Référentiels
Dernière mise à jour
Dernière mise à jour
Un référentiel est une grille de lecture qui organise un ensemble d’exigences ou de recommandations en matière de protection et de gestion des risques en cybersécurité. Celui-ci peut être issu de normes réglementaires, de standards internationaux, ou de bonnes pratiques établies par des organismes spécialisés (tels que l'ANSSI).
Dans un parcours sur Qontrol, chaque référentiel est découpé en trois niveaux :
Section de référentiels
Contrôles de conformité au référentiel
Test de conformité
Selon les référentiels, la conformité est déterminée avec une rigueur variée :
Auto-déclaration : Il suffit de se déclarer conforme. Les interlocuteurs peuvent s’attendre à ce que les exigences du framework soient respectées. Aucune méthode universelle de contrôle / audit n’est établie pour s’assurer de ce fait.
Exemple : Framework ANSSI, version simplifiée.
Audit externe : Un auditeur tiers externe est spécifiquement mandaté pour mener un contrôle du respect des exigences du framework. Il émet un rapport de conformité, ou des analyses d’écart qui doivent être corrigées pour obtenir / maintenir sa conformité.
Exemple : ISO27001, SOC2
Régulateur : Un régulateur peut décider d’un contrôle et peut alors établir une analyse de conformité puis des éventuelles pénalités en cas de non-respect de la réglementation.
Exemple : RGPD, DORA
Sur Qontrol, la conformité à un référentiel est mesurée grâce à l'évaluation des tests de conformité.
Pour comprendre comment faire progresser la conformité sur Qontrol, consulter les guides suivants :
Tous nos outils sont conçus pour répondre aux défis de la gestion simultanée de multiples référentiels. En identifiant les points communs entre les exigences des référentiels et en établissant les bonnes associations, la plateforme permet d’appliquer les éléments du parcours cyber une seule fois, tout en bénéficiant des résultats tout au long du cycle de vie cyber de l’organisation.
Les Tests de conformité sont conçus pour être multi-référentiels : ils couvrent les exigences de plusieurs référentiels simultanément, éliminant les duplications et réduisant l’effort global d’évaluation. La progression sur la conformité d’un référentiel entraîne une augmentation de la conformité à d’autres référentiels en conséquence.
Les Contrôles de sécurité sont également multi-référentiels, ce qui signifie qu’une même mesure de protection peut répondre aux exigences de plusieurs cadres réglementaires. Cette centralisation permet de maximiser l’efficacité et de réduire les coûts de mise en œuvre.
Les documents, processus, et outils techniques associés aux Contrôles et Tests de conformité peuvent être partagés entre différents référentiels. Cela garantit une cohérence dans la démarche, réduit les efforts de duplication et simplifie la gestion des preuves pour les audits.
