À quels référentiels Les contrôles Zenith s’alignent-ils ?

Il est cartographié sur ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53 Rev. 5, EU NIS2, EU DORA, GDPR, COBIT 2019 et plus encore.

Quels domaines de sécurité sont couverts ?

Les contrôles couvrent la gouvernance, les opérations, le contrôle d’accès, les contrôles liés au personnel, les contrôles physiques, les fournisseurs/externalisation, l’informatique en nuage, les contrôles technologiques et la gestion des incidents.

Les contrôles incluent-ils des orientations d’audit ?

Oui, chaque contrôle inclut la méthodologie d’audit correspondante, les exigences en matière d’éléments probants d’audit et des liens vers les clauses de certification.

Comment Les contrôles Zenith traitent-ils le risque lié aux tiers ?

Il détaille la sécurité du cycle de vie des fournisseurs, les obligations contractuelles, la gestion des incidents et les clauses de droit d’audit, avec cartographie des contrôles.

Existe-t-il des sections d’orientation pour la cartographie réglementaire ?

Oui. Chaque contrôle inclut une cartographie de conformité croisée, montrant les liens d’éléments probants d’audit vers les réglementations et normes de l’UE, des États-Unis et internationales.

Les contrôles Zenith

Aperçu

Les contrôles Zenith est un ensemble de référence détaillé de contrôles de sécurité de l’information alignés sur les principaux référentiels mondiaux, couvrant les domaines de gouvernance, physiques, liés au personnel, technologiques, fournisseurs et développement, avec une méthodologie d’audit cartographiée et des orientations de conformité pour soutenir une gestion, une mise en œuvre et une certification efficaces.

Bibliothèque de contrôles complète

Couvre les contrôles de gouvernance, technologiques, liés au personnel et physiques pour une protection de l’information de bout en bout.

Cartographié sur les normes réglementaires

Cartographié sur ISO/IEC 27001 & 27002, NIST SP 800-53 Rev. 5, EU NIS2, DORA, GDPR et COBIT 2019 pour une couverture de conformité éprouvée.

Guide de mise en œuvre opérationnelle

Contient des liens détaillés vers d’autres contrôles, des notes de mise en œuvre et des renvois croisés vers des scénarios de risque pratiques.

Sécurité des tiers et de la chaîne d’approvisionnement

Traite des contrats fournisseurs, de l’informatique en nuage et du développement externalisé avec des critères d’audit types et des clauses de sécurité.

Gestion des risques de bout en bout

Relie l’identification des risques, le traitement des risques, la réponse aux incidents et l’amélioration continue dans un cadre de sécurité unifié.

Cartographie des contrôles prête pour l’audit

Chaque contrôle inclut des exigences en matière d’éléments probants d’audit, une cartographie ISO/NIST et des attentes méthodologiques pour les audits de certification.

Protection des données et sécurité intégrées

Intègre le traitement des PII, le masquage des données, la minimisation et l’effacement pour les réglementations de protection des données et les bonnes pratiques de sécurité.

