{"id":1385,"date":"2026-01-12T12:12:52","date_gmt":"2026-01-12T11:12:52","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/ci-cd-security-tooling-overview-2\/"},"modified":"2026-03-26T00:20:42","modified_gmt":"2026-03-25T23:20:42","slug":"ci-cd-security-tooling-overview","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/ci-cd-security-tooling-overview\/","title":{"rendered":"Outillage de s\u00e9curit\u00e9 CI\/CD \u2014 Guide de l\u2019auditeur sur les cat\u00e9gories de contr\u00f4les"},"content":{"rendered":"\n<p><strong>Guide orient\u00e9 gouvernance des cat\u00e9gories de contr\u00f4les de s\u00e9curit\u00e9 CI\/CD pour les auditeurs, responsables conformit\u00e9 et r\u00e9gulateurs<\/strong><\/p>\n\n\n\n<p>Les pipelines CI\/CD sont l\u2019\u00e9pine dorsale de la livraison logicielle moderne. Pour les auditeurs et les responsables conformit\u00e9, comprendre les contr\u00f4les de s\u00e9curit\u00e9 int\u00e9gr\u00e9s dans ces pipelines est essentiel pour \u00e9valuer si une organisation g\u00e8re ad\u00e9quatement les risques li\u00e9s \u00e0 la livraison logicielle.<\/p>\n\n\n\n<p>Ce guide explique les principales <strong>cat\u00e9gories de contr\u00f4les de s\u00e9curit\u00e9 CI\/CD<\/strong> \u2014 non pas comme des recommandations de produits, mais comme des domaines de gouvernance que les auditeurs doivent comprendre, v\u00e9rifier et \u00e9valuer lors des revues de conformit\u00e9.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Pourquoi les auditeurs doivent comprendre les contr\u00f4les de s\u00e9curit\u00e9 CI\/CD<\/strong><\/h2>\n\n\n\n<p>Les pipelines CI\/CD modernes g\u00e8rent :<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>l\u2019acc\u00e8s aux d\u00e9p\u00f4ts de code source<\/li>\n\n\n\n<li>les processus automatis\u00e9s de build et de packaging<\/li>\n\n\n\n<li>l\u2019int\u00e9gration avec des services et d\u00e9pendances tiers<\/li>\n\n\n\n<li>le d\u00e9ploiement vers les syst\u00e8mes de production<\/li>\n<\/ul>\n\n\n\n<p>Chacune de ces \u00e9tapes introduit des risques. Les auditeurs doivent pouvoir v\u00e9rifier que des contr\u00f4les de s\u00e9curit\u00e9 appropri\u00e9s sont en place \u00e0 chaque \u00e9tape, que ces contr\u00f4les sont appliqu\u00e9s de mani\u00e8re coh\u00e9rente (pas simplement disponibles), et qu\u2019ils produisent des preuves fiables et conserv\u00e9es.<\/p>\n\n\n\n<p>Dans les environnements r\u00e9glement\u00e9s, la question n\u2019est pas <em>quels outils sont install\u00e9s<\/em>, mais <strong>si les bons contr\u00f4les sont actifs, appliqu\u00e9s et auditables<\/strong>.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Cat\u00e9gorie de contr\u00f4le 1 : S\u00e9curit\u00e9 du code source et des d\u00e9p\u00f4ts<\/strong><\/h2>\n\n\n\n<p><strong>Ce qu\u2019elle contr\u00f4le :<\/strong> L\u2019acc\u00e8s au code source, l\u2019autorisation des modifications de code, la pr\u00e9vention des modifications non autoris\u00e9es et la d\u00e9tection de secrets dans les d\u00e9p\u00f4ts.<\/p>\n\n\n\n<p><strong>Preuves produites :<\/strong> Journaux de contr\u00f4le d\u2019acc\u00e8s, configurations de protection des branches, enregistrements d\u2019approbation des pull requests et r\u00e9sultats d\u2019analyse de d\u00e9tection de secrets.