Implement est là où les exigences cartographiées deviennent des contrôles responsabilisés, documentés et à jour, de sorte que l'audit est un état permanent, non un sprint de dernière minute. Fini de reconstituer les preuves la semaine avant l'auditeur.
Evidence lifecycle — one document, multiple controls
QU'EST-CE QU'IMPLEMENT
Implement est la partie de la plateforme Acuna où les exigences cartographiées deviennent des contrôles opérationnels, typés, responsabilisés, scorés et appuyés par des preuves versionnées passant par les états Brouillon, Soumise, Approuvée et Expirée, de sorte que la disponibilité pour l'audit est un état continu. Inclus dans la plateforme principale, non en supplément.
La semaine avant un audit, une équipe sans Implement reconstitue les preuves: qui a validé quoi, quelle version de politique était en vigueur, si la revue d'accès a eu lieu. Implement supprime ce travail en faisant des preuves un enregistrement continu, non une assembly de pré-audit.
Preuves
Responsabilité
Expansion référentielle
SANS IMPLEMENT
Preuves assemblées depuis les boites mail et lecteurs partagés la semaine avant l'audit.
SANS IMPLEMENT
Contrôles assignés dans un tableur; la liste des responsables dérive après chaque réorganisation.
SANS IMPLEMENT
Ajouter DORA ou NIS2 signifie un second tracker, un second dossier de preuves, un second programme.
AVEC IMPLEMENT
Preuves collectées en continu, versionnées et liées au contrôle qu'elles satisfont.
AVEC IMPLEMENT
Chaque contrôle a un responsable nommé dans la plateforme, mis à jour lorsque les responsabilités changent.
AVEC IMPLEMENT
Ajouter un référentiel cartographie contre les contrôles que vous avez déjà, non un nouvel ensemble d'enregistrements.
Chaque preuve dans Implement a un statut: Brouillon, Soumise, Approuvée ou Expirée. Les preuves approuvées alimentent le score d'efficacité des contrôles et la vue de disponibilité pour l'audit. Lorsqu'une preuve expire, elle est signalée et protégée contre la suppression, de sorte que l'enregistrement n'est jamais perdu silencieusement. Une preuve peut être liée à plusieurs contrôles simultanément avec des notes par lien.
Brouillon, Soumise, Approuvée, Expirée. Chaque preuve a un état suivi.
Pièces jointes versionnées: les nouvelles versions n'écrasent pas l'historique.
Un document peut être lié à plusieurs contrôles avec des notes par lien.
Les preuves expirées sont signalées et protégées contre la suppression.
Démarrez depuis une bibliothèque de mesures alignée avec ISO 27001, SOC 2, NIS2 et DORA. Chaque contrôle est typé (préventif, détectif, correctif), responsabilisé, statué et lié aux exigences, actifs, processus et risques. Une mesure est la pratique modèle; un contrôle est l'enregistrement opérationnel. Une mesure peut générer autant de contrôles que l'organisation en a besoin.
Contrôles typés: préventif, détectif, correctif. Recherche par ID, responsable, statut et relations.
Lier chaque contrôle aux exigences, actifs, processus et risques dans le même graphe.
Mesure vs contrôle: pratique modèle vs enregistrement opérationnel. Une mesure, de nombreux contrôles.
Opérations en lot: définir statut, maturité, responsable, périmètres et liens sur de nombreux contrôles à la fois.
La santé d'un contrôle n'est pas un label manuel. Les tâches de validation récurrentes pilotent le score: une tâche terminée à temps donne 100 au contrôle. En retard ou en cours: 75. En retard et non démarrée: 0. Le score se propage du contrôle à la mesure jusqu'à l'exigence. Cliquez sur le badge de santé pour voir le détail exact.
Toutes les tâches récurrentes terminées dans la fenêtre prévue.
Au moins une tâche dépasse sa date d'échéance ou est encore en vol.
Une validation requise n'a pas été démarrée et est en retard.
Les contrôles ne fonctionnent pas de manière isolée. Implement inclut un registre des processus avec une vue arborescente et un registre des tiers avec prestataires typés, niveaux de risque et contacts. Les deux registres sont liés dans le même graphe GRC.
REGISTRE DES PROCESSUS
Vue arborescente avec sous-processus imbriqués.
Lien vers actifs, contrôles, exigences, risques et tiers.
BCI, RTO et RPO lorsque la Continuité d'activité est activée.
Joindre PSO et fichiers comme preuves sur le processus.
REGISTRE DES TIERS
Types: prestataire, fournisseur de services, sous-traitant, partenaire.
Niveaux de risque du critique au faible; maintenir les contacts.
Liens vers actifs, processus, contrôles et exigences.
Complète Supplier Shield pour une diligence approfondie.
Comply définit la bibliothèque de contrôles et le crosswalk. Implement la construit: responsables, preuves, santé, registres. Operate la maintient à jour. Assure en fait un dossier d'audit. Les quatre sont inclus dans la plateforme Acuna, tarifés au périmètre de programme, non au siège. Supplier Shield et Data Privacy sont les extensions payantes séparées.
07 · QUI L'UTILISE
Transformez les exigences cartographiées en contrôles nommés avec le bon type, responsable et preuves jointes, afin que chaque assertion puisse être appuyée sans recherche.
Montrez quels contrôles sont actifs, qui en est responsable et quels artefacts soutiennent chaque assertion, sans assembler le tableau depuis plusieurs systèmes.
Réassignez le travail, normalisez la maturité et gardez les registres alignés après des réorganisations, sans toucher chaque enregistrement individuellement.
