Gouvernance de la sécurité des pipelines CI/CD pour les audits 2026
Il est 08 h 17 un lundi matin, et le RSSI d’une fintech en forte croissance reçoit le message que redoute tout responsable sécurité :
« Le build de production semble propre, mais le hachage de l’artefact ne correspond pas au commit source. »
En quelques minutes, les équipes d’ingénierie confirment que la version a réussi les tests unitaires, que le ticket de déploiement existe et que le service exposé aux clients est stable. Mais le pipeline raconte une autre histoire. Un runner CI autohébergé a été réutilisé entre plusieurs projets. Un identifiant cloud temporaire est resté actif plus longtemps que prévu. Le registre d’artefacts montre une image de conteneur signée, mais la clé de signature était accessible depuis le même runner que celui qui a exécuté des scripts de build non fiables.
Le responsable des mises en production peut prouver que quelque chose a été déployé. Ce que l’organisation ne peut pas prouver, du moins pas assez rapidement, c’est ce qui a été construit, qui l’a approuvé, si l’environnement de build était sain et si les éléments de preuve résisteraient à un audit ou à une investigation d’incident.
Ce n’est plus seulement un problème DevOps.
En 2026, la gouvernance de la sécurité des pipelines CI/CD se situe au croisement de la sécurité de la chaîne d’approvisionnement logicielle, de la résilience opérationnelle, de la responsabilité en matière de protection de la vie privée, de la sécurité des produits et de la supervision du risque cyber par le conseil d’administration. NIS2 impose aux organes de direction d’approuver et de superviser les mesures de gestion des risques de cybersécurité. DORA exige des entités financières qu’elles gouvernent le risque lié aux TIC, les incidents, les tests et les dépendances vis-à-vis de tiers. GDPR impose aux responsables du traitement et aux sous-traitants de démontrer une sécurité appropriée et une responsabilité effective pour les données à caractère personnel. Le Cyber Resilience Act élève les attentes du marché pour les produits comportant des éléments numériques, les mises à jour sécurisées et la gestion des vulnérabilités. ISO/IEC 27001:2022 exige un système de management de la sécurité de l’information (SMSI) qui transforme le traitement des risques en opérations contrôlées et étayées par des éléments de preuve.
Le pipeline est devenu la piste d’audit de la confiance logicielle moderne.
La nouvelle question de conformité : pouvez-vous prouver ce qui est arrivé en production ?
Pendant des années, les programmes DevSecOps se sont concentrés sur l’ajout de scanners aux pipelines. L’analyse statique, les contrôles de dépendances, la détection de secrets, l’analyse de conteneurs et la validation de l’infrastructure as code sont devenus courants. Ces contrôles restent importants, mais ils ne répondent pas à la question de gouvernance que posent désormais les auditeurs, les autorités de régulation, les clients et les conseils d’administration :
L’organisation peut-elle démontrer que chaque déploiement en production provient d’un code source approuvé, a été construit dans un environnement contrôlé, a produit un artefact vérifiable, a franchi les points de contrôle de sécurité requis, a utilisé des identifiants approuvés, a respecté la gestion des changements et a généré des éléments de preuve pouvant être conservés ?
Les attaquants savent que les systèmes de build, les dépendances de paquets, les jetons développeur, les runners CI, l’automatisation des mises en production, les registres d’artefacts et les rôles de déploiement cloud sont des cibles à forte valeur. Un pipeline compromis peut contourner les défenses traditionnelles, car il utilise une automatisation de confiance pour pousser du code malveillant dans des environnements de confiance.
Un modèle mature de gouvernance de la sécurité des pipelines CI/CD doit donc reposer sur six piliers d’éléments de preuve.
| Pilier d’éléments de preuve | Ce qu’il démontre | Éléments de preuve typiques |
|---|---|---|
| Intégrité de la source | L’artefact déployé provient d’un code source approuvé | Identifiant de commit, politiques de protection des branches, approbations de pull request, commits signés, journaux d’audit du référentiel |
| Provenance du build | L’artefact a été produit par un pipeline connu dans des conditions contrôlées | Identifiant de build, identité du runner, recette de build, manifeste des dépendances, hachage de l’artefact, enregistrement de signature |
| Durcissement des runners | L’environnement d’exécution ne pouvait pas facilement être réutilisé ou altéré | Journaux des runners éphémères, image de référence, état d’application des correctifs, contrôles d’isolement, restrictions réseau |
| Intégrité de l’artefact | Le paquet de mise en production n’a pas été modifié après le build | Signature, somme de contrôle, journal du registre, enregistrement de promotion, politique de balises immuables |
| Gouvernance du déploiement | Le changement a été autorisé, testé et rendu traçable | Identifiant de demande de changement, éléments de preuve d’approbation, journaux de promotion entre environnements, plan de retour arrière |
| Préparation à l’investigation numérique | Les éléments de preuve peuvent être conservés pendant un audit ou une réponse aux incidents | Journaux exportés, captures d’écran, valeurs de hachage des fichiers, registre de chaîne de conservation |
C’est ici que l’approche de Clarysec se distingue d’une conformité par liste de contrôle. Nous traitons la plateforme CI/CD comme un processus métier gouverné, et non comme un simple outil technique. Ce processus doit être inclus dans le domaine d’application du SMSI, faire l’objet d’une appréciation des risques, être contrôlé, surveillé, audité et amélioré.
