{"id":1358,"date":"2026-02-14T20:12:39","date_gmt":"2026-02-14T19:12:39","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/dora-article-28-exit-strategy-testing-dr-bcp-2\/"},"modified":"2026-03-26T00:19:38","modified_gmt":"2026-03-25T23:19:38","slug":"dora-article-28-exit-strategy-testing-dr-bcp","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-28-exit-strategy-testing-dr-bcp\/","title":{"rendered":"DORA Article 28 \u2014 Tests de strat\u00e9gie de sortie (DR &amp; BCP)"},"content":{"rendered":"\n<p><em>R\u00e9silience op\u00e9rationnelle, d\u00e9pendance aux tiers et d\u00e9sengagement contr\u00f4l\u00e9<\/em><\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Introduction<\/strong><\/h2>\n\n\n\n<p>DORA Article 28 exige des entit\u00e9s financi\u00e8res qu&rsquo;elles g\u00e8rent les risques d\u00e9coulant des prestataires de services ICT tiers, y compris les plateformes cloud, les fournisseurs CI\/CD SaaS, les registres d&rsquo;artefacts et autres services num\u00e9riques critiques.<\/p>\n\n\n\n<p>Une exigence centrale \u2014 et souvent sous-estim\u00e9e \u2014 est la <strong>capacit\u00e9 \u00e0 quitter un arrangement avec un tiers sans perturber les op\u00e9rations critiques<\/strong>.<\/p>\n\n\n\n<p>La strat\u00e9gie de sortie n&rsquo;est pas seulement une clause contractuelle.<\/p>\n\n\n\n<p>C&rsquo;est une <strong>capacit\u00e9 op\u00e9rationnelle test\u00e9e<\/strong> int\u00e9gr\u00e9e dans l&rsquo;architecture, la gouvernance et la planification de reprise apr\u00e8s sinistre.<\/p>\n\n\n\n<p>Cet article explique :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ce que DORA Article 28 attend en mati\u00e8re de strat\u00e9gies de sortie<\/li>\n\n\n\n<li>Comment la capacit\u00e9 de sortie se connecte au DR (Disaster Recovery) et au BCP (Business Continuity Planning)<\/li>\n\n\n\n<li>Comment tester la pr\u00e9paration \u00e0 la sortie dans les environnements d\u00e9pendants du CI\/CD et du cloud<\/li>\n\n\n\n<li>Ce que les auditeurs et r\u00e9gulateurs \u00e9valueront<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>1. Pourquoi la strat\u00e9gie de sortie est une exigence DORA fondamentale<\/strong><\/h2>\n\n\n\n<p>Sous DORA, les entit\u00e9s financi\u00e8res doivent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00c9viter un risque de concentration excessif<\/li>\n\n\n\n<li>Assurer la continuit\u00e9 des fonctions critiques<\/li>\n\n\n\n<li>Maintenir la capacit\u00e9 de r\u00e9silier les contrats ICT en toute s\u00e9curit\u00e9<\/li>\n\n\n\n<li>Emp\u00eacher le verrouillage fournisseur de compromettre la r\u00e9silience<\/li>\n<\/ul>\n\n\n\n<p>Une strat\u00e9gie de sortie garantit que :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La d\u00e9faillance d&rsquo;un prestataire ne paralyse pas la livraison<\/li>\n\n\n\n<li>La r\u00e9siliation d&rsquo;un contrat ne casse pas les op\u00e9rations<\/li>\n\n\n\n<li>Un incident cyber chez un fournisseur ne se propage pas en perturbation syst\u00e9mique<\/li>\n<\/ul>\n\n\n\n<p>La pr\u00e9paration \u00e0 la sortie est donc un <strong>contr\u00f4le de r\u00e9silience<\/strong>, pas seulement une clause d&rsquo;approvisionnement.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>2. Strat\u00e9gie de sortie vs Disaster Recovery vs Business Continuity<\/strong><\/h2>\n\n\n\n<p>Ces concepts sont li\u00e9s mais distincts :<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Strat\u00e9gie de sortie<\/strong><\/h3>\n\n\n\n<p>D\u00e9sengagement contr\u00f4l\u00e9 d&rsquo;un prestataire tiers et transition vers une solution alternative.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Disaster Recovery (DR)<\/strong><\/h3>\n\n\n\n<p>Restauration des syst\u00e8mes et services apr\u00e8s une perturbation.