ACSI – Référentiel de certification

Élaborer, mettre en œuvre et assurer le suivi d’une politique de sécurité du système d’information (PSSI) afin de définir le cadre stratégique et opérationnel de cybersécurité de l’organisation.

• Définir les objectifs de sécurité en fonction des exigences règlementaires et des besoins métiers
• Structurer un cadre de gouvernance impliquant les parties prenantes internes et externes
• Veiller à l’application effective de la politique

Piloter la sécurité et gérer les risques cyber afin de proposer des mesures de sécurité et des plans d’action adaptées au contexte de l’organisation et aux risques identifiés.

• Cartographier et classifier les actifs selon leur niveau de criticité
• Identifier les sources de risque et les scénarios d’attaques
• Evaluer et traiter les risques selon la méthode EBIOS RM ou l’ISO 27005

Assurer la conformité réglementaire et normative pour éviter les sanctions administratives, protéger les données et maintenir la confiance des clients et partenaires.

• Assurer une veille active sur les exigences légales, sectorielles et normatives (RGPD, LPM, NIS2, DORA, ISO 27001,…)
• Concevoir et mettre en œuvre des procédures de contrôle et d’audit pour garantir la conformité
• Rédiger des rapports de conformité à destination des autorités de régulation ou de la direction

Mettre en œuvre un système de management de la sécurité de l’information (SMSI) aligné sur les exigences de la norme ISO/IEC 27001 afin d’améliorer en continue la sécurité du système d’information.

• Mettre en place les mesures de sécurité appropriées conformément à l’Annexe A de la norme
• Documenter les processus et procédures nécessaires pour assurer la conformité
• Sensibiliser les parties prenantes aux bonnes pratiques de sécurité
• Assurer l’amélioration continue du système de management à travers des revues de direction et des actions correctives

Assurer la sécurité et la souveraineté des données dans le Cloud computing pour garder le contrôle sur ses informations sensibles, se conformer à la réglementation et réduire les risques de violations de données.

• Identifier les menaces et vulnérabilités spécifiques aux environnements IaaS, PaaS et SaaS
• Déployer des mesures de sécurité conformes aux normes du secteur (ISO 27017, SecNumCloud, EUCS, CSA STAR)
• Sensibiliser les parties prenantes aux risques et aux bonnes pratiques de sécurité dans le cloud

Assurer une exploitation responsable et sécurisée des technologies d’intelligence artificielle (IA) afin de garantir un usage sécurisé, légal et éthique de l’intelligence artificielle au sein de l’organisation.

• Comprendre les vulnérabilités et attaques spécifiques de l’IA (adversarial attacks, model inversion, prompt injection,…)
• Réaliser des analyses de risque avec une méthodologie spécialement destinée à l’IA et développée par le NIST (AI RMF)
• Identifier les exigences légales et éthiques applicables (transparence, non-discrimination, explicabilité)
• Auditer les solutions d’IA pour assurer la sécurité des données et garantir la conformité règlementaire (AI Act, RGPD)
• Sensibiliser les métiers aux enjeux éthiques et aux risques liés aux hallucinations et aux biais algorithmiques