IMPLEMENT

Chaque contrôle responsabilisé. Chaque assertion appuyée.

Implement est là où les exigences cartographiées deviennent des contrôles responsabilisés, documentés et à jour, de sorte que l'audit est un état permanent, non un sprint de dernière minute. Fini de reconstituer les preuves la semaine avant l'auditeur.

QU'EST-CE QU'IMPLEMENT

Implement est la partie de la plateforme Acuna où les exigences cartographiées deviennent des contrôles opérationnels, typés, responsabilisés, scorés et appuyés par des preuves versionnées passant par les états Brouillon, Soumise, Approuvée et Expirée, de sorte que la disponibilité pour l'audit est un état continu. Inclus dans la plateforme principale, non en supplément.

L'audit est un état dans lequel vous êtes déjà.

La semaine avant un audit, une équipe sans Implement reconstitue les preuves: qui a validé quoi, quelle version de politique était en vigueur, si la revue d'accès a eu lieu. Implement supprime ce travail en faisant des preuves un enregistrement continu, non une assembly de pré-audit.

Preuves

Responsabilité

Expansion référentielle

SANS IMPLEMENT

Preuves assemblées depuis les boites mail et lecteurs partagés la semaine avant l'audit.

SANS IMPLEMENT

Contrôles assignés dans un tableur; la liste des responsables dérive après chaque réorganisation.

SANS IMPLEMENT

Ajouter DORA ou NIS2 signifie un second tracker, un second dossier de preuves, un second programme.

AVEC IMPLEMENT

Preuves collectées en continu, versionnées et liées au contrôle qu'elles satisfont.

AVEC IMPLEMENT

Chaque contrôle a un responsable nommé dans la plateforme, mis à jour lorsque les responsabilités changent.

AVEC IMPLEMENT

Ajouter un référentiel cartographie contre les contrôles que vous avez déjà, non un nouvel ensemble d'enregistrements.

Des preuves toujours disponibles.

Chaque preuve dans Implement a un statut: Brouillon, Soumise, Approuvée ou Expirée. Les preuves approuvées alimentent le score d'efficacité des contrôles et la vue de disponibilité pour l'audit. Lorsqu'une preuve expire, elle est signalée et protégée contre la suppression, de sorte que l'enregistrement n'est jamais perdu silencieusement. Une preuve peut être liée à plusieurs contrôles simultanément avec des notes par lien.

01

Brouillon, Soumise, Approuvée, Expirée. Chaque preuve a un état suivi.

02

Pièces jointes versionnées: les nouvelles versions n'écrasent pas l'historique.

03

Un document peut être lié à plusieurs contrôles avec des notes par lien.

04

Les preuves expirées sont signalées et protégées contre la suppression.

Une bibliothèque. Chaque exigence.

Démarrez depuis une bibliothèque de mesures alignée avec ISO 27001, SOC 2, NIS2 et DORA. Chaque contrôle est typé (préventif, détectif, correctif), responsabilisé, statué et lié aux exigences, actifs, processus et risques. Une mesure est la pratique modèle; un contrôle est l'enregistrement opérationnel. Une mesure peut générer autant de contrôles que l'organisation en a besoin.

01

Contrôles typés: préventif, détectif, correctif. Recherche par ID, responsable, statut et relations.

02

Lier chaque contrôle aux exigences, actifs, processus et risques dans le même graphe.

03

Mesure vs contrôle: pratique modèle vs enregistrement opérationnel. Une mesure, de nombreux contrôles.

04

Opérations en lot: définir statut, maturité, responsable, périmètres et liens sur de nombreux contrôles à la fois.

Un score qui veut dire quelque chose.

La santé d'un contrôle n'est pas un label manuel. Les tâches de validation récurrentes pilotent le score: une tâche terminée à temps donne 100 au contrôle. En retard ou en cours: 75. En retard et non démarrée: 0. Le score se propage du contrôle à la mesure jusqu'à l'exigence. Cliquez sur le badge de santé pour voir le détail exact.

100
À l'heure

Toutes les tâches récurrentes terminées dans la fenêtre prévue.

75
En retard ou en cours

Au moins une tâche dépasse sa date d'échéance ou est encore en vol.

0
En retard, non démarrée

Une validation requise n'a pas été démarrée et est en retard.

Le contexte dans lequel vit chaque contrôle.

Les contrôles ne fonctionnent pas de manière isolée. Implement inclut un registre des processus avec une vue arborescente et un registre des tiers avec prestataires typés, niveaux de risque et contacts. Les deux registres sont liés dans le même graphe GRC.

REGISTRE DES PROCESSUS

Vue arborescente avec sous-processus imbriqués.

