Revue annuelle ISO — tutoriel complet

Objectif

À l'issue de ce tutoriel, vous aurez importé le Pack Scrydon ISO Yearly Review, instancié pour la revue annuelle fictive ISMS+AIMS 2026 de Lumen.health, parcouru la séquence complète de 12 stages (Planification & Périmètre → Instantané du registre des risques → Test de pénétration → Tabletop IRP → Tabletop DR → Test de restauration → Formation IR → Évaluation d'impact IA → Delta AIUC-1 → Revue par les pairs → Revue de direction → Synchronisation du dossier d'audit), et produit un dossier de preuves prêt pour l'audit BELAC stage 1 de septembre 2026.

Ce modèle s'exécute une fois par an et constitue l'instance unique la plus lourde de la documentation — environ 60 tâches, huit personas, des portes séquentielles, toutes ancrées sur la fenêtre d'audit BELAC. Il est le complément naturel du tutoriel ISO Quarterly Review, qui s'exécute quatre fois par an contre la même posture de conformité.

Priya Ramaswamy (Responsable de la conformité chez Lumen.health), CEO Daniel Foley, CTO Marco Esposito, CISO Aisha Khan, Responsable de la gouvernance IA Lukas Berg, DPO Anne Verwoerd, Responsable SRE Jakub Vaníček, et la responsable externe du test de pénétration Mariella Greco (PenTestPartners) parcourent cela ensemble. Toutes les entités, chiffres, constatations et résolutions sont fictifs.

Prérequis

Vous disposez d'un déploiement Scrydon avec les surfaces agentic et ontology activées. Définissez les variables d'environnement suivantes dans votre shell pour l'étape d'importation :

export SCRYDON_URL="https://<your-scrydon-url>"
export ORG_ID="<your-org-id>"
export SESSION_COOKIE="$(cat ~/.scrydon/session-cookie)"

Le modèle référence deux workflows système : compliance-vanta-final-check (valide « 0 NEEDS_ATTENTION » avant l'audit) et compliance-evidence-sync (pousse les preuves vers Vanta). Les deux se dégradent en checklists manuelles s'ils ne sont pas encore déployés.

Étape 1 — Télécharger le pack

Télécharger iso-yearly-review-1.0.0.scrydon-pack.tar.gz

mkdir -p iso-yearly-tutorial && cd iso-yearly-tutorial
curl -O https://docs.scrydon.com/static/process-pack-examples/iso-yearly-review-1.0.0.scrydon-pack.tar.gz

Le pack fait ≈ 5 Kio.

Étape 2 — Inspecter le pack

bunx @scrydon/sdk-authoring pack inspect iso-yearly-review-1.0.0.scrydon-pack.tar.gz

Pack:
  Package:  iso-yearly-review@1.0.0
  Contents: ontology@1.0.0, process-flow@1.0.0
  Install order: ontology → process-flow
  ontology: iso-yearly-review@1.0.0
  process-flow: iso-yearly-review (12 stages)

Étape 3 — Téléverser le pack

curl -X POST "$SCRYDON_URL/api/packs/import?organizationId=$ORG_ID" \
  -H "Cookie: $SESSION_COOKIE" \
  -F "file=@iso-yearly-review-1.0.0.scrydon-pack.tar.gz"

Étape 4 — Créer l'instance de revue annuelle

Naviguez vers $SCRYDON_URL/process-flows. La carte ISO Yearly Review apparaît sous le tag Compliance. Cliquez sur Nouvelle instance depuis le modèle, nommez l'instance Lumen.health 2026 ISMS+AIMS Annual Review.

L'instance s'ouvre sur la vue tracker. Douze lanes de stages apparaissent. Les stages sont séquentiels ; la réunion a lieu à la fin (stage 11), et le stage final est la synchronisation du dossier d'audit.

Étape 5 — Planification & Périmètre (2 semaines)

Priya lance le cycle annuel début février :

• Confirmer la fenêtre de revue (couvre les 12 mois précédents).
• Confirmer le périmètre : quels systèmes IA (7), quels segments réseau, quels fournisseurs.
• Réserver le test de pénétration externe (début cible 15 mai).
• Réserver l'engagement de l'évaluateur AIUC-1 (T2 + T3 + T4).
• Ouvrir le dossier d'audit 2026 dans Vanta + Notion.
• Confirmer la liste des réviseurs pour les huit personas.

Porte de stage : approval de Priya + Daniel.

Étape 6 — Instantané du registre des risques (1 semaine)

Actualiser le registre des risques (clôture le test Vanta risks-reviewed-annually) :

• Parcourir le registre actuel ; clore les risques obsolètes.
• Ajouter de nouveaux risques issus des incidents, quasi-incidents et nouveaux systèmes.
• Actualiser les plans de traitement pour les risques à score élevé.
• Créer l'instantané du 22 août 2026 dans Vanta et marquer « à partager avec les auditeurs ».

Porte de stage : approval de Priya.

