Sur Cyberday, vous pouvez consulter un rapport de conformité pour chaque cadre auquel vous souhaitez vous conformer. Le rapport de conformité donne une vue d'ensemble des réponses de votre organisation à chaque exigence/contrôle du cadre concerné.
Dans la norme ISO 27001, le rapport de conformité est appelé "déclaration d'applicabilité" ou SoA.
Aperçu du rapport de conformité
Où trouver cette vue : Tableau de bord -> Rapport de conformité (case en haut à droite)
Les rapports de conformité sont accessibles soit directement à partir de la section Cadres d'exigences du tableau de bord, soit à partir de la page Rapports.
La note globale de conformité mesure vos progrès en matière de conformité. Ce score rassemble les chiffres connexes dans le rapport de conformité. En dessous de la note globale, vous verrez l'état de préparation du cadre par exigences . Tout d'abord, les exigences sont classées par catégories et notées en fonction de leur état de préparation.
Score de conformité (valeur maximale 100) = (sections vert foncé + 0,8 * sections vertes + 0,5 * sections vert clair + 0,2 * sections jaunes) / montant de l'exigence dans le cadre * 100
Les rapports de conformité sont conçus pour offrir un aperçu clair et concis de la conformité d'une organisation au cadre spécifié. Dans ce rapport, chaque exigence du cadre est présentée avec une cellule codée par couleur, reflétant son statut de conformité actuel. Les couleurs suivantes sont affichées :
- Vert foncé: Toutes les tâches recommandées ont le statut "Entièrement accompli".
- Vert: Si l'on ne tient pas compte des tâches de faible priorité, toutes les tâches recommandées sont effectuées.
- Vert clair: Au moins une tâche est accomplie
- Jaune: Aucune tâche effectuée, mais au moins une tâche active.
- Gris: Aucune tâche active (= rien de fait)
- Gris foncé: Exigence qualifiée de "non applicable" (directement issue du rapport)
N.B. ! Si vous définissez une tâche comme "non pertinente", elle ne sera pas prise en compte dans la catégorisation des couleurs ci-dessus.
Un rapport de conformité distinct est automatiquement disponible pour tous les cadres pris en charge dans Cyberday.
La présentation visuelle vous donne une vue d'ensemble, mais en cliquant sur une cellule, vous pouvez vous plonger dans les détails.
Détails du rapport de conformité pour une exigence
Les détails du rapport de conformité pour chaque exigence se réfèrent au tableau des tâches figurant sous une exigence dans la section principale des rapports. Vous pouvez y accéder en cliquant sur l'un des numéros d'exigence dans la vue d'ensemble, par exemple en cliquant sur le "5.15" du rapport de conformité ISO 27001. Vous accéderez directement au type de vue suivant (les numéros rouges sont expliqués ci-dessous) :
- La section sur laquelle vous avez cliqué peut comporter d'autres petites sections. Vous pouvez passer de l'une à l'autre en cliquant sur l'une ou l'autre sous le titre de la section principale.
- Trouvez un résumé de l'état de traitement de la section et modifiez l'exigence. Les valeurs des exigences sont remplies automatiquement par défaut, mais vous pouvez modifier manuellement l'applicabilité et l'état d'exécution ici. Par exemple, indiquez ici si cette exigence spécifique n'est pas applicable à votre organisation et pourquoi. Choisissez "non applicable" dans le menu déroulant à côté de "Applicabilité" et écrivez une description libre. La section sera alors grisée dans le tableau de synthèse au début du rapport de conformité.
- Vous trouverez ici un tableau avec les tâches qui sont suggérées pour l'exigence afin d'atteindre le niveau de conformité. Dans le tableau, vous pouvez voir le nom de la tâche, le type de tâche (qui est un indicateur des actions requises pour accomplir la tâche), les informations d'assurance, le niveau de priorité (prédéfini, s'il n'est pas modifié manuellement) et le statut, c'est-à-dire si la tâche est active, partiellement accomplie, accomplie, etc. En cliquant sur le "+" à gauche de la tâche, vous obtiendrez plus d'informations sur la tâche, si elles sont disponibles. Pour cela, il faut que la tâche ait déjà fait l'objet d'une saisie. En cliquant sur le "->" à droite de la tâche, vous accéderez directement à la fiche de la tâche, ce qui vous permettra de commencer à la traiter.
