{"id":1334,"date":"2026-01-29T14:01:01","date_gmt":"2026-01-29T13:01:01","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/nis2-supply-chain-auditor-checklist-2\/"},"modified":"2026-03-26T00:39:15","modified_gmt":"2026-03-25T23:39:15","slug":"nis2-supply-chain-auditor-checklist","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/nis2-supply-chain-auditor-checklist\/","title":{"rendered":"Checklist d&rsquo;audit NIS2 pour la cha\u00eene d&rsquo;approvisionnement"},"content":{"rendered":"\n<p><strong>Gouvernance, CI\/CD, fournisseurs et cha\u00eene d&rsquo;approvisionnement logicielle<\/strong><\/p>\n\n\n\n<p>Cette checklist refl\u00e8te la fa\u00e7on dont les exigences NIS2 de la cha\u00eene d&rsquo;approvisionnement sont <strong>r\u00e9ellement examin\u00e9es par les auditeurs et les autorit\u00e9s de supervision<\/strong>. Elle se concentre sur la <strong>gouvernance, l&rsquo;application technique et les preuves<\/strong>, plut\u00f4t que sur des d\u00e9clarations de politique de haut niveau.<\/p>\n\n\n\n<p>Utilisez cette checklist pour \u00e9valuer la pr\u00e9paration avant un audit ou pour guider la pr\u00e9paration des preuves lors de la supervision.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>1. P\u00e9rim\u00e8tre et identification des fournisseurs<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Tous les fournisseurs pertinents sont-ils identifi\u00e9s et dans le p\u00e9rim\u00e8tre ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c L&rsquo;inventaire des fournisseurs existe et est maintenu<\/li>\n\n\n\n<li>\u2b1c L&rsquo;inventaire inclut :\n<ul class=\"wp-block-list\">\n<li>\u00e9diteurs de logiciels<\/li>\n\n\n\n<li>plateformes CI\/CD<\/li>\n\n\n\n<li>fournisseurs cloud et d&rsquo;infrastructure<\/li>\n\n\n\n<li>services ICT externalis\u00e9s<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>\u2b1c Les fournisseurs sont associ\u00e9s aux services ou syst\u00e8mes support\u00e9s<\/li>\n\n\n\n<li>\u2b1c Le p\u00e9rim\u00e8tre de la cha\u00eene d&rsquo;approvisionnement est formellement document\u00e9<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Fournisseurs CI\/CD exclus du p\u00e9rim\u00e8tre fournisseur<\/li>\n\n\n\n<li>Listes de fournisseurs incompl\u00e8tes ou obsol\u00e8tes<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>2. Criticit\u00e9 des fournisseurs et classification des risques<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Les risques de la cha\u00eene d&rsquo;approvisionnement sont-ils \u00e9valu\u00e9s proportionnellement ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c Les fournisseurs sont class\u00e9s par criticit\u00e9<\/li>\n\n\n\n<li>\u2b1c Les crit\u00e8res de classification incluent :\n<ul class=\"wp-block-list\">\n<li>impact sur les services essentiels<\/li>\n\n\n\n<li>niveau d&rsquo;acc\u00e8s privil\u00e9gi\u00e9<\/li>\n\n\n\n<li>sensibilit\u00e9 des donn\u00e9es<\/li>\n\n\n\n<li>substituabilit\u00e9<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>\u2b1c Les \u00e9valuations de risques sont document\u00e9es et reproductibles<\/li>\n\n\n\n<li>\u2b1c Les fournisseurs critiques sont clairement identifi\u00e9s<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Aucune distinction entre fournisseurs critiques et non critiques<\/li>\n\n\n\n<li>\u00c9valuations de risques r\u00e9alis\u00e9es de mani\u00e8re informelle<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>3. Gouvernance et propri\u00e9t\u00e9 des fournisseurs<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Qui est responsable du risque fournisseur ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c Chaque fournisseur a un propri\u00e9taire interne clairement d\u00e9sign\u00e9<\/li>\n\n\n\n<li>\u2b1c Les r\u00f4les de gouvernance fournisseur sont d\u00e9finis<\/li>\n\n\n\n<li>\u2b1c Des revues