{"id":1430,"date":"2026-03-25T17:23:16","date_gmt":"2026-03-25T16:23:16","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/devsecops-board-level-reporting-kpis-2\/"},"modified":"2026-03-26T00:28:21","modified_gmt":"2026-03-25T23:28:21","slug":"devsecops-board-level-reporting-kpis","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/fr\/audit-evidence\/devsecops-board-level-reporting-kpis\/","title":{"rendered":"Programme DevSecOps \u2014 Reporting au conseil d&rsquo;administration et KPI"},"content":{"rendered":"<h2>Pourquoi la visibilit\u00e9 au niveau du conseil d&rsquo;administration est importante<\/h2>\n<p>Les cadres r\u00e9glementaires exigent de plus en plus que la <strong>direction g\u00e9n\u00e9rale et les conseils d&rsquo;administration<\/strong> assument une responsabilit\u00e9 directe en mati\u00e8re de cybers\u00e9curit\u00e9 et de supervision des risques ICT. Ce n&rsquo;est pas une suggestion \u2014 c&rsquo;est une obligation ex\u00e9cutoire.<\/p>\n<ul>\n<li><strong>DORA (Article 5) :<\/strong> L&rsquo;organe de direction doit d\u00e9finir, approuver, superviser et \u00eatre responsable de la mise en \u0153uvre du cadre de gestion des risques ICT. Les membres peuvent \u00eatre tenus personnellement responsables.<\/li>\n<li><strong>NIS2 (Article 20) :<\/strong> Les organes de direction des entit\u00e9s essentielles et importantes doivent approuver les mesures de gestion des risques de cybers\u00e9curit\u00e9 et superviser leur mise en \u0153uvre. Les membres doivent suivre une formation.<\/li>\n<li><strong>ISO 27001 (Clause 5.1) :<\/strong> La direction doit d\u00e9montrer son leadership et son engagement envers le syst\u00e8me de management de la s\u00e9curit\u00e9 de l&rsquo;information.<\/li>\n<\/ul>\n<p>Pour les organisations exploitant des pipelines DevSecOps, cela signifie que le conseil d&rsquo;administration doit recevoir un <strong>reporting significatif et compr\u00e9hensible<\/strong> sur la posture de s\u00e9curit\u00e9 de leurs processus de livraison logicielle. Les tableaux de bord techniques con\u00e7us pour les ing\u00e9nieurs ne satisferont pas cette exigence. Les conseils ont besoin de <strong>m\u00e9triques orient\u00e9es risque et align\u00e9es sur le business<\/strong> qui permettent une prise de d\u00e9cision \u00e9clair\u00e9e.<\/p>\n<h2>Traduire les m\u00e9triques techniques en langage ex\u00e9cutif<\/h2>\n<p>Le d\u00e9fi fondamental est la traduction. Le DevSecOps g\u00e9n\u00e8re d&rsquo;\u00e9normes quantit\u00e9s de donn\u00e9es op\u00e9rationnelles \u2014 r\u00e9sultats de scans, d\u00e9comptes de vuln\u00e9rabilit\u00e9s, d\u00e9lais de rem\u00e9diation, taux de r\u00e9ussite\/\u00e9chec des portes. Aucune de ces donn\u00e9es, sous forme brute, n&rsquo;est significative pour un membre du conseil ou un responsable conformit\u00e9.<\/p>\n<p>La traduction suit un sch\u00e9ma coh\u00e9rent :<\/p>\n<table>\n<thead>\n<tr>\n<th>M\u00e9trique technique<\/th>\n<th>Traduction ex\u00e9cutive<\/th>\n<th>Question du conseil \u00e0 laquelle elle r\u00e9pond<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Vuln\u00e9rabilit\u00e9s critiques en production<\/td>\n<td>Nombre d&rsquo;expositions aux risques critiques<\/td>\n<td>Quelle est notre exposition actuelle ?