{"id":1383,"date":"2026-03-25T16:59:33","date_gmt":"2026-03-25T15:59:33","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/iso-27001-a-14-deep-dive-system-development-and-maintenance-in-ci-cd-2\/"},"modified":"2026-03-26T00:20:40","modified_gmt":"2026-03-25T23:20:40","slug":"iso-27001-a-14-deep-dive-system-development-and-maintenance-in-ci-cd","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/audit-evidence\/iso-27001-a-14-deep-dive-system-development-and-maintenance-in-ci-cd\/","title":{"rendered":"ISO 27001 A.14 en profondeur \u2014 D\u00e9veloppement et maintenance des syst\u00e8mes dans CI\/CD"},"content":{"rendered":"

Introduction : pourquoi A.14 est le contr\u00f4le fondamental pour CI\/CD<\/h2>\n

L’Annexe A.14 \u2014 Acquisition, d\u00e9veloppement et maintenance des syst\u00e8mes<\/em> \u2014 est le domaine de contr\u00f4le le plus pertinent pour les organisations exploitant des pipelines CI\/CD. Il r\u00e9git directement la mani\u00e8re dont les syst\u00e8mes sont d\u00e9velopp\u00e9s, modifi\u00e9s, test\u00e9s et accept\u00e9s en production. Pour les auditeurs et les responsables conformit\u00e9, c’est dans A.14 que vous trouverez la plus grande densit\u00e9 d’exigences de contr\u00f4le sp\u00e9cifiques \u00e0 CI\/CD et, souvent, la plus grande densit\u00e9 de non-conformit\u00e9s.<\/p>\n

Cette analyse approfondie examine chaque sous-contr\u00f4le A.14 dans le contexte des pipelines CI\/CD, fournissant des orientations claires sur ce \u00e0 quoi ressemble la conformit\u00e9, quelles preuves sont requises et ce qui constitue un signal d’alerte lors d’un audit.<\/p>\n

A.14.1 \u2014 Exigences de s\u00e9curit\u00e9 des syst\u00e8mes d’information<\/h2>\n

A.14.1.1 \u2014 Analyse et sp\u00e9cification des exigences de s\u00e9curit\u00e9 de l’information<\/h3>\n

Ce que cela signifie pour CI\/CD :<\/strong> Avant tout d\u00e9veloppement ou acquisition de syst\u00e8me, les exigences de s\u00e9curit\u00e9 doivent \u00eatre d\u00e9finies. Dans un contexte CI\/CD, cela signifie que les exigences de s\u00e9curit\u00e9 sont sp\u00e9cifi\u00e9es avant<\/em> le d\u00e9but du d\u00e9veloppement et sont tra\u00e7ables \u00e0 travers le pipeline \u2014 de la d\u00e9finition des exigences \u00e0 la v\u00e9rification du d\u00e9ploiement.<\/p>\n

Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

    \n
  • Exigences de s\u00e9curit\u00e9 document\u00e9es dans les user stories, crit\u00e8res d’acceptation ou sp\u00e9cifications d\u00e9di\u00e9es d’exigences de s\u00e9curit\u00e9<\/li>\n
  • Tra\u00e7abilit\u00e9 des exigences de s\u00e9curit\u00e9 vers les cas de test appliqu\u00e9s par le pipeline<\/li>\n
  • Registres montrant que les exigences de s\u00e9curit\u00e9 ont \u00e9t\u00e9 revues et approuv\u00e9es avant le d\u00e9but du d\u00e9veloppement<\/li>\n<\/ul>\n

    \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> Les exigences de s\u00e9curit\u00e9 sont absentes, informelles ou ajout\u00e9es r\u00e9troactivement apr\u00e8s le d\u00e9veloppement. Aucun lien entre les exigences \u00e9nonc\u00e9es et la v\u00e9rification automatis\u00e9e dans le pipeline.<\/p>\n

    A.14.1.2 \u2014 S\u00e9curisation des services applicatifs sur les r\u00e9seaux publics<\/h3>\n

    Ce que cela signifie pour CI\/CD :<\/strong> Les applications d\u00e9ploy\u00e9es via des pipelines CI\/CD vers des environnements accessibles au public doivent disposer de contr\u00f4les d’int\u00e9grit\u00e9 des donn\u00e9es, de confidentialit\u00e9 et de non-r\u00e9pudiation. Le pipeline lui-m\u00eame doit v\u00e9rifier que les configurations TLS, les contr\u00f4les de s\u00e9curit\u00e9 des API et les m\u00e9canismes d’authentification sont correctement configur\u00e9s avant le d\u00e9ploiement.<\/p>\n

    Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

      \n
    • \u00c9tapes de pipeline v\u00e9rifiant la configuration TLS et la validit\u00e9 des certificats<\/li>\n
    • V\u00e9rifications automatis\u00e9es des en-t\u00eates de s\u00e9curit\u00e9 et de la s\u00e9curit\u00e9 du transport<\/li>\n
    • Registres de v\u00e9rification de la configuration de s\u00e9curit\u00e9 avant le d\u00e9ploiement public<\/li>\n<\/ul>\n

      \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> Applications d\u00e9ploy\u00e9es sur des r\u00e9seaux publics sans v\u00e9rification automatis\u00e9e de la configuration de s\u00e9curit\u00e9. Pas de v\u00e9rifications pr\u00e9-d\u00e9ploiement pour la s\u00e9curit\u00e9 du transport.<\/p>\n

      A.14.1.3 \u2014 Protection des transactions des services applicatifs<\/h3>\n

      Ce que cela signifie pour CI\/CD :<\/strong> Lorsque les applications g\u00e8rent des transactions, le pipeline doit inclure la v\u00e9rification que les contr\u00f4les d’int\u00e9grit\u00e9 transactionnelle (transmission compl\u00e8te, validation du routage, int\u00e9grit\u00e9 des messages, confidentialit\u00e9) sont en place et test\u00e9s.<\/p>\n

      Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

        \n
      • Suites de tests d’int\u00e9gration couvrant les sc\u00e9narios d’int\u00e9grit\u00e9 transactionnelle ex\u00e9cut\u00e9es dans le pipeline<\/li>\n
      • Registres des r\u00e9sultats de tests de s\u00e9curit\u00e9 transactionnelle conserv\u00e9s avec l’historique d’ex\u00e9cution du pipeline<\/li>\n<\/ul>\n

        \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> Applications g\u00e9rant des transactions d\u00e9ploy\u00e9es sans tests d’int\u00e9gration des contr\u00f4les de s\u00e9curit\u00e9 transactionnelle.<\/p>\n

        A.14.2 \u2014 S\u00e9curit\u00e9 dans les processus de d\u00e9veloppement et de support<\/h2>\n

        A.14.2.1 \u2014 Politique de d\u00e9veloppement s\u00e9curis\u00e9<\/h3>\n

        Ce que cela signifie pour CI\/CD :<\/strong> L’organisation doit disposer d’une politique document\u00e9e r\u00e9gissant les pratiques de d\u00e9veloppement s\u00e9curis\u00e9. Dans les environnements CI\/CD, cette politique doit couvrir les processus automatis\u00e9s de build et de d\u00e9ploiement, les contr\u00f4les de s\u00e9curit\u00e9 des pipelines et l’int\u00e9gration des tests de s\u00e9curit\u00e9 dans le pipeline de livraison.<\/p>\n

        Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

          \n
        • Politique de d\u00e9veloppement s\u00e9curis\u00e9 approuv\u00e9e couvrant explicitement les processus CI\/CD<\/li>\n
        • Registres de revue de politique montrant des mises \u00e0 jour r\u00e9guli\u00e8res<\/li>\n
        • Preuves de communication de la politique \u00e0 tous les utilisateurs et administrateurs de pipeline<\/li>\n
        • Registres de formation du personnel impliqu\u00e9 dans la gestion des pipelines<\/li>\n<\/ul>\n

          \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> La politique de d\u00e9veloppement s\u00e9curis\u00e9 existe mais ne fait aucune r\u00e9f\u00e9rence aux pipelines CI\/CD ou aux processus automatis\u00e9s. La politique n’a pas \u00e9t\u00e9 revue depuis l’adoption de CI\/CD.<\/p>\n

          A.14.2.2 \u2014 Proc\u00e9dures de contr\u00f4le des changements syst\u00e8me<\/h3>\n

          Ce que cela signifie pour CI\/CD :<\/strong> C’est un contr\u00f4le pivot pour CI\/CD. Tous les changements de syst\u00e8mes doivent suivre des proc\u00e9dures formelles de contr\u00f4le des changements. En CI\/CD, le pipeline est<\/em> le m\u00e9canisme de contr\u00f4le des changements \u2014 mais il doit appliquer des proc\u00e9dures document\u00e9es incluant les exigences d’approbation, l’\u00e9valuation d’impact, la v\u00e9rification des tests et la capacit\u00e9 de rollback.<\/p>\n

          Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

            \n
          • Proc\u00e9dures de contr\u00f4le des changements r\u00e9f\u00e9ren\u00e7ant le pipeline CI\/CD comme m\u00e9canisme d’application<\/li>\n
          • Configurations de pipeline montrant les portes d’approbation obligatoires avant le d\u00e9ploiement en production<\/li>\n
          • Pistes d’audit de tous les changements incluant qui a initi\u00e9, qui a approuv\u00e9, ce qui a \u00e9t\u00e9 test\u00e9 et le r\u00e9sultat du d\u00e9ploiement<\/li>\n
          • Preuves que les proc\u00e9dures de changements d’urgence sont d\u00e9finies et suivies (avec approbation r\u00e9trospective)<\/li>\n<\/ul>\n

            \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> Les d\u00e9veloppeurs peuvent pousser des changements directement en production en contournant le pipeline. Pas de portes d’approbation dans le pipeline. Les changements d’urgence n’ont pas de processus de revue r\u00e9trospective.<\/p>\n

            A.14.2.3 \u2014 Revue technique des applications apr\u00e8s des changements de plateforme d’exploitation<\/h3>\n

            Ce que cela signifie pour CI\/CD :<\/strong> Lorsque la plateforme sous-jacente change (mises \u00e0 jour du syst\u00e8me d’exploitation, mises \u00e0 niveau du middleware, changements d’infrastructure), les applications doivent \u00eatre revues et test\u00e9es. Les pipelines CI\/CD doivent d\u00e9clencher des tests de r\u00e9gression lorsque les d\u00e9pendances de plateforme changent.<\/p>\n

            Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

              \n
            • Proc\u00e9dure document\u00e9e d’\u00e9valuation d’impact des changements de plateforme<\/li>\n
            • Registres des ex\u00e9cutions de tests de r\u00e9gression d\u00e9clench\u00e9s par des changements de plateforme<\/li>\n
            • Preuves que les images de base et les d\u00e9pendances de plateforme du pipeline sont versionn\u00e9es avec suivi des changements<\/li>\n<\/ul>\n

              \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> Les changements de plateforme sont effectu\u00e9s sans d\u00e9clencher de tests de r\u00e9gression applicatifs. Pas de suivi des versions des d\u00e9pendances de plateforme dans le pipeline.<\/p>\n

              A.14.2.4 \u2014 Restrictions sur les modifications des progiciels<\/h3>\n

              Ce que cela signifie pour CI\/CD :<\/strong> Les modifications des progiciels fournis par des tiers doivent \u00eatre contr\u00f4l\u00e9es et limit\u00e9es. En CI\/CD, cela couvre les modifications de composants open-source, les d\u00e9pendances fork\u00e9es et les int\u00e9grations tierces personnalis\u00e9es.<\/p>\n

              Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

                \n
              • Politique d\u00e9finissant quand la modification de paquets tiers est permise<\/li>\n
              • Registres d’approbation pour toute modification de paquets tiers<\/li>\n
              • Contr\u00f4les de pipeline d\u00e9tectant et signalant les paquets modifi\u00e9s (v\u00e9rification d’int\u00e9grit\u00e9, validation de checksum)<\/li>\n
              • \u00c9valuations d’impact sur la notification et le support du fournisseur pour les paquets modifi\u00e9s<\/li>\n<\/ul>\n

                \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> Les paquets tiers sont r\u00e9guli\u00e8rement fork\u00e9s ou modifi\u00e9s sans approbation formelle. Pas de v\u00e9rification d’int\u00e9grit\u00e9 dans le pipeline pour les modifications de paquets.<\/p>\n

                A.14.2.5 \u2014 Principes d’ing\u00e9nierie de syst\u00e8mes s\u00e9curis\u00e9s<\/h3>\n

                Ce que cela signifie pour CI\/CD :<\/strong> L’organisation doit \u00e9tablir, documenter et appliquer des principes d’ing\u00e9nierie s\u00e9curis\u00e9e \u00e0 tout d\u00e9veloppement de syst\u00e8me. Le pipeline CI\/CD doit appliquer ces principes par des v\u00e9rifications automatis\u00e9es \u2014 revues d’architecture, validation des patterns de s\u00e9curit\u00e9 et v\u00e9rification de conformit\u00e9.<\/p>\n

                Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

                  \n
                • Principes d’ing\u00e9nierie s\u00e9curis\u00e9e document\u00e9s applicables aux syst\u00e8mes livr\u00e9s par CI\/CD<\/li>\n
                • V\u00e9rifications appliqu\u00e9es par le pipeline validant l’adh\u00e9rence aux principes d’ing\u00e9nierie<\/li>\n
                • Registres de revue d’architecture pour les nouveaux syst\u00e8mes entrant dans le pipeline<\/li>\n
                • Preuves que les principes d’ing\u00e9nierie s\u00e9curis\u00e9e sont revus et mis \u00e0 jour p\u00e9riodiquement<\/li>\n<\/ul>\n

