{"id":1367,"date":"2026-03-25T16:59:33","date_gmt":"2026-03-25T15:59:33","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/soc-2-type-ii-sustained-ci-cd-evidence-requirements-2\/"},"modified":"2026-03-26T00:20:12","modified_gmt":"2026-03-25T23:20:12","slug":"soc-2-type-ii-sustained-ci-cd-evidence-requirements","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/audit-evidence\/soc-2-type-ii-sustained-ci-cd-evidence-requirements\/","title":{"rendered":"SOC 2 Type II \u2014 Exigences de preuves CI\/CD soutenues dans le temps"},"content":{"rendered":"

Comprendre Type I vs. Type II : pourquoi la distinction est importante<\/h2>\n

Les rapports SOC 2 existent sous deux formes, et la distinction est cruciale pour les organisations qui s’appuient sur les pipelines CI\/CD pour la livraison logicielle.<\/p>\n

Type I (Point dans le temps) :<\/strong> \u00c9value si les contr\u00f4les sont correctement con\u00e7us et impl\u00e9ment\u00e9s \u00e0 une date sp\u00e9cifique. Un rapport Type I est essentiellement un instantan\u00e9 \u2014 il confirme que les bons contr\u00f4les existent le jour de l’examen.<\/p>\n

Type II (P\u00e9riode de temps) :<\/strong> \u00c9value si les contr\u00f4les ont fonctionn\u00e9 efficacement sur une p\u00e9riode d\u00e9finie, g\u00e9n\u00e9ralement de six \u00e0 douze mois. Un rapport Type II d\u00e9montre que les contr\u00f4les ne sont pas seulement bien con\u00e7us mais sont appliqu\u00e9s de mani\u00e8re coh\u00e9rente tout au long de la p\u00e9riode d’examen.<\/p>\n

Pour les environnements CI\/CD, cette distinction est particuli\u00e8rement significative. Il est relativement simple de configurer des contr\u00f4les de pipeline \u2014 appliquer les revues de code, activer l’analyse de s\u00e9curit\u00e9, exiger des approbations. Le d\u00e9fi bien plus grand est de d\u00e9montrer que ces contr\u00f4les ont fonctionn\u00e9 sans exception (ou avec des exceptions correctement document\u00e9es) sur une p\u00e9riode prolong\u00e9e.<\/p>\n

Pourquoi le Type II est plus important pour les environnements CI\/CD<\/h2>\n

Les clients, prospects et partenaires exigent de plus en plus des rapports Type II car ils fournissent l’assurance que les contr\u00f4les sont durables, et non simplement aspirationnels. Pour CI\/CD sp\u00e9cifiquement :<\/p>\n

    \n
  • L’automatisation cr\u00e9e \u00e0 la fois opportunit\u00e9 et risque :<\/strong> Les pipelines peuvent appliquer les contr\u00f4les de mani\u00e8re coh\u00e9rente, mais les erreurs de configuration ou les exceptions peuvent cr\u00e9er des lacunes syst\u00e9miques qui persistent sans \u00eatre d\u00e9tect\u00e9es pendant des mois<\/li>\n
  • Le volume de preuves est substantiel :<\/strong> Une \u00e9quipe de d\u00e9veloppement active peut produire des milliers de d\u00e9ploiements pendant une p\u00e9riode d’audit, fournissant une large population pour l’\u00e9chantillonnage des auditeurs<\/li>\n
  • Les tendances comptent :<\/strong> L’examen Type II r\u00e9v\u00e8le des tendances \u2014 taux d’exceptions croissants, conformit\u00e9 en d\u00e9gradation ou application incoh\u00e9rente \u2014 qu’une \u00e9valuation ponctuelle manquerait<\/li>\n
  • Le fonctionnement soutenu d\u00e9montre la maturit\u00e9 :<\/strong> Un fonctionnement coh\u00e9rent des contr\u00f4les sur 6 \u00e0 12 mois signale l’engagement organisationnel et la maturit\u00e9 op\u00e9rationnelle aux parties utilisatrices<\/li>\n<\/ul>\n

    Ce que signifie \u00ab efficacit\u00e9 op\u00e9rationnelle dans le temps \u00bb pour les contr\u00f4les CI\/CD<\/h2>\n

    L’efficacit\u00e9 op\u00e9rationnelle exige de d\u00e9montrer que chaque contr\u00f4le a fonctionn\u00e9 comme pr\u00e9vu tout au long de la p\u00e9riode d’examen compl\u00e8te. Pour les contr\u00f4les CI\/CD, cela signifie :<\/p>\n

      \n
    • Chaque d\u00e9ploiement pendant la p\u00e9riode a suivi le processus de gestion des changements approuv\u00e9<\/li>\n
    • Les contr\u00f4les d’acc\u00e8s ont \u00e9t\u00e9 appliqu\u00e9s de mani\u00e8re coh\u00e9rente sans exceptions non autoris\u00e9es<\/li>\n
    • L’analyse de s\u00e9curit\u00e9 a \u00e9t\u00e9 ex\u00e9cut\u00e9e sur chaque build avec les seuils appropri\u00e9s maintenus<\/li>\n
    • Les revues d’acc\u00e8s ont \u00e9t\u00e9 men\u00e9es dans les d\u00e9lais pr\u00e9vus avec les constats rem\u00e9di\u00e9s dans les d\u00e9lais d\u00e9finis<\/li>\n
    • Les proc\u00e9dures de r\u00e9ponse aux incidents ont \u00e9t\u00e9 suivies lorsque des \u00e9v\u00e9nements de s\u00e9curit\u00e9 de pipeline se sont produits<\/li>\n<\/ul>\n

