Le template Mise en conformité (catégorie Cybersécurité) vous permet de piloter votre conformité selon plusieurs référentiels (ISO/IEC 27001:2022, NIS2, ANSSI, DGA RMC Fondamental) en évaluant chaque exigence, en attachant les preuves, puis en priorisant les remédiations (gain/effort/risque).
Description du modèle
- Centraliser les exigences issues de référentiels cybersécurité dans une seule board.
- Suivre l’état de conformité (conforme / non conforme / non applicable) et l’avancement de traitement.
- Capitaliser les éléments de preuve attendus et les preuves apportées (documents, captures, politiques, procédures…).
- Aider à la priorisation (gain, effort, risque, quickwin, ratio) et au pilotage via tableaux de bord et vues dédiées.
Référentiels couverts
Le template est pré-alimenté avec 273 exigences réparties sur 4 référentiels :
- ISO27001 : 113 exigences (20 clauses et 93 mesures de l’annexe A)
- NIS2 : 94 exigences
- ANSSI : 65 mesures
- DGA (RMC Fondamental) : 21 exigences
Chaque ligne porte un ID et un tag Référentiels pour filtrer / piloter par cadre.
Liste des attributs
| Attribut | Type | Description / usage |
|---|---|---|
| ID | Texte | Identifiant unique de l’exigence (ex : ANSSI-1, 8.14, NIS2-55…). |
| Exigence | Texte | Formulation courte de l’exigence / clause. |
| Description | Texte riche | Contexte / explication de l’exigence (souvent pré-rempli). |
| Description détaillée | Texte riche | Détails complémentaires (souvent pré-remplis selon le référentiel). |
| Référentiels | Tag (multi) | ISO27001, NIS2, ANSSI, DGA. |
| Catégorie | Tag | Domaine de l’exigence (ex : organisationnel, IAM, incidents, données…). |
| Chantier | Tag | Regroupement “workstreams” de remédiation (ex : sensibilisation, gestion incidents, mises à jour, durcissement…). |
| Applicabilité | Tag | Oui / Non |
| Conformité | Tag | Statut : Conforme / Non conforme. Statut enrichi :Non conforme (mineur) / Non conforme (majeur) / Opportunité d’amélioration / Point fort / Point sensible. |
| Avancement | Nombre | Progression (souvent utilisée en %). |
| Responsable | Utilisateur (multi) | Un ou plusieurs owners de l’exigence / action de mise en conformité. |
| Mise à jour | Date | Date de dernière mise à jour (suivi). |
| Échéance de conformité | Date | Date prévisionnelle de traitement. |
| Eléments de preuve (attendu) | Texte riche | Preuves attendues (souvent pré-remplies). |
| Eléments de preuve (apportés) | Fichiers (multi) | Vos preuves réelles : documents, exports, captures, procédures… |
| Réponses types | Texte riche | Aide au positionnement (notamment sur DGA) : exemples / niveaux de réponse. |
| Notes | Texte riche | Commentaires d’audit, décisions, éléments de contexte, arbitrages. |
| Gain | Nombre | Valeur / bénéfice attendu de la mise en conformité (à définir chez vous). |
| Effort | Nombre | Charge estimée. |
| Risque | Nombre (0–3) | Niveau de risque (score). |
| Ratio Gain Effort | Nombre | Indicateur rapide pour arbitrer. |
| Quickwin | Tag | Marqueur “quick win” (selon votre convention). |
| Priorité | Tag | Immédiat / Urgent / Élevé / Haut / Normal / Bas. |
| Météo | Tag (icônes) | Indicateur visuel (☀️ ⛅ ☁️ 🌧️ ⛈️). |
| Tendance | Tag (icônes) | Indicateur d’évolution (↗ / → / ↘). |
Vues proposées
- Formulaire (ListDetail) : Permet la saisie / revue d’une exigence en mode “fiche”.
- Vues d’évaluation / scoring (Card) :
- Evaluation du gain, des efforts, des risques, rapport gain/effort pour chaque mesure
- Vues de priorisation (Card) :
- Présentation des mesures par catégorie, par chantier, par échéance de pilotage
- Projets et météo (Grid) : lecture plus “pilotage” avec météo/tendance.
- Suivi (Grid) : vue tableau pour filtrer, mettre à jour et suivre au quotidien.
- Suivi feuille de route (Metrolines) : vue “roadmap” pour structurer et communiquer le plan de mise en conformité.
- Tableaux de bord globaux (Dashboard) :
- global (conformité), global (avancement)
- Tableaux de bord par référentiel (Dashboard) :
- ISO 27001:2022, ANSSI, NIS2, DGA RMC Fondamental
- Rapports :
- DDA (demande d’applicabilité)
- Rapport d’audit (interne ou externe)
Démarrage rapide
Créer une Board à partir du template
- Dans l’espace de travail de votre choix, cliquez sur « Ajouter un nouveau board ».
- Accédez à la section CYBERSECURITE et recherchez le template « Mise en conformité ».
- Pour avoir toutes les fonctionnalités du template, vous devez importer les données de test.
Structure de la board
Chaque ligne représente une exigence (ou clause/mesure) à évaluer.
- Vous renseignez votre statut de conformité, votre avancement, et vous associez des responsables.
- Vous joignez vos preuves (fichiers), et complétez vos notes d’évaluation.
