Assure est là où le programme se prouve: preuves suivies et approuvées, audits et constatations gérés dans leur cycle de vie complet, posture lisible depuis des indicateurs en temps réel. Le sprint d'audit cesse d'être un travail.
Audit readiness — evidence coverage
QU'EST-CE QU'ASSURE
Assure est la partie d'Acuna où le programme démontre sa maturité. Les programmes d'audit et les audits individuels sont planifiés et suivis. Les preuves sont collectées et approuvées par contrôle. Les constatations et les actions correctives suivent des cycles de vie gérés. Les KPI donnent à la direction une vue en temps réel de la posture. Inclus dans la plateforme principale avec Comply, Implement et Operate, tarifé au périmètre de programme.
Sans gestion continue des audits, le programme court avant chaque évaluation: preuves collectées depuis des dossiers partagés la semaine d'avant, constatations suivies dans des tableurs que personne ne met à jour, posture assemblée en diapositives ponctuelles avant chaque réunion de direction.
Preuves
Constatations
Reporting posture
SANS ASSURE
Preuves collectées depuis des dossiers la semaine avant l'audit, sans piste d'approbation.
SANS ASSURE
Constatations d'audit dans un tableur que personne ne consulte entre les évaluations.
SANS ASSURE
Posture de conformité assemblée depuis plusieurs sources en diapositives ponctuelles avant chaque réunion.
AVEC ASSURE
Preuves suivies dans un cycle d'approbation géré, liées aux contrôles, verrouillées avec horodatage.
AVEC ASSURE
Constatations et actions correctives suivies dans le même système que les contrôles dont elles sont issues.
AVEC ASSURE
KPI et santé des contrôles donnent à la direction une vue en temps réel sans reconstruction de diapositives.
Assure porte le cycle de vie complet de la gestion des audits. Planifiez des programmes d'audit avec cycles, fréquence et périmètres. Exécutez des audits individuels (interne, externe, certification) et suivez périmètre, constatations et résultats. Les problèmes et non-conformités progressent d'Ouvert à Clôturé. Les actions correctives incluent cause racine, étapes de remédiation, responsable et date cible. Le cycle complet satisfait les clauses ISO 27001 9.2, 10.1 et 10.2.
Programmes d'audit: cycles de planification, fréquence et périmètres. Audits individuels: Interne, Externe, Certification. Suivez les dates, périmètre, constatations et résultats.
Problèmes et non-conformités: non-conformité majeure, mineure, observation. Liés aux audits, exigences, contrôles et preuves.
Cycle de vie des constatations: Ouvert, En cours, Résolu, Clôturé. Satisfait la clause ISO 27001 10.1.
Actions correctives (CAPA): cause racine, étapes de remédiation, responsable, date cible. Cycle: Ouvert, En cours, Implémenté, Vérifié, Clôturé. Satisfait la clause ISO 27001 10.2.
Chaque enregistrement de preuve dans Assure est lié aux contrôles et exigences qu'il satisfait, porte des pièces jointes versionnées et suit un cycle d'approbation géré avec étapes de collecte, revue et approbation. Une fois approuvé, l'enregistrement est verrouillé avec horodatage. Les enregistrements expirés sont signalés et la suppression est contrôlée. La vue Préparation aux audits indique où les contrôles ont des exigences mais manquent de preuves approuvées suffisantes.
Liez un enregistrement de preuve à plusieurs contrôles simultanément, avec des notes par lien.
Pièces jointes versionnées: les nouvelles versions n'écrasent pas l'historique.
Workflow d'approbation: auteurs et approbateurs travaillent via des notifications; les enregistrements approuvés sont verrouillés et horodatés.
Vue Préparation aux audits: identifiez les lacunes de preuves avant les travaux sur le terrain, et exportez des dossiers pour réponses aux questionnaires ou revues de direction.
Les KPI donnent à la direction une vue basée sur des seuils sans reconstruction de diapositives avant chaque réunion. Quatre types de sources, seuils par élément et types de graphiques adaptés à chaque audience.
Manuel
Saisie directe pour les métriques venant de l'extérieur de la plateforme.
Calculé
Bibliothèque de métriques prédéfinie, constructeur de requêtes personnalisé, ou efficacité et exécution dérivées des contrôles.
Connecteur
Données depuis des systèmes connectés, mises à jour automatiquement.
API / Webhook
Valeurs poussées depuis des pipelines externes vers n'importe quel élément KPI.
Seuils de conformité par élément avec codage vert, orange et rouge. Types de graphiques: nombre, camembert, colonnes, lignes, araignée. Rapports exportables en PDF et Excel.
Comply définit la bibliothèque de contrôles. Implement la construit avec les preuves. Operate la maintient à jour. Assure la prouve: audits, constatations, KPI, préparation. Les quatre sont inclus dans la plateforme Acuna principale, tarifés au périmètre de programme, non au siège. Supplier Shield et Data Privacy sont les extensions payantes séparées.
Prêt pour l'audit sans recherche de preuves de dernière minute.
Abordez chaque évaluation en sachant que les preuves sont approuvées, les lacunes visibles et les constatations du dernier audit suivies jusqu'à clôture.
Constatations et preuves dans leur cycle de vie complet.
Coordonnez la qualité des preuves, gérez les constatations d'audit et pilotez les actions correctives jusqu'à clôture sans tableur de suivi séparé.
Posture depuis les KPI et la santé, pas des diapositives ponctuelles.
Lisez la posture de conformité depuis des indicateurs basés sur des seuils et des graphiques, sans attendre une présentation assemblée avant chaque réunion.
