> ## Documentation Index
> Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt
> Use this file to discover all available pages before exploring further.

# GRC CATALOG

# GRC Catalog — 8 documents générés

Inventaire des documents GRC que la plateforme génère automatiquement pour chaque client, avec leur base méthodologique officielle et leurs références légales.

## Principes

* **Base ANSSI / gouvernement français** pour tous les documents (PSSI type ANSSI, SecNumCloud, EBIOS RM, guides RSSI).
* **Langue** : FR + EN (template bilingue par document, sélectionnable par client via `reportLanguage`).
* **Format** : DOCX (modifiable par le CISO client) + PDF (signature opposable).
* **Branding client** : logo + couleurs primaires + header/footer identifiables à la génération.
* **Traçabilité** : chaque doc inclut date, version, auteur MSSP, classification DICT, numéro d'édition.

## Catalogue

| # | Document                                                          | Générateur                           | Base méthodologique                                                                     |
| - | ----------------------------------------------------------------- | ------------------------------------ | --------------------------------------------------------------------------------------- |
| 1 | **PSSI** (Politique de Sécurité des Systèmes d'Information)       | `pssi-document.tsx`                  | Guide PSSI ANSSI · ISO 27001 A.5.1 · NIS 2 art. 21                                      |
| 2 | **Access Policy** (Politique de gestion des accès)                | `access-policy-document.tsx`         | ANSSI Recommandations admin · ISO 27001 A.5.15/A.5.18 · NIST CSF PR.AC                  |
| 3 | **Incident Procedure** (Procédure de gestion d'incident)          | `incident-procedure-document.tsx`    | ANSSI Guide gestion incident · ISO 27001 A.5.24/A.5.27 · NIS 2 art. 23 · NIST CSF RS.\* |
| 4 | **Remediation Plan** (Plan de remédiation)                        | `remediation-plan-document.tsx`      | EBIOS RM · CIS CSC v8 · NIST SP 800-53 PM-4                                             |
| 5 | **Data Classification** (Politique de classification des données) | `classification-policy-document.tsx` | RGPD art. 32 · ISO 27001 A.5.12/A.5.13 · ANSSI Guide classification                     |
| 6 | **Breach Notification** (Procédure de notification de violation)  | `breach-notification-document.tsx`   | RGPD art. 33-34 · EDPB Guidelines 9/2022 · NIS 2 art. 23 · CNIL                         |
| 7 | **IT Charter** (Charte informatique / BYOD)                       | `it-charter-document.tsx`            | Code du travail L.1321-1 · CNIL Guide chartes · ANSSI Recommandations mobilité          |
| 8 | **Processing Register** (Registre des traitements / activités)    | `breach-register-document.tsx`       | RGPD art. 30 · CNIL Modèle de registre                                                  |

## Structure commune

Tous les documents partagent :

* **Cover page** (`grc-cover-page.tsx`) — logo client, titre, classification, date, version
* **Table des matières** auto-générée
* **Header/footer** avec mention confidentialité + pagination
* **Styles** partagés (`shared-grc-styles.ts`) pour cohérence visuelle
* **Classification DICT** annotée au niveau de chaque section applicable
* **Références normatives** en annexe

## Pipeline de génération

1. L'utilisateur (MSSP\_ADMIN) sélectionne un client + un doc depuis `/dashboard/documents/...`.
2. `assemble-grc-data.ts` agrège les données tenant (nom, domaine, RSSI, DPO, dernière audit, findings ouverts, etc.).
3. Le composant React du doc (`<doc-name>-document.tsx`) reçoit les données et rend la mise en page.
4. `generate-grc-pdf.ts` sérialise en PDF via `@react-pdf/renderer`.
5. `generate-docx.ts` produit la version Word à partir du même modèle.
6. Cache Redis (TTL configurable) sur la génération — invalidé au prochain changement tenant.

## Routes API

* `GET /api/v1/clients/:id/grc/:doc/pdf?lang=fr|en` — PDF
* `GET /api/v1/clients/:id/grc/:doc/docx?lang=fr|en` — DOCX

Où `:doc` ∈ `{pssi, access-policy, incident-procedure, remediation-plan, data-classification, breach-notification, it-charter, processing-register}`.

## Qualité rédactionnelle

Attente explicite : **qualité consultant senior** (juridique + technique), pas un dump technique.

* Formulations cabinets conseil ("il est recommandé que...", "la politique prévoit...")
* Sections juridiques rédigées (renvois articles RGPD / NIS 2 / code du travail) — pas des copier-coller de normes
* Disclaimer légal en ouverture : "Ce document est un modèle personnalisé à partir d'une base méthodologique ANSSI. Il doit être validé par le conseil juridique du client avant application."
* Méthodologie exposée : quelle norme, quelle version, quelle interprétation MSSP

Voir aussi [demo-checklist.md](demo-checklist.md) — items #22-25 (refonte GRC qualité senior, chantier P0 post-démo).

## Monthly digest (bonus)

`monthly-digest-document.tsx` — rapport mensuel client (score global, évolutions, findings top 10, actions réalisées, plan mois prochain). Généré automatiquement via `monthly-digest-worker.ts` BullMQ (activation scheduler P2 post-V1).

## Ajouter un nouveau document GRC

1. Créer `components/<slug>-document.tsx` en suivant le pattern existant (cover + body sections).
2. Ajouter les données requises dans `assemble-grc-data.ts`.
3. Identifier la base méthodologique (ANSSI / ISO / norme) — ajouter au tableau ci-dessus.
4. Ajouter l'entrée dans `/dashboard/documents/<category>/page.tsx` avec `status: "available"`.
5. Tester en FR + EN sur un client de référence.