Construisez et pilotez votre SMSI ISO 27001 de bout en bout.
ISO 27001:2022 concerne toute organisation qui veut certifier son système de management de la sécurité de l'information (SMSI). L'enjeu est de démontrer une maîtrise documentée et continue des risques, des mesures de l'Annexe A et de l'amélioration. CYBERACT centralise l'appréciation des risques, la Déclaration d'applicabilité, les politiques, les audits et les preuves dans une plateforme souveraine hébergée en France.
Chaque exigence ISO 27001, sa réponse CYBERACT.
Contexte et périmètre du SMSI (clause 4)
L'organisation doit déterminer les enjeux internes et externes, les parties intéressées et leurs exigences, puis définir le domaine d'application du SMSI.
Contexte et périmètre centralisés
CYBERACT formalise les enjeux, les parties intéressées et le périmètre du SMSI, et les relie au registre des risques et aux référentiels pré-chargés.
Leadership et politique de sécurité (clause 5)
La direction doit démontrer son engagement, établir une politique de sécurité de l'information et attribuer les rôles, responsabilités et autorités.
Gouvernance et politiques documentées
Le module de gouvernance gère la PSSI, la charte et les politiques associées, avec rôles, responsabilités et tableaux de bord CODIR pour la revue de direction.
Appréciation et traitement des risques (clause 6)
L'organisation doit définir un processus d'appréciation des risques, les identifier, les analyser et les évaluer, puis choisir des options de traitement et produire un plan de traitement.
Analyse de risques EBIOS RM et ISO 27005
CYBERACT conduit l'appréciation des risques selon EBIOS RM ou ISO 27005, alimente un registre central et formalise les plans de traitement.
Déclaration d'applicabilité et Annexe A
La SoA doit justifier l'inclusion ou l'exclusion des 93 mesures de l'Annexe A (organisationnelles, humaines, physiques, technologiques) au regard du traitement des risques.
Déclaration d'applicabilité reliée aux mesures
Le référentiel ISO 27001 pré-chargé permet de construire la SoA, de justifier chaque mesure de l'Annexe A et de la lier aux risques et aux preuves.
Audit interne (9.2) et revue de direction (9.3)
Le SMSI doit être audité à intervalles planifiés selon un programme d'audit, et la direction doit réexaminer la performance et l'adéquation du système.
Audits internes ISO 19011 outillés
Le module d'audit applique la méthode ISO 19011 pour planifier le programme d'audit, instruire les constats et préparer la revue de direction.
Amélioration continue et non-conformités (clause 10)
L'organisation doit traiter les non-conformités, engager des actions correctives et améliorer en continu l'efficacité du SMSI (logique PDCA).
Conformité continue et suivi des actions
Le contrôle continu (CCM) et la gestion des non-conformités assurent le suivi des actions correctives et l'amélioration continue, dans une boucle PDCA.
CYBERACT couvre-t-il les clauses 4 à 10 et l'Annexe A ?
Oui. La plateforme gère le système de management (contexte, leadership, risques, audit, amélioration) et permet de construire la Déclaration d'applicabilité reliée aux 93 mesures de l'Annexe A.
Puis-je réutiliser mon analyse de risques pour la SoA ?
Oui. L'appréciation EBIOS RM ou ISO 27005 alimente le registre central, qui se relie aux mesures de l'Annexe A et justifie les inclusions ou exclusions de la SoA.
Comment CYBERACT facilite-t-il l'audit de certification ?
Le module d'audit ISO 19011 structure le programme d'audit interne et les constats, tandis que les preuves et les politiques restent centralisées et traçables pour l'auditeur.
Les données restent-elles en France ?
Oui. CYBERACT est une plateforme GRC souveraine hébergée en France, avec une couche d'IA souveraine pour l'assistance à la conformité.
NIS 2
La directive NIS 2 (UE 2022/2555) élargit considérablement le périmètre des organisations soumises à des obligations de cybersécur...
DORA
Le règlement DORA (UE 2022/2554) impose au secteur financier un cadre harmonisé de résilience opérationnelle numérique. Entités fi...
RGPD
Le RGPD (UE 2016/679) impose à tout organisme traitant des données personnelles des obligations strictes de documentation, de gest...
PCI-DSS
PCI-DSS v4.0 s'applique à toute entité qui stocke, traite ou transmet des données de cartes de paiement. L'enjeu est de tenir les ...
SOC 2
SOC 2 concerne les organisations de services qui doivent rassurer leurs clients sur la maîtrise de leurs systèmes. L'enjeu est de ...
Prêt pour ISO 27001 ?
On part de votre périmètre réel et on vous montre la couverture en 30 minutes.