{"id":1419,"date":"2026-03-25T17:22:57","date_gmt":"2026-03-25T16:22:57","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/devsecops-raci-matrix-regulated-organizations-2\/"},"modified":"2026-03-26T00:22:37","modified_gmt":"2026-03-25T23:22:37","slug":"devsecops-raci-matrix-regulated-organizations","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/devsecops-raci-matrix-regulated-organizations\/","title":{"rendered":"Matrice RACI DevSecOps pour les organisations r\u00e9glement\u00e9es"},"content":{"rendered":"<h2>Pourquoi le RACI est important dans les environnements r\u00e9glement\u00e9s<\/h2>\n<p>Les cadres r\u00e9glementaires \u2014 notamment <strong>DORA<\/strong>, <strong>NIS2<\/strong> et <strong>ISO 27001<\/strong> \u2014 partagent une attente commune : les organisations doivent d\u00e9montrer une <strong>responsabilit\u00e9 claire<\/strong> pour les d\u00e9cisions de s\u00e9curit\u00e9. Lorsqu&rsquo;un r\u00e9gulateur ou un auditeur demande \u00ab qui a approuv\u00e9 cette exception ? \u00bb ou \u00ab qui est responsable de s&rsquo;assurer que les contr\u00f4les de s\u00e9curit\u00e9 du pipeline sont appliqu\u00e9s ? \u00bb, la r\u00e9ponse ne peut \u00eatre vague ou r\u00e9partie entre des \u00e9quipes non identifi\u00e9es.<\/p>\n<p>Une matrice RACI (Responsable, Redevable, Consult\u00e9, Inform\u00e9) est l&rsquo;instrument de gouvernance \u00e9tabli pour cartographier les activit\u00e9s vers les r\u00f4les. Dans un contexte DevSecOps, elle sert un double objectif : elle structure la prise de d\u00e9cision interne <em>et<\/em> fournit aux auditeurs un document unique qui t\u00e9moigne de la conception de la responsabilit\u00e9.<\/p>\n<p>Sans un RACI document\u00e9, les organisations font face \u00e0 plusieurs risques r\u00e9glementaires :<\/p>\n<ul>\n<li>Incapacit\u00e9 \u00e0 d\u00e9montrer qui a approuv\u00e9 les exceptions de s\u00e9curit\u00e9 ou les acceptations de risques<\/li>\n<li>Chemins d&rsquo;escalade peu clairs lorsque les portes de s\u00e9curit\u00e9 \u00e9chouent ou sont contourn\u00e9es<\/li>\n<li>Constats d&rsquo;audit li\u00e9s aux violations de s\u00e9paration des t\u00e2ches<\/li>\n<li>Sanctions r\u00e9glementaires au titre de l&rsquo;article 5 de DORA (responsabilit\u00e9 de l&rsquo;organe de direction) ou de l&rsquo;article 20 de NIS2 (gouvernance et responsabilit\u00e9)<\/li>\n<\/ul>\n<h2>Le RACI expliqu\u00e9 pour les parties prenantes non techniques<\/h2>\n<p>Avant d&rsquo;appliquer la matrice, il est essentiel que toutes les parties prenantes \u2014 en particulier les responsables conformit\u00e9 et les propri\u00e9taires de risques \u2014 comprennent les quatre d\u00e9signations :<\/p>\n<table>\n<thead>\n<tr>\n<th>Lettre<\/th>\n<th>R\u00f4le<\/th>\n<th>Signification<\/th>\n<th>Question cl\u00e9<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>R<\/strong><\/td>\n<td>Responsable<\/td>\n<td>La personne ou l&rsquo;\u00e9quipe qui effectue le travail<\/td>\n<td>Qui fait la t\u00e2che ?<\/td>\n<\/tr>\n<tr>\n<td><strong>A<\/strong><\/td>\n<td>Redevable<\/td>\n<td>La seule personne qui est finalement tenue de rendre des comptes \u2014 elle approuve ou signe<\/td>\n<td>Qui r\u00e9pond au r\u00e9gulateur ?