Par où lire, selon votre rôle ?
Le manuel est complet ; voici le chemin le plus utile selon votre fonction. Cliquez votre rôle :
Comment tout s'articule
Avant d'entrer dans le détail des cinq piliers, voici la vue d'ensemble : une seule méthode (le cycle ISO Plan-Do-Check-Act), pilotée par la gouvernance au centre, qui relie les méthodologies et normes (ISO 27001/27002/27005, NIS2 CyFun & ReCyF, NIST CSF, EBIOS RM) aux fonctions concrètes de l'outil — le tout unifié par le moteur de transversalité (132 correspondances).
- Analyse des risques — wizard 8 étapes
- Matrice d'impacts — 3 grilles
- Déclaration d'applicabilité (SoA) — 93 contrôles
- Actifs essentiels & parties prenantes
- Contrôles ISO 27002 — 93 mesures
- Menaces (traitement ISO 27005)
- Socle de sécurité NIS2
- Dashboard — Score SMSI consolidé
- Contrôles NIS2 CyFun — 218 exigences
- Mesures ReCyF — 152 mesures
- Audits · KPI · Revues de direction
- Plan d'actions — 6 types de lien
- Non-conformités (détection → clôture)
- Budget cybersécurité
1. La philosophie : un SMSI, deux boussoles
- SMSI : Système de Management de la Sécurité de l'Information (le dispositif de pilotage décrit par l'ISO 27001).
- SoA : Statement of Applicability — la Déclaration d'applicabilité des 93 contrôles (clause 6.1.3).
- CMM : Capability Maturity Model — échelle de maturité en 5 niveaux (Initial → Répétable → Défini → Géré → Optimisé).
- CIA : Confidentiality, Integrity, Availability — les trois critères de sécurité (Confidentialité, Intégrité, Disponibilité).
- RTO / RPO : durée maximale d'interruption tolérée (RTO) et perte de données maximale acceptable (RPO).
- PDCA : Plan-Do-Check-Act — la boucle d'amélioration continue au cœur de l'ISO 27001.
La plupart des organisations européennes doivent aujourd'hui répondre à deux logiques complémentaires : bâtir un système de management de la sécurité (ISO/CEI 27001 pour l'ossature, ISO/CEI 27002 pour les 93 mesures concrètes) et démontrer leur conformité réglementaire NIS2 (via CyFun 2025 en Belgique ou le ReCyF de l'ANSSI en France, tous deux adossés au NIST CSF 2.0). Cyber-Assistant est conçu dès l'origine pour mener ces deux chantiers en même temps, dans le même outil, sans double saisie ni tableur parallèle.
Un cockpit pour les trois missions du RSSI
1. Gouverner par le risque
Dashboard, KPI, plan d'actions, budget cyber, revues de direction, parties prenantes — le pilier Gouvernance.
2. Prouver la conformité
ISO 27001/27002, SoA, NIS2 CyFun et ReCyF, preuves et exports d'audit — les piliers Fondations, Contrôles et NIS2.
3. Maîtriser les analyses
ISO 27005, NIST SP 800-30, PESTEL, EBIOS RM, probabilité × gravité, matrices d'impacts — le pilier Risques projets.
Le versant ISO — le système de management
L'ISO 27001 structure votre SMSI (contexte, leadership, risques, amélioration — clauses 4 à 10, suivies dans la Revue normative) et l'ISO 27002 fournit les 93 mesures de l'Annexe A, évaluées en statut, maturité CMM et efficacité. C'est le versant certification : SoA, audits, revues de direction, non-conformités.
Le versant NIS2 — l'obligation réglementaire
La directive (UE) 2022/2555 impose des mesures de gestion des risques cyber. Cyber-Assistant embarque les deux déclinaisons nationales : CyFun 2025 (CCB Belgique, 218 exigences, double maturité documentation/implémentation, verdict calculé sur les seuils officiels du CCB) et ReCyF (ANSSI France, 152 mesures, statuts de conformité et mesures alternatives). C'est le versant autorité de contrôle.
Le pont entre les deux mondes
Le cœur différenciant de l'application est son moteur de transversalité : un graphe de 132 correspondances pondérées entre les contrôles ISO 27002 et les catégories CyFun/NIST CSF 2.0, fondé sur les travaux du CCB et de l'ENISA. Chaque relation porte son type (Équivalent, Couvre, Couvert par, Lié), son pourcentage de couverture et sa note justificative. Le moteur fonctionne dans les deux sens et affiche en direct l'état d'implémentation réel de chaque côté — y compris les conflits de statut (un contrôle ISO « Vérifié » face à une catégorie CyFun encore vide, par exemple).
La nature réelle du mapping — à assumer devant un auditeur
Les 132 correspondances s'appuient sur les crosswalks publics ISO 27002:2022 ↔ NIST CSF 2.0 et sur la structuration CyFun 2025 du CCB ; les pourcentages de couverture et types de relation résultent d'une expertise éditoriale (Cyber-Assistant), non d'un mapping certifié par une autorité. Chaque relation porte sa note justificative : traitez le mapping comme une aide à la priorisation revue par vos soins, pas comme une preuve de conformité opposable. C'est plus solide parce que c'est plus honnête.
Effort valorisé deux fois
Chaque mesure ISO documentée est visible dans la couverture NIS2 via le mapping — vous priorisez les contrôles qui servent les deux conformités.
Cohérence surveillée
Le détecteur de conflits signale les statuts divergents entre référentiels — les incohérences se voient avant l'audit, pas pendant.
Un score, deux mondes
Le Score SMSI du tableau de bord pondère ISO (40 %), NIS2 (30 %) et maîtrise des risques (30 %) — la direction lit une seule jauge.
Deux déclinaisons nationales
Belgique (CyFun, maturité + verdict aux seuils officiels du CCB) ou France (ReCyF, conformité ANSSI avec mesures alternatives) : vous choisissez, l'outil s'adapte — onglets, radars, scores et exports.
Le menu incarne la méthode
La barre de navigation n'est pas un simple sommaire : ses 5 piliers suivent la logique de construction d'un SMSI conforme, du socle vers la preuve réglementaire. Ce manuel suit exactement le même ordre — chaque chapitre porte la couleur de son pilier dans le menu.
2. Prise en main
- SoA (93 contrôles) : comptez une demi-journée à une journée pour un premier passage « applicable / non applicable + source », puis un affinage continu.
- Évaluation CyFun IMPORTANT (133 exigences, double maturité) : 1 à 3 jours de travail collectif ; ESSENTIAL (218 exigences) : prévoyez plusieurs ateliers.
- Analyse de risques d'un projet via le wizard : 20 à 45 minutes une fois le contexte et l'architecture connus.
0 serveur externe
Vos données restent chez vous — poste de travail ou votre propre serveur.
0 installation
Un fichier HTML dans un navigateur suffit. Fonctionne hors ligne.
0 donnée qui sort
Privacy by Design par construction : aucun compte, aucun cloud, aucun tracker.
Intérêt méthodologique
Cyber-Assistant fonctionne entièrement dans votre navigateur : aucune installation, aucun cloud, aucune dépendance externe — même les bibliothèques graphiques sont embarquées. Vos données restent sur votre poste (ou sur votre serveur en mode collaboratif) : c'est le principe de souveraineté des données, appliqué à l'outil de pilotage lui-même.
L'assistant de premier lancement
Au premier démarrage, un assistant vous configure en une passe — chaque choix reste modifiable ensuite dans les Paramètres :
Français ou English — l'interface complète, le manuel et les exports suivent ce choix.
ISO 27001/27002 sont toujours actifs ; vous activez les référentiels complémentaires selon votre périmètre.
Belgique — CyFun 2025 (CCB) : choix du niveau d'assurance (BASIC, IMPORTANT, ESSENTIAL) et de la langue des exigences (EN/FR) ; ou France — ReCyF (ANSSI) : choix du degré Entité Importante (76 mesures) ou Entité Essentielle (152 mesures).
En mode local : création obligatoire du mot de passe d'édition (18 caractères min., majuscule, minuscule, caractère spécial). En mode serveur : création du premier compte administrateur, vérification technique du serveur et acquittement de l'usage en réseau local.
L'assistant présente le hub ISO 27002 ↔ NIS2/NIST et la fonction multi-entités avant de vous laisser la main.
CSI2-… (bloquante si l'essai est expiré). En mode serveur s'ajoutent la vérification technique du serveur, un avertissement d'usage en réseau local (acquittement obligatoire) et la création du premier compte administrateur. En édition Community, un écran rappelle que les référentiels ouverts (OSC/OSM) ne sont pas les textes ISO officiels. Selon votre parcours, l'assistant enchaîne ainsi jusqu'à une quinzaine d'écrans conditionnels — chacun reste modifiable ensuite dans les Paramètres.
Vos premiers pas
Saisissez quelques éléments d'essai pour sentir les liaisons entre modules (une démo en ligne complète existe aussi sur cyber-assistant.com). Quand vous démarrez pour de bon : Paramètres → Zone Danger → Réinitialisation — un snapshot de sécurité est créé automatiquement avant l'effacement.
L'application démarre toujours en lecture seule. Cliquez sur Mode Édition dans l'en-tête (mot de passe local, ou verrou d'édition en mode serveur).
Sauvegarde automatique toutes les 30 secondes (+ avant fermeture et à la perte de focus), indicateur « Enregistré à HH:MM:SS » dans l'en-tête, Ctrl+S pour forcer.
Paramètres → Données → Exporter (.json) : fichier intégral horodaté, avec hash d'intégrité, réimportable à tout moment.
Le mode local en détail : fonctionnement & points d'attention
Le mode local est le mode par défaut : il n'exige ni serveur, ni compte, ni connexion. Bien le comprendre évite la seule vraie mauvaise surprise possible — la perte de données par méconnaissance du stockage navigateur.
Comment ça fonctionne
- Tout se passe dans le navigateur. L'application est un fichier HTML autonome : les bibliothèques (graphiques, PDF…) sont embarquées, aucune requête réseau n'est émise, aucun compte ni cloud n'est requis, aucun tracker n'est chargé.
- Vos données vivent dans le
localStorage. C'est le coffre local du navigateur, propre à l'origine (le fichier ou le domaine d'où l'app est ouverte) et au profil de navigateur utilisé. La sauvegarde est automatique toutes les 30 secondes, avant fermeture et à la perte de focus. - Fonctionne hors ligne. Une fois le fichier ouvert, plus besoin d'Internet : idéal en environnement cloisonné (air-gap), en déplacement, ou sur un poste isolé.
- Protection en écriture. L'app démarre toujours en lecture seule ; le passage en édition exige le mot de passe local (18 caractères minimum, dérivé côté client par PBKDF2 — il ne quitte jamais le poste et ne déchiffre rien de sensible côté serveur puisqu'il n'y a pas de serveur).
.json (Paramètres → Données) et rangez-la ailleurs que sur le poste — ou passez en mode serveur pour une centralisation durable.
Les points d'attention, un par un
- Pas de synchronisation entre appareils. Les données ne suivent pas automatiquement d'un poste ou d'un navigateur à l'autre. Pour transférer votre SMSI ailleurs : exportez un
.jsonici, réimportez-le là-bas (ou passez en mode serveur, centralisé). - Effacement = perte. Un nettoyage de cache, une réinstallation du navigateur ou une session privée fermée effacent le
localStorage. La sauvegarde.json(horodatée, avec hash d'intégrité) et les snapshots locaux (points de restauration, Paramètres → Données) sont votre filet. - Limite de taille. Le
localStorageest plafonné par le navigateur (de l'ordre de 5 Mo par origine). Un SMSI très fourni — beaucoup de risques, d'actifs, d'analyses de risques ou plusieurs entités — peut s'en approcher. Une jauge de stockage (Paramètres) vous situe et vous alerte ; au-delà, allégez (archivage, exports) ou passez en mode serveur, sans cette limite. - Un seul utilisateur à la fois. Le mode local n'a ni comptes nominatifs ni édition concurrente : c'est un outil mono-poste. Pour travailler à plusieurs et tracer qui modifie quoi (clause 5.3), le mode serveur est fait pour ça.
- Mettre à jour l'outil ne touche pas vos données. Remplacer le fichier HTML par une version plus récente conserve le
localStorage. Après une mise à jour ou une restauration, lancez les auto-tests (Paramètres) : tout vert = intégrité confirmée.
Diagnostic express : par où commencer ?
Trois réponses pour orienter votre démarrage — référentiel NIS2, périmètre et point de départ :
Par où commencer ?
Vos réponses restent dans votre navigateur — rien n'est envoyé.
3. L'interface
Intérêt méthodologique
L'écran est organisé en trois zones : la barre d'en-tête (pilotage permanent), le ruban de navigation à deux lignes (5 piliers thématiques, puis les onglets du pilier sélectionné) et la recherche globale. La construction suit l'esprit du cycle PDCA sans l'enfermer : les Fondations et l'appréciation du risque relèvent surtout du Plan ; la mise en œuvre et l'évaluation des Contrôles couvrent Do et Check ; les revues, audits, KPI et non-conformités de la Gouvernance portent le Check et l'Act. La plupart des modules servent plusieurs phases — c'est voulu : un SMSI n'est pas une chaîne linéaire mais une boucle d'amélioration continue.

