ISO 27001:2022 — Statement of Applicability (SoA)
Statut : draft / gap analysis. Mapping des 93 contrôles de l'Annex A d'ISO 27001:2022 vers les contrôles Nex existants ou prévus. Document attendu par les partenaires bancaires dans une due diligence formelle.
1. Périmètre du SMSI (Information Security Management System)
| Élément | Description |
|---|---|
| Périmètre fonctionnel | Plateforme Nex : 11 microservices NestJS, 3 apps mobiles, 2 dashboards web, infrastructure cloud AWS EKS / Cloudflare / Doppler / Firebase |
| Périmètre géographique | Zone CEMAC (priorité), extension UEMOA |
| Périmètre organisationnel | Tous les salariés et prestataires Nex |
| Exclusions | Aucune au scope initial. Les services tiers sont couverts via gestion vendor risk. |
| Date d'effet | [À CONFIRMER] |
| Prochaine revue | [Date d'effet + 12 mois] |
2. Légende statut
| Statut | Sens |
|---|---|
| ✅ Implémenté | Contrôle effectif et démontrable avec évidence |
| ⚠️ Partiel | Contrôle partiellement en place, à compléter ou documenter |
| ❌ Non implémenté | Contrôle absent — plan de remédiation requis |
| N/A | Non applicable au périmètre Nex actuel (justification obligatoire) |
| 📅 Planifié | Implémentation programmée — date cible indiquée |
3. A.5 — Organizational controls (37 contrôles)
| # | Contrôle | Statut | Évidence / référence |
|---|---|---|---|
| A.5.1 | Politiques de sécurité de l'information | ⚠️ | /security/information-security-policy (draft) |
| A.5.2 | Rôles et responsabilités | ⚠️ | ISP §3 — RSSI à confirmer |
| A.5.3 | Séparation des tâches | ⚠️ | Maker-checker à enforce sur paiements bulk (cf. known-gaps B6) |
| A.5.4 | Responsabilités de la direction | ⚠️ | ISP §1, à formaliser signature |
| A.5.5 | Contact avec les autorités | ⚠️ | BEAC / COBAC / GABAC à formaliser |
| A.5.6 | Contact avec les groupes d'intérêt spécialisés | ❌ | À mettre en place (ANSSI, FATF, communautés sécurité CEMAC) |
| A.5.7 | Threat intelligence | ⚠️ | Veille CVE manuelle ; à automatiser (Renovate, GHSA) |
| A.5.8 | Sécurité dans la gestion de projet | ⚠️ | Threat modeling pour features sensibles — non systématique |
| A.5.9 | Inventaire des actifs | ⚠️ | À formaliser dans un outil unique (ISP §7) |
| A.5.10 | Usage acceptable des actifs | ❌ | Charte à rédiger |
| A.5.11 | Retour des actifs | ⚠️ | Procédure offboarding existante [À CONFIRMER] |
| A.5.12 | Classification de l'information | ⚠️ | ISP §4 (4 niveaux) à appliquer concrètement aux données |
| A.5.13 | Étiquetage de l'information | ❌ | Convention à définir (front-matter doc, tags DB ?) |
| A.5.14 | Transferts d'information | ⚠️ | TLS partout ✅ ; procédures de transfert manuel à formaliser |
| A.5.15 | Contrôle d'accès | ⚠️ | /security/access-control-matrix (draft) |
| A.5.16 | Gestion de l'identité | ⚠️ | Comptes individuels Doppler ; SSO entreprise à évaluer |
| A.5.17 | Information d'authentification | ⚠️ | bcrypt + PBKDF2 ; politique mots de passe à formaliser |
| A.5.18 | Droits d'accès | ⚠️ | RBAC en place ; revue trimestrielle à instaurer |
