Implement est là où les exigences deviennent réelles. Concevez des contrôles, joignez des preuves, assignez des responsabilités et suivez l'avancement de la mise en oeuvre sur l'ensemble de votre programme.
Demander l’accèsDémo interactive
Ce que fait Implement
Démarrez depuis des bibliothèques de mesures basées sur des modèles, alignées avec des catalogues tels qu'ISO 27001 et NIST CSF. La bibliothèque de contrôles est consultable par ID, description, type (préventif, détectif, correctif), responsable et statut, avec des liens vers les exigences, actifs, processus et risques. Des badges de santé colorés synthétisent la posture; cliquez pour le détail du score. Lors de la création d'un contrôle avec Nouveau contrôle, vous pouvez ajouter une tâche de validation récurrente dès la création.
Maintenez les processus dans une vue arborescente avec des sous-processus imbriqués; supprimez depuis l'arborescence au survol. Les noms de processus s'affichent sans codes de référence dans l'arborescence. Chaque processus est lié aux actifs, contrôles, exigences, risques et tiers. Lorsque le module Continuité d'activité est activé, vous pouvez enregistrer le BCI, le RTO et le RPO. Joignez des PSO et autres fichiers comme preuves.
Le registre des tiers se trouve dans Implement avec des types tels que prestataire, fournisseur de services, sous-traitant et partenaire. Attribuez des niveaux de risque du critique au faible, maintenez des contacts et liez les enregistrements aux actifs, processus, contrôles et exigences. Conçu pour compléter Supplier Shield dans les workflows de gestion approfondie des risques prestataires.
Les actions en lot incluent définir le statut, la maturité, changer de responsable, lier à des objets associés, assigner des périmètres et supprimer. Les preuves remontent via les tâches, évaluations, constatations et documents, de sorte que les travaux de mise en oeuvre ne sont pas dissociés de l'enregistrement de contrôle.
Qui l’utilise
Pour les équipes qui doivent transformer les exigences Comply en contrôles nommés, avec le bon type de contrôle et des liens vers les actifs et processus qu'ils protègent réellement.
Pour les responsables qui doivent démontrer quels contrôles sont actifs, qui en est responsable et quels artefacts soutiennent chaque assertion.
Pour les responsables qui réassignent le travail, normalisent la maturité et lient de nombreux contrôles aux mêmes périmètres ou ensembles d'objets après des réorganisations ou consolidations d'outils.
FAQ
Les mesures sont organisées dans des bibliothèques guidées par des modèles (dont des ensembles alignés avec ISO 27001 et NIST CSF) qui vous donnent un point de départ pour les pratiques à mettre en oeuvre. Un contrôle est l'enregistrement opérationnel que vous gérez dans la bibliothèque de contrôles: typé, responsabilisé, statué et lié aux exigences, actifs, processus et risques. Vous mettez en oeuvre et attestez au niveau du contrôle; les mesures aident à standardiser la pratique sous-jacente.
Chaque contrôle affiche un badge de santé codé par couleur (rouge, orange ou vert). Cliquer sur le badge ouvre le détail du calcul du score afin que vous puissiez voir pourquoi un contrôle est sain ou non, plutôt que de deviner à partir d'une seule étiquette.
Oui. Lors de la création d'un contrôle avec Nouveau contrôle, vous pouvez ajouter une tâche de validation récurrente en même temps, de sorte que les vérifications périodiques sont planifiées dès le premier jour.
Implement inclut un registre des processus avec une vue arborescente pour les sous-processus imbriqués. Vous pouvez supprimer des éléments directement de l'arborescence, lier chaque processus aux actifs, contrôles, exigences, risques et tiers, et joindre des PSO ou fichiers comme preuves. Si la Continuité d'activité est activée, vous pouvez également saisir le BCI, le RTO et le RPO sur le processus.
Le registre Implement contient les types de tiers (prestataire, fournisseur de services, sous-traitant, partenaire), le niveau de risque, les contacts et les liens vers votre graphe GRC. Supplier Shield est le produit dédié à la gestion des risques prestataires; le registre Acuna est complémentaire afin que les tiers soient visibles aux côtés des contrôles et processus, tandis que la diligence approfondie peut se dérouler dans Shield.
Vous pouvez définir le statut et la maturité en lot, réassigner le responsable, lier des contrôles à d'autres objets, assigner des périmètres et supprimer en lot. Cela est prévu pour le nettoyage après des réorganisations ou lorsque de nombreux contrôles nécessitent le même changement de relation.
Réponses associées
La cartographie de contrôles inter-référentiels identifie les points de recoupement entre les exigences de différents référentiels. Par exemple, ISO 27001 A.8.5 (contrôle d’accès) et NIS2 article 21(2)(i) (gestion des accès) décrivent essentiellement la même pratique. En cartographiant ces recoupements, les organisations mettent en œuvre et prouvent un contrôle une seule fois au lieu de dupliquer l’effort par référentiel. Dans Acuna, les cartographies peuvent être directes (manuelles), dérivées via 58 mesures de référence organisées en 11 domaines, ou suggérées par l’IA avec des scores de confiance. La cartographie par lot permet d’aligner des domaines entiers en une seule opération.