Barre d'en-tête
Manuel d'utilisation
Ouvre ce manuel complet, bilingue FR/EN.
Mode Édition
Bascule lecture seule ↔ édition. Mot de passe en local, verrou d'édition global en mode serveur.
Traçabilité
Journal horodaté de toutes les opérations (qui, quoi, quand) — filtrable, consultable en un clic.
Paramètres
Configuration, sécurité, données, référentiels, utilisateurs, multi-entités.
Thème
Cycle entre 4 thèmes : Clair, Sombre, Poudre (défaut), Bleu. Les graphiques suivent.
Indicateur de sauvegarde
« Enregistré à HH:MM:SS » — l'autosave tourne toutes les 30 s.

Traçabilité — journal d'audit
Chaque ajout, modification, suppression, import, export ou changement de configuration est horodaté : colonnes Date · Utilisateur · Action · Catégorie · Cible · Détails. Six types d'action (Ajout, Modification, Suppression, Import, Export, Configuration) et 18 catégories couvrant tous les registres. Filtre par type d'action et recherche plein texte sur la cible ; bouton Effacer l'historique (verrouillé en lecture seule). En mode serveur, l'utilisateur tracé est le compte JWT ; en local, « utilisateur local ».
En mode serveur s'ajoutent : l'indicateur de présence (« N connecté(s) » avec les noms en infobulle), l'identité du compte avec bouton de déconnexion, et le bandeau de mode qui affiche en continu qui détient le verrou d'édition (« Édité par {nom} » avec compte à rebours d'expiration).