                  \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> Les principes d’ing\u00e9nierie s\u00e9curis\u00e9e existent sur le papier mais ne sont pas appliqu\u00e9s par le pipeline. Pas de v\u00e9rification automatis\u00e9e des patterns d’architecture de s\u00e9curit\u00e9.<\/p>\n

                  A.14.2.6 \u2014 Environnement de d\u00e9veloppement s\u00e9curis\u00e9<\/h3>\n

                  Ce que cela signifie pour CI\/CD :<\/strong> Les environnements de d\u00e9veloppement \u2014 y compris les environnements de build CI\/CD \u2014 doivent \u00eatre s\u00e9curis\u00e9s et prot\u00e9g\u00e9s. Les agents de build, les d\u00e9p\u00f4ts d’artefacts et les plateformes d’orchestration de pipeline sont des environnements de d\u00e9veloppement n\u00e9cessitant des contr\u00f4les de s\u00e9curit\u00e9 appropri\u00e9s.<\/p>\n

                  Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

                    \n
                  • Contr\u00f4les de s\u00e9curit\u00e9 appliqu\u00e9s aux environnements de build CI\/CD (segmentation r\u00e9seau, contr\u00f4le d’acc\u00e8s, durcissement)<\/li>\n
                  • Preuves d’isolation des environnements de build (agents de build \u00e9ph\u00e9m\u00e8res, isolation par conteneur)<\/li>\n
                  • Registres de contr\u00f4le d’acc\u00e8s pour l’infrastructure de d\u00e9veloppement et de build<\/li>\n
                  • Standards de durcissement appliqu\u00e9s \u00e0 l’infrastructure de la plateforme CI\/CD<\/li>\n<\/ul>\n

                    \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> Les environnements de build partagent l’infrastructure avec la production sans isolation. Les agents de build sont persistants avec un \u00e9tat accumul\u00e9 et sans reconstruction p\u00e9riodique. Pas de standards de durcissement pour l’infrastructure CI\/CD.<\/p>\n

                    A.14.2.7 \u2014 D\u00e9veloppement externalis\u00e9<\/h3>\n

                    Ce que cela signifie pour CI\/CD :<\/strong> Lorsque le d\u00e9veloppement est externalis\u00e9, l’organisation doit superviser et surveiller l’activit\u00e9. En CI\/CD, cela signifie que les d\u00e9veloppeurs externalis\u00e9s doivent utiliser le pipeline de l’organisation (pas le leur), et leurs contributions sont soumises aux m\u00eames contr\u00f4les automatis\u00e9s et processus d’approbation.<\/p>\n

                    Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n

                      \n
                    • Exigences contractuelles pour les d\u00e9veloppeurs externalis\u00e9s d’utiliser le pipeline CI\/CD de l’organisation<\/li>\n
                    • Registres de contr\u00f4le d’acc\u00e8s montrant que les d\u00e9veloppeurs externalis\u00e9s ont un acc\u00e8s appropri\u00e9 (limit\u00e9) au pipeline<\/li>\n
                    • Preuves d’exigences de revue de code pour les contributions externalis\u00e9es<\/li>\n
                    • Registres de surveillance de l’activit\u00e9 pipeline des d\u00e9veloppeurs externalis\u00e9s<\/li>\n<\/ul>\n

                      \u00c0 quoi ressemble la non-conformit\u00e9 :<\/strong> Les d\u00e9veloppeurs externalis\u00e9s utilisent leurs propres processus de build et de d\u00e9ploiement. Les contributions externalis\u00e9es contournent les contr\u00f4les standard du pipeline ou les exigences de revue de code.<\/p>\n

                      A.14.2.8 \u2014 Tests de s\u00e9curit\u00e9 du syst\u00e8me<\/h3>\n

                      Ce que cela signifie pour CI\/CD :<\/strong> Les tests de s\u00e9curit\u00e9 doivent \u00eatre effectu\u00e9s pendant le d\u00e9veloppement. Les pipelines CI\/CD doivent int\u00e9grer des tests de s\u00e9curit\u00e9 automatis\u00e9s \u2014 analyse statique, analyse des vuln\u00e9rabilit\u00e9s des d\u00e9pendances, tests dynamiques \u2014 comme des \u00e9tapes de pipeline obligatoires qui ne peuvent pas \u00eatre contourn\u00e9es.<\/p>\n

                      Preuves d\u00e9montrant la conformit\u00e9 :<\/strong><\/p>\n