n\n<li>Les preuves et l&rsquo;auditabilit\u00e9<\/li>\n<\/ul>\n\n\n\n<p>Sous l&rsquo;Article 28, ces plateformes doivent \u00eatre trait\u00e9es comme des <strong>fournisseurs de services ICT tiers<\/strong>, et leurs risques doivent \u00eatre gouvern\u00e9s avec la m\u00eame rigueur que les syst\u00e8mes internes.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Classification et criticit\u00e9 des tiers ICT<\/strong><\/h2>\n\n\n\n<p>Une exigence cl\u00e9 de l&rsquo;Article 28 est la <strong>classification des fournisseurs ICT tiers<\/strong>.<\/p>\n\n\n\n<p>Les organisations doivent \u00e9valuer :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si un fournisseur soutient des fonctions critiques ou importantes<\/li>\n\n\n\n<li>L&rsquo;impact potentiel d&rsquo;une d\u00e9faillance du fournisseur<\/li>\n\n\n\n<li>Le niveau de substituabilit\u00e9<\/li>\n\n\n\n<li>La d\u00e9pendance envers les sous-traitants et les quatri\u00e8mes parties<\/li>\n<\/ul>\n\n\n\n<p>Dans les contextes CI\/CD, les plateformes qui influencent directement le code, les builds ou les d\u00e9ploiements sont souvent class\u00e9es comme <strong>fournisseurs ICT \u00e0 fort impact ou critiques<\/strong>, m\u00eame s&rsquo;il s&rsquo;agit de services SaaS largement utilis\u00e9s.<\/p>\n\n\n\n<p>Cette classification d\u00e9termine la profondeur des contr\u00f4les requis, y compris les clauses contractuelles, les droits d&rsquo;audit et les obligations de surveillance.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Exigences contractuelles et de gouvernance<\/strong><\/h2>\n\n\n\n<p>L&rsquo;Article 28 met fortement l&rsquo;accent sur la <strong>gouvernance contractuelle<\/strong>.<\/p>\n\n\n\n<p>Les contrats avec les fournisseurs ICT tiers doivent inclure des dispositions couvrant :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les exigences de s\u00e9curit\u00e9 de l&rsquo;information<\/li>\n\n\n\n<li>Le contr\u00f4le d&rsquo;acc\u00e8s et la s\u00e9paration des fonctions<\/li>\n\n\n\n<li>Les d\u00e9lais de notification des incidents<\/li>\n\n\n\n<li>Les droits d&rsquo;audit et d&rsquo;inspection<\/li>\n\n\n\n<li>Les contraintes de localisation et de traitement des donn\u00e9es<\/li>\n\n\n\n<li>La continuit\u00e9 d&rsquo;activit\u00e9 et la reprise apr\u00e8s sinistre<\/li>\n\n\n\n<li>Les conditions de sortie et de r\u00e9siliation<\/li>\n<\/ul>\n\n\n\n<p>Pour les outils CI\/CD et DevSecOps, cela signifie que les contrats doivent explicitement traiter :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La s\u00e9curit\u00e9 des environnements de build et de d\u00e9ploiement<\/li>\n\n\n\n<li>La protection contre l&rsquo;injection de code non autoris\u00e9e<\/li>\n\n\n\n<li>La r\u00e9tention des preuves \u00e0 des fins d&rsquo;audit<\/li>\n\n\n\n<li>La transparence concernant les sous-traitants et l&rsquo;infrastructure partag\u00e9e<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Surveillance continue et collecte de preuves<\/strong><\/h2>\n\n\n\n<p>DORA Article 28 does not allow for \u201cset-and-forget\u201d vendor risk management.<\/p>\n\n\n\n<p>Les organisations doivent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Surveiller continuellement la performance et la s\u00e9curit\u00e9 des tiers ICT<\/li>\n\n\n\n<li>Suivre les incidents impliquant des services tiers<\/li>\n\n\n\n<li>Maintenir des preuves auditables des activit\u00e9s de supervision<\/li>\n\n\n\n<li>R\u00e9\u00e9valuer les profils de risque dans le temps<\/li>\n<\/ul>\n\n\n\n<p>Dans les environnements CI\/CD, cela inclut g\u00e9n\u00e9ralement :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les logs des plateformes CI\/CD