Assure est là où votre programme démontre sa maturité. Collectez des preuves, gérez les audits, suivez les constatations et exécutez des cycles d'actions correctives plutôt que des sprints d'audit ponctuels.
Demander l’accèsCe que fait Assure
Les preuves progressent en Brouillon, Soumis, Approuvé, Expiré. Vous enregistrez les dates de collecte, de revue et d'expiration sur l'enregistrement, joignez des fichiers avec versionnage automatique, et liez une preuve à plusieurs contrôles avec des notes par lien. Les approbateurs sont notifiés, peuvent renvoyer pour modifications, et les enregistrements approuvés sont verrouillés avec un horodatage. L'état Expiré peut s'appliquer automatiquement, avec un signalement visuel clair et une suppression réservée au workflow administrateur.
Les KPI peuvent être saisis manuellement, calculés (bibliothèque prédéfinie par catégorie: Conformité, Opérations, Risques, Contrôles, Général, Assure; constructeur de requêtes personnalisé; ou efficacité et exécution dérivées des contrôles), basés sur des connecteurs, ou alimentés par une API externe et des webhooks. Vous définissez des seuils de conformité par élément avec des barres de progression et un codage vert, orange ou rouge, et visualisez les valeurs avec des graphiques en nombre, camembert, colonnes, lignes et araignée.
La vue Préparation aux audits met en évidence les contrôles qui ont des exigences mais manquent de preuves approuvées suffisantes, vous permettant de combler les lacunes dans une cadence normale. Vous pouvez exporter des synthèses de preuves vers des réponses à des questionnaires d'audit ou des dossiers de revue de direction, plutôt que de reconstituer des narratifs depuis des dossiers.
Le scoring de santé des contrôles et les seuils de conformité KPI donnent une image en continu de la posture. Les types de graphiques incluant araignée et lignes prennent en charge les vues de tendance et multi-axes; les séries dérivées des contrôles vous permettent de suivre l'efficacité ou l'exécution d'un seul contrôle dans le temps aux côtés des indicateurs de niveau programme.
Qui l’utilise
Pour les responsables de la sécurité et de la protection des données qui ont besoin de preuves approuvées, de dates d'expiration et de revue claires, et d'une vue des lacunes pendant que les exigences sont encore sous contrôle interne.
Pour les responsables GRC qui coordonnent la qualité des preuves, le versionnage et les cycles de retravail aux côtés des constatations et des actions correctives liées aux contrôles.
Pour les dirigeants qui veulent des indicateurs basés sur des seuils, des graphiques et des métriques liées aux contrôles plutôt que des diapositives assemblées avant chaque réunion.
FAQ
Chaque enregistrement de preuve suit Brouillon, Soumis, Approuvé, Expiré. Vous définissez les dates de collecte, de revue et d'expiration; joignez des fichiers avec versionnage; et liez l'enregistrement à un ou plusieurs contrôles. Les auteurs et approbateurs travaillent via des notifications et des demandes de modification, et une fois approuvé, l'enregistrement est verrouillé avec un horodatage. L'expiration peut intervenir automatiquement, et la suppression est contrôlée afin que les enregistrements ne soient pas supprimés sans précaution.
Il en existe quatre: la saisie manuelle; les KPI calculés utilisant soit la bibliothèque de métriques prédéfinie (regroupée par catégories: Conformité, Opérations, Risques, Contrôles, Général et Assure), un constructeur de requêtes personnalisé, ou l'efficacité et l'exécution basées sur les contrôles; les données provenant de connecteurs; et les valeurs issues d'une API externe ou d'un webhook.
Elle fait remonter les lacunes où un contrôle a des exigences cartographiées mais ne dispose pas encore de preuves approuvées suffisantes. Cela vous permet de prioriser la collecte et le travail d'approbation avant une revue externe, plutôt que de découvrir des lacunes durant les travaux sur le terrain.
Chaque élément KPI peut avoir son propre seuil cible. Acuna affiche la progression par rapport à ce seuil avec une barre et applique un style vert, orange ou rouge afin que vous puissiez voir quelles métriques sont dans la tolérance et lesquelles nécessitent une attention, sans réinterpréter les chiffres bruts à chaque fois.
Vous combinez les visualisations KPI (nombre, camembert, colonnes, lignes, araignée), la santé des contrôles et les synthèses de preuves exportées (comme des dossiers de revue de direction ou des réponses structurées pour des questionnaires d'audit) afin que la direction voie la posture et les preuves depuis le même système plutôt que depuis des tableurs ponctuels.
Lorsqu'une preuve est soumise, les approbateurs configurés sont notifiés. Ils peuvent approuver, ce qui verrouille l'enregistrement et consigne l'heure d'approbation, ou demander des modifications, ce qui renvoie le travail pour révision. Cela vous donne une piste d'audit claire entre le matériel en brouillon et ce que vous êtes prêt à défendre.
Operate est là où les travaux récurrents et ponctuels s'exécutent: tâches, objectifs, registre des risques et exécution du traitement. Assure est là où vous prouvez et mesurez: cycle de vie des preuves, définitions et graphiques KPI, lacunes de préparation aux audits et exports. L'exécution se déroule dans Operate; la démonstration et la surveillance s'appuient sur Assure.