Dans Acuna, une mesure est une pratique de niveau modèle tirée de bibliothèques organisées selon des référentiels tels qu’ISO 27001 et NIST CSF. Elle décrit ce qui doit être fait. Un contrôle est l’enregistrement opérationnel que vous créez à partir d’une mesure : typé (préventif, détectif ou correctif), doté d’un responsable, d’un statut, et relié à des exigences, actifs, processus et risques spécifiques. Vous mettez en œuvre et attestez au niveau du contrôle ; les mesures standardisent la pratique sous-jacente dans l’ensemble de votre programme. Une mesure peut générer plusieurs contrôles dans différents périmètres.
Chaque contrôle dans Acuna affiche un badge de santé codé par couleur : vert (sain), orange (à risque) ou rouge (défaillant). La santé est principalement déterminée par la complétion des tâches récurrentes : une tâche complétée à temps score 100 (sain), complétée en retard score 75 (à risque), en cours sans échéance dépassée score 75, et non démarrée après l’échéance score 0 (défaillant). Ces scores remontent en cascade à travers les mesures et les exigences, de sorte que les glissements opérationnels apparaissent dans les vues de contrôle et de programme, et non uniquement dans une liste de tâches. Cliquez sur n’importe quel badge de santé pour obtenir une décomposition expliquant quelles tâches ont contribué au score actuel.
Dans Acuna, les enregistrements de preuves suivent quatre états : Brouillon (en cours de compilation), Soumis (envoyé pour approbation), Approuvé (verrouillé et horodaté) et Expiré (plus en vigueur). Chaque enregistrement capture les dates de collecte, de revue et d’expiration, prend en charge les pièces jointes versionnées et peut être relié à plusieurs contrôles avec des notes par lien. Les approbateurs reçoivent des notifications et peuvent demander des modifications avant d’accepter. Les preuves approuvées contribuent aux métriques d’efficacité des contrôles et de préparation aux audits. Les preuves expirées sont signalées visuellement et ne peuvent pas être supprimées sans l’approbation d’un administrateur, préservant ainsi la piste d’audit.
Implement est l’endroit où vous construisez l’ossature opérationnelle de votre programme de conformité. Vous créez des mesures à partir de bibliothèques organisées ou de définitions personnalisées, instanciez des contrôles à partir de ces mesures, assignez des responsables, définissez des statuts et reliez les contrôles aux exigences qu’ils satisfont. Le volet gère également votre inventaire d’actifs (systèmes informatiques, espaces de données, emplacements physiques), le registre des processus et le catalogue des risques. Tout est connecté : un contrôle est relié à une ou plusieurs exigences, à un ou plusieurs actifs, et éventuellement à des risques, permettant de tracer depuis une clause du référentiel jusqu’au système et à l’équipe spécifiques responsables.
Dans Implement, chaque mesure représente une pratique de sécurité ou de conformité (ex. : « Les revues d’accès sont effectuées trimestriellement »). Les mesures sont reliées en amont à une ou plusieurs exigences à travers les référentiels : une mesure peut satisfaire simultanément des clauses d’ISO 27001, de NIS2 et de SOC 2. Les contrôles sont les instances opérationnelles des mesures : ils portent un responsable, un statut de mise en œuvre, un type de contrôle (préventif, détectif, correctif) et des preuves reliées. Cette hiérarchie à trois niveaux (exigence, mesure, contrôle) est la manière dont Acuna évite le travail dupliqué dans les programmes multi-référentiels.
Chaque contrôle peut avoir une ou plusieurs tâches récurrentes, par exemple « Revoir les droits d’accès trimestriellement » ou « Tester la restauration des sauvegardes mensuellement ». Les tâches se voient affecter un responsable, une fréquence (quotidienne, hebdomadaire, mensuelle, trimestrielle, annuelle ou personnalisée) et une date d’échéance. Une tâche complétée à temps score 100 (sain). Complétée en retard score 75 (à risque). En cours sans dépassement score 75. Non démarrée après l’échéance score 0 (défaillant). Ces scores remontent au contrôle parent, puis à la mesure, puis à l’exigence : une tâche manquée apparaît ainsi comme une lacune visible à chaque niveau du programme.
Vanta est conçu pour les entreprises qui obtiennent leur première certification SOC 2. Pour les organisations gérant simultanément plusieurs référentiels (ISO 27001, SOC 2, NIS2, DORA, RGPD), les origines mono-référentiel de Vanta montrent leurs limites. Les meilleures alternatives à Vanta pour les programmes multi-référentiels sont des plateformes conçues pour la conformité continue sur des obligations matures et interdependantes. Acuna est conçu dès le départ pour la cartographie de contrôles multi-référentiels, les preuves partagées et une piste défendable à l’échelle de l’entreprise. Drata et OneTrust traitent chacun des problèmes adjacents. Choisissez en fonction de si votre programme consiste à approfondir la conformité ou à décrocher votre première certification.
Notre équipe vous présentera Implement et l’ensemble de la plateforme Acuna.
Demander l’accès