- Vous utilisez ensuite les vues “évaluation / priorisation” pour décider quoi traiter en premier.
- Filtrez sur le(s) référentiel(s) qui vous concernent (tag Référentiels).
- Pour chaque exigence : compléter la Conformité, un Responsable, une Échéance, et un premier niveau d’Avancement.
- Ajoutez vos preuves apportées (fichiers) et complétez vos Notes au fil de l’eau.
- Utilisez les vues Évaluation / Priorisation pour décider quoi traiter en premier (gain/effort/risque/quickwin).
- Pilotez en comité avec les dashboards (global + par référentiel) et la feuille de route.
Importer vos exigences (optionnel)
Le template inclut des modèles d’import CSV (clé = ID) pour alimenter ou enrichir la base (ISO27001, DGA, ANSSI, NIS2).
Bonnes pratiques
- Gardez un rituel : à chaque revue (par référent / priorité), mettez à jour les champs clés : Conformité, Avancement, Échéance et Mise à jour.
- Normalisez vos critères (Gain / Effort / Risque) au sein de l’équipe (même échelle, mêmes règles).
- Limitez les preuves à l’utile : 1 à 3 pièces “béton” par exigence, plutôt qu’un dossier fourre-tout.
Usages spécifiques
Revue des exigences
Ces vues peuvent être utilisées dans le cadre d’un audit interne ou externe. Elles permettent d’évaluer l’applicabilité et la conformité des mesures par rapport au référentiel sélectionné.
L’attribut conformité permet à un auditeur de pouvoir estimer cette valeur suivant le référentiel choisi. Dans le cas spécifique de l’ISO 27001 les conformités du référentiel son implémentés (Non conforme (mineur) / Non conforme (majeur) / Opportunité d’amélioration / Point fort / Point sensible).
Les vues formulaires permettent la saisie et la revue des exigences sous forme de fiches détaillées pour garantir la précision et la traçabilité.
Un formulaire unique est proposé par référentiel, regroupant les information spécifiques à celui-ci.
Les vues en tableau offrent une perspective plus globale, adaptée à un suivi macro.
Evaluation des mesures
La partie évaluation va permettre au RSSI d’analyser chaque mesure et de la mettre à jour avec des attributs tels que :
- La date de mise à jour et d’échéance de pilotage
- Un tag de conformité (en adéquation avec un référentiel choisi)
- Niveau d’avancement et priorité
- Affectation d’un responsable, d’une échéance ou d’un chantier.
Des vues pré-configurées vont permettre d’avoir une priorisation suivant les critères suivants :
- Evaluation des risques
- Evaluation du gain (ce que peut apporter la mise en place de la mesure)
- Evaluation de l’effort (ce que peut couter la mise en place de la mesure)
- Rapport gain/effort (va permettre de déterminer les actions les plus efficientes à mettre en œuvre)
Les échelles d’évaluation peuvent être déterminées par le RSSI.
Construction de la feuille de route
Les vues de construction de la feuille de route vont permettre au RSSI de planifier les actions à mettre en place. Il aura ainsi une vue panoramique de toutes les mesures à mettre en place :
- Par échéance de date (comité mensuel ou trimestriel par exemple)
- Par chantier, s’il regroupe les mesures par thématique (sensibilisation, gouvernance, sauvegarde …)
Ces vues permettent d’avoir un panorama complet des mesures à mettre en œuvre et de programmer leur planification sur une durée déterminée à la suite d’un audit ou d’un diagnostic.
Suivi de la feuille de route
Cette vue va permettre d’avoir un suivi linéaire et temporel du projet initial.
L’interactivité et les options à disposition vont permettre de replanifier, reprioriser les mesures au fil de l’évolution du projet suivant les contraintes rencontrées.
Une vue orientée « météo et tendances » est également proposée afin d’avoir une vue synthétique sur l’état des mesures
La vue Projets et météo est orientée pilotage avec des indicateurs de tendance et de météo pour suivre l’état global des projets.
Tableaux de bord
Tableaux de bord globaux
Deux vues de tableaux de bord (globaux) regroupent des indicateurs clés pour suivre la conformité et l’avancement global des initiatives.
Tableaux de bord par référentiel
Ces vues offrent une analyse détaillée par norme (ISO 27001:2022, ANSSI, NIS2, DGA RMC Fondamental) et permettent de suivre l’évolution de la conformité en fonction des jalons définis dans le temps.
Documents complémentaires
- DDA (demande d’applicabilité)
- Rapport d’audit
Demande d’applicabilité
La vue « tableau » de la DDA permet de générer un fichier Excell exploitable pour une certification ISO/IEC 27001 :2022. Elle génère la liste de tous les contrôles de sécurité de l’annexe A et leur applicabilité (ou non) avec les justifications d’usages.
Rapport d’audit
La vue « rapport d’audit » va permettre à un auditeur de compléter les différentes exigences de conformité et d’applicabilité et d’y joindre des notes et des documents. Il pourra également générer un livrable sous forme de PPT à destination d’un tiers
La vue Rapport d’audit contient les éléments clés nécessaires à l’élaboration d’un rapport de conformité.
Les champs “Notes” peuvent être remplis par les différents écarts présents (par rapport à l’exigence).
Ces vues permettent d’avoir un panorama complet des mesures à mettre en œuvre et de programmer leur planification sur une durée déterminée à la suite d’un audit ou d’un diagnostic.