Varden Security
ConnexionVoir les plans Varden

Documentation

Réglementations, normes et références cyber

Hub centralisé : fiches descriptives ISO/IEC, résumés des cadres réglementaires, sources officielles téléchargeables et référentiels complémentaires.

Démarrer un parcours cyber

Fiches ISO/IEC

10 normes

Cadres réglementaires

14 références

Normes ISO/IEC

Fiches descriptives complètes des normes internationales pour structurer les contrôles et la maturité opérationnelle.

SMSI et gouvernance cyber

ISO/IEC 27001

ISO/IEC 27001:2022

ISO/IEC 27001 est la norme de reference pour mettre en place, faire vivre et ameliorer un SMSI. Elle impose une logique de pilotage: contexte, leadership, analyse de risque, objectifs, controles, audits internes et amelioration continue.

Ouvrir la fiche

Catalogue de controles de securite

ISO/IEC 27002

ISO/IEC 27002:2022

ISO/IEC 27002 complete ISO/IEC 27001 en decrivant des controles organisationnels, humains, physiques et techniques. Elle sert de guide pratique pour traduire la politique securite en mesures concretement deployables.

Ouvrir la fiche

Gestion des risques cyber

ISO/IEC 27005

ISO/IEC 27005:2022

ISO/IEC 27005 est le guide de gestion des risques du domaine 27000. Elle operationalise la logique de risque attendue par 27001 et clarifie les etapes de qualification, priorisation et suivi.

Ouvrir la fiche

Securite cloud

ISO/IEC 27017

ISO/IEC 27017:2015

ISO/IEC 27017 traite les zones de risque propres au cloud: separation des environnements, responsabilite partagee, administration privilegiee et securite des services virtualises.

Ouvrir la fiche

Gestion des incidents de securite

ISO/IEC 27035

ISO/IEC 27035 (serie)

ISO/IEC 27035 fournit un cadre pour organiser la reponse a incident, clarifier les roles, accelerer l escalade et consolider les lecons apprises.

Ouvrir la fiche

Systeme de management de la continuite d activite

ISO/IEC 22301

ISO 22301:2019

ISO 22301 definit un BCMS (Business Continuity Management System) avec analyse d impact, strategies de continuite, plans de reprise et tests periodiques.

Ouvrir la fiche

Resilience organisationnelle

ISO/IEC 22316

ISO 22316:2017

ISO 22316 pose des principes de resilience a l echelle de l entreprise: leadership, culture, information, innovation, apprentissage et coordination.

Ouvrir la fiche

Gestion des risques entreprise

ISO/IEC 31000

ISO 31000:2018

ISO 31000 decrit des principes et un cadre de management du risque pour aligner decision, gouvernance et performance. Elle est generaliste et s applique au dela de la cybersecurite.

Ouvrir la fiche

Privacy Information Management System

ISO/IEC 27701

ISO/IEC 27701:2019

ISO/IEC 27701 complete 27001/27002 pour la gouvernance privacy. Elle clarifie les exigences pour les roles de responsable de traitement et sous traitant, ainsi que les controles de protection des donnees.

Ouvrir la fiche

Securite des relations fournisseurs

ISO/IEC 27036

ISO/IEC 27036 (serie)

ISO/IEC 27036 couvre la gestion du risque tiers: qualification fournisseur, exigences contractuelles, supervision des prestations et maitrise des dependances critiques.

Ouvrir la fiche

Cadres réglementaires

Résumés des principales réglementations et directives cyber, avec accès direct aux sources officielles pour audit ou ingestion IA.

NIS2

Directive

Directive (UE) 2022/2555

NIS2 renforce la cybersecurite des entites essentielles et importantes avec des exigences de gouvernance, gestion des risques, notification d'incident et supervision.

Points clés

  • Gouvernance cyber au niveau direction
  • Mesures minimales de securite et gestion des tiers
  • Obligations de notification d'incident

Usage Varden

  • Qualification de perimetre et obligations
  • Scoring des mesures de gestion du risque
  • Generation de plan de remediation priorise
Ouvrir le PDFTélécharger

DORA

Reglement

Reglement (UE) 2022/2554

DORA impose une resilience operationnelle numerique robuste au secteur financier, avec gouvernance ICT, tests de resilience et gestion des risques fournisseurs ICT.

