Le défi : plusieurs référentiels, ressources limitées
Votre organisation doit suivre ISO 27001 pour satisfaire les clients. NIS2 s’applique car vous êtes classés comme entité essentielle. Le RGPD est une loi. Et maintenant le client américain demande SOC 2.
Chaque référentiel a ses contrôles, sa terminologie, ses exigences de documentation. Les gérer séparément signifie du travail en double, une documentation incohérente et l’épuisement.
La solution : La cartographie des contrôles — identifier ce qui se chevauche et implémenter les contrôles communs une seule fois.
Chevauchement entre référentiels
Quel est le degré de chevauchement ?
| Référentiel A | Référentiel B | Chevauchement |
|---|---|---|
| ISO 27001 | NIS2 | ~70% |
| ISO 27001 | SOC 2 | ~60% |
| ISO 27001 | RGPD | ~50% |
| NIS2 | RGPD | ~40% (signalement d’incidents, mesures de sécurité) |
| SOC 2 | ISO 27001 | ~60% |
Implication : Si vous avez implémenté ISO 27001, vous avez déjà la majorité des autres référentiels en place. Ce qui manque, ce sont les ajouts spécifiques aux référentiels.
Qu’est-ce que la cartographie des contrôles ?
La cartographie des contrôles consiste à lier les contrôles d’un référentiel aux contrôles correspondants dans d’autres référentiels. Cela montre quelles exigences sont couvertes par la même mesure.
Exemple : Contrôle d’accès
| Référentiel | Contrôle/Exigence | Exigence en bref |
|---|---|---|
| ISO 27001 | A.5.15-A.5.18 | Politique de contrôle d’accès, gestion des accès |
| NIS2 | Art. 21.2i | Contrôle d’accès et gestion des actifs |
| RGPD | Art. 32.1b | Capacité à garantir la confidentialité |
| SOC 2 | CC6.1-CC6.8 | Contrôles d’accès logiques et physiques |
Conclusion : Une politique de contrôle d’accès bien implémentée avec les processus associés satisfait les quatre référentiels. Documentez une fois, cartographiez vers tous.
Processus de cartographie
- Listez tous les référentiels applicables Quels référentiels devez-vous suivre ? Réglementaires (NIS2, RGPD), exigences clients (ISO 27001, SOC 2), spécifiques au secteur ? Créez une liste complète.
- Inventoriez les exigences uniques par référentiel Listez tous les contrôles/exigences de chaque référentiel. ISO 27001 a 93 contrôles dans l'Annexe A. NIS2 a 10 domaines dans l'Article 21. Le RGPD a des articles spécifiques. Ceci devient votre univers total de contrôles.
- Identifiez les contrôles communs Passez en revue et groupez les contrôles qui adressent le même domaine. Contrôle d'accès ? Groupez toutes les exigences de contrôle d'accès des référentiels. Gestion des incidents ? Pareil.
- Créez un référentiel de contrôle maître Construisez un cadre interne avec des contrôles consolidés. Chaque contrôle couvre les exigences de plusieurs référentiels. Ceci devient votre source de vérité.
- Implémentez et documentez Implémentez les contrôles une fois — mais documentez quelles exigences de référentiels chaque contrôle satisfait. Une politique, plusieurs cartographies.
- Prouvez pour plusieurs référentiels Lors d'audits, vous montrez la même évidence mais cartographiée vers chaque référentiel respectif. L'auditeur obtient ce dont il a besoin, vous évitez le travail en double.
Exemple : cartographie ISO 27001 → NIS2
Comment l’Annexe A d’ISO 27001 se cartographie avec l’Article 21 de NIS2 :
| NIS2 Article 21 | ISO 27001 Annexe A |
|---|---|
| a) Analyse de risque et politique de sécurité | A.5.1-A.5.4 (Politiques), A.5.7 (Renseignements sur les menaces) |
| b) Gestion des incidents | A.5.24-A.5.28 (Gestion des incidents) |
| c) Continuité d’activité | A.5.29-A.5.30 (Continuité), A.8.13-A.8.14 (Sauvegarde) |
| d) Sécurité de la chaîne d’approvisionnement | A.5.19-A.5.23 (Relations fournisseurs) |
| e) Sécurité lors des acquisitions | A.5.8 (Projet), A.8.25-A.8.34 (Développement) |
| f) Évaluation des mesures | A.5.35-A.5.36 (Examen) |
| g) Cyberhygiène et formation | A.6.3 (Sensibilisation), A.6.6 (Télétravail) |
| h) Cryptographie | A.8.24 (Cryptographie) |
| i) Ressources humaines et accès | A.6.1-A.6.2 (Vérification), A.5.15-A.5.18 (Accès) |
| j) Authentification multifacteur | A.8.5 (Authentification) |
Résultat : Une organisation certifiée ISO 27001 a ~70-80% de NIS2 en place. L’analyse d’écart identifie le reste.
Ce qui ne se chevauche PAS
24 heures pour l'alerte initiale est spécifique à NIS2. ISO 27001 n'exige pas de délais spécifiques.
Registre des activités de traitement (Art. 30) est spécifique au RGPD. Chevauchement avec le registre des actifs mais pas identique.
Disponibilité et Intégrité du Traitement ont des critères spécifiques qui vont au-delà d'ISO 27001.
