Réponses GRC
Des réponses courtes et définitives aux questions que les praticiens et les acheteurs recherchent réellement. Rédigées par des professionnels de la conformité, pas par des équipes marketing.
ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l’information (SMSI). Publiée par l’ISO/IEC, elle définit les exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un SMSI. La révision 2022 inclut 93 contrôles répartis sur quatre thèmes : organisationnel, humain, physique et technologique. La certification requiert un audit externe accrédité démontrant que le SMSI répond à toutes les exigences des clauses et que les contrôles de l’Annexe A sélectionnés sont mis en œuvre et efficaces. Acuna prend en charge l’intégralité du cycle de vie ISO 27001, de la définition du périmètre à la préparation des audits.
NIS2 (Directive (UE) 2022/2555) est la directive européenne sur la cybersécurité pour les entités essentielles et importantes. Elle étend le périmètre de NIS1, introduit des exigences de sécurité renforcées en vertu de l’article 21, et impose le signalement des incidents dans les 24 heures (alerte précoce), 72 heures (notification) et un mois (rapport final). Les entités essentielles comprennent l’énergie, les transports, le secteur bancaire, la santé, l’eau et l’infrastructure numérique. Les entités importantes couvrent les services postaux, la gestion des déchets, la chimie, l’alimentation, l’industrie manufacturière et les fournisseurs numériques comptant 50 employés ou plus, ou un chiffre d’affaires de 10 millions d’euros ou plus. Acuna cartographie les articles NIS2 sur les contrôles, gère le risque de la chaîne d’approvisionnement et suit les délais de signalement des incidents.
Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA) s’applique aux entités financières de l’UE. Il établit des exigences en matière de gestion des risques TIC, de signalement des incidents TIC, de tests de résilience opérationnelle numérique (y compris les tests de pénétration fondés sur les menaces, TLPT, pour les entités significatives), de gestion des risques TIC liés aux tiers et de partage d’informations sur les cybermenaces. DORA est entré en vigueur le 17 janvier 2025. Acuna couvre les exigences DORA sur les quatre volets : cartographie des référentiels dans Comply, contrôles TIC et inventaire des actifs dans Implement, gestion des incidents et des tiers dans Operate, et constats TLPT et actions correctives dans Assure.
La GRC (Gouvernance, Risques et Conformité) est une discipline de management large couvrant la manière dont une organisation dirige sa stratégie, gère ses risques et respecte ses obligations réglementaires dans tous les domaines. Un SMSI (Système de management de la sécurité de l’information) est une mise en œuvre spécifique de la gouvernance et de la gestion des risques centrée sur la sécurité de l’information, se conformant généralement à ISO 27001. Un SMSI est une composante d’un programme GRC plus large. Acuna est une plateforme GRC qui prend en charge la gestion d’un SMSI comme l’un de ses cas d’usage, aux côtés de la protection des données, de la continuité d’activité, du risque fournisseur et de la gestion des risques d’entreprise.
La cartographie de contrôles inter-référentiels identifie les points de recoupement entre les exigences de différents référentiels. Par exemple, ISO 27001 A.8.5 (contrôle d’accès) et NIS2 article 21(2)(i) (gestion des accès) décrivent essentiellement la même pratique. En cartographiant ces recoupements, les organisations mettent en œuvre et prouvent un contrôle une seule fois au lieu de dupliquer l’effort par référentiel. Dans Acuna, les cartographies peuvent être directes (manuelles), dérivées via 58 mesures de référence organisées en 11 domaines, ou suggérées par l’IA avec des scores de confiance. La cartographie par lot permet d’aligner des domaines entiers en une seule opération.
La Déclaration d’applicabilité (DdA) est un document obligatoire dans ISO 27001 qui liste tous les contrôles de l’Annexe A, indique si chacun est applicable ou non applicable au périmètre du SMSI de l’organisation, fournit une justification pour les exclusions, et référence le statut de mise en œuvre de chaque contrôle applicable. La DdA est un artefact clé de l’audit : les auditeurs l’utilisent pour vérifier que la sélection des contrôles est fondée sur les risques et que les contrôles exclus disposent d’une justification documentée. Dans Acuna, la DdA est gérée directement dans le volet Comply avec les marquages d’applicabilité et les champs de justification par contrôle.
