{"id":1345,"date":"2026-03-04T08:36:27","date_gmt":"2026-03-04T07:36:27","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-article-28-auditor-checklist-2\/"},"modified":"2026-03-26T00:18:29","modified_gmt":"2026-03-25T23:18:29","slug":"dora-article-28-auditor-checklist","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-28-auditor-checklist\/","title":{"rendered":"DORA Article 28 \u2014 Checklist d&rsquo;audit (Perspectives ing\u00e9nieur &amp; auditeur)"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Introduction<\/h2>\n\n\n\n<p>Cette checklist est con\u00e7ue pour les revues d&rsquo;audit formelles de la gestion des risques ICT tiers sous DORA Article 28. Elle s&rsquo;adresse simultan\u00e9ment \u00e0 deux audiences :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Les auditeurs<\/strong> l&rsquo;utilisent pour v\u00e9rifier les contr\u00f4les, \u00e9valuer les preuves et identifier les lacunes.<\/li>\n\n\n\n<li><strong>Les ing\u00e9nieurs<\/strong> l&rsquo;utilisent pour comprendre ce qui doit \u00eatre impl\u00e9ment\u00e9 et o\u00f9 les lacunes courantes surviennent.<\/li>\n<\/ul>\n\n\n\n<p>Chaque section couvre un domaine sp\u00e9cifique de l&rsquo;Article 28 avec : la checklist d&rsquo;audit formelle (Oui \/ Non \/ Preuve), les attentes d&rsquo;impl\u00e9mentation correspondantes pour les ing\u00e9nieurs, et les lacunes courantes qui apparaissent typiquement lors des audits.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">1. Inventaire des tiers ICT<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>Un inventaire complet des prestataires ICT tiers existe<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Registre fournisseurs<\/td><\/tr><tr><td>Les plateformes CI\/CD sont incluses comme prestataires ICT<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Extrait de l&rsquo;inventaire fournisseurs<\/td><\/tr><tr><td>Les fournisseurs de services cloud sont inclus<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Inventaire fournisseurs<\/td><\/tr><tr><td>Les registres d&rsquo;artefacts et \u00e9cosyst\u00e8mes de paquets sont list\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Mapping fournisseurs<\/td><\/tr><tr><td>L&rsquo;inventaire est revu et mis \u00e0 jour p\u00e9riodiquement<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Enregistrements de revue<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Impl\u00e9mentation ing\u00e9nieur<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L&rsquo;auditeur v\u00e9rifie<\/th><th>L&rsquo;ing\u00e9nieur impl\u00e9mente<\/th><\/tr><\/thead><tbody><tr><td>Inventaire complet des prestataires ICT tiers<\/td><td>CMDB ou registre fournisseurs incluant CI\/CD, Git, cloud, registres<\/td><\/tr><tr><td>Classification des fournisseurs par criticit\u00e9<\/td><td>Tags de criticit\u00e9 li\u00e9s aux syst\u00e8mes de livraison<\/td><\/tr><tr><td>Alignement avec les services m\u00e9tier<\/td><td>Mapping pipelines \u2192 services \u2192 fournisseurs<\/td><\/tr><tr><td>Inventaire tenu \u00e0 jour<\/td><td>Mises \u00e0 jour automatis\u00e9es ou pilot\u00e9es par processus li\u00e9es \u00e0 l&rsquo;utilisation des outils<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>Lacune courante :<\/strong> Les outils CI\/CD SaaS ne sont pas list\u00e9s comme fournisseurs.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">2. Classification de criticit\u00e9<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>Les prestataires ICT sont class\u00e9s par criticit\u00e9<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>M\u00e9thodologie de classification<\/td><\/tr><tr><td>Les crit\u00e8res de classification sont document\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Cadre de risques<\/td><\/tr><tr><td>Les prestataires critiques sont explicitement identifi\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Liste fournisseurs<\/td><\/tr><tr><td>Les outils CI\/CD supportant des fonctions critiques sont class\u00e9s en cons\u00e9quence<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Document de mapping<\/td><\/tr><tr><td>La classification impacte les exigences de gouvernance<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Mapping des contr\u00f4les<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">3. Due diligence pr\u00e9-contractuelle<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>Une due diligence de s\u00e9curit\u00e9 est r\u00e9alis\u00e9e avant l&rsquo;onboarding<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Rapports