{"id":1396,"date":"2026-03-25T16:57:17","date_gmt":"2026-03-25T15:57:17","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/nis2-article-21-ci-cd-controls-mapping-2\/"},"modified":"2026-03-26T00:21:11","modified_gmt":"2026-03-25T23:21:11","slug":"nis2-article-21-ci-cd-controls-mapping","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/nis2-article-21-ci-cd-controls-mapping\/","title":{"rendered":"NIS2 Article 21 \u2014 Mapping des contr\u00f4les CI\/CD"},"content":{"rendered":"

Vue d’ensemble : NIS2 Article 21 et mesures de gestion des risques de cybers\u00e9curit\u00e9<\/h2>\n

La Directive NIS2 Article 21 \u00e9tablit les mesures de base de gestion des risques de cybers\u00e9curit\u00e9 que les entit\u00e9s essentielles et importantes doivent mettre en \u0153uvre. Pour les organisations s’appuyant sur des pipelines CI\/CD pour livrer des logiciels, ces exigences se traduisent directement en contr\u00f4les de gouvernance des pipelines que les auditeurs et les responsables conformit\u00e9 doivent \u00e9valuer.<\/p>\n

L’Article 21 impose une approche tous risques<\/strong> \u2014 ce qui signifie que les contr\u00f4les doivent couvrir les risques sur l’ensemble du cycle de vie de livraison logicielle, pas uniquement l’infrastructure de production. Cela inclut les environnements de build, l’automatisation du d\u00e9ploiement, la gestion des artefacts et les workflows d’approbation des changements.<\/p>\n

Le tableau ci-dessous mappe chaque exigence de l’Article 21 aux contr\u00f4les CI\/CD correspondants et aux preuves que les auditeurs devraient demander lors des \u00e9valuations.<\/p>\n