Une Analyse d’impact relative à la protection des données (AIPD) est requise en vertu de l’article 35 du RGPD lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes. Cela inclut le profilage systématique avec des effets juridiques, le traitement à grande échelle de catégories particulières de données et la surveillance systématique d’espaces publics. Une AIPD doit décrire le traitement, évaluer la nécessité et la proportionnalité, identifier les risques et définir les mesures d’atténuation. Si le risque résiduel reste élevé après atténuation, le responsable du traitement doit consulter l’autorité de contrôle en vertu de l’article 36. Les workflows AIPD figurent sur la feuille de route du module Protection des données d’Acuna ; actuellement, les activités de traitement peuvent être documentées et reliées aux contrôles et aux actifs pour préparer les AIPD.
Le Chapitre IV de DORA exige que les entités financières maintiennent un programme de test de résilience opérationnelle numérique. Cela inclut les évaluations de vulnérabilités, les tests de sécurité réseau, l’analyse des lacunes et les revues de sécurité des applications. Les entités significatives doivent également conduire des tests de pénétration fondés sur les menaces (TLPT) au moins tous les trois ans, simulant des attaques réelles contre les systèmes de production actifs à partir de renseignements sur les menaces. Les TLPT doivent être réalisés par des testeurs qualifiés et les résultats communiqués à l’autorité nationale compétente. Acuna suit la planification des TLPT, les constats et les actions correctives dans le volet Assure.
SOC 2 Type I évalue si les contrôles sont conçus de manière appropriée à un point précis dans le temps. SOC 2 Type II évalue si ces contrôles ont fonctionné efficacement sur une période, généralement de 6 à 12 mois. Le Type II est plus rigoureux car il exige des preuves d’un fonctionnement soutenu, et non simplement que les contrôles existent sur le papier. La plupart des acheteurs entreprises exigent un rapport Type II. Acuna est conçu pour la collecte continue de preuves pendant la période d’observation Type II, avec des tâches récurrentes, le scoring de santé des contrôles et des dossiers de preuves prêts pour l’audit.
Supplier Shield est le module de gestion des risques tiers (TPRM) d’Acuna. Il fournit un registre de fournisseurs centralisé avec un scoring des risques automatisé selon trois dimensions pondérées : dépendance (×0,4), pénétration (×0,3) et exposition (×0,3), produisant un score codé par couleur de 1 à 5. Les fonctionnalités comprennent des campagnes d’évaluation avec distribution de questionnaires et suivi des délais, des profils de risques individuels avec journaux d’activité immuables, un portail fournisseur pour les réponses externes, et la gestion du cycle de vie avec surveillance des expirations et import CSV en masse.
Dans Acuna, une mesure est une pratique de niveau modèle tirée de bibliothèques organisées selon des référentiels tels qu’ISO 27001 et NIST CSF. Elle décrit ce qui doit être fait. Un contrôle est l’enregistrement opérationnel que vous créez à partir d’une mesure : typé (préventif, détectif ou correctif), doté d’un responsable, d’un statut, et relié à des exigences, actifs, processus et risques spécifiques. Vous mettez en œuvre et attestez au niveau du contrôle ; les mesures standardisent la pratique sous-jacente dans l’ensemble de votre programme. Une mesure peut générer plusieurs contrôles dans différents périmètres.
Chaque contrôle dans Acuna affiche un badge de santé codé par couleur : vert (sain), orange (à risque) ou rouge (défaillant). La santé est principalement déterminée par la complétion des tâches récurrentes : une tâche complétée à temps score 100 (sain), complétée en retard score 75 (à risque), en cours sans échéance dépassée score 75, et non démarrée après l’échéance score 0 (défaillant). Ces scores remontent en cascade à travers les mesures et les exigences, de sorte que les glissements opérationnels apparaissent dans les vues de contrôle et de programme, et non uniquement dans une liste de tâches. Cliquez sur n’importe quel badge de santé pour obtenir une décomposition expliquant quelles tâches ont contribué au score actuel.
Aiko est l’assistant IA intégré d’Acuna, accessible depuis chaque page via l’icône Aiko flottante. Il aide pour les questions de conformité sur les exigences des référentiels et les approches de contrôle, les guides de navigation avec des liens internes vers les pages pertinentes, les synthèses de statut de la posture de conformité et des tâches en attente, et l’identification des lacunes là où les exigences manquent de mesures ou de contrôles reliés. Aiko utilise le même budget de tokens affiché sur le tableau de bord Admin → Agents IA, et toutes les conversations sont contextuelles, la date actuelle étant incluse pour les conseils sensibles au temps.
