Made in Belgium

Par où lire, selon votre rôle ?

Le manuel est complet ; voici le chemin le plus utile selon votre fonction. Cliquez votre rôle :

Comment tout s'articule

Avant d'entrer dans le détail des cinq piliers, voici la vue d'ensemble : une seule méthode (le cycle ISO Plan-Do-Check-Act), pilotée par la gouvernance au centre, qui relie les méthodologies et normes (ISO 27001/27002/27005, NIS2 CyFun & ReCyF, NIST CSF, EBIOS RM) aux fonctions concrètes de l'outil — le tout unifié par le moteur de transversalité (132 correspondances).

COMMENT TOUT S'ARTICULE Méthodologie, normes & frameworks, fonctionnalités Un seul effort, trois domaines, tous les référentiels. Méthodologie / norme Fonction de l'outil PLAN Planifier ISO 27001 cl.4-7 & 6.1 DO Déployer ISO 27001 cl.8 CHECK Contrôler ISO 27001 cl.9 ACT Améliorer ISO 27001 cl.10 cycle d'amélioration continue GOUVERNANCE l'axe qui pilote le cycle diriger · décider · mesurer ISO 27001 cl.8-10 · NIS2 art.20 ACT · Amélioration ISO 27001 §10.1 §10.2 — NC Plan d'actions — 6 types de lien Non-conformités (détection → clôture) Budget cybersécurité PLAN · Gestion du risque ISO 27005 EBIOS RM NIST SP 800-30 Analyse des risques — wizard 8 étapes Matrice d'impacts — 3 grilles Déclaration d'applicabilité (SoA) — 93 Actifs essentiels & parties prenantes CHECK · Conformité ISO 27001 §9 CyFun 2025 ReCyF NIST CSF 2.0 Dashboard — Score SMSI consolidé Contrôles NIS2 CyFun — 218 exigences Mesures ReCyF — 152 mesures Audits · KPI · Revues de direction DO · Contrôles ISO 27002 — 93 Maturité CMM 1-5 Contrôles ISO 27002 — 93 mesures Menaces (traitement ISO 27005) Socle de sécurité NIS2 MOTEUR DE TRANSVERSALITÉ Corrèle sans recopier — chaque référentiel garde son évaluation souveraine ISO 27002 Frameworks NIS2 NIST CSF 2.0 132 correspondances couvre 97 équivalent 9 lié 26 Signale les conflits de statut entre référentiels mappés. un contrôle documenté une fois éclaire ISO ET NIS2 — l'effort compte double. NATIFS ISO 27001 ISO 27002 NIS2 CyFun CCB ReCyF ANSSI CORRESPONDANCES DORA PCI DSS 5 natifs évaluables + 2 correspondances croisées
Comment tout s'articule
Méthodologie, normes & frameworks, fonctionnalités
Un seul effort, trois domaines, tous les référentiels.
PLAN DO CHECK ACT GOUVERNANCE l'axe du cycle ISO 27001 cl.8-10
cycle d'amélioration continue (PDCA)
PLAN · Gestion du risque · cl.4-7 & 6.1
ISO 27005EBIOS RMNIST SP 800-30RGPD
  • Analyse des risques — wizard 8 étapes
  • Matrice d'impacts — 3 grilles
  • Déclaration d'applicabilité (SoA) — 93 contrôles
  • Actifs essentiels & parties prenantes
DO · Contrôles · cl.8
ISO 27002 — 93Maturité CMM 1-5
  • Contrôles ISO 27002 — 93 mesures
  • Menaces (traitement ISO 27005)
  • Socle de sécurité NIS2
CHECK · Conformité · cl.9
ISO 27001 §9CyFun 2025ReCyFNIST CSF 2.0
  • Dashboard — Score SMSI consolidé
  • Contrôles NIS2 CyFun — 218 exigences
  • Mesures ReCyF — 152 mesures
  • Audits · KPI · Revues de direction
ACT · Amélioration · cl.10
ISO 27001 §10.1§10.2 — NC
  • Plan d'actions — 6 types de lien
  • Non-conformités (détection → clôture)
  • Budget cybersécurité
MOTEUR DE TRANSVERSALITÉ
132
correspondances ISO 27002 ↔ Frameworks NIS2 ↔ NIST CSF 2.0
couvre 97équivalent 9lié 26
l'effort compte double
Corrèle sans recopier — chaque référentiel garde son évaluation souveraine
NATIFS ISO 27001ISO 27002NIS2CyFun CCBReCyF ANSSI CORRESPONDANCES DORAPCI DSS

1. La philosophie : un SMSI, deux boussoles

Petit lexique (les sigles utilisés dans ce manuel) :
  • SMSI : Système de Management de la Sécurité de l'Information (le dispositif de pilotage décrit par l'ISO 27001).
  • SoA : Statement of Applicability — la Déclaration d'applicabilité des 93 contrôles (clause 6.1.3).
  • CMM : Capability Maturity Model — échelle de maturité en 5 niveaux (Initial → Répétable → Défini → Géré → Optimisé).
  • CIA : Confidentiality, Integrity, Availability — les trois critères de sécurité (Confidentialité, Intégrité, Disponibilité).
  • RTO / RPO : durée maximale d'interruption tolérée (RTO) et perte de données maximale acceptable (RPO).
  • PDCA : Plan-Do-Check-Act — la boucle d'amélioration continue au cœur de l'ISO 27001.

La plupart des organisations européennes doivent aujourd'hui répondre à deux logiques complémentaires : bâtir un système de management de la sécurité (ISO/CEI 27001 pour l'ossature, ISO/CEI 27002 pour les 93 mesures concrètes) et démontrer leur conformité réglementaire NIS2 (via CyFun 2025 en Belgique ou le ReCyF de l'ANSSI en France, tous deux adossés au NIST CSF 2.0). Cyber-Assistant est conçu dès l'origine pour mener ces deux chantiers en même temps, dans le même outil, sans double saisie ni tableur parallèle.

Un cockpit pour les trois missions du RSSI

1. Gouverner par le risque

Dashboard, KPI, plan d'actions, budget cyber, revues de direction, parties prenantes — le pilier Gouvernance.

2. Prouver la conformité

ISO 27001/27002, SoA, NIS2 CyFun et ReCyF, preuves et exports d'audit — les piliers Fondations, Contrôles et NIS2.

3. Maîtriser les analyses

ISO 27005, NIST SP 800-30, PESTEL, EBIOS RM, probabilité × gravité, matrices d'impacts — le pilier Risques projets.

Le versant ISO — le système de management

L'ISO 27001 structure votre SMSI (contexte, leadership, risques, amélioration — clauses 4 à 10, suivies dans la Revue normative) et l'ISO 27002 fournit les 93 mesures de l'Annexe A, évaluées en statut, maturité CMM et efficacité. C'est le versant certification : SoA, audits, revues de direction, non-conformités.

Le versant NIS2 — l'obligation réglementaire

La directive (UE) 2022/2555 impose des mesures de gestion des risques cyber. Cyber-Assistant embarque les deux déclinaisons nationales : CyFun 2025 (CCB Belgique, 218 exigences, double maturité documentation/implémentation, verdict calculé sur les seuils officiels du CCB) et ReCyF (ANSSI France, 152 mesures, statuts de conformité et mesures alternatives). C'est le versant autorité de contrôle.

Le pont entre les deux mondes

Le cœur différenciant de l'application est son moteur de transversalité : un graphe de 132 correspondances pondérées entre les contrôles ISO 27002 et les catégories CyFun/NIST CSF 2.0, fondé sur les travaux du CCB et de l'ENISA. Chaque relation porte son type (Équivalent, Couvre, Couvert par, Lié), son pourcentage de couverture et sa note justificative. Le moteur fonctionne dans les deux sens et affiche en direct l'état d'implémentation réel de chaque côté — y compris les conflits de statut (un contrôle ISO « Vérifié » face à une catégorie CyFun encore vide, par exemple).

ISO 27002 93 mesures Référentiel central CyFun 2025 NIS2 Belgique (CCB) ReCyF NIS2 France (ANSSI) NIST CSF 2.0 ISO 27001 SMSI — clauses 4-10
Honnêteté méthodologique : le moteur corrèle, il ne recopie pas. Documenter un contrôle ISO ne remplit pas automatiquement les exigences CyFun mappées : chaque référentiel garde son évaluation souveraine (c'est ce qu'attend un auditeur). En revanche, le mapping vous montre instantanément où votre effort ISO couvre déjà NIS2, où sont les écarts, et où les statuts divergent — c'est là que se joue le gain de temps.

La nature réelle du mapping — à assumer devant un auditeur

Les 132 correspondances s'appuient sur les crosswalks publics ISO 27002:2022 ↔ NIST CSF 2.0 et sur la structuration CyFun 2025 du CCB ; les pourcentages de couverture et types de relation résultent d'une expertise éditoriale (Cyber-Assistant), non d'un mapping certifié par une autorité. Chaque relation porte sa note justificative : traitez le mapping comme une aide à la priorisation revue par vos soins, pas comme une preuve de conformité opposable. C'est plus solide parce que c'est plus honnête.

Effort valorisé deux fois

Chaque mesure ISO documentée est visible dans la couverture NIS2 via le mapping — vous priorisez les contrôles qui servent les deux conformités.

Cohérence surveillée

Le détecteur de conflits signale les statuts divergents entre référentiels — les incohérences se voient avant l'audit, pas pendant.

Un score, deux mondes

Le Score SMSI du tableau de bord pondère ISO (40 %), NIS2 (30 %) et maîtrise des risques (30 %) — la direction lit une seule jauge.

Deux déclinaisons nationales

Belgique (CyFun, maturité + verdict aux seuils officiels du CCB) ou France (ReCyF, conformité ANSSI avec mesures alternatives) : vous choisissez, l'outil s'adapte — onglets, radars, scores et exports.

Le menu incarne la méthode

La barre de navigation n'est pas un simple sommaire : ses 5 piliers suivent la logique de construction d'un SMSI conforme, du socle vers la preuve réglementaire. Ce manuel suit exactement le même ordre — chaque chapitre porte la couleur de son pilier dans le menu.

2. Prise en main

Combien de temps pour être opérationnel ? Quelques ordres de grandeur, à titre indicatif et très variables selon votre maturité :
  • SoA (93 contrôles) : comptez une demi-journée à une journée pour un premier passage « applicable / non applicable + source », puis un affinage continu.
  • Évaluation CyFun IMPORTANT (133 exigences, double maturité) : 1 à 3 jours de travail collectif ; ESSENTIAL (218 exigences) : prévoyez plusieurs ateliers.
  • Analyse de risques d'un projet via le wizard : 20 à 45 minutes une fois le contexte et l'architecture connus.
Ces repères servent à cadrer un projet, pas à promettre un délai : un premier passage n'est pas un dossier d'audit finalisé.

0 serveur externe

Vos données restent chez vous — poste de travail ou votre propre serveur.

0 installation

Un fichier HTML dans un navigateur suffit. Fonctionne hors ligne.

0 donnée qui sort

Privacy by Design par construction : aucun compte, aucun cloud, aucun tracker.

Intérêt méthodologique

Cyber-Assistant fonctionne entièrement dans votre navigateur : aucune installation, aucun cloud, aucune dépendance externe — même les bibliothèques graphiques sont embarquées. Vos données restent sur votre poste (ou sur votre serveur en mode collaboratif) : c'est le principe de souveraineté des données, appliqué à l'outil de pilotage lui-même.