de due diligence<\/td><\/tr><tr><td>L&rsquo;\u00e9valuation des risques couvre les risques ICT et op\u00e9rationnels<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>\u00c9valuation des risques<\/td><\/tr><tr><td>L&rsquo;utilisation de sous-traitants est \u00e9valu\u00e9e<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Divulgations fournisseurs<\/td><\/tr><tr><td>Les r\u00e9sultats de due diligence sont document\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Enregistrements de revue<\/td><\/tr><tr><td>Une approbation est requise avant l&rsquo;onboarding<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Workflow d&rsquo;approbation<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">4. Garanties contractuelles<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>Les contrats incluent des exigences de s\u00e9curit\u00e9 de l&rsquo;information<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Clauses contractuelles<\/td><\/tr><tr><td>Les droits d&rsquo;audit et d&rsquo;inspection sont d\u00e9finis<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Extraits contractuels<\/td><\/tr><tr><td>Les obligations de notification d&rsquo;incident sont d\u00e9finies<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Clauses SLA<\/td><\/tr><tr><td>Les exigences de r\u00e9tention des preuves sont incluses<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Termes contractuels<\/td><\/tr><tr><td>Les clauses de sortie et de r\u00e9siliation sont d\u00e9finies<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Clauses contractuelles<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Impl\u00e9mentation ing\u00e9nieur<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L&rsquo;auditeur v\u00e9rifie<\/th><th>L&rsquo;ing\u00e9nieur impl\u00e9mente<\/th><\/tr><\/thead><tbody><tr><td>Droits d&rsquo;audit d\u00e9finis dans les contrats<\/td><td>Plateformes capables d&rsquo;acc\u00e8s audit en lecture seule<\/td><\/tr><tr><td>Obligations de notification d&rsquo;incident<\/td><td>Pipelines de surveillance et d&rsquo;alerte connect\u00e9s aux workflows d&rsquo;incident<\/td><\/tr><tr><td>Engagements de r\u00e9tention des preuves<\/td><td>R\u00e9tention des journaux et artefacts configur\u00e9e pour respecter la dur\u00e9e contractuelle<\/td><\/tr><tr><td>Visibilit\u00e9 sur les sous-traitants<\/td><td>Cha\u00eenes de d\u00e9pendances SaaS document\u00e9es<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>Lacune courante :<\/strong> Les contrats existent mais l&rsquo;outillage ne peut techniquement pas supporter les audits.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">5. Contr\u00f4le d&rsquo;acc\u00e8s &amp; s\u00e9paration des t\u00e2ches<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>L&rsquo;acc\u00e8s aux plateformes tierces est bas\u00e9 sur les r\u00f4les<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Configuration IAM<\/td><\/tr><tr><td>La s\u00e9paration des t\u00e2ches est appliqu\u00e9e<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Matrice d&rsquo;acc\u00e8s<\/td><\/tr><tr><td>L&rsquo;acc\u00e8s privil\u00e9gi\u00e9 est restreint et surveill\u00e9<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Journaux d&rsquo;acc\u00e8s<\/td><\/tr><tr><td>Les revues d&rsquo;acc\u00e8s sont effectu\u00e9es p\u00e9riodiquement<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Enregistrements de revue<\/td><\/tr><tr><td>La r\u00e9vocation d&rsquo;acc\u00e8s est document\u00e9e<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Enregistrements de d\u00e9part<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Impl\u00e9mentation ing\u00e9nieur<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L&rsquo;auditeur v\u00e9rifie<\/th><th>L&rsquo;ing\u00e9nieur impl\u00e9mente<\/th><\/tr><\/thead><tbody><tr><td>S\u00e9paration des r\u00f4les appliqu\u00e9e<\/td><td>R\u00f4les IAM pour dev, approbateur, op\u00e9rateur<\/td><\/tr><tr><td>Pas de contr\u00f4le de bout en bout par un seul utilisateur<\/td><td>Protection des branches + workflows d&rsquo;approbation<\/td><\/tr><tr><td>Revues d&rsquo;acc\u00e8s effectu\u00e9es<\/td><td>Revues d&rsquo;acc\u00e8s p\u00e9riodiques support\u00e9es par les journaux<\/td><\/tr><tr><td>Moindre privil\u00e8ge appliqu\u00e9<\/td><td>Port\u00e9es de tokens, permissions des runners, s\u00e9paration des environnements<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>Lacune courante :<\/strong> L&rsquo;acc\u00e8s admin est partag\u00e9 entre les r\u00f4les CI\/CD.