Points clés

  • Cadre de gestion du risque ICT
  • Gestion et declaration des incidents ICT
  • Tests de resilience operationnelle (dont avances)

Usage Varden

  • Assessments resilience operationnelle
  • Suivi des incidents et delais de reprise
  • Pilotage du risque concentration fournisseurs
Ouvrir le PDFTélécharger

CER

Directive

Directive (UE) 2022/2557

CER traite la resilience des entites critiques face aux menaces physiques et hybrides, avec analyse de risques, mesures de protection et continuite des services essentiels.

Points clés

  • Identification des entites critiques
  • Evaluation des risques multisources
  • Plans de resilience et continuite

Usage Varden

  • Evaluation de continuite metier
  • Indicateurs de resilience interdependances
  • Rapports de preparation et stress tests
Ouvrir le PDFTélécharger

CRA

Reglement

Reglement (UE) 2024/2847

Le Cyber Resilience Act introduit des exigences de securite pour les produits avec elements numeriques sur tout leur cycle de vie, incluant traitement des vulnerabilites.

Points clés

  • Security by design/by default
  • Gestion des vulnerabilites et mises a jour
  • Obligations de transparence et signalement

Usage Varden

  • KPI patching et vulnerabilites critiques
  • Suivi des delais de correction
  • Trajectoire de conformite produit
Ouvrir le PDFTélécharger

RGPD

Reglement

Reglement (UE) 2016/679

Le RGPD encadre le traitement des donnees personnelles, impose responsabilite, securite adequate, droits des personnes et notification des violations.

Points clés

  • Base legale et responsabilite du traitement
  • Droits des personnes concernees
  • Securite des traitements et gestion des violations

Usage Varden

  • Evaluation privacy by design et gouvernance
  • Suivi des violations et delais de notification
  • Plan d'amelioration registre + mesures techniques
Ouvrir le PDFTélécharger

Data Act

Reglement

Reglement (UE) 2023/2854

Le Data Act organise l'acces et le partage de donnees, notamment issues d'objets connectes, et encadre l'equite contractuelle, l'interoperabilite et le changement de fournisseur cloud.

Points clés

  • Acces et portabilite des donnees
  • Conditions de partage B2B/B2G
  • Interoperabilite et switching cloud

Usage Varden

  • Evaluation dependance fournisseur cloud
  • Indicateurs de reversibilite et portabilite
  • Rapport de maturite gouvernance data
Ouvrir le PDFTélécharger

Data Governance Act

Reglement

Reglement (UE) 2022/868

Le Data Governance Act met en place des mecanismes de confiance pour le partage de donnees, avec intermediaires de donnees, reutilisation de certaines donnees publiques et data altruism.

Points clés

  • Cadre de partage de donnees de confiance
  • Intermediaires et obligations de neutralite
  • Mecanismes de gouvernance europeens

Usage Varden

  • Assessment gouvernance data inter-organisation
  • Evaluation des controles de confiance
  • Preparation des usages data mutualises
Ouvrir le PDFTélécharger

eIDAS

Reglement

Reglement (UE) 910/2014 (et evolutions eIDAS 2.0)

eIDAS encadre l'identite electronique et les services de confiance (signature, cachet, horodatage, etc.) pour des transactions numeriques fiables dans l'UE.

Points clés

  • Identification electronique transfrontaliere
  • Services de confiance qualifies
  • Integrite et non-repudiation des echanges

Usage Varden

  • Evaluation identite et preuves numeriques
  • Maturite des controles de confiance
  • Trajectoire de conformite trust services
Ouvrir le PDFTélécharger

Cybersecurity Act

Reglement

Reglement (UE) 2019/881

Le Cybersecurity Act renforce le role de l'ENISA et etablit un cadre europeen de certification cybersecurite pour produits, services et processus ICT.

Points clés

  • Cadre de certification cybersecurite UE
  • Niveaux d'assurance et schemes
  • Appui institutionnel via ENISA

Usage Varden

  • Assessment maturite assurance/certification
  • KPI de couverture de certification
  • Rapport d'alignement exigences de confiance
Ouvrir le PDFTélécharger

AI Act

Reglement

Reglement europeen sur l'intelligence artificielle (AI Act)

L'AI Act introduit une approche par niveau de risque des systemes d'IA, avec interdictions, obligations renforcees pour les systemes a haut risque et exigences de transparence.

