Un questionnaire de sécurité client. Un audit ISO 27001. Un contrôle CNIL. Une demande d'assujettissement NIS2. Quatre interlocuteurs, quatre vocabulaires — et, dans beaucoup de PME, quatre fois le même travail refait par un référent sécurité qui manque surtout d'une chose : du temps.
Notre conviction : ces documents décrivent tous la même réalité — vos pratiques de sécurité. Si on capture cette réalité une seule fois, proprement, tout le reste peut être généré, pas rédigé.
Le principe : évaluer une fois, projeter partout
Komplyo repose sur le NIST CSF 2.0 comme colonne vertébrale : 106 sous-catégories, une question de maturité chacune. Chaque réponse est ensuite projetée via une table de correspondances vers ISO 27001, SOC 2 (TSC), l'article 32 du RGPD, NIS2, le CRA et le référentiel d'hygiène ANSSI. Nous ne posons jamais deux fois la même question sous deux étiquettes différentes.
Chaque document généré cite ses sources : quelles réponses, quelles exigences couvertes, quelle date. C'est ce qui rend les livrables défendables devant un auditeur, pas seulement présentables.
Ce qui sort de l'évaluation
Gouvernance et pilotage : politique de sécurité globale (PSSI), charte informatique, politique de classification de l'information, politique de télétravail, support de sensibilisation des équipes, revue de direction et programme d'audit interne.
Risques et continuité : registre des risques (scénarios pré-modélisés, export Excel), analyse d'impact métier (BIA), plan de continuité d'activité, pack de réponse à incident (procédures + journal).
ISO 27001 et SOC 2 : déclaration d'applicabilité (SoA) exportable, description de système SOC 2, feuille de route de certification priorisée (Risque × Urgence × Facilité), exportable en présentation.
RGPD : registre des traitements, analyse d'impact (DPIA), modèle d'accord de sous-traitance (DPA), procédure de gestion des demandes de droits (DSAR).
NIS2 et CRA : mémo de classification (entité essentielle ou importante — voir notre guide), tableau de couverture des mesures de l'article 21, procédures de notification 24 h/72 h, dossier technique CRA et politique de divulgation coordonnée des vulnérabilités (CVD).
Plus de 30 livrables au total, en français et en anglais, au format Word ou Excel — modifiables, parce qu'un document de conformité doit vivre.
Pourquoi c'est mieux qu'une bibliothèque de modèles
Un modèle téléchargé décrit une entreprise générique. Nos documents décrivent la vôtre : les mesures que vous avez déclarées en place figurent comme telles, les écarts apparaissent dans la feuille de route plutôt que d'être maquillés. Un auditeur repère un modèle générique en dix minutes ; un document cohérent avec votre évaluation tient la route.
Et quand vos pratiques évoluent, vous mettez à jour la réponse concernée — les documents se régénèrent. Le score historisé trace la progression, ce qui est précisément ce qu'exigent NIS2 (responsabilité de la direction) et ISO 27001 (amélioration continue).
Par où commencer
Le diagnostic gratuit — 23 questions, environ 5 minutes — vous donne un premier score par fonction CSF et un aperçu RGPD. Vos réponses sont conservées : si vous passez à l'évaluation complète, vous ne repartez pas de zéro. C'est le même principe, du premier clic au dossier d'audit.