La conformité multi-cadres.

16+ cadres : NIST CSF 2.0, ISO 27001, SOC 2, NIS2, DORA, EBIOS RM, CIS, PCI DSS, RGPD, Loi 25, HDS, ITSG-33, IEC 62443. 1 342 contrôles SCF avec 1 341+ mappings inter-référentiels. Hébergé au Canada.

Demander une démo

Découvrir la plateforme

Vous validez le même contrôle 4 fois. Pour 4 cadres différents.

Votre équipe collecte une preuve pour ISO 27001. Trois mois plus tard, elle collecte la même preuve pour SOC 2. Six mois plus tard, pour NIS2. L'année suivante, pour DORA. Quatre fois le même contrôle. Quatre fois la même preuve. Quatre fois le même temps perdu. FortaRisks change cette mécanique. 1 341+ mappings inter-référentiels signifient qu'un contrôle ISO 27001 valide automatiquement son équivalent dans 3 autres cadres. Vous évaluez une fois. Vous prouvez partout.

Trois capacités. Une posture continue, multi-cadres.

Catalogue de 16+ cadres

16+ cadres : NIST CSF 2.0, ISO 27001, ISO 27002, ISO 27005, ISO 42001 (IA), SOC 2, NIS2, DORA, EBIOS Risk Manager, CIS Controls v8, PCI DSS 4.0, OWASP ASVS 5, OWASP Top 10, RGPD, Loi 25, HDS, ITSG-33 (CCCS), IEC 62443, NERC CIP, OSFI B-13, SWIFT CSCF.
Mises à jour automatiques à chaque révision officielle (NIST CSF 2.0 → 3.0, NIS2 transposition nationale, DORA technical standards).
Périmètres hiérarchiques configurables : organisation → BU → site → application.
Contrôles compensatoires explicitement supportés (avec justification documentée).

1 341+ mappings inter-référentiels

1342 contrôles SCF mappés sur 33 domaines (IAM, Cryptographie, Supply Chain, Continuité, Vulnérabilités, Protection des données, etc.).
5 niveaux d'évaluation : framework → fonction → catégorie → sous-catégorie → contrôle individuel.
Preuves rattachées au contrôle, pas au cadre. Une preuve = N validations dans N cadres.
Détection automatique des écarts entre cadres (un contrôle requis par NIS2 mais absent de votre SOC 2 actuel).

Méthodologie configurable

6 niveaux de maturité CMM (0 = Not Performed à 5 = Continuously Improved), grille bilingue FR/EN.
4 stratégies de scoring interchangeables : équilibrée, pondération risque, impact business, héritée du cadre.
3 approches d'évaluation : Baseline (rapide, ~3-5 jours pour démarrer), Evidence-based (équilibré, ~2 semaines), Comprehensive (détaillé, ~4-6 semaines).
Roadmap d'amélioration générée automatiquement.

16+ cadres. Maintenus à jour. Mappés entre eux.

Chaque cadre est implémenté à son niveau de granularité officiel (fonction → catégorie → sous-catégorie → contrôle).

Trois moments. Trois utilisations.

Cas 1

SaaS éditeur (multi-cadres simultanés)

Éditeur SaaS B2B de 150 employés au Quebec. Clients aux US (SOC 2 Type II requis), partenaires UE (NIS2 entrant en vigueur), obligation Loi 25 (clients québécois). Avant FortaRisks : 3 outils GRC séparés, 3 équipes de preuves, chevauchements massifs, 9 mois de préparation SOC 2. Avec FortaRisks : 1 plateforme, 1 collecte de preuves, 1 341+ mappings croisés. SOC 2 Type II, NIS2 Article 21, Loi 25 audit-ready en 14 semaines. Réduction effort GRC estimée à 60 %.

Cas 2

Filiale française d'un groupe canadien (EBIOS RM ANSSI)

Groupe canadien manufacturier, filiale française à Lyon, 200 employés. La filiale doit produire une analyse de risque EBIOS RM pour son audit de référencement client (groupe industriel français). Avant FortaRisks : EBIOS RM Studio open source, atelier en présentiel sur 5 jours, livrables à reformater pour audit. Avec FortaRisks : les 5 ateliers EBIOS RM dans la plateforme, réutilisation du graphe d'actifs et des signaux CTI déjà ingérés, livrables exportés au format ANSSI. Préparation atelier ramenée à 2 jours.