p\u00e9riodiques des fournisseurs sont effectu\u00e9es<\/li>\n\n\n\n<li>\u2b1c Les risques li\u00e9s aux fournisseurs sont escalad\u00e9s de mani\u00e8re appropri\u00e9e<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Propri\u00e9t\u00e9 du fournisseur floue ou implicite<\/li>\n\n\n\n<li>Aucune preuve de supervision continue des fournisseurs<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>4. Contr\u00f4les d&rsquo;achat et contractuels<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Les exigences de cybers\u00e9curit\u00e9 sont-elles applicables ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c Exigences de cybers\u00e9curit\u00e9 int\u00e9gr\u00e9es dans les achats<\/li>\n\n\n\n<li>\u2b1c Les contrats incluent :\n<ul class=\"wp-block-list\">\n<li>obligations de s\u00e9curit\u00e9<\/li>\n\n\n\n<li>exigences de notification d&rsquo;incident<\/li>\n\n\n\n<li>clauses de coop\u00e9ration<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li>\u2b1c Clauses de s\u00e9curit\u00e9 appliqu\u00e9es de mani\u00e8re coh\u00e9rente aux fournisseurs critiques<\/li>\n\n\n\n<li>\u2b1c Les exceptions contractuelles sont document\u00e9es et justifi\u00e9es<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Exigences de s\u00e9curit\u00e9 appliqu\u00e9es de mani\u00e8re incoh\u00e9rente<\/li>\n\n\n\n<li>Aucune tra\u00e7abilit\u00e9 entre les contrats et les \u00e9valuations de risques<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>5. Contr\u00f4les CI\/CD de la cha\u00eene d&rsquo;approvisionnement<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Comment le risque de la cha\u00eene d&rsquo;approvisionnement est-il appliqu\u00e9 techniquement ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c Les pipelines CI\/CD sont obligatoires pour les changements en production<\/li>\n\n\n\n<li>\u2b1c L&rsquo;acc\u00e8s aux plateformes CI\/CD est restreint (RBAC, MFA)<\/li>\n\n\n\n<li>\u2b1c Les modifications de pipeline sont contr\u00f4l\u00e9es et journalis\u00e9es<\/li>\n\n\n\n<li>\u2b1c La s\u00e9paration des fonctions est appliqu\u00e9e via les approbations<\/li>\n\n\n\n<li>\u2b1c Les int\u00e9grations tierces dans le CI\/CD sont gouvern\u00e9es<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>D\u00e9ploiements manuels ou hors bande<\/li>\n\n\n\n<li>Comptes de service CI\/CD avec des privil\u00e8ges excessifs<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>6. Contr\u00f4les d&rsquo;int\u00e9grit\u00e9 des d\u00e9pendances et des logiciels<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Comment faites-vous confiance \u00e0 ce que vous d\u00e9ployez ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c Des inventaires de d\u00e9pendances existent pour les applications critiques<\/li>\n\n\n\n<li>\u2b1c L&rsquo;analyse des d\u00e9pendances (SCA) est effectu\u00e9e<\/li>\n\n\n\n<li>\u2b1c Les vuln\u00e9rabilit\u00e9s critiques d\u00e9clenchent une rem\u00e9diation ou une d\u00e9cision<\/li>\n\n\n\n<li>\u2b1c Les SBOMs sont disponibles pour les syst\u00e8mes critiques (le cas \u00e9ch\u00e9ant)<\/li>\n\n\n\n<li>\u2b1c L&rsquo;int\u00e9grit\u00e9 et la provenance des artefacts sont assur\u00e9es<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Aucune visibilit\u00e9 sur les d\u00e9pendances<\/li>\n\n\n\n<li>Incapacit\u00e9 \u00e0 tracer les artefacts d\u00e9ploy\u00e9s<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>7. Gestion des acc\u00e8s tiers<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Les fournisseurs ont-ils un acc\u00e8s contr\u00f4l\u00e9 ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c Les comptes tiers et de service sont inventori\u00e9s<\/li>\n\n\n\n<li>\u2b1c L&rsquo;acc\u00e8s suit les principes du moindre privil\u00e8ge<\/li>\n\n\n\n<li>\u2b1c L&rsquo;acc\u00e8s privil\u00e9gi\u00e9 est approuv\u00e9 