Vous venez de prendre en main un compte Tenacy existant, que ce soit en tant que nouveau pilote reprenant un suivi déjà initié ou en tant que référent RSSI local intervenant sur une partie du périmètre.
Vous n'avez pas eu de passation formelle et devez donc comprendre par vous-même ce qui a été fait, ce qui est en cours et ce qui reste à traiter.
Ce guide vous propose une checklist de démarrage en 4 étapes pour vous orienter rapidement dans Tenacy et identifier les actions prioritaires.
1. Vérifier quels référentiels sont prioritaires pour votre contexte
Commencez par identifier les politiques (référentiels de conformité) associées à votre périmètre.
💡 C'est le point de départ de tout pilotage dans Tenacy : chaque politique associée à un périmètre définit les mesures à évaluer, génère un score de conformité et permet de suivre dans le temps votre progression face à vos obligations réglementaires ou engagements internes.
Pour cela, rendez-vous dans Performance > Périmètres. Localisez le périmètre qui vous intéresse dans l'arbre, ou retrouvez-le via la barre de recherche. En cliquant dessus, vous accédez à la liste des politiques suivies sur ce périmètre.
Exemple : ce périmètre est ici soumis à la Politique Groupe et à NIS 2 FR.
Posez-vous les questions suivantes :
Ces politiques sont-elles bien alignées avec les obligations réglementaires ou les engagements de votre organisation ?
Y a-t-il des politiques associées qui ne concernent pas votre contexte et qui alourdissent inutilement le pilotage ?
Manque-t-il des politiques auxquelles ce périmètre est assujetti ?
Cette première étape vous permet d'avoir une vue claire du cadre dans lequel vous allez travailler avant d'aller plus loin.
2. Vérifier l'état du socle de sécurité
ℹ️ Le modèle Tenacy en bref
Dans Tenacy, chaque exigence d'une politique est traduite en mesure de sécurité concrète : logiciels, processus, équipes contribuant à la sécurisation du périmètre.
Ce mapping s'appuie sur un référentiel unifié de mesures, ce qui rend possible la multi-conformité : une même mesure peut couvrir plusieurs politiques à la fois. Implémenter une mesure, c'est donc potentiellement améliorer votre score sur plusieurs référentiels simultanément.
Le socle de sécurité est la vue centrale pour piloter la conformité de votre périmètre. Il rassemble toutes les mesures de sécurité que vous devez mettre en place pour répondre à vos objectifs de conformité sur un périmètre, et vous permet de suivre leur état en un coup d'œil.
Exemple : Socle de sécurité > NIS 2 FR > Périmètre 02
➩ Vous accédez à la liste de toutes les mesures de sécurité à mettre en place pour atteindre la conformité NIS 2 FR sur votre périmètre 02, et leur statut.
Avant toute chose, il est donc important de faire un état des lieux de ce qui a été renseigné et de ce qui reste à traiter. Pour cela, allez dans Socles de sécurité > Toutes les mesures > votre périmètre.
💡 Cette vue est particulièrement utile si votre périmètre est soumis à plusieurs politiques : toutes les mesures sont regroupées en un seul endroit.
Vérifiez les points suivants :
Mesures à traiter - renseigner le statut d'implémentation
Filtrez sur les mesures "A traiter". Pour chacune de ces mesures, posez-vous la question : est-ce que cette mesure est déjà en place sur mon périmètre ?
Si oui, renseignez-la comme "implémentée"
Si non, indiquez qu'elle est "non-implémentée"
💡 Notre conseil : réservez le statut Non implémentée aux mesures pour lesquelles vous partez vraiment de zéro. Si une mesure existe déjà dans votre organisation, même partiellement ou imparfaitement, indiquez-la comme Implémentée et améliorez-la ensuite via des actions d'amélioration (voir ci-dessous). L'objectif est qu'aucune mesure ne reste durablement en "Non implémentée" : c'est le signe qu'il y a un travail concret à engager.
Mesures implémentées - identifier de possibles axes d'amélioration
Pour les mesures déjà implémentées, il est possible que leur efficacité soit encore perfectible. Si vous identifiez des axes d’amélioration, vous pouvez créer une ou plusieurs actions d’amélioration liées à cette mesure.
Exemple : La mesure "Programme de sensibilisation" est implémentée mais vous savez qu'elle n'est que partiellement efficace car seules certaines équipes ont été formées. Une action d'amélioration associée pourrait être : "Étendre le programme de sensibilisation à l'ensemble des collaborateurs du périmètre".
Pour créer une action d'amélioration, ouvrez la mesure concernée dans le socle de sécurité, puis cliquez sur "Ajouter une action d'amélioration".
Vous pouvez alors :
Renseigner son nom (par défaut le nom de la mesure)
Préciser l'impact sur l'efficacité de la mesure
Ranger l'action dans le plan d'action de votre choix
Assigner un responsable.
Mesures non implémentées - confirmer ou mettre à jour leur statut
Filtrez sur "Non-implémentée". Les mesures déclarées comme non implémentées le sont-elles toujours ? Il est possible que des actions aient été menées depuis sans que Tenacy ait été mis à jour.
Au clic sur une mesure, vous accédez à sa description et pouvez voir si une action d'implémentation y est liée : c'est un bon premier indicateur pour évaluer si du travail a déjà été engagé.
