Comply est votre bibliothèque de contrôles et votre cartographie croisée. Cartographiez une exigence une fois et elle se réutilise sur chaque référentiel que vous portez, si bien qu'ajouter NIS2 revient à ajouter un référentiel, pas un autre tableur.
One measure — multiple frameworks
QU'EST-CE QUE COMPLY
Comply est le module d'Acuna pour la cartographie multi-référentiels. Vous sélectionnez les référentiels auxquels vous devez répondre, puis cartographiez chaque mesure une seule fois vers les exigences qu'elle satisfait, de sorte qu'une bibliothèque de contrôles unique couvre ISO 27001, SOC 2, NIS2, DORA, RGPD et 50+ référentiels à la fois. Ajoutez un référentiel et il se mappe sur les contrôles existants, sans recommencer.
Comply centralise votre programme de conformité en un seul endroit. Vous choisissez les référentiels que vous portez, définissez des périmètres et des étiquettes pour segmenter l'organisation, et construisez à partir d'une bibliothèque de mesures commune plutôt que d'une page blanche. Chaque mesure se mappe aux exigences qu'elle satisfait, sur tous les référentiels à la fois, de sorte que le travail est fait une fois et réutilisé plutôt que répété par standard. Le résultat est une bibliothèque de contrôles unique où une modification se répercute partout, et non un ensemble de tableurs parallèles qui divergent.
Sélectionnez vos référentiels et délimitez l'organisation avec des périmètres et des étiquettes.
Construisez à partir d'une bibliothèque de mesures commune, pas d'une page blanche.
Cartographiez chaque mesure une fois vers les exigences qu'elle satisfait sur tous les référentiels.
Une bibliothèque, une source de vérité, mise à jour en un seul endroit.
Les référentiels se recoupent largement, et Comply est conçu autour de ce fait. Une exigence est une clause d'un référentiel. Une mesure est ce que vous faites pour la satisfaire, et une mesure peut répondre aux exigences de plusieurs référentiels en même temps. Ainsi, lorsque vous mappez une mesure à une exigence de contrôle d'accès dans ISO 27001, cette même mesure répond à l'exigence correspondante dans SOC 2 et NIS2 sans être reconstruite. C'est la cartographie croisée : le recoupement est cartographié une fois, et ajouter un référentiel devient un exercice de mapping sur le travail déjà accompli, pas un second programme.
Lorsque la cartographie croisée est réelle, une nouvelle obligation est un référentiel que vous activez sur des contrôles que vous détenez déjà, de sorte que NIS2 ou DORA est un ajout plutôt qu'un programme parallèle. Chaque équipe répond au même contrôle de la même façon, car il n'existe qu'une seule source. Et la réconciliation manuelle qui ronge votre trimestre, le tableur indiquant quel contrôle couvre quelle clause, cesse d'être un travail à part entière.
QUAND UNE RÉGLEMENTATION ARRIVE
QUAND VOTRE ÉQUIPE A BESOIN D'UNE RÉPONSE
QUAND LA FIN DU TRIMESTRE ARRIVE
Avant
Ouvrir un nouveau tableau de suivi. Construire le mapping depuis zéro. Réconcilier avec tout ce que vous gérez déjà.
Avant
Trois tableurs. Trois versions. Déterminer lequel est à jour.
Avant
Une semaine à réconcilier quel contrôle couvre quelle clause dans quel standard.
Avec Comply
Activez le référentiel. Il se mappe sur les contrôles que vous avez déjà.
Avec Comply
Un contrôle. Un responsable. Une réponse, quel que soit le référentiel qui a posé la question.
Avec Comply
Rien à réconcilier. Le mapping a été fait au moment où vous avez ajouté le référentiel.
Comply est livré avec plus de 50 référentiels pré-chargés, avec un déploiement intégral en cours. Ce sont les points de départ de la plupart des programmes :
Comply définit le programme. À partir de là, Implement construit les contrôles et rattache les preuves, Operate pilote les risques, la surveillance et le travail récurrent selon un rythme, et Assure le prouve à un auditeur. Ils partagent un seul jeu de données, de sorte qu'une mesure cartographiée dans Comply se retrouve dans les tableaux de bord d'Assure.
La cartographie croisée existe parce que les personnes qui l'ont construite ont maintenu des mappings de référentiels dans des tableurs et ont refusé de recommencer. Acuna est construit et géré par des praticiens, avec plus d'une centaine d'années d'expérience combinée en GRC et le groupe suisse derrière. Tarification par périmètre de programme, pas par siège. Données en Suisse et dans l'UE.