L'assistant de premier lancement

Au premier démarrage, un assistant vous configure en une passe — chaque choix reste modifiable ensuite dans les Paramètres :

1
Langue

Français ou English — l'interface complète, le manuel et les exports suivent ce choix.

2
Référentiels de sécurité

ISO 27001/27002 sont toujours actifs ; vous activez les référentiels complémentaires selon votre périmètre.

3
Référentiel NIS2 national

Belgique — CyFun 2025 (CCB) : choix du niveau d'assurance (BASIC, IMPORTANT, ESSENTIAL) et de la langue des exigences (EN/FR) ; ou France — ReCyF (ANSSI) : choix du degré Entité Importante (76 mesures) ou Entité Essentielle (152 mesures).

4
Protection en écriture

En mode local : création obligatoire du mot de passe d'édition (18 caractères min., majuscule, minuscule, caractère spécial). En mode serveur : création du premier compte administrateur, vérification technique du serveur et acquittement de l'usage en réseau local.

5
Découverte de la transversalité

L'assistant présente le hub ISO 27002 ↔ NIS2/NIST et la fonction multi-entités avant de vous laisser la main.

Étapes complémentaires selon le contexte : en édition sous licence, une étape Licence affiche l'essai (14 jours) ou demande une clé CSI2-… (bloquante si l'essai est expiré). En mode serveur s'ajoutent la vérification technique du serveur, un avertissement d'usage en réseau local (acquittement obligatoire) et la création du premier compte administrateur. En édition Community, un écran rappelle que les référentiels ouverts (OSC/OSM) ne sont pas les textes ISO officiels. Selon votre parcours, l'assistant enchaîne ainsi jusqu'à une quinzaine d'écrans conditionnels — chacun reste modifiable ensuite dans les Paramètres.
Quel niveau d'assurance choisir ? Ce n'est pas un curseur d'ambition, c'est votre statut réglementaire. En Belgique, le niveau CyFun découle de votre classification NIS2 par le CCB (entités « essentielles » → ESSENTIAL, « importantes » → IMPORTANT ; BASIC sert de point d'entrée ou de périmètre volontaire). En France, Entité Essentielle (152 mesures) ou Entité Importante (76 mesures) suit de même votre désignation. En cas de doute, partez du niveau supérieur — rien n'est perdu au downgrade, les évaluations hors périmètre sont archivées — et vérifiez votre statut auprès de l'autorité.

Vos premiers pas

Le fil directeur (un seul workflow, réutilisé partout) : les risques précèdent la SoA — c'est la logique de la clause 6.1 : on justifie les contrôles applicables par une première appréciation du risque, pas l'inverse.
Parties prenantes Actifs essentiels Menaces & Risques SMSI SoA Contrôles ISO Mapping NIS2 Plan d'actions Exports
Astuce clef — commencez par les parties prenantes : ce registre (clause 4.2) alimente automatiquement les listes déroulantes « Responsable » du plan d'actions et des non-conformités, et ses renommages se propagent en cascade aux risques, menaces et audits. Le renseigner en premier vous évite des ressaisies dans toute l'application.
1
Explorez librement, puis repartez de zéro

Saisissez quelques éléments d'essai pour sentir les liaisons entre modules (une démo en ligne complète existe aussi sur cyber-assistant.com). Quand vous démarrez pour de bon : Paramètres → Zone Danger → Réinitialisation — un snapshot de sécurité est créé automatiquement avant l'effacement.

2
Passez en mode édition

L'application démarre toujours en lecture seule. Cliquez sur Mode Édition dans l'en-tête (mot de passe local, ou verrou d'édition en mode serveur).

3
Laissez la sauvegarde travailler

Sauvegarde automatique toutes les 30 secondes (+ avant fermeture et à la perte de focus), indicateur « Enregistré à HH:MM:SS » dans l'en-tête, Ctrl+S pour forcer.

4
Exportez une sauvegarde complète

Paramètres → Données → Exporter (.json) : fichier intégral horodaté, avec hash d'intégrité, réimportable à tout moment.

Le mode local en détail : fonctionnement & points d'attention

Le mode local est le mode par défaut : il n'exige ni serveur, ni compte, ni connexion. Bien le comprendre évite la seule vraie mauvaise surprise possible — la perte de données par méconnaissance du stockage navigateur.

Comment ça fonctionne

  • Tout se passe dans le navigateur. L'application est un fichier HTML autonome : les bibliothèques (graphiques, PDF…) sont embarquées, aucune requête réseau n'est émise, aucun compte ni cloud n'est requis, aucun tracker n'est chargé.
  • Vos données vivent dans le localStorage. C'est le coffre local du navigateur, propre à l'origine (le fichier ou le domaine d'où l'app est ouverte) et au profil de navigateur utilisé. La sauvegarde est automatique toutes les 30 secondes, avant fermeture et à la perte de focus.
  • Fonctionne hors ligne. Une fois le fichier ouvert, plus besoin d'Internet : idéal en environnement cloisonné (air-gap), en déplacement, ou sur un poste isolé.
  • Protection en écriture. L'app démarre toujours en lecture seule ; le passage en édition exige le mot de passe local (18 caractères minimum, dérivé côté client par PBKDF2 — il ne quitte jamais le poste et ne déchiffre rien de sensible côté serveur puisqu'il n'y a pas de serveur).
À retenir absolument : en mode local, vos données sont liées à ce navigateur, sur ce poste. Vider le cache ou les « données de site », utiliser une fenêtre privée / navigation privée (effacée à la fermeture), changer de navigateur, de profil ou d'ordinateur : dans tous ces cas, l'application repart d'un espace vierge. Exportez régulièrement une sauvegarde .json (Paramètres → Données) et rangez-la ailleurs que sur le poste — ou passez en mode serveur pour une centralisation durable.

Les points d'attention, un par un

  • Pas de synchronisation entre appareils. Les données ne suivent pas automatiquement d'un poste ou d'un navigateur à l'autre. Pour transférer votre SMSI ailleurs : exportez un .json ici, réimportez-le là-bas (ou passez en mode serveur, centralisé).
  • Effacement = perte. Un nettoyage de cache, une réinstallation du navigateur ou une session privée fermée effacent le localStorage. La sauvegarde .json (horodatée, avec hash d'intégrité) et les snapshots locaux (points de restauration, Paramètres → Données) sont votre filet.
  • Limite de taille. Le localStorage est plafonné par le navigateur (de l'ordre de 5 Mo par origine). Un SMSI très fourni — beaucoup de risques, d'actifs, d'analyses de risques ou plusieurs entités — peut s'en approcher. Une jauge de stockage (Paramètres) vous situe et vous alerte ; au-delà, allégez (archivage, exports) ou passez en mode serveur, sans cette limite.
  • Un seul utilisateur à la fois. Le mode local n'a ni comptes nominatifs ni édition concurrente : c'est un outil mono-poste. Pour travailler à plusieurs et tracer qui modifie quoi (clause 5.3), le mode serveur est fait pour ça.
  • Mettre à jour l'outil ne touche pas vos données. Remplacer le fichier HTML par une version plus récente conserve le localStorage. Après une mise à jour ou une restauration, lancez les auto-tests (Paramètres) : tout vert = intégrité confirmée.
Quand passer en mode serveur ? Dès que vous travaillez à plusieurs, devez tracer nominativement les modifications, pilotez plusieurs entités, ou approchez la limite de stockage du navigateur. La bascule est prévue et vos données locales peuvent être reprises : voir 11. Mode serveur & multi-entités.

Diagnostic express : par où commencer ?

Trois réponses pour orienter votre démarrage — référentiel NIS2, périmètre et point de départ :

Par où commencer ?

Vos réponses restent dans votre navigateur — rien n'est envoyé.

3. L'interface

Intérêt méthodologique

L'écran est organisé en trois zones : la barre d'en-tête (pilotage permanent), le ruban de navigation à deux lignes (5 piliers thématiques, puis les onglets du pilier sélectionné) et la recherche globale. La construction suit l'esprit du cycle PDCA sans l'enfermer : les Fondations et l'appréciation du risque relèvent surtout du Plan ; la mise en œuvre et l'évaluation des Contrôles couvrent Do et Check ; les revues, audits, KPI et non-conformités de la Gouvernance portent le Check et l'Act. La plupart des modules servent plusieurs phases — c'est voulu : un SMSI n'est pas une chaîne linéaire mais une boucle d'amélioration continue.

Vue d'ensemble du tableau de bord Cyber-Assistant
Le tableau de bord SMSI — score global pondéré, alertes et radars ISO/NIS2

Barre d'en-tête

Manuel d'utilisation

Ouvre ce manuel complet, bilingue FR/EN.

Mode Édition

Bascule lecture seule ↔ édition. Mot de passe en local, verrou d'édition global en mode serveur.

Traçabilité

Journal horodaté de toutes les opérations (qui, quoi, quand) — filtrable, consultable en un clic.

Paramètres

Configuration, sécurité, données, référentiels, utilisateurs, multi-entités.

Thème

Cycle entre 4 thèmes : Clair, Sombre, Poudre (défaut), Bleu. Les graphiques suivent.

Indicateur de sauvegarde

« Enregistré à HH:MM:SS » — l'autosave tourne toutes les 30 s.

Journal de traçabilité — opérations horodatées et filtrables
La traçabilité — journal horodaté filtrable sur 18 catégories

Traçabilité — journal d'audit

ISO 27002 — 8.15 (journalisation)

Chaque ajout, modification, suppression, import, export ou changement de configuration est horodaté : colonnes Date · Utilisateur · Action · Catégorie · Cible · Détails. Six types d'action (Ajout, Modification, Suppression, Import, Export, Configuration) et 18 catégories couvrant tous les registres. Filtre par type d'action et recherche plein texte sur la cible ; bouton Effacer l'historique (verrouillé en lecture seule). En mode serveur, l'utilisateur tracé est le compte JWT ; en local, « utilisateur local ».

Plafond selon l'édition : le journal conserve les 100 dernières entrées (mode serveur / éditions Corporate), 30 en démo, 10 en édition Community locale — au-delà les plus anciennes sont purgées (rotation). Ne le présentez pas comme un journal de conformité exhaustif en Community.
Second journal, côté serveur : Paramètres → Sécurité expose un journal de sécurité serveur distinct (admin) — connexions réussies/échouées, création/suspension de comptes, changements de rôle, verrous, activations de licence, détection de brute-force… avec colonne IP et pagination « Charger plus ».

En mode serveur s'ajoutent : l'indicateur de présence (« N connecté(s) » avec les noms en infobulle), l'identité du compte avec bouton de déconnexion, et le bandeau de mode qui affiche en continu qui détient le verrou d'édition (« Édité par {nom} » avec compte à rebours d'expiration).

