Passer au contenu principal

Mettre en place votre conformité dans Tenacy

Un guide pas à pas pour piloter votre conformité dans Tenacy : associer une politique, comprendre les scores, traiter les mesures, planifier des actions et suivre vos contrôles.

Ce guide est conçu pour vous donner une routine claire et reproductible, quelle que soit la politique de sécurité que vous suivez (ISO 27001, NIS2, ou autre).

1. Associer une politique à votre périmètre

Les différentes conformités que vous gérez ne s'appliquent pas de manière homogène sur l'ensemble de votre organisation.

C'est pourquoi dans Tenacy, une politique (référentiel de conformité) s'applique au niveau d'un périmètre. Exemple : NIS 2 France s'appliquera à votre filiale française uniquement, ISO 27001 sur le périmètre de certification défini, etc.

Pour piloter votre conformité dans Tenacy, la première étape est donc d'associer une politique au périmètre concerné.

Rendez-vous dans Socle de sécurité.

Deux cas de figure sont possibles :

  • La politique est déjà associée à un ou plusieurs périmètres : elle apparaît dans les blocs de politiques. Cliquez sur la politique concernée, puis sur Associer un périmètre pour l'étendre à un nouveau périmètre.

  • La politique n'a encore jamais été associée à un périmètre : elle n'apparaît pas dans les blocs de politiques. Cliquez alors sur Associer une politique pour sélectionner une politique publique de notre catalogue ou une politique privée (PSSI, PAS, etc.).

Dans les deux cas, une fois l'association lancée, deux paramètres sont à configurer :

  • Vous pouvez définir un poids (par défaut à 100) qui indique l'importance relative de cette politique dans le calcul de votre score global de conformité. Un poids à 0 permet d'associer la politique sans qu'elle n'impacte votre score.

  • Si la politique a des niveaux de priorité, sélectionnez le niveau qui s'applique au périmètre en question. Exemple : niveaux Essentiel et Important dans ReCyF (NIS 2 France) pour les entités respectivement essentielles ou importantes. Choisir le bon niveau de priorité vous permet d'appliquer les exigences pertinentes à votre périmètre.

2. Comprendre ce qu'est le socle de sécurité

Le socle de sécurité est la vue centrale pour piloter la conformité de votre périmètre. Il rassemble toutes les mesures de sécurité que vous devez mettre en place pour répondre à vos objectifs de conformité sur un périmètre, et vous permet de suivre leur état en un coup d'œil.

Exemple : Socle de sécurité > NIS 2 FR > Périmètre 02

➩ Vous accédez à la liste de toutes les mesures de sécurité à mettre en place pour atteindre la conformité NIS 2 FR sur votre périmètre 02, et leur statut.

4 statuts vous renseignent sur le niveau de mise en place de chacune des mesures :

  • À traiter : vous n'avez encore rien déclaré sur l'implémentation de cette mesure sur votre périmètre.

  • Implémentée : la mesure est mise en place et opérationnelle sur votre périmètre.

  • Implémentée par : le périmètre bénéficie d'une mesure de sécurité gérée par un autre périmètre. Cela peut par exemple être le cas pour un SOC ou un CSIRT gérés en central pour l'ensemble de l'organisation.

  • Non implémentée : la mesure n'est pas encore en place sur votre périmètre.

Le socle vous permet de procéder à un état des lieux de la conformité sur un périmètre. Le traitement de la conformité par mesure permet de rationaliser le travail de multi-conformité :

  • Si vous venez d'associer une première politique à ce périmètre, la majorité des mesures apparaîtra en "À traiter" et vous saurez exactement d'où vous partez.

  • Si ce périmètre était déjà utilisé dans Tenacy avec d'autres politiques, une partie des mesures sera peut-être déjà implémentée : vous ne repartez pas de zéro, et le socle vous montre précisément la marche à franchir pour cette nouvelle conformité.

3. Attribuer un statut aux mesures à traiter

Débutons l'état des lieux. Filtrez sur les mesures "À traiter" de votre socle de sécurité.

Pour chacune de ces mesures, posez-vous la question : est-ce que cette mesure est déjà en place sur mon périmètre ?

  • Si oui, renseignez-la comme "implémentée"

  • Si non, indiquez qu'elle est "non-implémentée"

💡 Notre conseil : réservez le statut Non implémentée aux mesures pour lesquelles vous partez vraiment de zéro. Si une mesure existe déjà dans votre organisation, même partiellement ou imparfaitement, indiquez-la comme Implémentée et améliorez-la ensuite via des actions d'amélioration. L'objectif est qu'aucune mesure ne reste durablement en "Non implémentée" : c'est le signe qu'il y a un travail concret à engager.

