Les plans d'action
Un plan d'action est une tâche concrète, datée, avec un responsable. C'est ce qui transforme "on devrait faire ça" en "c'est fait, validé, daté". Sans plans d'action, votre registre des risques reste un document mort.
Quand créer un plan d'action ?
- Un risque demande un contrôle que vous n'avez pas encore.
- Un audit révèle un écart à corriger.
- Un contrôle existant doit être amélioré ou re-testé.
- Un incident a révélé une vulnérabilité à fermer.
Le cycle de vie d'un plan
Ouvert — créé, en attente d'être démarré.
En cours — l'assigné y travaille activement.
Bloqué — en attente d'une dépendance externe (livraison fournisseur, validation budgétaire...).
Complété — l'assigné a fini et le déclare. Mais c'est à un tiers de vérifier.
Vérifié — un autre membre de l'équipe a confirmé que le travail est conforme.
Annulé — décision de ne plus le faire (priorités changées, plus pertinent...).
Pourquoi le statut "Vérifié" ?
La séparation entre Complété (l'assigné dit "c'est fini") et Vérifié (un tiers confirme) est volontaire. C'est ce que les auditeurs appellent la séparation des tâches — un principe-clé de NIS2 et ISO 27001.
La preuve de réalisation
Le champ "Preuve de réalisation" est ce qui transforme votre plan en argument auditable. Soyez précis et documentez ce qu'un auditeur pourra vérifier indépendamment.
- Numéro de ticket Jira/GitLab ("MFA-1234")
- Lien vers la procédure mise à jour
- Capture d'écran de la configuration appliquée
- Rapport de test (pentest, restauration backup, exercice de crise)
- Email de confirmation client/fournisseur
Notifications automatiques
NIS2YOU vous aide à ne rien oublier :
- L'assigné est notifié à la création et au changement d'assignation.
- Notification 7 jours avant l'échéance, puis dès le dépassement.
- L'owner du Risk/Control parent est notifié quand le plan passe complété.
- L'assigné est notifié quand son plan passe vérifié — feedback positif.