<\/td>\n<\/tr>\n<tr>\n<td><strong>C<\/strong><\/td>\n<td>Consult\u00e9<\/td>\n<td>Ceux dont l&rsquo;avis est sollicit\u00e9 avant qu&rsquo;une d\u00e9cision ou action ne soit prise<\/td>\n<td>Dont l&rsquo;expertise est n\u00e9cessaire ?<\/td>\n<\/tr>\n<tr>\n<td><strong>I<\/strong><\/td>\n<td>Inform\u00e9<\/td>\n<td>Ceux qui sont notifi\u00e9s apr\u00e8s qu&rsquo;une d\u00e9cision ou action a \u00e9t\u00e9 prise<\/td>\n<td>Qui doit \u00eatre inform\u00e9 ?<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><strong>R\u00e8gle de gouvernance critique :<\/strong> Il doit y avoir exactement <em>un<\/em> \u00ab A \u00bb par activit\u00e9. Si la redevabilit\u00e9 est partag\u00e9e, elle est dilu\u00e9e \u2014 et une redevabilit\u00e9 dilu\u00e9e est, en termes r\u00e9glementaires, aucune redevabilit\u00e9 du tout.<\/p>\n<h2>Matrice RACI compl\u00e8te pour les activit\u00e9s DevSecOps<\/h2>\n<p>La matrice suivante cartographie quatorze activit\u00e9s DevSecOps fondamentales vers huit r\u00f4les organisationnels. Elle doit \u00eatre adapt\u00e9e \u00e0 la structure de votre organisation, mais fournit un point de d\u00e9part robuste pour les environnements r\u00e9glement\u00e9s.<\/p>\n<table>\n<thead>\n<tr>\n<th>Activit\u00e9<\/th>\n<th>CISO<\/th>\n<th>Architecte s\u00e9curit\u00e9<\/th>\n<th>Responsable DevSecOps<\/th>\n<th>\u00c9quipe plateforme \/ CI-CD<\/th>\n<th>Responsable \u00e9quipe dev<\/th>\n<th>D\u00e9veloppeur<\/th>\n<th>Responsable conformit\u00e9<\/th>\n<th>Propri\u00e9taire de risque<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td><strong>D\u00e9finition de la politique de s\u00e9curit\u00e9<\/strong><\/td>\n<td>A<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<\/tr>\n<tr>\n<td><strong>Configuration de s\u00e9curit\u00e9 du pipeline<\/strong><\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>A<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Gestion des outils SAST\/DAST\/SCA<\/strong><\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>A<\/td>\n<td>R<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Triage des vuln\u00e9rabilit\u00e9s<\/strong><\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>A<\/td>\n<td>I<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Ex\u00e9cution de la rem\u00e9diation<\/strong><\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>A<\/td>\n<td>R<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Approbation d&rsquo;exception\/suppression<\/strong><\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>A<\/td>\n<\/tr>\n<tr>\n<td><strong>Configuration des portes de s\u00e9curit\u00e9<\/strong><\/td>\n<td>I<\/td>\n<td>R<\/td>\n<td>A<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Gestion du contr\u00f4le d&rsquo;acc\u00e8s<\/strong><\/td>\n<td>A<\/td>\n<td>C<\/td>\n<td>R<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Gestion des secrets<\/strong><\/td>\n<td>I<\/td>\n<td>A<\/td>\n<td>R<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>R\u00e9ponse aux incidents<\/strong><\/td>\n<td>A<\/td>\n<td>C<\/td>\n<td>R<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Pr\u00e9paration