Étape 7 — Test de pénétration (6 semaines)

Le stage le plus long. PenTestPartners exécute un test de pénétration de 2 semaines contre le service d'authentification, agentic, analytics, ontology et le sandbox d'agents LLM.

Télécharger 01-pentest-sow.md — SoW de PenTestPartners. 42 k€, OWASP Top 10 + LLM Top 10 + OWASP API Top 10. 6 livrables dont un retest dans les 90 jours.

Huit tâches guident l'équipe à travers le périmètre, l'engagement, l'exécution par le fournisseur, le rapport préliminaire, les clarifications, les tickets de remédiation pour les constatations Élevées/Critiques, le suivi jusqu'à clôture, le téléversement final des preuves.

Porte de stage : approval d'Aisha.

Étape 8 — Exercice de tabletop IRP (1 semaine)

Aisha sélectionne un scénario dans le cahier de jeu IR spécifique aux LLM et exécute le tabletop :

Télécharger 02-irp-tabletop-scenario.md — Scénario SC-A1 : fuite LLM inter-tenant via la génération augmentée par récupération. 8 participants, exercice de 2,5 heures, 5 points de décision, 6 critères de succès, facilitateur externe (Tomáš Novák, ex-NCSC).

Six tâches : sélectionner le scénario, distribuer le briefing 24h avant, exécuter le tabletop de 60–90 min, capturer la chronologie + les décisions, noter par rapport aux critères, ouvrir les tickets de remédiation, téléverser le compte rendu du tabletop dans Vanta (A.5.27 — Apprentissage des incidents).

Étape 9 — Exercice de tabletop DR (1 semaine)

La variante dirigée par les SRE. Jakub choisit le scénario DR-A2 — basculement actif-actif multi-région — et exécute l'exercice. RTO + RPO mesurés par rapport aux objectifs publiés. Cinq tâches : sélectionner, distribuer, exécuter, identifier les lacunes, téléverser le compte rendu (A.5.29 / A.5.30).

Étape 10 — Exécution du test de restauration (1 semaine)

Restauration réelle (pas de tabletop) exécutée hors production à partir de la sauvegarde la plus récente. Quatre tâches : provisionner le cluster cible hors production ; exécuter la restauration conformément au runbook de déploiement ; valider l'intégrité des données post-restauration (comptages de lignes, exemples de requêtes) ; capturer les délais, téléverser les preuves (A.8.13 / A.8.14).

Étape 11 — Session de formation IR (2 semaines)

Dispenser les modules A–E du programme de formation IR :

• Module A — classification de la gravité
• Module B — playbooks de confinement
• Module C — procédures de communication
• Module D — modèles de notification aux régulateurs (GDPR / NIS 2 / CRA)
• Module E — débriefings d'incidents récents

Sept tâches : planifier, dispenser chacun des cinq modules, capturer les présences + formulaires d'évaluation, téléverser dans Vanta (A.6.3 + A.5.24).

Étape 12 — Évaluation d'impact IA par système (3 semaines)

Exécuter la méthodologie d'évaluation d'impact IA pour chacun des sept systèmes IA :

• Moteur d'exécution de workflows
• Copilot
• Agents
• Capacité withDlp
• Bloc de workflow Guardrails
• RAG / Base de connaissances
• Pipeline d'embeddings

Neuf tâches (une par système + confirmation de classification selon l'Acte IA UE + actualisation DPIA pour les systèmes traitant des données personnelles). Les sept évaluations sont livrées d'ici la fin du T3.

Étape 13 — Revue delta trimestrielle AIUC-1 (2 semaines)

La revue delta dirigée par la gouvernance IA par rapport à la version AIUC-1 actuelle. Cinq tâches : extraire les notes de version AIUC-1 actuelles, comparer avec le mapping de la dernière revue, identifier les nouvelles exigences, planifier la prochaine évaluation trimestrielle, ouvrir les mises à jour du dossier de preuves comme entrées du journal d'amélioration.

Étape 14 — Revue par les pairs & Consultation d'experts (1 semaine)

Trois tâches regroupant les revues par les pairs de l'année dans ai-governance/peer-review-records.mdx :

• Consolider les revues de sécurité des clients dans le journal.
• Consolider les consultations avec des conseillers / experts externes.
• Consolider l'engagement avec les régulateurs (le cas échéant).

Étape 15 — Revue de direction ISMS + AIMS (1 semaine)

La revue de direction formelle conformément à la clause 9.3 d'ISO 27001 + clause 9.3 d'ISO 42001. Huit tâches guident l'équipe à travers le cycle complet d'entrées/sorties requis :

• Compiler le dossier de revue de direction (4 revues trimestrielles + les stages de cette année).
• Examiner le statut des actions correctives de la revue de direction précédente.
• Examiner les changements dans les problèmes externes/internes affectant le ISMS/AIMS.
• Examiner les informations sur la performance + l'efficacité du ISMS/AIMS.
• Examiner les retours des parties prenantes (clients, régulateurs).
• Examiner les opportunités d'amélioration continue.
• Capturer les décisions de direction + les engagements de ressources.
• Approbation du sponsor exécutif sur le procès-verbal de la revue de direction.

