Comply est le point de départ de votre programme. Sélectionnez des référentiels, définissez votre périmètre, cartographiez les contrôles et bâtissez la structure d'exigences sur laquelle repose l'ensemble de votre programme.
Demander l’accèsDémo interactive
Ce que fait Comply
Livré avec ISO 27001:2022, ISO 27002, ISO 22301, NIS2, DORA, RGPD, nLPD suisse, Circulaires FINMA, NIST CSF 2.0, Standard ICT minimal suisse, CIS Controls, IEC 62443, UK GDPR, CCPA/CPRA, LGPD, et bien d'autres. Importez des référentiels personnalisés en YAML ou CSV depuis Admin, Référentiels.
La structure d'un référentiel (clause, contrôle, guide) est représentée sous forme d'exigences. Vous liez les exigences aux contrôles et aux preuves pour assurer la traçabilité, et utilisez des étiquettes de périmètre pour indiquer ce qui est dans ou hors périmètre de programme.
Utilisez Comply, Cartographies inter-référentiels pour des mappings manuels et des mappings via les mesures de référence Acuna (58 mesures de référence sur 11 domaines). Ouvrez Suggérer avec mesures pour les possibilités basées sur les mesures; les suggestions IA incluent des scores de confiance (0-100%) avec sélection automatique à partir de 70%.
Sélectionnez plusieurs exigences ou des domaines entiers et appliquez un mapping croisé en une seule opération au lieu de modifications une par une. Fonctionne bien avec un mapping basé sur les mesures en premier, avec l'IA en complément.
Qui l’utilise
Pour les responsables qui combinent des programmes (par exemple ISO 27001 et RGPD) et ont besoin de visibilité sur les recoupements, des contrôles partagés et une chaîne exigences-preuves unique.
Pour les responsables qui ajoutent des référentiels réglementaires ou sectoriels au fil du temps, y compris des structures sur mesure absentes de la bibliothèque par défaut.
Pour les cabinets qui ont besoin de la même méthodologie de mapping et des mêmes définitions de référentiels sur toutes leurs missions, sans ressaisir la structure pour chaque client.
FAQ
La plateforme est livrée avec plus de 150 référentiels et ensembles associés, dont ISO 27001:2022, ISO 27002, ISO 22301, NIS2, DORA, RGPD, nLPD suisse, Circulaires FINMA, NIST CSF 2.0, Standard ICT minimal suisse, CIS Controls, IEC 62443, UK GDPR, CCPA/CPRA et LGPD. Vous pouvez compléter cette bibliothèque avec vos propres imports.
Dans Comply, Cartographies inter-référentiels, vous créez des liens entre des exigences de différents référentiels. Les mappings peuvent être directs (manuels) ou dérivés via les mesures de référence Acuna lorsque la même mesure sous-jacente s'applique. L'IA peut proposer des mappings supplémentaires avec des scores de confiance; les éléments à partir de 70% peuvent être sélectionnés automatiquement.
Oui. Les administrateurs importent la structure d'un référentiel personnalisé via Admin, Référentiels en YAML ou CSV, de sorte que les catalogues propriétaires ou propres à un client coexistent avec la bibliothèque standard.
Il s'agit d'un ensemble de 58 mesures de référence organisées sur 11 domaines. En cartographiant via ces mesures, Acuna déduit les relations inter-référentiels à partir de la couverture partagée des mesures, sans que vous ayez à tracer chaque lien manuellement.
L'interface de cartographie peut afficher des suggestions IA avec un pourcentage de confiance de 0 à 100%. Vous examinez ou acceptez les suggestions en lot; la plateforme peut sélectionner automatiquement les suggestions à partir de 70% de confiance. L'approche recommandée est d'établir d'abord les mappings basés sur les mesures, puis d'utiliser l'IA pour combler les lacunes.
Oui. Le mapping croisé en lot vous permet de sélectionner plusieurs exigences ou des domaines entiers et d'appliquer les mappings en une seule opération, ce qui réduit les tâches répétitives sur les grands catalogues.
