We voluntarily implement the risk-management measures using Reglyze (the product) as both subject and tool. This is dogfooding, not a regulatory obligation. We publish it so you can verify what an AI-built evidence base actually looks like before you buy.
We use our own platform to manage Reglyze's compliance posture — in each country's native framework, not raw NIS2. Same scoring, same policies, same controls our customers use. No marketing fluff, just our actual numbers.
Last self-assessed: 19 May 2026
under 1 hour
to document our whole evidence base (vs 80–120h manual)
100%
critical-patch SLA (Dependabot + Renovate, 3 real fixes)
Quarterly
self-audit cadence — last cycle Q2-2026
Name
Reglyze
Country
FR
Sector
digital_providers
Headcount
5
NIS2 Status
Politique de gestion des actifs (REGLYZE-POL-ASM-001) définit l'inventaire des activités, services et SI ; le stack de production est identifiable (Hetzner, Cloudflare, GitHub, Postgres, Redis, MinIO). Aucun registre d'actifs formellement complété n'est encore produit comme artefact opérationnel. [NIS2 21.2.i.1]
SaaS mono-produit : l'ensemble des SI est dans le périmètre. Aucune analyse de risques formalisée justifiant l'exclusion de SI n'est documentée (non nécessaire en pratique, mais l'exigence de justification écrite n'est pas satisfaite). [NIS2 21.2.i]
La politique d'actifs prévoit une revue annuelle ; aucun cycle de réexamen complété (documents en v1.0, prochain examen 2026). [NIS2 21.2.i.1]
Cyril Poder, dirigeant unique, approuve les politiques ; le board briefing deck matérialise la supervision de gouvernance. Structure mono-dirigeant : cadence de revue formelle naissante et non testée. [NIS2 20.1.a]
Les rôles sont décrits dans l'ISP et le board deck ; avec 5 personnes et un dirigeant unique, la matrice de délégation formalisée reste embryonnaire. [NIS2 20.1.a]
PSSI complète (REGLYZE-ISP-001) en v1.0, approuvée par le dirigeant ; pas de cycle de revue annuel complété. [NIS2 21.2.a.2]
Politique de chiffrement (REG-SEC-POL-CRYPTO-001) v1.0 ; chiffrement opérationnellement fort (repos + transit). [NIS2 21.2.h.1]
Politique de contrôle d'accès logique (REG-SEC-POL-001) ; volet physique largement hérité de Hetzner (ISO 27001, Francfort). [NIS2 21.2.i.2]
Politique de test d'efficacité (REG-POL-ETP-001) définit la revue d'application des mesures ; aucun cycle de revue/audit complété. [NIS2 21.2.f]
Toutes les politiques prévoient une revue annuelle ; aucune revue effectuée (v1.0). [NIS2 21.2.a.5]
L'auto-évaluation NIS2 de mai 2026 EST une analyse de conformité (dogfooding du produit) ; l'analyse ReCyF est en cours. [NIS2 21.2.f]
Les écarts sont identifiés par l'auto-évaluation ; un plan d'action formel de remédiation est partiellement suivi. [NIS2 21.2.f.4]
Pas de suivi longitudinal documenté d'un plan d'action de remédiation dans la durée. [NIS2 21.2.f.5]
7 fournisseurs identifiés et évalués (Hetzner, Cloudflare, Anthropic, Stripe, GitHub, Resend, Google) dans l'évaluation de la chaîne d'approvisionnement. [NIS2 21.2.d.1]
Criticité des fournisseurs classée (critical/high/medium) avec scores de risque résiduel par fournisseur. [NIS2 21.2.d.1]
La politique chaîne d'approvisionnement (REGLYZE-POL-SC-001) exige des clauses contractuelles ; aucun contrat fournisseur exécuté avec clauses de sécurité/DPA n'est attesté. [NIS2 21.2.d.2]
Pas de cadence de revue périodique des tiers attestée ; Dependabot/Renovate couvrent les dépendances logicielles. [NIS2 21.2.d.3]
La politique RH (hr_security) couvre l'usage acceptable ; aucune charte signée archivée pour les 5 collaborateurs. [NIS2 21.2.i]
Le plan de formation couvre la sensibilisation de l'ensemble des 5 collaborateurs ; aucun enregistrement de complétion. [NIS2 21.2.g.1]
La politique RH couvre l'arrivée ; aucune checklist d'onboarding / journal NDA complété. [NIS2 21.2.i.4]
La politique RH couvre le départ/la mobilité ; aucun journal de révocation d'accès. [NIS2 21.2.i.5]