d&rsquo;audit<\/strong><\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>A<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>Reporting des m\u00e9triques<\/strong><\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>R<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>A<\/td>\n<td>I<\/td>\n<\/tr>\n<tr>\n<td><strong>\u00c9valuation des risques tiers<\/strong><\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>C<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>A<\/td>\n<\/tr>\n<tr>\n<td><strong>Formation s\u00e9curit\u00e9<\/strong><\/td>\n<td>A<\/td>\n<td>C<\/td>\n<td>R<\/td>\n<td>I<\/td>\n<td>C<\/td>\n<td>R<\/td>\n<td>I<\/td>\n<td>I<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Notes de gouvernance : Redevabilit\u00e9 et escalade<\/h2>\n<h3>Redevabilit\u00e9 finale pour la s\u00e9curit\u00e9 du pipeline<\/h3>\n<p>Dans la matrice ci-dessus, le <strong>responsable DevSecOps<\/strong> est redevable de la configuration technique et de l&rsquo;application de la s\u00e9curit\u00e9 du pipeline. Cependant, le <strong>CISO<\/strong> conserve la redevabilit\u00e9 ultime de la politique de s\u00e9curit\u00e9 et de son efficacit\u00e9. Cette redevabilit\u00e9 \u00e0 deux niveaux doit \u00eatre clairement document\u00e9e.<\/p>\n<p>Sous DORA, l&rsquo;<strong>organe de direction<\/strong> (g\u00e9n\u00e9ralement le conseil d&rsquo;administration ou le comit\u00e9 de direction) porte la responsabilit\u00e9 du cadre global de gestion des risques ICT. Le CISO agit comme leur d\u00e9l\u00e9gu\u00e9 pour les op\u00e9rations de s\u00e9curit\u00e9. Cette d\u00e9l\u00e9gation doit \u00eatre formellement document\u00e9e et p\u00e9riodiquement r\u00e9vis\u00e9e.<\/p>\n<h3>Chemin d&rsquo;escalade<\/h3>\n<p>Lorsque des conflits surviennent \u2014 par exemple, une \u00e9quipe de d\u00e9veloppement conteste une porte de s\u00e9curit\u00e9 bloquant une release \u2014 le chemin d&rsquo;escalade doit suivre une proc\u00e9dure document\u00e9e :<\/p>\n<ol>\n<li><strong>Premier niveau :<\/strong> Le responsable DevSecOps et le responsable d&rsquo;\u00e9quipe de d\u00e9veloppement tentent la r\u00e9solution<\/li>\n<li><strong>Deuxi\u00e8me niveau :<\/strong> L&rsquo;architecte s\u00e9curit\u00e9 fournit une d\u00e9cision technique<\/li>\n<li><strong>Troisi\u00e8me niveau :<\/strong> Le propri\u00e9taire de risque et le responsable conformit\u00e9 \u00e9valuent l&rsquo;acceptation du risque<\/li>\n<li><strong>Niveau final :<\/strong> Le CISO prend la d\u00e9cision contraignante, document\u00e9e dans le registre des risques<\/li>\n<\/ol>\n<p>Chaque escalade doit \u00eatre enregistr\u00e9e. Les auditeurs rechercheront des preuves que le chemin d&rsquo;escalade a \u00e9t\u00e9 suivi \u2014 pas simplement qu&rsquo;il existe sur le papier.<\/p>\n<h2>Adapter le RACI \u00e0 la taille de l&rsquo;organisation<\/h2>\n<h3>Grande entreprise (s\u00e9paration compl\u00e8te des r\u00f4les)<\/h3>\n<p>Les grandes organisations r\u00e9glement\u00e9es \u2014 banques, assureurs, op\u00e9rateurs d&rsquo;infrastructures critiques \u2014 doivent maintenir une <strong>s\u00e9paration compl\u00e8te des r\u00f4les<\/strong> comme indiqu\u00e9 dans la matrice ci-dessus. Chaque r\u00f4le est tenu par un individu ou une \u00e9quipe distinct(e). Cela fournit la s\u00e9paration des t\u00e2ches la plus forte et la piste d&rsquo;audit la plus claire.