N2
Nis2You
Se connecter Démarrer gratuitement
Les contrôles

Un contrôle est une mesure que vous mettez en place pour réduire un risque. C'est ce qui transforme une analyse théorique en sécurité concrète. Sans contrôles documentés, votre registre des risques est juste une liste de craintes.

Les 4 types de contrôle

Chaque contrôle joue un rôle différent dans la chaîne de défense. Un programme de sécurité solide combine les quatre.

Préventif

Empêche le risque de se concrétiser. Première ligne de défense.

Exemples : MFA, chiffrement des disques, segmentation réseau, code review obligatoire, sensibilisation phishing.

Détectif

Signale qu'un événement suspect ou anormal s'est produit.

Exemples : EDR/antivirus, SIEM, monitoring uptime, audits de logs, DLP e-mail.

Correctif

Permet de réparer ou de revenir à la normale après un incident.

Exemples : backups, plan de réponse aux incidents, plan de continuité d'activité (PCA), procédure de notification CCB/APD.

Compensatoire

Limite l'impact financier ou réputationnel quand on ne peut pas empêcher.

Exemples : assurance cyber, contrats de support 24/7, communication de crise externalisée.

Conception ≠ Opération

Un contrôle est évalué sur deux axes distincts. C'est une nuance critique que les auditeurs vérifient toujours.

Efficacité de conception

Le contrôle est-il bien conçu sur le papier ? Couvre-t-il bien le risque ?

Une politique de mots de passe à 4 caractères a une mauvaise conception, peu importe qu'elle soit appliquée.

Efficacité opérationnelle

Le contrôle fonctionne-t-il vraiment au quotidien ? Est-il appliqué, suivi, à jour ?

MFA configuré mais désactivé sur 50% des comptes a une faible efficacité opérationnelle, même si le design est parfait.

Un contrôle peut avoir une excellente conception (5/5) et une faible opération (2/5). C'est précisément là que vivent la plupart des écarts d'audit.
Le cycle de vie
Planifié En conception En déploiement Opérationnel En revue Décom.

Un contrôle "Opérationnel" peut retourner en revue à tout moment, ou être décommissionné s'il n'est plus pertinent. NIS2YOU vous notifie automatiquement quand une revue est due.

Bonnes pratiques
  • Reliez chaque contrôle aux risques qu'il couvre — un même contrôle peut servir plusieurs risques.
  • Documentez les contrôles que vous avez DÉJÀ avant d'en imaginer de nouveaux.
  • Pour ISO 27001, planifiez une re-évaluation annuelle de l'efficacité de chaque contrôle (champ "Prochaine évaluation").
  • Reliez chaque contrôle aux exigences de conformité (NIS2 article X.Y, ISO clause 8.3...) qu'il satisfait.
Retour à l'index Suivant : Les plans d'action