<\/p>\n\n\n\n<p><strong>Ce que les auditeurs doivent v\u00e9rifier :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les r\u00e8gles de protection des branches sont appliqu\u00e9es (pas simplement document\u00e9es)<\/li>\n\n\n\n<li>Toutes les modifications de code n\u00e9cessitent une revue par les pairs et une approbation avant fusion<\/li>\n\n\n\n<li>L\u2019analyse des secrets s\u2019ex\u00e9cute automatiquement sur chaque commit ou pull request<\/li>\n\n\n\n<li>L\u2019acc\u00e8s aux d\u00e9p\u00f4ts suit les principes du moindre privil\u00e8ge<\/li>\n\n\n\n<li>Les journaux d\u2019audit des modifications de code sont conserv\u00e9s pendant la p\u00e9riode requise<\/li>\n<\/ul>\n\n\n\n<p><strong>Signaux d\u2019alerte :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des commits directs sur les branches principales sans revue<\/li>\n\n\n\n<li>Des r\u00e8gles de protection des branches pouvant \u00eatre contourn\u00e9es par les administrateurs<\/li>\n\n\n\n<li>Aucune analyse de secrets en place, ou une analyse ex\u00e9cut\u00e9e uniquement \u00e0 la demande<\/li>\n\n\n\n<li>Des permissions d\u2019acc\u00e8s aux d\u00e9p\u00f4ts trop larges<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Cat\u00e9gorie de contr\u00f4le 2 : Tests de s\u00e9curit\u00e9 statiques (SAST)<\/strong><\/h2>\n\n\n\n<p>SAST (Static Application Security Testing) est un contr\u00f4le qui analyse le code source pour identifier les vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9 avant que les applications ne soient construites ou d\u00e9ploy\u00e9es. Il op\u00e8re pendant les phases de d\u00e9veloppement et de build.<\/p>\n\n\n\n<p><strong>Ce qu\u2019il contr\u00f4le :<\/strong> Les failles de s\u00e9curit\u00e9 au niveau du code, les sch\u00e9mas de codage non s\u00e9curis\u00e9s et la conformit\u00e9 aux politiques du code personnalis\u00e9.<\/p>\n\n\n\n<p><strong>Preuves produites :<\/strong> Rapports d\u2019analyse montrant les vuln\u00e9rabilit\u00e9s identifi\u00e9es, les classifications de s\u00e9v\u00e9rit\u00e9, les d\u00e9cisions de politique (r\u00e9ussite\/\u00e9chec) et les donn\u00e9es de tendance dans le temps.<\/p>\n\n\n\n<p><strong>Ce que les auditeurs doivent v\u00e9rifier :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SAST s\u2019ex\u00e9cute automatiquement sur chaque build ou pull request \u2014 pas uniquement \u00e0 la demande<\/li>\n\n\n\n<li>Des seuils de s\u00e9v\u00e9rit\u00e9 d\u00e9finis existent pouvant bloquer les builds ou les d\u00e9ploiements<\/li>\n\n\n\n<li>Les r\u00e9sultats supprim\u00e9s ou accept\u00e9s ont des justifications document\u00e9es et des dates d\u2019expiration<\/li>\n\n\n\n<li>Les r\u00e9sultats d\u2019analyse sont conserv\u00e9s et li\u00e9s \u00e0 des builds et releases sp\u00e9cifiques<\/li>\n\n\n\n<li>Le p\u00e9rim\u00e8tre de l\u2019analyse SAST couvre toutes les bases de code de production<\/li>\n<\/ul>\n\n\n\n<p><strong>Signaux d\u2019alerte :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SAST est configur\u00e9 mais pas appliqu\u00e9 \u2014 les builds continuent ind\u00e9pendamment des r\u00e9sultats<\/li>\n\n\n\n<li>Un grand nombre de r\u00e9sultats supprim\u00e9s sans justification document\u00e9e<\/li>\n\n\n\n<li>Les r\u00e9sultats d\u2019analyse ne sont pas conserv\u00e9s ou ne peuvent pas \u00eatre trac\u00e9s \u00e0 des releases sp\u00e9cifiques<\/li>\n\n\n\n<li>La couverture SAST n\u2019inclut pas toutes les applications de production<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Cat\u00e9gorie de contr\u00f4le 3 : Analyse de composition logicielle (SCA)<\/strong><\/h2>\n\n\n\n<p>SCA (Software Composition Analysis) identifie les risques dans les biblioth\u00e8ques tierces, les composants open source et leurs d\u00e9pendances transitives. Ce contr\u00f4le est central pour la gestion des risques de la cha\u00eene d\u2019approvisionnement.