4. Vérifier si des actions doivent être planifiées pour améliorer l'efficacité des mesures

Pour les mesures déjà implémentées, il est possible que leur efficacité soit encore perfectible. Si vous identifiez des axes d’amélioration, vous pouvez créer une ou plusieurs actions d’amélioration liées à cette mesure.

  • Pour chaque action, vous indiquez de combien elle pourrait augmenter l’efficacité (par exemple 25%).

  • Lorsqu’une action d'amélioration est créée, l’efficacité de la mesure est diminuée automatiquement de ce pourcentage (100% - 25% = 75%)

    • 💡Si plusieurs actions sont en cours, leurs impacts se cumulent (par exemple, deux actions de 25% ramèneront l’efficacité à 50%).

  • À chaque fois qu’une action est terminée, l’efficacité de la mesure récupère les points de cette action.

Pour créer une action d'amélioration, ouvrez la mesure concernée dans le socle de sécurité, puis cliquez sur "Ajouter une action d'amélioration".

Vous pouvez alors :

  • Renseigner son nom (par défaut le nom de la mesure)

  • Préciser l'impact sur l'efficacité de la mesure

  • Ranger l'action dans le plan d'action de votre choix

  • Assigner un responsable.

5. Planifier les éventuelles actions d'implémentation pour les mesures non implémentées

En filtrant sur "Non-implémentée" dans votre socle, vous retrouvez les mesures qui ne sont pas encore en place.

Pour chaque mesure que vous souhaitez implémenter, vous allez créer une action d'implémentation. Une fois terminée, cette action fera automatiquement basculer la mesure en statut "implémentée" et améliorera directement votre score de conformité.

Pour créer une action d'implémentation, ouvrez la mesure concernée dans le socle de sécurité, puis cliquez sur "Ajouter une action d'implémentation".

Vous pouvez alors :

  • Renseigner son nom (par défaut le nom de la mesure)

  • Ranger l'action dans le plan d'action de votre choix

  • Assigner un responsable.

Pour aller plus loin dans le suivi de votre plan d'action

Une fois vos actions créées, rendez-vous dans votre plan d'action pour les compléter. Pour chaque action, vous pouvez renseigner une date de début et une date cible, définir une priorité, et rendre la preuve obligatoire à la complétion si vous le souhaitez.

Ces éléments rendront la collaboration plus fluide et le suivi plus rigoureux : chaque responsable sait ce qu'il doit faire, pour quand, et avec quelle preuve à l'appui.

💡 Notre conseil : priorisez les mesures dont la mise en place est réaliste à court terme et qui couvrent des exigences prioritaires de votre politique. Un effort ciblé sur quelques mesures bien choisies peut faire progresser votre score significativement.

6. Ajouter des contrôles récurrents à vos mesures implémentées

Une mesure implémentée ne suffit pas à garantir un bon niveau de sécurité dans la durée. Les contrôles récurrents sont des vérifications planifiées à intervalles réguliers qui permettent de mesurer si une mesure fonctionne bien.

Exemple : vérifier chaque mois que les sauvegardes sont réalisées, ou chaque trimestre que les accès aux systèmes sensibles sont à jour.

💡 Pourquoi les contrôles sont-ils importants ?

  • Sans contrôle récurrent, Tenacy applique à la mesure un score d'opérations de 75% par défaut. En ajoutant de vrais contrôles avec des résultats, vous obtenez un score mesuré qui reflète la réalité de votre sécurité.

  • De plus, les contrôles permettent de détecter rapidement une dégradation de l'efficacité d'une mesure avant qu'elle ne devienne un problème.

  • Enfin, en cas d'audit, les auditeurs demanderont des preuves attestant que vos mesures sont bien suivies dans le temps. Les contrôles récurrents vous permettent de répondre à cette exigence facilement et de démontrer, preuves à l'appui, que votre démarche est bien opérationnelle.

Filtrez sur les mesures "Implémentées" de votre socle de sécurité. Ouvrez une mesure puis cliquez sur "Ajouter un contrôle".

Pour chaque mesure de sécurité, Tenacy vous suggère automatiquement des contrôles deux types de contrôles récurrents : tâches récurrentes et indicateurs.

  • Cochez les tâches récurrentes et/ou indicateurs avec lesquels vous souhaitez monitorer la mesure de sécurité.