Intégrer CI/CD dans le SMSI ISO/IEC 27001:2022
ISO/IEC 27001:2022 commence par le contexte, les parties intéressées et le périmètre. Les clauses 4.1 à 4.4 exigent des organisations qu’elles comprennent les enjeux internes et externes, déterminent les exigences des parties intéressées, identifient les exigences légales, réglementaires et contractuelles, et définissent le domaine d’application du SMSI en tenant compte des dépendances avec d’autres organisations.
Pour un fournisseur SaaS, une fintech, un prestataire de services managés, un éditeur logiciel ou une entreprise native cloud, CI/CD relève presque toujours de ce périmètre, car il affecte directement la fourniture des services, les données clients, l’infrastructure de production et les engagements contractuels.
Les clauses 5.1 à 5.3 rendent la direction responsable du SMSI. Ce point est essentiel, car l’automatisation moderne des mises en production se situe entre l’ingénierie, la sécurité, les opérations cloud, les achats, la conformité et la gestion produit. Si aucun dirigeant n’est propriétaire de l’appétence au risque liée à l’automatisation des déploiements en production, l’organisation se retrouve généralement avec des outils fragmentés et des éléments de preuve incohérents.
Les clauses 6.1.1 à 6.1.3 constituent l’ossature de la planification. L’organisation doit apprécier les risques pour la confidentialité, l’intégrité et la disponibilité, identifier les propriétaires de risques, comparer les risques aux critères, sélectionner les traitements, comparer les contrôles retenus à l’Annexe A, produire une déclaration d’applicabilité et obtenir l’approbation du plan de traitement et du risque résiduel.
Une appréciation des risques CI/CD ne doit pas se limiter à mentionner un « risque de chaîne d’approvisionnement logicielle ». Elle doit nommer des scénarios réalistes :
- Un script de build malveillant exfiltre des clés de signature depuis un runner partagé.
- Un développeur contourne les protections de branches et déploie du code non revu.
- Une action tierce compromise modifie un artefact pendant le build.
- Un identifiant de préproduction accorde un accès à l’environnement de production.
- Un déploiement intervient sans demande de changement associée.
- Les journaux du pipeline nécessaires à la reconstitution d’un incident sont écrasés après sept jours.
- Un incident d’empoisonnement de dépendance atteint la préproduction ou la production.
La clause 8.1 exige ensuite l’exploitation planifiée et contrôlée des processus du SMSI, des informations documentées, le contrôle des changements planifiés, la revue des changements non intentionnels et le contrôle des processus, produits ou services fournis par des tiers qui sont pertinents pour le SMSI. Si le pipeline modifie la production, il doit produire des éléments de preuve d’une exploitation contrôlée.
Le modèle de contrôle Clarysec pour une livraison logicielle sécurisée
Clarysec relie les politiques, les contrôles et les éléments probants d’audit. Le Zenith Blueprint : feuille de route en 30 étapes pour l’auditeur Zenith Blueprint place le DevOps sécurisé et le développement sécurisé dans la phase de gestion des risques, à l’étape 14. Il indique que les organisations doivent sécuriser les outils CI/CD, veiller à ce que seul le personnel autorisé puisse déclencher des déploiements, utiliser l’authentification multifacteur pour l’accès au pipeline, protéger l’intégrité des artefacts de build, ainsi que journaliser et surveiller les actions CI/CD.
« Contrôles des pipelines DevOps : les outils CI/CD doivent être sécurisés ; seul le personnel autorisé peut déclencher des déploiements ; utiliser l’authentification multifacteur pour l’accès au pipeline ; protéger l’intégrité des artefacts de build. Journaliser et surveiller les actions CI/CD. »
Ces orientations deviennent opérationnelles lorsqu’elles sont traduites en clauses de politique et en exigences relatives aux éléments de preuve.
La P24 Politique de développement sécurisé Politique de développement sécurisé précise :
« Les artefacts de build doivent être signés et traçables jusqu’aux commits source. »
Il s’agit de l’un des contrôles les plus solides d’un programme de gouvernance CI/CD. Il indique aux équipes d’ingénierie qu’un artefact de production doit porter une filiation vérifiable jusqu’au contrôle du code source. Il indique également aux auditeurs quoi tester : sélectionner une mise en production, inspecter la signature de l’artefact, valider la référence de commit, examiner l’approbation de la pull request et confirmer l’enregistrement de build du pipeline.
