{"id":1351,"date":"2026-03-25T16:58:09","date_gmt":"2026-03-25T15:58:09","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/iso-27001-annex-a-controls-mapped-to-ci-cd-pipelines-2\/"},"modified":"2026-03-26T00:18:34","modified_gmt":"2026-03-25T23:18:34","slug":"iso-27001-annex-a-controls-mapped-to-ci-cd-pipelines","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/iso-27001-annex-a-controls-mapped-to-ci-cd-pipelines\/","title":{"rendered":"Contr\u00f4les ISO 27001 Annexe A appliqu\u00e9s aux pipelines CI\/CD"},"content":{"rendered":"

Pourquoi les pipelines CI\/CD rel\u00e8vent du p\u00e9rim\u00e8tre SMSI ISO 27001<\/h2>\n

Les pipelines d’int\u00e9gration et de livraison continues (CI\/CD) ne sont pas de simples outils d’ing\u00e9nierie \u2014 ce sont des installations de traitement de l’information<\/strong> qui manipulent du code source, des identifiants, des cl\u00e9s cryptographiques et des autorisations de d\u00e9ploiement en production. Selon ISO 27001, tout syst\u00e8me qui traite, stocke ou transmet des actifs informationnels doit relever du p\u00e9rim\u00e8tre de votre Syst\u00e8me de Management de la S\u00e9curit\u00e9 de l’Information (SMSI).<\/p>\n

Pour les auditeurs et les responsables conformit\u00e9, la question essentielle n’est pas de savoir si<\/em> les pipelines CI\/CD sont dans le p\u00e9rim\u00e8tre, mais si l’organisation les a identifi\u00e9s comme des actifs informationnels<\/strong>, a \u00e9valu\u00e9 les risques associ\u00e9s et a appliqu\u00e9 les contr\u00f4les appropri\u00e9s de l’Annexe A. Ne pas inclure l’infrastructure CI\/CD dans le p\u00e9rim\u00e8tre du SMSI constitue en soi une non-conformit\u00e9.<\/p>\n

Cet article fournit un mapping complet des contr\u00f4les de l’Annexe A vers les environnements de pipelines CI\/CD, avec des orientations sp\u00e9cifiques sur les preuves attendues par les auditeurs et les lacunes fr\u00e9quemment constat\u00e9es.<\/p>\n

