Trust Center · Conformité publique

Conformité ANSSI HG — 42 mesures

Mapping public, mesure par mesure, du Guide d'hygiène informatique v2 de l'ANSSI (2017). Cette page est générée à partir du fichier lib/mapping-grc.ts — le même fichier qui alimente l'API /api/v1/evidence-export et le connecteur CISO Assistant. Aucune dérive possible entre l'affichage commercial et la réalité opérationnelle.

Natif plateforme

9

★ Couverture native

Couvert

5

✓ Pédagogique + plateforme

Partiel

24

~ Sensibilisation seule

Hors scope SaaS

4

— Côté client uniquement

Score périmètre applicable

37%

14 mesures couvertes nativement ou par sensibilisation sur 38 mesures applicables à un SaaS de sensibilisation (4 mesures sont assumées hors scope car elles concernent l'architecture réseau du client).

Natif plateforme
Couvert
~ Partiel
Hors scope SaaS
I

Sensibiliser et former

(12)
  • M1~ Partiel

    Former les equipes operationnelles a la securite des systemes d'information

    Couvre saisons cyber-dev (6 ep), cyber-dirigeants (6 ep), securiser-administration-si (6 ep). Cible le personnel operationnel SI.

    2 artefacts de preuve
    • metricTaux de completion modules admin/dev/SOC
    • metricSaisons techniques deployees (cyber-dev, securiser-administration-si)
  • M2 Couvert

    Sensibiliser les utilisateurs aux bonnes pratiques elementaires de securite informatique

    MESURE PHARE HUMANIX. 31 saisons / 200+ modules couvrent l'ensemble des bonnes pratiques (phishing, mots de passe, donnees sensibles, mobilite, etc.).

    3 artefacts de preuve
    • metricScore de maturite cyber humaine du tenant
    • metricTaux de completion saisons fondamentales
    • documentCertificats individuels (preuve formation)
II

Connaître le système d'information

(310)
  • M3~ Partiel

    Maitriser les risques de l'infogerance

    Humanix fournit le DPA et les clauses securite type pour encadrer les prestataires du client.

    2 artefacts de preuve
    • policyContrat de sous-traitance DPA (art. 28 RGPD)
    • policyPack NIS2 - clauses securite prestataires
  • M4~ Partiel

    Identifier les informations et serveurs les plus sensibles et maintenir un schema du reseau

    2 artefacts de preuve
    • metricModules classification donnees sensibles deployes
    • metricTaux completion saison donnees-sensibles
  • M5~ Partiel

    Disposer d'une cartographie precise de l'installation informatique et la maintenir a jour

    Couvert pour la plateforme Humanix (architecture.md, schema souverain Scaleway). Cote client : hors scope plateforme, mais Humanix sensibilise via saison cyber-dirigeants.

    1 artefact de preuve
    • documentCartographie technique Humanix (architecture.md interne)
  • M6~ Partiel

    Maitriser les flux et acces aux composants tiers (cartographie applicative)

    Plateforme Humanix : doc STACK_EOL_TRACKING.md interne (dependances Next.js, Prisma, Node, HAProxy, Scaleway). Client : hors scope plateforme.

    1 artefact de preuve
    • documentInventaire dependances + Stack EOL tracking (interne)
  • M7 Natif plateforme

    Disposer d'un inventaire exhaustif des comptes privilegies et le maintenir a jour

    ★ COUVERT NATIVEMENT. Page /superadmin/admins-by-tenant liste tous comptes ADMIN/RSSI/SUPERADMIN par tenant + TenantMembership croisees. Export CSV pour audit annuel. Tout changement de role audite (table Event, retention 1 an).

    2 artefacts de preuve
    • reportInventaire comptes privilegies (/superadmin/admins-by-tenant)
    • event_logJournal des changements de role + memberships croisees
  • M8~ Partiel

    Rediger des procedures d'arrivee et de depart des utilisateurs (privileges, droits, materiels, secrets)

    2 artefacts de preuve
    • metricTaux completion saison cyber-rh (onboarding/offboarding)
    • metricModule depart-entreprise-donnees deploye
  • M9 Hors scope SaaS

    Limiter le nombre d'acces Internet de l'entreprise au strict necessaire

    Hors scope Humanix : depend de l'architecture reseau client (firewalls, proxy DNS, etc.).