Le ruban de navigation à deux lignes
Ligne 1 : les 5 piliers colorés. Ligne 2 : les onglets du pilier sélectionné. Un point sur un pilier indique que l'onglet actif s'y trouve. Les onglets NIS2 affichés dépendent du référentiel national choisi (CyFun : Contrôles NIS2 + Socle de sécurité ; ReCyF : Mesures ReCyF).
| Pilier | Onglets | Ancrage |
|---|---|---|
| 1. Fondations du SMSI | Déclaration d'applicabilité, Revue normative, Menaces, Actifs essentiels, Parties prenantes, Structure documentaire | ISO 27001 clauses 4-7 |
| 2. Gouvernance du SMSI | Dashboard, Risques SMSI, Plan d'actions, Non-conformités, Revues de direction, KPI, Budget Cybersécurité | ISO 27001 clauses 8-10 |
| 3. Contrôles du SMSI | Contrôles ISO27002, Audits, Mapping transversal | ISO 27002:2022 — Annexe A |
| 4. Gestion des risques projets | Analyse des risques, Risques projets, Matrice d'impacts | ISO 27005:2022, EBIOS RM, NIST SP 800-30 |
| 5. Conformité NIS2 | Contrôles NIS2 ou Mesures ReCyF, Socle de sécurité | NIS2, CyFun 2025, ReCyF, NIST CSF 2.0 |
Mode lecture / mode édition
Mode lecture
- Actif par défaut à chaque démarrage — aucune modification accidentelle possible
- Idéal pour consulter en comité ou pendant un audit
- En mode serveur, l'écran se rafraîchit périodiquement : vous voyez les modifications des autres en quasi temps réel
Mode édition
- Déverrouille toutes les modifications, sauvegarde automatique toutes les 30 s
- Local : mot de passe d'édition (politique 18+/maj/min/spécial, haché SHA-256)
- Serveur : verrou d'édition global — un seul éditeur à la fois par périmètre, libération automatique après 5 min d'inactivité
Recherche globale
La barre centrale indexe tous les registres : actions, risques, menaces, NC, audits, revues, parties prenantes, documents, contrôles ISO, exigences CyFun, mesures ReCyF, KPI, actifs, risques projets, SoA, revue normative, lignes budgétaires, socle, analyses de risques et matrices d'impacts. Recherche insensible aux accents, résultats classés par pertinence avec termes surlignés ; un clic navigue vers le module et ouvre la fiche quand c'est possible. Enter lance la recherche, Escape vide le champ.
La recherche renvoie jusqu'à 30 résultats classés par pertinence. En mode multi-entités, elle est limitée au périmètre chargé (une bannière l'indique) : utilisez la console « Toutes les entités » pour une vue consolidée.
Tout objet du SMSI est à deux gestes : taper trois mots, cliquer le résultat. La recherche s'étend automatiquement à tout nouveau registre ajouté à l'application.
Fondations du SMSI
27001 ≠ 27002 — et vous documentez les deux
La Revue normative évalue votre système de management (clauses 4-10 : avez-vous un contexte, un leadership, un processus de revue ?). Les Contrôles ISO 27002 évaluent vos mesures de sécurité concrètes (les 93 contrôles de l'Annexe A). Un certificat ISO 27001 exige les deux : un SMSI qui tourne (Revue normative) et des mesures en place et justifiées (SoA + Contrôles). Comptez la Revue normative comme votre auto-diagnostic « suis-je certifiable ? » et les Contrôles comme votre « qu'est-ce que je protège, et comment ? ».
Cas d'usage — « L'auditeur arrive dans 3 semaines »
Situation : votre certificateur demande la SoA et les preuves. Dans l'outil : Contrôles ISO → renseignez statut + preuve, la SoA dérive l'état seule → PDF Audit (bloc signatures) en un clic. 93 lignes justifiées, zéro tableur.
Intérêt méthodologique
Les fondations répondent aux clauses 4 à 7 de l'ISO 27001:2022 (contexte, leadership, planification, support). Sans inventaire d'actifs, l'analyse de risques est incomplète ; sans SoA justifiée, l'auditeur ne peut pas valider votre périmètre ; sans registre des parties prenantes, les responsabilités restent orales. Côté NIS2, ces mêmes registres nourrissent les fonctions Gouverner et Identifier du NIST CSF 2.0 (contexte organisationnel, gestion des actifs, rôles et responsabilités).
Déclaration d'applicabilité (SoA)
La SoA (Statement of Applicability) est le premier document qu'un auditeur de certification demande : pour chacun des 93 contrôles de l'Annexe A, vous déclarez s'il est applicable, d'où vient l'exigence, où en est l'implémentation, qui en est propriétaire, quelles preuves existent et quels risques le justifient.
| Champ | Valeurs exactes |
|---|---|
| Applicable | Oui / Non — le motif d'exclusion est effacé automatiquement si le contrôle redevient applicable |
| Source de l'exigence | Risque identifié · Exigence légale · Exigence contractuelle · Bonne pratique · Exigence réglementaire · Exigence métier — exactement la traçabilité attendue par la clause 6.1.3 |
| État d'implémentation | Non démarré · Planifié · En cours · Implémenté · Vérifié |
| Risques associés | Multi-sélection dans le registre des risques SMSI — badges colorés par niveau, cliquables |
| Preuves & revue | Référence preuves, date de dernière revue, justification détaillée, commentaires horodatés (max 10) |
Bandeau d'indicateurs : compteurs Applicables / Non applicables, jauge d'implémentation (vert ≥ 80 %, orange ≥ 50 %) et couverture par domaine. Filtres par applicabilité et domaine, tris par référence, applicabilité ou implémentation.
PDF Public (classifié « Interne ») : synthèse exécutive et matrice de couverture, sans propriétaires ni preuves — remettable à un client. PDF Audit (classifié « Confidentiel ») : qualité documentaire (% propriétaires, % preuves, fraîcheur des revues), répartition par source de sélection, motifs d'exclusion, bloc signatures (Responsable SMSI, Direction, 3ᵉ signataire) et historique de versions — un dossier de préparation d'audit structuré, prêt à présenter et à signer côté gouvernance. Il référence vos preuves (procédures, journaux, tickets), qui restent dans vos outils : l'auditeur les demandera en séance.
Revue normative
Auto-évaluation clause par clause du corps de la norme ISO 27001:2022 : 30 exigences réparties sur les 7 chapitres (4 Contexte, 5 Leadership, 6 Planification, 7 Supports, 8 Fonctionnement, 9 Évaluation de la performance, 10 Amélioration). Le texte intégral de chaque exigence est affiché sous sa référence, en français comme en anglais — pas besoin d'avoir la norme ouverte à côté.
Statuts : Conforme · Partiellement conforme · Non conforme · Non applicable, avec responsable, justification, document/preuve (lien sécurisé), dates de dernière et prochaine revue. Le bandeau affiche le taux de conformité global (calculé sur les 30 clauses).
Le PDF Audit génère un dossier « PACK AUDIT CERTIFICATION » complet : statuts colorés par chapitre, preuves, dates de revue, puis une checklist de préparation d'audit pré-remplie qui pointe vers la SoA, les KPI, les audits internes, les revues de direction et les non-conformités. Votre auto-évaluation devient un dossier de préparation d'audit — il prouve que votre démarche est pilotée et que vous savez où sont vos preuves ; il ne remplace pas les preuves elles-mêmes.
Menaces
Registre des menaces pesant sur l'organisation, cotées en impact × probabilité (échelles 1-5 partagées avec les risques SMSI) : le niveau (Critique → Insignifiant, score 1-25) se recalcule en direct dans la modale pendant la saisie — pédagogique en atelier. Chaque menace porte sa décision de traitement (Réduction, Acceptation, Transfert, Évitement — les quatre options ISO 27005) et se rattache aux actifs essentiels et aux actions du plan.
La modale comporte aussi un champ Contexte (visible en fiche, pas dans le tableau). Les niveaux sont stockés en français canonique même en interface anglaise — utile à savoir pour les exports bruts.
Actifs essentiels
L'inventaire pivot de l'application : chaque actif tient sur une ligne sa classification complète — là où d'autres outils demandent trois registres.
| Dimension | Valeurs |
|---|---|
| Type (ISO 27005/EBIOS) | Matériel · Logiciel · Code source · Réseau · Service · Document · Employé · Locaux · Organisation |
| Importance | Normal · Important · Critique |
| Continuité | RTO, RPO et 4 niveaux de reprise (Haute disponibilité → Reprise prolongée) |
| Confidentialité / Intégrité | Public → Très sensible / Faible → Critique |
| Impact | Sociétal · Opérationnel · Financier · Réputation · Réglementaire |
| RGPD & MFA | Données personnelles sensibles (oui/non) · Obligation MFA (Non implémenté / Partiel / Implémenté / Externe) avec badge d'alerte |
Les actifs se lient aux risques, menaces, actions et non-conformités (badges cliquables, navigation dans les deux sens). Un tag contenant « obsol… » déclenche un badge d'alerte rouge — convention pratique pour marquer les composants obsolètes. Les titres de la section sont personnalisables (bouton Renommer) : utilisez-la par exemple comme registre de « Services essentiels NIS2 ».
Parties prenantes
Registre des parties intéressées et intervenants du SMSI (nom, rôle, contact, commentaires). C'est aussi le référentiel des responsables : les listes « Responsable » du plan d'actions et des non-conformités sont alimentées par ce registre.
Piège : une création sans nom échoue silencieusement (aucun message) ; et deux homonymes sont traités comme une seule personne (appariement par nom). Renommez toujours via la modale plutôt que de recréer.
Structure documentaire