Mapping complet de l’Annexe A vers CI\/CD<\/h2>\n

Le tableau suivant associe chaque domaine de contr\u00f4le pertinent de l’Annexe A \u00e0 sa pertinence pour les pipelines CI\/CD, avec les attentes sp\u00e9cifiques en mati\u00e8re de preuves pour les auditeurs de certification.<\/p>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Contr\u00f4le Annexe A<\/th>\nObjectif du contr\u00f4le<\/th>\nPertinence CI\/CD<\/th>\nPreuves pour les auditeurs<\/th>\n<\/tr>\n<\/thead>\n
A.5 \u2014 Politiques de s\u00e9curit\u00e9 de l’information<\/strong><\/td>\nOrientation de la direction pour la s\u00e9curit\u00e9 de l’information<\/td>\nLes pipelines CI\/CD doivent \u00eatre r\u00e9gis par des politiques de s\u00e9curit\u00e9 document\u00e9es couvrant les processus automatis\u00e9s de build, de test et de d\u00e9ploiement<\/td>\nPolitique de s\u00e9curit\u00e9 CI\/CD approuv\u00e9e ; registres de revue de politique ; validation par la direction ; preuves de communication de la politique aux administrateurs de pipelines<\/td>\n<\/tr>\n
A.6 \u2014 Organisation de la s\u00e9curit\u00e9 de l’information<\/strong><\/td>\nOrganisation interne et t\u00e9l\u00e9travail<\/td>\nLes r\u00f4les et responsabilit\u00e9s pour la s\u00e9curit\u00e9 des pipelines doivent \u00eatre d\u00e9finis \u2014 qui g\u00e8re la configuration des pipelines, qui approuve les r\u00e8gles de d\u00e9ploiement, s\u00e9paration des fonctions entre d\u00e9veloppement et mise en production<\/td>\nMatrice RACI pour les op\u00e9rations CI\/CD ; fiches de poste mentionnant les responsabilit\u00e9s pipeline ; preuves de s\u00e9paration entre la configuration des pipelines et la r\u00e9daction du code<\/td>\n<\/tr>\n
A.8 \u2014 Gestion des actifs<\/strong><\/td>\nResponsabilit\u00e9 des actifs, classification de l’information, manipulation des supports<\/td>\nLes composants des pipelines (serveurs de build, d\u00e9p\u00f4ts d’artefacts, coffres-forts de secrets) sont des actifs informationnels qui doivent \u00eatre inventori\u00e9s et classifi\u00e9s<\/td>\nRegistre des actifs incluant l’infrastructure CI\/CD ; labels de classification appliqu\u00e9s aux artefacts de pipeline ; proc\u00e9dures de manipulation des donn\u00e9es pour les sorties de build<\/td>\n<\/tr>\n
A.9 \u2014 Contr\u00f4le d’acc\u00e8s<\/strong> \u2605<\/td>\nExigences m\u00e9tier, gestion des acc\u00e8s utilisateurs, acc\u00e8s aux syst\u00e8mes et applications<\/td>\nL’acc\u00e8s aux pipelines est un point de contr\u00f4le critique \u2014 qui peut modifier les d\u00e9finitions de pipeline, d\u00e9clencher des d\u00e9ploiements, acc\u00e9der aux secrets ou contourner les portes qualit\u00e9<\/td>\nPolitique de contr\u00f4le d’acc\u00e8s couvrant CI\/CD ; revues d’acc\u00e8s utilisateurs pour les plateformes de pipeline ; preuves du moindre privil\u00e8ge ; registres d’application du MFA ; journaux d’acc\u00e8s privil\u00e9gi\u00e9 pour l’administration des pipelines<\/td>\n<\/tr>\n
A.10 \u2014 Cryptographie<\/strong><\/td>\nContr\u00f4les cryptographiques et gestion des cl\u00e9s<\/td>\nLes pipelines manipulent des cl\u00e9s de signature, des certificats TLS, le chiffrement des secrets au repos et en transit, la signature des artefacts<\/td>\nProc\u00e9dures de gestion des cl\u00e9s pour les secrets de pipeline ; normes de chiffrement pour le stockage des secrets ; registres de gestion des certificats ; proc\u00e9dures de v\u00e9rification de signature des artefacts<\/td>\n<\/tr>\n
A.12 \u2014 S\u00e9curit\u00e9 des op\u00e9rations<\/strong> \u2605<\/td>\nProc\u00e9dures op\u00e9rationnelles, protection contre les logiciels malveillants, sauvegarde, journalisation, gestion des vuln\u00e9rabilit\u00e9s<\/td>\nLes op\u00e9rations de pipeline n\u00e9cessitent une gestion des changements, une planification de capacit\u00e9, une s\u00e9paration des environnements, une journalisation compl\u00e8te et une analyse des vuln\u00e9rabilit\u00e9s de l’infrastructure de pipeline elle-m\u00eame<\/td>\nRegistres de gestion des changements pour la configuration des pipelines ; preuves de s\u00e9paration entre les pipelines build\/staging\/production ; journaux d’ex\u00e9cution de pipeline avec r\u00e9tention ; r\u00e9sultats d’analyse de vuln\u00e9rabilit\u00e9s pour la plateforme CI\/CD ; proc\u00e9dures de sauvegarde des d\u00e9finitions de pipeline<\/td>\n<\/tr>\n