Exigences de l’Article 21 mapp\u00e9es aux contr\u00f4les CI\/CD<\/h2>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Exigence NIS2 Article 21<\/th>\nContr\u00f4le CI\/CD<\/th>\nPreuves pour les auditeurs<\/th>\n<\/tr>\n<\/thead>\n
Art. 21(2)(a)<\/strong> \u2014 Analyse des risques et politiques de s\u00e9curit\u00e9 des syst\u00e8mes d’information<\/td>\nPolitique de s\u00e9curit\u00e9 des pipelines document\u00e9e couvrant les \u00e9tapes de build, test et d\u00e9ploiement ; \u00e9valuations p\u00e9riodiques des risques de l’infrastructure CI\/CD<\/td>\nDocuments de politique approuv\u00e9s avec historique de versions ; rapports d’\u00e9valuation des risques r\u00e9f\u00e9ren\u00e7ant les actifs CI\/CD ; enregistrements de validation par la direction<\/td>\n<\/tr>\n
Art. 21(2)(b)<\/strong> \u2014 Gestion des incidents<\/td>\nProc\u00e9dures de r\u00e9ponse aux incidents de pipeline ; alertes automatis\u00e9es sur les \u00e9checs de build\/d\u00e9ploiement ; m\u00e9canismes de rollback<\/td>\nPlaybooks de r\u00e9ponse aux incidents sp\u00e9cifiques aux d\u00e9faillances de pipeline ; enregistrements de configuration des alertes ; journaux d’incidents montrant les d\u00e9lais d\u00e9tection-r\u00e9solution<\/td>\n<\/tr>\n
Art. 21(2)(c)<\/strong> \u2014 Continuit\u00e9 d’activit\u00e9 et gestion de crise<\/td>\nPlans de redondance et de reprise apr\u00e8s sinistre des pipelines ; sauvegarde des configurations et secrets de pipeline ; objectifs de temps de r\u00e9cup\u00e9ration pour l’infrastructure de build<\/td>\nPlans de continuit\u00e9 d’activit\u00e9 couvrant les syst\u00e8mes CI\/CD ; proc\u00e9dures de r\u00e9cup\u00e9ration document\u00e9es ; r\u00e9sultats de tests des exercices PRA ; journaux de v\u00e9rification des sauvegardes<\/td>\n<\/tr>\n
Art. 21(2)(d)<\/strong> \u2014 S\u00e9curit\u00e9 de la cha\u00eene d’approvisionnement<\/td>\nPolitiques de gouvernance des d\u00e9pendances ; registres et catalogues d’images de base approuv\u00e9s ; \u00e9valuations des fournisseurs d’outils CI\/CD ; g\u00e9n\u00e9ration de Software Bill of Materials (SBOM)<\/td>\nListes de d\u00e9pendances approuv\u00e9es ; enregistrements SBOM par release ; rapports d’\u00e9valuation des risques fournisseurs ; workflows d’approbation des composants tiers<\/td>\n<\/tr>\n
Art. 21(2)(e)<\/strong> \u2014 S\u00e9curit\u00e9 dans l’acquisition, le d\u00e9veloppement et la maintenance des r\u00e9seaux et syst\u00e8mes d’information<\/td>\nStandards de configuration s\u00e9curis\u00e9e des pipelines ; s\u00e9paration des environnements (dev\/staging\/production) ; barri\u00e8res de scan de s\u00e9curit\u00e9 automatis\u00e9es<\/td>\nBaselines de configuration des pipelines ; documentation d’architecture des environnements ; politiques de barri\u00e8res de scan et enregistrements r\u00e9ussite\/\u00e9chec<\/td>\n<\/tr>\n
Art. 21(2)(f)<\/strong> \u2014 Politiques et proc\u00e9dures pour \u00e9valuer l’efficacit\u00e9 des mesures de gestion des risques de cybers\u00e9curit\u00e9<\/td>\nM\u00e9triques et KPI de s\u00e9curit\u00e9 des pipelines ; audits p\u00e9riodiques des pipelines ; revues d’efficacit\u00e9 des contr\u00f4les<\/td>\nRapports de tableaux de bord sur les taux de r\u00e9ussite des barri\u00e8res de s\u00e9curit\u00e9 ; constats d’audit et suivi de rem\u00e9diation ; comptes rendus de revue de direction<\/td>\n<\/tr>\n
Art. 21(2)(g)<\/strong> \u2014 Pratiques de base en cyberhygi\u00e8ne et formation en cybers\u00e9curit\u00e9<\/td>\nFormation des d\u00e9veloppeurs sur l’utilisation s\u00e9curis\u00e9e des pipelines ; proc\u00e9dures d’onboarding document\u00e9es pour l’acc\u00e8s aux pipelines<\/td>\nEnregistrements de formation compl\u00e9t\u00e9e ; checklists d’onboarding ; supports de programme de sensibilisation r\u00e9f\u00e9ren\u00e7ant la s\u00e9curit\u00e9 CI\/CD<\/td>\n<\/tr>\n
Art. 21(2)(h)<\/strong> \u2014 Politiques et proc\u00e9dures relatives \u00e0 l’utilisation de la cryptographie et du chiffrement<\/td>\nPolitiques de gestion des secrets ; chiffrement des artefacts en transit et au repos ; exigences de signature de code<\/td>\nAttestations de configuration des outils de gestion des secrets ; politiques de chiffrement ; enregistrements de v\u00e9rification des artefacts sign\u00e9s ; journaux de gestion des certificats<\/td>\n<\/tr>\n
Art. 21(2)(i)<\/strong> \u2014 S\u00e9curit\u00e9 des ressources humaines, politiques de contr\u00f4le d’acc\u00e8s et gestion des actifs<\/td>\nContr\u00f4le d’acc\u00e8s bas\u00e9 sur les r\u00f4les (RBAC) pour les syst\u00e8mes de pipeline ; inventaire des actifs pipeline ; processus arriv\u00e9e\/mutation\/d\u00e9part pour l’acc\u00e8s CI\/CD<\/td>\nMatrices RBAC pour les outils de pipeline ; journaux de revue d’acc\u00e8s ; registres d’actifs listant les composants CI\/CD ; enregistrements de provisionnement et d\u00e9-provisionnement d’acc\u00e8s<\/td>\n<\/tr>\n
Art. 21(2)(j)<\/strong> \u2014 Utilisation de l’authentification multi-facteurs (MFA) et communications s\u00e9curis\u00e9es<\/td>\nApplication du MFA sur toutes les interfaces d’administration des pipelines ; canaux de communication chiffr\u00e9s entre les composants de pipeline<\/td>\nAttestations de configuration de l’application MFA ; journaux d’authentification montrant l’utilisation du MFA ; preuves de configuration TLS\/mTLS pour la communication inter-composants<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Ce que les auditeurs doivent v\u00e9rifier<\/h2>\n

Couche politique et gouvernance<\/h3>\n