La même politique précise :
« Toutes les activités de développement doivent être suivies au moyen de systèmes de gestion de versions approuvés, avec contrôles d’accès imposés, pistes d’audit et protections de branches. »
Cette exigence déplace la gouvernance vers l’amont. Si les référentiels de code source ne sont pas protégés, la provenance des builds est faible. Si les protections de branches peuvent être contournées, le pipeline peut construire fidèlement du code non approuvé. Si les pistes d’audit sont désactivées, la reconstitution d’un incident repose sur la mémoire et des captures d’écran plutôt que sur des éléments de preuve.
Pour les petites organisations, la Politique de développement sécurisé PME Politique de développement sécurisé PME inclut une exigence minimale pragmatique :
« Suivi de la version du code, de la date de déploiement et de l’approbateur »
Ce registre de déploiement simple constitue un point de départ solide. De nombreuses PME n’ont pas besoin d’une gouvernance lourde des mises en production dès le premier jour, mais elles doivent savoir quelle version est passée en production, quand et qui l’a approuvée.
La politique PME précise également :
« L’accès aux outils ou systèmes de déploiement en production doit être contrôlé, journalisé et revu périodiquement par le DG ou le prestataire informatique. »
C’est l’étape de gouvernance que beaucoup de petites équipes négligent. Une plateforme CI/CD disposant d’identifiants cloud de production constitue un chemin d’accès privilégié à l’environnement de production.
Trois domaines de contrôle ISO/IEC 27002:2022 derrière un CI/CD sécurisé
Le Zenith Controls : guide de conformité croisée Zenith Controls est la boussole de conformité croisée de Clarysec pour cartographier les normes et référentiels officiels en relations de contrôle exploitables. Pour la gouvernance de la sécurité des pipelines CI/CD, trois domaines de contrôle ISO/IEC 27002:2022 sont centraux.
| Contrôle ISO/IEC 27002:2022 | Rôle dans la gouvernance CI/CD | Contrôles et éléments de preuve associés |
|---|---|---|
| 5.21 Gestion de la sécurité de l’information dans la chaîne d’approvisionnement TIC | Gouverne les plateformes CI/CD, les actions de tiers, les référentiels de paquets, les services de build cloud, les registres et le développement externalisé | Diligences préalables relatives aux fournisseurs, exigences de sécurité contractuelles, journaux des prestataires, inventaires de dépendances |
| 8.25 Cycle de vie du développement sécurisé | Intègre la sécurité aux exigences, à la conception, au codage, au build, aux tests et à la mise en production | Architecture sécurisée, programmation sécurisée, tests de sécurité, signature des artefacts, éléments de preuve de mise en production |
| 8.32 Gestion des changements | Garantit que les déploiements sont intentionnels, justifiés, approuvés et auditables | Identifiant de demande de changement, approbation, journal de déploiement, plan de retour arrière, enregistrement de changement d’urgence |
Zenith Controls décrit 5.21 comme un contrôle préventif soutenant la confidentialité, l’intégrité et la disponibilité, la sécurité des relations fournisseurs étant une capacité opérationnelle clé. Cela correspond à CI/CD, car les pipelines modernes dépendent de services externes : plateformes de contrôle du code source, runners hébergés, registres de conteneurs, référentiels de paquets open source, actions GitHub tierces, outils d’analyse, interfaces de programmation (API) de déploiement cloud et développeurs externalisés.
Dans la cartographie de 5.21, Zenith Controls relie la sécurité de la chaîne d’approvisionnement TIC à 5.19 Sécurité de l’information dans les relations avec les fournisseurs, 5.20 Traitement de la sécurité de l’information dans les accords fournisseurs, 8.27 Architecture système sécurisée et principes d’ingénierie, 8.28 Programmation sécurisée, 8.29 Tests de sécurité en développement et en acceptation, 5.15 Contrôle d’accès, 5.28 Collecte des éléments de preuve, 8.25 Cycle de vie du développement sécurisé et 8.30 Développement externalisé.
Pour 8.25, Zenith Controls identifie le cycle de vie du développement sécurisé comme un contrôle préventif protégeant la confidentialité, l’intégrité et la disponibilité. Il relie les exigences de sécurité, l’architecture, le codage, les tests, le développement externalisé et 8.31 Séparation des environnements de développement, de test et de production.
Pour 8.32, Zenith Controls présente la gestion des changements comme le pont entre le développement et les opérations. Elle est liée à 8.9 Gestion des configurations, 8.8 Gestion des vulnérabilités techniques, au SDLC sécurisé et à la réponse aux incidents. C’est pourquoi l’automatisation des déploiements ne peut pas rester en dehors de la gouvernance des changements. Elle est le mécanisme par lequel les changements de production sont réalisés.