    Limitation des acces Internet de l'entite : depend de l'architecture reseau client (firewalls, proxy, NGFW)

  • M10~ Partiel

    Interdire la connexion d'equipements personnels au systeme d'information de l'entite

    1 artefact de preuve
    • metricTaux completion saison byod-perso-pro
III

Authentifier et contrôler les accès

(1116)
  • M11 Natif plateforme

    Identifier chaque individu accedant au systeme par un identifiant nominatif

    ★ COUVERT NATIVEMENT. Schema Prisma : User.email @unique = pas de doublon, pas de compte partage techniquement possible. Chaque action est tracee a un user nominatif (Event.userId).

    1 artefact de preuve
    • metricComptes nominatifs (User.email unique, pas de comptes partages)
  • M12 Natif plateforme

    Attribuer les bons droits sur les ressources sensibles du SI

    ★ COUVERT NATIVEMENT. lib/role-hierarchy.ts impose : LEARNER < MANAGER < RSSI < ADMIN < SUPERADMIN. Un MANAGER ne peut pas modifier un ADMIN ni un SUPERADMIN. Toute escalade refusee est auditee.

    2 artefacts de preuve
    • metricHierarchie RBAC respectee (canActOn, role-hierarchy.ts)
    • event_logJournal des changements de droits
  • M13 Couvert

    Definir et verifier des regles de choix et de dimensionnement des mots de passe

    Plateforme : lib/password.ts impose min 12 caracteres, derivation scrypt. Pedagogique : modules dedies dans plusieurs saisons.

    2 artefacts de preuve
    • metricTaux completion modules mots de passe / phrases passe
    • documentPolitique MDP appliquee cote plateforme (lib/password.ts)
  • M14 Natif plateforme

    Proteger les mots de passe stockes sur les systemes

    ★ COUVERT NATIVEMENT. lib/password.ts utilise scrypt (RFC 7914), parametres conformes recommandations CNIL/ANSSI. Aucun mot de passe en clair, jamais.

    1 artefact de preuve
    • documentHash scrypt RFC 7914 (N=2^15, r=8, p=1, sel 32B aleatoire)
  • M15 Couvert

    Changer les elements d'authentification par defaut sur les equipements et services

    Plateforme : rotation AUTH_SECRET / cles signature / DB credentials via procedure interne. Pedagogique : modules dedies.

    2 artefacts de preuve
    • metricModule sensibilisation mots de passe par defaut deploye
    • documentProcedure rotation secrets Humanix (interne)
  • M16 Natif plateforme

    Privilegier lorsque c'est possible une authentification forte

    ★ COUVERT NATIVEMENT. Plateforme Humanix supporte TOTP (RFC 6238) + WebAuthn FIDO2 (lib/webauthn.ts). Step-up obligatoire pour /superadmin (cle hardware exigee).

    2 artefacts de preuve
    • metricTaux d'utilisateurs MFA actif (TOTP + WebAuthn)
    • metricTaux completion saison mfa / clefs-securite
IV

Sécuriser les postes

(1721)
  • M17~ Partiel

    Mettre en place un niveau de securite minimal sur l'ensemble du parc informatique

    Cote sensibilisation utilisateur. Mise en oeuvre technique (durcissement OS, AV, EDR) reste cote client.

    1 artefact de preuve
    • metricTaux completion modules hygiene poste
  • M18~ Partiel

    Se proteger des menaces relatives a l'utilisation de supports amovibles

    1 artefact de preuve
    • metricTaux completion saison cles-usb / supports amovibles
  • M19 Hors scope SaaS

    Utiliser un outil de gestion centralisee pour homogeneiser les politiques de securite

    Hors scope Humanix : depend de l'outillage SI client (MDM, GPO, Ansible, Jamf, etc.).

    Outil de gestion centralisee du parc : MDM/GPO/Ansible/Jamf cote client

  • M20~ Partiel

    Activer et configurer le pare-feu local des postes de travail

    1 artefact de preuve
    • metricModule pare-feu local deploye
  • M21~ Partiel

    Chiffrer les donnees sensibles, en particulier sur le materiel potentiellement perdable

    1 artefact de preuve
    • metricTaux completion modules chiffrement disque / FileVault / BitLocker
V

Sécuriser le réseau

(2226)
  • M22 Hors scope SaaS

    Segmenter le reseau et mettre en place un cloisonnement entre les zones

    Hors scope Humanix : depend de la topologie reseau client (VLANs, micro-segmentation, etc.).