Lien vers actifs, contrôles, exigences, risques et tiers.

BCI, RTO et RPO lorsque la Continuité d'activité est activée.

Joindre PSO et fichiers comme preuves sur le processus.

REGISTRE DES TIERS

Types: prestataire, fournisseur de services, sous-traitant, partenaire.

Niveaux de risque du critique au faible; maintenir les contacts.

Liens vers actifs, processus, contrôles et exigences.

Complète Supplier Shield pour une diligence approfondie.

Supplier Shield →

Là où le programme devient réel.

Comply définit la bibliothèque de contrôles et le crosswalk. Implement la construit: responsables, preuves, santé, registres. Operate la maintient à jour. Assure en fait un dossier d'audit. Les quatre sont inclus dans la plateforme Acuna, tarifés au périmètre de programme, non au siège. Supplier Shield et Data Privacy sont les extensions payantes séparées.

Retour: Comply, la bibliothèque de contrôles et crosswalksSuivant: Operate, maintenir le programme à jourEnsuite: Assure, le dossier d'audit et le reportingSupplier Shield, gestion approfondie des risques prestatairesData Privacy, flux de travail conformité vie privéeAiko, documentation des contrôles assistée par IAToute la plateforme

07 · QUI L'UTILISE

Conçu pour les praticiens.

Équipe sécurité

Contrôles actifs. Preuves à jour.

Transformez les exigences cartographiées en contrôles nommés avec le bon type, responsable et preuves jointes, afin que chaque assertion puisse être appuyée sans recherche.

Créer des contrôles depuis la bibliothèque et les connecter aux exigences ISO 27001, SOC 2, NIS2 et DORA.
Joindre des preuves via tâches, évaluations, constatations et documents.
Planifier une tâche de validation récurrente dès la création du contrôle.
Responsable conformité

Statut et preuves en une vue.

Montrez quels contrôles sont actifs, qui en est responsable et quels artefacts soutiennent chaque assertion, sans assembler le tableau depuis plusieurs systèmes.

Filtrer et rechercher dans la bibliothèque par ID, responsable, statut et relations.
Utiliser les badges de santé et le détail pour expliquer le scoring aux auditeurs.
Tracer d'un contrôle à ses tâches, évaluations, constatations et documents téléchargés.
Responsable GRC

Grands ensembles de contrôles sans churn.

Réassignez le travail, normalisez la maturité et gardez les registres alignés après des réorganisations, sans toucher chaque enregistrement individuellement.

Mise à jour en lot: statut, maturité, responsable, périmètres et liens d'objets.
Maintenir les registres de processus et de tiers alignés avec le même graphe.
Utiliser les arborescences et les niveaux de risque pour prioriser la couverture.

FAQ

Questions fréquentes sur la gestion des preuves.

Réponses associées

Questions que les praticiens se posent.

Qu’est-ce que la cartographie de contrôles inter-référentiels ?

La cartographie de contrôles inter-référentiels identifie les points de recoupement entre les exigences de différents référentiels. Par exemple, ISO 27001 A.8.5 (contrôle d’accès) et NIS2 article 21(2)(i) (gestion des accès) décrivent essentiellement la même pratique. En cartographiant ces recoupements, les organisations mettent en œuvre et prouvent un contrôle une seule fois au lieu de dupliquer l’effort par référentiel. Dans Acuna, les cartographies peuvent être directes (manuelles), dérivées via 58 mesures de référence organisées en 11 domaines, ou suggérées par l’IA avec des scores de confiance. La cartographie par lot permet d’aligner des domaines entiers en une seule opération.

Quelle est la différence entre une mesure et un contrôle dans la GRC ?

Dans Acuna, une mesure est une pratique de niveau modèle tirée de bibliothèques organisées selon des référentiels tels qu’ISO 27001 et NIST CSF. Elle décrit ce qui doit être fait. Un contrôle est l’enregistrement opérationnel que vous créez à partir d’une mesure : typé (préventif, détectif ou correctif), doté d’un responsable, d’un statut, et relié à des exigences, actifs, processus et risques spécifiques. Vous mettez en œuvre et attestez au niveau du contrôle ; les mesures standardisent la pratique sous-jacente dans l’ensemble de votre programme. Une mesure peut générer plusieurs contrôles dans différents périmètres.

Comment fonctionne le scoring de santé des contrôles dans Acuna ?

Chaque contrôle dans Acuna affiche un badge de santé codé par couleur : vert (sain), orange (à risque) ou rouge (défaillant). La santé est principalement déterminée par la complétion des tâches récurrentes : une tâche complétée à temps score 100 (sain), complétée en retard score 75 (à risque), en cours sans échéance dépassée score 75, et non démarrée après l’échéance score 0 (défaillant). Ces scores remontent en cascade à travers les mesures et les exigences, de sorte que les glissements opérationnels apparaissent dans les vues de contrôle et de programme, et non uniquement dans une liste de tâches. Cliquez sur n’importe quel badge de santé pour obtenir une décomposition expliquant quelles tâches ont contribué au score actuel.