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Business Continuity Planning (BCP)<\/strong><\/h3>\n\n\n\n<p>Maintien des fonctions m\u00e9tier critiques pendant et apr\u00e8s les perturbations.<\/p>\n\n\n\n<p>Sous DORA Article 28, la strat\u00e9gie de sortie croise le DR et le BCP lorsque :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Un fournisseur cloud devient indisponible<\/li>\n\n\n\n<li>Une plateforme CI\/CD SaaS est compromise<\/li>\n\n\n\n<li>Un prestataire ICT critique fait d\u00e9faut ou est sanctionn\u00e9<\/li>\n\n\n\n<li>La r\u00e9siliation d&rsquo;un contrat n\u00e9cessite une migration<\/li>\n<\/ul>\n\n\n\n<p>La capacit\u00e9 de sortie doit donc \u00eatre techniquement align\u00e9e avec les m\u00e9canismes DR et BCP.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>3. Risque de sortie dans les architectures CI\/CD et cloud<\/strong><\/h2>\n\n\n\n<p>Les institutions financi\u00e8res modernes s&rsquo;appuient sur :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L&rsquo;h\u00e9bergement Git SaaS (GitHub, GitLab, Bitbucket)<\/li>\n\n\n\n<li>Les plateformes CI\/CD<\/li>\n\n\n\n<li>Les registres d&rsquo;artefacts<\/li>\n\n\n\n<li>Le cloud IaaS\/PaaS<\/li>\n\n\n\n<li>Les outils de s\u00e9curit\u00e9 SaaS<\/li>\n\n\n\n<li>Les proxies de d\u00e9pendances<\/li>\n<\/ul>\n\n\n\n<p>Chacun repr\u00e9sente un point de d\u00e9faillance unique potentiel.<\/p>\n\n\n\n<p>Les sc\u00e9narios de risque de sortie incluent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Perte d&rsquo;acc\u00e8s au plan de contr\u00f4le CI\/CD<\/li>\n\n\n\n<li>Impossibilit\u00e9 de r\u00e9cup\u00e9rer les configurations de pipeline<\/li>\n\n\n\n<li>D\u00e9pendance \u00e0 des formats d&rsquo;artefacts propri\u00e9taires<\/li>\n\n\n\n<li>Automatisation d&rsquo;infrastructure verrouill\u00e9e<\/li>\n\n\n\n<li>Perte des journaux d&rsquo;audit h\u00e9berg\u00e9s par le fournisseur<\/li>\n<\/ul>\n\n\n\n<p>La strat\u00e9gie de sortie doit donc \u00eatre int\u00e9gr\u00e9e dans :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La conception architecturale<\/li>\n\n\n\n<li>La portabilit\u00e9 des donn\u00e9es<\/li>\n\n\n\n<li>L&rsquo;export de configuration<\/li>\n\n\n\n<li>Les m\u00e9canismes de sauvegarde<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>4. Composants essentiels d&rsquo;une strat\u00e9gie de sortie conforme DORA<\/strong><\/h2>\n\n\n\n<p>Une strat\u00e9gie de sortie robuste comprend :<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>4.1 Cartographie des actifs et des d\u00e9pendances<\/strong><\/h3>\n\n\n\n<p>Les organisations doivent identifier :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Quelles fonctions critiques d\u00e9pendent de quels prestataires ICT<\/li>\n\n\n\n<li>Les donn\u00e9es h\u00e9berg\u00e9es en externe<\/li>\n\n\n\n<li>La propri\u00e9t\u00e9 des configurations<\/li>\n\n\n\n<li>Les points d&rsquo;int\u00e9gration<\/li>\n<\/ul>\n\n\n\n<p>Sans cette cartographie, les tests de sortie sont impossibles.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>4.2 Portabilit\u00e9 et export des donn\u00e9es<\/strong><\/h3>\n\n\n\n<p>Les questions critiques incluent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les d\u00e9p\u00f4ts peuvent-ils \u00eatre export\u00e9s dans des formats standards ?<\/li>\n\n\n\n<li>Les configurations CI\/CD peuvent-elles \u00eatre r\u00e9cup\u00e9r\u00e9es ?<\/li>\n\n\n\n<li>Les historiques d&rsquo;artefacts sont-ils portables ?<\/li>\n\n\n\n<li>Les journaux peuvent-ils \u00eatre export\u00e9s pour la conservation r\u00e9glementaire ?<\/li>\n<\/ul>\n\n\n\n<p>Si les journaux et l&rsquo;historique des pipelines ne peuvent pas \u00eatre export\u00e9s, les preuves r\u00e9glementaires peuvent \u00eatre perdues lors de la sortie.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>4.3 Pr\u00e9paration de la solution alternative<\/strong><\/h3>\n\n\n\n<p>La sortie n\u00e9cessite plus qu&rsquo;une r\u00e9siliation.