Dans Acuna, les enregistrements de preuves suivent quatre états : Brouillon (en cours de compilation), Soumis (envoyé pour approbation), Approuvé (verrouillé et horodaté) et Expiré (plus en vigueur). Chaque enregistrement capture les dates de collecte, de revue et d’expiration, prend en charge les pièces jointes versionnées et peut être relié à plusieurs contrôles avec des notes par lien. Les approbateurs reçoivent des notifications et peuvent demander des modifications avant d’accepter. Les preuves approuvées contribuent aux métriques d’efficacité des contrôles et de préparation aux audits. Les preuves expirées sont signalées visuellement et ne peuvent pas être supprimées sans l’approbation d’un administrateur, préservant ainsi la piste d’audit.
Acuna prend en charge quatre types de sources de données KPI. La saisie manuelle est destinée aux métriques extérieures à la plateforme (scores de tests de pénétration, résultats d’enquêtes). Les KPI calculés se calculent automatiquement à partir des données de conformité en temps réel via une bibliothèque de métriques prédéfinie (regroupée par catégories Conformité, Opérations, Risques, Contrôles, Général et Assure), un créateur de requêtes personnalisées avec filtres et opérateurs, ou un flux d’efficacité et d’exécution alimenté par les contrôles. Les connecteurs extraient des valeurs de services externes intégrés. L’API externe/webhook reçoit des valeurs entrantes de systèmes qui envoient des données à Acuna. Des seuils de conformité par élément avec des barres de progression codées par couleur sont disponibles pour les sources calculées.
Comply est l’endroit où vous gérez les référentiels, les exigences et l’applicabilité. Vous importez ou créez des référentiels réglementaires (ISO 27001, NIS2, DORA, SOC 2, RGPD et autres), examinez chaque exigence, marquez l’applicabilité avec justification, et établissez des cartographies inter-référentiels afin que les exigences qui se recoupent partagent les mêmes mesures et contrôles. Le volet affiche une posture de conformité en temps réel par référentiel : pourcentage de couverture, nombre de lacunes et statut au niveau des exigences, afin que les responsables conformité et les auditeurs voient l’état du programme sans ouvrir de tableurs.
Dans Comply, chaque exigence peut être marquée Applicable ou Non applicable avec un champ de justification obligatoire. Pour ISO 27001, cela produit la Déclaration d’applicabilité (DdA). Les décisions d’applicabilité se propagent en aval : lorsqu’une exigence est marquée non applicable, ses mesures et contrôles reliés sont exclus des calculs de couverture. Les auditeurs peuvent filtrer la liste des exigences par statut d’applicabilité et exporter la DdA comme artefact versionné. Les modifications d’applicabilité après le marquage initial sont tracées dans la piste d’audit avec l’utilisateur, l’horodatage et la raison du changement.
Implement est l’endroit où vous construisez l’ossature opérationnelle de votre programme de conformité. Vous créez des mesures à partir de bibliothèques organisées ou de définitions personnalisées, instanciez des contrôles à partir de ces mesures, assignez des responsables, définissez des statuts et reliez les contrôles aux exigences qu’ils satisfont. Le volet gère également votre inventaire d’actifs (systèmes informatiques, espaces de données, emplacements physiques), le registre des processus et le catalogue des risques. Tout est connecté : un contrôle est relié à une ou plusieurs exigences, à un ou plusieurs actifs, et éventuellement à des risques, permettant de tracer depuis une clause du référentiel jusqu’au système et à l’équipe spécifiques responsables.
Dans Implement, chaque mesure représente une pratique de sécurité ou de conformité (ex. : « Les revues d’accès sont effectuées trimestriellement »). Les mesures sont reliées en amont à une ou plusieurs exigences à travers les référentiels : une mesure peut satisfaire simultanément des clauses d’ISO 27001, de NIS2 et de SOC 2. Les contrôles sont les instances opérationnelles des mesures : ils portent un responsable, un statut de mise en œuvre, un type de contrôle (préventif, détectif, correctif) et des preuves reliées. Cette hiérarchie à trois niveaux (exigence, mesure, contrôle) est la manière dont Acuna évite le travail dupliqué dans les programmes multi-référentiels.
Operate est la couche d’exécution au quotidien. Il gère les tâches récurrentes (avec des fréquences et des responsables configurables), les objectifs et les KPI, le suivi des incidents et les registres de tiers. Les tâches pilotent la santé des contrôles : lorsqu’une tâche récurrente est complétée à temps, le contrôle relié reste vert ; lorsqu’elle glisse, le contrôle passe à l’orange ou au rouge, et ce statut remonte en cascade jusqu’à la mesure et l’exigence. Operate héberge également le tableau de bord KPI avec des sources de données manuelles, calculées, par connecteur et par webhook, offrant à la direction une visibilité en temps réel sur les performances du programme.