et journalis\u00e9<\/li>\n\n\n\n<li>\u2b1c Des revues d&rsquo;acc\u00e8s p\u00e9riodiques sont effectu\u00e9es<\/li>\n\n\n\n<li>\u2b1c Des proc\u00e9dures de r\u00e9vocation d&rsquo;acc\u00e8s existent<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Comptes fournisseurs de longue dur\u00e9e sans revue<\/li>\n\n\n\n<li>Identifiants partag\u00e9s ou non document\u00e9s<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>8. Surveillance et d\u00e9tection<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Pouvez-vous d\u00e9tecter les \u00e9v\u00e9nements li\u00e9s \u00e0 la cha\u00eene d&rsquo;approvisionnement ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c L&rsquo;activit\u00e9 des pipelines CI\/CD est surveill\u00e9e<\/li>\n\n\n\n<li>\u2b1c Les alertes de vuln\u00e9rabilit\u00e9 des d\u00e9pendances sont surveill\u00e9es<\/li>\n\n\n\n<li>\u2b1c Les anomalies li\u00e9es aux fournisseurs sont d\u00e9tectables<\/li>\n\n\n\n<li>\u2b1c Les alertes ont des chemins d&rsquo;escalade d\u00e9finis<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les journaux existent mais ne sont pas examin\u00e9s<\/li>\n\n\n\n<li>Aucune alerte pour les probl\u00e8mes CI\/CD ou de d\u00e9pendances<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>9. R\u00e9ponse aux incidents et coordination fournisseur<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u00cates-vous pr\u00e9par\u00e9 aux incidents fournisseurs ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c Les plans de r\u00e9ponse aux incidents incluent des sc\u00e9narios fournisseur<\/li>\n\n\n\n<li>\u2b1c Les chemins d&rsquo;escalade et de notification fournisseur sont d\u00e9finis<\/li>\n\n\n\n<li>\u2b1c Capacit\u00e9 \u00e0 r\u00e9voquer rapidement l&rsquo;acc\u00e8s fournisseur<\/li>\n\n\n\n<li>\u2b1c Des simulations ou tests d&rsquo;incidents sont r\u00e9alis\u00e9s<\/li>\n\n\n\n<li>\u2b1c Les revues post-incident sont document\u00e9es<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Incidents fournisseurs trait\u00e9s de mani\u00e8re ad hoc<\/li>\n\n\n\n<li>Aucun processus de coordination document\u00e9<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>10. Conservation des preuves et auditabilit\u00e9<\/strong><\/h2>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Focus de l&rsquo;auditeur<\/strong><\/h3>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Les preuves peuvent-elles \u00eatre produites \u00e0 la demande ?<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Checklist<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u2b1c Les p\u00e9riodes de conservation des preuves sont d\u00e9finies<\/li>\n\n\n\n<li>\u2b1c Les journaux CI\/CD et les enregistrements de s\u00e9curit\u00e9 sont conserv\u00e9s<\/li>\n\n\n\n<li>\u2b1c La documentation fournisseur est archiv\u00e9e<\/li>\n\n\n\n<li>\u2b1c Les preuves historiques peuvent \u00eatre retrouv\u00e9es<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Signaux d&rsquo;alerte typiques<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>P\u00e9riodes de conservation courtes<\/li>\n\n\n\n<li>Preuves dispers\u00e9es \u00e0 travers les syst\u00e8mes<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Questions finales d&rsquo;\u00e9valuation de l&rsquo;auditeur<\/strong><\/h2>\n\n\n\n<p>Avant de cl\u00f4turer un audit, les superviseurs se posent g\u00e9n\u00e9ralement les questions suivantes :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les risques de la cha\u00eene d&rsquo;approvisionnement sont-ils clairement compris ?<\/li>\n\n\n\n<li>Les contr\u00f4les sont-ils appliqu\u00e9s techniquement, pas seulement document\u00e9s ?<\/li>\n\n\n\n<li>Les preuves sont-elles fiables, compl\u00e8tes et r\u00e9cup\u00e9rables ?<\/li>\n\n\n\n<li>Le CI\/CD est-il trait\u00e9 comme faisant partie de l&rsquo;environnement r\u00e9glement\u00e9 ?