ASSURE

Abordez l'audit déjà prêt.

Assure est là où le programme se prouve: preuves suivies et approuvées, audits et constatations gérés dans leur cycle de vie complet, posture lisible depuis des indicateurs en temps réel. Le sprint d'audit cesse d'être un travail.

QU'EST-CE QU'ASSURE

Assure est la partie d'Acuna où le programme démontre sa maturité. Les programmes d'audit et les audits individuels sont planifiés et suivis. Les preuves sont collectées et approuvées par contrôle. Les constatations et les actions correctives suivent des cycles de vie gérés. Les KPI donnent à la direction une vue en temps réel de la posture. Inclus dans la plateforme principale avec Comply, Implement et Operate, tarifé au périmètre de programme.

L'audit est un moment, pas un exercice de crise.

Sans gestion continue des audits, le programme court avant chaque évaluation: preuves collectées depuis des dossiers partagés la semaine d'avant, constatations suivies dans des tableurs que personne ne met à jour, posture assemblée en diapositives ponctuelles avant chaque réunion de direction.

Preuves

Constatations

Reporting posture

SANS ASSURE

Preuves collectées depuis des dossiers la semaine avant l'audit, sans piste d'approbation.

SANS ASSURE

Constatations d'audit dans un tableur que personne ne consulte entre les évaluations.

SANS ASSURE

Posture de conformité assemblée depuis plusieurs sources en diapositives ponctuelles avant chaque réunion.

AVEC ASSURE

Preuves suivies dans un cycle d'approbation géré, liées aux contrôles, verrouillées avec horodatage.

AVEC ASSURE

Constatations et actions correctives suivies dans le même système que les contrôles dont elles sont issues.

AVEC ASSURE

KPI et santé des contrôles donnent à la direction une vue en temps réel sans reconstruction de diapositives.

Gestion des audits, du programme à la clôture.

Assure porte le cycle de vie complet de la gestion des audits. Planifiez des programmes d'audit avec cycles, fréquence et périmètres. Exécutez des audits individuels (interne, externe, certification) et suivez périmètre, constatations et résultats. Les problèmes et non-conformités progressent d'Ouvert à Clôturé. Les actions correctives incluent cause racine, étapes de remédiation, responsable et date cible. Le cycle complet satisfait les clauses ISO 27001 9.2, 10.1 et 10.2.

1

Programmes d'audit: cycles de planification, fréquence et périmètres. Audits individuels: Interne, Externe, Certification. Suivez les dates, périmètre, constatations et résultats.

2

Problèmes et non-conformités: non-conformité majeure, mineure, observation. Liés aux audits, exigences, contrôles et preuves.

3

Cycle de vie des constatations: Ouvert, En cours, Résolu, Clôturé. Satisfait la clause ISO 27001 10.1.

4

Actions correctives (CAPA): cause racine, étapes de remédiation, responsable, date cible. Cycle: Ouvert, En cours, Implémenté, Vérifié, Clôturé. Satisfait la clause ISO 27001 10.2.

Preuves gérées. Lacunes visibles.

Chaque enregistrement de preuve dans Assure est lié aux contrôles et exigences qu'il satisfait, porte des pièces jointes versionnées et suit un cycle d'approbation géré avec étapes de collecte, revue et approbation. Une fois approuvé, l'enregistrement est verrouillé avec horodatage. Les enregistrements expirés sont signalés et la suppression est contrôlée. La vue Préparation aux audits indique où les contrôles ont des exigences mais manquent de preuves approuvées suffisantes.

Liez un enregistrement de preuve à plusieurs contrôles simultanément, avec des notes par lien.

Pièces jointes versionnées: les nouvelles versions n'écrasent pas l'historique.

Workflow d'approbation: auteurs et approbateurs travaillent via des notifications; les enregistrements approuvés sont verrouillés et horodatés.

Vue Préparation aux audits: identifiez les lacunes de preuves avant les travaux sur le terrain, et exportez des dossiers pour réponses aux questionnaires ou revues de direction.

La posture, pas des diapositives ponctuelles.

Les KPI donnent à la direction une vue basée sur des seuils sans reconstruction de diapositives avant chaque réunion. Quatre types de sources, seuils par élément et types de graphiques adaptés à chaque audience.

Manuel

Saisie directe pour les métriques venant de l'extérieur de la plateforme.

Calculé

Bibliothèque de métriques prédéfinie, constructeur de requêtes personnalisé, ou efficacité et exécution dérivées des contrôles.

