La gestion des risques
que vous pouvez prouver.
La plupart des plateformes GRC sont des bases de données configurables coiffées d'un tableau de bord. Sceau Risk quantifie vos risques en euros, prévoit les dépassements de seuils avant qu'ils ne surviennent, propose des traitements classés par retour sur investissement — et scelle chaque enregistrement sur une chaîne infalsifiable que votre auditeur peut vérifier d'un seul appel.
/audit/verify répond vrai ou faux.Le secteur vend du théâtre du risque depuis des années.
Des cartes de chaleur sans unités. Des scores de conformité que l'on se déclare à soi-même. Des prédictions « dopées à l'IA » que personne ne peut expliquer à un régulateur. Des journaux d'audit que quiconque détient la base peut réécrire.
Couverture auto-déclarée
Cochez une case et le référentiel passe au vert. À l'arrivée de l'auditeur, ce vert ne vaut rien. Sceau Risk dérive la couverture de l'efficacité testée des contrôles liés — impossible à déclarer, il faut la mériter.
Scores boîte noire
Un « score de risque de 73 » que personne ne peut décomposer, c'est du marketing, pas de la gestion des risques. Chaque chiffre de Sceau Risk — indice de pression, prévision, ROSI — détaille exactement les facteurs qui l'ont produit.
Historique réinscriptible
Une piste d'audit dans une table ordinaire est une suggestion. La nôtre est une chaîne de hachage : les évaluations approuvées et les versions de politiques publiées sont immuables au niveau des déclencheurs de la base, et toute altération brise la chaîne de façon visible.
Tout ce que font les grandes suites. Puis la partie qu'elles se contentent d'annoncer.
Sceau Risk couvre l'intégralité de la liste des acteurs historiques — registre, évaluations, contrôles, campagnes, politiques, tiers, référentiels, constats, reporting — et continue là où ils s'arrêtent.
Multidimensionnel, puis monétaire
Notez la vraisemblance face aux impacts financier, de service, réglementaire et de réputation — ajoutez trois questions (à quelle fréquence, coût typique, coût d'une mauvaise année) et obtenez une distribution de pertes Monte-Carlo complète, stockée dans l'enregistrement d'évaluation immuable.
Des business cases, pas des vœux pieux
Chaque contrôle proposé reçoit un business case conservé : ΔPerte attendue, ΔVaR 99, ROSI et délai de retour en mois. Les conseils approuvent des investissements, pas des adjectifs.
Tester, challenger, attester
Tests de contrôles avec cycle de vie d'efficacité, campagnes RCSA avec challenge entre première et deuxième ligne, et campagnes de lecture-attestation dont les signatures rejoignent la chaîne.
Le texte publié est le texte approuvé
Rédaction → revue → approbation → publication, avec séparation des tâches dans les deux sens. La publication fige une version immuable ; modifier une politique publiée la rétrograde pour ré-approbation. Les exceptions sont bornées dans le temps par construction — douze mois, plafond ferme.
Une couverture qui se mérite
ISO 27001, NIS2, DORA, RGPD, CIS 8, ISO 22301, ISO 45001, CSRD, règlement IA de l'UE et plus, préchargés. Le statut d'une exigence dérive de l'efficacité des contrôles liés. La détection d'écarts rédige les risques manquants pour vous. Un clic exporte une Déclaration d'applicabilité prête pour l'audit.
Collecter une fois, servir plusieurs référentiels
Liez une même pièce justificative à des contrôles et à des exigences à travers les référentiels, avec dates de validité. Les preuves périmées sont signalées automatiquement — et peuvent déclencher un flux avant que l'auditeur ne les trouve.
TPRM avec une colonne vertébrale DORA
Classification des fournisseurs, portails d'évaluation, ingestion continue de signaux, analyse de concentration — et le registre d'information DORA exporté dans le format attendu par votre régulateur.