<\/td>\n<\/tr>\n<tr>\n<td>MTTR pour les vuln\u00e9rabilit\u00e9s critiques<\/td>\n<td>D\u00e9lai de cl\u00f4ture des risques critiques<\/td>\n<td>\u00c0 quelle vitesse r\u00e9pondons-nous aux menaces ?<\/td>\n<\/tr>\n<tr>\n<td>Taux de r\u00e9ussite des portes de s\u00e9curit\u00e9<\/td>\n<td>Taux de conformit\u00e9 aux politiques<\/td>\n<td>Nos contr\u00f4les fonctionnent-ils ?<\/td>\n<\/tr>\n<tr>\n<td>Nombre de r\u00e9sultats supprim\u00e9s<\/td>\n<td>Nombre et tendance des risques accept\u00e9s<\/td>\n<td>Accumulons-nous du risque non trait\u00e9 ?<\/td>\n<\/tr>\n<tr>\n<td>% de pipelines avec scan de s\u00e9curit\u00e9<\/td>\n<td>Couverture des tests de s\u00e9curit\u00e9<\/td>\n<td>Avons-nous des angles morts ?<\/td>\n<\/tr>\n<tr>\n<td>Vuln\u00e9rabilit\u00e9s des d\u00e9pendances tierces<\/td>\n<td>Indicateur de risque de la cha\u00eene d&rsquo;approvisionnement<\/td>\n<td>Nos fournisseurs nous exposent-ils \u00e0 des risques ?<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Le principe est simple : <strong>traduire ce qui s&rsquo;est pass\u00e9 en ce que cela signifie pour l&rsquo;entreprise<\/strong>.<\/p>\n<h2>Cadre de KPI : trois niveaux<\/h2>\n<p>Un reporting DevSecOps efficace fonctionne sur trois niveaux, chacun avec un public, une cadence et un niveau de d\u00e9tail diff\u00e9rents.<\/p>\n<h3>Niveau 1 : KPI du conseil d&rsquo;administration et de la direction (Trimestriel)<\/h3>\n<p>Ce sont les m\u00e9triques qui apparaissent dans les dossiers du conseil, les rapports du comit\u00e9 des risques ex\u00e9cutif et les soumissions r\u00e9glementaires. Elles doivent \u00eatre concises, orient\u00e9es tendance et li\u00e9es \u00e0 l&rsquo;app\u00e9tit pour le risque.<\/p>\n<table>\n<thead>\n<tr>\n<th>KPI<\/th>\n<th>Cible<\/th>\n<th>Source de donn\u00e9es<\/th>\n<th>Indicateur de tendance<\/th>\n<th>D\u00e9clencheur d&rsquo;escalade<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Score global de posture de s\u00e9curit\u00e9<\/td>\n<td>\u2265 80\/100<\/td>\n<td>Agr\u00e9g\u00e9 des m\u00e9triques de Niveau 2<\/td>\n<td>Tendance trimestre par trimestre<\/td>\n<td>Le score passe en dessous de 70 ou baisse pendant 2 trimestres cons\u00e9cutifs<\/td>\n<\/tr>\n<tr>\n<td>Tendance d&rsquo;exposition aux risques critiques<\/td>\n<td>En baisse ou stable<\/td>\n<td>Plateforme de gestion des vuln\u00e9rabilit\u00e9s<\/td>\n<td>Nombre d&rsquo;\u00e9l\u00e9ments ouverts critiques\/\u00e9lev\u00e9s dans le temps<\/td>\n<td>Augmentation de &gt;20% trimestre par trimestre<\/td>\n<\/tr>\n<tr>\n<td>Indice de pr\u00e9paration \u00e0 la conformit\u00e9<\/td>\n<td>\u2265 90%<\/td>\n<td>R\u00e9sultats d&rsquo;\u00e9valuation de conformit\u00e9<\/td>\n<td>Pourcentage de contr\u00f4les \u00e9valu\u00e9s comme efficaces<\/td>\n<td>En dessous de 85% ou toute lacune critique de contr\u00f4le<\/td>\n<\/tr>\n<tr>\n<td>Incidents de s\u00e9curit\u00e9 majeurs<\/td>\n<td>0<\/td>\n<td>Syst\u00e8me de gestion des incidents<\/td>\n<td>Nombre et s\u00e9v\u00e9rit\u00e9<\/td>\n<td>Tout incident majeur<\/td>\n<\/tr>\n<tr>\n<td>R\u00e9sum\u00e9 des risques tiers<\/td>\n<td>Tous les fournisseurs critiques \u00e9valu\u00e9s<\/td>\n<td>Registre des risques tiers<\/td>\n<td>Couverture et distribution des notes de risque<\/td>\n<td>Fournisseur critique avec note de risque \u00e9lev\u00e9<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Niveau 2 : KPI de gestion (Mensuel)<\/h3>\n<p>Ces m\u00e9triques sont revues par la direction de la s\u00e9curit\u00e9, les comit\u00e9s des risques et les \u00e9quipes conformit\u00e9. Elles fournissent le d\u00e9tail diagnostique derri\u00e8re les indicateurs de Niveau 1.