Platform

Conformité Azure NIS2 et CyFun, avec preuves d'audit à la demande

Microsoft vous dit ce qui ne va pas dans Azure. Governator vous dit ce que cela signifie pour CyFun/NIS2, qui en est responsable, comment le corriger et quelles preuves vous pouvez montrer à un auditeur.

Ce que Governator fait

Governator collecte les données de configuration, de sécurité, d'accès, de coûts et d'activité de vos subscriptions Azure. Il mappe les findings au framework CyberFundamentals du CCB (748 liens contrôle-preuve) et aux exigences de l'Article 21 NIS2, puis présente un tableau de bord intégré pour le suivi continu de la conformité et la préparation aux audits.

Moteur de mapping des contrôles

Findings Azure mappés aux thèmes CyFun/NIS2/CCB. Pas seulement 'ce qui ne va pas' mais 'ce que cela signifie pour votre obligation de conformité, quel article NIS2 est concerné et qui est responsable de la lacune.'

Coffre-fort de preuves

Preuves horodatées, snapshots, attestations manuelles, exceptions et une piste d'audit complète. Les preuves dont votre auditeur a besoin, structurées et exportables.

Usine de remédiation

Attribution d'un propriétaire par finding, suivi des SLA et re-vérification à chaque collecte. Les findings ne sont pas seulement rapportés, ils sont clôturés.

Pack d'assurance pour la direction

Tableau de bord pour la direction avec pourcentage de préparation à l'audit, tendances de risque, propriétaires en retard et résumés de gestion. Une page pour les personnes qui doivent signer.

Mode pré-audit

Export prêt pour l'assessment à votre niveau d'assurance CyFun cible. Résumé exécutif, matrice de preuves par contrôle, analyse des lacunes, attestations et exemptions. XLSX avec code couleur.

Tableau de bord Aperçu Governator : audit-readiness, secure score, exposition publique et combinaisons toxiques détectées sur les abonnements. — Aperçu exécutif : audit-readiness, secure score, exposition, top exposures, audit-blockers et combinaisons toxiques sur une seule page.

Pour qui

Equipes sécurité

Sécurité opérationnelle au quotidien : assessment WAF, analyse d'exposition publique, audit RBAC, triage des findings Defender, workflows d'exemptions, alertes de drift, suivi des nettoyages. Des informations actionnables, pas seulement des tableaux de bord.

Direction et audit

Preuves de conformité, mapping CyFun/NIS2, reporting pour la direction, exports prêts pour l'audit, narratifs de lacunes. Preuves et responsabilité pour les personnes qui doivent signer.

Comment ça fonctionne

Collecte de données

✓ Resource Graph (subscriptions, resources, tags, properties)
✓ Defender for Cloud (CSPM assessments, secure scores)
✓ Azure Policy (compliance states, definition resolution)
✓ RBAC (role assignments, principal resolution via MS Graph)
✓ Activity Log (90-day activity per resource)
✓ Cost Management (billing data, service breakdown)
✓ WAF Policies (CRS rules, paranoia level, exclusions)
✓ Azure Firewall (rule collection groups, DNAT exposure)
✓ Storage Metrics (transactions, capacity, egress)
✓ Tag Compliance, Cleanup Detection, Change Detection

Assessment assisté par IA

✓ Narratif de lacune généré par contrôle pour revue par l'auditeur
✓ Inspection approfondie des comptes de stockage avec détection de données personnelles
✓ Classification de la criticité des ressources et de la sensibilité des données
✓ Assessment de sécurité WAF avec score de protection effectif
✓ Rédaction de justifications d'exemption Defender

How Governator is different

Defender / Policy / Secure Score tell you

• What is misconfigured
• What is exposed
• What is non-compliant technically

Governator adds

✓ CyFun/NIS2 control mapping with interpretation
✓ Ownership and remediation workflow per finding
✓ Evidence trail with attestations and review dates
✓ Executive summary and audit-ready export
✓ One place to track technical and compliance meaning

Example: from Defender finding to audit evidence

Defender for Cloud flags a storage account with public blob access enabled

Governator maps it to CyFun PR.AC-3 (access control) and NIS2 Art. 21(2)(d) (access management policies)

The finding is assigned to the subscription owner with a 14-day remediation SLA

If the public access is intentional, the owner files an exemption with business justification and review date

The corrected or exempted state is included in the next audit evidence pack with full history

Cycle de vie des problèmes Governator : détection, attribution, preuve et état de résolution. — Cycle de vie d'un problème : détection, attribution, ajout de preuves, résolution. La piste horodatée qu'un auditeur réclamera.

Des coûts d'audit récurrents à l'assurance continue

NIS2 et DORA sont des obligations durables, pas des certifications ponctuelles. Les mesures de l'Article 21 NIS2 doivent être mises en œuvre et maintenues, avec, dans le régime belge, un rapport d'avancement annuel. DORA impose une gestion continue des risques ICT, des tests obligatoires de résilience opérationnelle et un registre de tiers à jour. L'audit ne s'arrête jamais vraiment.

La plupart des organisations y répondent par des évaluations de readiness récurrentes : tous les douze mois, une mission de conseil externe, un nouveau PDF, un nouveau cycle budgétaire. C'est dans la dérive entre deux évaluations que la plupart des défaillances apparaissent. Governator inverse ce modèle. Une évaluation initiale pour fixer la baseline, puis l'assurance continue en managed service. Les preuves se régénèrent à la demande. Le budget récurrent finance la chaîne d'outils qui produit des livrables prêts pour l'audit, plutôt que la commande annuelle d'un nouveau livrable de conseil.

✓ Remplace la mission externe annuelle de readiness par une collecte de données continue.
✓ Génère des dossiers de preuves frais à la demande pour le prochain audit, la revue trimestrielle ou la mise à jour direction.
✓ Alerte sur les dérives entre deux évaluations, là où les défaillances réelles se produisent.
✓ Garde le budget récurrent dans la chaîne d'outils, plutôt que dans des prestations de conseil répétées.

Chronologie de conformité Governator : pourcentage suivi semaine après semaine face aux contrôles CyFun et NIS2. — Pourcentage de conformité suivi en continu, pas seulement à la veille d'un audit.

Assessment ou assurance continue ?

Governator alimente les deux. Un assessment de préparation CyFun/NIS2 est une mission ponctuelle qui utilise Governator pour produire un instantané de conformité avec interprétation experte. Pour les organisations qui ont besoin d'une visibilité continue, Governator tourne en continu comme service géré avec collecte régulière, détection de drift et reporting pour la direction.

La plupart des organisations commencent par un assessment et passent à l'assurance continue quand elles voient la valeur de la piste de preuves.

Start with a readiness assessment Discuss continuous assurance

Aller plus loin

NIS2 sur Azure

Sur le blog

→ Defender for Cloud in 2026 and What to Enable, Tune, and Skip → Your Board Is Asking About NIS2. Here Is What You Actually Need to Do → Why Every Azure Enterprise Needs a WAF Analysis Methodology → Microsoft Sentinel in 2026 and How to Control Ingestion Costs → Azure Landing Zones in 2026 and What Actually Matters Now

Commencez par un Azure Health Check piloté par Governator

Pas sûr par où commencer ? Une revue rapide d'architecture vous donne une image claire. Sans engagement.

✓ Scorecard des risques : identité, réseau, gouvernance et sécurité
✓ Top 10 des problèmes classés par impact et effort
✓ Feuille de route 30-60-90 jours avec quick wins

Réservez une Conversation