<\/p>\n\n\n\n<p><strong>Ce qu\u2019il contr\u00f4le :<\/strong> Les vuln\u00e9rabilit\u00e9s connues dans les d\u00e9pendances, la conformit\u00e9 des licences et la visibilit\u00e9 sur la cha\u00eene d\u2019approvisionnement logicielle.<\/p>\n\n\n\n<p><strong>Preuves produites :<\/strong> Inventaires de d\u00e9pendances, Software Bills of Materials (SBOM), rapports de vuln\u00e9rabilit\u00e9s pour les composants tiers et enregistrements de conformit\u00e9 des licences.<\/p>\n\n\n\n<p><strong>Ce que les auditeurs doivent v\u00e9rifier :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>SCA s\u2019ex\u00e9cute automatiquement pendant les builds et produit des inventaires de d\u00e9pendances actuels<\/li>\n\n\n\n<li>Les d\u00e9pendances vuln\u00e9rables connues d\u00e9clenchent des r\u00e9ponses d\u00e9finies (blocage, alerte ou acceptation document\u00e9e)<\/li>\n\n\n\n<li>Les SBOM sont g\u00e9n\u00e9r\u00e9s et conserv\u00e9s pour chaque release<\/li>\n\n\n\n<li>La conformit\u00e9 des licences est activement surveill\u00e9e<\/li>\n\n\n\n<li>Les politiques de d\u00e9pendances d\u00e9finissent ce qui est acceptable et ce qui n\u00e9cessite une approbation<\/li>\n<\/ul>\n\n\n\n<p><strong>Signaux d\u2019alerte :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Aucun inventaire de d\u00e9pendances ou SBOM n\u2019existe pour les applications de production<\/li>\n\n\n\n<li>Les vuln\u00e9rabilit\u00e9s critiques connues dans les d\u00e9pendances ne sont pas trait\u00e9es ou document\u00e9es<\/li>\n\n\n\n<li>L\u2019analyse SCA n\u2019est pas int\u00e9gr\u00e9e dans le CI\/CD \u2014 elle s\u2019ex\u00e9cute manuellement ou pas du tout<\/li>\n\n\n\n<li>Aucune gouvernance sur les composants tiers pouvant \u00eatre utilis\u00e9s<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Cat\u00e9gorie de contr\u00f4le 4 : Gestion et d\u00e9tection des secrets<\/strong><\/h2>\n\n\n\n<p>Les secrets \u2014 tels que les cl\u00e9s API, les identifiants, les jetons et les certificats \u2014 sont des cibles de haute valeur dans les environnements CI\/CD. Cette cat\u00e9gorie de contr\u00f4le englobe \u00e0 la fois la d\u00e9tection des secrets expos\u00e9s et la gouvernance de la fa\u00e7on dont les secrets sont stock\u00e9s, acc\u00e9d\u00e9s et renouvel\u00e9s.<\/p>\n\n\n\n<p><strong>Ce qu\u2019elle contr\u00f4le :<\/strong> La pr\u00e9vention de l\u2019exposition des identifiants dans le code et les pipelines, l\u2019acc\u00e8s contr\u00f4l\u00e9 aux secrets, et les proc\u00e9dures de rotation et de r\u00e9vocation.<\/p>\n\n\n\n<p><strong>Preuves produites :<\/strong> R\u00e9sultats d\u2019analyse des secrets, journaux d\u2019acc\u00e8s aux syst\u00e8mes de stockage de secrets, enregistrements de rotation et enregistrements de r\u00e9ponse aux incidents pour toute exposition d\u00e9tect\u00e9e.