<\/p>\n<table>\n<thead>\n<tr>\n<th>KPI<\/th>\n<th>Cible<\/th>\n<th>Source de donn\u00e9es<\/th>\n<th>Indicateur de tendance<\/th>\n<th>D\u00e9clencheur d&rsquo;escalade<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Conformit\u00e9 SLA de rem\u00e9diation des vuln\u00e9rabilit\u00e9s<\/td>\n<td>\u2265 95% dans les SLA<\/td>\n<td>Outil de suivi des vuln\u00e9rabilit\u00e9s<\/td>\n<td>% dans les SLA par s\u00e9v\u00e9rit\u00e9<\/td>\n<td>En dessous de 90% pour toute classe de s\u00e9v\u00e9rit\u00e9<\/td>\n<\/tr>\n<tr>\n<td>Taux de r\u00e9ussite des portes de politique<\/td>\n<td>\u2265 85%<\/td>\n<td>Journaux de la plateforme CI\/CD<\/td>\n<td>Tendance du taux de r\u00e9ussite par \u00e9quipe<\/td>\n<td>En dessous de 75% ou tendance \u00e0 la baisse<\/td>\n<\/tr>\n<tr>\n<td>Couverture des tests de s\u00e9curit\u00e9<\/td>\n<td>100% des pipelines de production<\/td>\n<td>Inventaire des pipelines vs. enregistrements de scan<\/td>\n<td>Pourcentage de couverture<\/td>\n<td>Tout pipeline de production sans scan<\/td>\n<\/tr>\n<tr>\n<td>Tendances des exceptions et acceptations de risque<\/td>\n<td>Stable ou en baisse<\/td>\n<td>Registre de gestion des exceptions<\/td>\n<td>Nombre, \u00e2ge et s\u00e9v\u00e9rit\u00e9 des exceptions ouvertes<\/td>\n<td>Arri\u00e9r\u00e9 croissant ou exceptions \u00e2g\u00e9es (&gt;90 jours)<\/td>\n<\/tr>\n<tr>\n<td>Statut de rem\u00e9diation des constatations d&rsquo;audit<\/td>\n<td>100% dans les d\u00e9lais convenus<\/td>\n<td>Syst\u00e8me de gestion des audits<\/td>\n<td>Constatations ouvertes vs. ferm\u00e9es dans le temps<\/td>\n<td>Toute constatation de haute s\u00e9v\u00e9rit\u00e9 en retard<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h3>Niveau 3 : KPI op\u00e9rationnels (Hebdomadaire)<\/h3>\n<p>Ces m\u00e9triques sont utilis\u00e9es par l&rsquo;\u00e9quipe DevSecOps et les op\u00e9rations de s\u00e9curit\u00e9 pour la gestion quotidienne. Elles alimentent les m\u00e9triques de Niveau 2 par agr\u00e9gation.<\/p>\n<table>\n<thead>\n<tr>\n<th>KPI<\/th>\n<th>Cible<\/th>\n<th>Source de donn\u00e9es<\/th>\n<th>Indicateur de tendance<\/th>\n<th>D\u00e9clencheur d&rsquo;escalade<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Taux d&rsquo;ach\u00e8vement des scans<\/td>\n<td>100%<\/td>\n<td>Outils de scan de s\u00e9curit\u00e9<\/td>\n<td>Scans r\u00e9ussis \/ scans planifi\u00e9s<\/td>\n<td>En dessous de 95% ou tout scan \u00e9chou\u00e9 non r\u00e9solu &gt;24h<\/td>\n<\/tr>\n<tr>\n<td>D\u00e9lai moyen de rem\u00e9diation (MTTR) par s\u00e9v\u00e9rit\u00e9<\/td>\n<td>Critique : &lt;48h, \u00c9lev\u00e9 : &lt;7 jours<\/td>\n<td>Outil de suivi des vuln\u00e9rabilit\u00e9s<\/td>\n<td>Tendance MTTR par s\u00e9v\u00e9rit\u00e9<\/td>\n<td>MTTR d\u00e9passant le SLA pour &gt;10% des