Le bandeau de mode (serveur) : sous l'en-tête, un bandeau affiche en continu l'état d'édition — « Lecture seule », « Mode édition actif » ou « Édité par {nom} » avec compte à rebours avant expiration du verrou. Un administrateur dispose du bouton « Reprendre la main » (confirmation : les modifications non enregistrées du détenteur seront perdues). S'y ajoutent, le cas échéant, les bandeaux d'essai (« N jours restants sur 14 ») ou de licence expirée.
Les quatre thèmes de l'interface : Clair, Sombre, Poudre et Bleu
Thèmes Clair, Sombre, Poudre et Bleu — les graphiques suivent

Le ruban de navigation à deux lignes

Ligne 1 : les 5 piliers colorés. Ligne 2 : les onglets du pilier sélectionné. Un point sur un pilier indique que l'onglet actif s'y trouve. Les onglets NIS2 affichés dépendent du référentiel national choisi (CyFun : Contrôles NIS2 + Socle de sécurité ; ReCyF : Mesures ReCyF).

PilierOngletsAncrage
1. Fondations du SMSI Déclaration d'applicabilité, Revue normative, Menaces, Actifs essentiels, Parties prenantes, Structure documentaire ISO 27001 clauses 4-7
2. Gouvernance du SMSI Dashboard, Risques SMSI, Plan d'actions, Non-conformités, Revues de direction, KPI, Budget Cybersécurité ISO 27001 clauses 8-10
3. Contrôles du SMSI Contrôles ISO27002, Audits, Mapping transversal ISO 27002:2022 — Annexe A
4. Gestion des risques projets Analyse des risques, Risques projets, Matrice d'impacts ISO 27005:2022, EBIOS RM, NIST SP 800-30
5. Conformité NIS2 Contrôles NIS2 ou Mesures ReCyF, Socle de sécurité NIS2, CyFun 2025, ReCyF, NIST CSF 2.0

Mode lecture / mode édition

Mode lecture

  • Actif par défaut à chaque démarrage — aucune modification accidentelle possible
  • Idéal pour consulter en comité ou pendant un audit
  • En mode serveur, l'écran se rafraîchit périodiquement : vous voyez les modifications des autres en quasi temps réel

Mode édition

  • Déverrouille toutes les modifications, sauvegarde automatique toutes les 30 s
  • Local : mot de passe d'édition (politique 18+/maj/min/spécial, haché SHA-256)
  • Serveur : verrou d'édition global — un seul éditeur à la fois par périmètre, libération automatique après 5 min d'inactivité

Recherche globale

La barre centrale indexe tous les registres : actions, risques, menaces, NC, audits, revues, parties prenantes, documents, contrôles ISO, exigences CyFun, mesures ReCyF, KPI, actifs, risques projets, SoA, revue normative, lignes budgétaires, socle, analyses de risques et matrices d'impacts. Recherche insensible aux accents, résultats classés par pertinence avec termes surlignés ; un clic navigue vers le module et ouvre la fiche quand c'est possible. Enter lance la recherche, Escape vide le champ.

La recherche renvoie jusqu'à 30 résultats classés par pertinence. En mode multi-entités, elle est limitée au périmètre chargé (une bannière l'indique) : utilisez la console « Toutes les entités » pour une vue consolidée.

Point fort — zéro friction

Tout objet du SMSI est à deux gestes : taper trois mots, cliquer le résultat. La recherche s'étend automatiquement à tout nouveau registre ajouté à l'application.

Pilier 1 / 5 du menu

Fondations du SMSI

27001 ≠ 27002 — et vous documentez les deux

La Revue normative évalue votre système de management (clauses 4-10 : avez-vous un contexte, un leadership, un processus de revue ?). Les Contrôles ISO 27002 évaluent vos mesures de sécurité concrètes (les 93 contrôles de l'Annexe A). Un certificat ISO 27001 exige les deux : un SMSI qui tourne (Revue normative) et des mesures en place et justifiées (SoA + Contrôles). Comptez la Revue normative comme votre auto-diagnostic « suis-je certifiable ? » et les Contrôles comme votre « qu'est-ce que je protège, et comment ? ».

Cas d'usage — « L'auditeur arrive dans 3 semaines »

Situation : votre certificateur demande la SoA et les preuves. Dans l'outil : Contrôles ISO → renseignez statut + preuve, la SoA dérive l'état seule → PDF Audit (bloc signatures) en un clic. 93 lignes justifiées, zéro tableur.

Intérêt méthodologique

Les fondations répondent aux clauses 4 à 7 de l'ISO 27001:2022 (contexte, leadership, planification, support). Sans inventaire d'actifs, l'analyse de risques est incomplète ; sans SoA justifiée, l'auditeur ne peut pas valider votre périmètre ; sans registre des parties prenantes, les responsabilités restent orales. Côté NIS2, ces mêmes registres nourrissent les fonctions Gouverner et Identifier du NIST CSF 2.0 (contexte organisationnel, gestion des actifs, rôles et responsabilités).

Workflow recommandé (le fil directeur) : Parties prenantes → Actifs essentiels → Menaces & Risques SMSI → Déclaration d'applicabilité → Structure documentaire. Les risques précèdent la SoA : c'est l'appréciation du risque qui justifie les contrôles applicables (clause 6.1). Chaque registre s'appuie sur le précédent.

Déclaration d'applicabilité (SoA)

ISO 27001 — clause 6.1.3 Annexe A — 93 contrôles

La SoA (Statement of Applicability) est le premier document qu'un auditeur de certification demande : pour chacun des 93 contrôles de l'Annexe A, vous déclarez s'il est applicable, d'où vient l'exigence, où en est l'implémentation, qui en est propriétaire, quelles preuves existent et quels risques le justifient.

ChampValeurs exactes
ApplicableOui / Non — le motif d'exclusion est effacé automatiquement si le contrôle redevient applicable
Source de l'exigenceRisque identifié · Exigence légale · Exigence contractuelle · Bonne pratique · Exigence réglementaire · Exigence métier — exactement la traçabilité attendue par la clause 6.1.3
État d'implémentationNon démarré · Planifié · En cours · Implémenté · Vérifié
Risques associésMulti-sélection dans le registre des risques SMSI — badges colorés par niveau, cliquables
Preuves & revueRéférence preuves, date de dernière revue, justification détaillée, commentaires horodatés (max 10)

Bandeau d'indicateurs : compteurs Applicables / Non applicables, jauge d'implémentation (vert ≥ 80 %, orange ≥ 50 %) et couverture par domaine. Filtres par applicabilité et domaine, tris par référence, applicabilité ou implémentation.

Automatisme anti-double-saisie : si vous tenez le suivi d'implémentation dans l'onglet Contrôles ISO, la SoA dérive automatiquement l'état effectif du statut du contrôle (Vérifié → Vérifié, Implémenté → Implémenté, En cours → En cours) tant que vous n'avez pas saisi d'état propre dans la SoA. Inversement, un contrôle déclaré non applicable ici porte un badge dans l'onglet Contrôles, et il est exclu du taux de conformité du Dashboard.
Par défaut, tout est applicable : chaque contrôle non encore revu est créé automatiquement comme Applicable — une SoA jamais travaillée paraît « 100 % applicable, à justifier ». Passez chaque contrôle en revue pour exclure ce qui ne vous concerne pas (le motif d'exclusion est alors requis). Même logique pour la Revue normative : les 30 clauses sont pré-créées vides, le taux affiche 0 % tant qu'elles ne sont pas évaluées.
Point fort — deux PDF pour deux audiences

PDF Public (classifié « Interne ») : synthèse exécutive et matrice de couverture, sans propriétaires ni preuves — remettable à un client. PDF Audit (classifié « Confidentiel ») : qualité documentaire (% propriétaires, % preuves, fraîcheur des revues), répartition par source de sélection, motifs d'exclusion, bloc signatures (Responsable SMSI, Direction, 3ᵉ signataire) et historique de versions — un dossier de préparation d'audit structuré, prêt à présenter et à signer côté gouvernance. Il référence vos preuves (procédures, journaux, tickets), qui restent dans vos outils : l'auditeur les demandera en séance.

Revue normative

ISO 27001 — clauses 4 à 10 30 exigences · 7 chapitres

Auto-évaluation clause par clause du corps de la norme ISO 27001:2022 : 30 exigences réparties sur les 7 chapitres (4 Contexte, 5 Leadership, 6 Planification, 7 Supports, 8 Fonctionnement, 9 Évaluation de la performance, 10 Amélioration). Le texte intégral de chaque exigence est affiché sous sa référence, en français comme en anglais — pas besoin d'avoir la norme ouverte à côté.

Statuts : Conforme · Partiellement conforme · Non conforme · Non applicable, avec responsable, justification, document/preuve (lien sécurisé), dates de dernière et prochaine revue. Le bandeau affiche le taux de conformité global (calculé sur les 30 clauses).

Point fort — le pack audit en un clic

Le PDF Audit génère un dossier « PACK AUDIT CERTIFICATION » complet : statuts colorés par chapitre, preuves, dates de revue, puis une checklist de préparation d'audit pré-remplie qui pointe vers la SoA, les KPI, les audits internes, les revues de direction et les non-conformités. Votre auto-évaluation devient un dossier de préparation d'audit — il prouve que votre démarche est pilotée et que vous savez où sont vos preuves ; il ne remplace pas les preuves elles-mêmes.

Menaces

ISO 27001 — §6.1.2 ISO 27005 — traitement

Registre des menaces pesant sur l'organisation, cotées en impact × probabilité (échelles 1-5 partagées avec les risques SMSI) : le niveau (Critique → Insignifiant, score 1-25) se recalcule en direct dans la modale pendant la saisie — pédagogique en atelier. Chaque menace porte sa décision de traitement (Réduction, Acceptation, Transfert, Évitement — les quatre options ISO 27005) et se rattache aux actifs essentiels et aux actions du plan.

Piège à connaître : supprimer une menace supprime aussi les actions du plan qui lui étaient liées (et pas seulement le lien). Une confirmation est demandée — lisez-la.

La modale comporte aussi un champ Contexte (visible en fiche, pas dans le tableau). Les niveaux sont stockés en français canonique même en interface anglaise — utile à savoir pour les exports bruts.

Actifs essentiels

ISO 27005 / EBIOS RM — typologie RGPD · continuité · MFA

L'inventaire pivot de l'application : chaque actif tient sur une ligne sa classification complète — là où d'autres outils demandent trois registres.

DimensionValeurs
Type (ISO 27005/EBIOS)Matériel · Logiciel · Code source · Réseau · Service · Document · Employé · Locaux · Organisation
ImportanceNormal · Important · Critique
ContinuitéRTO, RPO et 4 niveaux de reprise (Haute disponibilité → Reprise prolongée)
Confidentialité / IntégritéPublic → Très sensible / Faible → Critique
ImpactSociétal · Opérationnel · Financier · Réputation · Réglementaire
RGPD & MFADonnées personnelles sensibles (oui/non) · Obligation MFA (Non implémenté / Partiel / Implémenté / Externe) avec badge d'alerte

Les actifs se lient aux risques, menaces, actions et non-conformités (badges cliquables, navigation dans les deux sens). Un tag contenant « obsol… » déclenche un badge d'alerte rouge — convention pratique pour marquer les composants obsolètes. Les titres de la section sont personnalisables (bouton Renommer) : utilisez-la par exemple comme registre de « Services essentiels NIS2 ».

Personnalisation et filtres : le bouton Renommer ouvre une modale qui change le titre de section, le titre du tableau, le sous-titre et la ligne d'information (utile pour en faire un registre « Services essentiels NIS2 »). Trois filtres dynamiques — Bénéficiaire, Disponibilité, Impact — se peuplent des valeurs réellement présentes. Tris par Priorité (défaut) et par Nom de produit.