<\/p>\n\n\n\n<p><strong>Ce que les auditeurs doivent v\u00e9rifier :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>L\u2019analyse des secrets est automatis\u00e9e et s\u2019ex\u00e9cute \u00e0 chaque modification de code<\/li>\n\n\n\n<li>Un syst\u00e8me centralis\u00e9 de gestion des secrets est utilis\u00e9 \u2014 les secrets ne sont jamais cod\u00e9s en dur<\/li>\n\n\n\n<li>L\u2019acc\u00e8s aux secrets est bas\u00e9 sur les r\u00f4les et journalis\u00e9<\/li>\n\n\n\n<li>Les politiques de rotation existent et sont appliqu\u00e9es<\/li>\n\n\n\n<li>Les expositions de secrets d\u00e9tect\u00e9es d\u00e9clenchent une r\u00e9ponse aux incidents document\u00e9e<\/li>\n<\/ul>\n\n\n\n<p><strong>Signaux d\u2019alerte :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Des secrets trouv\u00e9s dans le code source, les fichiers de configuration ou les journaux de pipeline<\/li>\n\n\n\n<li>Pas de gestion centralis\u00e9e des secrets \u2014 les \u00e9quipes g\u00e8rent les identifiants ind\u00e9pendamment<\/li>\n\n\n\n<li>Pas de politique de rotation ou de preuve de rotation<\/li>\n\n\n\n<li>L\u2019analyse des secrets n\u2019est pas appliqu\u00e9e ou peut \u00eatre contourn\u00e9e<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Cat\u00e9gorie de contr\u00f4le 5 : Int\u00e9grit\u00e9 du build et s\u00e9curit\u00e9 des artefacts<\/strong><\/h2>\n\n\n\n<p>Les contr\u00f4les d\u2019int\u00e9grit\u00e9 du build garantissent que ce qui est d\u00e9ploy\u00e9 correspond \u00e0 ce qui a \u00e9t\u00e9 test\u00e9 et approuv\u00e9. Cela inclut la signature des artefacts, la v\u00e9rification d\u2019int\u00e9grit\u00e9, le stockage immuable et le suivi de provenance.<\/p>\n\n\n\n<p><strong>Ce qu\u2019il contr\u00f4le :<\/strong> La pr\u00e9vention de la falsification des sorties de build, la tra\u00e7abilit\u00e9 du code source \u00e0 l\u2019artefact d\u00e9ploy\u00e9, et l\u2019assurance que les artefacts n\u2019ont pas \u00e9t\u00e9 modifi\u00e9s apr\u00e8s les tests.<\/p>\n\n\n\n<p><strong>Preuves produites :<\/strong> Artefacts sign\u00e9s, attestations de provenance, sommes de contr\u00f4le d\u2019int\u00e9grit\u00e9 et journaux de d\u00e9p\u00f4ts d\u2019artefacts immuables.<\/p>\n\n\n\n<p><strong>Ce que les auditeurs doivent v\u00e9rifier :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les artefacts sont sign\u00e9s et les signatures sont v\u00e9rifi\u00e9es avant le d\u00e9ploiement<\/li>\n\n\n\n<li>Le stockage des artefacts est immuable \u2014 les artefacts pr\u00e9c\u00e9demment publi\u00e9s ne peuvent pas \u00eatre \u00e9cras\u00e9s<\/li>\n\n\n\n<li>Des enregistrements de provenance existent reliant chaque artefact \u00e0 son code source, son build et ses r\u00e9sultats de tests<\/li>\n\n\n\n<li>Les v\u00e9rifications d\u2019int\u00e9grit\u00e9 sont appliqu\u00e9es au moment du d\u00e9ploiement, pas seulement au moment du build<\/li>\n<\/ul>\n\n\n\n<p><strong>Signaux d\u2019alerte :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les artefacts ne sont pas sign\u00e9s ou les signatures ne sont pas v\u00e9rifi\u00e9es<\/li>\n\n\n\n<li>Pas de provenance ou de tra\u00e7abilit\u00e9 de l\u2019artefact \u00e0 la source<\/li>\n\n\n\n<li>Les d\u00e9p\u00f4ts d\u2019artefacts permettent l\u2019\u00e9crasement des versions existantes<\/li>\n\n\n\n<li>Manipulation manuelle des artefacts en dehors du pipeline<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Cat\u00e9gorie de contr\u00f4le 6 : Tests de s\u00e9curit\u00e9 dynamiques (DAST)<\/strong><\/h2>\n\n\n\n<p>DAST (Dynamic Application Security Testing) teste les applications en cours d\u2019ex\u00e9cution en interagissant avec elles de mani\u00e8re externe, simulant des sc\u00e9narios d\u2019attaque r\u00e9els. Il valide la posture de s\u00e9curit\u00e9 \u00e0 l\u2019ex\u00e9cution, y compris les flux d\u2019authentification, la gestion des sessions et les faiblesses de configuration.