L'index maître de votre pyramide documentaire : chaque document est classé sur 4 niveaux (Politique → Processus → Procédure → Enregistrement), avec son type de livrable, l'outil qui l'héberge (GED, SharePoint, GLPI…) et son lien d'accès. Ce n'est volontairement pas une GED : l'application indexe et prouve la maîtrise documentaire, vos documents restent dans vos outils. Les liens sont filtrés (http/https uniquement) et ouverts de façon sécurisée.
À noter : le tri libellé « Titre » ordonne en fait par Type de livrable (seul champ obligatoire du formulaire) ; les puces de tri de ce tableau restent décoratives.
Gouvernance du SMSI
La routine de gouvernance — cadence recommandée
Chaque semaine : traiter les alertes du Dashboard (actions en retard, risques critiques). Chaque mois : mettre à jour les KPI (une phrase de commentaire suffit) et l'avancement du plan d'actions. Chaque trimestre : revue de direction — exportez le PDF du Dashboard, passez les non-conformités ouvertes, décidez des risques en zone rouge, tracez les décisions.
Critère de déclenchement d'action : tout risque en zone Critique/Grave doit porter au moins une action datée ; toute NC majeure aussi, dès sa détection. Pour les KPI, visez des cibles nettes : couverture MFA 100 %, tests de sauvegarde ≥ 2/an, sensibilisation ≥ 90 %.
Intérêt méthodologique
La gouvernance couvre le pilotage opérationnel (clauses 8, 9 et 10) : appréciation et traitement des risques, actions correctives, non-conformités, revues de direction, indicateurs et budget. Les modules sont interdépendants par construction : un risque génère des actions, une NC déclenche une action corrective rattachée à son audit d'origine, et le Dashboard agrège le tout en continu — côté ISO comme côté NIS2 (art. 20 : responsabilité des organes de direction).
Dashboard
Le cockpit du RSSI, actif par défaut au démarrage. Tout y est cliquable : chaque tuile, alerte ou graphique navigue vers son module.
Le Score SMSI — une jauge, trois composantes
- ISO 27001 : taux de contrôles implémentés ou vérifiés parmi les contrôles applicables au sens de la SoA ;
- NIS2 : maturité moyenne CyFun (ramenée sur 100) ou taux de conformité ReCyF selon le référentiel actif ;
- Risques maîtrisés : part des risques hors zones Critique/Grave.
Pondération : ISO × 0,40 + NIS2 × 0,30 + Risques × 0,30 (bascule automatique sur 55/45 si NIS2 est désactivé). Couleur de l'arc : vert ≥ 70, orange ≥ 40, rouge en dessous.
Zones du tableau de bord
- Alertes & Priorités : risques critiques, actions en retard, audits sous 30 jours, projets à risque — chaque alerte est un lien direct.
- Tuiles KPI avec sparklines : Conformité globale, Contrôles implémentés, Actions en cours, Risques critiques, Non-conformités (+ ligne secondaire : analyses projets, actifs, menaces, audits, documents). Les mini-courbes de tendance s'alimentent automatiquement au fil des modifications.
- Radar de maturité ISO 27002 : moyenne CMM par capacité opérationnelle (15 axes de la norme), avec courbe de cible paramétrable.
- Radar NIS2 adaptatif : en CyFun, 3 courbes (Cible / Documentation / Implémentation, échelle 0-5) ; en ReCyF, conformité en % par objectif de sécurité — le radar change de nature avec le référentiel, sans configuration.
- Matrice des risques 5×5 : positionnement Impact × Probabilité, colorisée par la grille de cotation active du module Analyse des risques (cohérence transverse).
- Graphiques compacts : répartition des risques, maturité CMM, statut des actions, contrôles par domaine, projets, évolution des actions par priorité sur 6 mois.
- Activité récente : le fil du journal de traçabilité, cliquable.
Risques SMSI
Le registre central des risques de sécurité de l'information :
- Cotation : Impact (1 Négligeable → 5 Grave) × Probabilité (1 Très improbable → 5 Très probable) ; niveau recalculé en direct — score ≥ 20 Critique, ≥ 15 Grave, ≥ 10 Significatif, ≥ 5 Mineur, sinon Insignifiant.
- Traitement : Réduction, Acceptation, Transfert, Évitement.
- Validation CODIR : date de passage en comité saisissable directement dans le tableau — le jalon de gouvernance sans ouvrir de fiche.
- Liens : actions de traitement (une action peut couvrir plusieurs risques), actifs impactés, contrôles SoA justifiés par le risque.
Ce registre porte les risques permanents du SI, ceux qui justifient vos contrôles SoA. À ne pas confondre avec la méthode ISO 27005 complète (avis daté sur un projet), qui vit dans le pilier Risques projets : voir le schéma « Deux niveaux de risque, un seul fil ISO 27005 ».
Plan d'actions

Le plan d'actions unique et transversal du SMSI. Chaque action est rattachée à sa source — six types de lien : Contrôle (ISO 27002 et exigences CyFun, via un sélecteur recherchable groupé par référentiel), Risque (multi-sélection), Non-conformité, Audit, Menace ou Amélioration continue.
- Suivi : priorité (Critique/Haute/Moyenne/Faible), statut (Planifié/En cours/Terminé/Annulé), échéance, responsable (alimenté par les parties prenantes), avancement 0-100 %.
- Synchronisation intelligente : passer une action à 100 % la termine automatiquement, la terminer force 100 % — inutile de saisir les deux.
- Commentaires horodatés : historique append-only des échanges (max 10 par action).
- Filtres : par type de lien, par valeur (avec entrée « Non assigné »), par statut. Le filtre Audit est transitif : il remonte aussi les actions des NC rattachées à l'audit — la vue « plan de remédiation d'un audit » complète.
Le sélecteur de contrôles est multi-référentiels : une action peut traiter un contrôle ISO 27002 ou une exigence CyFun groupée par fonction NIST (Gouverner → Rétablir). Un seul plan d'actions pour les deux conformités — fini les listes parallèles.
Non-conformités
Cycle de vie outillé en 4 étapes : Détection → Analyse → Action → Clôture, avec type (Majeure/Mineure), responsable, audit d'origine et actifs concernés. Le compteur du Dashboard ne décroît qu'à la clôture — une NC en analyse reste ouverte. Le tri par défaut fait remonter les Majeures.
Revues de direction
Le journal des revues de management — la preuve d'implication de la direction exigée en certification : date, participants, éléments d'entrée examinés, décisions et actions arrêtées, commentaires horodatés. Volontairement simple : qui, quand, quoi examiné, quoi décidé.
KPI
Vos indicateurs « maison » : couverture MFA, taux de sensibilisation, tests de sauvegarde… Chaque KPI porte une progression 0-100 % (barre visuelle) et un commentaire éditable directement dans le tableau — zéro friction pour la mise à jour mensuelle avant revue de direction. Documentez la valeur cible dans la description.
Budget Cybersécurité

Pilotage budgétaire pluriannuel par lignes de dépense : intitulé, catégorie (personnalisables), responsable, statut d'engagement (Planifié / Engagé / Réalisé) et montant par année. Les années sont entièrement configurables (ajout, retrait, renommage — les montants suivent le renommage), triple lecture instantanée par année, par catégorie et par statut : cartes KPI, barres empilées par statut, répartition par catégorie, table groupée avec sous-totaux.
Trois restitutions : Imprimer/PDF (graphiques figés en images), export HTML autonome (fichier unique partageable hors application) et export Excel structuré (lignes typées Ligne/Sous-total/Total pour filtrer sans double-compter).
Contrôles du SMSI
Intérêt méthodologique
Les 93 contrôles ISO 27002:2022 sont le muscle de votre SMSI — et, grâce aux 132 correspondances vers CyFun/NIST CSF, chaque contrôle documenté ici éclaire aussi votre couverture NIS2. C'est le pilier où l'effort investi rapporte deux fois.
Contrôles ISO27002