      Un contr\u00f4le qui fonctionne correctement 95 % du temps ne fonctionne pas efficacement. Les auditeurs identifieront le taux d’\u00e9chec de 5 % et pourront qualifier leur opinion ou signaler des exceptions.<\/p>\n

      Exigences de preuves Type II par domaine de contr\u00f4le<\/h2>\n\n\n\n\n\n\n\n\n\n\n\n\n
      Contr\u00f4le<\/th>\nExigence de preuve Type II<\/th>\nFormat de preuve acceptable<\/th>\nApproche d’\u00e9chantillonnage<\/th>\n<\/tr>\n<\/thead>\n
      Application de la revue de code<\/td>\nTous les changements de production ont re\u00e7u une revue par les pairs tout au long de la p\u00e9riode<\/td>\nJournaux de merge requests g\u00e9n\u00e9r\u00e9s par le syst\u00e8me avec attribution du relecteur et horodatages<\/td>\n\u00c9chantillonnage statistique \u00e0 partir de la population compl\u00e8te des merge requests fusionn\u00e9es<\/td>\n<\/tr>\n
      Approbation de d\u00e9ploiement<\/td>\nTous les d\u00e9ploiements en production ont re\u00e7u une approbation autoris\u00e9e<\/td>\nRegistres d’approbation de d\u00e9ploiement avec identit\u00e9 de l’approbateur, horodatage et d\u00e9cision d’approbation<\/td>\n\u00c9chantillon al\u00e9atoire sur toute la p\u00e9riode d’audit, stratifi\u00e9 par mois<\/td>\n<\/tr>\n
      Analyse de s\u00e9curit\u00e9<\/td>\nTous les builds ont subi une analyse de s\u00e9curit\u00e9 avec des seuils de passage\/\u00e9chec d\u00e9finis<\/td>\nJournaux d’ex\u00e9cution d’analyse, historique de configuration des seuils, registres d’application des portes<\/td>\n\u00c9chantillon de builds plus v\u00e9rification que la configuration des portes n’a pas chang\u00e9<\/td>\n<\/tr>\n
      Revues d’acc\u00e8s<\/td>\nRevues p\u00e9riodiques men\u00e9es dans les d\u00e9lais avec constats rem\u00e9di\u00e9s<\/td>\nRegistres d’ach\u00e8vement des revues d’acc\u00e8s, tickets de rem\u00e9diation, instantan\u00e9s avant\/apr\u00e8s des acc\u00e8s<\/td>\nTous les cycles de revue pendant la p\u00e9riode examin\u00e9s<\/td>\n<\/tr>\n
      Application du MFA<\/td>\nMFA requis pour tout acc\u00e8s humain tout au long de la p\u00e9riode<\/td>\nJournaux de configuration de la politique d’authentification, rapports d’inscription MFA, journaux d’exceptions<\/td>\nAudit de configuration \u00e0 plusieurs points plus revue des registres d’exceptions<\/td>\n<\/tr>\n
      R\u00e9ponse aux incidents<\/td>\n\u00c9v\u00e9nements de s\u00e9curit\u00e9 de pipeline d\u00e9tect\u00e9s, \u00e9valu\u00e9s et r\u00e9solus selon la proc\u00e9dure<\/td>\nTickets d’incidents, d\u00e9lais de r\u00e9ponse, revues post-incident, registres d’escalade<\/td>\nTous les incidents pendant la p\u00e9riode<\/td>\n<\/tr>\n
      S\u00e9paration des fonctions<\/td>\nAucun individu n’a \u00e0 la fois r\u00e9dig\u00e9 et approuv\u00e9\/d\u00e9ploy\u00e9 le m\u00eame changement<\/td>\nRegistres de d\u00e9ploiement crois\u00e9s avec les registres d’auteur<\/td>\n\u00c9chantillon statistique de la population de d\u00e9ploiements<\/td>\n<\/tr>\n
      Rotation des secrets<\/td>\nIdentifiants et secrets rot\u00e9s selon le calendrier d\u00e9fini<\/td>\nJournaux de rotation, rapports d’\u00e2ge des identifiants, registres d’ex\u00e9cution de rotation automatis\u00e9e<\/td>\nTous les secrets de l’inventaire v\u00e9rifi\u00e9s par rapport au calendrier de rotation<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

      Preuves de pipeline d\u00e9montrant un fonctionnement soutenu<\/h2>\n

      Journaux d’application coh\u00e9rente<\/h3>\n

      La preuve la plus convaincante pour le Type II est constitu\u00e9e de journaux g\u00e9n\u00e9r\u00e9s par le syst\u00e8me montrant que les contr\u00f4les se sont d\u00e9clench\u00e9s pour chaque \u00e9v\u00e9nement pertinent tout au long de la p\u00e9riode. Les auditeurs recherchent :<\/p>\n