Réponses associées
ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l’information (SMSI). Publiée par l’ISO/IEC, elle définit les exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un SMSI. La révision 2022 inclut 93 contrôles répartis sur quatre thèmes : organisationnel, humain, physique et technologique. La certification requiert un audit externe accrédité démontrant que le SMSI répond à toutes les exigences des clauses et que les contrôles de l’Annexe A sélectionnés sont mis en œuvre et efficaces. Acuna prend en charge l’intégralité du cycle de vie ISO 27001, de la définition du périmètre à la préparation des audits.
NIS2 (Directive (UE) 2022/2555) est la directive européenne sur la cybersécurité pour les entités essentielles et importantes. Elle étend le périmètre de NIS1, introduit des exigences de sécurité renforcées en vertu de l’article 21, et impose le signalement des incidents dans les 24 heures (alerte précoce), 72 heures (notification) et un mois (rapport final). Les entités essentielles comprennent l’énergie, les transports, le secteur bancaire, la santé, l’eau et l’infrastructure numérique. Les entités importantes couvrent les services postaux, la gestion des déchets, la chimie, l’alimentation, l’industrie manufacturière et les fournisseurs numériques comptant 50 employés ou plus, ou un chiffre d’affaires de 10 millions d’euros ou plus. Acuna cartographie les articles NIS2 sur les contrôles, gère le risque de la chaîne d’approvisionnement et suit les délais de signalement des incidents.
Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA) s’applique aux entités financières de l’UE. Il établit des exigences en matière de gestion des risques TIC, de signalement des incidents TIC, de tests de résilience opérationnelle numérique (y compris les tests de pénétration fondés sur les menaces, TLPT, pour les entités significatives), de gestion des risques TIC liés aux tiers et de partage d’informations sur les cybermenaces. DORA est entré en vigueur le 17 janvier 2025. Acuna couvre les exigences DORA sur les quatre volets : cartographie des référentiels dans Comply, contrôles TIC et inventaire des actifs dans Implement, gestion des incidents et des tiers dans Operate, et constats TLPT et actions correctives dans Assure.
La GRC (Gouvernance, Risques et Conformité) est une discipline de management large couvrant la manière dont une organisation dirige sa stratégie, gère ses risques et respecte ses obligations réglementaires dans tous les domaines. Un SMSI (Système de management de la sécurité de l’information) est une mise en œuvre spécifique de la gouvernance et de la gestion des risques centrée sur la sécurité de l’information, se conformant généralement à ISO 27001. Un SMSI est une composante d’un programme GRC plus large. Acuna est une plateforme GRC qui prend en charge la gestion d’un SMSI comme l’un de ses cas d’usage, aux côtés de la protection des données, de la continuité d’activité, du risque fournisseur et de la gestion des risques d’entreprise.
La cartographie de contrôles inter-référentiels identifie les points de recoupement entre les exigences de différents référentiels. Par exemple, ISO 27001 A.8.5 (contrôle d’accès) et NIS2 article 21(2)(i) (gestion des accès) décrivent essentiellement la même pratique. En cartographiant ces recoupements, les organisations mettent en œuvre et prouvent un contrôle une seule fois au lieu de dupliquer l’effort par référentiel. Dans Acuna, les cartographies peuvent être directes (manuelles), dérivées via 58 mesures de référence organisées en 11 domaines, ou suggérées par l’IA avec des scores de confiance. La cartographie par lot permet d’aligner des domaines entiers en une seule opération.
La Déclaration d’applicabilité (DdA) est un document obligatoire dans ISO 27001 qui liste tous les contrôles de l’Annexe A, indique si chacun est applicable ou non applicable au périmètre du SMSI de l’organisation, fournit une justification pour les exclusions, et référence le statut de mise en œuvre de chaque contrôle applicable. La DdA est un artefact clé de l’audit : les auditeurs l’utilisent pour vérifier que la sélection des contrôles est fondée sur les risques et que les contrôles exclus disposent d’une justification documentée. Dans Acuna, la DdA est gérée directement dans le volet Comply avec les marquages d’applicabilité et les champs de justification par contrôle.