<\/p>\n<p>Exigences cl\u00e9s \u00e0 cette \u00e9chelle :<\/p>\n<ul>\n<li>\u00c9quipe DevSecOps d\u00e9di\u00e9e s\u00e9par\u00e9e du d\u00e9veloppement et des op\u00e9rations<\/li>\n<li>R\u00f4le d&rsquo;architecte s\u00e9curit\u00e9 distinct du responsable DevSecOps<\/li>\n<li>Implication formelle du responsable conformit\u00e9 dans les approbations d&rsquo;exceptions<\/li>\n<li>Propri\u00e9taire de risque d\u00e9sign\u00e9 par ligne m\u00e9tier ou portefeuille d&rsquo;applications<\/li>\n<\/ul>\n<h3>Taille moyenne (r\u00f4les combin\u00e9s)<\/h3>\n<p>Les organisations de 200 \u00e0 1 000 employ\u00e9s peuvent avoir besoin de combiner certains r\u00f4les. Les combinaisons acceptables incluent :<\/p>\n<ul>\n<li>Architecte s\u00e9curit\u00e9 + responsable DevSecOps (une personne, double r\u00f4le document\u00e9)<\/li>\n<li>Responsable conformit\u00e9 + propri\u00e9taire de risque (s&rsquo;il n&rsquo;y a pas de conflit d&rsquo;int\u00e9r\u00eat direct)<\/li>\n<li>\u00c9quipe plateforme + \u00e9quipe DevSecOps (avec responsabilit\u00e9s de s\u00e9curit\u00e9 document\u00e9es)<\/li>\n<\/ul>\n<p><strong>Combinaisons inacceptables :<\/strong><\/p>\n<ul>\n<li>D\u00e9veloppeur + approbateur d&rsquo;exceptions (l&rsquo;auto-approbation viole la s\u00e9paration des t\u00e2ches)<\/li>\n<li>Responsable DevSecOps + seul trieur de vuln\u00e9rabilit\u00e9s et seul approbateur d&rsquo;exceptions (pas de revue ind\u00e9pendante)<\/li>\n<\/ul>\n<h3>Petite taille (s\u00e9paration minimale viable)<\/h3>\n<p>Les petites entreprises r\u00e9glement\u00e9es doivent encore d\u00e9montrer la redevabilit\u00e9. Au minimum :<\/p>\n<ul>\n<li>Une personne d\u00e9sign\u00e9e redevable de la politique de s\u00e9curit\u00e9 (m\u00eame \u00e0 temps partiel)<\/li>\n<li>Les approbations d&rsquo;exceptions n\u00e9cessitent la signature de quelqu&rsquo;un d&rsquo;autre que le demandeur<\/li>\n<li>Les responsabilit\u00e9s de pr\u00e9paration d&rsquo;audit sont attribu\u00e9es \u00e0 un individu nomm\u00e9<\/li>\n<li>Le conseil d&rsquo;administration ou le comit\u00e9 de direction re\u00e7oit des rapports de s\u00e9curit\u00e9 p\u00e9riodiques<\/li>\n<\/ul>\n<p>Documentez explicitement o\u00f9 les r\u00f4les sont combin\u00e9s et quels contr\u00f4les compensatoires existent (par exemple, revue par les pairs, audit externe, contr\u00f4les automatis\u00e9s).<\/p>\n<h2>Ce que les auditeurs doivent v\u00e9rifier<\/h2>\n<p>Lors de l&rsquo;\u00e9valuation du RACI DevSecOps d&rsquo;une organisation, les auditeurs doivent rechercher des preuves selon trois dimensions :<\/p>\n<h3>1. Documentation<\/h3>\n<ul>\n<li>Existe-t-il une matrice RACI formellement approuv\u00e9e couvrant les activit\u00e9s DevSecOps ?<\/li>\n<li>Est-elle versionn\u00e9e et r\u00e9vis\u00e9e au moins annuellement ?<\/li>\n<li>Couvre-t-elle toutes les activit\u00e9s de s\u00e9curit\u00e9 critiques, pas seulement un sous-ensemble ?<\/li>\n<li>Les d\u00e9finitions de r\u00f4les sont-elles claires et cartographi\u00e9es vers des individus ou \u00e9quipes nomm\u00e9s ?