| A.5.19 | Sécurité des fournisseurs | ⚠️ | /compliance/third-party-vendors (à compléter) |
| A.5.20 | Sécurité dans les accords fournisseurs | ⚠️ | Clauses contractuelles à formaliser |
| A.5.21 | Gestion sécurité chaîne d'approvisionnement TIC | ❌ | SBOM, vendor risk à industrialiser |
| A.5.22 | Surveillance et revue des services fournisseurs | ⚠️ | Ad hoc actuellement |
| A.5.23 | Sécurité des services cloud | ⚠️ | AWS / Cloudflare / Firebase = SOC 2 / ISO 27001 ; cartographie à documenter |
| A.5.24 | Planification réponse incidents | ⚠️ | /operations/incident-response (draft) |
| A.5.25 | Évaluation et décision sur incidents | ⚠️ | IRP §5 sévérité ; processus de décision formalisé |
| A.5.26 | Réponse aux incidents | ⚠️ | IRP §6, runbooks à compléter |
| A.5.27 | Retour d'expérience sur incidents | ⚠️ | RCA prévu IRP §4, à industrialiser |
| A.5.28 | Collecte d'évidence | ❌ | Procédures forensics à définir |
| A.5.29 | Sécurité durant une perturbation | ⚠️ | BCP/DRP en draft (/operations/business-continuity) |
| A.5.30 | TIC en continuité d'activité | ⚠️ | DRP à compléter |
| A.5.31 | Exigences légales, statutaires, réglementaires | ⚠️ | BEAC/COBAC/GABAC/RGPD à mapper (/compliance/beac-cobac-mapping) |
| A.5.32 | Droits de propriété intellectuelle | ⚠️ | Licences open-source à inventorier (SBOM) |
| A.5.33 | Protection des enregistrements | ⚠️ | Politique de rétention à formaliser |
| A.5.34 | Confidentialité et protection des données | ⚠️ | /compliance/data-protection (draft) |
| A.5.35 | Revue indépendante de la sécurité | ❌ | Premier pentest annuel cible Q3-Q4 2026 |
| A.5.36 | Conformité aux politiques, règles et normes | ⚠️ | Audits internes à formaliser |
| A.5.37 | Procédures opérationnelles documentées | ⚠️ | Runbooks IRP à compléter |
4. A.6 — People controls (8 contrôles)
| # | Contrôle | Statut | Évidence |
|---|---|---|---|
| A.6.1 | Screening (vérifications avant embauche) | ❌ | Politique à formaliser [À CONFIRMER ce qui est fait actuellement] |
| A.6.2 | Termes et conditions d'emploi | ⚠️ | Contrat de travail standard ; clause sécurité à valider |
| A.6.3 | Sensibilisation et formation | ⚠️ | Formation onboarding à formaliser (ISP §12) |
| A.6.4 | Processus disciplinaire | ⚠️ | Règlement intérieur ; sanctions sécu à expliciter (ISP §14) |
| A.6.5 | Responsabilités après cessation ou changement de contrat | ⚠️ | Offboarding à formaliser (ACM §8) |
| A.6.6 | Accords de confidentialité ou de non-divulgation | ⚠️ | NDA standard [À CONFIRMER] |
| A.6.7 | Travail à distance | ⚠️ | Politique télétravail à formaliser (postes chiffrés, MDM) |
| A.6.8 | Signalement d'événements de sécurité | ⚠️ | Email security@paywithnex.com à provisionner |
5. A.7 — Physical controls (14 contrôles)
Nex est principalement cloud-native : la majorité des contrôles physiques sont délégués aux fournisseurs cloud (AWS, Cloudflare, Firebase, Doppler) et couverts par leurs certifications SOC 2 / ISO 27001 propres. Les contrôles s'appliquent aux locaux Nex (bureaux) et aux postes de travail.