Parties prenantes

ISO 27001 — clause 4.2

Registre des parties intéressées et intervenants du SMSI (nom, rôle, contact, commentaires). C'est aussi le référentiel des responsables : les listes « Responsable » du plan d'actions et des non-conformités sont alimentées par ce registre.

Cascades maîtrisées : renommer une partie prenante met à jour toutes ses affectations (actions, NC, risques, menaces) — y compris côté serveur en multi-onglets. Sa suppression ne détruit rien : les objets affectés deviennent simplement « non assignés ». Utilisez toujours Renommer plutôt que supprimer/recréer : l'appariement se fait par nom.

Piège : une création sans nom échoue silencieusement (aucun message) ; et deux homonymes sont traités comme une seule personne (appariement par nom). Renommez toujours via la modale plutôt que de recréer.

Structure documentaire

ISO 27001 — clause 7.5
La pyramide documentaire — politiques, processus, procédures, enregistrements
La pyramide documentaire — politiques, processus, procédures, enregistrements

L'index maître de votre pyramide documentaire : chaque document est classé sur 4 niveaux (Politique → Processus → Procédure → Enregistrement), avec son type de livrable, l'outil qui l'héberge (GED, SharePoint, GLPI…) et son lien d'accès. Ce n'est volontairement pas une GED : l'application indexe et prouve la maîtrise documentaire, vos documents restent dans vos outils. Les liens sont filtrés (http/https uniquement) et ouverts de façon sécurisée.

À noter : le tri libellé « Titre » ordonne en fait par Type de livrable (seul champ obligatoire du formulaire) ; les puces de tri de ce tableau restent décoratives.

Pilier 2 / 5 du menu

Gouvernance du SMSI

La routine de gouvernance — cadence recommandée

Chaque semaine : traiter les alertes du Dashboard (actions en retard, risques critiques). Chaque mois : mettre à jour les KPI (une phrase de commentaire suffit) et l'avancement du plan d'actions. Chaque trimestre : revue de direction — exportez le PDF du Dashboard, passez les non-conformités ouvertes, décidez des risques en zone rouge, tracez les décisions.

Critère de déclenchement d'action : tout risque en zone Critique/Grave doit porter au moins une action datée ; toute NC majeure aussi, dès sa détection. Pour les KPI, visez des cibles nettes : couverture MFA 100 %, tests de sauvegarde ≥ 2/an, sensibilisation ≥ 90 %.

Intérêt méthodologique

La gouvernance couvre le pilotage opérationnel (clauses 8, 9 et 10) : appréciation et traitement des risques, actions correctives, non-conformités, revues de direction, indicateurs et budget. Les modules sont interdépendants par construction : un risque génère des actions, une NC déclenche une action corrective rattachée à son audit d'origine, et le Dashboard agrège le tout en continu — côté ISO comme côté NIS2 (art. 20 : responsabilité des organes de direction).

Dashboard

ISO 27001 — §9.1 / 9.3 Score NIS2 intégré

Le cockpit du RSSI, actif par défaut au démarrage. Tout y est cliquable : chaque tuile, alerte ou graphique navigue vers son module.

Le Score SMSI — une jauge, trois composantes

  • ISO 27001 : taux de contrôles implémentés ou vérifiés parmi les contrôles applicables au sens de la SoA ;
  • NIS2 : maturité moyenne CyFun (ramenée sur 100) ou taux de conformité ReCyF selon le référentiel actif ;
  • Risques maîtrisés : part des risques hors zones Critique/Grave.

Pondération : ISO × 0,40 + NIS2 × 0,30 + Risques × 0,30 (bascule automatique sur 55/45 si NIS2 est désactivé). Couleur de l'arc : vert ≥ 70, orange ≥ 40, rouge en dessous.

Ce que le Score SMSI est — et n'est pas. C'est un indicateur de pilotage (une tendance à montrer à la direction), pas un verdict de certification ni de conformité NIS2. Les poids 40/30/30 sont une convention par défaut de l'outil, pensée pour donner le primat à l'ISO (le socle) tout en gardant NIS2 et le risque visibles. Pour un verdict engageant, fiez-vous aux jauges dédiées : le verdict à seuils CyFun pour NIS2, le taux de conformité de la Revue normative pour l'ISO. Le score global répond à « progresse-t-on ? », pas à « sommes-nous conformes ? ». Un score qui se recalcule en direct est un retour pédagogique, pas une note à maximiser : c'est la complétude (part d'éléments réellement évalués) qui rend un score défendable.

Zones du tableau de bord

  • Alertes & Priorités : risques critiques, actions en retard, audits sous 30 jours, projets à risque — chaque alerte est un lien direct.
  • Tuiles KPI avec sparklines : Conformité globale, Contrôles implémentés, Actions en cours, Risques critiques, Non-conformités (+ ligne secondaire : analyses projets, actifs, menaces, audits, documents). Les mini-courbes de tendance s'alimentent automatiquement au fil des modifications.
  • Radar de maturité ISO 27002 : moyenne CMM par capacité opérationnelle (15 axes de la norme), avec courbe de cible paramétrable.
  • Radar NIS2 adaptatif : en CyFun, 3 courbes (Cible / Documentation / Implémentation, échelle 0-5) ; en ReCyF, conformité en % par objectif de sécurité — le radar change de nature avec le référentiel, sans configuration.
  • Matrice des risques 5×5 : positionnement Impact × Probabilité, colorisée par la grille de cotation active du module Analyse des risques (cohérence transverse).
  • Graphiques compacts : répartition des risques, maturité CMM, statut des actions, contrôles par domaine, projets, évolution des actions par priorité sur 6 mois.
  • Activité récente : le fil du journal de traçabilité, cliquable.
Astuce revue de direction : le bouton d'export dédié génère un PDF du Dashboard (capture fidèle, basculée automatiquement en thème clair pour l'impression) — le support idéal pour la clause 9.3.

Risques SMSI

ISO 27001 — §6.1.2 / 8.2 / 8.3 ISO 27005 — options de traitement

Le registre central des risques de sécurité de l'information :

  • Cotation : Impact (1 Négligeable → 5 Grave) × Probabilité (1 Très improbable → 5 Très probable) ; niveau recalculé en direct — score ≥ 20 Critique, ≥ 15 Grave, ≥ 10 Significatif, ≥ 5 Mineur, sinon Insignifiant.
  • Traitement : Réduction, Acceptation, Transfert, Évitement.
  • Validation CODIR : date de passage en comité saisissable directement dans le tableau — le jalon de gouvernance sans ouvrir de fiche.
  • Liens : actions de traitement (une action peut couvrir plusieurs risques), actifs impactés, contrôles SoA justifiés par le risque.
Cascade de suppression : supprimer un risque supprime les actions qui n'existaient que pour lui et purge ses références dans la SoA. Commencez par traiter les risques de la zone rouge de la matrice, et associez-leur immédiatement des actions.

Ce registre porte les risques permanents du SI, ceux qui justifient vos contrôles SoA. À ne pas confondre avec la méthode ISO 27005 complète (avis daté sur un projet), qui vit dans le pilier Risques projets : voir le schéma « Deux niveaux de risque, un seul fil ISO 27005 ».

Plan d'actions

ISO 27001 — §6.1.3 e) / 10.1 Actions liées aux contrôles CyFun
Le plan d'actions transversal — six types de lien, priorités et avancement
Le plan d'actions transversal — six types de lien, priorités et avancement

Le plan d'actions unique et transversal du SMSI. Chaque action est rattachée à sa source — six types de lien : Contrôle (ISO 27002 et exigences CyFun, via un sélecteur recherchable groupé par référentiel), Risque (multi-sélection), Non-conformité, Audit, Menace ou Amélioration continue.

  • Suivi : priorité (Critique/Haute/Moyenne/Faible), statut (Planifié/En cours/Terminé/Annulé), échéance, responsable (alimenté par les parties prenantes), avancement 0-100 %.
  • Synchronisation intelligente : passer une action à 100 % la termine automatiquement, la terminer force 100 % — inutile de saisir les deux.
  • Commentaires horodatés : historique append-only des échanges (max 10 par action).
  • Filtres : par type de lien, par valeur (avec entrée « Non assigné »), par statut. Le filtre Audit est transitif : il remonte aussi les actions des NC rattachées à l'audit — la vue « plan de remédiation d'un audit » complète.
Point fort — ISO et NIS2 dans le même plan

Le sélecteur de contrôles est multi-référentiels : une action peut traiter un contrôle ISO 27002 ou une exigence CyFun groupée par fonction NIST (Gouverner → Rétablir). Un seul plan d'actions pour les deux conformités — fini les listes parallèles.

Non-conformités

ISO 27001 — clause 10.2

Cycle de vie outillé en 4 étapes : Détection → Analyse → Action → Clôture, avec type (Majeure/Mineure), responsable, audit d'origine et actifs concernés. Le compteur du Dashboard ne décroît qu'à la clôture — une NC en analyse reste ouverte. Le tri par défaut fait remonter les Majeures.

Attention : une non-conformité majeure non traitée peut bloquer une certification. Associez une action corrective à chaque NC majeure dès sa détection — le formulaire pré-remplit le lien NC → action.
Cascades de suppression : supprimer un audit efface les actions qui lui étaient liées, mais conserve les non-conformités (leur champ « Audit lié » est simplement vidé). Supprimer une non-conformité supprime les actions correctives qui n'existaient que pour elle. La suppression d'un actif, elle, ne retire que le lien (les objets liés sont conservés).

Revues de direction

ISO 27001 — clause 9.3

Le journal des revues de management — la preuve d'implication de la direction exigée en certification : date, participants, éléments d'entrée examinés, décisions et actions arrêtées, commentaires horodatés. Volontairement simple : qui, quand, quoi examiné, quoi décidé.

KPI

ISO 27001 — clause 9.1

Vos indicateurs « maison » : couverture MFA, taux de sensibilisation, tests de sauvegarde… Chaque KPI porte une progression 0-100 % (barre visuelle) et un commentaire éditable directement dans le tableau — zéro friction pour la mise à jour mensuelle avant revue de direction. Documentez la valeur cible dans la description.

Budget Cybersécurité

ISO 27001 — clause 7.1 (ressources) NIS2 — art. 20 (gouvernance)
Le budget cybersécurité pluriannuel — années configurables, statuts d'engagement
Le budget cybersécurité pluriannuel — années configurables, statuts d'engagement

Pilotage budgétaire pluriannuel par lignes de dépense : intitulé, catégorie (personnalisables), responsable, statut d'engagement (Planifié / Engagé / Réalisé) et montant par année. Les années sont entièrement configurables (ajout, retrait, renommage — les montants suivent le renommage), triple lecture instantanée par année, par catégorie et par statut : cartes KPI, barres empilées par statut, répartition par catégorie, table groupée avec sous-totaux.

Trois restitutions : Imprimer/PDF (graphiques figés en images), export HTML autonome (fichier unique partageable hors application) et export Excel structuré (lignes typées Ligne/Sous-total/Total pour filtrer sans double-compter).