| Domaine | Contrôles | Exemples |
|---|---|---|
| Organisationnel (5.x) | 37 | Politiques, rôles, gestion d'actifs, contrôle d'accès |
| Humain (6.x) | 8 | Sélection, sensibilisation, fin de contrat |
| Physique (7.x) | 14 | Périmètre, protection équipements, bureau propre |
| Technologique (8.x) | 34 | Authentification, chiffrement, journalisation |
Le texte normatif (titre, mesure, recommandations) est intégral, bilingue et verrouillé ; votre fiche de suivi porte l'évaluation :
- Statut : Non implémenté · En cours · Implémenté · Vérifié
- Maturité CMM : Initial · Répétable · Défini · Géré · Optimisé — alimente le radar par capacité opérationnelle
- Efficacité mesurée : Efficace · Partiellement efficace · Non efficace · Non testé
- Fréquence de revue : mensuelle à annuelle, ou sur changement
- Propriétaire, dernière évaluation, preuves/artefacts, KPI associé
Chaque contrôle affiche ses attributs ISO natifs : type (Préventif / Détectif / Correctif) et capacités opérationnelles. Les descriptions se déplient d'un clic sans ouvrir la fiche. Filtres par domaine, statut et maturité ; tris par référence, titre, statut ou maturité.
Statut + CMM + efficacité + preuves + fréquence de revue + propriétaire + KPI : de quoi soutenir un audit de certification sans tableur annexe. Et si la SoA déclare un contrôle non applicable, sa fiche l'affiche en alerte avec le lien direct vers la ligne SoA concernée.
Audits
Le programme d'audit complet : Audit interne, Audit externe, Certification, Surveillance — tout le cycle de certification dans un registre simple (périmètre, dates planifiée/d'exécution, auditeur, statut, constatations, recommandations).
- Pastille de retard automatique sur l'onglet de navigation : un audit dont la date planifiée est dépassée (et non réalisé/annulé) se signale sans même ouvrir le module.
- Chaînage audit → NC → actions correctives : les NC référencent leur audit d'origine, le plan d'actions filtre par audit (y compris transitif via les NC).
- Flux naturel : planifier l'audit, puis le rouvrir après réalisation pour saisir date d'exécution, constatations et recommandations.
Mapping transversal
La salle des cartes entre vos référentiels — visible dès que deux référentiels sont actifs. Choisissez un référentiel source et un référentiel cible :
- Vue liste : pour chaque contrôle source, ses correspondances en badges — type de relation (Équivalent, Couvre, Couvert par, Lié), % de couverture, note justificative en infobulle et pastille du statut réel du contrôle cible. Un « Équivalent 90 % » vers une cible rouge = un écart à traiter en priorité.
- Vue matrice : heatmap catégories × catégories (nombre de relations + couverture moyenne, vert ≥ 70 %) — la vision macro pour arbitrer.
- Détection de conflits : un triangle orange signale les statuts divergents entre contrôles mappés — l'incohérence inter-référentiels se voit d'un coup d'œil.
- Statistiques : relations totales, couverture moyenne, contrôles mappés/couverts de chaque côté.


132 correspondances sourcées (crosswalks publics ISO ↔ NIST CSF 2.0, structuration CyFun 2025 du CCB), pondérées et justifiées par expertise éditoriale — et le mapping lit les évaluations réelles des deux côtés en direct. Ce n'est pas une table statique : c'est votre tableau de bord de couverture croisée ISO ↔ NIS2 (une aide à la priorisation, pas une preuve opposable).
Convaincu ? Testez la démo — 2 min, sans compte.
Gestion des risques projets
Deux niveaux de risque, un seul fil ISO 27005
C'est le point le plus souvent confondu. Cyber-Assistant sépare volontairement deux objets de risque qui partagent la même méthode (ISO 27005) mais répondent à deux questions différentes :
Risques SMSI
« Quels risques structurels justifient mes contrôles ? »
- Objet : le registre permanent du SI
- Périmètre : toute l'organisation
- Sortie : contrôles SoA justifiés + plan d'actions
- ISO 27001 : §6.1.2 / 6.1.3 / 8.2 / 8.3
- Cadence : continue, revue en CODIR
Risques projets
« Ce projet précis est-il sûr à lancer ? »
- Objet : une analyse datée, avis feu tricolore
- Périmètre : un projet, un actif, un changement
- Sortie : avis de sécurité + PDF numéroté
- Méthode : wizard ISO 27005 complet (8 étapes)
- Cadence : à chaque nouveau projet
La règle simple : on lance une analyse projet pour décider si un projet peut démarrer ; on alimente le registre Risques SMSI pour piloter dans la durée les risques qui engagent l'organisation. L'un ne remplace pas l'autre : l'analyse ponctuelle nourrit le SMSI permanent.
Cas d'usage — « Un nouveau projet exposé sur Internet »
Situation : on vous demande un avis sécurité avant la mise en ligne d'un service manipulant des données personnelles. Dans l'outil : lancez une analyse — au cadrage, cochez « exposé Internet » + « données sensibles », le moteur présélectionne les scénarios attaque externe, divulgation et privacy et fait remonter les questions IAM et Logs. En 20-45 min, vous sortez un avis feu tricolore daté et un PDF numéroté.
Intérêt méthodologique
Ce pilier implémente l'ISO/CEI 27005:2022 en mode opérationnel : un assistant guidé produit un avis de sécurité type « feu tricolore » sur chaque projet (comme un organisme de contrôle interne), le portefeuille suit tous les projets analysés, et les matrices d'impacts (PESTEL/5M/POTI, NIST SP 800-30, EBIOS RM) homogénéisent la cotation entre analystes.
Analyse des risques
La liste d'accueil présente toutes vos analyses : Titre · Créée le · Statut (Brouillon/Terminée) · Score n/5 · Feu tricolore · Revue (en rouge si dépassée, surlignée à ≤ 30 jours). Par ligne : Ouvrir, Dupliquer (repart en brouillon, résultats et n° de rapport effacés — idéal pour l'analyse N+1 à partir de N), PDF, Export/Import .analyse, Sync vers Risques projets (analyses Terminées) et Supprimer. Boutons d'en-tête : Nouvelle analyse et Importer (un fichier .analyse est toujours importé en copie, avec anti-duplication des matrices et seuils embarqués).

L'assistant en 10 étapes (8 étapes méthodologiques + prévisualisation et export) :
Identité du projet (bénéficiaire, chef de projet, encodeur, validateur), périmètre (obligatoire), sensibilité des données, référentiel source (OWASP, STRIDE, EBIOS RM, NIST SP 800-30, MITRE ATT&CK…), matrice d'impact à utiliser.
Confidentialité, Intégrité, Disponibilité sur 3 niveaux justifiés ; présence de données personnelles (art. 4) et sensibles (art. 9), registre des traitements (art. 30).
RTO/RPO en heures avec qualification en direct (Très strict → Souple) — un régime strict durcit la cotation résiduelle.
Hébergement (on-premise/cloud/hybride), exposition Internet, SSO/MFA/séparation admin, dossier d'architecture.
24 questions sur 8 domaines (IAM, SDLC, Vulnérabilités, Logs & détection, Données, Infrastructure, Réseau & crypto, Continuité) — statuts Implémenté / Partiel / Planifié / À vérifier / Non / N/A, maturité et feu par domaine.
Catalogue de 10 scénarios (attaque externe, divulgation, élévation de privilèges, ransomware, supply chain, mauvaise configuration, déni de service, détection insuffisante, privacy, interne) avec présélection intelligente selon le contexte, cotation vraisemblance × impact, traitement et propriétaire — plus vos risques personnalisés.
Jusqu'à 10 recommandations clefs de l'évaluateur (À faire / Fait) — elles pilotent l'avis — et date de prochaine revue.
Avis de sécurité (favorable / favorable sous conditions / défavorable), criticité inhérente, % de mesures, risque résiduel (+ risque ouvert), registre coté, matrice 5×5, radar des 8 domaines et recommandations automatiques. Corrections manuelles possibles, avec justification tracée.
Rapport complet navigable — cadre méthodologique ISO 27005, PDCA, formule de scoring, registre enrichi.
PDF professionnel (n° de rapport auto-attribué et figé, logo, radar) et fichier .analyse réimportable.


