Objectifs de sécurité de l'information
ISMS Copilot établit des objectifs de sécurité de l'information mesurables, alignés sur notre politique de sécurité de l'information, fondés sur les résultats de l'évaluation des risques et suivis par rapport à des cibles définies. Chaque objectif respecte la structure de la clause 6.2 de l'ISO 27001 : ce qui sera fait, quelles ressources sont nécessaires, qui est responsable, quand cela sera terminé et comment les résultats sont évalués.
La progression des objectifs est revue trimestriellement par leurs propriétaires respectifs et fait l'objet d'un rapport dans le cadre de la revue de direction annuelle.
OBJ-001 : Obtenir la certification ISO 27001
Champ | Valeur |
|---|---|
Catégorie | Conformité |
Propriétaire | CEO |
Objectif | Obtenir la certification ISO 27001:2022 auprès d'un organisme accrédité |
Échéance | T4 2026 |
Mesure | Certification accordée |
Statut | En cours |
Étapes clés :
Finaliser la documentation du SMSI (clauses 4-10) — T1 2026 (en cours)
Finaliser la Déclaration d'Applicabilité — T1 2026 (terminé)
Finaliser le registre des risques et les traitements — T1 2026 (terminé)
Réaliser l'audit interne — T2 2026
Réaliser la revue de direction — T2 2026
Audit Étape 1 (revue documentaire) — T3 2026
Audit Étape 2 (revue de mise en œuvre) — T4 2026
OBJ-002 : Zéro exposition de données inter-locataires
Champ | Valeur |
|---|---|
Catégorie | Confidentialité |
Objectif | Zéro incident d'accès non autorisé aux données entre locataires |
Échéance | Continu (mesure annuelle) |
Mesure | Nombre d'incidents confirmés d'exposition de données entre locataires par an = 0 |
Statut | Atteint (0 incident à ce jour) |
Contrôles soutenant cet objectif :
Politiques de sécurité au niveau des lignes (RLS) sur toutes les tables de données utilisateurs
Validation explicite de la propriété dans le service de chat backend
Suite de tests de sécurité automatisés
Exigence de revue de code pour tous les changements
OBJ-003 : Résilience et disponibilité de la plateforme
Champ | Valeur |
|---|---|
Catégorie | Disponibilité / Continuité d'activité |
Objectif | La plateforme fonctionne de manière fiable sans nécessiter d'intervention manuelle |
Échéance | T2 2026 |
Mesure | Demandes de support nécessitant une intervention humaine pendant les périodes de test définies |
Statut | En cours |
OBJ-004 : Remédiation des vulnérabilités selon le SLA
Champ | Valeur |
|---|---|
Catégorie | Sécurité |
Objectif | Toutes les vulnérabilités remediées dans les délais définis par le SLA |
Échéance | Continu (mesure trimestrielle) |
Mesure | Pourcentage de remédiation conforme à la cible : Critique 24h, Élevé 7j, Moyen 30j, Faible 90j |
Cible % | 100 % pour Critique/Élevé ; 90 % pour Moyen/Faible |
Statut | Actif |
Nos cibles de SLA pour les vulnérabilités sont alignées sur les meilleures pratiques de l'industrie : les vulnérabilités critiques sont traitées le jour même, les élevées sous une semaine, les moyennes sous 30 jours et les faibles sous 90 jour.
OBJ-005 : Maintenir l'objectif de disponibilité du service
Champ | Valeur |
|---|---|
Catégorie | Disponibilité |
Objectif | 99,5 % de disponibilité pour les services de base (chat, authentification, base de données) |
Échéance | Continu (mesure mensuelle) |
Mesure | Pourcentage de disponibilité mensuelle issu du monitoring BetterStack |
Statut | Actif |
OBJ-006 : Effectuer les revues d'accès trimestrielles
Champ | Valeur |
|---|---|
Catégorie | Contrôle d'accès |
Objectif | Réalisation à 100 % des revues d'accès trimestrielles selon le calendrier |
Échéance | Continu (mesure trimestrielle) |
Mesure | Checklists de revue datées et complétées |
Statut | Actif |
OBJ-007 : Maintenir la capacité de basculement du fournisseur d'IA
Champ | Valeur |
|---|---|
Catégorie | Résilience |
Objectif | Le basculement automatique s'active dans les 60 secondes suivant la défaillance du fournisseur par défaut |
Échéance | Continu (test trimestriel) |
Mesure | Résultats des tests de basculement (temps d'activation, impact utilisateur pendant le basculement) |
Statut | Actif — disjoncteur (« circuit breaker ») déployé |
Les sept objectifs font l'objet d'un suivi actif. Deux objectifs sont pleinement atteints (zéro exposition inter-locataires, capacité de basculement IA), trois sont en cours avec une mesure active, et deux progressent vers les étapes définies.
Cycle de revue des objectifs
Activité | Fréquence |
|---|---|
Revue de la progression des objectifs | Trimestrielle |
Mesure des objectifs et reporting | Trimestrielle |
Définition des objectifs pour la période suivante | Annuelle |
Vérification de l'alignement avec les résultats de l'évaluation des risques | Après chaque revue des risques |