Catégories et années : le bouton Catégories budget personnalise la liste (Infrastructure / Cybersécurité / Divers par défaut). Au remappage des années, à effectif constant le mapping est positionnel (glisser la fenêtre 2026-28 → 2027-29 conserve les montants) ; en ajoutant/retirant une année, les montants suivent le libellé. La saisie accepte virgule décimale et grands nombres ; les montants négatifs sont neutralisés (0).
Attention : c'est un outil de planification, pas un outil comptable — faites valider les montants par votre service financier. Les filtres de la table n'affectent pas les cartes ni les graphiques (qui agrègent toujours tout).
Pilier 3 / 5 du menu

Contrôles du SMSI

Intérêt méthodologique

Les 93 contrôles ISO 27002:2022 sont le muscle de votre SMSI — et, grâce aux 132 correspondances vers CyFun/NIST CSF, chaque contrôle documenté ici éclaire aussi votre couverture NIS2. C'est le pilier où l'effort investi rapporte deux fois.

Contrôles ISO27002

ISO 27002:2022 — Annexe A 93 contrôles · 4 domaines · 15 capacités
Le pilotage opérationnel — contrôles, risques et actions liés
Le pilotage opérationnel — contrôles, risques et actions liés
DomaineContrôlesExemples
Organisationnel (5.x)37Politiques, rôles, gestion d'actifs, contrôle d'accès
Humain (6.x)8Sélection, sensibilisation, fin de contrat
Physique (7.x)14Périmètre, protection équipements, bureau propre
Technologique (8.x)34Authentification, chiffrement, journalisation

Le texte normatif (titre, mesure, recommandations) est intégral, bilingue et verrouillé ; votre fiche de suivi porte l'évaluation :

  • Statut : Non implémenté · En cours · Implémenté · Vérifié
  • Maturité CMM : Initial · Répétable · Défini · Géré · Optimisé — alimente le radar par capacité opérationnelle
  • Efficacité mesurée : Efficace · Partiellement efficace · Non efficace · Non testé
  • Fréquence de revue : mensuelle à annuelle, ou sur changement
  • Propriétaire, dernière évaluation, preuves/artefacts, KPI associé

Chaque contrôle affiche ses attributs ISO natifs : type (Préventif / Détectif / Correctif) et capacités opérationnelles. Les descriptions se déplient d'un clic sans ouvrir la fiche. Filtres par domaine, statut et maturité ; tris par référence, titre, statut ou maturité.

Point fort — une fiche d'audit complète par contrôle

Statut + CMM + efficacité + preuves + fréquence de revue + propriétaire + KPI : de quoi soutenir un audit de certification sans tableur annexe. Et si la SoA déclare un contrôle non applicable, sa fiche l'affiche en alerte avec le lien direct vers la ligne SoA concernée.

Avant d'ajouter un contrôle : la référence saisie devient l'identifiant du contrôle (unique, non modifiable ensuite) et un contrôle ajouté manuellement n'a ni texte normatif ni capacités. Surtout, il n'existe pas de bouton de suppression pour les contrôles : vérifiez la référence avant de valider. Les 93 contrôles de la bibliothèque, eux, ont leur texte verrouillé (seule l'évaluation est éditable).
Voir les recommandations et les actions liées : la fiche de suivi affiche l'évaluation ; pour lire les recommandations normatives détaillées et la liste des actions liées à un contrôle, passez par la vue Détails (lecture seule) — ces informations ne figurent pas dans le tableau. Le filtrage par capacité opérationnelle n'est pas exposé à l'écran (utilisez le radar du Dashboard pour la vue par capacité).

Audits

ISO 27001 — clause 9.2

Le programme d'audit complet : Audit interne, Audit externe, Certification, Surveillance — tout le cycle de certification dans un registre simple (périmètre, dates planifiée/d'exécution, auditeur, statut, constatations, recommandations).

  • Pastille de retard automatique sur l'onglet de navigation : un audit dont la date planifiée est dépassée (et non réalisé/annulé) se signale sans même ouvrir le module.
  • Chaînage audit → NC → actions correctives : les NC référencent leur audit d'origine, le plan d'actions filtre par audit (y compris transitif via les NC).
  • Flux naturel : planifier l'audit, puis le rouvrir après réalisation pour saisir date d'exécution, constatations et recommandations.
Cascade de suppression : supprimer un audit efface les actions qui lui étaient liées, mais conserve les non-conformités (leur champ « Audit lié » est simplement vidé). Vérifiez avant de supprimer.

Mapping transversal

ISO 27002 CyFun 2025 / NIS2 NIST CSF 2.0

La salle des cartes entre vos référentiels — visible dès que deux référentiels sont actifs. Choisissez un référentiel source et un référentiel cible :

  • Vue liste : pour chaque contrôle source, ses correspondances en badges — type de relation (Équivalent, Couvre, Couvert par, Lié), % de couverture, note justificative en infobulle et pastille du statut réel du contrôle cible. Un « Équivalent 90 % » vers une cible rouge = un écart à traiter en priorité.
  • Vue matrice : heatmap catégories × catégories (nombre de relations + couverture moyenne, vert ≥ 70 %) — la vision macro pour arbitrer.
  • Détection de conflits : un triangle orange signale les statuts divergents entre contrôles mappés — l'incohérence inter-référentiels se voit d'un coup d'œil.
  • Statistiques : relations totales, couverture moyenne, contrôles mappés/couverts de chaque côté.
La vue liste du mapping — correspondances pondérées et statuts réels
La vue liste du mapping — correspondances pondérées et statuts réels
La heatmap — couverture croisée par catégories
La heatmap — couverture croisée par catégories
Point fort — un pont chiffré et vivant

132 correspondances sourcées (crosswalks publics ISO ↔ NIST CSF 2.0, structuration CyFun 2025 du CCB), pondérées et justifiées par expertise éditoriale — et le mapping lit les évaluations réelles des deux côtés en direct. Ce n'est pas une table statique : c'est votre tableau de bord de couverture croisée ISO ↔ NIS2 (une aide à la priorisation, pas une preuve opposable).

À savoir : le mapping n'a pas d'export dédié (consultation à l'écran) ; les choix source/cible/filtre/vue ne sont pas mémorisés et repartent sur ISO 27002 → NIS2 / vue liste à chaque rechargement. La vue matrice est indisponible pour ReCyF (utilisez la vue liste). Le triangle de conflit n'apparaît qu'à partir de deux contrôles mappés aux statuts divergents.

Convaincu ? Testez la démo — 2 min, sans compte.

Pilier 4 / 5 du menu

Gestion des risques projets

Deux niveaux de risque, un seul fil ISO 27005

C'est le point le plus souvent confondu. Cyber-Assistant sépare volontairement deux objets de risque qui partagent la même méthode (ISO 27005) mais répondent à deux questions différentes :

Gouvernance · permanent
Risques SMSI

« Quels risques structurels justifient mes contrôles ? »

  • Objet : le registre permanent du SI
  • Périmètre : toute l'organisation
  • Sortie : contrôles SoA justifiés + plan d'actions
  • ISO 27001 : §6.1.2 / 6.1.3 / 8.2 / 8.3
  • Cadence : continue, revue en CODIR
Pilier 4 · ponctuel
Risques projets

« Ce projet précis est-il sûr à lancer ? »

  • Objet : une analyse datée, avis feu tricolore
  • Périmètre : un projet, un actif, un changement
  • Sortie : avis de sécurité + PDF numéroté
  • Méthode : wizard ISO 27005 complet (8 étapes)
  • Cadence : à chaque nouveau projet
Analyses de risques projets Ponctuelles · datées · ISO 27005 complet une par projet / changement avis « feu tricolore » remontée manuelle Registre Risques SMSI Permanent · organisation le « socle » du SMSI ISO 27001 §6.1.2 / 6.1.3 justifie Contrôles SoA + Plan d'actions chaque contrôle justifié par un risque actions de traitement suivies Réduction · Acceptation · Transfert · Évitement Revue CODIR · amélioration continue (PDCA)
Le fil ISO 27005 : une analyse projet est ponctuelle ; ses risques structurels se remontent manuellement (geste volontaire) dans le registre SMSI permanent, qui justifie les contrôles SoA et le plan d'actions — le tout révisé en continu par le CODIR.

La règle simple : on lance une analyse projet pour décider si un projet peut démarrer ; on alimente le registre Risques SMSI pour piloter dans la durée les risques qui engagent l'organisation. L'un ne remplace pas l'autre : l'analyse ponctuelle nourrit le SMSI permanent.

Cas d'usage — « Un nouveau projet exposé sur Internet »

Situation : on vous demande un avis sécurité avant la mise en ligne d'un service manipulant des données personnelles. Dans l'outil : lancez une analyse — au cadrage, cochez « exposé Internet » + « données sensibles », le moteur présélectionne les scénarios attaque externe, divulgation et privacy et fait remonter les questions IAM et Logs. En 20-45 min, vous sortez un avis feu tricolore daté et un PDF numéroté.

Intérêt méthodologique

Ce pilier implémente l'ISO/CEI 27005:2022 en mode opérationnel : un assistant guidé produit un avis de sécurité type « feu tricolore » sur chaque projet (comme un organisme de contrôle interne), le portefeuille suit tous les projets analysés, et les matrices d'impacts (PESTEL/5M/POTI, NIST SP 800-30, EBIOS RM) homogénéisent la cotation entre analystes.

Workflow recommandé : une analyse par nouveau projet ou changement majeur. L'assistant vous guide du cadrage à l'export PDF ; l'analyse terminée alimente automatiquement le portefeuille Risques projets et le Dashboard.

Analyse des risques

ISO/CEI 27005:2022 RGPD art. 4 / 9 / 30
8 étapes méthodologiques 10 scénarios 24 questions · 8 domaines 35 règles de reco

La liste d'accueil présente toutes vos analyses : Titre · Créée le · Statut (Brouillon/Terminée) · Score n/5 · Feu tricolore · Revue (en rouge si dépassée, surlignée à ≤ 30 jours). Par ligne : Ouvrir, Dupliquer (repart en brouillon, résultats et n° de rapport effacés — idéal pour l'analyse N+1 à partir de N), PDF, Export/Import .analyse, Sync vers Risques projets (analyses Terminées) et Supprimer. Boutons d'en-tête : Nouvelle analyse et Importer (un fichier .analyse est toujours importé en copie, avec anti-duplication des matrices et seuils embarqués).

Classification CIA et RGPD — l'étape 2 du wizard
Classification CIA et RGPD — l'étape 2 du wizard

L'assistant en 10 étapes (8 étapes méthodologiques + prévisualisation et export) :

1
Contexte

Identité du projet (bénéficiaire, chef de projet, encodeur, validateur), périmètre (obligatoire), sensibilité des données, référentiel source (OWASP, STRIDE, EBIOS RM, NIST SP 800-30, MITRE ATT&CK…), matrice d'impact à utiliser.

2
CIA + RGPD

Confidentialité, Intégrité, Disponibilité sur 3 niveaux justifiés ; présence de données personnelles (art. 4) et sensibles (art. 9), registre des traitements (art. 30).

3
Continuité

RTO/RPO en heures avec qualification en direct (Très strict → Souple) — un régime strict durcit la cotation résiduelle.

4
Documentation

Hébergement (on-premise/cloud/hybride), exposition Internet, SSO/MFA/séparation admin, dossier d'architecture.

5
Questionnaire contrôles

24 questions sur 8 domaines (IAM, SDLC, Vulnérabilités, Logs & détection, Données, Infrastructure, Réseau & crypto, Continuité) — statuts Implémenté / Partiel / Planifié / À vérifier / Non / N/A, maturité et feu par domaine.