A.14 \u2014 Acquisition, d\u00e9veloppement et maintenance des syst\u00e8mes<\/strong> \u2605<\/td>\nExigences de s\u00e9curit\u00e9, d\u00e9veloppement s\u00e9curis\u00e9, donn\u00e9es de test<\/td>\nLe domaine de contr\u00f4le le plus directement pertinent \u2014 couvre le cycle de d\u00e9veloppement s\u00e9curis\u00e9, les proc\u00e9dures de contr\u00f4le des changements, l’int\u00e9gration des tests de s\u00e9curit\u00e9 et les crit\u00e8res d’acceptation appliqu\u00e9s par les pipelines<\/td>\nPolitique de d\u00e9veloppement s\u00e9curis\u00e9 ; preuves de contr\u00f4le des changements appliqu\u00e9 par le pipeline ; r\u00e9sultats des tests de s\u00e9curit\u00e9 automatis\u00e9s ; configurations des portes d’acceptation ; registres de revue de code li\u00e9s aux d\u00e9clencheurs de pipeline<\/td>\n<\/tr>\n
A.15 \u2014 Relations avec les fournisseurs<\/strong> \u2605<\/td>\nS\u00e9curit\u00e9 de l’information dans les relations fournisseurs, gestion de la prestation de services<\/td>\nLes pipelines CI\/CD d\u00e9pendent fortement de composants tiers \u2014 plugins, images de base, registres de paquets, services CI h\u00e9berg\u00e9s dans le cloud et d\u00e9pendances open-source<\/td>\nRegistre des fournisseurs incluant les prestataires de services CI\/CD ; \u00e9valuations des risques tiers pour les outils de pipeline ; SLA pour les services CI\/CD h\u00e9berg\u00e9s ; registres de provenance des d\u00e9pendances ; politiques de s\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement<\/td>\n<\/tr>\n
A.16 \u2014 Gestion des incidents de s\u00e9curit\u00e9 de l’information<\/strong><\/td>\nGestion des incidents et am\u00e9liorations<\/td>\nLes compromissions de pipeline (fuites de secrets, attaques de la cha\u00eene d’approvisionnement, d\u00e9ploiements non autoris\u00e9s) doivent \u00eatre couvertes par les proc\u00e9dures de gestion des incidents<\/td>\nProc\u00e9dures de r\u00e9ponse aux incidents couvrant les sc\u00e9narios CI\/CD ; preuves d’exercices d’incidents sp\u00e9cifiques aux pipelines ; registres de revue post-incident ; chemins d’escalade pour les \u00e9v\u00e9nements de s\u00e9curit\u00e9 des pipelines<\/td>\n<\/tr>\n
A.18 \u2014 Conformit\u00e9<\/strong><\/td>\nConformit\u00e9 aux exigences l\u00e9gales\/contractuelles, revues de s\u00e9curit\u00e9 de l’information<\/td>\nLes configurations de pipeline et les registres de d\u00e9ploiement servent de preuves de conformit\u00e9 ; les pipelines eux-m\u00eames doivent se conformer aux exigences r\u00e9glementaires<\/td>\nRegistre des exigences de conformit\u00e9 r\u00e9f\u00e9ren\u00e7ant CI\/CD ; piste d’audit des configurations de pipeline ; preuves de revues de conformit\u00e9 r\u00e9guli\u00e8res des op\u00e9rations de pipeline ; registres d’\u00e9valuations d’impact des changements r\u00e9glementaires sur les pipelines<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

\u2605 D\u00e9signe les domaines de contr\u00f4le les plus critiques pour les environnements CI\/CD.<\/p>\n

Contr\u00f4les critiques pour CI\/CD : A.9, A.12, A.14, A.15<\/h2>\n

A.9 \u2014 Contr\u00f4le d’acc\u00e8s<\/h3>\n

Le contr\u00f4le d’acc\u00e8s dans les environnements CI\/CD pr\u00e9sente des d\u00e9fis uniques sur lesquels les auditeurs se concentrent intens\u00e9ment. Les pipelines n\u00e9cessitent souvent un acc\u00e8s \u00e9tendu pour d\u00e9ployer dans diff\u00e9rents environnements, cr\u00e9ant une tension entre le besoin op\u00e9rationnel et le moindre privil\u00e8ge. Les points cl\u00e9s d’examen incluent :<\/p>\n