OSCI Platform — Plateforme de pilotage de la sécurité Zero Trust

Le problème

Pourquoi les organisations échouent

Les contrôles de sécurité sont dispersés entre des tableurs, des outils hétérogènes et des processus manuels. Cette fragmentation engendre :

Manque de visibilité

Impossible d'avoir une vue d'ensemble fiable de la posture de sécurité globale.

Audits difficiles

Preuves dispersées, pas de centralisation des résultats de contrôle.

Remédiation non suivie

Les vulnérabilités identifiées persistent faute de suivi structuré.

Décideurs sans indicateurs

Pas de métriques objectives pour arbitrer les investissements sécurité.

Hétérogénéité des pratiques

Chaque équipe applique ses propres contrôles sans standardisation.

Perte de traçabilité

Aucun historique fiable des actions et décisions de sécurité.

La solution

Cinq piliers pour la conformité

Centraliser

Regroupez tous vos contrôles dans des checklists structurées, organisées par référentiels (ISO 27001, NIST, OWASP, CIS).

Standardiser

Appliquez des contrôles homogènes à vos objets grâce à des référentiels partagés par la communauté ou créés en interne.

Mesurer

Le Security Integrity Score fournit un indicateur objectif et comparable. Suivez son évolution dans le temps.

Piloter

Chaque écart génère une tâche de remédiation. Le Kanban intégré permet de prioriser les corrections.

Prouver

Attachez des preuves à chaque contrôle. Le journal d'audit trace automatiquement toutes les actions.

Proposition de valeur

Pour chaque partie prenante

Pour les organisations

Source de vérité unique pour tous les contrôles, scores, preuves et audits

Conformité mesurable avec indicateurs quantifiés

Audit-ready : preuves centralisées et journal exhaustif

Gain de temps : automatisation de la remédiation

Standardisation via référentiels communautaires

Pour les équipes sécurité

Exécution des checklists guidée et traçable

Preuves attachées directement aux contrôles

Kanban de remédiation pour organiser le travail

Scores objectifs pour prioriser les efforts

Pour les décideurs

Cockpit avec indicateurs synthétiques

Security Integrity Score global et par périmètre

Rapports de conformité exportables

Visibilité sur l'avancement de la remédiation

Public cible

Qui utilise OSCI ?

RSSI

Pilotage global et arbitrage

Équipe sécu

Checklists et remédiation

Auditeur

Runs, preuves et logs

Chef de projet

Conformité des projets

Développeur

Contrôles sur dépôts

Direction

Indicateurs et rapports

Cas d'usage

01

Campagne d'audit interne

Créer un projet, associer les objets du périmètre, exécuter les checklists, générer un rapport.

02

Certification ISO 27001

Importer le référentiel communautaire, appliquer les checklists, suivre le score.

03

Suivi de la remédiation

Identifier les non-conformités, suivre les tâches correctives dans le Kanban, relancer les runs.

04

Onboarding d'un projet

Créer les objets (infra, code, pipeline), associer les checklists, évaluer le niveau initial.

05

Reporting à la direction

Exporter les scores et rapports de conformité pour les comités de sécurité.

Fonctionnalités

12 modules intégrés

Une suite complète pour gérer le cycle de vie de votre conformité, de l'évaluation initiale à la preuve d'audit.

Cockpit

Tableau de bord

Page d'accueil centralisant les indicateurs clés pour un pilotage rapide.

Indicateurs globaux et score moyen

Évolution du Security Integrity Score

Priorités et objets moins conformes

Accès rapide aux projets en cours

Objets

14 types d'objets

Project, Human, Infrastructure, Repository, Application, Device, Data, Network, Cloud, Third Party, Pipeline, Cluster, Server, Database.

Liste, filtrage et détail par objet

Score, checklists, historique des runs

Groupes d'objets avec score consolidé

Checklists & Runs

Moteur de contrôles

Exécutez des runs (Conforme / Non conforme / Non applicable), attachez des preuves et calculez le score.

Types : YesNo, Score, Evidence, AutoCheck

Historique complet avec comparaison

Preuves attachées à chaque contrôle

Score

Security Integrity Score

Indicateur central : calculé automatiquement, pondéré, évolutif, multi-niveaux.

Conforme Attention Critique

Remédiation

Kanban visuel

À faire → En cours → Revue → Terminé. Tâches créées automatiquement depuis les runs.

Glisser-déposer entre colonnes

Filtrage par objet, priorité, assignation

Commentaires et suivi de discussion

Projets

Projets de sécurité

Regroupez des objets et checklists autour d'un périmètre. Statuts : Planning, Active, OnHold, Completed.

Score consolidé et progression globale

Jalons (Milestones) et dates clés

Vue consolidée des tâches liées

Cartographie

Topologie Cytoscape.js

Visualisation interactive des relations : connects_to, depends_on, hosts, authenticates, stores_data, contains, monitors...

Navigation zoom, pan, sélection

Couleurs = niveau de conformité

Points critiques et analyse d'impact

Audit & Preuves

Traçabilité complète

Journal d'audit automatique + gestion des preuves (upload fichiers, captures, liens) stockées dans MinIO S3.

Enregistrement automatique de toute action

Filtrage, recherche plein texte, export

Evidence liée à un contrôle spécifique

Référentiels

Frameworks de sécurité

ISO 27001, NIST CSF, OWASP Top 10, CIS Benchmarks et frameworks internes.

Import depuis la bibliothèque communautaire

Parcours hiérarchique des contrôles

Liaison automatique checklists ↔ contrôles

Rapports

Vues exportables

Génération par projet, objet ou périmètre. Vue consolidée des scores, export et partage. Historique des rapports.

Incidents

Gestion des incidents

4 niveaux (Low, Medium, High, Critical). Suivi : ouvert → en cours → résolu → clos.