6
Risques

Catalogue de 10 scénarios (attaque externe, divulgation, élévation de privilèges, ransomware, supply chain, mauvaise configuration, déni de service, détection insuffisante, privacy, interne) avec présélection intelligente selon le contexte, cotation vraisemblance × impact, traitement et propriétaire — plus vos risques personnalisés.

7
Mesures & revue

Jusqu'à 10 recommandations clefs de l'évaluateur (À faire / Fait) — elles pilotent l'avis — et date de prochaine revue.

8
Résultats

Avis de sécurité (favorable / favorable sous conditions / défavorable), criticité inhérente, % de mesures, risque résiduel (+ risque ouvert), registre coté, matrice 5×5, radar des 8 domaines et recommandations automatiques. Corrections manuelles possibles, avec justification tracée.

9
Prévisualisation

Rapport complet navigable — cadre méthodologique ISO 27005, PDCA, formule de scoring, registre enrichi.

10
Export

PDF professionnel (n° de rapport auto-attribué et figé, logo, radar) et fichier .analyse réimportable.

Le catalogue de scénarios — cotation sur matrice 5×5
Le catalogue de scénarios — cotation sur matrice 5×5
Les résultats — avis de sécurité feu tricolore et recommandations
Les résultats — avis de sécurité feu tricolore et recommandations
Point fort — le moteur de recommandations

35 règles contextuelles (MFA, secrets, SBOM — inventaire logiciel, WAF — pare-feu applicatif, sauvegardes immuables, PRA — plan de reprise…) génèrent des recommandations priorisées P1/P2 avec effort estimé, rationale, actions concrètes et critère de complétude — dynamiquement pondérées par l'exposition Internet, la sensibilité CIA, le RTO/RPO et les scénarios retenus, plafonnées à 12 pour rester actionnables. Ces référentiels (OWASP, STRIDE, EBIOS RM, NIST SP 800-30, MITRE ATT&CK…) ne changent pas le calcul : ils documentent la source méthodologique de votre analyse dans le rapport — vous n'avez pas à tous les maîtriser.

Comment l'avis est calculé

L'avis combine trois grandeurs : la criticité inhérente (max des impacts CIA × vraisemblance des scénarios retenus), le taux de mesures en place (questionnaire 24 questions) et le risque résiduel après mesures. Règle de lecture par défaut : risque résiduel en zone verte et mesures clefs faites → favorable ; zone jaune ou mesures « Planifié » non faites → favorable sous conditions (l'outil badge alors l'avis comme conditionnel) ; zone rouge ou mesure critique absente → défavorable. Toute correction manuelle de l'avis est tracée avec justification — l'auditeur voit qui a arbitré et pourquoi.

Avis conditionnel : un contrôle déclaré Planifié compte comme partiellement implémenté (2 pts) : l'analyse le signale partout (bandeau, badges, PDF) et l'avis reste conditionnel. Corriger manuellement l'avis ou le score résiduel force les valeurs globales affichées, avec justification tracée (l'avis automatique d'origine reste rappelé). Re-analysez toujours après implémentation effective.
Exemple concret : vous indiquez à l'étape 1 que le service est exposé sur Internet et manipule des données personnelles sensibles : le moteur présélectionne automatiquement les scénarios attaque externe, divulgation de données et privacy, et fait remonter les questions IAM (MFA, gestion des secrets) et Logs & détection. Vous partez d'une analyse déjà cadrée, à ajuster plutôt qu'à construire de zéro.
Panneau « Seuils de risque » : gérez plusieurs grilles Probabilité × Gravité 5×5 (Nouveau / Dupliquer / Supprimer / Activer — un seul seuil actif à la fois, appliqué à toutes les analyses et à la matrice du Dashboard). La grille standard porte 5 niveaux — Minimum, Faible, Modéré, Élevé, Très élevé — chacun sa couleur, sa correspondance feu (Minimum/Faible → vert, Modéré → jaune, Élevé/Très élevé → rouge). Cliquez une cellule pour faire tourner son niveau. Garde-fou : toute cotation hors grille est bornée sur la pire cellule (jamais de faux « vert »). L'export .analyse embarque la grille et la matrice d'impact : l'analyse voyage complète entre instances, sans perte de fidélité.

Risques projets

Suivi du traitement ISO 27005

Le portefeuille des projets analysés : une ligne par projet avec statut feu tricolore (Vert / Jaune / Rouge / À réaliser / Suspendue), priorité P0-P3, numéro de rapport et recommandations pointées « Implémenté ». Deux KPI de tête : analyses réalisées et recommandations implémentées — le suivi post-analyse que la plupart des outils oublient.

Les entrées issues d'une analyse portent un badge « Auto » cliquable qui rouvre l'analyse source ; leurs champs structurants sont verrouillés (c'est l'analyse qui fait foi) mais bénéficiaire, priorité, note et pointage des recommandations restent éditables et survivent aux resynchronisations.

Piège : les recommandations d'une entrée Auto sont réécrites à chaque resynchronisation de l'analyse (top 3 automatique). Terminez l'analyse d'abord, pointez l'implémentation ensuite.

Matrice d'impacts

PESTEL / 5M / POTI NIST SP 800-30 Rev. 1 EBIOS RM / ISO 27005
Les matrices d'impacts — descriptions factuelles par niveau et dimension
Les matrices d'impacts — descriptions factuelles par niveau et dimension

Fini la cotation « au doigt mouillé » : l'évaluateur choisit, dimension par dimension, le niveau dont la description factuelle correspond (pertes chiffrées, utilisateurs impactés, sanctions RGPD/NIS2…) — l'impact global est le maximum des dimensions évaluées, et la décomposition est tracée jusque dans le rapport PDF.

Matrice livréeNiveauxDimensionsContexte
PESTEL/5M/POTI (générique)510Europe — grille de crise, RGPD, NIS2
NIST SP 800-30 Rev. 156Cadre NIST — seuils financiers et réglementaires chiffrés
EBIOS RM / ISO 2700545France — échelle de gravité ANSSI

Chaque niveau porte une capacité de réponse graduée — de la gestion courante jusqu'au déclenchement de la cellule de crise : la cotation d'impact rejoint la gouvernance de crise. Les matrices sont duplicables et entièrement éditables (niveaux — 5 maximum, alignés sur l'échelle 1-5 —, dimensions, descriptions de cellules, sauvegarde automatique en cours de frappe).

Bon à savoir : l'impact global est toujours le maximum des dimensions évaluées (le sélecteur d'agrégation reste documentaire). Modifier une matrice ne recalcule pas rétroactivement les impacts déjà appliqués — rouvrez « Évaluer via matrice ». La grille EBIOS RM (4 niveaux) plafonne l'impact à 4.

Pilier 5 / 5 du menu

Conformité NIS2

Cas d'usage — « NIS2 : par où commencer ? »

Situation : vous devez démarrer votre mise en conformité NIS2 sans savoir où mettre l'effort. Dans l'outil : confirmez d'abord votre niveau (voir ci-dessous), puis ouvrez le Mapping transversal : les catégories déjà couvertes par vos contrôles ISO « Vérifiés » s'évaluent en quelques minutes preuve à l'appui ; les catégories sans correspondance sont vos vrais chantiers. Vous priorisez par le retour sur investissement, pas au hasard.

Quel niveau choisir ? Ce n'est pas un curseur d'ambition mais votre statut réglementaire : en Belgique, le niveau CyFun découle de votre classification NIS2 par le CCB (essentielle → ESSENTIAL, importante → IMPORTANT, BASIC en entrée/volontaire) ; en France, Entité Essentielle (152) vs Entité Importante (76) suit votre désignation. En cas de doute, partez du niveau supérieur (le downgrade archive sans perte) et vérifiez auprès de l'autorité.

Intérêt méthodologique

La directive NIS2 (UE) 2022/2555 se décline nationalement. Cyber-Assistant embarque les deux référentiels officiels : CyFun 2025 (Centre for Cybersecurity Belgium — l'outil d'auto-évaluation NIS2 belge, structuré NIST CSF 2.0) et ReCyF (ANSSI — le Référentiel Cyber France et ses moyens acceptables de conformité). Vous choisissez votre référentiel au premier lancement ou dans Paramètres → Référentiels ; onglets, radars, scores et exports s'adaptent instantanément — et aucune donnée n'est perdue si vous changez d'avis, les évaluations des deux référentiels coexistent.

CyFun 2025 — Belgique (CCB)ReCyF — France (ANSSI)
Structure6 fonctions NIST CSF 2.0, 22 catégories, 218 exigences20 objectifs de sécurité, 28 thématiques, 152 mesures
PérimètreNiveau d'assurance : BASIC (34 exigences), IMPORTANT (133), ESSENTIAL (218)Degré : Entité Importante (76 mesures, obj. 1-15), Entité Essentielle (152, obj. 1-20)
ÉvaluationDouble maturité 1-5 : Documentation + ImplémentationStatut de conformité par mesure (6 valeurs, dont Mesure alternative)
VerdictSeuils officiels CCB par niveau → CONFORME / NON CONFORME% de conformité pondéré (Conforme = 1, Partiel = 0,5, Alternative = 1)
Radar DashboardMaturité 0-5 par catégorie (Cible / Doc / Impl)Conformité 0-100 % par objectif
Onglets affichésContrôles NIS2 + Socle de sécuritéMesures ReCyF

Contrôles NIS2 (CyFun 2025)

CyFun 2025 — CCB NIST CSF 2.0 — 6 fonctions
Les 218 exigences CyFun — double maturité documentation/implémentation
Les 218 exigences CyFun — double maturité documentation/implémentation

Les 218 exigences sont organisées selon les 6 fonctions du NIST CSF 2.0 : Gouverner (GV), Identifier (ID), Protéger (PR), Détecter (DE), Répondre (RS), Rétablir (RC) — 22 catégories au total. Chaque exigence s'évalue sur deux axes de maturité 1-5 (Documentation et Implémentation : Initial → Optimisé), avec justification et preuves.

  • Mesures clefs (étoile, ligne surlignée) : 13 en BASIC, 22 en IMPORTANT, 29 en ESSENTIAL — scorées séparément, selon la méthode publiée par le CCB.
  • Verdict de conformité : calculé sur les seuils publiés par le CCB pour chaque niveau (BASIC : moyennes ≥ 2,5 ; IMPORTANT : ≥ 3 ; ESSENTIAL : mesures clefs ≥ 3, total ≥ 3,5 et minimum 3 par catégorie) → CONFORME / NON CONFORME, avec liste des catégories non évaluées. C'est une auto-évaluation fidèle à la méthode officielle : elle prépare et anticipe l'évaluation, sans se substituer au jugement de l'autorité de contrôle.
  • Exigences liées au management (16, icône immeuble) : revue obligatoire à chaque audit.
  • Langue des exigences indépendante de l'interface : texte officiel anglais ou traduction française.
  • Filtres par fonction, catégorie, niveau, mesure clef et état d'évaluation.
Le niveau d'assurance — BASIC, IMPORTANT ou ESSENTIAL
Le niveau d'assurance — BASIC, IMPORTANT ou ESSENTIAL
Changement de niveau sans perte : passer d'ESSENTIAL à BASIC archive automatiquement les évaluations hors périmètre et les restaure si vous remontez de niveau. L'organisation peut aussi verrouiller le niveau côté serveur pour interdire tout downgrade.
Tri décoratif à connaître : sur les tableaux Contrôles NIS2, Mesures ReCyF, Revue normative et Structure documentaire, les puces de tri sont affichées mais l'ordre reste celui du référentiel (par référence) ; utilisez les filtres pour cibler. De même, les boutons de période « 30j / 90j / 6m / 1an » du graphique d'évolution du Dashboard ne sont pas encore actifs.

