Depuis des d\u00e9cennies, l’audit de conformit\u00e9 suit un sch\u00e9ma familier. \u00c0 des intervalles d\u00e9finis \u2014 annuellement, semestriellement ou trimestriellement \u2014 une \u00e9quipe d’audit arrive, demande des preuves, \u00e9chantillonne un sous-ensemble de transactions ou d’activit\u00e9s de contr\u00f4le, \u00e9value si les contr\u00f4les fonctionnaient efficacement pendant la p\u00e9riode examin\u00e9e et \u00e9met un rapport. Ce mod\u00e8le ponctuel a bien servi les organisations lorsque le changement se mesurait en mois et que les syst\u00e8mes \u00e9taient relativement statiques.<\/p>\n
Mais le mod\u00e8le traditionnel comporte des limites structurelles inh\u00e9rentes qui deviennent de plus en plus probl\u00e9matiques dans les environnements modernes pilot\u00e9s par CI\/CD :<\/p>\n
L’audit continu repr\u00e9sente un changement fondamental de l’\u00e9valuation p\u00e9riodique vers l’assurance continue. Les principes fondamentaux incluent :<\/p>\n
Les pipelines CI\/CD sont, par nature, automatis\u00e9s, r\u00e9p\u00e9tables et instrument\u00e9s. Chaque ex\u00e9cution g\u00e9n\u00e8re une trace d’artefacts : qui a initi\u00e9 le changement, quelles approbations ont \u00e9t\u00e9 obtenues, quels scans de s\u00e9curit\u00e9 ont \u00e9t\u00e9 effectu\u00e9s, quels \u00e9taient les r\u00e9sultats, quand le d\u00e9ploiement a eu lieu et ce qui a \u00e9t\u00e9 d\u00e9ploy\u00e9.<\/p>\n
Lorsque les pipelines sont correctement gouvern\u00e9s, ils appliquent les contr\u00f4les \u00e0 chaque ex\u00e9cution<\/strong> \u2014 pas seulement pendant les p\u00e9riodes d’audit. Une porte d’approbation qui bloque les d\u00e9ploiements non approuv\u00e9s le fait le mardi \u00e0 3h du matin aussi efficacement que pendant un audit. Cette coh\u00e9rence est pr\u00e9cis\u00e9ment ce que l’audit continu exige.<\/p>\nComparaison : audit ponctuel vs audit continu<\/h2>\n