Chaque contrôle peut avoir une ou plusieurs tâches récurrentes, par exemple « Revoir les droits d’accès trimestriellement » ou « Tester la restauration des sauvegardes mensuellement ». Les tâches se voient affecter un responsable, une fréquence (quotidienne, hebdomadaire, mensuelle, trimestrielle, annuelle ou personnalisée) et une date d’échéance. Une tâche complétée à temps score 100 (sain). Complétée en retard score 75 (à risque). En cours sans dépassement score 75. Non démarrée après l’échéance score 0 (défaillant). Ces scores remontent au contrôle parent, puis à la mesure, puis à l’exigence : une tâche manquée apparaît ainsi comme une lacune visible à chaque niveau du programme.
Assure est la couche de preuves et de préparation aux audits. Il gère les enregistrements de preuves tout au long de leur cycle de vie (Brouillon, Soumis, Approuvé, Expiré), relie les preuves aux contrôles, suit les dates de revue et d’expiration, et regroupe les preuves pour les audits internes ou externes. Assure gère également les constats : observations d’audit, non-conformités et actions correctives avec échéances et responsabilités. Le volet fournit des tableaux de bord de préparation aux audits indiquant la couverture des preuves, les prévisions d’expiration et le nombre de constats ouverts, afin que vous sachiez exactement où vous en êtes avant l’arrivée d’un auditeur.
La préparation aux audits dans Assure est une métrique composite pilotée par trois facteurs : la couverture des preuves (pourcentage de contrôles avec au moins un enregistrement de preuve approuvé et non expiré), la santé des contrôles (remountée depuis la complétion des tâches) et le nombre de constats ouverts (non-conformités et observations non résolues). Chaque facteur contribue à un score global de préparation affiché sur le tableau de bord Assure. Lorsque des preuves expirent ou qu’un constat est en retard, le score baisse automatiquement. Cela offre aux responsables conformité un chiffre unique à communiquer à la direction et aux auditeurs, soutenu par des détails accessibles jusqu’à chaque contrôle et artefact sous-jacent.
Supplier Shield inclut un scanner OSINT automatisé qui évalue six dimensions de sécurité de l’empreinte internet publique d’un fournisseur : la configuration DNS (SPF, DKIM, DMARC), la validité du certificat TLS et la robustesse du protocole, les en-têtes de sécurité web (HSTS, CSP, X-Frame-Options), l’exposition aux violations de données connues, la réputation du domaine et l’exposition aux ports ouverts. Chaque dimension reçoit une note de A à F. Le score OSINT composite alimente le profil de risque global du fournisseur aux côtés du scoring manuel dépendance/pénétration/exposition. Les scans peuvent être déclenchés à la demande ou planifiés automatiquement à des intervalles configurables.
L’Analyse d’impact sur l’activité (AIA) dans Acuna évalue chaque processus métier selon des dimensions d’impact configurables : financier, réglementaire, réputationnel et dépendance opérationnelle. Chaque dimension est notée sur une échelle cohérente, et un score de criticité composite est calculé automatiquement. Le score oriente la priorisation : les processus les plus critiques reçoivent en premier leurs cibles RTO/RPO/DMTA, et les comités de résilience disposent d’une liste de priorités classée. Les résultats de l’AIA alimentent les tableaux de bord de direction, se connectent aux plans de reprise et sont reliés aux dépendances en termes d’actifs et de fournisseurs qui soutiennent chaque processus.
Le RTO (Objectif de délai de reprise) définit le délai dans lequel un processus doit être restauré après une perturbation. Le RPO (Objectif de point de reprise) définit la perte de données acceptable, mesurée en temps. La DMTA (Durée maximale tolérable d’absence) définit la durée maximale absolue pendant laquelle un processus peut être indisponible avant que l’impact ne devienne inacceptable pour l’organisation. Dans Acuna, les trois sont enregistrés par processus et reliés à l’unité métier responsable. La plateforme signale les incohérences, par exemple un RPO qui dépasse la DMTA, et compare les cibles aux capacités de reprise réelles lors des exercices.
Risques d’entreprise dans Acuna fournit un registre des risques structuré où chaque risque est évalué sur la probabilité et l’impact selon des dimensions configurables (financier, opérationnel, réputationnel, réglementaire). Les risques sont reliés aux contrôles, actifs, processus et responsables. Le module prend en charge les plans de traitement des risques (atténuer, accepter, transférer, éviter) avec suivi des actions, recalcul du risque résiduel après la mise en œuvre des contrôles, et visualisation par carte de chaleur pour le reporting de direction. Les données de risques s’intègrent avec les autres modules : un fournisseur à risque élevé dans Supplier Shield ou un contrôle défaillant dans Implement remonte automatiquement comme événement de risque.