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">6. Contr\u00f4les d&rsquo;application CI\/CD<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>Les pipelines CI\/CD imposent des barri\u00e8res d&rsquo;approbation<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Configuration du pipeline<\/td><\/tr><tr><td>Les contr\u00f4les de s\u00e9curit\u00e9 ne peuvent pas \u00eatre contourn\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>D\u00e9finitions de politiques<\/td><\/tr><tr><td>Les runners CI\/CD tiers sont gouvern\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Configuration des runners<\/td><\/tr><tr><td>L&rsquo;int\u00e9grit\u00e9 des artefacts est prot\u00e9g\u00e9e<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Rapports SBOM \/ signature<\/td><\/tr><tr><td>Les changements de pipeline sont journalis\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Journaux d&rsquo;audit<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Impl\u00e9mentation ing\u00e9nieur<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L&rsquo;auditeur v\u00e9rifie<\/th><th>L&rsquo;ing\u00e9nieur impl\u00e9mente<\/th><\/tr><\/thead><tbody><tr><td>Contr\u00f4les appliqu\u00e9s automatiquement<\/td><td>Policy-as-code dans les pipelines<\/td><\/tr><tr><td>Pas de contournement des approbations<\/td><td>Barri\u00e8res obligatoires pour la release et le d\u00e9ploiement<\/td><\/tr><tr><td>Int\u00e9grit\u00e9 des artefacts assur\u00e9e<\/td><td>G\u00e9n\u00e9ration de SBOM, signature, v\u00e9rification<\/td><\/tr><tr><td>Outils tiers gouvern\u00e9s<\/td><td>Images de runners approuv\u00e9es, plugins restreints<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>Lacune courante :<\/strong> Les contr\u00f4les sont appliqu\u00e9s \u00ab par convention \u00bb, pas techniquement.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">7. Surveillance &amp; gestion des incidents<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>Les services tiers sont surveill\u00e9s en continu<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Tableaux de bord de surveillance<\/td><\/tr><tr><td>Les incidents de s\u00e9curit\u00e9 sont d\u00e9tect\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Journaux d&rsquo;alertes<\/td><\/tr><tr><td>Les incidents impliquant des prestataires ICT sont suivis<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Tickets d&rsquo;incident<\/td><\/tr><tr><td>Les d\u00e9lais de notification d&rsquo;incident sont respect\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Enregistrements d&rsquo;incident<\/td><\/tr><tr><td>Les post-mortems sont document\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Rapports RCA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Impl\u00e9mentation ing\u00e9nieur<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L&rsquo;auditeur v\u00e9rifie<\/th><th>L&rsquo;ing\u00e9nieur impl\u00e9mente<\/th><\/tr><\/thead><tbody><tr><td>Surveillance continue des fournisseurs<\/td><td>Journaux CI\/CD, registres, cloud collect\u00e9s<\/td><\/tr><tr><td>Capacit\u00e9 de d\u00e9tection d&rsquo;incidents<\/td><td>Alertes li\u00e9es aux services tiers<\/td><\/tr><tr><td>Tra\u00e7abilit\u00e9 des incidents<\/td><td>Tickets li\u00e9s aux journaux, pipelines, artefacts<\/td><\/tr><tr><td>Preuves d&rsquo;incidents pass\u00e9s<\/td><td>Journaux conserv\u00e9s, chronologies, documentation RCA<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>Lacune courante :<\/strong> Les journaux existent mais ne sont pas centralis\u00e9s ou conserv\u00e9s.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">8. Gouvernance des sous-traitants<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>La visibilit\u00e9 sur les sous-traitants existe<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Divulgations fournisseurs<\/td><\/tr><tr><td>Les sous-traitants sont approuv\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Enregistrements d&rsquo;approbation<\/td><\/tr><tr><td>Les risques des sous-traitants sont \u00e9valu\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>\u00c9valuations des risques<\/td><\/tr><tr><td>Les changements de sous-traitants sont surveill\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Notifications de changements<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Impl\u00e9mentation ing\u00e9nieur<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L&rsquo;auditeur v\u00e9rifie<\/th><th>L&rsquo;ing\u00e9nieur impl\u00e9mente<\/th><\/tr><\/thead><tbody><tr><td>Visibilit\u00e9 sur les sous-traitants<\/td><td>Documentation des d\u00e9pendances SaaS<\/td><\/tr><tr><td>Connaissance des flux de donn\u00e9es<\/td><td>Diagrammes d&rsquo;architecture montrant les chemins tiers<\/td><\/tr><tr><td>Connaissance des risques<\/td><td>\u00c9valuation des risques r\u00e9f\u00e9ren\u00e7ant les d\u00e9pendances r\u00e9elles<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>Lacune courante :<\/strong> Sous-traitants \u00ab cach\u00e9s \u00bb au sein des plateformes CI\/CD.