35 règles contextuelles (MFA, secrets, SBOM — inventaire logiciel, WAF — pare-feu applicatif, sauvegardes immuables, PRA — plan de reprise…) génèrent des recommandations priorisées P1/P2 avec effort estimé, rationale, actions concrètes et critère de complétude — dynamiquement pondérées par l'exposition Internet, la sensibilité CIA, le RTO/RPO et les scénarios retenus, plafonnées à 12 pour rester actionnables. Ces référentiels (OWASP, STRIDE, EBIOS RM, NIST SP 800-30, MITRE ATT&CK…) ne changent pas le calcul : ils documentent la source méthodologique de votre analyse dans le rapport — vous n'avez pas à tous les maîtriser.
Comment l'avis est calculé
L'avis combine trois grandeurs : la criticité inhérente (max des impacts CIA × vraisemblance des scénarios retenus), le taux de mesures en place (questionnaire 24 questions) et le risque résiduel après mesures. Règle de lecture par défaut : risque résiduel en zone verte et mesures clefs faites → favorable ; zone jaune ou mesures « Planifié » non faites → favorable sous conditions (l'outil badge alors l'avis comme conditionnel) ; zone rouge ou mesure critique absente → défavorable. Toute correction manuelle de l'avis est tracée avec justification — l'auditeur voit qui a arbitré et pourquoi.
.analyse embarque la grille et la matrice d'impact : l'analyse voyage complète entre instances, sans perte de fidélité.
Risques projets
Le portefeuille des projets analysés : une ligne par projet avec statut feu tricolore (Vert / Jaune / Rouge / À réaliser / Suspendue), priorité P0-P3, numéro de rapport et recommandations pointées « Implémenté ». Deux KPI de tête : analyses réalisées et recommandations implémentées — le suivi post-analyse que la plupart des outils oublient.
Les entrées issues d'une analyse portent un badge « Auto » cliquable qui rouvre l'analyse source ; leurs champs structurants sont verrouillés (c'est l'analyse qui fait foi) mais bénéficiaire, priorité, note et pointage des recommandations restent éditables et survivent aux resynchronisations.
Matrice d'impacts

Fini la cotation « au doigt mouillé » : l'évaluateur choisit, dimension par dimension, le niveau dont la description factuelle correspond (pertes chiffrées, utilisateurs impactés, sanctions RGPD/NIS2…) — l'impact global est le maximum des dimensions évaluées, et la décomposition est tracée jusque dans le rapport PDF.
| Matrice livrée | Niveaux | Dimensions | Contexte |
|---|---|---|---|
| PESTEL/5M/POTI (générique) | 5 | 10 | Europe — grille de crise, RGPD, NIS2 |
| NIST SP 800-30 Rev. 1 | 5 | 6 | Cadre NIST — seuils financiers et réglementaires chiffrés |
| EBIOS RM / ISO 27005 | 4 | 5 | France — échelle de gravité ANSSI |
Chaque niveau porte une capacité de réponse graduée — de la gestion courante jusqu'au déclenchement de la cellule de crise : la cotation d'impact rejoint la gouvernance de crise. Les matrices sont duplicables et entièrement éditables (niveaux — 5 maximum, alignés sur l'échelle 1-5 —, dimensions, descriptions de cellules, sauvegarde automatique en cours de frappe).
Bon à savoir : l'impact global est toujours le maximum des dimensions évaluées (le sélecteur d'agrégation reste documentaire). Modifier une matrice ne recalcule pas rétroactivement les impacts déjà appliqués — rouvrez « Évaluer via matrice ». La grille EBIOS RM (4 niveaux) plafonne l'impact à 4.
Conformité NIS2
Cas d'usage — « NIS2 : par où commencer ? »
Situation : vous devez démarrer votre mise en conformité NIS2 sans savoir où mettre l'effort. Dans l'outil : confirmez d'abord votre niveau (voir ci-dessous), puis ouvrez le Mapping transversal : les catégories déjà couvertes par vos contrôles ISO « Vérifiés » s'évaluent en quelques minutes preuve à l'appui ; les catégories sans correspondance sont vos vrais chantiers. Vous priorisez par le retour sur investissement, pas au hasard.
Intérêt méthodologique
La directive NIS2 (UE) 2022/2555 se décline nationalement. Cyber-Assistant embarque les deux référentiels officiels : CyFun 2025 (Centre for Cybersecurity Belgium — l'outil d'auto-évaluation NIS2 belge, structuré NIST CSF 2.0) et ReCyF (ANSSI — le Référentiel Cyber France et ses moyens acceptables de conformité). Vous choisissez votre référentiel au premier lancement ou dans Paramètres → Référentiels ; onglets, radars, scores et exports s'adaptent instantanément — et aucune donnée n'est perdue si vous changez d'avis, les évaluations des deux référentiels coexistent.
| CyFun 2025 — Belgique (CCB) | ReCyF — France (ANSSI) | |
|---|---|---|
| Structure | 6 fonctions NIST CSF 2.0, 22 catégories, 218 exigences | 20 objectifs de sécurité, 28 thématiques, 152 mesures |
| Périmètre | Niveau d'assurance : BASIC (34 exigences), IMPORTANT (133), ESSENTIAL (218) | Degré : Entité Importante (76 mesures, obj. 1-15), Entité Essentielle (152, obj. 1-20) |
| Évaluation | Double maturité 1-5 : Documentation + Implémentation | Statut de conformité par mesure (6 valeurs, dont Mesure alternative) |
| Verdict | Seuils officiels CCB par niveau → CONFORME / NON CONFORME | % de conformité pondéré (Conforme = 1, Partiel = 0,5, Alternative = 1) |
| Radar Dashboard | Maturité 0-5 par catégorie (Cible / Doc / Impl) | Conformité 0-100 % par objectif |
| Onglets affichés | Contrôles NIS2 + Socle de sécurité | Mesures ReCyF |
Contrôles NIS2 (CyFun 2025)

Les 218 exigences sont organisées selon les 6 fonctions du NIST CSF 2.0 : Gouverner (GV), Identifier (ID), Protéger (PR), Détecter (DE), Répondre (RS), Rétablir (RC) — 22 catégories au total. Chaque exigence s'évalue sur deux axes de maturité 1-5 (Documentation et Implémentation : Initial → Optimisé), avec justification et preuves.
- Mesures clefs (étoile, ligne surlignée) : 13 en BASIC, 22 en IMPORTANT, 29 en ESSENTIAL — scorées séparément, selon la méthode publiée par le CCB.
- Verdict de conformité : calculé sur les seuils publiés par le CCB pour chaque niveau (BASIC : moyennes ≥ 2,5 ; IMPORTANT : ≥ 3 ; ESSENTIAL : mesures clefs ≥ 3, total ≥ 3,5 et minimum 3 par catégorie) → CONFORME / NON CONFORME, avec liste des catégories non évaluées. C'est une auto-évaluation fidèle à la méthode officielle : elle prépare et anticipe l'évaluation, sans se substituer au jugement de l'autorité de contrôle.
- Exigences liées au management (16, icône immeuble) : revue obligatoire à chaque audit.
- Langue des exigences indépendante de l'interface : texte officiel anglais ou traduction française.
- Filtres par fonction, catégorie, niveau, mesure clef et état d'évaluation.

Mesures ReCyF (France)
L'évaluation fidèle à la logique ANSSI des moyens acceptables de conformité : chaque mesure reçoit un statut — Conforme, Partiellement conforme, Non conforme, Mesure alternative, Non applicable, Non évalué — directement dans le tableau (liste déroulante en ligne : l'évaluation de masse est très rapide) avec justification par mesure.
- Score temps réel : % pondéré (Conforme = 1, Partiel = 0,5, Alternative = 1 — spécificité ANSSI : la mesure alternative justifiée vaut conformité), répartition par statut, progression évaluées/applicables.
- Degrés cumulatifs : Entité Importante (objectifs 1-15) ⊂ Entité Essentielle (objectifs 1-20). Le degré ne filtre que l'affichage et le score : un aller-retour EE → EI → EE ne perd jamais rien.
- Filtres par objectif, thématique, cible (EI/EE ou EE uniquement) et conformité ; radar Dashboard par objectif (bleu ANSSI).
Socle de sécurité

