{"id":1404,"date":"2026-03-25T17:00:49","date_gmt":"2026-03-25T16:00:49","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/iso-27001-certification-what-ci-cd-evidence-auditors-require-2\/"},"modified":"2026-03-26T00:21:49","modified_gmt":"2026-03-25T23:21:49","slug":"iso-27001-certification-what-ci-cd-evidence-auditors-require","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/audit-evidence\/iso-27001-certification-what-ci-cd-evidence-auditors-require\/","title":{"rendered":"Certification ISO 27001 \u2014 Les preuves CI\/CD exig\u00e9es par les auditeurs"},"content":{"rendered":"<h2>Processus d&rsquo;audit de certification ISO 27001 \u2014 Vue d&rsquo;ensemble<\/h2>\n<p>La certification ISO 27001 implique un audit externe en deux \u00e9tapes men\u00e9 par un organisme de certification accr\u00e9dit\u00e9. Comprendre ce processus est essentiel pour les responsables conformit\u00e9 pr\u00e9parant les environnements CI\/CD \u00e0 l&rsquo;\u00e9valuation.<\/p>\n<h3>\u00c9tape 1 \u2014 Revue documentaire<\/h3>\n<p>L&rsquo;audit d&rsquo;\u00c9tape 1 est principalement une revue documentaire. L&rsquo;auditeur \u00e9value si la documentation de votre SMSI est compl\u00e8te et si l&rsquo;organisation est pr\u00eate pour l&rsquo;\u00e9valuation d&rsquo;\u00c9tape 2. Pour les environnements CI\/CD, cela signifie v\u00e9rifier que :<\/p>\n<ul>\n<li>Le p\u00e9rim\u00e8tre du SMSI inclut explicitement l&rsquo;infrastructure et les processus de pipeline CI\/CD<\/li>\n<li>La D\u00e9claration d&rsquo;Applicabilit\u00e9 (DdA) traite les contr\u00f4les de l&rsquo;Annexe A pertinents pour CI\/CD<\/li>\n<li>Les \u00e9valuations de risques couvrent les sc\u00e9narios de menaces sp\u00e9cifiques \u00e0 CI\/CD<\/li>\n<li>Les politiques et proc\u00e9dures font r\u00e9f\u00e9rence aux processus automatis\u00e9s de d\u00e9veloppement et de d\u00e9ploiement<\/li>\n<li>Le programme d&rsquo;audit interne a couvert les contr\u00f4les de s\u00e9curit\u00e9 CI\/CD<\/li>\n<\/ul>\n<p><strong>R\u00e9sultat courant de l&rsquo;\u00c9tape 1 pour CI\/CD :<\/strong> Les auditeurs constatent fr\u00e9quemment que la documentation du SMSI a \u00e9t\u00e9 r\u00e9dig\u00e9e avant l&rsquo;adoption de CI\/CD et n&rsquo;a pas \u00e9t\u00e9 mise \u00e0 jour. Il en r\u00e9sulte une recommandation de mettre \u00e0 jour la documentation avant de passer \u00e0 l&rsquo;\u00c9tape 2.<\/p>\n<h3>\u00c9tape 2 \u2014 Audit de preuves<\/h3>\n<p>L&rsquo;audit d&rsquo;\u00c9tape 2 est le moment o\u00f9 les auditeurs examinent les <em>preuves d&rsquo;impl\u00e9mentation et d&rsquo;efficacit\u00e9<\/em>. Pour les environnements CI\/CD, cela signifie d\u00e9montrer que les contr\u00f4les document\u00e9s fonctionnent r\u00e9ellement et produisent des r\u00e9sultats v\u00e9rifiables. Les auditeurs demanderont des artefacts sp\u00e9cifiques, interrogeront le personnel responsable de la s\u00e9curit\u00e9 des pipelines et pourront observer les op\u00e9rations de pipeline.<\/p>\n<p>L&rsquo;audit d&rsquo;\u00c9tape 2 a g\u00e9n\u00e9ralement lieu quatre \u00e0 huit semaines apr\u00e8s l&rsquo;\u00c9tape 1 pour permettre de combler les lacunes documentaires.