Low Med High Crit

Administration

Utilisateurs & RBAC

Gestion des utilisateurs, groupes (avec héritage), rôles prédéfinis et permissions directes.

Architecture

Stack moderne et sécurisée

CLIENT :80

Angular 18 + Nginx

API :3000

NestJS 10

Postgres 16

OPA

Keycloak 26

MinIO S3

Modèle RBAC granulaire

6 rôles prédéfinis, 17 types de ressources, 6 actions (read, create, update, delete, export, manage). Permissions effectives = union des rôles directs + groupes + permissions directes + privilège créateur. Autorisation fine via OPA / Rego en temps réel.

Rôle	Accès	Périmètre
SecurityAdmin	Full Access	Global + Admin
SecurityManager	Write / Manage	Projets, Objets, Checklists
ProjectOwner	Manage Project	Projets dont il est propriétaire
Auditor	Read + Export	Logs, Reports, Evidence
Developer	Read + Execute	Son périmètre
Viewer	Read Only	Ressources autorisées

Sécurité

Sécurité intégrée à chaque couche

OIDC + PKCE

Flux OpenID Connect via Keycloak

JWT

Tokens signés pour l'authentification API

MFA / TOTP

Authentification multi-facteurs

Policy-as-Code

Autorisation fine via OPA / Rego

RBAC

Contrôle d'accès basé sur les rôles

Audit trail

Journal automatique de toute action

Hashage

Mots de passe hashés (bcryptjs)

Rate Limiting

100 req/60s + Helmet + CORS

Communauté

Référentiels Open Source

Bibliothèque communautaire de référentiels partagés et ouverts aux contributions. Importez ISO 27001, NIST CSF, OWASP Top 10, CIS Benchmarks en un clic depuis l'interface.

1. Référentiels stockés en JSON dans le dépôt communautaire

2. Parcourir les frameworks avec leurs contrôles

3. Importer un référentiel complet en un clic

4. Adaptable sans affecter la version communautaire

github.com/zlorgoncho1/osci-referentiel

referentiel.json

{
  "code": "ISO-27001",
  "name": "ISO 27001",
  "version": "1.0",
  "controls": [
    {
      "code": "A.5.1",
      "title": "Politique de sécurité"
    }
  ],
  "checklists": [
    {
      "title": "Gouvernance",
      "criticality": "High"
    }
  ]
}

Parcours type

Campagne d'audit en 10 étapes

01

ConnexionKeycloak OIDC + MFA → Cockpit

02

Création du projetDéfinir le périmètre (ex. "Audit SI Finance Q1 2026")

03

Ajout des objetsServeurs, applications, bases de données...

04

Import des référentielsISO 27001, NIST CSF, CIS depuis la communauté

05

Association des checklistsSélectionner et associer aux objets du projet

06

Exécution des runsÉvaluer chaque contrôle + attacher les preuves

07

Analyse du scoreSecurity Integrity Score global et par objet

08

RemédiationTâches auto-créées dans le Kanban → prioriser, assigner

09

Re-run et validationRelancer les runs pour vérifier la conformité

10

Rapport et auditGénérer le rapport, exporter journal et preuves

Déploiement

Opérationnel en 90 secondes

Stack entièrement conteneurisée via Docker Compose. 7 services : web, api, postgres, keycloak, opa, minio, realm-init.

bash — osci-setup

➜~ git clone https://github.com/zlorgoncho1/osci-platform

➜~ cd osci-platform && cp .env.example .env

➜~/osci-platform docker compose up -d

✔ Container osci-postgres started
✔ Container osci-keycloak started
✔ Container osci-opa started
✔ Container osci-minio started
✔ Container osci-api started
✔ Container osci-web started
ℹ Platform ready at http://localhost:80

_

Recommandations

Bonnes pratiques

Structurer les projets

Un projet = un périmètre clair. Nommez explicitement (ex. "Audit SI Finance Q1 2026"). Associez tous les objets concernés pour un score représentatif.

Nommer les objets

Convention de nommage cohérente dans toute l'organisation. Indiquez le type réel et ajoutez suffisamment de contexte dans la description.

Choisir les bons référentiels

Utilisez les référentiels communautaires adaptés. Commencez par un périmètre restreint. Associez les checklists aux types d'objets pertinents.

Runs réguliers

Planifiez des campagnes à intervalles réguliers. Documentez avec des preuves. "Non applicable" est préférable à un contrôle ignoré.

Suivre la remédiation

Traitez par priorité. Ne laissez pas les tâches s'accumuler. Relancez un run après correction. Utilisez le Kanban en réunion d'équipe.

Capitaliser sur les preuves

Attachez une preuve à chaque contrôle, même conforme. Captures horodatées, exports de configuration ou liens vers des documents.

Référence

Glossaire

Terme	Définition
Checklist	Liste de contrôles de sécurité à vérifier sur un ou plusieurs objets
Cockpit	Tableau de bord principal affichant les indicateurs globaux
Contrôle	Point de vérification issu d'un référentiel (ex. "Le chiffrement TLS est activé")
Evidence	Document, fichier ou lien attaché à un contrôle lors d'un run
Objet	Élément du SI soumis à des contrôles (serveur, application, dépôt, identité...)
OPA	Open Policy Agent — Moteur d'autorisation policy-as-code (Rego)
Référentiel	Ensemble structuré de contrôles (ISO 27001, NIST, OWASP...)
Run	Exécution d'une checklist à un instant donné, produisant un score
Score	Security Integrity Score — Indicateur de conformité calculé automatiquement
Tâche	Action corrective générée lorsqu'un contrôle est non conforme
Zero Trust	Modèle de sécurité qui n'accorde aucune confiance implicite