| # | Contrôle | Statut | Évidence |
|---|---|---|---|
| A.7.1 | Périmètres de sécurité physique | ⚠️ | Bureau Nex [À CONFIRMER] |
| A.7.2 | Entrées physiques | ⚠️ | Contrôle accès bureau [À CONFIRMER] |
| A.7.3 | Sécurité bureaux, salles, installations | ⚠️ | [À CONFIRMER] |
| A.7.4 | Surveillance physique | ⚠️ | [À CONFIRMER] |
| A.7.5 | Protection contre menaces externes et environnementales | N/A → fournisseurs | Datacenters AWS / CF / Firebase |
| A.7.6 | Travail dans les zones sécurisées | ⚠️ | [À CONFIRMER si applicable] |
| A.7.7 | Bureau propre et écran propre | ⚠️ | À formaliser |
| A.7.8 | Emplacement et protection des équipements | ⚠️ | Postes utilisateurs |
| A.7.9 | Sécurité des actifs hors site | ⚠️ | Laptops salariés (disque chiffré ✅, MDM [À CONFIRMER]) |
| A.7.10 | Supports de stockage | ⚠️ | Pas de stockage Restricted sur supports amovibles (ISP §8) |
| A.7.11 | Utilités support | N/A → fournisseurs cloud | |
| A.7.12 | Sécurité du câblage | N/A → bureaux Nex | [À CONFIRMER] |
| A.7.13 | Maintenance des équipements | ⚠️ | Procédure laptops |
| A.7.14 | Élimination ou réutilisation sécurisée des équipements | ⚠️ | Procédure wipe disque avant réemploi / mise au rebut |
6. A.8 — Technological controls (34 contrôles)
| # | Contrôle | Statut | Évidence |
|---|---|---|---|
| A.8.1 | Dispositifs endpoints utilisateurs | ⚠️ | Disque chiffré, MDM [À CONFIRMER] |
| A.8.2 | Droits d'accès privilégiés | ⚠️ | Doppler RBAC ; MFA admin à généraliser (known-gaps I2) |
| A.8.3 | Restriction d'accès à l'information | ✅ | Convention DB user par service + scope JWT inter-services |
| A.8.4 | Accès au code source | ✅ | GitLab self-hosted + permissions projet |
| A.8.5 | Authentification sécurisée | ⚠️ | Firebase tokens ✅ ; MFA admin à confirmer |
| A.8.6 | Gestion de capacité | ⚠️ | Monitoring Grafana ✅ ; alertes capacité à compléter |
| A.8.7 | Protection contre malware | ⚠️ | Trivy CI ✅ ; antivirus endpoint à confirmer |
| A.8.8 | Gestion des vulnérabilités techniques | ⚠️ | /security/vulnerability-management (draft) |
| A.8.9 | Gestion de la configuration | ⚠️ | IaC / Helm / Doppler en place ; drift detection à mettre en place |
| A.8.10 | Suppression d'information | ❌ | Politique de rétention + droit à l'oubli à formaliser |
| A.8.11 | Masquage de données | ❌ | Masquage PII dans les logs à implémenter |
| A.8.12 | Prévention fuite de données (DLP) | ❌ | Pas de DLP technique |
| A.8.13 | Sauvegarde de l'information | ⚠️ | Backup strategy infra (infrastructure/docs/database-backup-strategy.md) ; tests restoration à formaliser |
| A.8.14 | Redondance des installations TIC | ⚠️ | Multi-AZ EKS ✅ ; multi-region à évaluer |
| A.8.15 | Journalisation | ⚠️ | Logs JSON Loki ✅ ; audit log applicatif (logs-reporting) à implémenter |
| A.8.16 | Surveillance | ⚠️ | Grafana ✅ ; SIEM dédié à évaluer |
| A.8.17 | Synchronisation horloges | ✅ | NTP par défaut sur EKS et clients cloud |
| A.8.18 | Utilisation programmes utilitaires privilégiés | ⚠️ | Accès kubectl restreint ; à formaliser |
| A.8.19 | Installation de logiciels sur systèmes opérationnels | ⚠️ | Images Docker tagguées ; à compléter |
| A.8.20 | Sécurité des réseaux | ✅ | NetworkPolicy K8s + WAF Cloudflare (/architecture/network-topology) |
| A.8.21 | Sécurité des services réseau | ✅ | TLS 1.2+ ; ingress + cert-manager |