<\/li>\n<\/ul>\n<h3>2. Preuves de redevabilit\u00e9 en pratique<\/h3>\n<ul>\n<li>\u00c9chantillon d&rsquo;approbations d&rsquo;exceptions : qui les a effectivement approuv\u00e9es ? Cela correspond-il au RACI ?<\/li>\n<li>Enregistrements de contournement de portes de s\u00e9curit\u00e9 : la partie redevable \u00e9tait-elle impliqu\u00e9e ?<\/li>\n<li>Enregistrements de r\u00e9ponse aux incidents : les r\u00f4les d\u00e9sign\u00e9s ont-ils particip\u00e9 comme d\u00e9fini ?<\/li>\n<li>Permissions d&rsquo;acc\u00e8s : les droits d&rsquo;acc\u00e8s syst\u00e8me s&rsquo;alignent-ils avec les attributions RACI ?<\/li>\n<\/ul>\n<h3>3. Alignement entre RACI et permissions syst\u00e8me<\/h3>\n<ul>\n<li>Seuls ceux d\u00e9sign\u00e9s comme Responsable ou Redevable de la gestion du contr\u00f4le d&rsquo;acc\u00e8s doivent avoir des privil\u00e8ges administratifs sur les plateformes CI\/CD<\/li>\n<li>Les workflows d&rsquo;approbation d&rsquo;exceptions doivent appliquer la cha\u00eene de signature d\u00e9finie dans le RACI<\/li>\n<li>L&rsquo;acc\u00e8s aux journaux d&rsquo;audit doit \u00eatre restreint \u00e0 ceux ayant des r\u00f4les Responsable ou Redevable pour la pr\u00e9paration d&rsquo;audit<\/li>\n<\/ul>\n<h2>Signaux d&rsquo;alerte pour les auditeurs et les responsables conformit\u00e9<\/h2>\n<table>\n<thead>\n<tr>\n<th>Signal d&rsquo;alerte<\/th>\n<th>Pourquoi c&rsquo;est important<\/th>\n<th>Implication r\u00e9glementaire<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Pas de RACI document\u00e9 pour le DevSecOps<\/td>\n<td>La redevabilit\u00e9 ne peut \u00eatre d\u00e9montr\u00e9e<\/td>\n<td>DORA Art. 5, ISO 27001 A.5.2<\/td>\n<\/tr>\n<tr>\n<td>D\u00e9veloppeurs auto-approuvant les exceptions de s\u00e9curit\u00e9<\/td>\n<td>Violation de la s\u00e9paration des t\u00e2ches<\/td>\n<td>PCI DSS Req. 6, SOC 2 CC6.1<\/td>\n<\/tr>\n<tr>\n<td>\u00c9quipe s\u00e9curit\u00e9 non consult\u00e9e sur les changements de pipeline<\/td>\n<td>Les contr\u00f4les de s\u00e9curit\u00e9 peuvent \u00eatre affaiblis sans supervision<\/td>\n<td>NIS2 Art. 21, ISO 27001 A.8.32<\/td>\n<\/tr>\n<tr>\n<td>CISO non inform\u00e9 des acceptations de risques<\/td>\n<td>Lacune de supervision de l&rsquo;organe de direction<\/td>\n<td>DORA Art. 5(4), NIS2 Art. 20<\/td>\n<\/tr>\n<tr>\n<td>Plusieurs personnes list\u00e9es comme Redevable pour la m\u00eame activit\u00e9<\/td>\n<td>Redevabilit\u00e9 dilu\u00e9e \u2014 pas de point unique de propri\u00e9t\u00e9<\/td>\n<td>Faiblesse de gouvernance g\u00e9n\u00e9rale<\/td>\n<\/tr>\n<tr>\n<td>RACI non mis \u00e0 jour apr\u00e8s des changements organisationnels<\/td>\n<td>La matrice ne refl\u00e8te pas la r\u00e9alit\u00e9<\/td>\n<td>ISO 27001 A.5.4<\/td>\n<\/tr>\n<tr>\n<td>Pas de preuve d&rsquo;utilisation du chemin d&rsquo;escalade<\/td>\n<td>Sugg\u00e8re que les conflits sont r\u00e9solus de mani\u00e8re informelle sans gouvernance<\/td>\n<td>D\u00e9ficience de piste d&rsquo;audit<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Prochaines \u00e9tapes<\/h2>\n<p>Une matrice RACI DevSecOps bien gouvern\u00e9e est un document de contr\u00f4le fondamental. Elle sous-tend toutes les autres activit\u00e9s de gouvernance \u2014 de la <a href=\"https:\/\/regulated-devsecops.com\/fr\/devsecops\/\">conception du programme DevSecOps<\/a> \u00e0 la <a href=\"https:\/\/regulated-devsecops.com\/fr\/audit-governance\/\">pr\u00e9paration \u00e0 l&rsquo;audit et \u00e0 la gouvernance<\/a>.