constatations<\/td>\n<\/tr>\n<tr>\n<td>Conformit\u00e9 d&rsquo;approbation de d\u00e9ploiement<\/td>\n<td>100%<\/td>\n<td>Journaux de d\u00e9ploiement et enregistrements d&rsquo;approbation<\/td>\n<td>% de d\u00e9ploiements avec les approbations requises<\/td>\n<td>Tout d\u00e9ploiement non approuv\u00e9 en production<\/td>\n<\/tr>\n<tr>\n<td>Ach\u00e8vement des revues d&rsquo;acc\u00e8s<\/td>\n<td>100% selon le calendrier<\/td>\n<td>Syst\u00e8me de gestion des acc\u00e8s<\/td>\n<td>Revues effectu\u00e9es vs. planifi\u00e9es<\/td>\n<td>Toute revue d&rsquo;acc\u00e8s en retard<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Principes de conception des tableaux de bord pour les audiences non techniques<\/h2>\n<p>Les tableaux de bord au niveau du conseil doivent \u00eatre con\u00e7us pour la clart\u00e9, pas l&rsquo;exhaustivit\u00e9. Les principes suivants doivent guider la conception :<\/p>\n<h3>Utiliser des indicateurs feux tricolores<\/h3>\n<p>Les indicateurs rouge, orange et vert fournissent une compr\u00e9hension imm\u00e9diate. D\u00e9finissez clairement les seuils :<\/p>\n<ul>\n<li><strong>Vert :<\/strong> Dans la cible \u2014 aucune action requise<\/li>\n<li><strong>Orange :<\/strong> Approche du seuil \u2014 surveillance et action potentielle n\u00e9cessaires<\/li>\n<li><strong>Rouge :<\/strong> En dessous du seuil acceptable \u2014 action requise, escalade d\u00e9clench\u00e9e<\/li>\n<\/ul>\n<h3>Privil\u00e9gier les tendances aux chiffres absolus<\/h3>\n<p>Un membre du conseil voyant \u00ab 247 vuln\u00e9rabilit\u00e9s ouvertes \u00bb n&rsquo;a aucun contexte. Montrer que le nombre de vuln\u00e9rabilit\u00e9s a <strong>diminu\u00e9 de 35% sur deux trimestres<\/strong> tandis que les \u00e9l\u00e9ments critiques ont <strong>diminu\u00e9 de 60%<\/strong> raconte une histoire significative. Pr\u00e9sentez toujours des courbes de tendance couvrant au moins quatre p\u00e9riodes de reporting.<\/p>\n<h3>Priorisation bas\u00e9e sur le risque<\/h3>\n<p>Toutes les m\u00e9triques ne m\u00e9ritent pas la m\u00eame importance. Commencez par les m\u00e9triques li\u00e9es \u00e0 l&rsquo;<strong>app\u00e9tit pour le risque d\u00e9clar\u00e9<\/strong> de l&rsquo;organisation. Si le conseil a d\u00e9fini un app\u00e9tit pour le risque en mati\u00e8re de cybers\u00e9curit\u00e9 (comme DORA l&rsquo;attend), les m\u00e9triques doivent explicitement r\u00e9f\u00e9rencer ce seuil d&rsquo;app\u00e9tit.<\/p>\n<h3>Contexte narratif<\/h3>\n<p>Chaque tableau de bord doit inclure un bref r\u00e9cit \u00e9crit (un paragraphe) expliquant ce qui a chang\u00e9, pourquoi c&rsquo;est important et quelles actions sont entreprises. Des chiffres sans r\u00e9cit sont des donn\u00e9es, pas de l&rsquo;information.<\/p>\n<h2>Cadence de reporting et cartographie des audiences<\/h2>\n<table>\n<thead>\n<tr>\n<th>Audience<\/th>\n<th>Cadence<\/th>\n<th>Format<\/th>\n<th>Focus du contenu<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Conseil \/ Comit\u00e9 des risques du conseil<\/td>\n<td>Trimestriel<\/td>\n<td>Section du dossier du conseil (2\u20133 pages)<\/td>\n<td>KPI de Niveau 1, incidents majeurs, tendance de posture de risque, efficacit\u00e9 des investissements<\/td>\n<\/tr>\n<tr>\n<td>Comit\u00e9 ex\u00e9cutif des