Points clés

  • Classification des systemes d'IA par risque
  • Obligations providers/deployers
  • Gouvernance, documentation et supervision humaine

Usage Varden

  • Qualification des usages IA de l'organisation
  • Assessments de conformite IA et traceabilite
  • Rapports de risques et plans de mise en conformite
Ouvrir le PDFTélécharger

EUCC

Schema

Schema europeen EUCC (Common Criteria-based)

EUCC structure la certification cyber des produits/services ICT selon une approche Common Criteria. Il renforce la confiance et la comparabilite des niveaux d assurance.

Points clés

  • Parcours de certification cyber produit/service
  • Niveaux d assurance et exigences d evaluation
  • Articulation avec les attentes Cybersecurity Act

Usage Varden

  • Qualification des produits a certifier
  • KPI readiness de certification
  • Alignement des preuves techniques et documentaires
Ouvrir la source

EBA ICT Guidelines

Guide

EBA/GL/2019/04 - Guidelines on ICT and Security Risk Management

Les lignes directrices EBA renforcent la gouvernance ICT, la maitrise des risques de securite et la supervision des dispositifs numeriques dans le secteur bancaire.

Points clés

  • Gouvernance ICT et responsabilites direction
  • Gestion du risque securite et continuite
  • Maitrise des risques d outsourcing et de dependance

Usage Varden

  • Evaluation prudentielle bancaire complementaire a DORA
  • Scoring de maturite gouvernance ICT
  • Plan d actions priorise pour les exigences superviseur
Ouvrir la source

EIOPA Cloud Outsourcing

Guide

EIOPA Guidelines on outsourcing to cloud service providers

Les guidelines EIOPA cadrent l outsourcing cloud dans l assurance: gouvernance, due diligence, clauses contractuelles, supervision continue et strategie de sortie.

Points clés

  • Cadre de gouvernance de l outsourcing cloud
  • Exigences contractuelles, audit et controle
  • Reversibilite et gestion de concentration des risques

Usage Varden

  • Assessments cloud/tiers secteur assurance
  • KPI de supervision fournisseurs cloud
  • Plans de remediations orientes conformite prudentielle
Ouvrir la source

Circulaires NBB/FSMA

Circulaire

Circulaires prudentielles belges (NBB et FSMA) selon perimetre

Les circulaires NBB/FSMA precisent des attentes nationales de gouvernance, securite, outsourcing et continuite pour les acteurs supervises en Belgique.

Points clés

  • Attentes nationales complementaires aux textes UE
  • Precisions de supervision sur ICT, risque et controle
  • Exigences de documentation et de preuve en audit

Usage Varden

  • Localisation Belgique des assessments reglementaires
  • Adaptation des plans de remediation au superviseur local
  • Consolidation des preuves pour revues prudentielles
Ouvrir la source

Référentiels complémentaires

Normes et cadres internationaux référencés dans l'arborescence documentaire mais sans fiche descriptive dédiée à ce stade.

ISO/IEC 27018

Segment : Protection des donnees personnelles dans le cloud public | Usage : Taux de controles privacy cloud couverts

Pont entre cloud security et RGPD

ISO 22320

Segment : Gestion d'urgence et gestion d'incident | Usage : Temps de coordination de crise multi-equipes

Renforce la commande/coordination en crise

ISO 37301

Segment : Compliance management system | Usage : Taux de controles de conformite verifies

Cadre management conformite transversal

PCI DSS

Segment : Securite des donnees cartes de paiement | Usage : % d'exigences PCI conformes

Baseline sectorielle pour paiements

NIST Cybersecurity Framework (CSF 2.0)

Segment : Pilotage cyber par fonctions | Usage : Maturite gouvernance et fonctions CSF

Referentiel pragmatique d'amelioration continue

COBIT 2019

Segment : Gouvernance et management IT | Usage : Capacite de gouvernance IT orientee valeur

Alignement strategie, risque et controle IT

ITIL 4

Segment : Management des services numeriques | Usage : Qualite et stabilite des processus ITSM

Operationalisation service management