Le support de communication stratégique du RSSI : six cartes alignées sur les fonctions NIST (Gouverner → Rétablir), chacune avec son sous-titre, ses éléments clefs (MFA et accès à privilèges, SIEM, circuit de notification NIS2, DRP avec RTO/RPO testés…) et son chef de projet nommé — la redevabilité NIS2 rendue visible. Contenu pré-rempli, entièrement personnalisable en 4 champs par pilier ; export Excel « une ligne par élément » directement exploitable comme plan de programme. Prêt à projeter en comité de direction.
9. Exports et rapports
Intérêt méthodologique
Un SMSI vivant produit des livrables : dossiers d'audit, supports de revue de direction, restitutions réglementaires (clause 7.5). Chaque registre a sa sortie tabulaire, et trois niveaux de restitution direction existent — tout fonctionne hors ligne, sans aucun CDN, avec échappement systématique et protection anti-injection de formule CSV.
| Export | Où | Format | Usage |
|---|---|---|---|
| Export Excel par module (×16) | bouton du module | CSV (UTF-16LE, séparateur point-virgule) | Le tableau tel qu'affiché — filtres et tris inclus |
| Export Excel global | Paramètres → Données | .xls multi-feuilles | 17 sections au choix, construites depuis les données (indépendant des filtres écran) |
| Rapport PDF complet | Paramètres → Données (ou Ctrl+P) | PDF A4 paginaté | Couverture, table des matières à numéros réels, capture du Dashboard, une section par registre — sélection des sections avant génération |
| Dashboard PDF | bouton du Dashboard | PDF (capture fidèle) | Support de revue de direction — bascule automatique en thème clair |
| SoA — PDF Public / PDF Audit | module SoA | HTML imprimable | Deux audiences : communication externe vs dossier d'audit signé (clause 6.1.3) |
| Pack audit Revue normative | module Revue normative | HTML imprimable | Statuts par chapitre + checklist de préparation d'audit |
| Budget Cybersécurité | onglet Budget | Impression / HTML autonome / CSV structuré | Trois restitutions, graphiques figés en images |
| Analyse de risques | liste ou étape 10 du wizard | PDF + fichier .analyse | Rapport de mission ISO 27005 + format d'échange réimportable (matrice et grille embarquées) |
| Sauvegarde complète | Paramètres → Données (ou Ctrl+E) | .json signé | Dump intégral avec hash d'intégrité et estampille de périmètre |

Précisions : le Budget et le Socle ont des exports « custom » structurés (au-delà des 16 exports de tableaux). L'export Mesures ReCyF fait exception à la règle « écran » : il exporte tout le périmètre du degré courant, filtres ignorés (pour ne jamais tronquer un dossier de conformité).
10. Paramètres et administration
Intérêt méthodologique
La page Paramètres (Ctrl+,) est organisée en sections latérales. Une bonne configuration initiale — cibles de maturité, référentiel NIS2, mot de passe d'édition — conditionne la qualité de tout le pilotage ultérieur.
Général
- Titre de l'application (rebaptisez l'outil à vos couleurs)
- Thème (Clair / Sombre / Poudre / Bleu) et mode compact
- Langue : Français / English
- Cible ISO et Cible NIS2 (1-5) — tracent les courbes de cible des radars
- Logo (PNG/JPEG/SVG, 500 Ko max) — repris dans les rapports
Sécurité
- Mot de passe du mode édition (local)
- Tableau de bord sécurité (Web Crypto, protocole, hachage…)
- En serveur : journal d'audit sécurité, filtrage IP (CIDR), expiration des mots de passe, SSO OIDC
Données
- Export / Import .json (max 10 Mo, migration legacy automatique)
- Import de fichiers
.analyse - Rapport PDF complet, export Excel global
- Snapshots nommés (points de restauration, 10 par défaut) + analyse de qualité des données (doublons, liens invalides)
Analyse de qualité — à lancer avant chaque revue de direction ou dépôt de dossier d'audit : elle détecte les doublons de titres (actions, risques, documents), les contrôles sans capacité opérationnelle et les liens documentaires au protocole non autorisé. Corrigez ces signaux : ce sont exactement les points qu'un auditeur relève.
Référentiels de sécurité
- ISO 27001/27002 : toujours actifs
- Référentiel NIS2 actif : Belgique (CyFun) ↔ France (ReCyF)
- Niveau d'assurance CyFun (BASIC/IMPORTANT/ESSENTIAL) ou degré ReCyF (EI/EE)
- Compteurs de correspondances inter-référentiels
Licence (éditions Corporate)
- Statut : licence active, essai 14 jours, expiration
- Activation par clef
CSI2-…
Avancé & Zone Danger
- Suite d'auto-tests intégrée (~50 vérifications) — utile après mise à jour ou restauration
- Réinitialisation complète (snapshot de sécurité automatique + double confirmation)
Auto-tests — à lancer après une mise à jour de l'outil ou une restauration de sauvegarde. Tous verts = vos données sont cohérentes et l'intégrité est confirmée. Un échec indique une donnée à réimporter depuis un snapshot sain — n'éditez pas par-dessus.
11. Mode serveur & collaboration
Intérêt méthodologique
Souverain ne veut pas dire isolé. Le mode serveur transforme Cyber-Assistant en outil d'équipe : données centralisées sur votre serveur (Apache/PHP — un simple hébergement mutualisé suffit), comptes nominatifs avec rôles, verrou d'édition anti-conflit et traçabilité nominative (clause 5.3 — rôles et responsabilités). L'interface reste identique au mode local.
Comptes et rôles
Jusqu'à 100 collaborateurs en co-édition : Administrateur (tout + gestion des comptes), Éditeur (modifie les données), Lecteur (lecture seule permanente). Pas de suppression de compte : suspension uniquement — la traçabilité est préservée.
Verrou d'édition global
Un seul éditeur à la fois par périmètre : verrou acquis à l'entrée en édition (heartbeat 20 s, expiration 90 s si le poste disparaît), appliqué côté serveur — une écriture sans verrou est refusée. Bandeau « Édité par {nom} » avec compte à rebours, reprise de main admin, libération automatique après 5 min d'inactivité.
Authentification robuste
Sessions JWT de 4 h (renouvelées automatiquement), mots de passe PBKDF2 600 000 itérations, politique 18+ caractères, verrouillage de compte après 3 échecs avec backoff progressif, filtrage IP optionnel (CIDR), expiration de mot de passe configurable.
SSO entreprise (OIDC)
Azure AD/Entra, Google Workspace, Okta, Keycloak… — Authorization Code + PKCE, provisioning automatique au premier login (rôle par défaut Éditeur ou Lecteur, jamais admin), modes « SSO uniquement » ou mixte. Le login mot de passe reste disponible pour l'admin — pas de lock-out possible.
Configuration : Issuer / Client ID / Secret, mode « SSO uniquement » ou « SSO + mot de passe », rôle par défaut (Éditeur/Lecteur), plafond d'utilisateurs SSO (5 à 200), Callback URL à copier dans l'IdP et bouton Tester la connexion. Options avancées pour IAM interne (HTTP autorisé, certificat CA, contournement TLS de test avec avertissement).
Présence en direct
Indicateur « N connecté(s) » dans l'en-tête, initiale du collègue sur l'onglet qu'il consulte, et rafraîchissement automatique en lecture seule : vous voyez le travail des autres sans conflit.
Prérequis modestes
PHP 7.4+ (extensions json, openssl, mbstring, hash), droits d'écriture sur data/, 50 Mo — vérifiés automatiquement par l'assistant de premier lancement. Conçu pour un usage en réseau local/intranet.

Multi-entités : plusieurs périmètres SMSI cloisonnés
Fonction activable (mode serveur, option de licence) : gérez plusieurs entités — filiales, sites, business units, ou clients pour un prestataire — dans une seule installation, chacune avec ses données cloisonnées côté serveur. Désactivée, l'application se comporte exactement comme en mono-entité ; l'activation est réversible et n'écrit aucune donnée.

Paramètres → Multi-entités (admin) : cochez « Mode activé », ajoutez vos sous-entités (quota selon licence ; une entité archivée ne consomme pas de quota et garde ses données). Le bouton « Pré-remplir » copie les défauts sûrs (échelles, référentiel, cibles) — jamais les données métier.
Trois niveaux — Rien (invisible), Lecture, Écriture — par section, avec un « bloc SMSI cœur » indissociable (risques, menaces, actions, SoA, contrôles, audits, NC, actifs). Une nouvelle entité démarre sans aucun droit (fail-closed). Le référentiel NIS2 et les échelles de cotation sont imposés par l'entité principale : les cotations restent comparables dans tout le groupe.
Un compte rattaché à une (ou plusieurs) sous-entités ne voit que son périmètre — la recherche globale comprise. Les admins restent des comptes principaux. Une sous-entité d'accueil par défaut peut être définie pour les comptes provisionnés en SSO.
Sélecteur « Périmètre » dans l'en-tête, bandeau permanent, titre d'onglet préfixé et favicon badgé — impossible d'éditer la mauvaise entité par mégarde (confirmation à la première édition après bascule).
Console « Toutes les entités » (lecture seule) : 12 sections consultables en consolidé avec badge d'entité d'origine, filtres par entité et tris ; tuile « Vue groupe » sur le Dashboard (dernière activité et état d'édition par entité).