<\/p>\n\n\n\n<p>Les organisations doivent \u00e9valuer :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Un prestataire alternatif est-il pr\u00e9-\u00e9valu\u00e9 ?<\/li>\n\n\n\n<li>Les pipelines peuvent-ils \u00eatre red\u00e9ploy\u00e9s ailleurs ?<\/li>\n\n\n\n<li>Les templates Infrastructure-as-Code sont-ils cloud-agnostiques ?<\/li>\n\n\n\n<li>Les d\u00e9pendances sont-elles conteneuris\u00e9es ou portables ?<\/li>\n<\/ul>\n\n\n\n<p>Le verrouillage fournisseur est un risque de r\u00e9silience sous DORA.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>4.4 Clauses contractuelles<\/strong><\/h3>\n\n\n\n<p>Les contrats doivent inclure :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des clauses d&rsquo;assistance \u00e0 la sortie<\/li>\n\n\n\n<li>Des d\u00e9lais de support \u00e0 la transition<\/li>\n\n\n\n<li>Des exigences de transfert de donn\u00e9es<\/li>\n\n\n\n<li>Des garanties de conservation<\/li>\n\n\n\n<li>La transparence sur les sous-traitants<\/li>\n<\/ul>\n\n\n\n<p>Les auditeurs v\u00e9rifieront si ces clauses sont applicables et align\u00e9es avec les plans op\u00e9rationnels.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>5. Tests de strat\u00e9gie de sortie en pratique<\/strong><\/h2>\n\n\n\n<p>DORA attend que les strat\u00e9gies de sortie soient <strong>test\u00e9es<\/strong>, pas suppos\u00e9es.<\/p>\n\n\n\n<p>Les approches de test peuvent inclure :<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>5.1 Exercices sur table<\/strong><\/h3>\n\n\n\n<p>Ateliers bas\u00e9s sur des sc\u00e9narios testant :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Panne du fournisseur cloud<\/li>\n\n\n\n<li>Compromission du CI\/CD SaaS<\/li>\n\n\n\n<li>Insolvabilit\u00e9 du fournisseur<\/li>\n\n\n\n<li>Sanctions affectant le prestataire<\/li>\n<\/ul>\n\n\n\n<p>L&rsquo;objectif est de valider les processus de d\u00e9cision et les d\u00e9lais.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>5.2 Simulation de migration technique<\/strong><\/h3>\n\n\n\n<p>Tests contr\u00f4l\u00e9s tels que :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Export des d\u00e9p\u00f4ts et r\u00e9h\u00e9bergement<\/li>\n\n\n\n<li>Reconstruction des pipelines dans un environnement secondaire<\/li>\n\n\n\n<li>Restauration des artefacts depuis des sauvegardes ind\u00e9pendantes<\/li>\n\n\n\n<li>D\u00e9ploiement des applications depuis un registre alternatif<\/li>\n<\/ul>\n\n\n\n<p>Ces tests r\u00e9v\u00e8lent les d\u00e9pendances cach\u00e9es.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>5.3 Tests combin\u00e9s DR + sortie<\/strong><\/h3>\n\n\n\n<p>Une approche mature int\u00e8gre la strat\u00e9gie de sortie dans les tests DR :<\/p>\n\n\n\n<p>Exemple de sc\u00e9nario :<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p>\u00ab Le CI\/CD SaaS principal devient indisponible pendant 72 heures. \u00bb<\/p>\n<\/blockquote>\n\n\n\n<p>\u00c9l\u00e9ments de test :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les d\u00e9ploiements peuvent-ils continuer ?<\/li>\n\n\n\n<li>Les correctifs d&rsquo;urgence peuvent-ils \u00eatre livr\u00e9s ?<\/li>\n\n\n\n<li>Les templates de pipeline sont-ils portables ?<\/li>\n\n\n\n<li>Les preuves d&rsquo;audit sont-elles pr\u00e9serv\u00e9es ?<\/li>\n<\/ul>\n\n\n\n<p>Cela fait passer la strat\u00e9gie de sortie du th\u00e9orique \u00e0 l&rsquo;op\u00e9rationnel.