Provenance des builds : le récit de mise en production que les auditeurs peuvent suivre
La provenance des builds est la capacité de répondre, avec des éléments de preuve, à la question de l’origine d’un artefact logiciel et de la manière dont il a été produit. Un enregistrement de provenance solide raconte l’histoire d’une mise en production :
- Quel référentiel source et quel commit ont été utilisés.
- Quelle branche ou balise a déclenché le build.
- Quelle pull request, quel réviseur et quelle approbation étaient associés.
- Quelle définition de pipeline a été exécutée.
- Quel runner a exécuté le job.
- Quelles dépendances et images de base ont été utilisées.
- Quels tests et points de contrôle de sécurité ont été exécutés.
- Quel artefact a été produit.
- Quelle signature ou quel hachage a été généré.
- Quel déploiement a consommé l’artefact.
La P05 Politique de gestion des changements Politique de gestion des changements fournit le lien de gouvernance. Elle précise :
« Les changements fondés sur des outils doivent néanmoins respecter la présente politique et être traçables jusqu’à un identifiant de demande de changement correspondant. »
Cette exigence répond à l’argument courant selon lequel les déploiements automatisés n’auraient pas besoin de tickets de changement. L’automatisation ne supprime pas la gouvernance des changements. Elle modifie la manière dont les éléments de preuve sont générés.
La même politique précise :
« Toutes les demandes de changement, revues, approbations et éléments de preuve à l’appui doivent être enregistrés dans le système centralisé de gestion des changements. »
En pratique, le système de gestion des changements doit être l’index, et non le dépôt fourre-tout. Le ticket doit pointer vers le référentiel source, l’exécution du build, la signature de l’artefact, le journal de déploiement et le plan de retour arrière. Les éléments de preuve détaillés peuvent rester dans les outils d’ingénierie si la conservation, le contrôle d’accès et l’exportabilité sont définis.
| Question de contrôle | Éléments de preuve à conserver | Responsable |
|---|---|---|
| La source a-t-elle été approuvée ? | Approbation de pull request, paramètres de protection des branches, identité du réviseur | Responsable ingénierie |
| Le build était-il contrôlé ? | Identifiant d’exécution du build, identifiant du runner, version de la définition du pipeline, journaux de job | DevOps |
| L’artefact était-il traçable ? | Hachage de l’artefact, signature, référence de commit source, métadonnées du registre | Équipe plateforme |
| Les points de contrôle de sécurité ont-ils été exécutés ? | Résultats SAST, SCA, conteneur, DAST et IaC, approbations de dérogation | Sécurité |
| Le déploiement était-il autorisé ? | Identifiant de demande de changement, approbateur, fenêtre de déploiement, plan de retour arrière | Responsable de la gestion des changements |
| Les éléments de preuve peuvent-ils être conservés ? | Journaux exportés, captures d’écran, hachages, registre de chaîne de conservation | Sécurité ou conformité |
Durcissement des runners : le contrôle de production souvent négligé
Les runners CI/CD sont souvent traités comme une infrastructure jetable, alors qu’ils constituent des environnements d’exécution à haut risque. Un runner peut accéder au code source, aux secrets, aux caches de build, aux référentiels de paquets, aux clés de signature, aux registres d’artefacts et aux rôles de déploiement cloud. S’il est persistant, partagé, sur-privilégié ou insuffisamment surveillé, il devient un point de pivot à privilèges.
La position de gouvernance sécurisée est simple : les runners qui construisent ou déploient du code de production doivent être durcis comme une infrastructure de production.
| Domaine de durcissement des runners | Contrôle attendu | Éléments probants d’audit |
|---|---|---|
| Isolement | Utiliser des runners éphémères pour les builds sensibles et éviter le partage entre frontières de confiance | Journaux du cycle de vie des runners, paramètres des groupes de runners |
| Sécurité des identifiants | Utiliser des identifiants de courte durée et l’identité de charge de travail au lieu de secrets à longue durée de vie | Configuration d’identité, paramètres d’expiration des jetons, journaux de rotation des secrets |
| Moindre privilège | Séparer les rôles de build, de test, de signature et de déploiement | Définitions de rôles, revues d’accès, exports d’autorisations |
| Contrôle réseau | Restreindre les flux sortants et bloquer les connectivités de production non nécessaires | Règles de pare-feu, exports de politiques réseau, journaux de sortie |
| Intégrité de référence | Appliquer les correctifs aux images de runners et enregistrer les versions approuvées | Inventaire des images, rapports d’application des correctifs, condensats des images de build |
| Protection du cache | Empêcher la contamination entre projets via les caches de build | Politique de cache, paramètres d’isolement des projets |
| Surveillance | Journaliser les actions administratives, les modifications de configuration et les anomalies de jobs | Journaux d’audit CI/CD, événements SIEM, enregistrements d’alertes |
La Politique relative aux données de test et aux environnements de test Politique relative aux données de test et aux environnements de test précise :
« L’intégration avec les pipelines CI/CD doit imposer la séparation des environnements et des identifiants d’authentification. »
Un runner capable de déployer en préproduction et en production avec le même modèle d’identifiants viole l’esprit de la séparation des environnements, même si l’infrastructure est logiquement distincte. Clarysec recommande généralement des identités de déploiement séparées par environnement, des points de contrôle d’approbation distincts pour la production et des contrôles explicites empêchant les jobs des environnements inférieurs d’accéder aux secrets de production.