Dans Acuna, une mesure est une pratique de niveau modèle tirée de bibliothèques organisées selon des référentiels tels qu’ISO 27001 et NIST CSF. Elle décrit ce qui doit être fait. Un contrôle est l’enregistrement opérationnel que vous créez à partir d’une mesure : typé (préventif, détectif ou correctif), doté d’un responsable, d’un statut, et relié à des exigences, actifs, processus et risques spécifiques. Vous mettez en œuvre et attestez au niveau du contrôle ; les mesures standardisent la pratique sous-jacente dans l’ensemble de votre programme. Une mesure peut générer plusieurs contrôles dans différents périmètres.
Comply est l’endroit où vous gérez les référentiels, les exigences et l’applicabilité. Vous importez ou créez des référentiels réglementaires (ISO 27001, NIS2, DORA, SOC 2, RGPD et autres), examinez chaque exigence, marquez l’applicabilité avec justification, et établissez des cartographies inter-référentiels afin que les exigences qui se recoupent partagent les mêmes mesures et contrôles. Le volet affiche une posture de conformité en temps réel par référentiel : pourcentage de couverture, nombre de lacunes et statut au niveau des exigences, afin que les responsables conformité et les auditeurs voient l’état du programme sans ouvrir de tableurs.
Dans Comply, chaque exigence peut être marquée Applicable ou Non applicable avec un champ de justification obligatoire. Pour ISO 27001, cela produit la Déclaration d’applicabilité (DdA). Les décisions d’applicabilité se propagent en aval : lorsqu’une exigence est marquée non applicable, ses mesures et contrôles reliés sont exclus des calculs de couverture. Les auditeurs peuvent filtrer la liste des exigences par statut d’applicabilité et exporter la DdA comme artefact versionné. Les modifications d’applicabilité après le marquage initial sont tracées dans la piste d’audit avec l’utilisateur, l’horodatage et la raison du changement.
Dans Implement, chaque mesure représente une pratique de sécurité ou de conformité (ex. : « Les revues d’accès sont effectuées trimestriellement »). Les mesures sont reliées en amont à une ou plusieurs exigences à travers les référentiels : une mesure peut satisfaire simultanément des clauses d’ISO 27001, de NIS2 et de SOC 2. Les contrôles sont les instances opérationnelles des mesures : ils portent un responsable, un statut de mise en œuvre, un type de contrôle (préventif, détectif, correctif) et des preuves reliées. Cette hiérarchie à trois niveaux (exigence, mesure, contrôle) est la manière dont Acuna évite le travail dupliqué dans les programmes multi-référentiels.
Vanta est conçu pour les entreprises qui obtiennent leur première certification SOC 2. Pour les organisations gérant simultanément plusieurs référentiels (ISO 27001, SOC 2, NIS2, DORA, RGPD), les origines mono-référentiel de Vanta montrent leurs limites. Les meilleures alternatives à Vanta pour les programmes multi-référentiels sont des plateformes conçues pour la conformité continue sur des obligations matures et interdependantes. Acuna est conçu dès le départ pour la cartographie de contrôles multi-référentiels, les preuves partagées et une piste défendable à l’échelle de l’entreprise. Drata et OneTrust traitent chacun des problèmes adjacents. Choisissez en fonction de si votre programme consiste à approfondir la conformité ou à décrocher votre première certification.
OneTrust se positionne comme une plateforme d’entreprise centrée sur la confidentialité, la plus solide pour les organisations où la protection des données (RGPD, CCPA) est au cœur du programme GRC. Les meilleures alternatives à OneTrust pour plus de profondeur GRC sont des plateformes qui intègrent protection des données, sécurité, qualité et programmes d’audit dans un rythme opérationnel unique plutôt que dans des silos parallèles. Acuna est conçu pour les responsables conformité gérant des programmes multi-référentiels où la protection des données est l’une des obligations parmi d’autres (ISO 27001, SOC 2, NIS2, ISO 9001, RGPD). La tarification est basée sur l’organisation et non par siège, et l’architecture prend en charge la qualité, la confidentialité et la sécurité dans des preuves partagées.
Notre équipe vous présentera Comply et l’ensemble de la plateforme Acuna.
Demander l’accès