Mesures ReCyF (France)

ReCyF — ANSSI EI 76 / EE 152 mesures

L'évaluation fidèle à la logique ANSSI des moyens acceptables de conformité : chaque mesure reçoit un statut — Conforme, Partiellement conforme, Non conforme, Mesure alternative, Non applicable, Non évalué — directement dans le tableau (liste déroulante en ligne : l'évaluation de masse est très rapide) avec justification par mesure.

  • Score temps réel : % pondéré (Conforme = 1, Partiel = 0,5, Alternative = 1 — spécificité ANSSI : la mesure alternative justifiée vaut conformité), répartition par statut, progression évaluées/applicables.
  • Degrés cumulatifs : Entité Importante (objectifs 1-15) ⊂ Entité Essentielle (objectifs 1-20). Le degré ne filtre que l'affichage et le score : un aller-retour EE → EI → EE ne perd jamais rien.
  • Filtres par objectif, thématique, cible (EI/EE ou EE uniquement) et conformité ; radar Dashboard par objectif (bleu ANSSI).
Astuce : pour une Mesure alternative, soignez la justification — c'est elle que vous présenterez à l'autorité de contrôle. Le champ est prévu pour : « justification, mesure alternative mise en œuvre, plan d'action… ».

Socle de sécurité

6 piliers alignés NIST CSF 2.0 Disponible avec CyFun
Le socle de sécurité — six piliers alignés NIST CSF 2.0
Le socle de sécurité — six piliers alignés NIST CSF 2.0

Le support de communication stratégique du RSSI : six cartes alignées sur les fonctions NIST (Gouverner → Rétablir), chacune avec son sous-titre, ses éléments clefs (MFA et accès à privilèges, SIEM, circuit de notification NIS2, DRP avec RTO/RPO testés…) et son chef de projet nommé — la redevabilité NIS2 rendue visible. Contenu pré-rempli, entièrement personnalisable en 4 champs par pilier ; export Excel « une ligne par élément » directement exploitable comme plan de programme. Prêt à projeter en comité de direction.

Structure figée, 4 champs éditables : les 6 piliers sont fixes (on ne peut ni en ajouter ni en retirer, l'icône n'est pas modifiable) ; le crayon de chaque carte édite Titre (obligatoire), Sous-titre, Éléments clefs (un par ligne) et Chef de projet. Le socle appartient au périmètre CyFun : il est masqué (avec son export) quand ReCyF est actif.

9. Exports et rapports

Intérêt méthodologique

Un SMSI vivant produit des livrables : dossiers d'audit, supports de revue de direction, restitutions réglementaires (clause 7.5). Chaque registre a sa sortie tabulaire, et trois niveaux de restitution direction existent — tout fonctionne hors ligne, sans aucun CDN, avec échappement systématique et protection anti-injection de formule CSV.

ExportFormatUsage
Export Excel par module (×16)bouton du moduleCSV (UTF-16LE, séparateur point-virgule)Le tableau tel qu'affiché — filtres et tris inclus
Export Excel globalParamètres → Données.xls multi-feuilles17 sections au choix, construites depuis les données (indépendant des filtres écran)
Rapport PDF completParamètres → Données (ou Ctrl+P)PDF A4 paginatéCouverture, table des matières à numéros réels, capture du Dashboard, une section par registre — sélection des sections avant génération
Dashboard PDFbouton du DashboardPDF (capture fidèle)Support de revue de direction — bascule automatique en thème clair
SoA — PDF Public / PDF Auditmodule SoAHTML imprimableDeux audiences : communication externe vs dossier d'audit signé (clause 6.1.3)
Pack audit Revue normativemodule Revue normativeHTML imprimableStatuts par chapitre + checklist de préparation d'audit
Budget Cybersécuritéonglet BudgetImpression / HTML autonome / CSV structuréTrois restitutions, graphiques figés en images
Analyse de risquesliste ou étape 10 du wizardPDF + fichier .analyseRapport de mission ISO 27005 + format d'échange réimportable (matrice et grille embarquées)
Sauvegarde complèteParamètres → Données (ou Ctrl+E).json signéDump intégral avec hash d'intégrité et estampille de périmètre
Rapport PDF d'analyse de risques
Le rapport PDF d'analyse de risques — page méthodologique ISO 27005 et synthèse exécutive

Précisions : le Budget et le Socle ont des exports « custom » structurés (au-delà des 16 exports de tableaux). L'export Mesures ReCyF fait exception à la règle « écran » : il exporte tout le périmètre du degré courant, filtres ignorés (pour ne jamais tronquer un dossier de conformité).

Bon à savoir : les exports « Excel » par module sont des CSV optimisés pour Excel (accents corrects, anti-injection de formule) ; seul l'export global produit un vrai classeur multi-feuilles. Les exports par tableau reflètent l'écran — retirez vos filtres avant un export exhaustif. Les PDF SoA et Revue normative s'ouvrent dans un nouvel onglet : autorisez les popups. En mode ReCyF, le rapport PDF global et l'Excel global remplacent automatiquement les sections CyFun par les mesures ReCyF.

10. Paramètres et administration

Intérêt méthodologique

La page Paramètres (Ctrl+,) est organisée en sections latérales. Une bonne configuration initiale — cibles de maturité, référentiel NIS2, mot de passe d'édition — conditionne la qualité de tout le pilotage ultérieur.

Général

  • Titre de l'application (rebaptisez l'outil à vos couleurs)
  • Thème (Clair / Sombre / Poudre / Bleu) et mode compact
  • Langue : Français / English
  • Cible ISO et Cible NIS2 (1-5) — tracent les courbes de cible des radars
  • Logo (PNG/JPEG/SVG, 500 Ko max) — repris dans les rapports

Sécurité

  • Mot de passe du mode édition (local)
  • Tableau de bord sécurité (Web Crypto, protocole, hachage…)
  • En serveur : journal d'audit sécurité, filtrage IP (CIDR), expiration des mots de passe, SSO OIDC

Données

  • Export / Import .json (max 10 Mo, migration legacy automatique)
  • Import de fichiers .analyse
  • Rapport PDF complet, export Excel global
  • Snapshots nommés (points de restauration, 10 par défaut) + analyse de qualité des données (doublons, liens invalides)

Analyse de qualité — à lancer avant chaque revue de direction ou dépôt de dossier d'audit : elle détecte les doublons de titres (actions, risques, documents), les contrôles sans capacité opérationnelle et les liens documentaires au protocole non autorisé. Corrigez ces signaux : ce sont exactement les points qu'un auditeur relève.

Référentiels de sécurité

  • ISO 27001/27002 : toujours actifs
  • Référentiel NIS2 actif : Belgique (CyFun) ↔ France (ReCyF)
  • Niveau d'assurance CyFun (BASIC/IMPORTANT/ESSENTIAL) ou degré ReCyF (EI/EE)
  • Compteurs de correspondances inter-référentiels

Licence (éditions Corporate)

  • Statut : licence active, essai 14 jours, expiration
  • Activation par clef CSI2-…

Avancé & Zone Danger

  • Suite d'auto-tests intégrée (~50 vérifications) — utile après mise à jour ou restauration
  • Réinitialisation complète (snapshot de sécurité automatique + double confirmation)

Auto-tests — à lancer après une mise à jour de l'outil ou une restauration de sauvegarde. Tous verts = vos données sont cohérentes et l'intégrité est confirmée. Un échec indique une donnée à réimporter depuis un snapshot sain — n'éditez pas par-dessus.

À retenir : en mode serveur, les snapshots locaux sont volatils (RAM) — les sauvegardes durables sont côté serveur. L'import remplace les données (pas de fusion) et exige le mode édition ; un snapshot serveur automatique est pris avant chaque import.

11. Mode serveur & collaboration

Intérêt méthodologique

Souverain ne veut pas dire isolé. Le mode serveur transforme Cyber-Assistant en outil d'équipe : données centralisées sur votre serveur (Apache/PHP — un simple hébergement mutualisé suffit), comptes nominatifs avec rôles, verrou d'édition anti-conflit et traçabilité nominative (clause 5.3 — rôles et responsabilités). L'interface reste identique au mode local.

Comptes et rôles

Jusqu'à 100 collaborateurs en co-édition : Administrateur (tout + gestion des comptes), Éditeur (modifie les données), Lecteur (lecture seule permanente). Pas de suppression de compte : suspension uniquement — la traçabilité est préservée.

Verrou d'édition global

Un seul éditeur à la fois par périmètre : verrou acquis à l'entrée en édition (heartbeat 20 s, expiration 90 s si le poste disparaît), appliqué côté serveur — une écriture sans verrou est refusée. Bandeau « Édité par {nom} » avec compte à rebours, reprise de main admin, libération automatique après 5 min d'inactivité.

Authentification robuste

Sessions JWT de 4 h (renouvelées automatiquement), mots de passe PBKDF2 600 000 itérations, politique 18+ caractères, verrouillage de compte après 3 échecs avec backoff progressif, filtrage IP optionnel (CIDR), expiration de mot de passe configurable.

SSO entreprise (OIDC)

Azure AD/Entra, Google Workspace, Okta, Keycloak… — Authorization Code + PKCE, provisioning automatique au premier login (rôle par défaut Éditeur ou Lecteur, jamais admin), modes « SSO uniquement » ou mixte. Le login mot de passe reste disponible pour l'admin — pas de lock-out possible.

Configuration : Issuer / Client ID / Secret, mode « SSO uniquement » ou « SSO + mot de passe », rôle par défaut (Éditeur/Lecteur), plafond d'utilisateurs SSO (5 à 200), Callback URL à copier dans l'IdP et bouton Tester la connexion. Options avancées pour IAM interne (HTTP autorisé, certificat CA, contournement TLS de test avec avertissement).

Présence en direct

Indicateur « N connecté(s) » dans l'en-tête, initiale du collègue sur l'onglet qu'il consulte, et rafraîchissement automatique en lecture seule : vous voyez le travail des autres sans conflit.

Prérequis modestes

PHP 7.4+ (extensions json, openssl, mbstring, hash), droits d'écriture sur data/, 50 Mo — vérifiés automatiquement par l'assistant de premier lancement. Conçu pour un usage en réseau local/intranet.

Assistant de configuration du mode serveur
Le mode serveur — configuration guidée et vérifications automatiques

Multi-entités : plusieurs périmètres SMSI cloisonnés

Fonction activable (mode serveur, option de licence) : gérez plusieurs entités — filiales, sites, business units, ou clients pour un prestataire — dans une seule installation, chacune avec ses données cloisonnées côté serveur. Désactivée, l'application se comporte exactement comme en mono-entité ; l'activation est réversible et n'écrit aucune donnée.