<\/p>\n<p>Les organisations doivent :<\/p>\n<ol>\n<li>R\u00e9diger ou r\u00e9viser leur RACI DevSecOps par rapport au mod\u00e8le ci-dessus<\/li>\n<li>Valider que les permissions d&rsquo;acc\u00e8s syst\u00e8me s&rsquo;alignent avec la matrice<\/li>\n<li>Tester le chemin d&rsquo;escalade avec un exercice sur table<\/li>\n<li>Planifier une revue annuelle, align\u00e9e avec la gestion des changements organisationnels<\/li>\n<li>Conserver des copies versionn\u00e9es comme preuves d&rsquo;audit<\/li>\n<\/ol>\n<hr\/>\n<h3>Ressources connexes pour les auditeurs<\/h3>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/glossary\/\">Glossaire<\/a> \u2014 D\u00e9finitions en langage clair des termes techniques<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/executive-audit-briefing-ci-cd-pipelines-in-regulated-environments\/\">Briefing d&rsquo;audit ex\u00e9cutif<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/how-auditors-actually-review-ci-cd-pipelines\/\">Comment les auditeurs examinent le CI\/CD<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/core-ci-cd-security-controls\/\">Contr\u00f4les de s\u00e9curit\u00e9 CI\/CD fondamentaux<\/a><\/li>\n<\/ul>\n<p><em>Nouveau dans l&rsquo;audit CI\/CD ? Commencez par notre <a href=\"https:\/\/regulated-devsecops.com\/fr\/start-here\/\">Guide de l&rsquo;auditeur<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pourquoi le RACI est important dans les environnements r\u00e9glement\u00e9s Les cadres r\u00e9glementaires \u2014 notamment DORA, NIS2 et ISO 27001 \u2014 partagent une attente commune : les organisations doivent d\u00e9montrer une responsabilit\u00e9 claire pour les d\u00e9cisions de s\u00e9curit\u00e9. Lorsqu&rsquo;un r\u00e9gulateur ou un auditeur demande \u00ab qui a approuv\u00e9 cette exception ? \u00bb ou \u00ab qui est &#8230; <a title=\"Matrice RACI DevSecOps pour les organisations r\u00e9glement\u00e9es\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/ci-cd-governance\/devsecops-raci-matrix-regulated-organizations\/\" aria-label=\"En savoir plus sur Matrice RACI DevSecOps pour les organisations r\u00e9glement\u00e9es\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[123,125],"tags":[],"post_folder":[],"class_list":["post-1419","post","type-post","status-publish","format-standard","hentry","category-ci-cd-governance","category-devsecops-operating-models"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1419","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1419"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1419\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1419"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1419"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1419"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1419"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}