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>6. Preuves des tests de strat\u00e9gie de sortie<\/strong><\/h2>\n\n\n\n<p>Du point de vue de l&rsquo;audit, les organisations doivent produire :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La documentation de la strat\u00e9gie de sortie<\/li>\n\n\n\n<li>La classification des risques fournisseur<\/li>\n\n\n\n<li>Les enregistrements de cartographie des d\u00e9pendances<\/li>\n\n\n\n<li>Les rapports de tests (sur table et techniques)<\/li>\n\n\n\n<li>Les lacunes identifi\u00e9es et les plans de rem\u00e9diation<\/li>\n\n\n\n<li>L&rsquo;approbation de la direction sur la pr\u00e9paration \u00e0 la sortie<\/li>\n<\/ul>\n\n\n\n<p>Les preuves doivent montrer :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les tests ont \u00e9t\u00e9 r\u00e9alis\u00e9s<\/li>\n\n\n\n<li>Les faiblesses ont \u00e9t\u00e9 identifi\u00e9es<\/li>\n\n\n\n<li>Les am\u00e9liorations ont \u00e9t\u00e9 impl\u00e9ment\u00e9es<\/li>\n<\/ul>\n\n\n\n<p>Les tests sans r\u00e9sultats document\u00e9s ne sont pas consid\u00e9r\u00e9s comme suffisants.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>7. Ce que les auditeurs \u00e9valueront<\/strong><\/h2>\n\n\n\n<p>Les auditeurs v\u00e9rifient g\u00e9n\u00e9ralement :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si les prestataires ICT critiques sont identifi\u00e9s<\/li>\n\n\n\n<li>Si des strat\u00e9gies de sortie sont d\u00e9finies par prestataire critique<\/li>\n\n\n\n<li>Si les plans de sortie sont r\u00e9alistes et techniquement faisables<\/li>\n\n\n\n<li>Si les tests sont p\u00e9riodiques et document\u00e9s<\/li>\n\n\n\n<li>Si la portabilit\u00e9 des donn\u00e9es est valid\u00e9e<\/li>\n\n\n\n<li>Si le BCP int\u00e8gre les sc\u00e9narios de d\u00e9faillance des tiers<\/li>\n<\/ul>\n\n\n\n<p>Les constats d&rsquo;audit courants incluent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plans de sortie limit\u00e9s aux clauses contractuelles<\/li>\n\n\n\n<li>Aucune validation technique<\/li>\n\n\n\n<li>Aucun prestataire alternatif identifi\u00e9<\/li>\n\n\n\n<li>Absence de capacit\u00e9 d&rsquo;export CI\/CD<\/li>\n\n\n\n<li>Conservation des journaux manquante pendant la transition fournisseur<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>8. Sch\u00e9mas de d\u00e9faillance courants<\/strong><\/h2>\n\n\n\n<p>Les organisations \u00e9chouent souvent parce que :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les pipelines CI\/CD sont enti\u00e8rement g\u00e9r\u00e9s par le fournisseur sans processus d&rsquo;export<\/li>\n\n\n\n<li>Les registres d&rsquo;artefacts sont propri\u00e9taires sans sauvegarde<\/li>\n\n\n\n<li>L&rsquo;automatisation d&rsquo;infrastructure d\u00e9pend d&rsquo;API sp\u00e9cifiques au fournisseur<\/li>\n\n\n\n<li>Les sc\u00e9narios de sortie ne sont jamais r\u00e9p\u00e9t\u00e9s<\/li>\n\n\n\n<li>Les responsabilit\u00e9s pendant la sortie sont floues<\/li>\n<\/ul>\n\n\n\n<p>La strat\u00e9gie de sortie \u00e9choue lorsque l&rsquo;architecture n&rsquo;a pas \u00e9t\u00e9 con\u00e7ue avec la portabilit\u00e9 en t\u00eate.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>9. Concevoir le CI\/CD pour la pr\u00e9paration \u00e0 la sortie<\/strong><\/h2>\n\n\n\n<p>Pour s&rsquo;aligner avec DORA Article 28, les architectures CI\/CD devraient :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Utiliser l&rsquo;Infrastructure-as-Code<\/li>\n\n\n\n<li>Stocker les configurations de pipeline dans le contr\u00f4le de version<\/li>\n\n\n\n<li>Maintenir des sauvegardes ind\u00e9pendantes<\/li>\n\n\n\n<li>\u00c9viter les d\u00e9pendances cod\u00e9es en dur au fournisseur<\/li>\n\n\n\n<li>Supporter les builds reproductibles<\/li>\n\n\n\n<li>Pr\u00e9server les preuves de conformit\u00e9 en dehors des syst\u00e8mes contr\u00f4l\u00e9s par le fournisseur<\/li>\n<\/ul>\n\n\n\n<p>La pr\u00e9paration \u00e0 la sortie devrait \u00eatre un principe architectural, pas une r\u00e9flexion de r\u00e9cup\u00e9ration apr\u00e8s coup.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusion<\/strong><\/h2>\n\n\n\n<p>Sous DORA Article 28, la strat\u00e9gie de sortie est un contr\u00f4le de r\u00e9silience li\u00e9 \u00e0 :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La gestion des risques tiers<\/li>\n\n\n\n<li>La continuit\u00e9 op\u00e9rationnelle<\/li>\n\n\n\n<li>La responsabilit\u00e9 r\u00e9glementaire<\/li>\n<\/ul>\n\n\n\n<p>Il ne suffit pas d&rsquo;affirmer que la sortie est possible.