    • Vous pouvez consulter le détail en cliquant sur l'icône "info" à côté de chaque contrôle.

  • Assignez un responsable.

  • Rangez les tâches récurrentes dans le registre de votre choix.

💡 Notre conseil : n'ajoutez que des contrôles que vous êtes en mesure de réaliser réellement et régulièrement. Un contrôle non réalisé est compté comme un échec et détériore votre score. Pas besoin de tout cocher : un seul contrôle bien tenu par mesure peut suffire à la maintenir dans le temps. Mieux vaut peu de contrôles bien tenus que beaucoup d'abandonnés.

7. Suivre l'avancement des contrôles et des actions, et relancer les contributeurs en retard

Une fois vos plans d'action et de contrôle ainsi construits, suivez régulièrement leur avancement :

  • pour vos actions d'implémentation et d'amélioration : depuis le module Plans d'action

  • pour vos contrôles récurrents

    • depuis le module Tâches récurrentes

    • ou depuis le module Tableau de bord pour les indicateurs

Si vous constatez du retard, vous pouvez relancer par email les contributeurs directement depuis la plateforme. Pour cela, suivez les instructions de cet article.

💡 Notre conseil : un suivi hebdomadaire ou bimensuel des actions et contrôles vous permet d'anticiper les dérives avant qu'elles n'impactent votre score de conformité ou ne retarde significativement votre mise en conformité. Intégrez cette vérification dans votre routine de pilotage de la conformité.

8. Comprendre les différents scores d'une politique

Maintenant que vous avez associé une politique, qualifié vos mesures, planifié vos actions et mis en place des contrôles récurrents, vous disposez de tous les éléments pour comprendre ce que vos scores de conformité représentent vraiment. Ces scores reflètent directement la qualité et la maturité du travail accompli dans votre socle de sécurité.

Tenacy distingue trois scores de conformité, qui évoluent automatiquement avec votre avancement :

Score déclaratif

Calculé à partir des évaluations que vous saisissez manuellement pour chaque exigence. C'est le mode de départ, avant toute mise en place de mesures concrètes (➡️en savoir plus).

Score de couverture

Calculé automatiquement en fonction des mesures que vous avez mises en place, de leur taux de couverture des exigences, et de leur efficacité (➡️en savoir plus).

Couverture : Tenacy traduit chaque exigence d'une politiques en mesures de sécurité (logiciel, processus, équipe permettant de sécuriser un périmètre). Une mesure peut permettre à elle seule la conformité à une exigence : sa couverture est alors de 100. D'autres combinaisons sont possibles si plusieurs mesures sont nécessaires à la conformité sur cette exigence : 4 mesures couvrant chacune 25, 1 mesure à 60 - l'autre à 40, etc.

Efficacité : Votre niveau de confiance dans le bon fonctionnement de la mesure de sécurité. Lorsque vous identifiez des dysfonctionnements à résoudre, vous créez des actions d'amélioration qui réduisent mécaniquement l'efficacité de votre mesure.

Score mesuré

Le plus précis des trois, il intègre en plus la performance opérationnelle de vos mesures : résultats des contrôles récurrents et des indicateurs(➡️en savoir plus).

💡Ces 3 scores sont consultables depuis le module "Politiques".

9. Répéter le cycle pour maintenir et améliorer votre conformité

La conformité n'est pas un état que l'on atteint une fois pour toutes : c'est un processus continu. Une fois que vous avez parcouru les étapes précédentes, répétez-les régulièrement à partir de l'étape 4 pour identifier de nouvelles opportunités d'amélioration.

Ce cycle peut être mis en place à la fréquence qui vous convient : mensuel pour une organisation structurée, trimestriel pour un démarrage progressif.

En résumé, voici le cycle à suivre de manière récurrente :

  • Identifier les mesures à améliorer parmi les mesures implémentées.

  • Planifier de nouvelles actions d'implémentation pour les mesures non implémentées.

  • Mettre en place des contrôles récurrents pour garantir la performance dans la durée des mesures implémentées.

  • Vérifier que vos actions et contrôles récurrents sont bien réalisés et relancer les contributeurs en retard.

  • Analyser l'évolution de votre score et ajuster vos priorités.

💡 Votre score de conformité dans Tenacy reflète l'état réel de vos mesures et contrôles. Plus vous alimentez régulièrement la plateforme, plus il devient un outil de pilotage fiable pour votre organisation.

Avez-vous trouvé la réponse à votre question ?