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">9. Strat\u00e9gie de sortie &amp; r\u00e9silience<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>Des strat\u00e9gies de sortie existent pour les fournisseurs critiques<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Plans de sortie<\/td><\/tr><tr><td>Les strat\u00e9gies de sortie sont document\u00e9es<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Documentation<\/td><\/tr><tr><td>La faisabilit\u00e9 de sortie a \u00e9t\u00e9 \u00e9valu\u00e9e<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Rapports d&rsquo;\u00e9valuation<\/td><\/tr><tr><td>Des tests de sortie ou de repli ont \u00e9t\u00e9 effectu\u00e9s<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Rapports de tests<\/td><\/tr><tr><td>Les strat\u00e9gies de sortie sont revues p\u00e9riodiquement<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Enregistrements de revue<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Impl\u00e9mentation ing\u00e9nieur<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L&rsquo;auditeur v\u00e9rifie<\/th><th>L&rsquo;ing\u00e9nieur impl\u00e9mente<\/th><\/tr><\/thead><tbody><tr><td>Strat\u00e9gie de sortie document\u00e9e<\/td><td>Outillage alternatif identifi\u00e9<\/td><\/tr><tr><td>Faisabilit\u00e9 de sortie<\/td><td>Portabilit\u00e9 des artefacts, reproductibilit\u00e9 IaC<\/td><\/tr><tr><td>Preuves de tests de sortie<\/td><td>Tests PRA \/ sortie ex\u00e9cut\u00e9s et journalis\u00e9s<\/td><\/tr><tr><td>Pas de d\u00e9pendance mono-fournisseur<\/td><td>Couplage r\u00e9duit aux fonctionnalit\u00e9s sp\u00e9cifiques SaaS<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>Lacune courante :<\/strong> Le plan de sortie n&rsquo;existe que sous forme de document.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">10. Gestion &amp; r\u00e9tention des preuves<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Checklist d&rsquo;audit<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>Contr\u00f4le<\/th><th class=\"has-text-align-center\" data-align=\"center\">Oui<\/th><th class=\"has-text-align-center\" data-align=\"center\">Non<\/th><th>Preuve<\/th><\/tr><\/thead><tbody><tr><td>Les preuves sont stock\u00e9es de mani\u00e8re centralis\u00e9e<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>R\u00e9f\u00e9rentiel de preuves<\/td><\/tr><tr><td>Les preuves sont horodat\u00e9es et immuables<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Configuration des journaux<\/td><\/tr><tr><td>La r\u00e9tention des preuves r\u00e9pond aux besoins r\u00e9glementaires<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Politiques de r\u00e9tention<\/td><\/tr><tr><td>L&rsquo;acc\u00e8s aux preuves est contr\u00f4l\u00e9<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Journaux d&rsquo;acc\u00e8s<\/td><\/tr><tr><td>Les preuves peuvent \u00eatre produites sur demande<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td class=\"has-text-align-center\" data-align=\"center\">\u2610<\/td><td>Extraits d&rsquo;audit<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\">Impl\u00e9mentation ing\u00e9nieur<\/h3>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>L&rsquo;auditeur v\u00e9rifie<\/th><th>L&rsquo;ing\u00e9nieur impl\u00e9mente<\/th><\/tr><\/thead><tbody><tr><td>Les preuves sont objectives<\/td><td>Journaux, approbations, SBOM g\u00e9n\u00e9r\u00e9s automatiquement<\/td><\/tr><tr><td>Les preuves sont horodat\u00e9es<\/td><td>Enregistrements horodat\u00e9s et immuables<\/td><\/tr><tr><td>Les preuves sont accessibles<\/td><td>Stockage centralis\u00e9, acc\u00e8s contr\u00f4l\u00e9<\/td><\/tr><tr><td>Les preuves sont coh\u00e9rentes<\/td><td>M\u00eames contr\u00f4les dans tous les environnements<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p><strong>Lacune courante :<\/strong> Les preuves sont collect\u00e9es manuellement \u00ab juste avant l&rsquo;audit \u00bb.