Règlement IA de l'UE : répondu
Un assistant de classification qui cite les articles derrière chaque détermination, des jalons de cycle de vie pour les modèles, des profils de risque IA notés par dimension (biais, robustesse, contrôle, dérive) dont le score hérite aussi du risque données en direct des données d'entraînement liées, ISO/IEC 42001 dans la bibliothèque de référentiels — et un registre que votre DPO ouvrira avec plaisir.
Des horloges défendables devant un régulateur
Déclarez un incident avec les indicateurs RGPD/NIS2/DORA et les horloges de notification se dérivent d'elles-mêmes — art. 33, art. 23, art. 19 — chacune en compte à rebours, honnête sur les dépôts tardifs. Les playbooks instancient des listes de tâches à échéances SLA, la chronologie est en ajout seul au niveau de la base, une alarme se déclenche avant l'expiration d'une horloge, la clôture exige une revue post-incident, et MTTC/MTTR sont calculés, jamais proclamés.
La troisième ligne, intégrée
Planifiez des missions face aux risques et contrôles, menez des tests indépendants avec notes de preuve, et émettez des constats qui créent des points ouverts suivis — propriétaire, échéance et automatisation des retards inclus. Les opinions sont réservées à la phase de rapport, la clôture en exige une, et la couverture d'audit à 12 mois des risques élevés/critiques est dérivée, avec les risques non couverts nommés.
Gouverner les données derrière les risques
Un registre des actifs de données avec propriétaires et stewards, classification à quatre niveaux et marquage PII, des règles de qualité DAMA dont les mesures en échec déclenchent le moteur d'automatisation, le lignage entre actifs, des liens vers le registre des risques — un score de risque données dérivé par actif qui détaille chaque point, la rédaction en un clic de cette exposition dans le registre des risques — et un export de catalogue prêt pour l'audit.
Les modules spécialisés, natifs
Double matérialité CSRD avec préparation des points de données ESRS. PD/LGD/EAD par contrepartie avec surveillance de limites ouvrant un constat en cas de dépassement. Scénarios d'atelier exécutés en Monte-Carlo reproductible.
Prévoir. Prescrire. Capter le monde extérieur.
C'est la couche que les suites historiques réservent aux brochures. Nous la mettons dans le produit — et chaque mécanisme est explicable, car « le modèle l'a dit » ne survit pas à une visite de supervision.
Échéances de dépassement sur chaque KRI
Prévision de tendance de Holt sur l'historique de vos indicateurs, projetée avec une échéance estimée vers l'orange et le rouge. « Signalements de phishing → rouge dans 1 période » est une phrase sur laquelle votre RSSI peut agir. Niveau et tendance sont fournis avec chaque prévision — le calcul est auditable.
L'indice de pression
Un score de 0 à 100 par domaine, bâti sur des indicateurs avancés — santé des KRI, pics d'incidents, traitements en retard, contrôles faibles, dépassements d'appétence — avec chaque point rattaché à un facteur cliquable. Jamais de chiffres composites mystérieux.
Traitements classés par ROSI
Demandez à la plateforme comment réduire un risque quantifié : elle valorise la bibliothèque de contrôles face à votre modèle de pertes — hypothèses affichées, classement par rendement. Un clic applique le gagnant : contrôle lié, action ouverte, business case enregistré. Atomiquement.
Horizon réglementaire
Sources officielles européennes et internationales — EUR-Lex, ABE, ESMA, ENISA, EDPB, CISA — récupérées, dédupliquées et classées dans votre atlas de domaines, avec les dates d'application extraites sur un compte à rebours. Normes techniques AMLR dans 95 jours, c'est de la planification ; une surprise, non.
De la veille au registre
Triez le flux par tenant. Un clic transforme un élément pertinent en risque provisoire dans le bon domaine, avec sa source, de façon idempotente. Le monde extérieur entre dans votre registre au lieu de passer à côté.