Le Zenith Blueprint, phase Controls in Action, étape 21, renforce ce principe par la séparation des environnements de développement, de test et de production :
« Si CI/CD est utilisé, confirmez que la promotion des déploiements entre environnements est contrôlée et exige une revue ou une approbation. Documentez ce point dans votre procédure de gestion des environnements et conservez des captures d’écran ou des exports de console pour l’étayer. »
Pour un audit réel, cela signifie que l’auditeur ne doit pas seulement voir un schéma. Il doit voir des exports de console montrant des identifiants propres à chaque environnement, des environnements de déploiement protégés, des points de contrôle d’approbation et des journaux démontrant que la promotion était contrôlée.
Éléments de preuve de déploiement : l’objet de conformité caché à la vue de tous
Les équipes DevSecOps les plus matures ne traitent pas la collecte des éléments de preuve comme une course trimestrielle. Elles conçoivent les pipelines pour générer automatiquement les éléments de preuve.
La Politique de journalisation et de surveillance PME Politique de journalisation et de surveillance PME identifie les événements de journalisation pertinents comme suit :
« Journaux système : modifications de configuration, actions administratives, installations logicielles, activités d’application des correctifs »
Les systèmes CI/CD produisent ces quatre catégories. Les modifications de configuration du pipeline affectent la manière dont le logiciel est construit. Les actions administratives modifient les personnes habilitées à approuver ou déployer. Les installations logicielles interviennent dans les images de build et les cibles de déploiement. L’application des correctifs peut être intégrée aux processus automatisés de mise en production. Ces événements doivent être journalisés, conservés et revus selon le risque.
Pour la préparation aux investigations, la P31S Politique de collecte des éléments de preuve et d’investigation numérique PME Politique de collecte des éléments de preuve et d’investigation numérique PME précise :
« Les captures d’écran, journaux exportés et valeurs de hachage des fichiers doivent être stockés avec le fichier de chaîne de conservation. »
Cette exigence est particulièrement importante après une suspicion de compromission du pipeline. Les captures d’écran seules constituent des éléments de preuve faibles. Les journaux sans hachage peuvent être contestés. Un fichier de chaîne de conservation sans références source est incomplet.
Un enregistrement défendable de déploiement en production doit inclure les éléments suivants.
| Élément de preuve | Contenu minimal | Source principale | Valeur de conformité |
|---|---|---|---|
| Demande de changement | Besoin métier, niveau de risque, approbation, identifiant de changement, plan de retour arrière | JIRA, ServiceNow, issue Git | ISO 27002 8.32, DORA Article 9 |
| Enregistrement source | Référentiel, commit, branche, approbations de pull request | Git, GitHub, GitLab, Azure DevOps | ISO 27002 8.25, NIS2 Article 21 |
| Enregistrement de build | Identifiant de pipeline, identifiant du runner, journaux de build, données de dépendance | Plateforme CI/CD | ISO 27002 8.25, éléments de preuve de chaîne d’approvisionnement TIC |
| Attestation de provenance du build | Enregistrement signé des entrées, de l’environnement et du processus de build | Outil CI/CD, workflow compatible SLSA | ISO 27002 5.21, appui à l’Annexe I du CRA |
| Enregistrement des points de contrôle de sécurité | Résultats SAST, SCA, DAST, conteneur et IaC | Outils de sécurité, journaux du pipeline | ISO 27002 8.29, DORA Article 9 |
| Enregistrement de l’artefact | Hachage, signature, chemin du registre, condensat immuable | Registre d’artefacts | ISO 27002 8.25, éléments de preuve de mise à jour sécurisée CRA |
| Enregistrement de déploiement | Environnement, acteur, horodatage, approbation de production | GitOps, plateforme de déploiement | ISO 27002 8.32, DORA Article 10 |
| Enregistrement de surveillance | Contrôles de santé et d’anomalies après déploiement | SIEM, plateforme d’observabilité | Attentes DORA en matière de détection et de réponse |
| Conservation des éléments de preuve | Journaux exportés, captures d’écran, hachages, enregistrement de conservation | Référentiel d’éléments de preuve | ISO 27002 5.28, investigation d’incident |
Ce dossier transforme CI/CD d’une suite d’étapes techniques en un récit de gouvernance, de contrôle et de diligence raisonnable.