<\/p>\n<h2>Ce que les auditeurs demandent lors de l&rsquo;\u00c9tape 2 pour les environnements CI\/CD<\/h2>\n<p>Les auditeurs abordent la collecte de preuves CI\/CD de mani\u00e8re syst\u00e9matique \u00e0 travers les domaines de contr\u00f4le. Les sections suivantes d\u00e9taillent ce qui est demand\u00e9, quel format est acceptable et combien de temps les preuves doivent \u00eatre conserv\u00e9es.<\/p>\n<h2>Cat\u00e9gories de preuves et artefacts CI\/CD<\/h2>\n<h3>1. Documentation du SMSI<\/h3>\n<p>Le fondement de l&rsquo;audit. Les auditeurs v\u00e9rifient que le cadre du SMSI traite sp\u00e9cifiquement de CI\/CD.<\/p>\n<ul>\n<li><strong>Artefacts CI\/CD sp\u00e9cifiques :<\/strong> D\u00e9claration de p\u00e9rim\u00e8tre du SMSI nommant les syst\u00e8mes CI\/CD ; politique de s\u00e9curit\u00e9 de l&rsquo;information r\u00e9f\u00e9ren\u00e7ant les pipelines automatis\u00e9s ; politique de d\u00e9veloppement s\u00e9curis\u00e9 ; plans de traitement des risques sp\u00e9cifiques \u00e0 CI\/CD<\/li>\n<li><strong>Formats acceptables :<\/strong> Documents approuv\u00e9s dans un syst\u00e8me de gestion documentaire avec contr\u00f4le de version, dates de revue et signatures d&rsquo;approbation<\/li>\n<li><strong>Exigences de r\u00e9tention :<\/strong> Version actuelle plus au moins la version pr\u00e9c\u00e9dente ; historique de revue pour le cycle de certification complet (trois ans)<\/li>\n<\/ul>\n<h3>2. Registres d&rsquo;\u00e9valuation des risques<\/h3>\n<p>Les auditeurs s&rsquo;attendent \u00e0 ce que les risques sp\u00e9cifiques \u00e0 CI\/CD soient identifi\u00e9s, \u00e9valu\u00e9s et trait\u00e9s.<\/p>\n<ul>\n<li><strong>Artefacts CI\/CD sp\u00e9cifiques :<\/strong> Entr\u00e9es du registre des risques pour la compromission de pipeline, les attaques de la cha\u00eene d&rsquo;approvisionnement, l&rsquo;exposition de secrets, le d\u00e9ploiement non autoris\u00e9 et la falsification de l&rsquo;environnement de build ; plans de traitement des risques avec mapping des contr\u00f4les ; m\u00e9thodologie d&rsquo;\u00e9valuation des risques couvrant les sc\u00e9narios de menaces CI\/CD<\/li>\n<li><strong>Formats acceptables :<\/strong> Registre des risques (tableur, export de plateforme GRC ou format document\u00e9) ; rapports d&rsquo;\u00e9valuation des risques avec dates et identification de l&rsquo;\u00e9valuateur<\/li>\n<li><strong>Exigences de r\u00e9tention :<\/strong> Registre des risques actuel plus versions historiques montrant l&rsquo;\u00e9volution des risques ; minimum trois ans de registres d&rsquo;\u00e9valuation des risques<\/li>\n<\/ul>\n<h3>3. Preuves de contr\u00f4le d&rsquo;acc\u00e8s<\/h3>\n<p>L&rsquo;un des domaines les plus scrut\u00e9s pour CI\/CD.<\/p>\n<ul>\n<li><strong>Artefacts CI\/CD sp\u00e9cifiques :<\/strong> Listes d&rsquo;utilisateurs de la plateforme de pipeline avec attributions de r\u00f4les ; inventaires de comptes de service ; registres de revue d&rsquo;acc\u00e8s montrant la recertification p\u00e9riodique ; preuves d&rsquo;application de l&rsquo;authentification multi-facteurs ; journaux d&rsquo;acc\u00e8s privil\u00e9gi\u00e9 pour l&rsquo;administration des pipelines ; registres de provisionnement et de d\u00e9-provisionnement des acc\u00e8s<\/li>\n<li><strong>Formats