Documentation Index
Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt
Use this file to discover all available pages before exploring further.
Mapping ISO 27001:2022 — Annexe A
ISO 27001:2022 est le standard SMSI. Notre runbook DR couvre les contrôles
de l’Annexe A relatifs à la continuité, la sauvegarde et la réponse à incident.
Mapping des contrôles pertinents (~25 contrôles sur les 93 de l’Annexe A,
les autres relèvent de l’ensemble du SMSI plateforme, pas du DR seul).
A.5 — Contrôles organisationnels
| Contrôle | Intitulé | Couverture DR | Référence |
|---|
| A.5.1 | Politique de sécurité | ⚠️ Partiel (DR ≠ PSSI globale) | docs/SECURITY.md + 00-policy.md |
| A.5.7 | Threat intelligence | ❌ Non couvert V1 | Phase 2 (abonnement CSIRT-FR notifications, MISP) |
| A.5.8 | Sécurité de l’information dans la gestion de projet | N/A | DR ≠ projet ad-hoc |
| A.5.10 | Utilisation acceptable | N/A | Couvert PSSI globale |
| A.5.13 | Étiquetage de l’information | ⚠️ Partiel | Classification sensibles dans 01-keyholders.md (diffusion restreinte) |
| A.5.24 | Planification et préparation gestion incidents | ✅ Complet | incident-response/01-detection-triage.md |
| A.5.25 | Évaluation et décision sur événements de sécurité | ✅ Complet | Triage P1/P2/P3 dans IR-01 |
| A.5.26 | Réponse aux incidents | ✅ Complet | 10 runbooks + 4 IR docs |
| A.5.27 | Tirer des enseignements des incidents | ✅ Complet | Post-incident reports + RETEX trimestriel |
| A.5.28 | Collecte des éléments de preuve | ✅ Complet | 05-recover-from-ransomware.md §5 snapshot pré-investigation |
| A.5.29 | Sécurité de l’information pendant rupture | ✅ Complet | 03-backup-strategy.md + chiffrement bouts en bout |
| A.5.30 | Disponibilité TIC pour la continuité | ✅ Complet | 04-rto-rpo-matrix.md + 10 runbooks |
| A.5.31 | Conformité légale et réglementaire | ✅ Complet | NIS2 + RGPD + LCEN documentés 00-policy.md §3 |
| A.5.34 | Vie privée (PII) | ✅ Complet | incident-response/03-cnil-rgpd-notification.md |
| A.5.35 | Revue indépendante sécurité | ❌ Non couvert V1 | Audit externe Phase 2 |
A.8 — Contrôles techniques
| Contrôle | Intitulé | Couverture DR | Référence |
|---|
| A.8.1 | Dispositifs des utilisateurs | N/A | PSSI globale (BYOD policy) |
| A.8.2 | Privilèges d’accès | ⚠️ Partiel | DR AppRole least-privilege setup/vault-dr-policy.sh |
| A.8.6 | Gestion de capacité | ⚠️ Partiel | Volumétrie estimée 02-asset-inventory.md §8 |
| A.8.7 | Protection contre malware | ⚠️ Partiel | Scan ClamAV mentionné dans runbook 05 §8.2, pas de monitoring continu V1 |
| A.8.10 | Suppression d’information | ✅ Complet | shred -u sur snapshots locaux + DIN P-7 papier |
| A.8.11 | Masquage des données | ✅ Complet | Chiffrement client-side restic + AES-256-CBC pgbackrest |
| A.8.12 | Prévention fuite (DLP) | ❌ Non couvert V1 | Phase 2 (DLP outil dédié) |
| A.8.13 | Sauvegarde | ✅ Complet | 03-backup-strategy.md 3-2-1-1-0 |
| A.8.14 | Redondance | ✅ Complet | Multi-fournisseur OVH+Scaleway, multi-région failover |
| A.8.15 | Logs | ✅ Complet | Sentry + container logs + audit trail Postgres |
| A.8.16 | Surveillance des activités | ⚠️ Partiel | Sentry alerts + dr-verify quotidien, monitoring uptime externe Phase 2 |
| A.8.18 | Utilisation programmes utilitaires privilégiés | ✅ Complet | Tous les scripts DR via Vault AppRole, pas de root direct |
| A.8.20 | Sécurité des réseaux | ✅ Complet | data-net internal Docker, ufw firewall VPS |
| A.8.21 | Sécurité services réseau | ✅ Complet | TLS Let’s Encrypt + Traefik security headers |
| A.8.32 | Gestion des changements | ⚠️ Partiel | Git versionning + CI tests, change advisory board Phase 2 |
A.6 — Contrôles personnel + A.7 contrôles physiques
Hors périmètre DR pur (relèvent de la PSSI globale et des locaux Nicolas) —
mais notons :
| Contrôle | Couverture DR | Référence |
|---|
| A.6.5 | Termination/fin de contrat | Plan continuité humaine 01-keyholders.md §8 |
| A.6.8 | Signalement d’événements sécurité | Détection incident-response/01-detection-triage.md |
| A.7.1-7.14 | Sécurité physique | Coffre A2P 1 étoile + notaire, cf. 01-keyholders.md §3 |
Synthèse
- Contrôles DR-pertinents totalement couverts : 16/25 (64%)
- Partiellement couverts : 7/25 (28%)
- Non couverts V1 : 2/25 (8%) — DLP + audit indépendant
Position commerciale : “Plateforme alignée ISO 27001 sur les contrôles
critiques pour la continuité (A.5.24-A.5.30, A.8.13-A.8.15). Démarche de
certification Phase 2 (5 clients récurrents).”
| Version | Date | Auteur |
|---|
| 1.0 | 2026-04-26 | Nicolas Schiffgens |
