Intégration RSSI · Gouvernance, risque et conformité

Le seul connecteur natif sensibilisation cyber × outil GRC en France.

Humanix Académie transmet automatiquement vos preuves de sensibilisation à CISO Assistant (intuitem). Fini le copier-coller, fini le tableur partagé, fini l'audit douloureux. Tout est tracé, signé Ed25519, vérifiable hors-ligne avec OpenSSL.

Voir les 17 fonctionnalités en détail

7 surfaces métier alimentées automatiquement

Chaque branchement est indépendant et désactivable dans la console d'administration. Tout fonctionne en émission sans attente d'accusé : aucune inertie entre Humanix et CISO Assistant, chaque outil reste autonome. Aucune modification n'est requise côté intuitem.

📜 Preuves de conformité + PDF signé Ed25519

Pour chaque contrôle du référentiel, une preuve datée avec statut, score, responsable désigné et date d'expiration. Un PDF prêt pour audit y est joint, signé cryptographiquement et vérifiable hors-ligne avec OpenSSL pendant des années — sans aucune dépendance à Humanix.

🛡 Contrôles appliqués

Un contrôle parent « Programme de sensibilisation Humanix » par référentiel, lié à toutes les preuves transmises. Le RSSI voit dans CISO Assistant le contrôle réel mis en place, plutôt qu'une accumulation de preuves orphelines.

🎯 Constats et évaluations de constats

Pour chaque contrôle partiel (priorité 2) ou non conforme (priorité 1), Humanix génère un constat actionnable avec échéance, responsable et plan d'action recommandé. Le RSSI dispose d'une liste de tâches générée automatiquement, plutôt que d'un simple tableau de bord à interpréter.

📊 Scénarios de risque

Si la couverture humaine s'effrite (au moins 30 % de contrôles non conformes, deux contrôles partiels ou plus, ou déclenchement précoce), Humanix génère un scénario « Compromission via couche humaine sous-formée » sous une analyse de risque dédiée. Humanix participe ainsi au registre des risques avec une justification chiffrée.

🚨 Incidents (alerte NIS2 §23)

Si au moins un contrôle est non conforme, Humanix ouvre un incident de sévérité 3 « Risque humain », idempotent par jour. Cela garantit la traçabilité ISO 27001 §10.1 et NIS2 §21.2.g, sans préjuger d'une compromission effective.

👤 Utilisateurs et responsable désigné

Le RSSI ou le DPO désigné est créé comme utilisateur CISO Assistant s'il n'existe pas, puis affecté comme responsable sur toutes les preuves, constats et incidents. Le responsable filtre son périmètre nativement dans l'interface CISO Assistant.

📈 Métrologie — séries temporelles

Six métriques transmises en continu dans le module Métrologie de CISO Assistant : score de maturité cyber humaine, taux d'achèvement, taux de signalement de tentatives d'hameçonnage, nombre de preuves par statut. Le RSSI, le DSI ou le DPO compose ensuite ses propres tableaux de bord CISO Assistant avec des vignettes pointant sur ces séries — évolution dans le temps, alerte si la valeur devient périmée, cible par métrique.

Au-delà de la transmission : deux contributions à l'écosystème

🤖 Serveur MCP (agent IA souverain)

Premier serveur MCP du marché de la sensibilisation cyber. Six outils en lecture seule pour interroger Humanix en langage naturel depuis votre agent d'IA : Mistral, LM Studio, Anything LLM, ou Ollama via passerelle. ChatGPT, Claude et Gemini sont également pris en charge en option. Posture souveraine assumée : votre instance n'a aucune dépendance à la loi américaine d'extraterritorialité (Cloud Act).

Cas d'usage type : « Qui dans le Marketing n'a pas compris la politique de mot de passe ? » — réponse pseudonymisée et compatible RGPD en une requête.

📚 Référentiel communautaire (CC BY-SA 4.0)

Catalogue Humanix Académie publié en bibliothèque chargeable dans CISO Assistant (URN urn:humanix:risk:framework:humanix-awareness-catalog-v1), accompagné de correspondances libres vers ISO 27001:2022 (relations equal et intersect). Les correspondances NIS2, RGPD, ANSSI Hygiène Informatique et NIST CSF arrivent ensuite. Contribution future sur intuitem/risk-libraries.

Comment cela fonctionne ?

Approche par transmission : Humanix Académie transmet les preuves vivantes (statut, score, PDF signé Ed25519) à votre instance CISO Assistant via son API publique. Aucune modification n'est requise côté intuitem — c'est Humanix qui s'adapte à leur schéma.

Humanix Académie(sensibilisation)score · certificats · PDF signéCISO Assistant(RSSI · GRC)ISO 27001 · NIS2 · RGPDPOST /api/evidences/ + envoi du PDF Ed25519jeton Knox (POST /api/iam/login/)Idempotent (recherche par nom puis mise à jour ou création) · PDF signé Ed25519 · vérifiable hors-ligne (OpenSSL)

1. Choisissez votre référentiel

2. Récupérez vos preuves en une seule requête

Une clé d'API du compte client suffit. Générez-la depuis /admin/api-keys (offre Pro ou supérieure).

curl -H "Authorization: Bearer hxa_VOTRE_CLE_API" \
  "https://humanix-academie.fr/api/v1/evidence-export?framework=ISO27001:2022&format=ciso-assistant-v1"