tierces<\/li>\n\n\n\n<li>Les enregistrements d&rsquo;acc\u00e8s et d&rsquo;activit\u00e9<\/li>\n\n\n\n<li>Les preuves d&rsquo;int\u00e9grit\u00e9 des artefacts (signatures, SBOM)<\/li>\n\n\n\n<li>Les rapports d&rsquo;incidents impliquant des services externes<\/li>\n\n\n\n<li>Les enregistrements de changements et d&rsquo;approbations li\u00e9s aux outils fournis par les prestataires<\/li>\n<\/ul>\n\n\n\n<p>Cette exigence s&rsquo;aligne \u00e9troitement avec les pratiques DevSecOps qui mettent l&rsquo;accent sur l&rsquo;<strong>automatisation, la tra\u00e7abilit\u00e9 et la gouvernance bas\u00e9e sur les preuves<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Strat\u00e9gies de sortie et risque de concentration<\/strong><\/h2>\n\n\n\n<p>L&rsquo;Article 28 exige explicitement des organisations qu&rsquo;elles pr\u00e9parent des <strong>strat\u00e9gies de sortie<\/strong> pour les services ICT tiers.<\/p>\n\n\n\n<p>Cela inclut :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La capacit\u00e9 de r\u00e9silier les contrats sans perturbation inacceptable<\/li>\n\n\n\n<li>Des plans de migration vers des fournisseurs alternatifs<\/li>\n\n\n\n<li>Des contr\u00f4les pour \u00e9viter un risque de concentration excessif<\/li>\n<\/ul>\n\n\n\n<p>En pratique, c&rsquo;est l&rsquo;un des aspects les plus difficiles de la conformit\u00e9 Article 28, particuli\u00e8rement pour les plateformes CI\/CD et cloud o\u00f9 le verrouillage fournisseur est courant.<\/p>\n\n\n\n<p>Les organisations doivent d\u00e9montrer que :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les pipelines de livraison critiques ne d\u00e9pendent pas d&rsquo;un seul fournisseur sans mesure d&rsquo;att\u00e9nuation<\/li>\n\n\n\n<li>Les plans de sortie sont document\u00e9s, r\u00e9alistes et p\u00e9riodiquement r\u00e9vis\u00e9s<\/li>\n\n\n\n<li>Les d\u00e9pendances envers les sous-traitants sont comprises et g\u00e9r\u00e9es<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Relation avec DORA Article 21<\/strong><\/h2>\n\n\n\n<p>DORA Article 28 ne fonctionne pas seul. Il <strong>\u00e9tend et compl\u00e8te l&rsquo;Article 21<\/strong>.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&rsquo;<strong>Article 21<\/strong> se concentre sur la gestion interne des risques ICT et les contr\u00f4les<\/li>\n\n\n\n<li>L&rsquo;<strong>Article 28<\/strong> applique ces principes aux fournisseurs de services ICT externes<\/li>\n<\/ul>\n\n\n\n<p>Dans les environnements DevSecOps r\u00e9glement\u00e9s, cela signifie que :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les contr\u00f4les de s\u00e9curit\u00e9 appliqu\u00e9s en interne doivent aussi \u00eatre appliqu\u00e9s via les plateformes tierces<\/li>\n\n\n\n<li>Les preuves collect\u00e9es des pipelines CI\/CD doivent inclure les outils tiers<\/li>\n\n\n\n<li>La gouvernance et la responsabilit\u00e9 doivent s&rsquo;\u00e9tendre au-del\u00e0 des fronti\u00e8res organisationnelles<\/li>\n<\/ul>\n\n\n\n<p>Ensemble, les Articles 21 et 28 forment un <strong>mod\u00e8le de gestion continue des risques sur l&rsquo;ensemble de la cha\u00eene de livraison num\u00e9rique<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pi\u00e8ges courants de l&rsquo;Article 28 dans les environnements CI\/CD<\/strong><\/h2>\n\n\n\n<p>Les organisations rencontrent fr\u00e9quemment des difficult\u00e9s avec l&rsquo;Article 28 en raison de :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Treating CI\/CD SaaS platforms as \u201clow-risk utilities\u201d<\/li>\n\n\n\n<li>Manquer de visibilit\u00e9 sur les sous-traitants utilis\u00e9s par les prestataires<\/li>\n\n\n\n<li>L&rsquo;absence de droits d&rsquo;audit dans les contrats SaaS standard<\/li>\n\n\n\n<li>Aucune strat\u00e9gie de sortie d\u00e9finie pour les outils CI\/CD critiques<\/li>\n\n\n\n<li>R\u00e9tention insuffisante des preuves li\u00e9es aux services tiers<\/li>\n<\/ul>\n\n\n\n<p>Ces lacunes apparaissent souvent lors des revues r\u00e9glementaires ou des audits, m\u00eame dans des organisations DevSecOps par ailleurs matures.