    Segmentation reseau / VLANs : depend de la topologie reseau client

  • M23~ Partiel

    S'assurer de la securite des reseaux d'acces Wi-Fi et de la separation des usages

    2 artefacts de preuve
    • metricTaux completion modules Wi-Fi public + quishing
    • event_logCampagnes quishing IA (SSID Wi-Fi personnalise)
  • M24 Couvert

    Utiliser des protocoles reseaux securises des qu'ils existent

    Plateforme : HTTPS partout, HSTS preload, TLS 1.3 (Triple A+ Mozilla Observatory).

    2 artefacts de preuve
    • metricModules sensibilisation HTTPS/TLS/SSH deployes
    • documentTLS 1.3 only sur humanix-academie.fr (test SSLLabs A+)
  • M25 Hors scope SaaS

    Mettre en place une passerelle d'acces securise a Internet

    Hors scope Humanix : depend du SI client (proxy filtrant, NGFW, etc.).

    Passerelle Internet securisee : NGFW / proxy filtrant cote client

  • M26~ Partiel

    Cloisonner les services visibles depuis Internet du reste du systeme

    Plateforme : reverse-proxy HAProxy en frontal (rate-limit, stick-table), backend Next.js isole. Cote client : hors scope.

    1 artefact de preuve
    • documentArchitecture Humanix : HAProxy bare-metal en frontal, app Next.js cloisonnee Docker
VI

Sécuriser l'administration

(2729)
  • M27~ Partiel

    Interdire l'acces a Internet depuis les comptes ou equipements utilises pour l'administration

    1 artefact de preuve
    • metricTaux completion module poste-admin-dedie (saison securiser-administration-si)
  • M28~ Partiel

    Utiliser un reseau dedie et cloisonne pour l'administration du SI

    1 artefact de preuve
    • metricTaux completion module cloisonnement-reseau-admin
  • M29~ Partiel

    Limiter au strict besoin les droits d'administration sur les postes de travail

    Plateforme : hierarchie RBAC stricte (cf. M12). Pedagogique : module dedie.

    2 artefacts de preuve
    • metricTaux completion module audit-comptes-privilegies
    • event_logVerifications hierarchie RBAC (canActOn, assertCanChangeRole)
VII

Gérer le nomadisme

(3033)
  • M30~ Partiel

    Prendre des mesures de securisation physique des terminaux mobiles

    1 artefact de preuve
    • metricTaux completion saison nomadisme / mobilite
  • M31~ Partiel

    Chiffrer les donnees sensibles transmises par voie Internet

    1 artefact de preuve
    • metricModules sensibilisation chiffrement transit / TLS
  • M32~ Partiel

    Securiser la connexion reseau des postes utilises en situation de nomadisme

    1 artefact de preuve
    • metricTaux completion modules VPN / Wi-Fi public
  • M33~ Partiel

    Adopter des politiques de securite dediees aux terminaux mobiles

    1 artefact de preuve
    • metricTaux completion saison byod-perso-pro
VIII

Maintenir le SI à jour

(3435)
  • M34 Couvert

    Definir une politique de mise a jour des composants du SI

    Plateforme : Dependabot actif, audit npm hebdomadaire, prod patchee max 7j apres CVE critique.

    2 artefacts de preuve
    • documentPolitique mises a jour Humanix (Dependabot + revue mensuelle)
    • metricModule sensibilisation mises a jour utilisateurs
  • M35~ Partiel

    Anticiper la fin de la maintenance des logiciels et systemes et limiter les adherences

    Plateforme : doc interne STACK_EOL_TRACKING.md liste pour chaque dependance critique (Node, Postgres, Prisma, Next.js, HAProxy) la version actuelle, la date EOL, et le plan de migration.

    1 artefact de preuve
    • documentTracking EOL stack (STACK_EOL_TRACKING.md interne)
IX

Superviser, auditer, réagir

(3640)
  • M36 Natif plateforme

    Activer et configurer les journaux des composants les plus importants

    ★ COUVERT NATIVEMENT. Table Event (~20 types : auth, role change, incident, etc.). Retention 1 an. Filtrable par tenant pour le client.