Lire l'aperçu complet

Les contrôles Zenith fournit un ensemble complet et structuré de contrôles de sécurité de l’information alignés sur des normes reconnues internationalement pour une gouvernance, une gestion des risques et une conformité efficaces. Couvrant les domaines de gouvernance, technologiques, physiques et liés au personnel, le guide détaille des contrôles individuels, notamment la gestion des politiques, la définition des rôles, la supervision des fournisseurs, l’inventaire des actifs, la gestion des accès utilisateurs, la gestion des vulnérabilités, le développement sécurisé et la réponse aux incidents, avec des renvois croisés approfondis vers des référentiels mondiaux tels que ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev. 5, la directive EU NIS2, EU DORA, EU GDPR et COBIT 2019. Chaque contrôle de l’ensemble est décrit de manière méticuleuse, en présentant les attributs opérationnels, les objectifs de risque, les propriétés de sécurité de l’information traitées et les relations avec d’autres contrôles. Les contrôles ne sont pas examinés isolément, mais cartographiés à travers des scénarios interconnectés de gouvernance, technologiques, fournisseurs et développement. Des notes de mise en œuvre pratiques accompagnent chaque contrôle, étayées par des attentes résumées de méthodologie d’audit qui reflètent les bonnes pratiques actuelles, notamment les entretiens, la revue de la documentation, l’échantillonnage et les tests de scénarios en conditions réelles. Les contrôles Zenith traitent notamment l’ensemble du cycle de vie de la sécurité : de la création de la politique de sécurité et des responsabilités de gestion, à la gestion des accès et des identités (à travers les privilèges, la restriction de l’information et l’authentification), jusqu’à la livraison sécurisée des projets, la gestion des changements et les contrôles fournisseurs (y compris l’informatique en nuage et le développement externalisé). Une attention détaillée est portée aux domaines techniques tels que la gestion des vulnérabilités, la segmentation des réseaux, les socles de contrôles de configuration, la revue de l’architecture de sécurité et le cycle de vie du développement des systèmes, jusqu’à la planification des sauvegardes et de la redondance, la journalisation, la surveillance et la gestion des incidents et l’amélioration continue. La protection des données, et l’articulation entre protection des données et sécurité, est un thème récurrent. Le guide intègre des pratiques de protection des données dès la conception/par défaut, de minimisation des données, de masquage, de contrôle des informations de test, d’effacement en temps utile et d’élimination sécurisée des supports de stockage. Le cas échéant, les contrôles sont liés à la conformité réglementaire croisée pour les données à caractère personnel, y compris des cartographies claires vers les exigences GDPR et ISO/IEC 27701/27018, avec une attention particulière portée aux pistes d’audit, à l’exercice des droits des utilisateurs et au traitement des PII dans les relations fournisseurs et cloud. La sécurité des tiers et de la chaîne d’approvisionnement est également traitée de manière complète. Les contrôles détaillent la diligence raisonnable des fournisseurs, les clauses contractuelles, les droits d’audit, les délais de notification des incidents et les pratiques de développement sécurisé pour les relations externes. Des orientations sont fournies pour gérer l’ensemble du cycle de vie des tiers, y compris l’échange de données, les responsabilités cloud et l’alignement des environnements gérés par les fournisseurs avec les besoins de risque et de conformité de l’organisation. Sur l’ensemble des contrôles, Les contrôles Zenith fournit des tableaux types de cartographie vers des clauses réglementaires, suggère des éléments probants d’audit et des indicateurs clés de performance (KPI) pour la préparation opérationnelle et la préparation à l’audit, et aligne les pratiques sur les référentiels actuels et les tendances du secteur, ce qui en fait une ressource indispensable pour les organisations qui cherchent à opérationnaliser de bonnes pratiques de sécurité, à répondre à des besoins de conformité multi-juridictionnels et à assurer les parties prenantes de leur posture de risque.

Contenu

Liste complète des contrôles 5.x–8.x (Gouvernance, contrôles liés au personnel, contrôles physiques, contrôles technologiques)

Renvois croisés détaillés : ISO/IEC 27001, 27002, NIST SP 800-53, EU NIS2, DORA, GDPR, COBIT

Méthodologie d’audit et critères d’éléments probants d’audit spécifiques à chaque contrôle

Exigences de tests, de validation et d’acceptation pour les environnements DevOps, fournisseurs et informatique en nuage

Protection des données, protection des données et pratiques d’effacement

Intégration de l’amélioration continue et de la réponse aux incidents

Framework	Clauses / Contrôles couverts
ISO/IEC 27001:2022	Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3
EU NIS2	Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)
EU DORA	Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A
EU GDPR	Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Framework

Clauses / Contrôles couverts

ISO/IEC 27001:2022

Clause 5.1, 5.2, 5.3; 6.1.3, 8.1, 9.1, 9.2, 9.3; 10.1 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23, CA-2, CA-3, CA-7, CA-9, AU-2, AU-6, AU-8, AU-9, SI-3, SI-4, IR-1, IR-4, IR-6, IR-8, RA-5, SI-5, SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, AC-1–AC-20, PS-2, PS-3, PS-4, PS-5, PS-6, PS-7, MP-2–MP-7, CM-2, CM-3, CM-4, CM-5, CM-6, CM-8, PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16, MA-1–MA-3, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10, SI-12, DM-2, UL-4, AR-4, PT-3

