0 / 15 questions
5 domaines · 15 questions · Score DORA
Évaluez votre maturité DevOps end-to-end
Chaque domaine est noté sur 9 points. Le score global positionne votre organisation sur les 4 niveaux DORA. Répondez selon votre réalité — pas selon vos objectifs.
🚀
CI/CD & Delivery🏗️
Infrastructure as Code📊
Observabilité🚨
Réponse incidents🔐
DevSecOps
✓ 15 questions · 5 minutes
✓ Score DORA par domaine
✓ Recommandations actionnables
🚀
CI/CD & Delivery
Domaine 1/5 · Questions 1 à 3
01À quelle fréquence déployez-vous en production ?
0Rarement, déploiements lourds
1Quelques fois par mois
2Une ou plusieurs fois par semaine
3Plusieurs fois par jour, à la demande
02Votre pipeline CI/CD bloque-t-il automatiquement les déploiements défaillants (quality gates) ?
0Pas de pipeline CI/CD
1Pipeline basique, pas de gates
2Tests auto, quelques quality gates
3Gates complets : tests, sécurité, perf
03En cas d'incident critique, en combien de temps pouvez-vous rollback en production ?
0Rollback très difficile ou impossible
1Plusieurs heures avec effort important
2Moins d'une heure, intervention manuelle
3Moins de 15 min, rollback automatisé
Questions 1-3 / 15
🏗️
Infrastructure as Code
Domaine 2/5 · Questions 4 à 6
04Quelle part de votre infrastructure est gérée via du code (Terraform, Pulumi, CDK...) ?
0Pas d'IaC, tout est manuel
1IaC partiel, beaucoup de config manuelle
2La majorité, quelques exceptions manuelles
3100% IaC, aucune modification manuelle
05Vos environnements dev, staging et prod sont-ils créés depuis le même code, de façon identique et reproductible ?
0Très différents, "ça marche en prod"
1Similaires avec beaucoup de diffs
2Identiques pour les services critiques
3Identiques et reproductibles, même code
06Toute modification d'infrastructure passe-t-elle par une PR Git avec revue avant application ?
0Non, modifications directes en console
1Git mais sans process de revue
2PR avec revue pour les changements majeurs
3PR obligatoire avec review + CI sur chaque PR
Questions 4-6 / 15
📊
Observabilité
Domaine 3/5 · Questions 7 à 9
07Avez-vous des dashboards couvrant les 4 signaux dorés (latence, trafic, erreurs, saturation) sur vos services critiques ?
0Pas de monitoring applicatif
1Monitoring basique CPU/RAM uniquement
2Quelques métriques applicatives, incomplet
34 signaux dorés sur tous les services critiques
08Êtes-vous en mesure de tracer une requête de bout en bout dans tout votre système (distributed tracing) ?
0Non, débogage "en aveugle"
1Logs corrélés manuellement
2Tracing sur les services critiques seulement
3Tracing complet (Jaeger, Tempo, etc.) partout
09Vos alertes sont-elles basées sur des SLO/SLI métiers (pas seulement des seuils d'infrastructure) ?
0Pas d'alertes
1Alertes sur seuils infra (CPU > 80%)
2Alertes infra + quelques alertes métier
3SLO définis + alertes sur error budget burn
Questions 7-9 / 15
🚨
Réponse aux incidents
Domaine 4/5 · Questions 10 à 12
10Avez-vous des runbooks documentés, accessibles et maintenus à jour pour vos incidents les plus fréquents ?
0Rien, tout est dans les têtes
1Notes informelles dans Confluence/Notion
2Runbooks formalisés mais rarement mis à jour
3Runbooks à jour, utilisés systématiquement
11Effectuez-vous des post-mortems sans blâme après chaque incident significatif, avec actions de suivi ?
0Non, on passe à autre chose
1Discussion informelle parfois
2Post-mortem écrit sans toujours suivre les actions
3Post-mortem systématique + suivi des actions
12Votre MTTR (temps moyen de rétablissement) est-il mesuré et en amélioration continue ?
0Non mesuré, probablement très long
1Non mesuré mais estimé à quelques heures
2Mesuré, MTTR < 4h en moyenne
3Mesuré, MTTR < 1h et en amélioration
Questions 10-12 / 15
🔐
DevSecOps
Domaine 5/5 · Questions 13 à 15
13Votre pipeline CI/CD intègre-t-il des contrôles de sécurité automatisés (SAST, scanning images, secrets detection) ?
0Aucun contrôle de sécurité dans la CI
1Quelques scans manuels occasionnels
2SAST/scanning en mode alerting dans la CI
3SAST + image scanning + secrets scan + blocking gates
14Vos secrets (API keys, tokens, mots de passe) sont-ils tous gérés via un gestionnaire de secrets centralisé ?
0Secrets dans les repos ou fichiers .env
1Variables d'env sur les serveurs, non centralisé
2La plupart centralisés, quelques exceptions
3100% via Vault / AWS Secrets Manager / GCP SM
15Vos images Docker et dépendances applicatives sont-elles scannées automatiquement pour les CVE critiques ?
0Non, jamais
1Scans manuels très occasionnels
2Scan automatique dans la CI sans politique de blocage
3Scan auto + policies de blocage + alertes CVE critiques
Questions 13-15 / 15
—
—
/ 45 points
—
Score par domaine
Axes prioritaires à adresser
Score basé sur les métriques DORA (DevOps Research & Assessment) 2024. Indicatif — un Audit DevOps CTN Solutions livré en 10 jours donne votre feuille de route précise.
Recommencer →
Prochaine étape
Transformez votre score en feuille de route
Un Audit DevOps CTN Solutions livré en 10 jours identifie vos bottlenecks précis, priorise les chantiers par impact et vous donne un plan d'action chiffré.
Délai de réponse
Sous 24 heures ouvrées
Confidentialité
NDA fourni sur demande
Format
1 h · visio ou présentiel
Interlocuteur
Associé fondateur