Gouvernance SSI - NIS 2, DORA, RGPD.

Tout votre pilotage dans un seul outil.

EBIOS RM et 30+ référentiels pré-chargés. Modules activables un par un. Hébergement France · IA locale ou cloud au choix.

Demander une démo → Voir les modules
Les échéances qui arrivent

3 réglementations majeures. Une seule plateforme pour y répondre.

NIS 2
En vigueur
Directive UE 2022/2555 · cybersécurité opérateurs essentiels et importants
  • Sanctions jusqu'à 10 M€ ou 2 % du CA mondial
  • Notification incidents 24h / 72h / 30j
  • Responsabilité personnelle des dirigeants
Comment CYBERACT y répond

Workflow notification 3 paliers + Registre des risques + Mesures techniques + Plan de traitement + Acceptation signée des risques résiduels (art. 21.3).

DORA
En vigueur
Règlement UE 2022/2554 · finance, banque, assurance · applicable depuis le 17 janvier 2025
  • Registre prestataires TIC critiques obligatoire
  • Tests de résilience opérationnelle (TLPT)
  • Notification incidents majeurs en 4h
Comment CYBERACT y répond

Module TPRM 5 phases + Cartographie dépendances + Plan continuité (BIA / PCA / PRA) + Roadmap tests résilience.

EU AI Act
J-…
Règlement UE 2024/1689 · obligations GPAI applicables 2 août 2026
  • Inventaire systèmes IA obligatoire
  • Évaluation risques IA + DPIA dédiée
  • Transparence + traçabilité des décisions
Comment CYBERACT y répond

Module Analyses de risques polymorphe avec type AI_SYSTEM + Référentiels OWASP LLM Top 10 et ISO 42001 pré-chargés.

Modules livrés · pilotés par le risque · 4 hubs métier

Un registre des risques au centre. 4 hubs métier autour.

Le cœur de la plateforme

Registre central des risques

Un registre unique consolide les risques issus de tous les modules. Heatmap G×V actualisée en temps réel.