Télécharger 03-management-review-pack.md — le compte rendu de la revue de direction du 22 août 2026 de Lumen.health : 7 des 12 actions correctives de l'année précédente clôturées (12 des 12 effectivement clôturées dans ce cycle), mises à jour des problèmes externes + internes (Acte IA UE, NIS 2, croissance des effectifs, actif-actif multi-région, tour de Série C), résumé de la performance sur le test de pénétration + tabletops + formation + restauration + évaluations d'impact IA + AIUC-1, retours des clients + conseillers, 5 décisions de direction, déclaration de préparation à l'audit.

La réunion de huit participants dure 2,5 heures. Daniel (CEO + Sponsor exécutif) préside ; Priya prend les notes. Cinq décisions prises :

1. D-2026-AR-01 — Autoriser la réservation de l'audit BELAC stage 1 (14–18 septembre 2026).
2. D-2026-AR-02 — Engager 120 k€ pour un coordinateur dédié à la gouvernance IA (temps plein, T4 2026).
3. D-2026-AR-03 — Approuver la clôture de la période d'observation SOC 2 Type II au T4 2026.
4. D-2026-AR-04 — Augmenter la cadence de simulation de phishing de la formation de sensibilisation de trimestrielle à mensuelle.
5. D-2026-AR-05 — Publier la politique AIMS + le résumé du test de pénétration expurgé sur la page de sécurité client dans les 30 jours.

Porte de stage : approval de Daniel.

Étape 16 — Synchronisation du dossier d'audit vers Vanta (1 semaine)

Le stage final. Huit tâches poussent chaque artefact de preuve vers Vanta et décident s'il faut procéder à l'audit stage 1 :

Télécharger 04-audit-pack-manifest.md — le manifeste complet du dossier d'audit couvrant la gouvernance ISMS+AIMS, la gestion des risques, l'évaluation de la performance, l'audit interne, les contrôles opérationnels (tests de sécurité, formation, accès, gestion des changements, gestion des incidents, continuité d'activité), les éléments spécifiques AIMS (inventaire + impact + AIUC-1 + revue par les pairs), GDPR et la logistique de la fenêtre d'audit.

Tâches :

• Téléverser le rapport de test de pénétration + le suivi des remédiations.
• Téléverser les comptes rendus IRP + DR tabletop + test de restauration.
• Téléverser les présences à la formation IR + l'évaluation.
• Téléverser les évaluations d'impact IA (7 systèmes).
• Téléverser le procès-verbal de la revue de direction + les décisions.
• Exécuter la vérification finale du statut Vanta (objectif : 0 NEEDS_ATTENTION) — workflow compliance-vanta-final-check.
• Décider : planifier l'audit BELAC stage 1 (ou différer + documenter les points de blocage) — approval de Daniel.
• Distribuer le résumé de préparation à l'audit en interne — action distribution.
• Planifier la prochaine revue annuelle (T + 365 jours).

La décision dans ce stage est l'approval la plus importante de l'année. Daniel signe, et l'équipe BELAC reçoit confirmation de la logistique de la fenêtre d'audit.

Trois variantes d'erreur à observer

Personnaliser le pack

La revue annuelle réelle de Lumen.health diverge du pack livré sur cinq points : l'organisme d'audit BELAC vs UKAS, le nombre de systèmes IA (Lumen en a 7 ; certains tenants en ont 3 ou 15+), l'extension du périmètre du test de pénétration à 18 fournisseurs pour les tenants sur plans entreprise, la cadence trimestrielle AIUC-1 (certains tenants font deux fois par an), et la politique de publication pour la politique AIMS. Trois chemins de personnalisation :

1. Forker le pack en TypeScript. Copiez packages/sdk-authoring/src/process-flows/examples/iso-yearly-review/index.ts dans votre propre projet SDK, modifiez, changez package.id et template.slug (par ex. lumen-iso-annual), incrémentez package.version, et reconstruisez avec bunx @scrydon/sdk-authoring pack build src/pack.ts --outDir dist.
2. Ajouter des contributions d'ontologie typées. Une future version pourrait ajouter les types d'objets AuditFinding, PenTestFinding, TabletopOutcome, ImpactAssessment, ManagementDecision afin que la revue annuelle émette des instances typées interrogeables d'une année à l'autre. Le CISO pourrait interroger « montrez-moi chaque constatation de test de pénétration de gravité Élevée des 3 dernières années qui est encore ouverte » en une seule phrase.
3. Paramétrer la liste des évaluations d'impact IA par système. Le modèle livré code en dur 7 systèmes. Une version personnalisée pourrait lire l'inventaire des systèmes IA depuis Vanta au moment de la création de l'instance et auto-générer une tâche par système.

Si vous forkez, changez le slug et package.id depuis iso-yearly-review.

Pour aller plus loin