risques<\/td>\n<td>Mensuel<\/td>\n<td>Rapport de gestion (5\u20138 pages)<\/td>\n<td>KPI Niveau 1 + Niveau 2, tendances des exceptions, pr\u00e9paration aux audits<\/td>\n<\/tr>\n<tr>\n<td>CISO \/ Direction de la s\u00e9curit\u00e9<\/td>\n<td>Mensuel<\/td>\n<td>Tableau de bord d\u00e9taill\u00e9<\/td>\n<td>KPI de Niveau 2 avec drill-down vers le Niveau 3<\/td>\n<\/tr>\n<tr>\n<td>\u00c9quipe DevSecOps<\/td>\n<td>Hebdomadaire<\/td>\n<td>Tableau de bord op\u00e9rationnel<\/td>\n<td>KPI de Niveau 3, ventilations par \u00e9quipe<\/td>\n<\/tr>\n<tr>\n<td>Conformit\u00e9 \/ Audit<\/td>\n<td>\u00c0 la demande + trimestriel<\/td>\n<td>Dossier de preuves<\/td>\n<td>Tous les niveaux avec preuves \u00e0 l&rsquo;appui et donn\u00e9es de tendance<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Pr\u00e9senter l&rsquo;investissement et le ROI DevSecOps au conseil<\/h2>\n<p>Les conseils veulent comprendre si l&rsquo;investissement en s\u00e9curit\u00e9 est efficace. Le ROI DevSecOps doit \u00eatre pr\u00e9sent\u00e9 en termes que le conseil comprend :<\/p>\n<ul>\n<li><strong>R\u00e9duction des risques :<\/strong> Quantifier la r\u00e9duction de l&rsquo;exposition aux risques critiques dans le temps. Mapper cela aux amendes r\u00e9glementaires potentielles, aux co\u00fbts de violation ou \u00e0 l&rsquo;impact r\u00e9putationnel \u00e9vit\u00e9.<\/li>\n<li><strong>\u00c9vitement des co\u00fbts de conformit\u00e9 :<\/strong> Les contr\u00f4les de s\u00e9curit\u00e9 automatis\u00e9s r\u00e9duisent le co\u00fbt des activit\u00e9s de conformit\u00e9 manuelles. Quantifier les heures \u00e9conomis\u00e9es en pr\u00e9paration d&rsquo;audit, collecte de preuves et rem\u00e9diation.<\/li>\n<li><strong>Protection de la v\u00e9locit\u00e9 de livraison :<\/strong> Sans DevSecOps, les probl\u00e8mes de s\u00e9curit\u00e9 d\u00e9couverts tardivement causent des retravaux co\u00fbteux et des retards. Quantifier le co\u00fbt des constatations de s\u00e9curit\u00e9 tardives vs. la d\u00e9tection pr\u00e9coce.<\/li>\n<li><strong>Pr\u00e9paration r\u00e9glementaire :<\/strong> D\u00e9montrer que l&rsquo;investissement DevSecOps soutient directement la conformit\u00e9 DORA, NIS2 ou autre, r\u00e9duisant le risque de sanctions.<\/li>\n<\/ul>\n<p>\u00c9vitez de cadrer le ROI uniquement en termes d&rsquo;outils achet\u00e9s ou de scans ex\u00e9cut\u00e9s. Cadrez-le en termes de <strong>r\u00e9sultats business prot\u00e9g\u00e9s<\/strong>.<\/p>\n<h2>Ce que les auditeurs doivent v\u00e9rifier<\/h2>\n<h3>Preuves de reporting au conseil<\/h3>\n<ul>\n<li>Des dossiers du conseil ou des documents du comit\u00e9 des risques sont-ils disponibles montrant les m\u00e9triques de s\u00e9curit\u00e9\/DevSecOps ?<\/li>\n<li>Couvrent-ils au moins les quatre derniers trimestres, d\u00e9montrant une visibilit\u00e9 sur les tendances ?<\/li>\n<li>Les m\u00e9triques sont-elles align\u00e9es sur l&rsquo;app\u00e9tit pour le risque d\u00e9clar\u00e9 de l&rsquo;organisation ?<\/li>\n<\/ul>\n<h3>Comptes rendus de r\u00e9unions de direction<\/h3>\n<ul>\n<li>Les proc\u00e8s-verbaux du comit\u00e9 ex\u00e9cutif ou du comit\u00e9 des risques montrent-ils une discussion de la posture de s\u00e9curit\u00e9 ?