ISO/IEC 27001
Correspondance entre les contrôles Scrydon et ISO/IEC 27001:2022 — le socle de gestion de la sécurité de l'information exigé par la plupart des entreprises.
ISO/IEC 27001 est la norme internationale de management de la sécurité de l'information. Cette page fait correspondre les contrôles de Scrydon aux exigences de l'Annexe A d'ISO 27001:2022 et indique les preuves que la plateforme produit automatiquement.
Périmètre
ISO 27001 est organisationnelle. Scrydon implémente les contrôles techniques qui satisfont aux exigences de l'Annexe A pertinentes pour une application d'entreprise hébergée. Le client conserve la responsabilité des contrôles du système de management environnants — politiques, plans de traitement des risques, audit interne, revue de direction.
Cette page couvre ce que Scrydon fournit. Associez-la à la documentation SMSI de votre organisation pour une vue complète.
Couverture de l'Annexe A
A.5 Contrôles organisationnels
| Contrôle | Prise en charge Scrydon |
|---|---|
| A.5.10 Utilisation acceptable de l'information | L'utilisation de la plateforme est encadrée par l'audit + les CGU. |
| A.5.15 Contrôle d'accès | Hiérarchie de permissions à trois niveaux. Voir Modèle de permissions. |
| A.5.18 Droits d'accès | Provisionnement par SCIM + audit. Voir Identité et provisionnement. |
| A.5.23 Sécurité des services cloud | Le modèle déployé chez le client signifie que les contrôles résident dans votre cluster. Voir Architecture. |
A.8 Contrôles technologiques
| Contrôle | Prise en charge Scrydon |
|---|---|
| A.8.2 Droits d'accès privilégiés | Les niveaux propriétaire/admin d'organisation sont de premier ordre. Chaque action privilégiée est auditée. |
| A.8.3 Restriction de l'accès à l'information | Masquage de colonnes, filtres de lignes, habilitation documentaire. Voir Classification et masquage. |
| A.8.5 Authentification sécurisée | SSO via Microsoft Entra, Okta, OneLogin ; MFA via l'IdP. Voir Identité et provisionnement. |
| A.8.7 Protection contre les logiciels malveillants | Analyse antivirus des fichiers téléversés pour l'ingestion de la base de connaissances. |
| A.8.10 Suppression de l'information | Suppression par organisation + rétention configurable. Voir RGPD → Droit à l'effacement. |
| A.8.11 Masquage des données | Stratégies de masquage par colonne. Voir Classification et masquage. |
| A.8.12 Prévention des fuites de données | Le bloc Guardrails, la suppression sur les journaux et les exports. Voir DLP et Suppression. |
| A.8.15 Journalisation | Journal d'audit structuré avec rétention. Voir Journalisation d'audit. |
| A.8.16 Activités de surveillance | Journal d'audit + transmission vers SIEM. |
| A.8.20 Sécurité des réseaux | Maillage de services avec mTLS, egress explicite, durcissement de l'ingress. Voir Périmètre réseau. |
| A.8.22 Ségrégation des réseaux | Chaque sous-système s'exécute dans son propre namespace avec des ACL Dapr. |
| A.8.24 Utilisation de la cryptographie | TLS 1.2+ à l'ingress, mTLS en interne, AES au repos. |
| A.8.25 Cycle de vie du développement sécurisé | Charts Helm signés, images signées, SBOM. Voir Déploiement. |
| A.8.26 Exigences de sécurité des applications | Grants d'exécution émis par le serveur, autorisation Rego. Voir Autorisation. |
| A.8.28 Codage sécurisé | Gates CI internes + revue de code appliquée via le harness. |
Preuves produites par la plateforme
| Type de preuve | Emplacement | Utilisé pour |
|---|---|---|
| Journal d'audit | Endpoint d'audit + transmetteur SIEM | A.5.7, A.8.15, A.8.16 |
| Revues d'accès | Journaux de provisionnement SCIM | A.5.18 |
| Rapports de stratégies de masquage | Interface de gouvernance Analytics | A.8.3, A.8.11 |
| Configuration du chiffrement | Valeurs Helm + gestionnaire de secrets | A.8.24 |
| Politique réseau | Configuration egress Helm | A.8.20, A.8.22 |
| SBOM | Artefacts de version | A.8.25 |
| Rapports de vulnérabilités | Sortie du scanner d'images | A.8.8 |
Automatisation Vanta
Si vous utilisez Vanta, la plateforme prend en charge la collecte automatique de preuves pour :
- A.5.15, A.5.18 — revues d'accès via les journaux SCIM.
- A.8.15, A.8.16 — preuves de journalisation via le transmetteur d'audit.
- A.8.24 — posture TLS via l'analyse de l'endpoint d'ingress.
- A.8.25 — SBOM via l'endpoint du manifeste de version.
Les preuves manuelles (politiques organisationnelles, registres de formation, comptes rendus de revue de direction) résident en dehors de la plateforme.