Cartographier la gouvernance CI/CD avec NIS2, DORA, GDPR et CRA
NIS2 s’applique à de nombreuses entités essentielles et importantes, notamment dans les infrastructures numériques, la gestion des services TIC et les organisations fournissant des services numériques lorsque les critères sont remplis. L’Article 20 est particulièrement pertinent, car il crée des obligations de cybersécurité au niveau de la direction. Les organes de direction doivent approuver les mesures de gestion des risques de cybersécurité, en superviser la mise en œuvre et recevoir une formation.
L’Article 21 fournit le socle de gestion des risques. Il exige des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées couvrant l’analyse des risques, les politiques, la gestion des incidents, la continuité d’activité, la sécurité de la chaîne d’approvisionnement, l’acquisition, le développement et la maintenance sécurisés, la gestion des vulnérabilités, l’évaluation de l’efficacité, la cyberhygiène, la cryptographie, la sécurité RH, le contrôle d’accès, la gestion des actifs et l’authentification multifacteur lorsque cela est approprié.
| Thème de l’Article 21 de NIS2 | Interprétation pour la gouvernance CI/CD |
|---|---|
| Analyse des risques et politiques | Modélisation des menaces du pipeline, politique de développement sécurisé, appréciation des risques des runners |
| Gestion des incidents | Playbook de compromission du pipeline, révocation des artefacts, contrôle des mises en production d’urgence |
| Continuité d’activité | Rétablissement du contrôle du code source, du registre d’artefacts et de l’automatisation des déploiements |
| Sécurité de la chaîne d’approvisionnement | Actions de tiers, paquets, développement externalisé, dépendances de registre |
| Développement et maintenance sécurisés | SDLC sécurisé, revue de code, tests, gestion des vulnérabilités |
| Évaluation de l’efficacité | Tests des contrôles du pipeline, échantillonnage d’audit, indicateurs et exceptions |
| Contrôle d’accès et MFA | Référentiel, administration CI/CD, enregistrement des runners, rôles de déploiement en production |
| Cryptographie | Signature des artefacts, protection des secrets, gestion des clés |
L’Article 23 ajoute une notification progressive des incidents significatifs, incluant une alerte précoce dans les 24 heures suivant la prise de connaissance, une notification d’incident dans les 72 heures et un rapport final au plus tard un mois après la notification de l’incident. Si une compromission CI/CD peut provoquer une perturbation opérationnelle grave, une perte financière ou un préjudice matériel pour autrui, le processus de classification des incidents doit être prêt avant l’incident.
Pour les entités financières, DORA s’applique depuis le 17 janvier 2025 et couvre la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience, le partage d’informations, la gestion des risques liés aux tiers TIC et les exigences contractuelles. L’Article 5 exige un cadre interne de gouvernance et de contrôle du risque lié aux TIC, avec responsabilité de l’organe de direction. L’Article 6 exige un cadre documenté de gestion du risque lié aux TIC intégré à la gestion globale des risques.
Les Articles 8 à 14 se rattachent directement à la gouvernance des pipelines CI/CD. Les entités financières doivent identifier et classifier les fonctions métier soutenues par les TIC, les actifs, les dépendances, les menaces et les vulnérabilités. Elles doivent protéger les systèmes TIC au moyen de politiques, de contrôles d’accès, d’une authentification forte, de la protection des clés cryptographiques, d’une gestion contrôlée des changements TIC, de l’application des correctifs et de la segmentation. Elles doivent détecter les anomalies, répondre, rétablir les services et tirer les enseignements des incidents.
Les Articles 28 à 30 sont tout aussi importants, car les plateformes CI/CD, les fournisseurs de contrôle du code source, les registres d’artefacts, les systèmes de build cloud et les développeurs externalisés peuvent constituer des dépendances vis-à-vis de tiers TIC. DORA attend des diligences raisonnables, des garanties contractuelles, une évaluation du risque de concentration, des droits d’audit et d’inspection, des déclencheurs de résiliation, des stratégies de sortie et des clauses de niveau de service.
GDPR ajoute le prisme de la responsabilité. L’Article 5 exige que les données à caractère personnel soient traitées de manière licite, loyale et transparente, pour des finalités déterminées, qu’elles soient minimisées, exactes, conservées uniquement pendant la durée nécessaire et protégées contre tout traitement non autorisé ou illicite ainsi que contre la perte, la destruction ou les dommages accidentels. L’Article 5(2) impose au responsable du traitement de démontrer la conformité.