- Si vous le souhaitez, vous pouvez ajouter une description gratuite à la section (principale) de cette partie du rapport de conformité.
Principaux avantages des rapports de conformité
Un rapport de conformité comporte plusieurs points clés. Dans la liste suivante, vous en trouverez quelques-uns parmi les plus importants.
Comprendre votre conformité actuelle
En utilisant les rapports de conformité, vous pouvez obtenir un langage commun sur l'état actuel de votre sécurité de l'information. Sommes-nous conformes à 25 %, 50 % ou 75 %, et est-ce suffisant ou devrions-nous faire mieux ?
Évaluer votre mise en œuvre des différentes exigences / contrôles
Les rapports de conformité énumèrent les tâches que nous suggérons et que vous pouvez utiliser pour mettre en œuvre les exigences ou les contrôles sélectionnés. Il s'agit de nos suggestions et elles sont classées par ordre de priorité (critique / élevé / normal / faible). Vous devez donc commencer par le haut et mener votre propre réflexion en fonction des risques pour déterminer jusqu'où vous estimez nécessaire d'aller pour chaque sujet.
Vous pouvez certainement aussi compléter la liste des suggestions de tâches avec vos ajouts manuels de tâches. En résumé, vous pouvez utiliser le rapport de conformité pour obtenir des idées sur le renforcement de votre mise en œuvre de certaines exigences/contrôles, par exemple si votre analyse révèle des risques importants ou des incidents évités de justesse liés à ces exigences/contrôles.
Disposer de preuves de conformité
Le rapport de conformité reprend la structure du cadre, afin d'aider, par exemple, un auditeur ou toute personne familiarisée avec un certain cadre à examiner votre SMSI. Par exemple, lors d'un audit de certification, l'auditeur devra obtenir de votre part des preuves de la mise en œuvre de chacune des exigences du cadre. Le rapport de conformité vous aide à obtenir ces réponses.
À quoi servent les rapports de conformité ?
- Évaluation interne : Les organisations utilisent ces rapports en interne pour évaluer leur position en matière de cybersécurité, identifier les parties qui n'ont pas encore été traitées et hiérarchiser les actions d'amélioration.
- Audit interne et externe : Les auditeurs, les évaluateurs de conformité ou les organismes de réglementation peuvent examiner ces rapports pour s'assurer qu'une organisation respecte les normes du secteur, les exigences légales ou les obligations contractuelles. Vous pouvez également utiliser notre fonction d'audit pour effectuer vos audits directement sur Cyberday.
- la gestion des risques : Il aide à comprendre et à gérer les risques liés à la cybersécurité en alignant les contrôles sur les menaces et les vulnérabilités identifiées et en documentant et en traitant vos risques directement dans votre SGSI. Vous pouvez même activer le signalement d'incidents pour vos employés afin que les incidents soient signalés et documentés dans votre SGSI en temps réel, de sorte que vous puissiez lancer les processus de gestion des incidents et des risques directement sur Cyberday.
- Communication sur la sécurité: Elle permet de communiquer l'engagement d'une organisation en matière de cybersécurité aux parties prenantes, aux clients et aux partenaires, et donc de créer un climat de confiance et de transparence.
- Amélioration continue: Le rapport sert de feuille de route pour les efforts continus d'amélioration de la cybersécurité, guidant l'organisation dans le maintien ou l'amélioration de sa posture de sécurité. Cyberday vous suggérera des tâches supplémentaires pour renforcer davantage votre assurance.
Par essence, un rapport de conformité en matière de cybersécurité tel que la déclaration d'applicabilité de la norme ISO 27001 est un outil essentiel qui permet aux organisations de démontrer leur engagement à protéger leurs informations sensibles, à garantir la conformité aux réglementations et à améliorer en permanence leurs mesures de cybersécurité.
Questions et commentaires
Vous avez d'autres questions, vous avez besoin d'un autre article d'aide ou vous souhaitez nous faire part de vos commentaires ? Contactez notre équipe à l'adresse team@cyberday.ai ou en utilisant la boîte de dialogue située dans le coin inférieur droit.