<\/li>\n<li>Les actions d\u00e9coulant des revues de m\u00e9triques sont-elles document\u00e9es et suivies ?<\/li>\n<li>Y a-t-il des preuves que les d\u00e9clencheurs d&rsquo;escalade ont effectivement entra\u00een\u00e9 une escalade ?<\/li>\n<\/ul>\n<h3>Enregistrements de revue des KPI<\/h3>\n<ul>\n<li>Les d\u00e9finitions des KPI sont-elles document\u00e9es, y compris les cibles, les sources de donn\u00e9es et les d\u00e9clencheurs d&rsquo;escalade ?<\/li>\n<li>Y a-t-il des preuves de revue et d&rsquo;affinement p\u00e9riodiques des KPI ?<\/li>\n<li>Les sources de donn\u00e9es des KPI sont-elles fiables et v\u00e9rifiables de mani\u00e8re ind\u00e9pendante ?<\/li>\n<\/ul>\n<h3>Preuves d&rsquo;escalade<\/h3>\n<ul>\n<li>Lorsque les KPI ont franchi les d\u00e9clencheurs d&rsquo;escalade, une action appropri\u00e9e a-t-elle \u00e9t\u00e9 prise ?<\/li>\n<li>Existe-t-il une piste document\u00e9e allant du franchissement du d\u00e9clencheur \u2192 escalade \u2192 action \u2192 r\u00e9solution ?<\/li>\n<\/ul>\n<h2>Signaux d&rsquo;alerte pour les auditeurs et les responsables conformit\u00e9<\/h2>\n<table>\n<thead>\n<tr>\n<th>Signal d&rsquo;alerte<\/th>\n<th>Pourquoi c&rsquo;est important<\/th>\n<th>R\u00e9f\u00e9rence r\u00e9glementaire<\/th>\n<\/tr>\n<\/thead>\n<tbody>\n<tr>\n<td>Pas de reporting de s\u00e9curit\u00e9 au niveau du conseil<\/td>\n<td>L&rsquo;obligation de supervision de l&rsquo;organe de direction n&rsquo;est pas respect\u00e9e<\/td>\n<td>DORA Art. 5, NIS2 Art. 20<\/td>\n<\/tr>\n<tr>\n<td>Les m\u00e9triques ne sont pas revues r\u00e9guli\u00e8rement<\/td>\n<td>Le reporting existe mais n&rsquo;est pas utilis\u00e9 pour la prise de d\u00e9cision<\/td>\n<td>ISO 27001 Clause 9.3<\/td>\n<\/tr>\n<tr>\n<td>Les KPI ne sont pas li\u00e9s \u00e0 l&rsquo;app\u00e9tit pour le risque<\/td>\n<td>Les m\u00e9triques manquent de contexte business \u2014 impossible de d\u00e9terminer si le risque est acceptable<\/td>\n<td>DORA Art. 6(8)<\/td>\n<\/tr>\n<tr>\n<td>Les donn\u00e9es de tendance ne sont pas conserv\u00e9es<\/td>\n<td>Impossible de d\u00e9montrer l&rsquo;am\u00e9lioration ou de d\u00e9tecter la d\u00e9gradation dans le temps<\/td>\n<td>Attente g\u00e9n\u00e9rale de gouvernance<\/td>\n<\/tr>\n<tr>\n<td>Les m\u00e9triques sont uniquement positives \u2014 aucun indicateur rouge\/orange jamais signal\u00e9<\/td>\n<td>Reporting probablement s\u00e9lectif ou seuils mal calibr\u00e9s<\/td>\n<td>Pr\u00e9occupation d&rsquo;int\u00e9grit\u00e9 du reporting<\/td>\n<\/tr>\n<tr>\n<td>Aucune preuve que les d\u00e9clencheurs d&rsquo;escalade entra\u00eenent une action<\/td>\n<td>Le processus d&rsquo;escalade n&rsquo;existe que sur papier<\/td>\n<td>Pr\u00e9occupation d&rsquo;efficacit\u00e9 des contr\u00f4les<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>Prochaines \u00e9tapes<\/h2>\n<p>Un reporting efficace au niveau du conseil sur le DevSecOps n&rsquo;est pas optionnel dans un environnement r\u00e9glement\u00e9 \u2014 c&rsquo;est une exigence de conformit\u00e9 et un imp\u00e9ratif de gouvernance. Les organisations doivent :<\/p>\n<ol>\n<li>D\u00e9finir leur cadre de KPI \u00e0 trois niveaux align\u00e9 sur les attentes r\u00e9glementaires<\/li>\n<li>Concevoir des tableaux de bord pour les audiences non techniques