Afin de faciliter le suivi transverse des différents projets et améliorer la traçabilité, serait possible d’ajouter ces dates pour chaque projet ? Merci d’avance . Olivier

La décision d’homologation générée par l’outil est à mon sens améliorable: - le système homologué n’apparait pas très clairement (en haut à gauche sous le nom de l’entité), j’aurais préféré une phrase du type: le système d’information xxx est homologué pour xx années/mois à compter du xx/xx/xxx; - l’autorité d’homologation décide, elle n’approuve pas; - sur la durée, il faudrait une case “autre” car si on homologue pour 7 mois, on ne peut pas l’afficher dans MSS

Aujourd’hui, lorsque je remplis ma liste de mesure, je ne peux pas lui affecter de statut global. Ce qui rend la gestion de plusieurs services parfois un peu compliquée. Peut-être qu’il serait pertinent de séparer les infos renseignées pour liste de mesures globale et la liste de mesures par service et pouvoir les configurer séparément

Lorsqu’on importe des mesures via template (ce qui est top), si ensuite on souhaite corriger par exemple une erreur d’import, il faut aller supprimer une par une les mesures. Une fonctionnalité de suppression en batch permettrait de simplifier cela.

Aujourd’hui, lorsque je remplis ma liste de mesure, je passe les mesures une par une sur l’outil. Généralement, lorsque je fais un audit de sécurité, je remplis des documents à côté en me basant sur ma PSSI. Ce serait bien de pouvoir gérer en batch les mesures ANSSI et CNIL suite à cette analyse hors MSS

Pour un organisme avec des nombreuses homologations, il est nécessaire dans le tableau de bord de proposer des outils pour suivre les homologations/ Plans d’actions Dans le Tbd ajouter les dates d’homologation (date de fin -durée homologation) Possibilité d’avoir les actions à réaliser (donc à suivre) sur une période Définir des projets prioritaires/sensibles

Possibilité d’ajouter des catégories suite aux analyses d’homologation et /ou de tests (Audit de pentest, Audit de Conf, Bugbounty)

Pour des acteurs externes, limiter les actions en lecture pour avoir seulement les actions du plan d’action attribuées à la personne sans aucune visibilité sur les autres parties (risques, plan d’action des autres tiers, synthèse, acteurs…)

Je propose une amélioration concernant le suivi des mesures. Dans notre organisation, le chef de projet doit s’assurer du bon déroulement et du suivi des mesures. Il serait donc pertinent de mettre en place : Une notification par email lorsqu’une (ou plusieurs mesures pour éviter le spam) est attribuée à un responsable Une notification par email lorsqu’un commentaire est ajouté sur une mesure dont il est responsable Cela permettrait d’améliorer la réactivité et le suivi des actions, sans devoir vérifier manuellement et régulièrement la plateforme.

Je souhaiterais proposer une amélioration concernant les emails d’invitation à un projet. Actuellement, lorsque nous recevons une invitation automatique, il n’est pas toujours simple d’identifier immédiatement à quel projet ou service elle correspond, surtout lorsque nous sommes invités sur de nombreux projets. Il serait très utile que le nom du projet apparaisse clairement dans l’objet ou dans le contenu de l’email d’invitation. Cela permettrait de gagner du temps et d’éviter toute confusion lors du traitement des invitations.

Il serait intéressant de pouvoir filtrer les mesures par rôle ou porté par “équipe projet”, “prestataire”.

Pour les prestataires qui refusent de compléter Mon Service Sécurisé, il serait intéressant de pouvoir importer un fichier CSV plutôt que de copier-coller les mesures une par une.

Suite au départ d’un agent de notre collectivité, qui intervenait sur l’ensemble des projets dans MSS, j’ai constaté une difficulté opérationnelle : l’absence de fonctionnalité permettant une gestion centralisée des utilisateurs. Cette situation m’a contraint à procéder manuellement au retrait de ses accès, projet par projet. Cette expérience met en lumière un besoin important en termes d’efficacité administrative. Serait-il envisageable d’intégrer un module dédié à la gestion des utilisateurs, afin de simplifier ces opérations à l’avenir ? Je vous remercie pour votre engagement et la qualité du travail fourni. Dylan

Bonjour, Il serait intéressant de permettre la saisie des Précisions sur la mesure et des Avis (Commentaires et recommandations) au format markdown. Lors de la génération des pdf la mise en forme serait alors prise en compte. ceci permettrait de mettre en exergue des éléments importants ou même de présenter sous forme de liste certains points. Cdlt, Erwan SCOUARNEC

Connaitre l’incidence de chacune des caractéristiques du service (3 questions), de la criticité et de l’exposition du service (6 questions) sur l’évaluation des besoins de sécurité et des mesures associées

Avoir des niveaux 1, 2, 3, 4 et pouvoir personnaliser leur interprétation, par exemple 24h au lieu de 4h pourrait être très pertinent

Afin de permettre une gestion de bout en bout du processus d’homologation, il pourrait être mis en œuvre une centralisation des plans d’actions issus des analyses de risques et études de conformité filtrés par projets. Une attribution par acteur permettrait également la mise en place efficace d’un suivi dans le temps des actions de remédiations.

It would be interesting to have an API for exchanging data with GRC (Governance, Risk, Compliance) applications. Our GRC tool is Ciso Assistant. Exchanges should be bidirectional. Data that would be interesting to exchange via the API : List of files compliance with an application repository Risk analysis results (Ebios RM performed in the GRC application) Supporting documents