| A.8.22 | Ségrégation des réseaux | ✅ | Namespaces K8s isolés (staging / production) |
| A.8.23 | Filtrage Web | N/A | Pas de browsing externe depuis les services backend |
| A.8.24 | Utilisation de la cryptographie | ⚠️ | /security/encryption-standards (draft) |
| A.8.25 | Cycle de vie sécurisé de développement | ⚠️ | /security/secure-sdlc (draft) |
| A.8.26 | Exigences de sécurité des applications | ⚠️ | DTO + ValidationPipe ✅ ; CORS / Helmet / CSP à durcir (known-gaps B1, B2) |
| A.8.27 | Architecture système sécurisée et principes d'ingénierie | ⚠️ | Clean Arch ADR-0001 ; trust boundaries documentées |
| A.8.28 | Codage sécurisé | ⚠️ | ESLint + conventions ; ASVS L2 mapping à faire |
| A.8.29 | Tests de sécurité dans le développement et acceptation | ⚠️ | Tests unit/integration ; SAST / DAST à intégrer |
| A.8.30 | Développement externalisé | N/A | Pas de développement externalisé V1 |
| A.8.31 | Séparation environnements de développement, test, production | ✅ | dev / staging / production ; review env par MR |
| A.8.32 | Gestion des changements | ⚠️ | CI/CD avec review obligatoire ; change management formel à documenter (/operations/change-management à créer) |
| A.8.33 | Données de test | ⚠️ | Jeux factices (/qa/test-data-sets) ; politique anti-PII en test à formaliser |
| A.8.34 | Protection des SI durant les audits | ⚠️ | Procédure à formaliser pour les pentests |
7. Synthèse
| Groupe | Total | ✅ | ⚠️ | ❌ | N/A |
|---|---|---|---|---|---|
| A.5 Organizational | 37 | 0 | 32 | 5 | 0 |
| A.6 People | 8 | 0 | 7 | 1 | 0 |
| A.7 Physical | 14 | 0 | 9 | 0 | 5 |
| A.8 Technological | 34 | 8 | 22 | 4 | 1 (A.8.23, A.8.30 partiel) |
| TOTAL | 93 | 8 | 70 | 10 | 5 |
Lecture rapide :
- ~9 % des contrôles implémentés et démontrables ;
- ~75 % partiels — souvent en place techniquement mais documentation ou processus à formaliser ;
- ~11 % non implémentés (priorisés via tickets) ;
- ~5 % non applicables (justification cloud-native).
8. Plan de remédiation
Priorisation des gaps ❌ :
- A.6.1 Screening pré-embauche : politique à formaliser avec RH.
- A.5.10 Charte d'usage acceptable : à rédiger et signer par les salariés.
- A.8.10 Suppression d'information : politique de rétention + droit à l'oubli RGPD.
- A.8.11 Masquage PII dans logs : implémentation technique + convention de logging.
- A.8.12 DLP : évaluation outillage (compte tenu du périmètre cloud-native).
- A.5.13 Étiquetage information : convention pratique à définir.
- A.5.21 Sécurité chaîne d'approvisionnement TIC : SBOM + Renovate.
- A.5.28 Collecte d'évidence : procédures forensics.
- A.5.35 Revue indépendante : premier pentest annuel.
- A.5.6 Contact groupes intérêt sécurité : adhésions / abonnements.
9. Roadmap de certification
| Étape | Cible | Statut |
|---|---|---|
| Gap analysis initiale (ce document) | T2 2026 | ✅ |
Implémentation contrôles ❌ | T3-T4 2026 | en cours |
Documentation et processus pour contrôles ⚠️ | T3-T4 2026 | en cours |
| Audit interne complet | T1 2027 | planifié |
| Audit externe de certification stage 1 | T2 2027 | cible |
| Audit externe de certification stage 2 | T3 2027 | cible |
| Certification ISO 27001 | T3-T4 2027 | objectif |
10. Approbation
| Rôle | Nom | Date | Signature |
|---|---|---|---|
| CEO | [À COMPLÉTER] | ||
| CTO | [À COMPLÉTER] | ||
| RSSI | [À COMPLÉTER] |