Réponses associées
Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA) s’applique aux entités financières de l’UE. Il établit des exigences en matière de gestion des risques TIC, de signalement des incidents TIC, de tests de résilience opérationnelle numérique (y compris les tests de pénétration fondés sur les menaces, TLPT, pour les entités significatives), de gestion des risques TIC liés aux tiers et de partage d’informations sur les cybermenaces. DORA est entré en vigueur le 17 janvier 2025. Acuna couvre les exigences DORA sur les quatre volets : cartographie des référentiels dans Comply, contrôles TIC et inventaire des actifs dans Implement, gestion des incidents et des tiers dans Operate, et constats TLPT et actions correctives dans Assure.
Le Chapitre IV de DORA exige que les entités financières maintiennent un programme de test de résilience opérationnelle numérique. Cela inclut les évaluations de vulnérabilités, les tests de sécurité réseau, l’analyse des lacunes et les revues de sécurité des applications. Les entités significatives doivent également conduire des tests de pénétration fondés sur les menaces (TLPT) au moins tous les trois ans, simulant des attaques réelles contre les systèmes de production actifs à partir de renseignements sur les menaces. Les TLPT doivent être réalisés par des testeurs qualifiés et les résultats communiqués à l’autorité nationale compétente. Acuna suit la planification des TLPT, les constats et les actions correctives dans le volet Assure.
SOC 2 Type I évalue si les contrôles sont conçus de manière appropriée à un point précis dans le temps. SOC 2 Type II évalue si ces contrôles ont fonctionné efficacement sur une période, généralement de 6 à 12 mois. Le Type II est plus rigoureux car il exige des preuves d’un fonctionnement soutenu, et non simplement que les contrôles existent sur le papier. La plupart des acheteurs entreprises exigent un rapport Type II. Acuna est conçu pour la collecte continue de preuves pendant la période d’observation Type II, avec des tâches récurrentes, le scoring de santé des contrôles et des dossiers de preuves prêts pour l’audit.
Dans Acuna, les enregistrements de preuves suivent quatre états : Brouillon (en cours de compilation), Soumis (envoyé pour approbation), Approuvé (verrouillé et horodaté) et Expiré (plus en vigueur). Chaque enregistrement capture les dates de collecte, de revue et d’expiration, prend en charge les pièces jointes versionnées et peut être relié à plusieurs contrôles avec des notes par lien. Les approbateurs reçoivent des notifications et peuvent demander des modifications avant d’accepter. Les preuves approuvées contribuent aux métriques d’efficacité des contrôles et de préparation aux audits. Les preuves expirées sont signalées visuellement et ne peuvent pas être supprimées sans l’approbation d’un administrateur, préservant ainsi la piste d’audit.
Acuna prend en charge quatre types de sources de données KPI. La saisie manuelle est destinée aux métriques extérieures à la plateforme (scores de tests de pénétration, résultats d’enquêtes). Les KPI calculés se calculent automatiquement à partir des données de conformité en temps réel via une bibliothèque de métriques prédéfinie (regroupée par catégories Conformité, Opérations, Risques, Contrôles, Général et Assure), un créateur de requêtes personnalisées avec filtres et opérateurs, ou un flux d’efficacité et d’exécution alimenté par les contrôles. Les connecteurs extraient des valeurs de services externes intégrés. L’API externe/webhook reçoit des valeurs entrantes de systèmes qui envoient des données à Acuna. Des seuils de conformité par élément avec des barres de progression codées par couleur sont disponibles pour les sources calculées.
Assure est la couche de preuves et de préparation aux audits. Il gère les enregistrements de preuves tout au long de leur cycle de vie (Brouillon, Soumis, Approuvé, Expiré), relie les preuves aux contrôles, suit les dates de revue et d’expiration, et regroupe les preuves pour les audits internes ou externes. Assure gère également les constats : observations d’audit, non-conformités et actions correctives avec échéances et responsabilités. Le volet fournit des tableaux de bord de préparation aux audits indiquant la couverture des preuves, les prévisions d’expiration et le nombre de constats ouverts, afin que vous sachiez exactement où vous en êtes avant l’arrivée d’un auditeur.
La préparation aux audits dans Assure est une métrique composite pilotée par trois facteurs : la couverture des preuves (pourcentage de contrôles avec au moins un enregistrement de preuve approuvé et non expiré), la santé des contrôles (remountée depuis la complétion des tâches) et le nombre de constats ouverts (non-conformités et observations non résolues). Chaque facteur contribue à un score global de préparation affiché sur le tableau de bord Assure. Lorsque des preuves expirent ou qu’un constat est en retard, le score baisse automatiquement. Cela offre aux responsables conformité un chiffre unique à communiquer à la direction et aux auditeurs, soutenu par des détails accessibles jusqu’à chaque contrôle et artefact sous-jacent.
Un tableau de bord RSSI est une vue consolidée des indicateurs de sécurité, de risque et de conformité dont un Responsable de la sécurité des systèmes d’information a besoin pour piloter son programme. Les tableaux de bord RSSI performants combinent : posture de conformité multi-référentiel (ISO 27001, NIS2, DORA, SOC 2), registre des risques avec scoring et tendances, maturité des contrôles par domaine, et préparation aux audits à venir. Dans Acuna, chaque RSSI configure son tableau de bord via RBAC pour afficher uniquement son périmètre, ses KPI, et les risques dont il répond. La direction voit le résumé. Les analystes voient leurs contrôles. Un seul système, des vues distinctes selon le rôle.
Réservez une démo de 30 minutes et voyez la gestion des audits, la préparation aux preuves et le reporting KPI construits sur vos référentiels. Tarification au périmètre de programme, non au siège. Données en Suisse et dans l'UE.