Cas 3

Banque coopérative québécoise (DORA via filiale UE)

Banque coopérative de 800 employés. Filiale française entrant dans le périmètre DORA (Digital Operational Resilience Act, applicable janvier 2025). La filiale doit prouver son alignement DORA et la gestion des prestataires de services TIC critiques. Avec FortaRisks : cadre DORA mappé aux 1 342 contrôles SCF, 87 % d'alignement automatique via les contrôles ISO 27001 déjà validés. Lacunes spécifiques DORA identifiées (gestion des incidents TIC critiques, tests de résilience). Roadmap de remédiation chiffrée. Audit-ready en 16 semaines.

Posture n'est pas un silo. Tous les piliers utilisent la maturité des contrôles.

La maturité des contrôles est une donnée de référence. Sans elle, les autres piliers décident dans le vide. Avec elle, ils savent ce qui est défendu et ce qui ne l'est pas.

Posture → CTI

Les TTPs des acteurs sont contextualisés par votre couverture de contrôles. Si BlackBasta exploite typiquement le défaut de MFA et que votre IAM est en CMM 4, l'alerte BlackBasta sur votre stack est priorisée bas. Si votre IAM est en CMM 1, elle est priorisée haut.

Posture → EASM

Les findings EASM (port 22 exposé, TLS 1.0 actif, etc.) sont contextualisés par les contrôles attendus pour cet actif. Une absence de contrôle MFA sur un service exposé en SSH devient un finding sécurité critique, pas juste un finding technique.

Posture → TPRM

Les cadres déclarés par vos tiers (SOC 2, ISO 27001) sont confrontés aux signes externes observés. Détection automatique de dérive vs déclaration.

Posture → AI Risk Engine

La maturité des contrôles est la composante « défense » du score de risque. Sans Posture, l'AI ne sait pas si l'actif vulnérable est défendu. Elle priorise un CVE critique sur un actif déjà bien protégé en bas de la liste.

Voyez votre posture multi-cadres en 30 minutes.

Demander une démo

FAQs

1/ Comment fonctionnent les 1 341+ mappings inter-référentiels ?

Le moteur de mapping est calibré sur le SCF (Secure Controls Framework), un méta-cadre maintenu publiquement qui mappe 1 342 contrôles sur les principaux référentiels mondiaux. Quand vous validez un contrôle dans ISO 27001 (par exemple A.5.15 — Access control), le moteur identifie ses équivalents dans NIS2 (Article 21.2.f), DORA (Article 9), SOC 2 (CC6.1), et marque ces équivalents comme « validés par mapping ». Chaque mapping est documenté et auditable. Vous pouvez choisir de désactiver les validations automatiques par mapping si votre auditeur l'exige.

2/ Comment maintenez-vous les cadres à jour quand ils évoluent ?

Veille réglementaire continue par notre équipe produit. Mise à jour automatique du contenu cadre dans la plateforme à chaque révision officielle. Notification utilisateurs des changements impactant leur posture (par exemple : NIST CSF 1.1 → 2.0 publié février 2024, NIS2 transposition nationale par État membre, DORA Regulatory Technical Standards publiés). Historique versionné des évaluations avant/après changement de cadre.

3/ Quelle est la différence entre les 3 approches d'évaluation (Baseline / Evidence-based / Comprehensive) ?

**Baseline** : auto-évaluation rapide sur les contrôles essentiels du cadre. Démarrage en 3-5 jours. Idéal pour une première mesure ou un cadre secondaire.

**Evidence-based** : évaluation des contrôles avec collecte de preuves (documents, captures, attestations). 2 semaines typiques. Posture solide, défendable face à un auditeur.

**Comprehensive** : évaluation détaillée tous niveaux (framework → fonction → catégorie → sous-catégorie → contrôle individuel) avec preuves multiples par contrôle. 4-6 semaines. Posture audit-ready niveau ISO 27001 / SOC 2 Type II.

4/ Puis-je créer mon propre cadre interne ou personnaliser un cadre officiel ?

Oui. Mode « custom framework » disponible : créez vos propres contrôles, organisés en domaines/catégories, avec votre propre méthodologie de scoring. Vous pouvez aussi étendre un cadre officiel (par exemple : NIST CSF 2.0 + 12 contrôles internes spécifiques à votre secteur). Les cadres custom restent isolés à votre tenant et ne sont pas exposés à d'autres clients.