Comment répondre à un questionnaire CAIQ (CSA STAR) en 1 heure

Qu'est-ce que le CAIQ ?

Le CAIQ (Consensus Assessment Initiative Questionnaire) est le questionnaire standardisé de la Cloud Security Alliance (CSA). Il fait partie du programme CSA STAR (Security, Trust, Assurance, and Risk) qui évalue la posture de sécurité des fournisseurs cloud.

Contrairement aux questionnaires propriétaires de chaque client, le CAIQ est standardisé — ce qui signifie que vous pouvez le remplir une seule fois et le partager avec tous vos prospects qui l'exigent.

Le programme CSA STAR

CSA STAR comporte 3 niveaux :

1. STAR Level 1 — Self-Assessment : vous remplissez le CAIQ et le publiez sur le registre CSA. Gratuit et accessible immédiatement.
2. STAR Level 2 — Third-Party Audit : audit par un tiers basé sur les contrôles CSA, combiné avec ISO 27001 ou SOC 2.
3. STAR Level 3 — Continuous Monitoring : surveillance continue de la conformité (peu d'entreprises à ce niveau).

Pour la majorité des PME et startups, le Level 1 (self-assessment CAIQ) est suffisant pour répondre aux exigences des clients enterprise.

Structure du CAIQ v4

Le CAIQ v4 est organisé en 16 domaines de contrôle et environ 260 questions :

1. A&A — Audit & Assurance
2. AIS — Application & Interface Security
3. BCR — Business Continuity Management & Operational Resilience
4. CCC — Change Control & Configuration Management
5. CEK — Cryptography, Encryption & Key Management
6. DCS — Datacenter Security
7. DSP — Data Security & Privacy Lifecycle Management
8. GRC — Governance, Risk & Compliance
9. HRS — Human Resources Security
10. IAM — Identity & Access Management
11. IPY — Interoperability & Portability
12. IVS — Infrastructure & Virtualization Security
13. LOG — Logging & Monitoring
14. SEF — Security Incident Management
15. STA — Supply Chain Management, Transparency & Accountability
16. TVM — Threat & Vulnerability Management

Répondre en 1 heure : la méthode

Préparation (15 minutes)

1. Téléchargez le template CAIQ v4 depuis le site CSA
2. Rassemblez vos documents : politique de sécurité, rapport SOC 2/ISO, résultats de pentest, registre des sous-traitants
3. Uploadez tous ces documents dans votre bibliothèque Compli.st

Remplissage IA (30 minutes)

1. Importez le CAIQ dans Compli.st
2. L'IA analyse chaque question et propose une réponse sourcée depuis votre bibliothèque
3. Pour chaque question, le format est simple : Oui/Non + explication
4. L'IA identifie les questions où vous n'avez pas de réponse documentée

Revue et validation (15 minutes)

1. Passez en revue les réponses flaggées comme "à vérifier"
2. Ajustez les réponses spécifiques à votre contexte
3. Exportez le CAIQ complété au format Excel

Mapping CAIQ ↔ ISO 27001 / SOC 2

Bonne nouvelle : si vous êtes déjà ISO 27001 ou SOC 2, 70-80% du CAIQ est déjà couvert. Le mapping est quasi direct :

• IAM (CAIQ) → A.9 Access Control (ISO) / CC6 Logical & Physical Access (SOC 2)
• CEK (CAIQ) → A.10 Cryptography (ISO) / CC6.1 Encryption (SOC 2)
• SEF (CAIQ) → A.16 Incident Management (ISO) / CC7.3-7.5 (SOC 2)
• BCR (CAIQ) → A.17 Business Continuity (ISO) / A1 Availability (SOC 2)

Erreurs courantes à éviter

• Répondre "N/A" à tout ce qui ne s'applique pas : justifiez toujours pourquoi ce n'est pas applicable
• Copier-coller des réponses génériques : les évaluateurs détectent vite les réponses non personnalisées
• Ignorer le CAIQ : de plus en plus de clients enterprise l'exigent, surtout pour les fournisseurs cloud

Remplissez votre CAIQ en 1h avec Compli.st →