Traitement des équivalences entre référentiels

[Tetraneon]

Bonjour,

Tout d’abord, un grand merci pour cet outil qui va devenir rapidement indispensable et qui laisse entrevoir de grandes perspectives d’emploi.
Je souhaitais aborder dans ce post l’idée de mapper des exigences de différents référentiels entre elles. En effet, mon équipe et moi sommes régulièrement confrontés à des demandes de nos clients concernant notre conformité à telle ou telle exigence cyber.
Serait-il envisageable de créer les fonctions suivantes :
• Création d’équivalences entre deux mesures de deux référentiels différents
• L’indicateur obtenu lors d’un audit l’une des mesures est répercutée sur la (les) mesures équivalente(s).
• Cette évaluation par équivalence peut être désactivée par l’utilisateur.

Ouvert à la discussion.

[dbarzin]

Merci beaucoup pour votre retour positif et ravi de voir que l'outil suscite un tel intérêt !

Concernant votre suggestion de mapping des exigences entre différents référentiels, c'est un sujet qui est actuellement à l'étude. Cela soulève effectivement la question de savoir si un contrôle dans un référentiel peut couvrir une mesure de sécurité dans un autre.

Il est probable que la réponse à cette question dépende du contrôle et de la mesure en question. Certains contrôles peuvent en effet être suffisamment génériques pour répondre à plusieurs référentiels, tandis que d'autres peuvent être plus spécifiques.

Pour l'instant, ce choix est laissé à la discrétion de l'auditeur ou du contrôleur, qui est souvent le mieux placé pour juger si une équivalence peut être appliquée. Nous sommes bien sûr ouverts à une discussion plus large sur le sujet, et il pourrait être intéressant de réfléchir à une approche plus automatisée tout en laissant une certaine flexibilité à l'utilisateur pour désactiver ces équivalences si nécessaire.

N'hésitez pas à partager vos idées et retours supplémentaires !

[charlesgoyard]

Ça me semble être une fonctionnalité utile. Par exemple le référentiel TPN a des correspondances vers NIST 800-53 ou ISO 27002 sur quasiment tous les contrôles.

On trouve aussi une belle zone de recouvrement entre PCI-DSS et SecNumCloud (ce dernier n'est pas encore dans Deming mais qui sait si ça ne va pas arriver 🙂).