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusion de l&rsquo;auditeur<\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th>\u00c9valuation<\/th><th>R\u00e9sultat<\/th><\/tr><\/thead><tbody><tr><td>Conformit\u00e9 globale Article 28<\/td><td>\u2610 Conforme \u2610 Partiellement conforme \u2610 Non conforme<\/td><\/tr><tr><td>Constats majeurs identifi\u00e9s<\/td><td>\u2610 Oui \u2610 Non<\/td><\/tr><tr><td>Plan de rem\u00e9diation requis<\/td><td>\u2610 Oui \u2610 Non<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">Principes cl\u00e9s<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">R\u00e9alit\u00e9 de l&rsquo;auditeur<\/h3>\n\n\n\n<p>Les auditeurs ne valident pas les intentions, les explications ou les slides d&rsquo;architecture seuls. Ils valident : les contr\u00f4les en fonctionnement, les preuves produites par les syst\u00e8mes et la coh\u00e9rence dans le temps.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>Sous DORA Article 28, <strong>l&rsquo;absence de preuve est une preuve d&rsquo;absence<\/strong>. Les contr\u00f4les doivent \u00eatre op\u00e9rationnels, reproductibles et prouvables.<\/p>\n<\/blockquote>\n\n\n\n<h3 class=\"wp-block-heading\">R\u00e9alit\u00e9 de l&rsquo;ing\u00e9nieur<\/h3>\n\n\n\n<p>Les ing\u00e9nieurs r\u00e9ussissent lorsque : la conformit\u00e9 est int\u00e9gr\u00e9e dans le CI\/CD, les contr\u00f4les g\u00e9n\u00e8rent des preuves en continu, et les audits deviennent une v\u00e9rification \u2014 pas une reconstruction.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Contenu connexe recommand\u00e9<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-28-evidence-pack\/\" data-type=\"post\" data-id=\"366\">DORA Article 28 \u2014 Pack de preuves (Vues auditeur &amp; ing\u00e9nieur)<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-28-controls-evidence-mapping\/\" data-type=\"post\" data-id=\"994\">DORA Article 28 \u2014 Mapping des contr\u00f4les &amp; preuves<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-28-architecture\/\" data-type=\"post\" data-id=\"364\">Architecture DORA Article 28 : Contr\u00f4les de risques tiers dans les pipelines CI\/CD<\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/continuous-compliance-via-ci-cd\/\" data-type=\"post\" data-id=\"987\">Conformit\u00e9 continue via les pipelines CI\/CD<\/a><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"fr\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexte \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenu con\u00e7u pour les environnements r\u00e9glement\u00e9s : contr\u00f4les avant outils, enforcement par politiques dans le CI\/CD, et evidence-by-design pour l\u2019audit.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Focus sur la tra\u00e7abilit\u00e9, les approbations, la gouvernance des exceptions et la r\u00e9tention des preuves de bout en bout.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/fr\/fr\/about\/\">Voir la m\u00e9thodologie sur la page About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>Introduction Cette checklist est con\u00e7ue pour les revues d&rsquo;audit formelles de la gestion des risques ICT tiers sous DORA Article 28. Elle s&rsquo;adresse simultan\u00e9ment \u00e0 deux audiences : Chaque section couvre un domaine sp\u00e9cifique de l&rsquo;Article 28 avec : la checklist d&rsquo;audit formelle (Oui \/ Non \/ Preuve), les attentes d&rsquo;impl\u00e9mentation correspondantes pour les ing\u00e9nieurs, &#8230; <a title=\"DORA Article 28 \u2014 Checklist d&rsquo;audit (Perspectives ing\u00e9nieur &amp; auditeur)\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-28-auditor-checklist\/\" aria-label=\"En savoir plus sur DORA Article 28 \u2014 Checklist d&rsquo;audit (Perspectives ing\u00e9nieur &amp; auditeur)\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[126,122],"tags":[],"post_folder":[],"class_list":["post-1345","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks","category-audit-evidence"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1345","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1345"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1345\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1345"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1345"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1345"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1345"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}