Connecteur

Données depuis des systèmes connectés, mises à jour automatiquement.

API / Webhook

Valeurs poussées depuis des pipelines externes vers n'importe quel élément KPI.

Seuils de conformité par élément avec codage vert, orange et rouge. Types de graphiques: nombre, camembert, colonnes, lignes, araignée. Rapports exportables en PDF et Excel.

Là où le dossier devient preuve.

Comply définit la bibliothèque de contrôles. Implement la construit avec les preuves. Operate la maintient à jour. Assure la prouve: audits, constatations, KPI, préparation. Les quatre sont inclus dans la plateforme Acuna principale, tarifés au périmètre de programme, non au siège. Supplier Shield et Data Privacy sont les extensions payantes séparées.

Conçu pour les praticiens.

RSSI / DPO

Prêt pour l'audit sans recherche de preuves de dernière minute.

Abordez chaque évaluation en sachant que les preuves sont approuvées, les lacunes visibles et les constatations du dernier audit suivies jusqu'à clôture.

  • ·Utilisez Préparation aux audits pour trouver les contrôles manquant de preuves avant les travaux sur le terrain.
  • ·Exécutez les soumissions et approbations pour que les enregistrements soient verrouillés et horodatés.
  • ·Exportez des synthèses de preuves vers des réponses à des questionnaires ou dossiers de revue de direction.
Responsable GRC

Constatations et preuves dans leur cycle de vie complet.

Coordonnez la qualité des preuves, gérez les constatations d'audit et pilotez les actions correctives jusqu'à clôture sans tableur de suivi séparé.

  • ·Planifiez des programmes d'audit et suivez périmètre, constatations et résultats.
  • ·Liez les problèmes et actions correctives aux contrôles et exigences qu'ils concernent.
  • ·Maintenez les définitions de KPI et seuils alignés sur les attentes de la direction.
Direction / Conseil

Posture depuis les KPI et la santé, pas des diapositives ponctuelles.

Lisez la posture de conformité depuis des indicateurs basés sur des seuils et des graphiques, sans attendre une présentation assemblée avant chaque réunion.

  • ·Voir les barres de conformité par élément et bandes de couleur par rapport aux seuils convenus.
  • ·Utiliser des graphiques en nombre, camembert, colonnes, lignes et araignée.
  • ·Associer les KPI de programme à la santé des contrôles et aux tendances d'exécution.

Questions fréquentes sur la gestion des audits et des preuves.

Réponses associées

Questions que les praticiens se posent.

Qu’est-ce que DORA dans le secteur financier ?

Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA) s’applique aux entités financières de l’UE. Il établit des exigences en matière de gestion des risques TIC, de signalement des incidents TIC, de tests de résilience opérationnelle numérique (y compris les tests de pénétration fondés sur les menaces, TLPT, pour les entités significatives), de gestion des risques TIC liés aux tiers et de partage d’informations sur les cybermenaces. DORA est entré en vigueur le 17 janvier 2025. Acuna couvre les exigences DORA sur les quatre volets : cartographie des référentiels dans Comply, contrôles TIC et inventaire des actifs dans Implement, gestion des incidents et des tiers dans Operate, et constats TLPT et actions correctives dans Assure.

Qu’est-ce que le test de résilience opérationnelle au sens de DORA ?

Le Chapitre IV de DORA exige que les entités financières maintiennent un programme de test de résilience opérationnelle numérique. Cela inclut les évaluations de vulnérabilités, les tests de sécurité réseau, l’analyse des lacunes et les revues de sécurité des applications. Les entités significatives doivent également conduire des tests de pénétration fondés sur les menaces (TLPT) au moins tous les trois ans, simulant des attaques réelles contre les systèmes de production actifs à partir de renseignements sur les menaces. Les TLPT doivent être réalisés par des testeurs qualifiés et les résultats communiqués à l’autorité nationale compétente. Acuna suit la planification des TLPT, les constats et les actions correctives dans le volet Assure.

Quelle est la différence entre SOC 2 Type I et Type II ?

SOC 2 Type I évalue si les contrôles sont conçus de manière appropriée à un point précis dans le temps. SOC 2 Type II évalue si ces contrôles ont fonctionné efficacement sur une période, généralement de 6 à 12 mois. Le Type II est plus rigoureux car il exige des preuves d’un fonctionnement soutenu, et non simplement que les contrôles existent sur le papier. La plupart des acheteurs entreprises exigent un rapport Type II. Acuna est conçu pour la collecte continue de preuves pendant la période d’observation Type II, avec des tâches récurrentes, le scoring de santé des contrôles et des dossiers de preuves prêts pour l’audit.