Comment fonctionne la gestion du cycle de vie des preuves dans une plateforme GRC ?

Dans Acuna, les enregistrements de preuves suivent quatre états : Brouillon (en cours de compilation), Soumis (envoyé pour approbation), Approuvé (verrouillé et horodaté) et Expiré (plus en vigueur). Chaque enregistrement capture les dates de collecte, de revue et d’expiration, prend en charge les pièces jointes versionnées et peut être relié à plusieurs contrôles avec des notes par lien. Les approbateurs reçoivent des notifications et peuvent demander des modifications avant d’accepter. Les preuves approuvées contribuent aux métriques d’efficacité des contrôles et de préparation aux audits. Les preuves expirées sont signalées visuellement et ne peuvent pas être supprimées sans l’approbation d’un administrateur, préservant ainsi la piste d’audit.

Que fait le volet Implement dans Acuna ?

Implement est l’endroit où vous construisez l’ossature opérationnelle de votre programme de conformité. Vous créez des mesures à partir de bibliothèques organisées ou de définitions personnalisées, instanciez des contrôles à partir de ces mesures, assignez des responsables, définissez des statuts et reliez les contrôles aux exigences qu’ils satisfont. Le volet gère également votre inventaire d’actifs (systèmes informatiques, espaces de données, emplacements physiques), le registre des processus et le catalogue des risques. Tout est connecté : un contrôle est relié à une ou plusieurs exigences, à un ou plusieurs actifs, et éventuellement à des risques, permettant de tracer depuis une clause du référentiel jusqu’au système et à l’équipe spécifiques responsables.

Comment les mesures et les contrôles sont-ils reliés aux exigences dans Acuna ?

Dans Implement, chaque mesure représente une pratique de sécurité ou de conformité (ex. : « Les revues d’accès sont effectuées trimestriellement »). Les mesures sont reliées en amont à une ou plusieurs exigences à travers les référentiels : une mesure peut satisfaire simultanément des clauses d’ISO 27001, de NIS2 et de SOC 2. Les contrôles sont les instances opérationnelles des mesures : ils portent un responsable, un statut de mise en œuvre, un type de contrôle (préventif, détectif, correctif) et des preuves reliées. Cette hiérarchie à trois niveaux (exigence, mesure, contrôle) est la manière dont Acuna évite le travail dupliqué dans les programmes multi-référentiels.

Comment les tâches récurrentes pilotent-elles la santé de la conformité dans Acuna ?

Chaque contrôle peut avoir une ou plusieurs tâches récurrentes, par exemple « Revoir les droits d’accès trimestriellement » ou « Tester la restauration des sauvegardes mensuellement ». Les tâches se voient affecter un responsable, une fréquence (quotidienne, hebdomadaire, mensuelle, trimestrielle, annuelle ou personnalisée) et une date d’échéance. Une tâche complétée à temps score 100 (sain). Complétée en retard score 75 (à risque). En cours sans dépassement score 75. Non démarrée après l’échéance score 0 (défaillant). Ces scores remontent au contrôle parent, puis à la mesure, puis à l’exigence : une tâche manquée apparaît ainsi comme une lacune visible à chaque niveau du programme.

Quelles sont les meilleures alternatives à Vanta pour les programmes multi-référentiels ?

Vanta est conçu pour les entreprises qui obtiennent leur première certification SOC 2. Pour les organisations gérant simultanément plusieurs référentiels (ISO 27001, SOC 2, NIS2, DORA, RGPD), les origines mono-référentiel de Vanta montrent leurs limites. Les meilleures alternatives à Vanta pour les programmes multi-référentiels sont des plateformes conçues pour la conformité continue sur des obligations matures et interdependantes. Acuna est conçu dès le départ pour la cartographie de contrôles multi-référentiels, les preuves partagées et une piste défendable à l’échelle de l’entreprise. Drata et OneTrust traitent chacun des problèmes adjacents. Choisissez en fonction de si votre programme consiste à approfondir la conformité ou à décrocher votre première certification.

DÉMARRER

Voyez vos preuves toujours disponibles.

Réservez une démo de 30 minutes adaptée aux référentiels que vous gérez et voyez le cycle de vie des preuves et la bibliothèque de contrôles construits sur eux. Tarification au périmètre de programme, non au siège. Données en Suisse et dans l'UE.

Demander une démoVoir la plateforme