FAQ
Réponses associées
La cartographie de contrôles inter-référentiels identifie les points de recoupement entre les exigences de différents référentiels. Par exemple, ISO 27001 A.8.5 (contrôle d’accès) et NIS2 article 21(2)(i) (gestion des accès) décrivent essentiellement la même pratique. En cartographiant ces recoupements, les organisations mettent en œuvre et prouvent un contrôle une seule fois au lieu de dupliquer l’effort par référentiel. Dans Acuna, les cartographies peuvent être directes (manuelles), dérivées via 58 mesures de référence organisées en 11 domaines, ou suggérées par l’IA avec des scores de confiance. La cartographie par lot permet d’aligner des domaines entiers en une seule opération.
Dans Acuna, une mesure est une pratique de niveau modèle tirée de bibliothèques organisées selon des référentiels tels qu’ISO 27001 et NIST CSF. Elle décrit ce qui doit être fait. Un contrôle est l’enregistrement opérationnel que vous créez à partir d’une mesure : typé (préventif, détectif ou correctif), doté d’un responsable, d’un statut, et relié à des exigences, actifs, processus et risques spécifiques. Vous mettez en œuvre et attestez au niveau du contrôle ; les mesures standardisent la pratique sous-jacente dans l’ensemble de votre programme. Une mesure peut générer plusieurs contrôles dans différents périmètres.
Chaque contrôle dans Acuna affiche un badge de santé codé par couleur : vert (sain), orange (à risque) ou rouge (défaillant). La santé est principalement déterminée par la complétion des tâches récurrentes : une tâche complétée à temps score 100 (sain), complétée en retard score 75 (à risque), en cours sans échéance dépassée score 75, et non démarrée après l’échéance score 0 (défaillant). Ces scores remontent en cascade à travers les mesures et les exigences, de sorte que les glissements opérationnels apparaissent dans les vues de contrôle et de programme, et non uniquement dans une liste de tâches. Cliquez sur n’importe quel badge de santé pour obtenir une décomposition expliquant quelles tâches ont contribué au score actuel.
Dans Acuna, les enregistrements de preuves suivent quatre états : Brouillon (en cours de compilation), Soumis (envoyé pour approbation), Approuvé (verrouillé et horodaté) et Expiré (plus en vigueur). Chaque enregistrement capture les dates de collecte, de revue et d’expiration, prend en charge les pièces jointes versionnées et peut être relié à plusieurs contrôles avec des notes par lien. Les approbateurs reçoivent des notifications et peuvent demander des modifications avant d’accepter. Les preuves approuvées contribuent aux métriques d’efficacité des contrôles et de préparation aux audits. Les preuves expirées sont signalées visuellement et ne peuvent pas être supprimées sans l’approbation d’un administrateur, préservant ainsi la piste d’audit.
Implement est l’endroit où vous construisez l’ossature opérationnelle de votre programme de conformité. Vous créez des mesures à partir de bibliothèques organisées ou de définitions personnalisées, instanciez des contrôles à partir de ces mesures, assignez des responsables, définissez des statuts et reliez les contrôles aux exigences qu’ils satisfont. Le volet gère également votre inventaire d’actifs (systèmes informatiques, espaces de données, emplacements physiques), le registre des processus et le catalogue des risques. Tout est connecté : un contrôle est relié à une ou plusieurs exigences, à un ou plusieurs actifs, et éventuellement à des risques, permettant de tracer depuis une clause du référentiel jusqu’au système et à l’équipe spécifiques responsables.
Dans Implement, chaque mesure représente une pratique de sécurité ou de conformité (ex. : « Les revues d’accès sont effectuées trimestriellement »). Les mesures sont reliées en amont à une ou plusieurs exigences à travers les référentiels : une mesure peut satisfaire simultanément des clauses d’ISO 27001, de NIS2 et de SOC 2. Les contrôles sont les instances opérationnelles des mesures : ils portent un responsable, un statut de mise en œuvre, un type de contrôle (préventif, détectif, correctif) et des preuves reliées. Cette hiérarchie à trois niveaux (exigence, mesure, contrôle) est la manière dont Acuna évite le travail dupliqué dans les programmes multi-référentiels.
Chaque contrôle peut avoir une ou plusieurs tâches récurrentes, par exemple « Revoir les droits d’accès trimestriellement » ou « Tester la restauration des sauvegardes mensuellement ». Les tâches se voient affecter un responsable, une fréquence (quotidienne, hebdomadaire, mensuelle, trimestrielle, annuelle ou personnalisée) et une date d’échéance. Une tâche complétée à temps score 100 (sain). Complétée en retard score 75 (à risque). En cours sans dépassement score 75. Non démarrée après l’échéance score 0 (défaillant). Ces scores remontent au contrôle parent, puis à la mesure, puis à l’exigence : une tâche manquée apparaît ainsi comme une lacune visible à chaque niveau du programme.
Vanta est conçu pour les entreprises qui obtiennent leur première certification SOC 2. Pour les organisations gérant simultanément plusieurs référentiels (ISO 27001, SOC 2, NIS2, DORA, RGPD), les origines mono-référentiel de Vanta montrent leurs limites. Les meilleures alternatives à Vanta pour les programmes multi-référentiels sont des plateformes conçues pour la conformité continue sur des obligations matures et interdependantes. Acuna est conçu dès le départ pour la cartographie de contrôles multi-référentiels, les preuves partagées et une piste défendable à l’échelle de l’entreprise. Drata et OneTrust traitent chacun des problèmes adjacents. Choisissez en fonction de si votre programme consiste à approfondir la conformité ou à décrocher votre première certification.
DÉMARRER
Réservez une démo de 30 minutes adaptée aux référentiels que vous gérez et voyez le cycle de vie des preuves et la bibliothèque de contrôles construits sur eux. Tarification au périmètre de programme, non au siège. Données en Suisse et dans l'UE.