Exigence explicite que la direction suive une formation de sécurité. Plus spécifique qu'ISO 27001.
Référentiel de contrôle maître en pratique
Structure pour un contrôle consolidé :
CONTRÔLE : Contrôle d'accès
───────────────────────────
Description :
Gestion systématique des autorisations utilisateurs basée sur
le principe du moindre privilège.
Politique : P-AC-001 Politique de contrôle d'accès
Processus :
- Intégration/départ
- Révisions d'autorisations (trimestrielles)
- Accès privilégié
Cartographie :
├── ISO 27001 : A.5.15, A.5.16, A.5.17, A.5.18
├── NIS2 : Article 21.2i
├── RGPD : Article 32.1b
└── SOC 2 : CC6.1, CC6.2, CC6.3
Évidence :
- Politique de contrôle d'accès (document)
- Rapports de révision d'autorisations (trimestriels)
- Configuration AD (capture d'écran/export)
- Check-list de départ (exemple)
Avantages : Un contrôle, une implémentation, une collecte d’évidence — mais preuve pour quatre référentiels.
Gains d’efficacité
Économies concrètes :
| Activité | Sans cartographie | Avec cartographie | Économie |
|---|---|---|---|
| Création de politiques | 4 versions | 1 version + cartographie | 75% |
| Collecte d’évidence | 4 collectes | 1 collecte | 75% |
| Préparation d’audit | 4 dossiers | 1 dossier + matrices de cartographie | 60% |
| Maintenance continue | 4 mises à jour | 1 mise à jour | 75% |
| Analyses d’écart | 4 séparées | 1 consolidée | 60% |
Économie de temps totale estimée : 40-60% pour les organisations avec 3+ référentiels.
Pièges à éviter
Tous les référentiels ne sont pas identiques. Une cartographie doit montrer les chevauchements — mais aussi clarifier les différences et ajouts requis.
Les référentiels évoluent. ISO 27001:2022 est différent de 2013. La cartographie doit être maintenue lors des changements.
Le même contrôle peut nécessiter différents niveaux selon le référentiel. "Chiffrement" peut signifier différentes choses dans différents contextes.
Les outils GRC avec cartographie intégrée sont bons — mais vous devez comprendre la logique. L'outil doit soutenir, pas remplacer, votre compréhension.
Conseils pratiques
Commencez avec ce que vous avez
Si vous avez déjà ISO 27001, utilisez-le comme base et cartographiez les autres référentiels contre lui. Vous n’avez pas besoin de reconstruire à partir de zéro.
Documentez clairement les différences
Dans chaque cartographie, notez ce qui est unique à chaque référentiel respectif. “NIS2 exige en plus X” est une information importante.
Impliquez les bonnes personnes
Juridique pour l’interprétation RGPD, sécurité IT pour les contrôles techniques, l’entreprise pour la compréhension des processus. Multi-référentiel nécessite un travail transversal.
Automatisez où possible
Les systèmes GRC avec cartographie de contrôles intégrée économisent énormément de temps. La cartographie manuelle dans Excel fonctionne — mais ne passe pas à l’échelle.
Parcours de cartographie typique
Progression typique pour une organisation française :
Année 1 : Adaptation RGPD (2018)
- Protection des données de base
- Registre des traitements
- Consentement et droits
Années 2-3 : Certification ISO 27001
- Système de management de la sécurité de l’information
- 93 contrôles dans l’Annexe A
- Audit externe et certificat
Année 4 : Adaptation NIS2 (2024-2025)
- Analyse d’écart contre ISO 27001
- Ajouts : signalement d’incidents, responsabilité de direction
- Cartographie contre contrôles existants
Année 5+ : SOC 2 / spécifiques au secteur
- Expansion pilotée par les clients
- Cartographie contre la base existante
- Efficace avec référentiel de contrôle maître
Comment Securapilot peut aider
Securapilot est conçu pour la conformité multi-référentiels :
- Cartographie de contrôles intégrée — Voir les chevauchements entre référentiels
- Référentiel de contrôle maître — Un contrôle, plusieurs cartographies
- Partage d’évidence — Mêmes preuves pour plusieurs référentiels
- Analyse d’écart — Identifier ce qui manque par référentiel
- Rapporting — Statut de conformité par référentiel dans un tableau de bord
Réservez une démo et voyez comment nous simplifions la conformité multi-référentiels.
Questions fréquentes
Dois-je suivre plusieurs référentiels ?
Cela dépend du secteur, de la géographie et des clients. Beaucoup d'organisations françaises ont besoin au minimum de NIS2 (loi), RGPD (loi), et ISO 27001 (exigence client). Le B2B SaaS ajoute souvent SOC 2.
Par quel référentiel dois-je commencer ?
Commencez par celui qui a la plus grande force motrice — souvent une exigence client ou réglementaire. ISO 27001 fournit une base large. NIS2/RGPD sont juridiquement contraignants.
Qu'est-ce qu'un 'référentiel de contrôle maître' ?
Un cadre interne qui consolide tous les contrôles de vos référentiels applicables. Vous implémentez les contrôles une fois puis cartographiez les preuves vers chaque référentiel respectif.
Comment éviter les doublons ?
En identifiant les contrôles communs et en les liant. Une politique de contrôle d'accès satisfait les exigences d'ISO 27001, NIS2, RGPD et SOC 2 — documentez-le ainsi.