<\/p>\n\n\n\n<p>Les organisations doivent prouver que :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>La sortie est techniquement faisable<\/li>\n\n\n\n<li>Les d\u00e9pendances sont comprises<\/li>\n\n\n\n<li>Des chemins alternatifs existent<\/li>\n\n\n\n<li>Des tests ont \u00e9t\u00e9 r\u00e9alis\u00e9s<\/li>\n\n\n\n<li>Les preuves sont conserv\u00e9es<\/li>\n<\/ul>\n\n\n\n<p>Dans les environnements r\u00e9glement\u00e9s, la r\u00e9silience inclut la capacit\u00e9 de partir.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Articles connexes<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-architecture-third-party-risk-controls-across-ci-cd-pipelines\/\" data-type=\"post\" data-id=\"364\"><strong>DORA Article 28 \u2014 Architecture<\/strong><\/a><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-auditor-checklist-yes-no-evidence\/\" data-type=\"post\" data-id=\"353\"><strong>DORA Article 28 \u2014 Checklist auditeur<\/strong><\/a><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-evidence-pack-what-to-show-auditors\/\" data-type=\"post\" data-id=\"347\">DORA Article 28 \u2014 Pack de preuves<\/a><\/strong><\/li>\n\n\n\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/compliance\/dora-article-28-mapping-controls-to-evidence\/\" data-type=\"post\" data-id=\"356\"><strong>DORA Article 28 \u2014 Mapping des contr\u00f4les CI\/CD<\/strong><\/a><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--audit\"\r\n             dir=\"ltr\" lang=\"fr\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Contexte \u201caudit-ready\u201d<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Contenu con\u00e7u pour les environnements r\u00e9glement\u00e9s : contr\u00f4les avant outils, enforcement par politiques dans le CI\/CD, et evidence-by-design pour l\u2019audit.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Focus sur la tra\u00e7abilit\u00e9, les approbations, la gouvernance des exceptions et la r\u00e9tention des preuves de bout en bout.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/fr\/fr\/about\/\">Voir la m\u00e9thodologie sur la page About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>R\u00e9silience op\u00e9rationnelle, d\u00e9pendance aux tiers et d\u00e9sengagement contr\u00f4l\u00e9 Introduction DORA Article 28 exige des entit\u00e9s financi\u00e8res qu&rsquo;elles g\u00e8rent les risques d\u00e9coulant des prestataires de services ICT tiers, y compris les plateformes cloud, les fournisseurs CI\/CD SaaS, les registres d&rsquo;artefacts et autres services num\u00e9riques critiques. Une exigence centrale \u2014 et souvent sous-estim\u00e9e \u2014 est la capacit\u00e9 &#8230; <a title=\"DORA Article 28 \u2014 Tests de strat\u00e9gie de sortie (DR &amp; BCP)\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dora-article-28-exit-strategy-testing-dr-bcp\/\" aria-label=\"En savoir plus sur DORA Article 28 \u2014 Tests de strat\u00e9gie de sortie (DR &amp; BCP)\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[126],"tags":[],"post_folder":[],"class_list":["post-1358","post","type-post","status-publish","format-standard","hentry","category-regulatory-frameworks"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1358","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1358"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1358\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1358"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1358"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1358"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1358"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}