acceptables :<\/strong> Rapports d&rsquo;acc\u00e8s g\u00e9n\u00e9r\u00e9s par la plateforme ; registres de validation de revue d&rsquo;acc\u00e8s ; captures d&rsquo;\u00e9cran de configuration d&rsquo;authentification avec horodatages ; workflows de demande et d&rsquo;approbation d&rsquo;acc\u00e8s<\/li>\n<li><strong>Exigences de r\u00e9tention :<\/strong> Configurations d&rsquo;acc\u00e8s actuelles ; registres de revue d&rsquo;acc\u00e8s pour au moins 12 mois ; journaux de changements d&rsquo;acc\u00e8s pour le cycle de certification complet<\/li>\n<\/ul>\n<h3>4. Registres de gestion des changements<\/h3>\n<p>La fonction principale du pipeline \u2014 faire passer les changements par des \u00e9tapes contr\u00f4l\u00e9es \u2014 doit elle-m\u00eame \u00eatre document\u00e9e.<\/p>\n<ul>\n<li><strong>Artefacts CI\/CD sp\u00e9cifiques :<\/strong> Historiques d&rsquo;ex\u00e9cution de pipeline montrant le cycle de vie complet du changement ; registres d&rsquo;approbation pour les d\u00e9ploiements en production ; registres de changements d&rsquo;urgence avec revues r\u00e9trospectives ; historique de changements de configuration de pipeline (historique de versioning pipeline-as-code) ; registres de mise en production avec tra\u00e7abilit\u00e9 vers les changements approuv\u00e9s<\/li>\n<li><strong>Formats acceptables :<\/strong> Journaux d&rsquo;audit de la plateforme de pipeline ; historique du syst\u00e8me de contr\u00f4le de version ; registres de workflow d&rsquo;approbation ; comptes-rendus de comit\u00e9 consultatif des changements (CAB) le cas \u00e9ch\u00e9ant<\/li>\n<li><strong>Exigences de r\u00e9tention :<\/strong> Historique complet des d\u00e9ploiements pour au moins 12 mois ; historique de configuration de pipeline pour le cycle de certification complet ; registres de changements d&rsquo;urgence conserv\u00e9s pour revue<\/li>\n<\/ul>\n<h3>5. R\u00e9sultats des tests de s\u00e9curit\u00e9<\/h3>\n<p>Preuves que les tests de s\u00e9curit\u00e9 sont int\u00e9gr\u00e9s, obligatoires et efficaces.<\/p>\n<ul>\n<li><strong>Artefacts CI\/CD sp\u00e9cifiques :<\/strong> R\u00e9sultats d&rsquo;analyse statique par ex\u00e9cution de pipeline ; r\u00e9sultats d&rsquo;analyse de vuln\u00e9rabilit\u00e9s des d\u00e9pendances ; r\u00e9sultats de tests de s\u00e9curit\u00e9 dynamiques ; rapports de tests d&rsquo;intrusion pour l&rsquo;infrastructure de pipeline ; taux de passage\/\u00e9chec des tests de s\u00e9curit\u00e9 dans le temps ; registres d&rsquo;\u00e9checs de tests de s\u00e9curit\u00e9 ayant bloqu\u00e9 les d\u00e9ploiements<\/li>\n<li><strong>Formats acceptables :<\/strong> Rapports d&rsquo;outils de s\u00e9curit\u00e9 li\u00e9s \u00e0 des ex\u00e9cutions de pipeline sp\u00e9cifiques ; tableaux de bord d&rsquo;analyse de tendances avec donn\u00e9es sous-jacentes ; rapports de tests d&rsquo;intrusion par des testeurs qualifi\u00e9s<\/li>\n<li><strong>Exigences de r\u00e9tention :<\/strong> R\u00e9sultats d&rsquo;analyse individuels conserv\u00e9s au moins 12 mois ; donn\u00e9es de tendances pour le cycle de certification complet ; rapports de tests d&rsquo;intrusion conserv\u00e9s jusqu&rsquo;\u00e0 l&rsquo;\u00e9valuation suivante<\/li>\n<\/ul>\n<h3>6. Registres de gestion des incidents<\/h3>\n<p>Preuves que les incidents de s\u00e9curit\u00e9 li\u00e9s \u00e0 CI\/CD sont d\u00e9tect\u00e9s, trait\u00e9s et sources d&rsquo;apprentissage.