Conformité

Le module Conformité ou Compliance de Dastra permet de gérer la conformité réglementaire de manière structurée, traçable et auditable, en s’appuyant sur une architecture modulaire alignée avec les référentiels de conformité.

Architecture du module Compliance

Le module repose sur une chaîne logique d’objets, depuis les référentiels réglementaires jusqu’aux preuves de conformité.

Frameworks (Référentiels)

Exemples : RGPD, ISO 27701, ISO 27001, AI Act.

Un framework :

• définit le cadre réglementaire ou normatif,

• contient un ensemble d’exigences applicables.

Exigences (Requirements)

Les exigences représentent les obligations issues d’un framework. Exemples : contrôle des accès, gestion des habilitations, journalisation.

Chaque exigence :

• est rattachée à un framework,

• est évaluée lors des audits de conformité,

• est mise en œuvre via un ou plusieurs contrôles.

Contrôles (Controls)

Les contrôles décrivent comment une exigence est appliquée concrètement. Exemples : revue périodique des accès, procédure d’habilitation.

Un contrôle :

• met en œuvre une exigence,

• est lié à un ou plusieurs scénarios de risque,

• est vérifié à l’aide de tests.

Scénarios de risque (Risk scenarios)

Les scénarios de risque décrivent les événements redoutés. Exemple : accès non autorisé à des données sensibles.

Les contrôles permettent :

• de prévenir ou réduire ces risques,

• de démontrer les mesures de remédiation mises en place.

Tests

Les tests servent à vérifier l’efficacité des contrôles. Exemples : revue récurrente des accès, délégation de validation.

Un test :

• contrôle un ou plusieurs contrôles,

• produit des résultats mesurables,

• est appuyé par des preuves.

Campagnes de tests (Test campaigns)

Les campagnes permettent d’orchestrer les tests à grande échelle :

• envoi de campagnes aux équipes ou aux clients,

• collecte centralisée des réponses,

• suivi de l’avancement et des statuts.

Preuves (Evidences)

Les preuves démontrent la conformité. Exemples : politiques, procédures, rapports de revue d’accès.

Une preuve :

• est associée à un test,

• est utilisée lors des audits,

• garantit la traçabilité des contrôles.

Audits de conformité (Compliance audits)

Les audits permettent d’évaluer le niveau de conformité :

• audits internes,

• auto-évaluations,

• préparation aux audits externes.

Ils s’appuient sur :

• les exigences,

• les contrôles,

• les tests et preuves associées.

Vision d’ensemble

Le module Compliance de Dastra permet ainsi de :

• structurer les exigences réglementaires,

• relier les obligations aux risques,

• prouver la conformité par des contrôles testés et documentés,

• préparer efficacement les audits et certifications.

Principe multi-framework dans Dastra

Le module Compliance de Dastra est nativement multi-framework.

Cela signifie que :

• un même framework (RGPD, ISO, AI Act…) contient ses propres exigences,

• une exigence appartient à un framework,

• un contrôle peut répondre à plusieurs exigences, y compris issues de frameworks différents,

• les tests et preuves sont mutualisés et réutilisables.

Objectif : éviter les doublons et piloter la conformité de manière transverse.

Relations clés entre les objets

• Framework → Exigences : 1 → N

• Exigences ↔ Contrôles : N ↔ N

• Contrôles ↔ Tests : N ↔ N

• Tests → Preuves : 1 → N

• Contrôles → Scénarios de risque : N ↔ N

Un même contrôle (ex. revue des accès) peut ainsi :

• satisfaire une exigence RGPD,

• satisfaire une exigence ISO 27001,

• réduire plusieurs scénarios de risque.

Schéma explicatif