en utilisant les principes ci-dessus<\/li>\n<li>\u00c9tablir la cadence de reporting et la cartographie des audiences<\/li>\n<li>Conserver les donn\u00e9es de tendance historiques pendant au moins trois ans<\/li>\n<li>Valider p\u00e9riodiquement que les KPI refl\u00e8tent fid\u00e8lement la posture de s\u00e9curit\u00e9<\/li>\n<\/ol>\n<p>Pour plus de conseils, consultez nos ressources sur la <a href=\"https:\/\/regulated-devsecops.com\/fr\/devsecops\/\">gouvernance du programme DevSecOps<\/a> et le <a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/executive-audit-briefing-ci-cd-pipelines-in-regulated-environments\/\">briefing d&rsquo;audit ex\u00e9cutif pour les pipelines CI\/CD<\/a>.<\/p>\n<hr\/>\n<h3>Articles connexes pour les auditeurs<\/h3>\n<ul>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/glossary\/\">Glossaire<\/a> \u2014 D\u00e9finitions en langage clair des termes techniques<\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/executive-audit-briefing-ci-cd-pipelines-in-regulated-environments\/\">Briefing d&rsquo;audit ex\u00e9cutif<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/continuous-compliance-via-ci-cd\/\">Conformit\u00e9 continue via CI\/CD<\/a><\/li>\n<li><a href=\"https:\/\/regulated-devsecops.com\/fr\/regulatory-frameworks\/before-the-auditor-arrives-ci-cd-audit-readiness-checklist\/\">Checklist de pr\u00e9paration aux audits<\/a><\/li>\n<\/ul>\n<p><em>Nouveau dans l&rsquo;audit CI\/CD ? Commencez par notre <a href=\"https:\/\/regulated-devsecops.com\/fr\/start-here\/\">Guide de l&rsquo;auditeur<\/a>.<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Pourquoi la visibilit\u00e9 au niveau du conseil d&rsquo;administration est importante Les cadres r\u00e9glementaires exigent de plus en plus que la direction g\u00e9n\u00e9rale et les conseils d&rsquo;administration assument une responsabilit\u00e9 directe en mati\u00e8re de cybers\u00e9curit\u00e9 et de supervision des risques ICT. Ce n&rsquo;est pas une suggestion \u2014 c&rsquo;est une obligation ex\u00e9cutoire. DORA (Article 5) : L&rsquo;organe &#8230; <a title=\"Programme DevSecOps \u2014 Reporting au conseil d&rsquo;administration et KPI\" class=\"read-more\" href=\"https:\/\/regulated-devsecops.com\/fr\/audit-evidence\/devsecops-board-level-reporting-kpis\/\" aria-label=\"En savoir plus sur Programme DevSecOps \u2014 Reporting au conseil d&rsquo;administration et KPI\">Lire la suite<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[122,125],"tags":[],"post_folder":[],"class_list":["post-1430","post","type-post","status-publish","format-standard","hentry","category-audit-evidence","category-devsecops-operating-models"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1430","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/comments?post=1430"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/posts\/1430\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/media?parent=1430"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/categories?post=1430"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/tags?post=1430"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/fr\/wp-json\/wp\/v2\/post_folder?post=1430"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}