Les pipelines CI/CD sont pertinents pour GDPR, car les développeurs peuvent utiliser des données de production dans les environnements de test, les journaux du pipeline peuvent exposer des données à caractère personnel ou des jetons, les mises en production peuvent modifier la logique de traitement et les artefacts compromis peuvent provoquer des violations de données à caractère personnel. Lorsque des changements logiciels affectent les contrôles de protection de la vie privée, l’enregistrement de changement doit consigner l’impact sur la vie privée. Lorsqu’un incident de pipeline entraîne un accès non autorisé à des données à caractère personnel, l’évaluation de violation doit être liée à la gestion des incidents.
Les attentes du CRA ajoutent la sécurité des produits et les éléments de preuve de mise à jour sécurisée. Pour les fabricants et fournisseurs de logiciels qui mettent sur le marché de l’UE des produits comportant des éléments numériques, les clients attendent de plus en plus des dossiers de sécurité produit, des éléments de preuve de gestion des vulnérabilités, des contrôles de mise à jour sécurisée et l’intégrité des mises en production. La gouvernance CI/CD fournit une grande partie de ces éléments de preuve grâce à la traçabilité de la source, aux artefacts signés, aux résultats de scans de vulnérabilités, aux notes de version, aux correctifs de sécurité et aux enregistrements de distribution des mises à jour.
NIST CSF 2.0 et COBIT 2019 : le prisme d’audit au-delà d’ISO
NIST CSF 2.0 fournit une couche d’intégration pour la gouvernance de la cybersécurité. Son noyau, ses profils organisationnels et ses niveaux aident les organisations à comprendre leur niveau actuel et cible, à prioriser les actions alignées sur les exigences légales et réglementaires, et à communiquer sur le risque cyber.
Pour CI/CD, Clarysec crée souvent un profil de pipeline de livraison logicielle. Le profil actuel décrit comment fonctionnent aujourd’hui le contrôle du code source, les runners, la signature des artefacts et les approbations de déploiement. Le profil cible définit l’état requis pour les opérations réglementées. Le plan d’écart devient la feuille de route de mise en œuvre.
La fonction GOVERN de NIST est particulièrement pertinente. GV.OC-03 exige que les exigences de cybersécurité légales, réglementaires et contractuelles soient comprises et gérées. GV.RM couvre l’appétence au risque et la priorisation normalisée des risques. GV.RR attribue la responsabilité de la direction, les rôles et les ressources. GV.PO exige que les politiques de risque de cybersécurité soient établies, appliquées, revues et mises à jour. GV.OV couvre la supervision et l’évaluation de la performance.
Un auditeur COBIT 2019 ou de type ISACA s’intéressera souvent moins au détail cryptographique de la signature des artefacts qu’à la conception de la gouvernance. Il demandera si la propriété est définie, si l’habilitation des changements est contrôlée, si les services tiers sont gérés selon les risques, si la surveillance produit de l’assurance, si les exceptions sont approuvées et si la direction reçoit un reporting pertinent.
| Prisme d’audit | Question d’audit probable | Éléments de preuve qui y répondent |
|---|---|---|
| Auditeur ISO/IEC 27001:2022 | CI/CD est-il inclus dans le domaine d’application du SMSI, l’appréciation des risques, la déclaration d’applicabilité et les contrôles opérationnels ? | Domaine d’application du SMSI, registre des risques, cartographie SoA, clauses de politique, échantillons de déploiement |
| Réviseur de contrôles ISO/IEC 27002:2022 | Le SDLC sécurisé, la séparation des environnements, le contrôle d’accès, la gestion des changements et la collecte des éléments de preuve sont-ils mis en œuvre ? | Protections de branches, identifiants par environnement, approbations, signatures des artefacts, journaux |
| Évaluateur NIS2 | La direction a-t-elle approuvé des mesures proportionnées pour le développement sécurisé, la chaîne d’approvisionnement, le contrôle d’accès, la gestion des incidents et la résilience ? | Comptes rendus du conseil, plan de traitement des risques, cartographie de l’Article 21, playbook d’incident, enregistrements fournisseurs |
| Auditeur DORA | Le pipeline soutient-il la gestion des risques liés aux TIC, les changements contrôlés, la surveillance, les tests, la notification des incidents et la gouvernance des tiers TIC ? | Inventaire des actifs TIC, enregistrements de changements, journaux de détection, classification des incidents, registre des prestataires |
| Réviseur GDPR | L’organisation peut-elle démontrer la sécurité et la responsabilité pour les mises en production affectant les données à caractère personnel ? | Notes de revue Protection des données, contrôles des données de test, journaux d’accès, workflow d’évaluation des violations |
| Évaluateur NIST CSF 2.0 | Quel est le niveau actuel du pipeline par rapport au niveau cible, et quel est le plan d’amélioration priorisé ? | Profil CSF, analyse des écarts, POA&M, indicateurs, enregistrements d’acceptation du risque |
| Auditeur COBIT 2019 ou ISACA | Les rôles, responsabilités, contrôles de processus, mesures de performance et activités d’assurance sont-ils définis ? | RACI, liste des responsables de contrôle, rapports KPI et KRI, résultats d’audit interne, registre des exceptions |
Défaillances fréquentes d’audit CI/CD et indicateurs pour le conseil
La plupart des constats d’audit CI/CD sont prévisibles. Le premier est l’absence de liaison entre les éléments de preuve. L’équipe dispose de journaux Git, de journaux de pipeline et de journaux de déploiement, mais aucun enregistrement de changement unique ne les relie. Le deuxième est l’automatisation sur-privilégiée, lorsqu’un même job peut lire des secrets de production, pousser des artefacts, approuver des déploiements et modifier les définitions du pipeline. Le troisième concerne les runners partagés persistants, qui créent un risque de contamination entre projets et rendent plus difficile la délimitation d’un périmètre d’investigation après compromission.
