Varden AuditorMéthodologie Varden
Varden Auditor a dépouillé les exigences de NIS2, DORA, ISO 27001, ISO 22301, CyFun, NIST CSF 2.0, RGPD, CRA et AI Act pour proposer une grille unique : 5 piliersqui couvrent l'intégralité du périmètre de gouvernance cyber attendu d'une organisation européenne moderne.
Notre approche
Responsabilité vis-à-vis de son activité, de ses clients, de ses fournisseurs ou obligation légale, la cybersécurité fait aujourd'hui partie intégrante de la gouvernance d'une organisation. NIS2 art. 20 et DORA art. 5 imposent désormais une responsabilité directe de l'organe de direction.
Varden Auditor n'est pas un outil de plus dans la jungle des référentiels. C'est une grille unique de lecture qui factorise les exigences communes des principaux textes pour permettre aux dirigeants, RSSI et responsables conformité de piloter leur démarche dans la durée.
Cadres couverts
9+
NIS2, DORA, ISO 27001, ISO 22301, CyFun, NIST, RGPD, CRA, AI Act…
Piliers structurants
5
Gouvernance, Risques, Protection, Détection, Résilience.
Articles cités
100+
Mapping précis question × article pour chaque référentiel.
Les 5 piliers Varden
Chaque parcours Varden Auditor — du Quick Cyberscan gratuit aux parcours payants NIS2, ISO 27001, CyFun ou DORA — utilise les mêmes 5 piliers. Vous construisez ainsi une vue consolidée de votre maturité, comparable dans le temps et exploitable pour vos audits externes.
Politique cyber, rôles, budget, périmètre réglementaire — rendre la cybersécurité redevable au plus haut niveau de l'organisation.
Pourquoi ce pilier : NIS2 art. 20 et DORA art. 5 imposent une responsabilité directe de l'organe de direction. Sans sponsor exécutif, aucune mesure technique ne tient dans la durée.
Référentiels mappés
Inventaire des actifs et données critiques, analyse des risques, fournisseurs, conformité données personnelles.
Pourquoi ce pilier : Sans cartographie, aucune mesure n'est priorisable. ISO 27005 et CyFun ID.* en font le préalable de toute démarche structurée.
Référentiels mappés
Mesures concrètes de réduction du risque : authentification, vulnérabilités, sauvegardes, sensibilisation.
Pourquoi ce pilier : Couche opérationnelle. C'est ici que se concentrent la majorité des mesures imposées par NIS2 art. 21 et les exigences essentielles du CRA.
Référentiels mappés
Capacité à détecter, réagir et notifier dans les délais réglementaires (24h NIS2, 72h RGPD, 4h DORA).
Pourquoi ce pilier : Sans détection, aucune notification possible. NIS2 art. 23 et DORA art. 17-23 sanctionnent l'incapacité à respecter les délais.
Référentiels mappés
Capacité à fonctionner en mode dégradé, à se reconstruire et à apprendre des incidents.
Pourquoi ce pilier : Pilier sponsorisé par DORA pour la finance, attendu par NIS2 et ISO 22301 partout. Différencie une organisation mature d'une organisation fragile.
Référentiels mappés
Couverture réglementaire
Une exigence de NIS2 ou de DORA ne tombe jamais dans le vide : elle est toujours rattachée à un pilier Varden, et chaque question du diagnostic cite l'article précis qu'elle couvre.
| Régulation / norme | GOV | RISK | PROT | DET | RES |
|---|---|---|---|---|---|
NIS2 Directive (UE) 2022/2555 — entités essentielles et importantes | ✓ | ✓ | ✓ | ✓ | ✓ |
DORA Règlement (UE) 2022/2554 — résilience opérationnelle financière | ✓ | ✓ | ✓ | ✓ | ✓ |
ISO/IEC 27001:2022 Système de management de la sécurité de l'information | ✓ | ✓ | ✓ | ✓ | |
ISO 22301:2019 Management de la continuité d'activité | ✓ | ||||
CyFun (CCB) Cyberfundamentals Framework — référentiel belge officiel | ✓ | ✓ | ✓ | ✓ | ✓ |
NIST CSF 2.0 Cybersecurity Framework — référentiel international transverse | ✓ | ✓ | ✓ | ✓ | ✓ |
RGPD Règlement (UE) 2016/679 — protection des données personnelles | ✓ | ✓ | ✓ | ✓ | |
CRA Cyber Resilience Act — produits avec éléments numériques (2027) | ✓ | ✓ | ✓ | ||
AI Act Règlement (UE) 2024/1689 — IA à haut risque | ✓ | ✓ |
Important
Notre méthodologie ne se substitue pas au travail d'un organisme certificateur agréé (BCcA, CCB, AFNOR…). Elle vous permet en revanche d'arriver le jour de l'audit avec :
📋
Une auto-évaluation structurée
Score de maturité par pilier, écarts identifiés, plan d'action priorisé.
📁
Vos déclarations pré-rédigées
Politiques, procédures, registres et matrices RACI prêts à présenter.
🔍
Vos preuves classées
Logs, configurations, attestations, REX d'exercice — collectés et rattachés aux exigences.
Vous gagnez en moyenne 40 à 60 % du temps de préparation à un audit externe, et vous abordez l'échange avec l'auditeur sur une base saine et documentée.
Couplage produit
Varden Auditor pilote la compliance et la gouvernance. Notre offre Varden Sentinel apporte les preuves techniques attendues par les audits modernes : pentest applicatif externe, scan interne d'infrastructure, inventaire dynamique des assets.
Varden Auditor
Pilotage compliance & gouvernance
Varden Sentinel
Preuves techniques & exposition
Une clé canonique partagée entre les deux produits (intégrée au modèle de données Varden) permet de générer en un clic un rapport conjoint Auditor × Sentinel qui croise vos obligations et vos preuves techniques.
Du score à la gouvernance
Au-delà du diagnostic ponctuel, Varden Auditor devient l'outil opérationnel qui suit votre conformité dans le temps. Pour la direction, le RSSI, le DPO ou le responsable conformité, c'est un tableau de bord unifié auquel se référer pour arbitrer, allouer un budget et démontrer la maîtrise.
📊 Score consolidé
Vue agrégée des 5 piliers, évolution sur 6/12 mois, comparaison entre référentiels.
🎯 Objectifs
Cibles datées par pilier ou par référentiel, suivi de progression.
🛠 Plan de remédiation
Actions priorisées avec responsables, échéances, KPI de clôture.
📁 Registre des risques
Risques identifiés, probabilité, impact, plan de traitement.
Notre Quick Cyberscan gratuit applique les 5 piliers à votre organisation et vous restitue un score actionnable, sans création de compte.