<\/li>\n<\/ul>\n\n\n\n<p>Si ces questions peuvent \u00eatre r\u00e9pondues avec confiance, la pr\u00e9paration NIS2 de la cha\u00eene d&rsquo;approvisionnement est g\u00e9n\u00e9ralement consid\u00e9r\u00e9e comme satisfaisante.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusion<\/strong><\/h2>\n\n\n\n<p>La conformit\u00e9 NIS2 de la cha\u00eene d&rsquo;approvisionnement est \u00e9valu\u00e9e \u00e0 travers les <strong>preuves, l&rsquo;application et la responsabilit\u00e9<\/strong>. Cette checklist refl\u00e8te la fa\u00e7on dont les auditeurs \u00e9valuent la maturit\u00e9 en pratique et aide les organisations \u00e0 identifier les lacunes avant que la supervision ne survienne.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Contenu associ\u00e9<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/nis2-supply-chain-evidence-pack-2\/\" data-type=\"post\" data-id=\"284\">NIS2 Supply Chain Evidence Pack<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/nis2-supply-chain-security-deep-dive-what-it-really-means-for-ci-cd-and-vendors-2\/\" data-type=\"post\" data-id=\"281\">NIS2 Supply Chain Security Deep Dive<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/nis2-security-architecture-explained-2\/\" data-type=\"post\" data-id=\"279\">NIS2 Security Architecture \u2014 Explained<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/supplier-governance-ci-cd-controls-checklist\/\" data-type=\"post\" data-id=\"908\">Supplier Governance &amp; CI\/CD Controls Checklist<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/how-auditors-actually-review-ci-cd-pipelines\/\" data-type=\"post\" data-id=\"261\">How Auditors Actually Review CI\/CD Pipelines<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"fr\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexte \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenu con\u00e7u pour les environnements r\u00e9glement\u00e9s : contr\u00f4les avant outils, enforcement par politiques dans le CI\/CD, et evidence-by-design pour l\u2019audit.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Focus sur la tra\u00e7abilit\u00e9, les approbations, la gouvernance des exceptions et la r\u00e9tention des preuves de bout en bout.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/fr\/fr\/about\/\">Voir la m\u00e9thodologie sur la page About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>Gouvernance, CI\/CD, fournisseurs et cha\u00eene d&rsquo;approvisionnement logicielle Cette checklist refl\u00e8te la fa\u00e7on dont les exigences NIS2 de la cha\u00eene d&rsquo;approvisionnement sont r\u00e9ellement examin\u00e9es par les auditeurs et les autorit\u00e9s de supervision. Elle se concentre sur la gouvernance, l&rsquo;application technique et les preuves, plut\u00f4t que sur des d\u00e9clarations de politique de haut niveau. Utilisez cette checklist &#8230; <a title=\"Checklist d&rsquo;audit NIS2 pour la cha\u00eene d&rsquo;approvisionnement\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/nis2-supply-chain-auditor-checklist\/\" aria-label=\"En savoir plus sur Checklist d&rsquo;audit NIS2 pour la cha\u00eene d&rsquo;approvisionnement\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[126,123],"tags":[],"post_folder":[],"class_list":["post-1334","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks","category-ci-cd-governance"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1334","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1334"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1334\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1334"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1334"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1334"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1334"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}