Référentiels

Un référentiel est une grille de lecture qui organise un ensemble d’exigences ou de recommandations en matière de protection et de gestion des risques en cybersécurité. Celui-ci peut être issu de normes réglementaires, de standards internationaux, ou de bonnes pratiques établies par des organismes spécialisés (tels que l'ANSSI).

Dans un parcours sur Qontrol, chaque référentiel est découpé en trois niveaux :

• Section de référentiels

• Contrôles de conformité au référentiel

• Test de conformité

Conformité au référentiel

Selon les référentiels, la conformité est déterminée avec une rigueur variée :

• Auto-déclaration : Il suffit de se déclarer conforme. Les interlocuteurs peuvent s’attendre à ce que les exigences du framework soient respectées. Aucune méthode universelle de contrôle / audit n’est établie pour s’assurer de ce fait.

  • Exemple : Framework ANSSI, version simplifiée.

• Audit externe : Un auditeur tiers externe est spécifiquement mandaté pour mener un contrôle du respect des exigences du framework. Il émet un rapport de conformité, ou des analyses d’écart qui doivent être corrigées pour obtenir / maintenir sa conformité.

  • Exemple : ISO27001, SOC2

• Régulateur : Un régulateur peut décider d’un contrôle et peut alors établir une analyse de conformité puis des éventuelles pénalités en cas de non-respect de la réglementation.

  • Exemple : RGPD, DORA

Sur Qontrol, la conformité à un référentiel est mesurée grâce à l'évaluation des tests de conformité.

Pour comprendre comment faire progresser la conformité sur Qontrol, consulter les guides suivants :

• Vue référentiel

• Test de conformité

Ressources réutilisables

Les documents, processus, et outils techniques associés aux Tests de conformité peuvent être partagés entre différents référentiels. Cela garantit une cohérence dans la démarche, réduit les efforts de duplication et simplifie la gestion des preuves pour les audits.