Si vous constatez que le statut n'est plus à jour, deux options s'offrent à vous pour passer la mesure en implémentée :
Si une action d'implémentation est liée : suivez le lien vers cette action et passez-la en statut "Terminé" et enregistrez. Dans la pop-up qui s'ouvre, cliquez sur "Implémenter la mesure" au survol de la ligne, puis sur "Créer" pour valider.
Vous pouvez aussi réinitialiser la mesure en cliquant sur le bouton en haut à droite de la mesure. Son statut repassera en "À traiter" et l'éventuelle action d'implémentation associée sera supprimée. Vous pourrez alors la qualifier comme implémentée.
⚠️ Attention, si vous avez filtré sur "non implémentée", pensez à basculer le filtre sur "À traiter" pour retrouver votre mesure après réinitialisation.
3. Vérifier que les contrôles sont bien suivis
Une mesure implémentée ne suffit pas à garantir un bon niveau de sécurité dans la durée. Les contrôles récurrents (tâches récurrentes et indicateurs) sont des vérifications planifiées à intervalles réguliers qui permettent de mesurer si une mesure fonctionne bien.
Cependant, des contrôles créés par un pilote précédent peuvent ne plus être suivis si personne n'en a la charge. Nous allons donc passer en revue les tâches récurrentes et les indicateurs actifs sur votre périmètre.
Les tâches récurrentes sont-elles suivies ?
Dans le module Tâches récurrentes, filtrez dans les différents registres auxquels vous avez accès sur les tâches récurrentes liées à votre périmètre. Vous allez rapidement pouvoir voir si les tâches récurrentes sont alimentées grâce au code couleur.
Si la majorité des occurrences est verte (Fait ok) ou bleue (Fait KO), la tâche récurrente est suivie et remplit bien son rôle de contrôle :
Vous pouvez la conserver.
Si la majorité des occurrences est rouge (Non fait) ou jaune (en retard), la tâche récurrente n'est pas bien suivie.
Vous pouvez la réassigner si une autre personne est mieux placée pour la suivre. Ouvrez la tâche récurrente et changez son responsable, puis enregistrez.
Ou vous pouvez la supprimer, si personne ne peut en assurer le suivi ou qu'elle n'est plus pertinente. Cochez la tâche récurrente dans la liste et cliquez sur "supprimer".
Les indicateurs sont-ils à jour ?
Dans Tenacy, les indicateurs sont calculés à partir de métriques : ce sont les briques de base qui alimentent le calcul.
Exemple : l'indicateur "Réalisation des scans internes" est le ratio entre les métriques "Plages d'IP internes à scanner" et "Plages d'IP internes scannées".
Pour qu'un indicateur reflète la réalité, chacune des métriques qui le compose doit être renseignée sur chaque période.
Pour vérifier l'état des métriques sur votre périmètre, rendez-vous dans Contributions > Métriques et filtrez sur le périmètre qui vous intéresse. En cliquant sur une métrique, vous pouvez voir si les dernières périodes ont bien été renseignées ou si des valeurs sont manquantes.
Si le suivi d'une métrique n'est pas satisfaisant, deux options s'offrent à vous depuis Tableaux de bord > Métriques :
Réassigner la métrique : ouvrez la métrique concernée et sélectionnez le bon utilisateur ou groupe depuis l'onglet "Affectations et délégations". Quelqu'un doit être clairement responsable de son alimentation.
Supprimer la métrique : si personne ne peut assurer son suivi, il vaut mieux la supprimer. Notez que vous devrez d'abord supprimer tout indicateur contenant cette métrique avant de pouvoir la retirer. Des instructions plus précises sont disponibles dans cet article.
💡 Notre conseil : si un contrôle n'est pas suivi, il vaut mieux le supprimer que de le laisser inactif. Des contrôles non alimentés ont un impact négatif sur votre score et alourdissent inutilement votre pilotage. L'objectif est de ne conserver que les contrôles que vous pouvez réellement suivre. Mieux vaut un suivi réduit mais fiable qu'un tableau de bord incomplet.
4. Passer en revue vos plans d'action
Les plans d'action regroupent les actions d'implémentation et les actions d'amélioration liées aux mesures de votre socle. Il est fréquent, lors d'une reprise de compte, de retrouver des actions dont le statut n'est plus à jour : des actions marquées "en cours" alors qu'elles ont été finalisées, ou des actions "à faire" qui ne sont plus d'actualité.
Pour chaque plan d'action actif sur votre périmètre :
Vérifiez que le statut de chaque action reflète bien la réalité actuelle.
Clôturez les actions qui ont été réalisées mais non mises à jour.
Identifiez les actions encore ouvertes qui nécessitent une prise en charge de votre part.
💡 Un plan d'action à jour est essentiel pour que votre score dans Tenacy reflète fidèlement l'état réel de votre sécurité. Des actions obsolètes ou mal qualifiées peuvent fausser votre lecture du pilotage.
Et maintenant ?
À l'issue de cette checklist, vous avez une vision claire de l'état du compte que vous reprenez : les référentiels actifs et pertinents, les mesures à traiter en priorité, les contrôles réellement suivis et des plans d'action à jour. Vous êtes en mesure de démarrer un pilotage fiable et représentatif de votre contexte. Nous vous recommandons de consulter notre article Mettre en place sa conformité dans Tenacy pour aller plus loin dans votre démarche de conformité.