Parmi les autres défaillances courantes figurent les artefacts non signés ou écrasés, les dérogations informelles aux scans, l’aveuglement vis-à-vis des fournisseurs et la fuite de données relevant de la vie privée dans les journaux. Un bon pipeline permet les exceptions, mais exige approbation, expiration, propriété du risque et revue.
Les responsables sécurité doivent éviter de ne remonter au conseil que des volumes de scans. Ils doivent plutôt communiquer des indicateurs de confiance des mises en production :
- Pourcentage de déploiements en production liés à des enregistrements de changement approuvés.
- Pourcentage d’artefacts de production signés et traçables jusqu’aux commits source.
- Nombre de déploiements utilisant des exceptions ou des approbations d’urgence.
- Pourcentage d’utilisateurs CI/CD à privilèges disposant de MFA et d’une revue d’accès récente.
- Nombre d’identifiants de déploiement à longue durée de vie encore actifs.
- Pourcentage de services critiques utilisant des runners durcis ou éphémères.
- Délai moyen de révocation ou de rotation des secrets du pipeline après un incident.
- Nombre de dépendances fournisseurs critiques soutenant la livraison logicielle.
- Taux d’exhaustivité des éléments de preuve pour les mises en production échantillonnées en audit.
Ces indicateurs soutiennent le leadership, la planification et le contrôle opérationnel d’ISO/IEC 27001:2022. Ils soutiennent également la supervision de la direction prévue à l’Article 20 de NIS2 et les attentes de gouvernance de DORA.
Rendre votre pipeline auditable avant l’incident
La gouvernance de la sécurité des pipelines CI/CD en 2026 ne consiste pas à ralentir l’ingénierie. Elle consiste à rendre la livraison logicielle fiable, résiliente et démontrable. Les meilleurs programmes utilisent l’automatisation pour accélérer la production des éléments de preuve, et non pour contourner la gouvernance.
Une mise en œuvre Clarysec pragmatique commence par trois actions.
- Utilisez Zenith Blueprint Zenith Blueprint pour intégrer le DevOps sécurisé, l’accès au code source, la séparation des environnements et la gestion des changements dans votre feuille de route de mise en œuvre ISO/IEC 27001:2022.
- Utilisez Zenith Controls Zenith Controls pour cartographier les risques CI/CD à travers le SDLC sécurisé, la chaîne d’approvisionnement TIC, le contrôle d’accès, la gestion des changements, la collecte des éléments de preuve, NIS2, DORA, GDPR, NIST CSF 2.0 et les perspectives d’audit COBIT 2019.
- Déployez les modèles de politiques Clarysec, notamment la Politique de développement sécurisé, la Politique de gestion des changements, la Politique relative aux données de test et aux environnements de test, la Politique de développement sécurisé PME, la Politique de journalisation et de surveillance PME et la Politique de collecte des éléments de preuve et d’investigation numérique PME, afin de définir qui approuve les mises en production, comment les artefacts sont tracés, comment les runners sont contrôlés et quels éléments de preuve doivent être conservés.
Si votre prochain échantillon d’audit commence par « montrez-nous la piste de mise en production », votre équipe doit pouvoir répondre en quelques minutes, et non en plusieurs semaines. C’est la différence entre l’automatisation DevOps et une livraison logicielle gouvernée.
Téléchargez le toolkit de politiques Clarysec, examinez votre pipeline CI/CD au regard de Zenith Blueprint et Zenith Controls, ou réservez une évaluation Clarysec pour transformer votre pipeline d’une source d’anxiété en audit en un pilier de la résilience numérique.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