<\/p>\n<ul>\n<li><strong>Artefacts CI\/CD sp\u00e9cifiques :<\/strong> Registres d&rsquo;incidents pour tout \u00e9v\u00e9nement de s\u00e9curit\u00e9 de pipeline ; documentation de proc\u00e9dure de r\u00e9ponse aux incidents couvrant les sc\u00e9narios CI\/CD ; rapports de revue post-incident ; preuves d&rsquo;exercices d&rsquo;incidents ou d&rsquo;exercices de simulation impliquant des sc\u00e9narios de compromission de pipeline ; registres d&rsquo;actions correctives<\/li>\n<li><strong>Formats acceptables :<\/strong> Registres du syst\u00e8me de gestion des incidents ; documents de revue post-incident ; rapports d&rsquo;exercices de simulation ; registres de suivi des actions correctives<\/li>\n<li><strong>Exigences de r\u00e9tention :<\/strong> Tous les registres d&rsquo;incidents pour le cycle de certification complet (trois ans) ; actions correctives suivies jusqu&rsquo;\u00e0 cl\u00f4ture<\/li>\n<\/ul>\n<h3>7. Registres de gestion des fournisseurs<\/h3>\n<p>Preuves que les d\u00e9pendances CI\/CD tierces sont g\u00e9r\u00e9es et surveill\u00e9es.<\/p>\n<ul>\n<li><strong>Artefacts CI\/CD sp\u00e9cifiques :<\/strong> Registre des fournisseurs incluant les fournisseurs de plateformes CI\/CD, les fournisseurs de plugins et les fournisseurs de services cloud ; \u00e9valuations des risques tiers pour les prestataires de services CI\/CD ; exigences de s\u00e9curit\u00e9 contractuelles ; registres de surveillance du niveau de service ; inventaire des d\u00e9pendances (SBOM) pour les composants de pipeline<\/li>\n<li><strong>Formats acceptables :<\/strong> Entr\u00e9es du registre des fournisseurs ; rapports d&rsquo;\u00e9valuation des risques ; extraits de contrats montrant les clauses de s\u00e9curit\u00e9 ; comptes-rendus de r\u00e9unions de revue de service ; sorties SBOM dans des formats standards<\/li>\n<li><strong>Exigences de r\u00e9tention :<\/strong> Registre des fournisseurs et contrats \u00e0 jour ; \u00e9valuations des risques mises \u00e0 jour au moins annuellement ; registres de revue de service pour 12 mois minimum<\/li>\n<\/ul>\n<h2>Tableau r\u00e9capitulatif des preuves<\/h2>\n<table>\n<thead>\n<tr>\n<th>Type de preuve<\/th>\n<th>Syst\u00e8me source<\/th>\n<th>Format<\/th>\n<th>R\u00e9tention<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>P\u00e9rim\u00e8tre et politiques du SMSI<\/td>\n<td>Syst\u00e8me de gestion documentaire<\/td>\n<td>Documents approuv\u00e9s avec contr\u00f4le de version<\/td>\n<td>Versions actuelle + pr\u00e9c\u00e9dentes ; historique de revue de 3 ans<\/td>\n<\/tr>\n<tr>\n<td>Registre des risques (entr\u00e9es CI\/CD)<\/td>\n<td>Plateforme GRC ou registre des risques<\/td>\n<td>Entr\u00e9es de risques structur\u00e9es avec dates d&rsquo;\u00e9valuation<\/td>\n<td>Versions actuelle + historiques ; 3 ans<\/td>\n<\/tr>\n<tr>\n<td>Listes d&rsquo;acc\u00e8s utilisateurs du pipeline<\/td>\n<td>Console d&rsquo;administration de la plateforme CI\/CD<\/td>\n<td>Export utilisateur\/r\u00f4le avec horodatages<\/td>\n<td>Config actuelle + 12 mois de journaux de changements<\/td>\n<\/tr>\n<tr>\n<td>Validations de revue d&rsquo;acc\u00e8s<\/td>\n<td>Outil de gouvernance d&rsquo;acc\u00e8s ou registres manuels<\/td>\n<td>Registres de revue avec identit\u00e9 du relecteur et date<\/td>\n<td>12 mois minimum<\/td>\n<\/tr>\n<tr>\n<td>Pistes d&rsquo;audit d&rsquo;ex\u00e9cution de pipeline<\/td>\n<td>Journaux de la plateforme CI\/CD<\/td>\n<td>Entr\u00e9es de journal immuables par ex\u00e9cution<\/td>\n<td>12 mois minimum<\/td>\n<\/tr>\n<tr>\n<td>Registres d&rsquo;approbation de d\u00e9ploiement<\/td>\n<td>Plateforme CI\/CD ou outil de workflow<\/td>\n<td>Registres d&rsquo;approbation avec identit\u00e9 de l&rsquo;approbateur et horodatage<\/td>\n<td>12 mois minimum<\/td>\n<\/tr>\n<tr>\n<td>Historique de configuration de pipeline<\/td>\n<td>Syst\u00e8me de contr\u00f4le de version<\/td>\n<td>Historique des commits pour les fichiers pipeline-as-code<\/td>\n<td>Cycle de certification complet (3 ans)<\/td>\n<\/tr>\n<tr>\n<td>R\u00e9sultats d&rsquo;analyse de s\u00e9curit\u00e9<\/td>\n<td>Outils de tests de s\u00e9curit\u00e9 int\u00e9gr\u00e9s au pipeline<\/td>\n<td>Rapports d&rsquo;outils li\u00e9s aux IDs d&rsquo;ex\u00e9cution de pipeline<\/td>\n<td>12 mois individuels ; 3 ans donn\u00e9es de tendances<\/td>\n<\/tr>\n<tr>\n<td>Rapports de tests d&rsquo;intrusion<\/td>\n<td>Prestataire de tests qualifi\u00e9<\/td>\n<td>Rapport formel avec p\u00e9rim\u00e8tre, constats, rem\u00e9diation<\/td>\n<td>Jusqu&rsquo;\u00e0 l&rsquo;\u00e9valuation suivante<\/td>\n<\/tr>\n<tr>\n<td>Registres d&rsquo;incidents<\/td>\n<td>Syst\u00e8me de gestion des incidents<\/td>\n<td>Tickets d&rsquo;incidents avec chronologie et r\u00e9solution<\/td>\n<td>3 ans<\/td>\n<\/tr>\n<tr>\n<td>\u00c9valuations des risques fournisseurs<\/td>\n<td>Plateforme GRC ou registres manuels<\/td>\n<td>Rapports d&rsquo;\u00e9valuation avec niveaux de risque<\/td>\n<td>Mise \u00e0 jour annuelle ; 3 ans d&rsquo;historique<\/td>\n<\/tr>\n<tr>\n<td>SBOM \/ inventaire des d\u00e9pendances<\/td>\n<td>Outil d&rsquo;analyse des d\u00e9pendances du pipeline<\/td>\n<td>Format SBOM standard (CycloneDX, SPDX)<\/td>\n<td>Par mise en production ; 12 mois minimum<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Raisons courantes de non-conformit\u00e9s dans les environnements CI\/CD<\/h2>\n<p>Les non-conformit\u00e9s suivantes sont les plus fr\u00e9quemment soulev\u00e9es lors des audits de certification des organisations disposant de pipelines CI\/CD :<\/p>\n<ol>\n<li><strong>Lacune de p\u00e9rim\u00e8tre du SMSI :<\/strong> L&rsquo;infrastructure CI\/CD n&rsquo;est pas explicitement incluse dans le p\u00e9rim\u00e8tre du SMSI, ce qui entra\u00eene la non-application des contr\u00f4les<\/li>\n<li><strong>Documentation p\u00e9rim\u00e9e :<\/strong> Les politiques et proc\u00e9dures r\u00e9dig\u00e9es avant l&rsquo;adoption de CI\/CD et jamais mises \u00e0 jour pour refl\u00e9ter les processus automatis\u00e9s<\/li>\n<li><strong>Revues d&rsquo;acc\u00e8s incompl\u00e8tes :<\/strong> Les comptes de service de pipeline et les identifiants d&rsquo;automatisation exclus des revues d&rsquo;acc\u00e8s p\u00e9riodiques<\/li>\n<li><strong>Pistes d&rsquo;audit