Quels cadres de conformité sont couverts ?

La Suite Zenith est directement cartographiée sur ISO/IEC 27001:2022, le RGPD, NIS2, DORA, NIST SP 800-53 Rev.5, COBIT 2019 et les normes associées.

Les politiques PME conviennent-elles aux organisations sans équipe informatique dédiée ?

Oui. Les ensembles de politiques PME sont adaptés aux structures pilotées par un directeur général et aux équipes métier, idéales pour les organisations ne disposant pas de RSSI ou de Centre opérationnel de sécurité (SOC).

La suite inclut-elle des outils d’audit et des modèles d’éléments probants ?

La suite fournit une méthodologie d’audit détaillée, des exemples d’éléments probants et des modèles de documents pour une préparation à l’audit complète.

Comment les risques fournisseurs et cloud sont-ils gérés ?

Les contrôles de sécurité des fournisseurs et du cloud intègrent une gestion complète du cycle de vie, des clauses contractuelles et la gestion des incidents.

Les politiques peuvent-elles être mises à l’échelle et personnalisées pour accompagner la croissance ?

Les politiques sont conçues pour l’évolutivité, en prenant en charge des transitions fluides entre les modèles opérationnels PME et Entreprise.

La Suite Zenith - Clarysec

Aperçu

La Suite Zenith combine une bibliothèque de politiques double PME+Entreprise, une cartographie maîtresse des contrôles et un Zenith Blueprint étape par étape pour une conformité complète, prête pour l’audit, sur les cadres ISO 27001, RGPD, NIS2, DORA, NIST et COBIT.

Couverture de conformité tout-en-un

Couvre chaque cadre majeur (ISO 27001, RGPD, NIS2, DORA, NIST, COBIT), garantissant un alignement fluide avec les audits.

Bibliothèque de politiques double

Inclut des ensembles de politiques pour PME et pour entreprises, adaptés à toute structure ou taille d’organisation.

Mise en œuvre guidée par des experts

Suivez la feuille de route en 30 étapes du Zenith Blueprint, rédigée par un auditeur principal, pour une mise en place réussie du Système de management de la sécurité de l'information (SMSI).

Référence des contrôles de 539 pages

Cartographie détaillée contrôle par contrôle pour la préparation opérationnelle et la préparation à l’audit, avec éléments probants et méthodologie.

Lire l'aperçu complet

La Suite Zenith est une solution GRC phare, de bout en bout, conçue pour les organisations visant à atteindre et maintenir une cybersécurité robuste et une conformité réglementaire. En réunissant la bibliothèque complète de politiques PME+Entreprise, la boîte à outils maîtresse Zenith Controls et la feuille de route complète Zenith Blueprint, cette suite fournit tous les composants essentiels pour la planification stratégique, la gouvernance, l’assurance opérationnelle et l’amélioration continue. La bibliothèque de politiques inclut à la fois des politiques spécifiques aux PME (P01S–P37S) et des documents de niveau entreprise (P01–P37), soit 74 politiques distinctes, cartographiées et prêtes pour l’audit. L’ensemble PME, reconnaissable au « S » dans les numéros de documents et aux attributions au rôle de directeur général, est adapté aux petites et moyennes entreprises avec des structures simplifiées, peu de spécialisation informatique et des responsabilités clairement cartographiées aux dirigeants et aux équipes. Ces politiques imposent des contrôles pratiques couvrant la sécurité, la protection des données, l’informatique et les opérations, avec des obligations de revue annuelle, une gestion des versions et une gestion des exceptions documentée, prête pour l’examen des auditeurs. À l’inverse, les politiques Entreprise traitent la complexité et les responsabilités interfonctionnelles typiques des organisations réglementées et de grande taille, en intégrant des domaines avancés de gouvernance, d’audit, de juridique, de risques, d’achats et de technique, avec des cartographies directes et une intégration CAPA. La boîte à outils Zenith Controls est un compendium de référence de 539 pages qui apporte une cartographie méticuleuse contrôle par contrôle d’ISO 27001:2022 vers NIS2, DORA, le RGPD, NIST et COBIT. Elle couvre les contrôles de gouvernance, technologiques, liés au personnel et de sécurité physique, avec une méthodologie d’audit complète, des exigences d’éléments probants et des orientations de mise en œuvre. La boîte à outils se distingue par ses renvois détaillés : chaque contrôle est décrit en termes opérationnels, relié aux clauses pertinentes et soutenu par des notes pratiques pour la collecte d’éléments probants, la gestion des fournisseurs, la supervision du cloud et la sécurité dès la conception. Elle permet aux utilisateurs de préparer des récits de conformité clairs et défendables pour les audits et les échanges avec les autorités. Pour guider les organisations de la planification à l’exécution, le Zenith Blueprint fournit une feuille de route en 30 étapes alignée sur l’ensemble du cycle de vie du SMSI : définition du domaine d’application, engagement de la direction, gestion des risques, opérationnalisation des contrôles, audits internes et amélioration continue. Rédigé par un auditeur principal expérimenté, ce guide intègre les exigences ISO/IEC 27001, NIS2, DORA, RGPD et NIST dans un système opérationnel unique, étape par étape, en fournissant des modèles actionnables, des listes de contrôle, des structures de reporting et des exemples de revue de direction. Chaque phase, de l’analyse du contexte et de la cartographie des parties prenantes au registre des risques, à la Déclaration d’applicabilité, aux contrôles techniques et physiques et aux processus d’actions correctives, est accompagnée d’une cartographie inter-cadres pour une conformité multi-juridictionnelle. La véritable force de la Suite Zenith réside dans sa structure intégrée et évolutive. Les ensembles de politiques PME et Entreprise peuvent être utilisés indépendamment ou combinés pour les organisations ayant des modèles opérationnels variés. La suite est idéale pour les organisations cherchant à rationaliser la conformité, même sans équipes informatiques dédiées, en s’appuyant sur des documents PME développés pour des directeurs généraux et des structures de rôles simples, ou pour les entreprises confrontées à des audits réglementaires complexes et à une collaboration inter-départements. Toute la documentation est rigoureusement cartographiée sur les cadres, permettant une personnalisation rapide et une transition fluide à mesure que les organisations grandissent, se restructurent ou fusionnent des unités. Qu’il s’agisse de construire un SMSI à partir de zéro ou de faire mûrir une gouvernance existante, la Suite Zenith apporte clarté, préparation à l’audit et couverture opérationnelle sur l’ensemble des domaines de sécurité, de protection des données, de fournisseurs, d’informatique et de juridique.