<\/p>\n\n\n\n<p><strong>Ce qu\u2019il contr\u00f4le :<\/strong> Les vuln\u00e9rabilit\u00e9s \u00e0 l\u2019ex\u00e9cution, les erreurs de configuration de s\u00e9curit\u00e9 et les probl\u00e8mes de contr\u00f4le d\u2019acc\u00e8s dans les applications d\u00e9ploy\u00e9es ou en staging.<\/p>\n\n\n\n<p><strong>Preuves produites :<\/strong> R\u00e9sultats d\u2019analyse documentant les constats \u00e0 l\u2019ex\u00e9cution, les d\u00e9cisions de filtrage (r\u00e9ussite\/\u00e9chec) et les enregistrements de toute exception accord\u00e9e.<\/p>\n\n\n\n<p><strong>Ce que les auditeurs doivent v\u00e9rifier :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>DAST est ex\u00e9cut\u00e9 avant les releases en production \u2014 pas uniquement \u00e0 la demande<\/li>\n\n\n\n<li>Des seuils d\u00e9finis existent pouvant bloquer ou retarder les releases en fonction des r\u00e9sultats<\/li>\n\n\n\n<li>Les exceptions au filtrage DAST sont document\u00e9es avec des approbations<\/li>\n\n\n\n<li>Les r\u00e9sultats DAST sont conserv\u00e9s et tra\u00e7ables \u00e0 des releases sp\u00e9cifiques<\/li>\n<\/ul>\n\n\n\n<p><strong>Signaux d\u2019alerte :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>DAST ne s\u2019ex\u00e9cute qu\u2019occasionnellement ou pas du tout pour les applications critiques<\/li>\n\n\n\n<li>Pas de logique de filtrage \u2014 toutes les releases continuent ind\u00e9pendamment des r\u00e9sultats DAST<\/li>\n\n\n\n<li>Les r\u00e9sultats DAST ne sont pas conserv\u00e9s ou ne peuvent pas \u00eatre li\u00e9s \u00e0 des d\u00e9ploiements sp\u00e9cifiques<\/li>\n\n\n\n<li>Le p\u00e9rim\u00e8tre DAST ne couvre pas les applications expos\u00e9es \u00e0 l\u2019ext\u00e9rieur<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Cat\u00e9gorie de contr\u00f4le 7 : Journalisation, surveillance et conservation des preuves<\/strong><\/h2>\n\n\n\n<p>Chaque contr\u00f4le dans le pipeline CI\/CD doit produire des preuves, et ces preuves doivent \u00eatre collect\u00e9es, stock\u00e9es et rendues accessibles pour l\u2019audit. Cette cat\u00e9gorie couvre l\u2019agr\u00e9gation centralis\u00e9e des journaux, la surveillance, les alertes et la conservation des preuves.<\/p>\n\n\n\n<p><strong>Ce qu\u2019elle contr\u00f4le :<\/strong> La visibilit\u00e9 sur les activit\u00e9s des pipelines, la d\u00e9tection des incidents et la disponibilit\u00e9 des preuves d\u2019audit.<\/p>\n\n\n\n<p><strong>Preuves produites :<\/strong> Journaux centralis\u00e9s, tableaux de bord de surveillance, historiques d\u2019alertes et enregistrements conserv\u00e9s de toutes les ex\u00e9cutions de pipelines et leurs r\u00e9sultats.<\/p>\n\n\n\n<p><strong>Ce que les auditeurs doivent v\u00e9rifier :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les journaux de pipelines sont collect\u00e9s de mani\u00e8re centralis\u00e9e et ne peuvent pas \u00eatre falsifi\u00e9s<\/li>\n\n\n\n<li>Les p\u00e9riodes de conservation respectent les exigences r\u00e9glementaires<\/li>\n\n\n\n<li>La surveillance couvre \u00e0 la fois les \u00e9v\u00e9nements de s\u00e9curit\u00e9 et la sant\u00e9 des pipelines<\/li>\n\n\n\n<li>Les preuves de tous les contr\u00f4les de s\u00e9curit\u00e9 (SAST, SCA, DAST, secrets, int\u00e9grit\u00e9 des artefacts) sont agr\u00e9g\u00e9es et accessibles<\/li>\n<\/ul>\n\n\n\n<p><strong>Signaux d\u2019alerte :<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Les journaux sont stock\u00e9s uniquement localement sur les agents de build et non centralis\u00e9s<\/li>\n\n\n\n<li>Les p\u00e9riodes de