manquantes :<\/strong> Les journaux de pipeline sont modifiables, incomplets ou non conserv\u00e9s pour la p\u00e9riode requise<\/li>\n<li><strong>Portes de s\u00e9curit\u00e9 contournables :<\/strong> Les \u00e9tapes de tests de s\u00e9curit\u00e9 dans le pipeline peuvent \u00eatre ignor\u00e9es sans approbation formelle et documentation<\/li>\n<li><strong>Pas d&rsquo;\u00e9valuation des risques fournisseurs pour les outils CI\/CD :<\/strong> Les plateformes et plugins CI\/CD tiers non inclus dans le registre des risques fournisseurs<\/li>\n<li><strong>Changements d&rsquo;urgence sans revue r\u00e9trospective :<\/strong> Correctifs d\u00e9ploy\u00e9s en dehors du pipeline standard sans justification document\u00e9e et revue post-d\u00e9ploiement<\/li>\n<li><strong>Lacunes d&rsquo;\u00e9valuation des risques :<\/strong> Les sc\u00e9narios de menaces sp\u00e9cifiques \u00e0 CI\/CD (attaque de cha\u00eene d&rsquo;approvisionnement, exposition de secrets, compromission de pipeline) non \u00e9valu\u00e9s dans le registre des risques<\/li>\n<\/ol>\n<h2>Attentes des audits de surveillance<\/h2>\n<p>Apr\u00e8s la certification initiale, des audits de surveillance sont men\u00e9s annuellement (couvrant g\u00e9n\u00e9ralement un tiers des contr\u00f4les chaque ann\u00e9e). Pour les environnements CI\/CD, les auditeurs de surveillance se concentreront sur :<\/p>\n<ul>\n<li><strong>Efficacit\u00e9 continue :<\/strong> Les contr\u00f4les conformes lors de la certification fonctionnent-ils toujours efficacement ?<\/li>\n<li><strong>Couverture de la revue de direction :<\/strong> La direction a-t-elle revu la performance de la s\u00e9curit\u00e9 CI\/CD ?<\/li>\n<li><strong>Actions correctives :<\/strong> Les non-conformit\u00e9s de l&rsquo;audit pr\u00e9c\u00e9dent ont-elles \u00e9t\u00e9 trait\u00e9es et v\u00e9rifi\u00e9es ?<\/li>\n<li><strong>Changements depuis le dernier audit :<\/strong> Y a-t-il eu des changements significatifs dans l&rsquo;environnement CI\/CD, et ont-ils fait l&rsquo;objet d&rsquo;une \u00e9valuation des risques ?<\/li>\n<li><strong>Constats d&rsquo;audit interne :<\/strong> Les audits internes ont-ils couvert les contr\u00f4les CI\/CD, et les constats ont-ils \u00e9t\u00e9 trait\u00e9s ?<\/li>\n<li><strong>Am\u00e9lioration continue :<\/strong> Existe-t-il des preuves d&rsquo;am\u00e9lioration des contr\u00f4les de s\u00e9curit\u00e9 CI\/CD depuis le dernier audit ?<\/li>\n<\/ul>\n<h2>Pr\u00e9parer la recertification<\/h2>\n<p>L&rsquo;audit de recertification triennal est plus complet que les audits de surveillance. Il r\u00e9\u00e9value l&rsquo;ensemble du SMSI. Pour les environnements CI\/CD, la pr\u00e9paration doit inclure :<\/p>\n<ul>\n<li>Revue et mise \u00e0 jour compl\u00e8tes de toutes les politiques et proc\u00e9dures li\u00e9es \u00e0 CI\/CD<\/li>\n<li>Cycle complet de revues d&rsquo;acc\u00e8s pour tous les comptes et identifiants de pipeline<\/li>\n<li>\u00c9valuation des risques mise \u00e0 jour couvrant toute nouvelle technologie ou processus CI\/CD adopt\u00e9 pendant le cycle de certification<\/li>\n<li>Preuves de trois ans de fonctionnement continu des contr\u00f4les (pistes d&rsquo;audit, registres de revue, registres