Contenu

Pack complet de politiques PME+Entreprise (74 documents prêts pour l’audit)

Zenith Controls — boîte à outils maîtresse de cartographie des contrôles

Zenith Blueprint — feuille de route en 30 étapes de mise en œuvre du SMSI

Méthodologie d’audit cartographiée et modèles

Matrice des rôles et responsabilités

Procédures de contrôle d’accès et de gestion des changements

Critères de test des fournisseurs et des tiers

Modules de réponse aux incidents et de gestion des éléments probants

Règles de protection des données et de confidentialité

Framework	Clauses / Contrôles couverts
ISO/IEC 27001:2022	Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34
ISO/IEC 27002:2022	5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34
NIST SP 800-53 Rev.5	PL-1, PL-2, PL-4, PM-1, PM-2, PM-9, PM-23 CA-1, CA-2, CA-3, CA-5, CA-7, CA-9 AU-2, AU-6, AU-8, AU-9, AU-12 SI-2, SI-3, SI-4, SI-10 IR-1, IR-4, IR-5, IR-6, IR-8, IR-9 RA-3, RA-5 AC-1–AC-20 PS-2, PS-3, PS-4, PS-5, PS-6, PS-7 MP-2–MP-7 CM-2, CM-3, CM-4, CM-5, CM-6, CM-8 PE-3, PE-4, PE-6, PE-8, PE-9, PE-11–PE-16 MA-1–MA-3 CP-1, CP-2, CP-4, CP-7, CP-8, CP-9, CP-10 DM-2 UL-4 AR-4 PT-2, PT-3 SA-3, SA-4, SA-9, SA-9(5), SA-10, SA-11, SA-15 SC-2, SC-7, SC-8, SC-11, SC-12, SC-13, SC-17, SC-18, SC-28, SC-32, SC-45 SI-12 SR-3, SR-5
EU NIS2	Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II
EU DORA	Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A
EU GDPR	Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23
COBIT 2019	EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06
ISO 31000:2018	Leadership commitmentRisk management principlesContinuous improvement
ISO/IEC 27005:2024	Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review
ISO 22301:2019	Business Continuity Management SystemBusiness Impact AnalysisRequirements

Framework

Clauses / Contrôles couverts

ISO/IEC 27001:2022

Clause 4.1–4.3 Clause 5.1–5.3, 5.10 Clause 6.1–6.3 Clause 7.2–7.5 Clause 8.1–8.32 Clause 9.1–9.3 Clause 10.1–10.2 Annex A 5.1–5.37, 6.1–6.8, 7.1–7.14, 8.1–8.34

ISO/IEC 27002:2022

5.1–5.37 6.1–6.8 7.1–7.14 8.1–8.34

NIST SP 800-53 Rev.5

EU NIS2

Article 15, 20, 21, 21(2), 21(3), 23, 24, 27 Annex I, Annex II

EU DORA

Article 5, 5(2), 6, 6(2)(d), 8, 9, 9(2), 10, 10(1), 10(2)(e), 10(2)(f), 11, 11(1)(c), 12, 13, 15, 16, 17, 17(1), 17(3), 18, 19, 21, 23, 25, 28, 28(1), 28(2), 29, 30, Annex I Section A

EU GDPR

Article 5(1)(c),(f), 5(2)Article 6, Article 17, Article 24, Article 25, Article 28, Article 30, Article 32, Article 33, Article 34, Article 39, Article 47Recital 39, 49, 78, 83, 85, 87, 88Articles 12–23