Comment fonctionne la gestion du cycle de vie des preuves dans une plateforme GRC ?

Dans Acuna, les enregistrements de preuves suivent quatre états : Brouillon (en cours de compilation), Soumis (envoyé pour approbation), Approuvé (verrouillé et horodaté) et Expiré (plus en vigueur). Chaque enregistrement capture les dates de collecte, de revue et d’expiration, prend en charge les pièces jointes versionnées et peut être relié à plusieurs contrôles avec des notes par lien. Les approbateurs reçoivent des notifications et peuvent demander des modifications avant d’accepter. Les preuves approuvées contribuent aux métriques d’efficacité des contrôles et de préparation aux audits. Les preuves expirées sont signalées visuellement et ne peuvent pas être supprimées sans l’approbation d’un administrateur, préservant ainsi la piste d’audit.

Quelles sont les sources de données KPI dans une plateforme GRC ?

Acuna prend en charge quatre types de sources de données KPI. La saisie manuelle est destinée aux métriques extérieures à la plateforme (scores de tests de pénétration, résultats d’enquêtes). Les KPI calculés se calculent automatiquement à partir des données de conformité en temps réel via une bibliothèque de métriques prédéfinie (regroupée par catégories Conformité, Opérations, Risques, Contrôles, Général et Assure), un créateur de requêtes personnalisées avec filtres et opérateurs, ou un flux d’efficacité et d’exécution alimenté par les contrôles. Les connecteurs extraient des valeurs de services externes intégrés. L’API externe/webhook reçoit des valeurs entrantes de systèmes qui envoient des données à Acuna. Des seuils de conformité par élément avec des barres de progression codées par couleur sont disponibles pour les sources calculées.

Que fait le volet Assure dans Acuna ?

Assure est la couche de preuves et de préparation aux audits. Il gère les enregistrements de preuves tout au long de leur cycle de vie (Brouillon, Soumis, Approuvé, Expiré), relie les preuves aux contrôles, suit les dates de revue et d’expiration, et regroupe les preuves pour les audits internes ou externes. Assure gère également les constats : observations d’audit, non-conformités et actions correctives avec échéances et responsabilités. Le volet fournit des tableaux de bord de préparation aux audits indiquant la couverture des preuves, les prévisions d’expiration et le nombre de constats ouverts, afin que vous sachiez exactement où vous en êtes avant l’arrivée d’un auditeur.

Comment fonctionne le scoring de préparation aux audits dans Acuna ?

La préparation aux audits dans Assure est une métrique composite pilotée par trois facteurs : la couverture des preuves (pourcentage de contrôles avec au moins un enregistrement de preuve approuvé et non expiré), la santé des contrôles (remountée depuis la complétion des tâches) et le nombre de constats ouverts (non-conformités et observations non résolues). Chaque facteur contribue à un score global de préparation affiché sur le tableau de bord Assure. Lorsque des preuves expirent ou qu’un constat est en retard, le score baisse automatiquement. Cela offre aux responsables conformité un chiffre unique à communiquer à la direction et aux auditeurs, soutenu par des détails accessibles jusqu’à chaque contrôle et artefact sous-jacent.

Qu’est-ce qu’un tableau de bord RSSI ?

Un tableau de bord RSSI est une vue consolidée des indicateurs de sécurité, de risque et de conformité dont un Responsable de la sécurité des systèmes d’information a besoin pour piloter son programme. Les tableaux de bord RSSI performants combinent : posture de conformité multi-référentiel (ISO 27001, NIS2, DORA, SOC 2), registre des risques avec scoring et tendances, maturité des contrôles par domaine, et préparation aux audits à venir. Dans Acuna, chaque RSSI configure son tableau de bord via RBAC pour afficher uniquement son périmètre, ses KPI, et les risques dont il répond. La direction voit le résumé. Les analystes voient leurs contrôles. Un seul système, des vues distinctes selon le rôle.

Abordez l'audit déjà prêt.

Réservez une démo de 30 minutes et voyez la gestion des audits, la préparation aux preuves et le reporting KPI construits sur vos référentiels. Tarification au périmètre de programme, non au siège. Données en Suisse et dans l'UE.

Demander une démoVoir la plateforme