d&rsquo;incidents)<\/li>\n<li>Registres de revue de direction traitant sp\u00e9cifiquement des tendances de performance de la s\u00e9curit\u00e9 CI\/CD<\/li>\n<li>Rapports d&rsquo;audit interne couvrant tous les contr\u00f4les de l&rsquo;Annexe A pertinents pour CI\/CD<\/li>\n<li>Preuves d&rsquo;initiatives d&rsquo;am\u00e9lioration continue pour la s\u00e9curit\u00e9 des pipelines<\/li>\n<\/ul>\n<h2>Lectures compl\u00e9mentaires<\/h2>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/compliance\/iso-27001\/\">Hub de conformit\u00e9 ISO 27001<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/before-the-auditor-arrives-ci-cd-audit-readiness-checklist\/\">Avant l&rsquo;arriv\u00e9e de l&rsquo;auditeur \u2014 Checklist de pr\u00e9paration \u00e0 l&rsquo;audit CI\/CD<\/a><\/li>\n<\/ul>\n<hr\/>\n<h3>Ressources connexes pour les auditeurs<\/h3>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/glossary\/\">Glossaire<\/a> \u2014 D\u00e9finitions en langage clair des termes techniques<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/audit-day-playbook-how-to-handle-ci-cd-audits-in-regulated-environments\/\">Playbook du jour d&rsquo;audit<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/executive-audit-briefing-ci-cd-pipelines-in-regulated-environments\/\">Briefing ex\u00e9cutif d&rsquo;audit<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/dual-compliance-architecture-explained\/\">Architecture de double conformit\u00e9<\/a><\/li>\n<\/ul>\n<p><em>Nouveau dans l&rsquo;audit CI\/CD ? Commencez par notre <a href=\"https:\/\/regulated-devsecops.com\/fr\/start-here\/\">Guide de l&rsquo;auditeur<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Processus d&rsquo;audit de certification ISO 27001 \u2014 Vue d&rsquo;ensemble La certification ISO 27001 implique un audit externe en deux \u00e9tapes men\u00e9 par un organisme de certification accr\u00e9dit\u00e9. Comprendre ce processus est essentiel pour les responsables conformit\u00e9 pr\u00e9parant les environnements CI\/CD \u00e0 l&rsquo;\u00e9valuation. \u00c9tape 1 \u2014 Revue documentaire L&rsquo;audit d&rsquo;\u00c9tape 1 est principalement une revue documentaire. &#8230; <a title=\"Certification ISO 27001 \u2014 Les preuves CI\/CD exig\u00e9es par les auditeurs\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/audit-evidence\/iso-27001-certification-what-ci-cd-evidence-auditors-require\/\" aria-label=\"En savoir plus sur Certification ISO 27001 \u2014 Les preuves CI\/CD exig\u00e9es par les auditeurs\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[122,126],"tags":[],"post_folder":[],"class_list":["post-1404","post","type-post","status-publish","format-standard","hentry","category-audit-evidence","category-regulatory-frameworks"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1404","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1404"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1404\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1404"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1404"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1404"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1404"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}