FAQ
Réponses associées
ISO 27001 est la norme internationale pour les systèmes de management de la sécurité de l’information (SMSI). Publiée par l’ISO/IEC, elle définit les exigences pour l’établissement, la mise en œuvre, le maintien et l’amélioration continue d’un SMSI. La révision 2022 inclut 93 contrôles répartis sur quatre thèmes : organisationnel, humain, physique et technologique. La certification requiert un audit externe accrédité démontrant que le SMSI répond à toutes les exigences des clauses et que les contrôles de l’Annexe A sélectionnés sont mis en œuvre et efficaces. Acuna prend en charge l’intégralité du cycle de vie ISO 27001, de la définition du périmètre à la préparation des audits.
NIS2 (Directive (UE) 2022/2555) est la directive européenne sur la cybersécurité pour les entités essentielles et importantes. Elle étend le périmètre de NIS1, introduit des exigences de sécurité renforcées en vertu de l’article 21, et impose le signalement des incidents dans les 24 heures (alerte précoce), 72 heures (notification) et un mois (rapport final). Les entités essentielles comprennent l’énergie, les transports, le secteur bancaire, la santé, l’eau et l’infrastructure numérique. Les entités importantes couvrent les services postaux, la gestion des déchets, la chimie, l’alimentation, l’industrie manufacturière et les fournisseurs numériques comptant 50 employés ou plus, ou un chiffre d’affaires de 10 millions d’euros ou plus. Acuna cartographie les articles NIS2 sur les contrôles, gère le risque de la chaîne d’approvisionnement et suit les délais de signalement des incidents.
Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA) s’applique aux entités financières de l’UE. Il établit des exigences en matière de gestion des risques TIC, de signalement des incidents TIC, de tests de résilience opérationnelle numérique (y compris les tests de pénétration fondés sur les menaces, TLPT, pour les entités significatives), de gestion des risques TIC liés aux tiers et de partage d’informations sur les cybermenaces. DORA est entré en vigueur le 17 janvier 2025. Acuna couvre les exigences DORA sur les quatre volets : cartographie des référentiels dans Comply, contrôles TIC et inventaire des actifs dans Implement, gestion des incidents et des tiers dans Operate, et constats TLPT et actions correctives dans Assure.
La GRC (Gouvernance, Risques et Conformité) est une discipline de management large couvrant la manière dont une organisation dirige sa stratégie, gère ses risques et respecte ses obligations réglementaires dans tous les domaines. Un SMSI (Système de management de la sécurité de l’information) est une mise en œuvre spécifique de la gouvernance et de la gestion des risques centrée sur la sécurité de l’information, se conformant généralement à ISO 27001. Un SMSI est une composante d’un programme GRC plus large. Acuna est une plateforme GRC qui prend en charge la gestion d’un SMSI comme l’un de ses cas d’usage, aux côtés de la protection des données, de la continuité d’activité, du risque fournisseur et de la gestion des risques d’entreprise.
La cartographie de contrôles inter-référentiels identifie les points de recoupement entre les exigences de différents référentiels. Par exemple, ISO 27001 A.8.5 (contrôle d’accès) et NIS2 article 21(2)(i) (gestion des accès) décrivent essentiellement la même pratique. En cartographiant ces recoupements, les organisations mettent en œuvre et prouvent un contrôle une seule fois au lieu de dupliquer l’effort par référentiel. Dans Acuna, les cartographies peuvent être directes (manuelles), dérivées via 58 mesures de référence organisées en 11 domaines, ou suggérées par l’IA avec des scores de confiance. La cartographie par lot permet d’aligner des domaines entiers en une seule opération.
La Déclaration d’applicabilité (DdA) est un document obligatoire dans ISO 27001 qui liste tous les contrôles de l’Annexe A, indique si chacun est applicable ou non applicable au périmètre du SMSI de l’organisation, fournit une justification pour les exclusions, et référence le statut de mise en œuvre de chaque contrôle applicable. La DdA est un artefact clé de l’audit : les auditeurs l’utilisent pour vérifier que la sélection des contrôles est fondée sur les risques et que les contrôles exclus disposent d’une justification documentée. Dans Acuna, la DdA est gérée directement dans le volet Comply avec les marquages d’applicabilité et les champs de justification par contrôle.