COBIT 2019

EDM01.02, EDM03, EDM03.02, APO01, APO01.01, APO01.06, APO07, APO07.02, APO07.06, APO08.03, APO09, APO10, APO10.02, APO10.03, APO13, APO13.01, APO13.02, APO12, APO12.01, APO12.03, APO12.04, BAI02, BAI03, BAI03.04, BAI03.05, BAI03.06, BAI04, BAI05, BAI06, BAI06.05, BAI07, BAI08, BAI08.03, BAI09, BAI09.01, BAI09.02, BAI09.05, DSS01, DSS01.01, DSS01.03, DSS01.04, DSS01.05, DSS01.06, DSS01.07, DSS02, DSS04, DSS04.03, DSS04.04, DSS05, DSS05.01, DSS05.02, DSS05.03, DSS05.04, DSS05.07, DSS05.08, DSS05.09, DSS05.10, DSS06, DSS06.03, DSS06.04, DSS06.05, DSS06.06, DSS06.07, MEA01, MEA01.01, MEA01.02, MEA02.01, MEA02.03, MEA03, MEA03.01, MEA03.06

ISO 31000:2018

Leadership commitmentRisk management principlesContinuous improvement

ISO/IEC 27005:2024

Context EstablishmentRisk IdentificationRisk AnalysisRisk EvaluationRisk TreatmentRisk AcceptanceRisk CommunicationRisk Monitoring and Review

ISO 22301:2019

Business Continuity Management SystemBusiness Impact AnalysisRequirements

Politiques associées

Politique de contrôle d’accès

Cette politique définit comment l’organisation gère l’accès aux systèmes, aux données et aux installations afin de garantir que seules les personnes autorisées peuvent accéder à l’information selon le besoin métier.

Politique de réponse aux incidents (P30)

Cette politique définit comment l’organisation détecte, notifie et répond aux incidents de sécurité de l'information affectant les systèmes numériques, les données ou les services.

Politiques de protection des données

Cette politique définit comment l’organisation protège les données à caractère personnel conformément aux obligations légales, aux cadres réglementaires et aux normes internationales de sécurité.

Politique de sécurité des fournisseurs

Cette politique établit les exigences de sécurité obligatoires pour engager, gérer et mettre fin aux relations avec des tiers et des fournisseurs.

Politique de continuité d’activité et de reprise après sinistre

Cette politique garantit que l’organisation peut maintenir les opérations métier et rétablir les services informatiques essentiels pendant et après des événements perturbateurs.

À propos des politiques Clarysec - La Suite Zenith

La Suite Zenith est un ensemble d’outils GRC complet conçu pour rationaliser et renforcer la sécurité, la conformité et la préparation à l’audit de l’organisation. Elle intègre une bibliothèque de politiques double adaptée aux PME comme aux entreprises, une boîte à outils maîtresse de cartographie des contrôles et une feuille de route de mise en œuvre progressive rédigée par des experts reconnus. Chaque document et outil de la suite est cartographié sur des contrôles réels et des clauses réglementaires, permettant de produire des éléments probants clairs et défendables pour les audits internes et de certification. L’architecture évolutive de la suite permet aux organisations de passer facilement d’un modèle à l’autre à mesure qu’elles grandissent, se restructurent ou fusionnent, sans perdre l’intégrité de la conformité. Les deux ensembles de politiques sont applicables et adaptables pour des directeurs généraux, des responsables ou des équipes interfonctionnelles — convenant aux organisations avec ou sans ressources informatiques spécialisées. La Suite Zenith prend en charge une couverture complète de la gouvernance, de l’informatique, de la protection des données, de la gestion des fournisseurs, des contrôles techniques, physiques et opérationnels, et est régulièrement mise à jour pour refléter l’évolution des normes et les bonnes pratiques du secteur.

Documents instantanés, prêts pour l’audit

Accédez à 74 modèles de politiques entièrement cartographiés, prêts à être mis en œuvre pour une conformité opérationnelle immédiate.

Responsabilité fondée sur les rôles

Les politiques PME attribuent des responsabilités claires pour les structures non informatiques ; les documents Entreprise gèrent des équipes complexes.

Profondeur de cartographie réglementaire

Chaque politique, contrôle et modèle est cartographié avec précision sur les réglementations pertinentes, simplifiant les audits et la certification.

Contrôles de sécurité des fournisseurs et du cloud

Appliquez des standards contractuels et une gestion complète du cycle de vie auprès des fournisseurs externes et des environnements cloud.

Évolutif pour toutes les tailles d’entreprise

Combinez et personnalisez les ensembles PME et Entreprise pour des start-ups, des PME/ETI ou des organisations multinationales complexes.

Foire aux questions

Conçu pour les dirigeants, par des dirigeants

Cette politique a été rédigée par un responsable de la sécurité disposant de plus de 25 ans d’expérience dans le déploiement et l’audit de cadres ISMS pour des entreprises mondiales. Elle est conçue non seulement comme un document, mais comme un cadre défendable résistant à l’examen des auditeurs.

Rédigé par un expert titulaire de :

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

La Suite Zenith