Demander une démo
Module · Hub Risques

Acceptation & dérogations

Formalisez chaque risque accepté et chaque dérogation, avec la traçabilité qu'exigent les régulateurs.

Le contexte

Accepter un risque résiduel ou déroger à une politique de sécurité est une décision légitime, mais elle ne peut rester implicite ou orale. NIS 2 fait peser la responsabilité de la gestion des risques sur les organes de direction (Art. 21.3), ce qui impose une décision tracée, datée, validée au bon niveau et revue dans le temps. Ce module transforme l'acceptation de risque en acte de gouvernance opposable.

Ce que CYBERACT fait

Acceptation formelle multi-niveau

Chaque acceptation suit un circuit de validation adapté à sa criticité : plus l'enjeu est élevé, plus le niveau d'approbation requis est élevé. Vous matérialisez l'engagement de la direction attendu par NIS 2.

Signature et expiration

Une acceptation est signée par le décideur et assortie d'une date d'expiration. Aucun risque n'est accepté indéfiniment : à échéance, la décision doit être réexaminée.

Dérogations à la politique

Lorsqu'une exigence ne peut être respectée, une dérogation formelle est instruite plutôt que tolérée en silence : documentée, justifiée et rattachée à l'exigence concernée.

Mesures compensatoires

Toute dérogation peut être adossée à des mesures compensatoires qui réduisent le risque induit, condition pour qu'elle soit défendable face à un auditeur.

Comment ça marche
1Qualifier le risque résiduel ou l'écart à la politique à traiter
2Soumettre l'acceptation ou la dérogation au circuit de validation adapté
3Recueillir la signature, fixer l'échéance et documenter les mesures compensatoires
4Réexaminer la décision à expiration pour la confirmer, l'amender ou la lever
Ce que vous y gagnez

Une preuve d'implication de la direction conforme à l'esprit de NIS 2

La fin des acceptations de risque informelles et non datées

Une revue périodique garantie par les échéances, évitant la dette de sécurité

Référentiels couverts
NIS 2ISO 27001ISO 27005EBIOS RM
Dans le même hubVoir le hub Risques

Analyse de risques

Registre central (heatmap G x V, suivi du traitement), analyses EBIOS RM / ISO 27005 et quantification financière (CRQ FAIR), regroupés en onglets.

Intégration Sécurité Projets

EBIOS RM, exigences, risques, décision GO / NO-GO sur les projets.

Cartographie applicative

Inventaire du SI et des applications, classification, propriétaires, criticité.

Menaces & exposition

Surface d'exposition externe (Radar : sous-domaines, scoring A-F, HTTPS / DNS / TLS) et veille menaces (CVE / KEV / ATT&CK), regroupées en onglets.

Threat Intelligence

Veille CVE / KEV / ATT&CK sur 6 sources (CISA, ENISA, CERT-FR, EPSS, MITRE, OSV) croisée avec votre périmètre.

Gestion des incidents

Registre des incidents de sécurité (ISO 27035). Le marqueur « significatif » active le workflow de notification NIS 2 Art. 23 (24h / 72h / 30j).

Prêt à structurer votre démarche SSI ?

Démo de 30 minutes, sans engagement. On part de votre périmètre réel.

Demander une démogrc@cyberact.fr