Dans Acuna, une mesure est une pratique de niveau modèle tirée de bibliothèques organisées selon des référentiels tels qu’ISO 27001 et NIST CSF. Elle décrit ce qui doit être fait. Un contrôle est l’enregistrement opérationnel que vous créez à partir d’une mesure : typé (préventif, détectif ou correctif), doté d’un responsable, d’un statut, et relié à des exigences, actifs, processus et risques spécifiques. Vous mettez en œuvre et attestez au niveau du contrôle ; les mesures standardisent la pratique sous-jacente dans l’ensemble de votre programme. Une mesure peut générer plusieurs contrôles dans différents périmètres.
Comply est l’endroit où vous gérez les référentiels, les exigences et l’applicabilité. Vous importez ou créez des référentiels réglementaires (ISO 27001, NIS2, DORA, SOC 2, RGPD et autres), examinez chaque exigence, marquez l’applicabilité avec justification, et établissez des cartographies inter-référentiels afin que les exigences qui se recoupent partagent les mêmes mesures et contrôles. Le volet affiche une posture de conformité en temps réel par référentiel : pourcentage de couverture, nombre de lacunes et statut au niveau des exigences, afin que les responsables conformité et les auditeurs voient l’état du programme sans ouvrir de tableurs.
Dans Comply, chaque exigence peut être marquée Applicable ou Non applicable avec un champ de justification obligatoire. Pour ISO 27001, cela produit la Déclaration d’applicabilité (DdA). Les décisions d’applicabilité se propagent en aval : lorsqu’une exigence est marquée non applicable, ses mesures et contrôles reliés sont exclus des calculs de couverture. Les auditeurs peuvent filtrer la liste des exigences par statut d’applicabilité et exporter la DdA comme artefact versionné. Les modifications d’applicabilité après le marquage initial sont tracées dans la piste d’audit avec l’utilisateur, l’horodatage et la raison du changement.
Dans Implement, chaque mesure représente une pratique de sécurité ou de conformité (ex. : « Les revues d’accès sont effectuées trimestriellement »). Les mesures sont reliées en amont à une ou plusieurs exigences à travers les référentiels : une mesure peut satisfaire simultanément des clauses d’ISO 27001, de NIS2 et de SOC 2. Les contrôles sont les instances opérationnelles des mesures : ils portent un responsable, un statut de mise en œuvre, un type de contrôle (préventif, détectif, correctif) et des preuves reliées. Cette hiérarchie à trois niveaux (exigence, mesure, contrôle) est la manière dont Acuna évite le travail dupliqué dans les programmes multi-référentiels.
Vanta est conçu pour les entreprises qui obtiennent leur première certification SOC 2. Pour les organisations gérant simultanément plusieurs référentiels (ISO 27001, SOC 2, NIS2, DORA, RGPD), les origines mono-référentiel de Vanta montrent leurs limites. Les meilleures alternatives à Vanta pour les programmes multi-référentiels sont des plateformes conçues pour la conformité continue sur des obligations matures et interdependantes. Acuna est conçu dès le départ pour la cartographie de contrôles multi-référentiels, les preuves partagées et une piste défendable à l’échelle de l’entreprise. Drata et OneTrust traitent chacun des problèmes adjacents. Choisissez en fonction de si votre programme consiste à approfondir la conformité ou à décrocher votre première certification.
OneTrust se positionne comme une plateforme d’entreprise centrée sur la confidentialité, la plus solide pour les organisations où la protection des données (RGPD, CCPA) est au cœur du programme GRC. Les meilleures alternatives à OneTrust pour plus de profondeur GRC sont des plateformes qui intègrent protection des données, sécurité, qualité et programmes d’audit dans un rythme opérationnel unique plutôt que dans des silos parallèles. Acuna est conçu pour les responsables conformité gérant des programmes multi-référentiels où la protection des données est l’une des obligations parmi d’autres (ISO 27001, SOC 2, NIS2, ISO 9001, RGPD). La tarification est basée sur l’organisation et non par siège, et l’architecture prend en charge la qualité, la confidentialité et la sécurité dans des preuves partagées.
COMMENCER
Réservez une démo de 30 minutes ciblée sur les référentiels que vous portez, et voyez la bibliothèque de contrôles construite sur ceux-ci. Vous parlez aux personnes qui gèrent le programme, pas à une file d'attente commerciale.