    2 artefacts de preuve
    • event_logTable Event - audit trail tamper-evident (retention 1 an)
    • documentLogs HAProxy + applicatifs Next.js (Scaleway Object Storage)
  • M37 Natif plateforme

    Definir et appliquer une politique de sauvegarde des composants critiques

    ★ COUVERT NATIVEMENT. Backup auto pg_dump quotidien, chiffrement age (X25519), upload FTPS vers Scaleway, retention 30 jours rolling + 12 mois mensuel. Cf. scripts/backup/.

    1 artefact de preuve
    • documentBackup quotidien Postgres + chiffrement age + FTPS Scaleway Object Storage
  • M38~ Partiel

    Proceder a des controles et audits de securite reguliers puis appliquer les actions correctives

    Plateforme : Triple A+ externe (audits automatises continus) + pentest annuel formalise (cf. plan PENTEST_ANNUEL.md interne). Premier pentest Q3 2026.

    1 artefact de preuve
    • documentAudits externes (Mozilla Observatory A+, SSLLabs A+, securityheaders.com A+) + pentest annuel
  • M39 Natif plateforme

    Designer un point de contact en securite des systemes d'information et le faire connaitre

    ★ COUVERT NATIVEMENT. Page /securite expose security@humanix-cybersecurity.fr (publique). RSSI designe (Florian Durano) chez Humanix Cybersecurity SASU.

    1 artefact de preuve
    • policyPoint de contact securite : security@humanix-cybersecurity.fr + RSSI Humanix
  • M40 Natif plateforme

    Definir une procedure de gestion des incidents de securite

    ★ COUVERT NATIVEMENT. Procedure unifiee Pack NIS2 couvre RGPD art. 33 (CNIL 72h) + NIS2 art. 23 (ANSSI). PSSI consolidee interne en complement.

    2 artefacts de preuve
    • policyProcedure incident Pack NIS2 (notification CNIL 72h + ANSSI 24h/72h/1mois)
    • event_logLogs incidents declares + notifies
X

Pour aller plus loin

(4142)
  • M41~ Partiel

    Privilegier l'usage de produits et de services qualifies par l'ANSSI

    Humanix est en demarche de reconnaissance ANSSI (objectif visibilite SecNumedu / qualification). Roadmap publique sur /certificat.

    1 artefact de preuve
    • documentDemarche de reconnaissance ANSSI Humanix (Q4 2026)
  • M42~ Partiel

    Mener une demarche de qualification ou certification sur le perimetre le plus pertinent

    Humanix : demarche reconnaissance ANSSI engagee. Cote client : Humanix delivre certificats individuels signes Ed25519 verifiables cryptographiquement (preuve incontestable de formation).

    1 artefact de preuve
    • documentRoadmap certification ANSSI (dossier Q4 2026, reconnaissance visee 2027)

🎯 Mesures assumées hors scope SaaS

Certaines mesures ANSSI HG concernent l'architecture réseau ou l'outillage de gestion du parc du client lui-même. Elles ne peuvent pas être couvertes par un SaaS de sensibilisation, et nous l'assumons explicitement plutôt que de prétendre les couvrir :

  • M9Limitation des acces Internet de l'entite : depend de l'architecture reseau client (firewalls, proxy, NGFW)
  • M19Outil de gestion centralisee du parc : MDM/GPO/Ansible/Jamf cote client
  • M22Segmentation reseau / VLANs : depend de la topologie reseau client
  • M25Passerelle Internet securisee : NGFW / proxy filtrant cote client

Cette transparence est ce qui distingue un éditeur honnête d'un vendeur de fumée : nous préférons documenter clairement ce que nous ne faisons pas plutôt que sur-promettre.

Audit indépendant ou demande de dossier

RSSI, DSI, auditeur ANSSI : vérifiez nos affirmations directement dans le code source AGPLv3, ou demandez un dossier complet pour vos due diligence.

Voir le code source du mappingDemander un dossier complet

Trust Center

Hébergement, RGPD, sécurité technique, sous-traitants

Architecture technique

Cartographie de la plateforme, choix souverains

Connecteur GRC

API evidence-export pour CISO Assistant et autres outils GRC

Page générée dynamiquement à partir du mapping public. Toute modification du fichier lib/mapping-grc.ts se reflète automatiquement ici.