Assistant de répartition (déplacer des éléments entre périmètres : copie vérifiée avant suppression, les objets liés restent à la source) et sauvegarde/restauration globale de toutes les partitions en un fichier, avec instantané automatique avant écrasement.
Attention : l'assistant de répartition déplace uniquement les éléments de la section choisie ; les objets liés (actions, contrôles, actifs rattachés) restent dans le périmètre d'origine. La copie est vérifiée avant suppression de la source (aucune perte) ; les doublons déjà présents sont ignorés.
12. La transversalité en pratique
Intérêt méthodologique
Arrêter de refaire trois fois le même contrôle : Vous connaissez la philosophie (chapitre 1) ; voici la mécanique concrète — ce qui se passe réellement quand vous documentez, et comment en tirer le meilleur parti.
Essayez la transversalité, ici, maintenant
Ce n'est pas une promesse marketing : voici le vrai graphe de correspondances embarqué dans l'application. Cliquez n'importe quel contrôle ISO 27002 — vous verrez les catégories NIS2 / CyFun qu'il couvre, le type de relation et le pourcentage de couverture.
Explorateur de correspondances ISO 27002 → NIS2
93 contrôles, 132 relations pondérées (fondées sur les crosswalks CCB/CyFun et ENISA, revues éditorialement).
Ce qui se met à jour quand vous documentez
| Vous évaluez… | Effets immédiats |
|---|---|
| Un contrôle ISO 27002 (statut, CMM) | SoA (état effectif dérivé si non saisi) · taux de conformité et Score SMSI · radar des capacités · graphique par domaine · statut « live » côté Mapping transversal (et détection de conflits avec CyFun) |
| Une exigence CyFun (maturités Doc/Impl) | Maturité par catégorie · score NIS2 du Score SMSI · radar NIS2 (3 courbes) · verdict CONFORME/NON CONFORME vs seuils du niveau · statut inféré côté Mapping |
| Une mesure ReCyF (statut de conformité) | Score de conformité pondéré · radar par objectif · score NIS2 du Score SMSI · exports ReCyF |
La routine gagnante
Le mapping vous dit où regarder d'abord : une catégorie CyFun couverte à 90 % par des contrôles ISO « Vérifiés » s'évalue en quelques minutes preuve à l'appui ; une catégorie sans correspondance demande un vrai chantier. Et un contrôle mappé sur plusieurs référentiels offre le meilleur retour sur investissement — priorisez-le.
13. Raccourcis clavier
| Raccourci | Action |
|---|---|
| Ctrl/Cmd + S | Sauvegarde immédiate (partout, même dans un champ) |
| Ctrl/Cmd + E | Export JSON rapide (hors champ de saisie) |
| Ctrl/Cmd + P | Rapport PDF complet (hors champ de saisie) |
| Ctrl/Cmd + D | Aller au Dashboard (hors champ de saisie) |
| Ctrl/Cmd + , | Ouvrir les Paramètres |
| Escape | Fermer la modale active / vider la recherche |
| Enter | Dans la recherche globale : lancer la recherche |
Comment Cyber Assistant se situe
Comparaison factuelle sur les critères qui comptent pour un RSSI du secteur public ou d'une organisation soumise à NIS2. Les cases « Selon l'offre » signalent que le point dépend de l'édition/formule du produit concerné — vérifiez toujours auprès de l'éditeur pour votre besoin précis.
| Critère | Cyber Assistant | Plateformes GRC SaaS | Outils open source (type MONARC) |
|---|---|---|---|
| Données 100 % chez vousaucune donnée envoyée à un tiers | Oui — local ou votre serveur | Hébergées chez l'éditeur | Oui (auto-hébergé) |
| Fonctionne hors ligneun fichier HTML, sans serveur | Oui | Non | Non (serveur requis) |
| Modèle économique | Paiement unique (ou gratuit) | Abonnement annuel | Gratuit (coût d'exploitation) |
| ISO 27001/27002 + NIS2 (CyFun & ReCyF) dans un seul outil | Oui, nativement | Selon l'offre | Souvent orienté risque |
| Transversalité chiffréecorrespondances pondérées entre référentiels | 132 relations ISO↔NIS2 | Selon l'offre | Rarement |
| Multi-entités cloisonnéfiliales, sites, MSP multi-clients | Oui (option serveur) | Selon l'offre (souvent premium) | Variable |
| Prise en maintemps avant d'être opérationnel | Immédiate (démo en 2 min) | Onboarding / déploiement | Installation technique |
Ce tableau reflète les caractéristiques structurantes de Cyber Assistant et les tendances des catégories concurrentes ; il n'engage aucun éditeur tiers nommé. Les offres évoluent — pour une comparaison à jour sur votre périmètre, demandez-nous une démonstration.
14. Questions fréquentes
Je ne peux pas modifier les données
L'application démarre toujours en lecture seule. Cliquez sur Mode Édition dans l'en-tête (mot de passe en local ; en serveur, le verrou peut être détenu par un collègue — le bandeau vous dit qui, et le compte à rebours quand il expire). Si votre rôle est Lecteur, la lecture seule est permanente.
Mes données ont disparu
En mode local, les données vivent dans le localStorage du navigateur : un nettoyage de cache les efface. Réimportez votre sauvegarde .json, ou restaurez un snapshot (Paramètres → Données). En mode serveur, rechargez simplement — les données sont centralisées.
Le rapport PDF ne s'ouvre pas
Votre navigateur bloque les popups — autorisez-les pour ce site. Les exports SoA et Revue normative s'ouvrent dans un nouvel onglet d'impression.
CyFun ou ReCyF — puis-je changer d'avis ?
Oui, à tout moment (Paramètres → Référentiels → Référentiel NIS2 actif). Rien n'est perdu : les évaluations des deux référentiels coexistent, seuls l'affichage, les scores et les exports basculent.
Changer de niveau CyFun fait-il perdre les évaluations ?
Non. Les évaluations sortant du périmètre sont archivées et restaurées automatiquement si vous remontez de niveau. Même principe côté ReCyF : le degré EI/EE ne fait que filtrer l'affichage.
Documenter un contrôle ISO remplit-il automatiquement NIS2 ?
Non — par choix. Le mapping vous montre la couverture et les écarts (132 correspondances pondérées, détection de conflits), mais chaque référentiel garde son évaluation propre : c'est ce qui rend vos deux dossiers défendables devant un auditeur comme devant l'autorité NIS2.
L'analyse de risques ne se synchronise pas avec le portefeuille
La synchronisation se déclenche aux étapes Résultats et Prévisualisation, au bouton Terminer et à l'import. Vérifiez que le mode édition est actif. Le bouton « Sync vers Risques projets » n'apparaît que sur les analyses Terminées.
Quelle matrice d'impacts choisir ?
Contexte européen généraliste (NIS2/RGPD) : PESTEL/5M/POTI (la plus complète, par défaut). Organisation alignée NIST : NIST SP 800-30. Méthodologie française ANSSI : EBIOS RM.
Comment fonctionne la co-édition en mode serveur ?
Un seul éditeur à la fois par périmètre : verrou global avec battement de cœur toutes les 20 s et expiration en 90 s si un poste disparaît. Les autres consultent en quasi temps réel et voient qui édite. Un administrateur peut reprendre la main ; 5 minutes d'inactivité libèrent le verrou automatiquement.
L'export Excel de mon module est incomplet
L'export par module reflète le tableau affiché : retirez filtres et recherche avant d'exporter, ou utilisez l'export Excel global (Paramètres → Données) qui part des données complètes.
Quelles éditions existent ?
Community (gratuit) : utilise des équivalents ouverts des référentiels — OSC (Open Security Controls) et OSM (Open Security Measures), reformulations libres de droits des mesures ISO —, suffisants pour se former et structurer une démarche. Corporate Local (poste de travail, essai 14 jours) et Corporate Server (+ mode serveur multi-utilisateurs et multi-entités) intègrent le texte normatif officiel ISO 27002, indispensable si vous visez la certification et devez citer les intitulés exacts en audit. Activation par clef de licence CSI2-… dans les Paramètres. CyFun, ReCyF et NIS2 sont disponibles dans toutes les éditions.