EU NIS2

Articles 21, 23, 24, Annex I, Annex II Article 21(2)(a)–(k), 21(5)

EU DORA

Articles 5, 6, 8, 10, 11, 12, 13, 15, 16, 17, 18, 21, 23, 25, 28, 29, 30, Annex I Section A

EU GDPR

Articles 5(1)(c),(f), 5(2), 6, 17, 24, 25, 28, 30, 32, 33, 34, 39, 47, Recital 39, 49, 83, 85, 87, 88

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01.01, APO01.06, APO07.02, APO07.06, APO08.03, APO10.02, APO10.03, APO13.01, APO13.02, APO12.01, APO12.03, APO12.04, BAI03.04, BAI03.05, BAI03.06, BAI06.05, BAI08.03, BAI09.01, BAI09.02, BAI09.05, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS04.03, DSS04.04, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

Politiques associées

Politique de sécurité de l’information

Établit des politiques de sécurité de l’information de l’organisation comme fondement de la gouvernance.

Politique des rôles et responsabilités de gouvernance

Définit l’autorité et la responsabilité pour développer, approuver et mettre en application les contrôles de sécurité de l’information.

Supervision du SMSI

Attribue à la direction générale le devoir de supervision du SMSI, de mise en œuvre des politiques et d’assurance des contrôles de conformité.

Relations avec les autorités

Garantit que les organisations maintiennent des relations et des protocoles pour un engagement en temps utile avec les autorités externes.

Participation aux groupes de sécurité spécialisés

Encourage la participation aux communautés de sécurité afin de bénéficier de connaissances partagées, de benchmarking et de renseignements sur les menaces.

À propos des politiques Clarysec - Les contrôles Zenith

Ce livre est un guide opérationnel éprouvé sur le terrain pour les auditeurs, les RSSI et les responsables conformité qui veulent des contrôles opérationnels, pas des listes de contrôle théoriques. Chaque contrôle est décomposé pour une cartographie directe vers ISO 27001:2022, NIS2, DORA, GDPR et NIST, en montrant précisément ce que les auditeurs attendront et quels éléments probants d’audit comptent réellement. Vous obtenez des renvois croisés actionnables, des attributions rôle par rôle et des décompositions au niveau des clauses conçues pour une mise en œuvre du cadre SMSI pratique, la préparation à l’audit et l’amélioration continue. Pas de contenu superflu, pas d’ambiguïté : uniquement les orientations et les outils essentiels dont vous avez besoin pour combler les écarts de conformité et défendre votre entreprise.

Orientations riches sur l’audit et les éléments probants d’audit

Fournit une méthodologie d’audit explicite et des exemples d’éléments probants d’audit pour chaque contrôle, en soutien des audits internes, externes et de certification.

Interrelations détaillées entre contrôles

Cartographie des relations pratiques entre contrôles, permettant aux organisations de comprendre les dépendances de sécurité à travers la gouvernance, la technologie et les opérations.

Cartographies réglementaires à jour

Propose la cartographie de conformité croisée la plus récente vers les principaux référentiels, facilitant la certification, l’auto-évaluation et les obligations d’information réglementaires.

Couverture de la sécurité des fournisseurs et de l’externalisation

Traite de manière complète les exigences contractuelles, de surveillance et d’audit pour la gestion des risques de sécurité liés aux fournisseurs et à l’externalisation.

Foire aux questions

Conçu pour les dirigeants, par des dirigeants

Cette politique a été rédigée par un responsable de la sécurité disposant de plus de 25 ans d’expérience dans le déploiement et l’audit de cadres ISMS pour des entreprises mondiales. Elle est conçue non seulement comme un document, mais comme un cadre défendable résistant à l’examen des auditeurs.

Rédigé par un expert titulaire de :

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Couverture & Sujets

🏢 Départements cibles

informatique Sécurité Conformité Audit et conformité Gouvernance

🏷️ Couverture thématique

contrôle d’accès gestion des identités gestion de l’authentification gestion des accès privilégiés