Mono ou multi-entités ? Restez en mono si vous pilotez un seul SMSI, même réparti sur plusieurs sites. Passez en multi quand chaque périmètre doit avoir ses données cloisonnées et ses droits distincts : filiales à SMSI séparés, ou prestataire (MSSP) gérant plusieurs clients. Point d'attention structurant : l'entité principale impose le référentiel NIS2 et les échelles de cotation à toutes les sous-entités — c'est ce qui rend les scores comparables dans une vue groupe, mais cela suppose une même méthode. Si vos filiales cotent le risque différemment, tranchez cette convention avant d'activer le multi-entités.
Sélecteur de périmètre multi-entités
Le sélecteur de périmètre — bandeau, titre et favicon badgés
1
Activation et sous-entités

Paramètres → Multi-entités (admin) : cochez « Mode activé », ajoutez vos sous-entités (quota selon licence ; une entité archivée ne consomme pas de quota et garde ses données). Le bouton « Pré-remplir » copie les défauts sûrs (échelles, référentiel, cibles) — jamais les données métier.

2
Profils de droits par section

Trois niveaux — Rien (invisible), Lecture, Écriture — par section, avec un « bloc SMSI cœur » indissociable (risques, menaces, actions, SoA, contrôles, audits, NC, actifs). Une nouvelle entité démarre sans aucun droit (fail-closed). Le référentiel NIS2 et les échelles de cotation sont imposés par l'entité principale : les cotations restent comparables dans tout le groupe.

3
Comptes rattachés et SSO

Un compte rattaché à une (ou plusieurs) sous-entités ne voit que son périmètre — la recherche globale comprise. Les admins restent des comptes principaux. Une sous-entité d'accueil par défaut peut être définie pour les comptes provisionnés en SSO.

4
Navigation sans confusion

Sélecteur « Périmètre » dans l'en-tête, bandeau permanent, titre d'onglet préfixé et favicon badgé — impossible d'éditer la mauvaise entité par mégarde (confirmation à la première édition après bascule).

5
Vue groupe consolidée

Console « Toutes les entités » (lecture seule) : 12 sections consultables en consolidé avec badge d'entité d'origine, filtres par entité et tris ; tuile « Vue groupe » sur le Dashboard (dernière activité et état d'édition par entité).

Console consolidée multi-entités
La console consolidée — toutes les entités, badges d'origine et filtres
6
Opérations groupées

Assistant de répartition (déplacer des éléments entre périmètres : copie vérifiée avant suppression, les objets liés restent à la source) et sauvegarde/restauration globale de toutes les partitions en un fichier, avec instantané automatique avant écrasement.

Attention : l'assistant de répartition déplace uniquement les éléments de la section choisie ; les objets liés (actions, contrôles, actifs rattachés) restent dans le périmètre d'origine. La copie est vérifiée avant suppression de la source (aucune perte) ; les doublons déjà présents sont ignorés.

Import/export cloisonné : chaque export JSON porte l'estampille de son périmètre ; le serveur bloque le réimport dans un autre périmètre (confirmation explicite requise). On ne mélange jamais deux entités par accident.

12. La transversalité en pratique

Intérêt méthodologique

Arrêter de refaire trois fois le même contrôle : Vous connaissez la philosophie (chapitre 1) ; voici la mécanique concrète — ce qui se passe réellement quand vous documentez, et comment en tirer le meilleur parti.

Essayez la transversalité, ici, maintenant

Ce n'est pas une promesse marketing : voici le vrai graphe de correspondances embarqué dans l'application. Cliquez n'importe quel contrôle ISO 27002 — vous verrez les catégories NIS2 / CyFun qu'il couvre, le type de relation et le pourcentage de couverture.

Explorateur de correspondances ISO 27002 → NIS2

93 contrôles, 132 relations pondérées (fondées sur les crosswalks CCB/CyFun et ENISA, revues éditorialement).

Ce qui se met à jour quand vous documentez

Vous évaluez…Effets immédiats
Un contrôle ISO 27002 (statut, CMM) SoA (état effectif dérivé si non saisi) · taux de conformité et Score SMSI · radar des capacités · graphique par domaine · statut « live » côté Mapping transversal (et détection de conflits avec CyFun)
Une exigence CyFun (maturités Doc/Impl) Maturité par catégorie · score NIS2 du Score SMSI · radar NIS2 (3 courbes) · verdict CONFORME/NON CONFORME vs seuils du niveau · statut inféré côté Mapping
Une mesure ReCyF (statut de conformité) Score de conformité pondéré · radar par objectif · score NIS2 du Score SMSI · exports ReCyF

La routine gagnante

Documenter les contrôles ISO Lire le Mapping transversal Évaluer les catégories NIS2 déjà couvertes Traiter les conflits signalés

Le mapping vous dit où regarder d'abord : une catégorie CyFun couverte à 90 % par des contrôles ISO « Vérifiés » s'évalue en quelques minutes preuve à l'appui ; une catégorie sans correspondance demande un vrai chantier. Et un contrôle mappé sur plusieurs référentiels offre le meilleur retour sur investissement — priorisez-le.

Piège de lecture : le score NIS2 (CyFun) est une moyenne des exigences évaluées — 3 exigences à 5/5 sur 218 donnent un beau score vide de sens. Le verdict à seuils (avec sa liste des catégories non évaluées) est là pour corriger cette lecture : fiez-vous au verdict, pas à la moyenne seule.

13. Raccourcis clavier

RaccourciAction
Ctrl/Cmd + SSauvegarde immédiate (partout, même dans un champ)
Ctrl/Cmd + EExport JSON rapide (hors champ de saisie)
Ctrl/Cmd + PRapport PDF complet (hors champ de saisie)
Ctrl/Cmd + DAller au Dashboard (hors champ de saisie)
Ctrl/Cmd + ,Ouvrir les Paramètres
EscapeFermer la modale active / vider la recherche
EnterDans la recherche globale : lancer la recherche

Comment Cyber Assistant se situe

Comparaison factuelle sur les critères qui comptent pour un RSSI du secteur public ou d'une organisation soumise à NIS2. Les cases « Selon l'offre » signalent que le point dépend de l'édition/formule du produit concerné — vérifiez toujours auprès de l'éditeur pour votre besoin précis.

Critère Cyber Assistant Plateformes GRC SaaS Outils open source (type MONARC)
Données 100 % chez vousaucune donnée envoyée à un tiers Oui — local ou votre serveur Hébergées chez l'éditeur Oui (auto-hébergé)
Fonctionne hors ligneun fichier HTML, sans serveur Oui Non Non (serveur requis)
Modèle économique Paiement unique (ou gratuit) Abonnement annuel Gratuit (coût d'exploitation)
ISO 27001/27002 + NIS2 (CyFun & ReCyF) dans un seul outil Oui, nativement Selon l'offre Souvent orienté risque
Transversalité chiffréecorrespondances pondérées entre référentiels 132 relations ISO↔NIS2 Selon l'offre Rarement
Multi-entités cloisonnéfiliales, sites, MSP multi-clients Oui (option serveur) Selon l'offre (souvent premium) Variable
Prise en maintemps avant d'être opérationnel Immédiate (démo en 2 min) Onboarding / déploiement Installation technique

Ce tableau reflète les caractéristiques structurantes de Cyber Assistant et les tendances des catégories concurrentes ; il n'engage aucun éditeur tiers nommé. Les offres évoluent — pour une comparaison à jour sur votre périmètre, demandez-nous une démonstration.

14. Questions fréquentes

Je ne peux pas modifier les données

L'application démarre toujours en lecture seule. Cliquez sur Mode Édition dans l'en-tête (mot de passe en local ; en serveur, le verrou peut être détenu par un collègue — le bandeau vous dit qui, et le compte à rebours quand il expire). Si votre rôle est Lecteur, la lecture seule est permanente.

Mes données ont disparu

En mode local, les données vivent dans le localStorage du navigateur : un nettoyage de cache les efface. Réimportez votre sauvegarde .json, ou restaurez un snapshot (Paramètres → Données). En mode serveur, rechargez simplement — les données sont centralisées.

Le rapport PDF ne s'ouvre pas

Votre navigateur bloque les popups — autorisez-les pour ce site. Les exports SoA et Revue normative s'ouvrent dans un nouvel onglet d'impression.

CyFun ou ReCyF — puis-je changer d'avis ?

Oui, à tout moment (Paramètres → Référentiels → Référentiel NIS2 actif). Rien n'est perdu : les évaluations des deux référentiels coexistent, seuls l'affichage, les scores et les exports basculent.

Changer de niveau CyFun fait-il perdre les évaluations ?

Non. Les évaluations sortant du périmètre sont archivées et restaurées automatiquement si vous remontez de niveau. Même principe côté ReCyF : le degré EI/EE ne fait que filtrer l'affichage.

Documenter un contrôle ISO remplit-il automatiquement NIS2 ?

Non — par choix. Le mapping vous montre la couverture et les écarts (132 correspondances pondérées, détection de conflits), mais chaque référentiel garde son évaluation propre : c'est ce qui rend vos deux dossiers défendables devant un auditeur comme devant l'autorité NIS2.

L'analyse de risques ne se synchronise pas avec le portefeuille

La synchronisation se déclenche aux étapes Résultats et Prévisualisation, au bouton Terminer et à l'import. Vérifiez que le mode édition est actif. Le bouton « Sync vers Risques projets » n'apparaît que sur les analyses Terminées.

Quelle matrice d'impacts choisir ?

Contexte européen généraliste (NIS2/RGPD) : PESTEL/5M/POTI (la plus complète, par défaut). Organisation alignée NIST : NIST SP 800-30. Méthodologie française ANSSI : EBIOS RM.

Comment fonctionne la co-édition en mode serveur ?

Un seul éditeur à la fois par périmètre : verrou global avec battement de cœur toutes les 20 s et expiration en 90 s si un poste disparaît. Les autres consultent en quasi temps réel et voient qui édite. Un administrateur peut reprendre la main ; 5 minutes d'inactivité libèrent le verrou automatiquement.

L'export Excel de mon module est incomplet

L'export par module reflète le tableau affiché : retirez filtres et recherche avant d'exporter, ou utilisez l'export Excel global (Paramètres → Données) qui part des données complètes.

Quelles éditions existent ?

Community (gratuit) : utilise des équivalents ouverts des référentiels — OSC (Open Security Controls) et OSM (Open Security Measures), reformulations libres de droits des mesures ISO —, suffisants pour se former et structurer une démarche. Corporate Local (poste de travail, essai 14 jours) et Corporate Server (+ mode serveur multi-utilisateurs et multi-entités) intègrent le texte normatif officiel ISO 27002, indispensable si vous visez la certification et devez citer les intitulés exacts en audit. Activation par clef de licence CSI2-… dans les Paramètres. CyFun, ReCyF et NIS2 sont disponibles dans toutes les éditions.

Plus accessible que Monarc.

Conseiller Sécurité de l'information — Administration publique

Correspond bien mieux à nos besoins que CISO Assistant.

Responsable sécurité — Secteur industriel

La souveraineté des données était non négociable : ici, tout reste chez nous.

CISO — Opérateur public NIS2

Déjà en production dans plusieurs grands organismes belges et français · Recommandé par des experts du CCB

Vous venez de lire la preuve.

Chaque module de ce manuel existe, fonctionne hors ligne, et se teste en deux minutes dans la démo en ligne — sans compte, sans installation, sans carte bancaire. Et le jour où vous l'adoptez : vous l'achetez une fois, il reste à vous — pas d'abonnement, pas de dépendance.

Ouvrir la démo en ligne → Découvrir les tarifs