> ## Documentation Index > Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt > Use this file to discover all available pages before exploring further. # Iso 27001 mapping # Mapping ISO 27001:2022 — Annexe A ISO 27001:2022 est le standard SMSI. Notre runbook DR couvre les contrôles de l'Annexe A relatifs à la continuité, la sauvegarde et la réponse à incident. Mapping des contrôles pertinents (\~25 contrôles sur les 93 de l'Annexe A, les autres relèvent de l'ensemble du SMSI plateforme, pas du DR seul). ## A.5 — Contrôles organisationnels | Contrôle | Intitulé | Couverture DR | Référence | | ---------- | ----------------------------------------------------- | ------------------------------ | -------------------------------------------------------------------------------------------------------- | | A.5.1 | Politique de sécurité | ⚠️ Partiel (DR ≠ PSSI globale) | [docs/SECURITY.md](../../SECURITY.md) + [00-policy.md](../00-policy.md) | | A.5.7 | Threat intelligence | ❌ Non couvert V1 | Phase 2 (abonnement CSIRT-FR notifications, MISP) | | A.5.8 | Sécurité de l'information dans la gestion de projet | N/A | DR ≠ projet ad-hoc | | A.5.10 | Utilisation acceptable | N/A | Couvert PSSI globale | | A.5.13 | Étiquetage de l'information | ⚠️ Partiel | Classification sensibles dans `01-keyholders.md` (diffusion restreinte) | | **A.5.24** | **Planification et préparation gestion incidents** | ✅ Complet | [incident-response/01-detection-triage.md](../incident-response/01-detection-triage.md) | | **A.5.25** | **Évaluation et décision sur événements de sécurité** | ✅ Complet | Triage P1/P2/P3 dans IR-01 | | **A.5.26** | **Réponse aux incidents** | ✅ Complet | 10 runbooks + 4 IR docs | | **A.5.27** | **Tirer des enseignements des incidents** | ✅ Complet | Post-incident reports + RETEX trimestriel | | **A.5.28** | **Collecte des éléments de preuve** | ✅ Complet | [05-recover-from-ransomware.md §5](../runbooks/05-recover-from-ransomware.md) snapshot pré-investigation | | **A.5.29** | **Sécurité de l'information pendant rupture** | ✅ Complet | [03-backup-strategy.md](../03-backup-strategy.md) + chiffrement bouts en bout | | **A.5.30** | **Disponibilité TIC pour la continuité** | ✅ Complet | [04-rto-rpo-matrix.md](../04-rto-rpo-matrix.md) + 10 runbooks | | A.5.31 | Conformité légale et réglementaire | ✅ Complet | NIS2 + RGPD + LCEN documentés [00-policy.md §3](../00-policy.md) | | A.5.34 | Vie privée (PII) | ✅ Complet | [incident-response/03-cnil-rgpd-notification.md](../incident-response/03-cnil-rgpd-notification.md) | | A.5.35 | Revue indépendante sécurité | ❌ Non couvert V1 | Audit externe Phase 2 | ## A.8 — Contrôles techniques | Contrôle | Intitulé | Couverture DR | Référence | | ---------- | ---------------------------------------------- | ---------------- | --------------------------------------------------------------------------------------------------- | | A.8.1 | Dispositifs des utilisateurs | N/A | PSSI globale (BYOD policy) | | A.8.2 | Privilèges d'accès | ⚠️ Partiel | DR AppRole least-privilege [setup/vault-dr-policy.sh](../../../scripts/dr/setup/vault-dr-policy.sh) | | A.8.6 | Gestion de capacité | ⚠️ Partiel | Volumétrie estimée [02-asset-inventory.md §8](../02-asset-inventory.md) | | A.8.7 | Protection contre malware | ⚠️ Partiel | Scan ClamAV mentionné dans runbook 05 §8.2, pas de monitoring continu V1 | | A.8.10 | Suppression d'information | ✅ Complet | shred -u sur snapshots locaux + DIN P-7 papier | | A.8.11 | Masquage des données | ✅ Complet | Chiffrement client-side restic + AES-256-CBC pgbackrest | | A.8.12 | Prévention fuite (DLP) | ❌ Non couvert V1 | Phase 2 (DLP outil dédié) | | **A.8.13** | **Sauvegarde** | ✅ Complet | [03-backup-strategy.md](../03-backup-strategy.md) 3-2-1-1-0 | | **A.8.14** | **Redondance** | ✅ Complet | Multi-fournisseur OVH+Scaleway, multi-région failover | | **A.8.15** | **Logs** | ✅ Complet | Sentry + container logs + audit trail Postgres | | A.8.16 | Surveillance des activités | ⚠️ Partiel | Sentry alerts + dr-verify quotidien, monitoring uptime externe Phase 2 | | A.8.18 | Utilisation programmes utilitaires privilégiés | ✅ Complet | Tous les scripts DR via Vault AppRole, pas de root direct | | A.8.20 | Sécurité des réseaux | ✅ Complet | data-net internal Docker, ufw firewall VPS | | A.8.21 | Sécurité services réseau | ✅ Complet | TLS Let's Encrypt + Traefik security headers | | **A.8.32** | **Gestion des changements** | ⚠️ Partiel | Git versionning + CI tests, change advisory board Phase 2 | ## A.6 — Contrôles personnel + A.7 contrôles physiques Hors périmètre DR pur (relèvent de la PSSI globale et des locaux Nicolas) — mais notons : | Contrôle | Couverture DR | Référence | | ---------- | --------------------------------- | ------------------------------------------------------------------------------------------------- | | A.6.5 | Termination/fin de contrat | Plan continuité humaine [01-keyholders.md §8](../01-keyholders.md) | | A.6.8 | Signalement d'événements sécurité | Détection [incident-response/01-detection-triage.md](../incident-response/01-detection-triage.md) | | A.7.1-7.14 | Sécurité physique | Coffre A2P 1 étoile + notaire, cf. [01-keyholders.md §3](../01-keyholders.md) | ## Synthèse * **Contrôles DR-pertinents totalement couverts** : 16/25 (64%) * **Partiellement couverts** : 7/25 (28%) * **Non couverts V1** : 2/25 (8%) — DLP + audit indépendant Position commerciale : "Plateforme alignée ISO 27001 sur les contrôles critiques pour la continuité (A.5.24-A.5.30, A.8.13-A.8.15). Démarche de certification Phase 2 (5 clients récurrents)." | Version | Date | Auteur | | ------- | ---------- | ------------------ | | 1.0 | 2026-04-26 | Nicolas Schiffgens |