Comment résoudre les checks sans intégration

Last updated: May 22, 2025

Pour obtenir votre certification, certains contrôles sont sans intégration.

Voici quelques guidelines pour les résoudre :

  1. Risk Assessment exercise completed annually : revoir la revue des risques qu'on a fait pour vous et les approuver https://app.bastion.tech/compliance/risk-register

  2. Requesting and approving access : uploader un screenshot de votre process où vous demandez / validez les accès, ça peut être un canal slack ou un système de ticketing

  3. SSL/TLS enforced on company website : se rendre sur ce site https://www.ssllabs.com/ssltest/analyze.html et uploader un screenshot du résultat

  4. Disaster Recovery Testing : là-dessus on fournit un template d'exercice à réaliser qui prend 30min/1h, c'est un exercice de mise en situation

  5. Security Event Logging : un screenshot de votre outil de logging spécifiquement sur la partie sécurité

  6. Source control : upload un screenshot de votre outil de code versioning (github, gitlab, bitbucket)

  7. Security Event Review : un screenshot de votre système de revue des événements de sécurité (peut-être une page Notion avec un post-mortem ou autre)

  8. Cyber Insurance : screenshot de votre assurance cyber. Si vous n'en avez pas et ne voulez pas en avoir, vous pouvez expliquer votre choix (tarif trop élevé pour vous par ex.)

  9. Security Incident - Tracking : screenshot d'un outil de tracking des incidents

  10. SDLC - Separation of environments : screenshot de votre organisation où vous montrez avoir un env de prod, un de dev etc.

  11. Agile process : screenshot d'invitation d'événement récurrent dans vos agendas pour montrer que vous faites de l'agile

  12. Role-based access control : screenshot prouvant que vous faites du RBAC (i.e. gérer les accès au niveau des rôles et pas des users)

  13. Production deployment access is restricted : screenshot prouvant qu'il faut demander pour accéder à la prod

  14. Penetration Testing : résultat de pentest

  15. Employees performance review : screenshot d'une revue de perf (template ou réelle anonymisée)

  16. Change Management Approvals : screenshot de votre outil de code versioning

  17. Architecture diagram : screenshot d'un diagram de votre architecture

  18. Board oversight : screenshot de compte rendu de vos réunions de board si vous en avez. Sinon compte rendu de meetings entre founders

  19. Job descriptions are published : screenshot ou URL de là où sont publiées vos offres d'emplois

  20. Infrastructure as code : screenshot d'un fichier terraform ou de votre CI avec des checks

  21. Least-privilege access : screenshot prouvant que vous faites du RBAC (i.e. gérer les accès au niveau des rôles et pas des users)

  22. Master Services Agreement : idéalement la partie d'un contrat avec un client comprenant ces informations

  23. Change Management Tooling : screenshot de votre outil de code versioning

  24. System Description : description de votre système. Bastion vous fournit un template provenant d'un auditeur.

  25. Password management tool : screenshot prouvant l'utilisation d'un outil de gestion des mdp

  26. Public privacy policy : url de votre page de policy

  27. Terms of Use : url de vos terms of use (CGU/CGV en France)