Un plan de traitement des risques documente la manière dont une organisation traite les risques identifiés. Quatre options standards existent : atténuer (mettre en œuvre des contrôles pour réduire la probabilité ou l’impact), accepter (reconnaître le risque avec une validation formelle), transférer (déplacer le risque vers un tiers via une assurance ou une externalisation) et éviter (éliminer l’activité qui crée le risque). Dans Acuna, chaque option de traitement est suivie avec un responsable, une date d’échéance, des contrôles reliés et un statut d’avancement. Une fois les actions de traitement terminées, le risque résiduel est recalculé et le registre des risques se met à jour automatiquement, offrant aux auditeurs une piste claire avant/après.
Le module Protection des données fournit un registre de confidentialité opérationnel centré sur les activités de traitement (registre article 30 du RGPD). Un assistant guidé en 7 étapes couvre la finalité, la base juridique, les personnes concernées, les catégories de données, la conservation et les transferts, avec un flux de travail en quatre états (Brouillon, En revue, Approuvé, À mettre à jour). Les activités sont reliées aux actifs via un inventaire de données avec des grilles de données personnelles, aux tiers avec le statut de l’accord de traitement des données (ATD) et le suivi des pays de transfert, et aux référentiels (RGPD et LPD suisse préconfigurés). Un diagramme de flux de données interactif visualise la circulation des données personnelles au sein de l’organisation. Un tableau de bord de confidentialité affiche la distribution des statuts des activités de traitement, la couverture de l’inventaire, la complétude des ATD et les affectations de référentiels. Le module prend également en charge la migration structurée depuis OneTrust.
Vanta est conçu pour les entreprises qui obtiennent leur première certification SOC 2. Pour les organisations gérant simultanément plusieurs référentiels (ISO 27001, SOC 2, NIS2, DORA, RGPD), les origines mono-référentiel de Vanta montrent leurs limites. Les meilleures alternatives à Vanta pour les programmes multi-référentiels sont des plateformes conçues pour la conformité continue sur des obligations matures et interdependantes. Acuna est conçu dès le départ pour la cartographie de contrôles multi-référentiels, les preuves partagées et une piste défendable à l’échelle de l’entreprise. Drata et OneTrust traitent chacun des problèmes adjacents. Choisissez en fonction de si votre programme consiste à approfondir la conformité ou à décrocher votre première certification.
OneTrust se positionne comme une plateforme d’entreprise centrée sur la confidentialité, la plus solide pour les organisations où la protection des données (RGPD, CCPA) est au cœur du programme GRC. Les meilleures alternatives à OneTrust pour plus de profondeur GRC sont des plateformes qui intègrent protection des données, sécurité, qualité et programmes d’audit dans un rythme opérationnel unique plutôt que dans des silos parallèles. Acuna est conçu pour les responsables conformité gérant des programmes multi-référentiels où la protection des données est l’une des obligations parmi d’autres (ISO 27001, SOC 2, NIS2, ISO 9001, RGPD). La tarification est basée sur l’organisation et non par siège, et l’architecture prend en charge la qualité, la confidentialité et la sécurité dans des preuves partagées.
Un tableau de bord RSSI est une vue consolidée des indicateurs de sécurité, de risque et de conformité dont un Responsable de la sécurité des systèmes d’information a besoin pour piloter son programme. Les tableaux de bord RSSI performants combinent : posture de conformité multi-référentiel (ISO 27001, NIS2, DORA, SOC 2), registre des risques avec scoring et tendances, maturité des contrôles par domaine, et préparation aux audits à venir. Dans Acuna, chaque RSSI configure son tableau de bord via RBAC pour afficher uniquement son périmètre, ses KPI, et les risques dont il répond. La direction voit le résumé. Les analystes voient leurs contrôles. Un seul système, des vues distinctes selon le rôle.
Un calendrier de conformité est une vue structurée de chaque revue, audit, évaluation, renouvellement et délai réglementaire qu’un programme de conformité doit respecter. Les organisations gérant plusieurs référentiels (ISO 27001, SOC 2, RGPD, NIS2) font face à des dizaines d’obligations récurrentes par an, des audits internes trimestriels aux audits de surveillance annuels en passant par les revues des fournisseurs. Un logiciel de calendrier de conformité consolide ces obligations dans une vue unique, suit la responsabilité et signale ce qui est en retard. Sans cela, les délais vivent dans Outlook et dans des tableurs, rendant les obligations manquées fréquentes. Dans Acuna, le calendrier couvre chaque référentiel, chaque cycle, chaque responsable, avec des alertes avant les échéances.