Réponses associées
Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA) s’applique aux entités financières de l’UE. Il établit des exigences en matière de gestion des risques TIC, de signalement des incidents TIC, de tests de résilience opérationnelle numérique (y compris les tests de pénétration fondés sur les menaces, TLPT, pour les entités significatives), de gestion des risques TIC liés aux tiers et de partage d’informations sur les cybermenaces. DORA est entré en vigueur le 17 janvier 2025. Acuna couvre les exigences DORA sur les quatre volets : cartographie des référentiels dans Comply, contrôles TIC et inventaire des actifs dans Implement, gestion des incidents et des tiers dans Operate, et constats TLPT et actions correctives dans Assure.
Le Chapitre IV de DORA exige que les entités financières maintiennent un programme de test de résilience opérationnelle numérique. Cela inclut les évaluations de vulnérabilités, les tests de sécurité réseau, l’analyse des lacunes et les revues de sécurité des applications. Les entités significatives doivent également conduire des tests de pénétration fondés sur les menaces (TLPT) au moins tous les trois ans, simulant des attaques réelles contre les systèmes de production actifs à partir de renseignements sur les menaces. Les TLPT doivent être réalisés par des testeurs qualifiés et les résultats communiqués à l’autorité nationale compétente. Acuna suit la planification des TLPT, les constats et les actions correctives dans le volet Assure.
SOC 2 Type I évalue si les contrôles sont conçus de manière appropriée à un point précis dans le temps. SOC 2 Type II évalue si ces contrôles ont fonctionné efficacement sur une période, généralement de 6 à 12 mois. Le Type II est plus rigoureux car il exige des preuves d’un fonctionnement soutenu, et non simplement que les contrôles existent sur le papier. La plupart des acheteurs entreprises exigent un rapport Type II. Acuna est conçu pour la collecte continue de preuves pendant la période d’observation Type II, avec des tâches récurrentes, le scoring de santé des contrôles et des dossiers de preuves prêts pour l’audit.
Dans Acuna, les enregistrements de preuves suivent quatre états : Brouillon (en cours de compilation), Soumis (envoyé pour approbation), Approuvé (verrouillé et horodaté) et Expiré (plus en vigueur). Chaque enregistrement capture les dates de collecte, de revue et d’expiration, prend en charge les pièces jointes versionnées et peut être relié à plusieurs contrôles avec des notes par lien. Les approbateurs reçoivent des notifications et peuvent demander des modifications avant d’accepter. Les preuves approuvées contribuent aux métriques d’efficacité des contrôles et de préparation aux audits. Les preuves expirées sont signalées visuellement et ne peuvent pas être supprimées sans l’approbation d’un administrateur, préservant ainsi la piste d’audit.
Acuna prend en charge quatre types de sources de données KPI. La saisie manuelle est destinée aux métriques extérieures à la plateforme (scores de tests de pénétration, résultats d’enquêtes). Les KPI calculés se calculent automatiquement à partir des données de conformité en temps réel via une bibliothèque de métriques prédéfinie (regroupée par catégories Conformité, Opérations, Risques, Contrôles, Général et Assure), un créateur de requêtes personnalisées avec filtres et opérateurs, ou un flux d’efficacité et d’exécution alimenté par les contrôles. Les connecteurs extraient des valeurs de services externes intégrés. L’API externe/webhook reçoit des valeurs entrantes de systèmes qui envoient des données à Acuna. Des seuils de conformité par élément avec des barres de progression codées par couleur sont disponibles pour les sources calculées.
Assure est la couche de preuves et de préparation aux audits. Il gère les enregistrements de preuves tout au long de leur cycle de vie (Brouillon, Soumis, Approuvé, Expiré), relie les preuves aux contrôles, suit les dates de revue et d’expiration, et regroupe les preuves pour les audits internes ou externes. Assure gère également les constats : observations d’audit, non-conformités et actions correctives avec échéances et responsabilités. Le volet fournit des tableaux de bord de préparation aux audits indiquant la couverture des preuves, les prévisions d’expiration et le nombre de constats ouverts, afin que vous sachiez exactement où vous en êtes avant l’arrivée d’un auditeur.
La préparation aux audits dans Assure est une métrique composite pilotée par trois facteurs : la couverture des preuves (pourcentage de contrôles avec au moins un enregistrement de preuve approuvé et non expiré), la santé des contrôles (remountée depuis la complétion des tâches) et le nombre de constats ouverts (non-conformités et observations non résolues). Chaque facteur contribue à un score global de préparation affiché sur le tableau de bord Assure. Lorsque des preuves expirent ou qu’un constat est en retard, le score baisse automatiquement. Cela offre aux responsables conformité un chiffre unique à communiquer à la direction et aux auditeurs, soutenu par des détails accessibles jusqu’à chaque contrôle et artefact sous-jacent.
Un tableau de bord RSSI est une vue consolidée des indicateurs de sécurité, de risque et de conformité dont un Responsable de la sécurité des systèmes d’information a besoin pour piloter son programme. Les tableaux de bord RSSI performants combinent : posture de conformité multi-référentiel (ISO 27001, NIS2, DORA, SOC 2), registre des risques avec scoring et tendances, maturité des contrôles par domaine, et préparation aux audits à venir. Dans Acuna, chaque RSSI configure son tableau de bord via RBAC pour afficher uniquement son périmètre, ses KPI, et les risques dont il répond. La direction voit le résumé. Les analystes voient leurs contrôles. Un seul système, des vues distinctes selon le rôle.
Notre équipe vous présentera Assure et l’ensemble de la plateforme Acuna.
Demander l’accès