Règles d'automatisation
Quand un risque résiduel critique est approuvé, notifier la fonction risques et déclencher un webhook. Quand une exception approche de l'échéance, ouvrir un constat. Neuf déclencheurs, conditions inspectables, quatre actions auditées, interpolation de gabarits, déduplication — avec journal d'exécution complet.
Un copilote IA qui montre son travail — et une porte ouverte pour le vôtre.
Chaque réponse cite les objets utilisés et liste les outils exacts appelés. Les écritures ne produisent jamais que des brouillons soumis à revue humaine. Et l'atout que personne d'autre ne livre :
📌 Épinglez toute réponse en widget vivant
Demandez « quels risques montent ? » — recevez la réponse — épinglez-la. Elle devient un widget de tableau qui continue de s'actualiser. Votre cockpit CRO s'assemble à partir des questions que vous posez réellement, les droits étant appliqués par widget au rendu.
MCP : amenez votre propre IA
Toute la surface d'outils — 24 outils et plus — est exposée via le protocole ouvert MCP. Pointez Claude, votre assistant interne ou votre plateforme de données vers Sceau Risk : il répond avec votre posture de risque en direct, sous les droits de vos utilisateurs. Des clés API à portée limitée et révocables font de la première intégration un copier-coller. Pas de verrouillage, pas de boîte noire entre vous et vos propres données.
Trois affirmations. Trois façons de nous vérifier.
1 · La chaîne répond
Appelez GET /audit/verify sur votre tenant à tout moment. Il parcourt la chaîne de hachage sur chaque enregistrement audité et renvoie {"intact": true} — ou vous indique exactement où l'historique a été touché. Placez la tête de chaîne dans votre dossier de conseil.
2 · La simulation se répète
Chaque exécution Monte-Carlo conserve sa graine et ses paramètres. Relancez-la dans cinq ans : même distribution, à la décimale. La gestion du risque de modèle, appliquée à la plateforme de risques elle-même.
3 · Le score se décompose
Cliquez sur n'importe quel indice de pression, pourcentage de couverture ou chiffre de ROSI — et voyez les facteurs, liens ou formules exacts qui le fondent. Un chiffre que nous ne savons pas expliquer, nous ne l'affichons pas.
« Dérivé, jamais déclaré. Explicable, jamais oraculaire. Scellé, jamais modifiable. » — les trois règles de conception que chaque fonction de Sceau Risk doit satisfaire.
Votre registre des risques est la carte de vos faiblesses.
Il ne devrait jamais quitter l'Europe.
UE par construction
- Exploité par Galactic Automation BV, Belgique — une entité juridique de l'UE, point final.
- Toutes les données de production résident en Belgique — la région UE de Google Cloud (europe-west1, Saint-Ghislain) avec résidence des données limitée à l’UE. Besoin d’une infrastructure détenue en Europe de bout en bout ? Un déploiement souverain mono-tenant sur Hetzner est disponible en Enterprise.
- Aucun traceur tiers, aucune balise analytique, aucune police externe — ce site même n'effectue aucune requête externe.
- Conditions de sous-traitance RGPD et accord de traitement signé en standard, pas en option entreprise.
Défense en profondeur
- Isolation des tenants appliquée dans la base : row-level security PostgreSQL, à sûreté intégrée sur chaque table.
- Accès par rôles avec séparation des tâches intégrée aux flux — un propriétaire ne peut approuver son propre travail.
- Immutabilité là où cela compte : évaluations approuvées et versions de politiques publiées refusent toute modification au niveau des déclencheurs.
- Déploiement souverain mono-tenant disponible en Enterprise — votre instance, vos clés, notre maintenance.
Voyez vos propres risques quantifiés — en un après-midi.
Apportez trois risques et trente minutes. Nous les chargeons en direct, en quantifions un en euros, prévoyons un KRI, et laissons votre auditeur appeler lui-même /audit/verify. Si votre prochain comité des risques ne sonne pas différemment, nous nous quittons bons amis.