3. Correspondance ISO/IEC 27001:2022 - Annexe A

Correspondance des contrôles ISO/IEC 27001:2022 - Annexe A vers les données Humanix
RéférenceContrôleCatégorieDonnées HumanixCouverture
A.5.1Politiques de securite de l'informationControles organisationnels
  • Politique cybersecurite (Pack NIS2)
  • Contrat de sous-traitance DPA
Documentaire
A.5.24Planification et preparation des incidents de securiteControles organisationnels
  • Procedure de reponse a incident (Pack NIS2)
Documentaire
A.6.3Sensibilisation, formation et entrainement a la securiteControles relatifs aux personnes
  • Score de maturite cyber humaine du tenant
  • Taux de completion sensibilisation
  • Certificats individuels utilisateurs
  • Rapport sensibilisation periodique
★ Cœur
A.6.6Engagements de confidentialite ou de non-divulgationControles relatifs aux personnes
  • DPA signe par le client
Documentaire
A.6.8Signalement des evenements de securite de l'informationControles relatifs aux personnes
  • Taux de signalement phishing
  • Logs evenements signalement
★ Cœur
A.7.7Bureau et ecran propresControles physiques
  • Module sensibilisation Bureau propre deploye
★ Cœur
A.8.7Protection contre les logiciels malveillantsControles technologiques
  • Modules malware/ransomware deployes
Documentaire
Hors périmètre volontaire (3 contrôles)
  • A.8.1 Equipements terminaux - hors scope sensibilisation
  • A.8.16 Surveillance reseau - outils techniques GRC requis
  • A.8.23 Filtrage Web - outils techniques tiers (proxy, DNS)

Synchronisation en un clic depuis l'administration (sans ligne de commande)

Pour les RSSI, DAF et membres de la direction qui ne veulent pas toucher au terminal : Humanix embarque une console d'administration dédiée. Vous renseignez vos identifiants CISO Assistant une seule fois, puis vous synchronisez en un clic, avec un terminal en direct à la manière d'un journal d'intégration continue.

1. Configurer

URL de base, compte, mot de passe (chiffré en AES-256-GCM). Le bouton « Tester la connexion » valide en deux secondes.

2. Synchroniser

Sélectionnez un référentiel (ISO 27001, NIS2, RGPD, ANSSI Hygiène ou NIST CSF) et cliquez. Terminal en direct, indicateur final OK, partiel ou en échec.

3. Auditer

Chaque action (configuration, test, synchronisation) est tracée dans /admin/audit (conforme RGPD et NIS2). L'historique des 20 dernières exécutions reste consultable.

Ouvrir la console d'administration

Réservé aux rôles ADMIN, RSSI et SUPERADMIN du compte client.

Pourquoi cette intégration ?

  • Pour le RSSI externalisé : huit PME, huit instances CISO Assistant. Une seule passerelle Humanix consolide les preuves de sensibilisation des huit comptes clients.
  • Pour le DSI d'une ETI en démarche ISO 27001 : le contrôle A.6.3 (sensibilisation) est alimenté automatiquement en preuves vivantes — score, certificats, taux de signalement.
  • Pour le dirigeant en conformité NIS2 : le score affiché dans CISO Assistant intègre désormais le facteur humain, première ligne de défense.

Questions techniques

CISO Assistant est-il obligatoire ?

Non. Le format ciso-assistant-v1 est documenté et stable. N'importe quel outil GRC — Eramba, MetricStream, ServiceNow GRC, ou un script maison — peut consommer le service. Le format raw donne accès aux données brutes.

Quels référentiels sont pris en charge ?

ISO 27001:2022, NIS2, RGPD et ANSSI Hygiène Informatique en couverture détaillée. NIST CSF en couverture partielle (la correspondance complète arrive en version 1.1). Toutes les correspondances sont libres et auditables.

Quelle est la fréquence de rafraîchissement ?

Vous choisissez la fréquence côté Humanix. Trois modes cohabitent : déclenchement manuel depuis la console d'administration (bouton Synchroniser maintenant), tâche planifiée quotidienne via le connecteur Python autonome, ou transmission événementielle à chaque achèvement de module ou changement de score (mode temps réel, depuis la version 2.0).

Et la vérification d'intégrité des preuves ?

Chaque PDF de preuve envoyé dans CISO Assistant contient un manifeste d'intégrité signé Ed25519 en page 2 — algorithme, empreinte de la clé publique, hachage SHA-256, signature base64url, charge utile JSON canonique et procédure de vérification OpenSSL. La clé publique est exposée à l'adresse /.well-known/humanix-pdf-pubkey.pem. Un auditeur peut vérifier une preuve cinq ans après son émission, sans aucune dépendance à Humanix.

Et la conformité RGPD de l'export ?

L'export ne contient aucune donnée personnelle en clair : les certificats sont représentés par des liens téléchargeables avec votre clé d'API, jamais par leur contenu. Les métriques sont agrégées au niveau du compte client.

Prêt à brancher votre outil GRC ?

Nous vous accompagnons sur la configuration. Connecteur Python prêt à l'emploi, correspondances documentées, accompagnement direct.

Demander une démonstrationGénérer ma clé d'APICISO Assistant sur GitHub ↗

Spécification technique : INTEGRATION_CISO_ASSISTANT.md · Correspondances : lib/mapping-grc.ts · Service : /api/v1/evidence-export