conservation sont plus courtes que les exigences r\u00e9glementaires<\/li>\n\n\n\n<li>Pas d\u2019alertes sur les \u00e9checs de pipeline ou les contournements de contr\u00f4les de s\u00e9curit\u00e9<\/li>\n\n\n\n<li>Les preuves des contr\u00f4les de s\u00e9curit\u00e9 ne peuvent pas \u00eatre r\u00e9cup\u00e9r\u00e9es pour une release donn\u00e9e<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>R\u00e9sum\u00e9 : Correspondance cat\u00e9gorie de contr\u00f4le \u2014 v\u00e9rification d\u2019audit<\/strong><\/h2>\n\n\n\n<figure class=\"wp-block-table\"><table><thead><tr><th><strong>Cat\u00e9gorie de contr\u00f4le<\/strong><\/th><th><strong>Objectif du contr\u00f4le<\/strong><\/th><th><strong>Preuves cl\u00e9s<\/strong><\/th><th><strong>V\u00e9rification d\u2019audit<\/strong><\/th><\/tr><\/thead><tbody><tr><td>S\u00e9curit\u00e9 du code source<\/td><td>Pr\u00e9venir les modifications de code non autoris\u00e9es<\/td><td>Journaux d\u2019acc\u00e8s, approbations PR, configs de protection des branches<\/td><td>V\u00e9rifier l\u2019application des workflows de revue et d\u2019approbation<\/td><\/tr><tr><td>SAST<\/td><td>D\u00e9tecter les vuln\u00e9rabilit\u00e9s au niveau du code avant le d\u00e9ploiement<\/td><td>Rapports d\u2019analyse, d\u00e9cisions de filtrage, enregistrements de suppression<\/td><td>Confirmer l\u2019ex\u00e9cution automatis\u00e9e et l\u2019application des seuils<\/td><\/tr><tr><td>SCA<\/td><td>G\u00e9rer les risques tiers et de la cha\u00eene d\u2019approvisionnement<\/td><td>Inventaires de d\u00e9pendances, SBOM, rapports de vuln\u00e9rabilit\u00e9s<\/td><td>V\u00e9rifier l\u2019inventaire actuel, la g\u00e9n\u00e9ration de SBOM et la r\u00e9ponse aux vuln\u00e9rabilit\u00e9s connues<\/td><\/tr><tr><td>Gestion des secrets<\/td><td>Pr\u00e9venir l\u2019exposition des identifiants et l\u2019acc\u00e8s non autoris\u00e9<\/td><td>R\u00e9sultats d\u2019analyse, journaux d\u2019acc\u00e8s, enregistrements de rotation<\/td><td>Confirmer l\u2019absence de secrets cod\u00e9s en dur, v\u00e9rifier la rotation et la gouvernance d\u2019acc\u00e8s<\/td><\/tr><tr><td>Int\u00e9grit\u00e9 du build<\/td><td>Garantir que les artefacts sont fiables et tra\u00e7ables<\/td><td>Artefacts sign\u00e9s, attestations de provenance, sommes de contr\u00f4le<\/td><td>V\u00e9rifier la signature, l\u2019immuabilit\u00e9 et la tra\u00e7abilit\u00e9 source-artefact<\/td><\/tr><tr><td>DAST<\/td><td>Valider la s\u00e9curit\u00e9 \u00e0 l\u2019ex\u00e9cution des applications d\u00e9ploy\u00e9es<\/td><td>R\u00e9sultats d\u2019analyse, d\u00e9cisions de filtrage, enregistrements d\u2019exceptions<\/td><td>Confirmer l\u2019ex\u00e9cution pr\u00e9-release et la gestion document\u00e9e des exceptions<\/td><\/tr><tr><td>Journalisation et preuves<\/td><td>Fournir une piste d\u2019audit et une visibilit\u00e9 sur les incidents<\/td><td>Journaux centralis\u00e9s, enregistrements de surveillance, preuves conserv\u00e9es<\/td><td>V\u00e9rifier les p\u00e9riodes de conservation, la centralisation et la r\u00e9sistance \u00e0 la falsification<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Conclusion<\/strong><\/h2>\n\n\n\n<p>Les contr\u00f4les de s\u00e9curit\u00e9 CI\/CD ne concernent pas les produits qu\u2019une organisation d\u00e9ploie. Il s\u2019agit de savoir si les bonnes cat\u00e9gories de contr\u00f4les sont en place, si ces contr\u00f4les sont appliqu\u00e9s de mani\u00e8re coh\u00e9rente dans le pipeline, et s\u2019ils produisent des preuves fiables que les auditeurs peuvent v\u00e9rifier.