ISP Scénarios EBIOS RM risques inhérents
Audit Non-conformités constatées risques résiduels
TPRM Écarts fournisseurs risques résiduels
Roadmap Plans de traitement clos recalcul des résiduels
🎛️
Activez les modules selon vos besoins.
Démarrez avec 1 ou 2 modules selon votre priorité du moment - mise en conformité NIS 2, audit, appel d'offres, déploiement RGPD - puis activez les autres au fur et à mesure. Chaque module se configure indépendamment et alimente le registre central des risques. Activation par tenant, dans votre rythme.
Modules livrés · activables un par un
4 hubs métier, un seul registre des risques
Hub Gouvernance
Cadre documentaire, pilotage, animation
Le cycle stratégique RSSI : feuille de route consolidée, politiques formalisées, procédures, indicateurs CODIR, animation filière, sensibilisation
Roadmap polymorphe
Feuille de route consolidée Gantt / Kanban / Liste, 8 types d'entités, auto-alimentée par les modules - vous validez les recalculs de risque
Politique & Charte SSI
PSSI formalisée, charte user/admin, validation direction, versioning, signature horodatée
Procédures & bonnes pratiques
Bibliothèque documentaire SSI : runbooks, guides, 10 templates pré-chargés (incidents, PRA/PCA, télétravail...)
KPIs CODIR / Direction
Tableau de bord direction, 30+ indicateurs mensuels/trimestriels, tendances, seuils d'alerte configurables
Animation filière Cyber
Pilotage Groupe → filiales : décisions, communications, ateliers, points réguliers, héritage des cibles
Sensibilisation cyber
Campagnes, formations, simulations phishing, reporting CODIR (NIS 2 art. 21.2.g)
Hub Risques
Registres, analyses, cartographies, incidents
Tout ce qui converge vers le registre central : évaluation projet EBIOS RM, analyses polymorphes, inventaires SI, surface externe, dérogations, incidents NIS 2, continuité
Intégration de la sécurité dans les projets
Intégration Sécurité Projets : wizard 8 étapes S0-S8 (cadrage, ateliers EBIOS, exigences, plan de traitement, décision GO/GOC/NO-GO du RSSI)
Registre des risques
Consolidation cross-projets, heatmap G×V, 3 états (inhérent/ajusté/résiduel), KPI résiduel par référentiel
Analyses de risques
Moteur EBIOS RM / ISO 27005 polymorphe : projet, actif, système IA, fournisseur, processus, autonome
Cartographie des actifs
Inventaire SI, classification, propriétaires, criticité, 4 modes de saisie
Registre des dérogations
Acceptation formelle des risques, revues périodiques, alertes 30j avant expiration
Radar surface externe
Découverte passive des sous-domaines exposés, scoring 0-100 (A-F), expositions HTTPS / DNS / TLS
Incidents NIS 2
Notification NIS 2 art. 23 (24h / 72h / 30j), workflow complet, classification ISO 27035
BIA / PCA / PRA
Bilan d'impact, RTO/RPO/MTPD, plans de continuité (ISO 22301 + NIS 2 art. 21.2.c)
Acceptation des risques
Workflow formel multi-niveau, signature électronique, audit, expiration (NIS 2 art. 21.3)
Threat Intelligence
Veille CVE/KEV/ATT&CK 6 sources (CISA, ENISA, CERT-FR, EPSS, MITRE, OSV), croisée avec vos actifs
Quantification financière des risques
Méthode FAIR : perte annuelle attendue (ALE) en euros, argument COMEX/CFO et assurance cyber
Hub Conformité
Référentiels, RGPD, audits réglementaires
Le cycle de vérification réglementaire : centre de conformité multi-filiales, audits ISO 19011 assistés IA, référentiels normatifs, RGPD complet (registre des traitements, DPIA, demandes CNIL), veille
Compliance Center
3 onglets (Référentiels / Politiques / Procédures), 10 templates de politiques prêts à l'emploi, mode multi-filiales avec annexes consolidées
Audit SSI
4 phases (cadrage, entretiens IA-assistés, évaluation CMMI 0-5, rapport) avec verdict Favorable / Réserves / Défavorable signé
Référentiels & exigences
ISO 27001/27002/27005/27036/27701/22301/42001, NIS 2, RGPD, DORA, HDS, PCI, SOC 2 - couverture risques + KPI résiduels + mapping cross-frameworks
Veille réglementaire
NIS 2, DORA, RGPD, EU AI Act, alertes & jurisprudence, comparateur cross-textes
Registre des traitements
Registre traitements RGPD art. 30 : finalités, base légale, durées, transferts UE, workflow DPO
DPIA (CNIL PIA-3)
Analyses d'impact RGPD, mesures référencées CNIL §X (S1 pseudonymisation, S2 authentification forte, S4 chiffrement AES-256...), workflow DPO
Demandes CNIL & droits
Accès, rectification, effacement, portabilité, opposition, plaintes - SLA 30j/90j, audit trail
Cartographie des données
Data mapping RGPD/HDS, flux PII, transferts hors UE, lien automatique avec le registre des traitements
Plan d'audit annuel
Planning multi-auditeurs, cycles, périmètres, ressources, archivage par année
Self-assessment
Auto-évaluation rapide filiales / équipes (light vs Audit complet), score CMMI agrégé
Évaluations de conformité
Sessions datées sur référentiel, versioning, comparaison dans le temps, export PDF/CSV forensic
Hub Risque Tiers
Trust Center, due diligence, contrats DPA
Le cycle complet de la relation tiers : qualification des fournisseurs (TPRM), appels d'offres (RFP), vitrine externe, due diligence, contrats DPA
TPRM (qualification fournisseur)
Third Party Risk Management : 5 phases (Identification / Évaluation 12 domaines / Décision GO-GOC-NO-GO / Contrat & PAS / Surveillance), liaison auto depuis ISP S0
RFP (campagne appels d'offres)
Multi-fournisseurs sur le même questionnaire contextualisé au projet, matrice comparative colorée, scoring pondéré, décision RSSI ajustable
Trust Center
Page de confiance partagée clients/prospects, certifications publiques, lien security.txt
Due diligence reçue
Questionnaires sécu envoyés par clients, centralisation des réponses, matrice de comparaison
Contrats & DPA
Registre contrats sécu, DPA RGPD, clauses signées, échéances avec alertes 30j
Capacité unique sur le marché GRC

6 sources de veille reconnues NIS 2. Live. Inclus.

La plupart des outils GRC concurrents vous demandent de remplir manuellement vos vulnérabilités. CYBERACT branche nativement 6 flux officiels et croise avec votre périmètre actifs. Argument NIS 2 Art. 21.2.e : traçabilité des sources de veille.

CISA
1.6k
KEV exploitées
NVD
23k
CVE indexées NIST
ENISA
22k
Mirror EUVD
CERT-FR
478
Bulletins ANSSI
MITRE
697
Techniques ATT&CK
OSV
15k
Advisories Google
Surveillance continue
6 sources branchées 24/7, refresh quotidien. Aucune saisie manuelle, aucune subscription tierce à gérer - tout est inclus dans la plateforme.
Croisement périmètre actifs
Vos actifs déclarés sont automatiquement croisés avec les KEV CISA. Si une de vos technologies est ciblée, une tâche CRITICAL s'ouvre dans la Roadmap (SLA 14 jours).
Argument NIS 2 Art. 21.2.e
Traçabilité d'origine conservée pour chaque CVE indexée. Démontre à l'ANSSI que vous suivez les sources autorisées - sans dépenser un euro de plus.
Pour qui

Un espace par profil. Une seule source de vérité.