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>La suite<\/strong><\/h2>\n\n\n\n<p>Cet article fournit les fondations conceptuelles de DORA Article 28. Dans les prochains articles de cette s\u00e9rie, nous explorerons :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/ci-cd-security\/dora-article-28-architecture-third-party-ict-risk-controls-across-ci-cd-and-cloud\/\" data-type=\"post\" data-id=\"339\">Mod\u00e8les d&rsquo;architecture DORA Article 28 pour les environnements CI\/CD et cloud<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-evidence-pack-what-auditors-expect-to-see\/\" data-type=\"post\" data-id=\"366\">Un pack de preuves Article 28 : ce que les auditeurs attendent r\u00e9ellement<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-auditor-checklist-yes-no-evidence\/\" data-type=\"post\" data-id=\"353\">Une checklist d&rsquo;audit pratique pour le risque tiers ICT<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/dora-article-28-red-flags-common-third-party-risk-failures-in-ci-cd\/\" data-type=\"post\" data-id=\"371\">Sc\u00e9narios de risque tiers sp\u00e9cifiques au CI\/CD et signaux d&rsquo;alerte<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n<p>Ensemble, ces ressources fournissent une feuille de route pratique pour mettre en \u0153uvre une <strong>gestion des risques tiers align\u00e9e sur DORA dans les environnements DevSecOps modernes<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"fr\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexte \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenu con\u00e7u pour les environnements r\u00e9glement\u00e9s : contr\u00f4les avant outils, enforcement par politiques dans le CI\/CD, et evidence-by-design pour l\u2019audit.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Focus sur la tra\u00e7abilit\u00e9, les approbations, la gouvernance des exceptions et la r\u00e9tention des preuves de bout en bout.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/fr\/fr\/about\/\">Voir la m\u00e9thodologie sur la page About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>Introduction Le Digital Operational Resilience Act (DORA) introduit un cadre complet pour renforcer la r\u00e9silience num\u00e9rique des entit\u00e9s financi\u00e8res \u00e0 travers l&rsquo;Union europ\u00e9enne. Alors que l&rsquo;attention se porte souvent sur la gestion interne des risques ICT sous l&rsquo;Article 21, l&rsquo;Article 28 d\u00e9place le focus vers l&rsquo;ext\u00e9rieur, traitant des risques introduits par les fournisseurs de services &#8230; <a title=\"DORA Article 28 expliqu\u00e9 : g\u00e9rer le risque tiers ICT dans les environnements CI\/CD et cloud\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-28-explained-managing-ict-third-party-risk-in-ci-cd-and-cloud-environments\/\" aria-label=\"En savoir plus sur DORA Article 28 expliqu\u00e9 : g\u00e9rer le risque tiers ICT dans les environnements CI\/CD et cloud\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[126],"tags":[],"post_folder":[],"class_list":["post-1317","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1317"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1317\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1317"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}