<\/p>\n\n\n\n<p>Lors de la revue de la s\u00e9curit\u00e9 CI\/CD, les auditeurs doivent se concentrer sur <strong>l\u2019application, la qualit\u00e9 des preuves, la tra\u00e7abilit\u00e9 et la gouvernance<\/strong> \u2014 et non sur les noms de produits ou les listes de fonctionnalit\u00e9s.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Ressources connexes pour les auditeurs<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/glossary\/\">Glossaire des termes de s\u00e9curit\u00e9 et conformit\u00e9 CI\/CD<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/core-ci-cd-security-controls\/\">Contr\u00f4les de s\u00e9curit\u00e9 CI\/CD fondamentaux<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/how-auditors-actually-review-ci-cd-pipelines\/\">Comment les auditeurs examinent r\u00e9ellement les pipelines CI\/CD<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/continuous-compliance-via-ci-cd\/\">Conformit\u00e9 continue via CI\/CD<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--standard\"\r\n             dir=\"ltr\" lang=\"fr\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">\u00c0 propos de l\u2019auteur<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Architecte senior DevSecOps et s\u00e9curit\u00e9, avec plus de 15 ans d\u2019exp\u00e9rience en ing\u00e9nierie logicielle s\u00e9curis\u00e9e, s\u00e9curit\u00e9 CI\/CD et environnements d\u2019entreprise r\u00e9glement\u00e9s.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Certifi\u00e9 CSSLP et EC-Council Certified DevSecOps Engineer, avec une exp\u00e9rience concr\u00e8te dans la conception d\u2019architectures CI\/CD s\u00e9curis\u00e9es, auditables et conformes.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/fr\/fr\/about\/\">En savoir plus sur la page About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>Guide orient\u00e9 gouvernance des cat\u00e9gories de contr\u00f4les de s\u00e9curit\u00e9 CI\/CD pour les auditeurs, responsables conformit\u00e9 et r\u00e9gulateurs Les pipelines CI\/CD sont l\u2019\u00e9pine dorsale de la livraison logicielle moderne. Pour les auditeurs et les responsables conformit\u00e9, comprendre les contr\u00f4les de s\u00e9curit\u00e9 int\u00e9gr\u00e9s dans ces pipelines est essentiel pour \u00e9valuer si une organisation g\u00e8re ad\u00e9quatement les risques &#8230; <a title=\"Outillage de s\u00e9curit\u00e9 CI\/CD \u2014 Guide de l\u2019auditeur sur les cat\u00e9gories de contr\u00f4les\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/ci-cd-security-tooling-overview\/\" aria-label=\"En savoir plus sur Outillage de s\u00e9curit\u00e9 CI\/CD \u2014 Guide de l\u2019auditeur sur les cat\u00e9gories de contr\u00f4les\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,122,128],"tags":[],"post_folder":[],"class_list":["post-1385","post","type-post","status-publish","format-standard","hentry","category-ci-cd-governance","category-audit-evidence","category-tool-governance"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1385","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1385"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1385\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1385"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1385"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1385"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1385"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}