RSSI Analyste SSI DPO Auditeur interne Chef de projet Direction SI / CODIR
Conformité

Réglementations, normes et grilles d'audit

Basculez d'un référentiel à l'autre - ou appliquez-en plusieurs simultanément à un même projet. Filtre de pertinence contextuelle automatique (RGPD si données personnelles, HDS si Santé, OWASP LLM Top 10 si IA…). Chargement de vos référentiels internes pris en charge.

Réglementation EU & FR

RGPD NIS 2 LPM / OIV EU AI Act DORA ACPR Cyber PSD2 HDS PGSSI-S SecNumCloud TSA (Transports)

Réglementation internationale

HIPAA (US santé) DPDPA (Inde) FedRAMP (US fédéral)

Normes internationales

ISO 27001:2022 ISO 27002:2022 ISO 27005:2022 ISO 27701:2025 ISO 27036 ISO 22301 ISO 42001 NIST CSF 2.0 CIS Controls v8 SOC 2

Standards techniques & red teaming

PCI-DSS v4.0.1 OWASP Top 10 OWASP ASVS OWASP LLM Top 10 CSA CCM MITRE ATT&CK TIBER-EU

Grilles d'audit (module Audit)

ReCyF NIS 2 (ANSSI) ISO 27001:2022 · grille CMMI ISO 27002:2022 + vos grilles internes

Mesures CyberAct (pondérations propres)

24 exigences pondérées cross-frameworks anti-doublons configurables
Tarifs

Activez par module. Devis adapté à votre périmètre.

Tarif établi avec vous selon les modules activés, vos utilisateurs et votre contexte. Aucun engagement long terme.

Starter
« Je démarre ma démarche »
Sur devis
Devis adapté à votre périmètre
  • Jusqu'à 25 utilisateurs
  • 6 modules au choix
  • 1 référentiel principal
  • Support email J+1
  • Hébergement France
Idéal pour PME 50-250 collaborateurs qui démarrent leur démarche GRC.
Demander un devis
Le plus choisi
Essential
« Je suis NIS 2 ou DORA »
Sur devis
Devis adapté à votre périmètre
  • Jusqu'à 100 utilisateurs
  • 12 modules au choix
  • Multi-référentiels illimités
  • Threat Intelligence incluse (6 sources)
  • Multi-filiales (jusqu'à 5)
  • Support prioritaire J+0
Idéal pour ETI 250-2000 collaborateurs soumises NIS 2 ou DORA.
Demander une démo
Enterprise
« Je pilote un groupe »
Sur devis
Contractualisation sur-mesure
  • Utilisateurs illimités
  • Tous modules activables
  • CRQ FAIR (quantification financière)
  • Multi-filiales illimitées
  • IA on-premise dédiée
  • SLA 99,9 % + support 24/7
  • Customer Success dédié
Pour grands comptes, OIV, holdings, opérateurs de services essentiels NIS 2 entité essentielle.
Contacter notre équipe

Tous les paliers incluent : hébergement France, sauvegardes quotidiennes, mises à jour incluses, 30+ référentiels pré-chargés, onboarding guidé et essai gratuit 30 jours sans engagement.

Questions fréquentes

Ce que les RSSI et DPO nous demandent le plus souvent

En combien de temps suis-je opérationnel ?
2 semaines pour un module unique avec un référentiel pré-chargé. 6 à 8 semaines pour un déploiement multi-modules / multi-filiales. L'onboarding guidé est inclus dans tous les paliers.
Mes données sortent-elles de France ?
Non. Hébergement OVH Roubaix par défaut. Possibilité d'hébergement client (on-premise) pour les paliers Enterprise. Chiffrement AES-256-GCM au repos et en transit, clés tenant-scope.
L'IA voit-elle nos documents sensibles ?
Vous choisissez. En mode IA locale (Ollama on-premise), aucun document ne sort de votre tenant. En mode cloud (OpenRouter, OpenAI, Anthropic au choix), les documents sont envoyés avec votre consentement explicite, masqués des PII.
Une démo ou un essai coûtent-ils quelque chose ?
Non. Démo de 30 minutes gratuite. Essai gratuit de 30 jours sur votre propre tenant dédié, avec un référentiel et un module au choix. Sans CB requise.
Êtes-vous certifiés ISO 27001 vous-mêmes ?
Certification ISO 27001:2022 visée Q4 2026. Audit blanc réussi en Q1 2026. Sécurité by design dès la conception : 18 principes appliqués, OWASP LLM Top 10 intégré, AES-256-GCM, MFA TOTP + Passkeys WebAuthn/FIDO2.
Et si je veux changer de plateforme plus tard ?
Aucun verrouillage propriétaire. Export ZIP complet de votre tenant (RGPD art. 20 portabilité). Données dans des formats ouverts : CSV, JSON, PDF. Vos référentiels personnalisés et vos analyses de risques sont récupérables intégralement.

Prêt à structurer votre démarche SSI ?

Planifions une démonstration adaptée à votre contexte. 30 minutes pour voir la plateforme en action et répondre à vos questions.

✉️ Demander une démo

Ou écrivez-nous directement à grc@cyberact.fr