Politique d'actifs + stack identifiable ; SBOM de fait via Dependabot/Renovate ; pas de registre formel complété. [NIS2 21.2.i.1]
FORCE opérationnelle : Dependabot + Renovate ouvrent des PR de correctifs automatiques ; 3 PR de sécurité réelles appliquées (SLA de patch 100%). [NIS2 21.2.e.3, 21.2.d.4]
Veille continue via Dependabot/Renovate + GitHub advisories. [NIS2 21.2.e.3]
La politique de gestion des vulnérabilités (REG-SEC-POL-003) définit la priorisation ; labels de sévérité Dependabot. [NIS2 21.2.e]
Pas de suivi documenté des fins de support au-delà des montées de version majeures Renovate. [NIS2 21.2.e]
Images conteneurisées minimales ; durcissement implicite mais non documenté. [NIS2 21.2.e.5]
Infra cloud entièrement distante, aucun support amovible en production ; l'exigence n'est pas formalisée (faible pertinence opérationnelle). [NIS2 21.2.i]
Idem 5.B.8 : procédure d'autorisation des supports amovibles non formalisée, faible pertinence (pas de média on-prem). [NIS2 21.2.i]
Aucun local serveur détenu par Reglyze ; sécurité physique héritée du datacenter Hetzner (ISO 27001, Francfort), équipe entièrement distante sans bureau central. Contrôle hérité, documenté dans l'évaluation chaîne d'approvisionnement. [NIS2 21.2 env. physique]
Sans locaux techniques propres, l'accès des visiteurs aux salles serveurs est géré par Hetzner. Contrôle hérité. [NIS2 21.2 env. physique]
Architecture documentée (fichiers compose, ADRs) ; docs actifs/PCA décrivent la topologie ; instance Hetzner unique. [NIS2 21.2.e]
Services conteneurisés mais hôte unique, pas de segmentation réseau multi-niveaux ; le RLS assure l'isolation tenant en base. [NIS2 21.2.e]
Cloudflare WAF + reverse-proxy Traefik filtrent l'entrant ; blocage egress ajouté (correctif SSRF S2). [NIS2 21.2.e]
FORCE : TLS imposé partout via Cloudflare. [NIS2 21.2.h.3]
TLS Cloudflare (suites modernes) ; la politique de chiffrement référence des standards ; conformité aux recommandations ANSSI non formellement validée. [NIS2 21.2.h]
HTTPS-only, HSTS (S5) ; protocoles hérités désactivés côté Cloudflare ; non formellement documenté. [NIS2 21.2.h]
Cloudflare Tunnel + SSH pour l'administration vers Hetzner (chiffré) ; conformité aux recommandations ANSSI non formellement vérifiée. [NIS2 21.2.e, 21.2.h]
FORCE : MFA imposée partout, y compris accès distant (SSH, GitHub, Hetzner, Cloudflare). [NIS2 21.2.j.1]
Pas d'AV/EDR sur serveurs (infra conteneurisée immuable) ; Cloudflare WAF filtre les menaces web ; aucun programme anti-malware documenté. [NIS2 21.2.e]
Infra cloud, pas de surface d'attache de matériel non autorisé ; non formalisé. [NIS2 21.2.e]
Non applicable de fait (pas d'AV à signatures) ; les règles Cloudflare WAF sont mises à jour par Cloudflare. [NIS2 21.2.e]
CSP (S5) + filtrage Cloudflare des contenus actifs ; documenté partiellement. [NIS2 21.2.e]
Le PRI couvre détection -> réaction ; alertes Cloudflare/Dependabot ; non testé. [NIS2 21.2.b]
Politique de contrôle d'accès + comptes plateforme-natifs (GitHub/Hetzner/Cloudflare) ; Better Auth pour les utilisateurs applicatifs. [NIS2 21.2.i.2]
Comptes nominatifs sur l'ensemble des plateformes. [NIS2 21.2.i.2]
Politique d'offboarding ; aucun journal de révocation attesté. [NIS2 21.2.i.5]
Comptes de service (CI, rôles DB dont le nouveau split RLS reglyze_app/reglyze_admin) distincts des comptes humains. [NIS2 21.2.i.2]
Comptes de service cadrés (rôles RLS, jetons de déploiement) ; secrets en variables d'environnement. [NIS2 21.2.i.2]
La politique de contrôle d'accès documente les règles de gestion des identités. [NIS2 21.2.i.2]
Moindre privilège dans la politique ; RBAC applicatif ; rôles DB RLS. [NIS2 21.2.i.2]
Dirigeant unique : validation triviale mais non formalisée comme processus distinct. [NIS2 21.2.i]
La politique impose une revue ; aucun cycle de revue des accès complété. [NIS2 21.2.i]
L'offboarding couvre la révocation ; aucun journal. [NIS2 21.2.i.5]
La politique RH couvre le changement de rôle ; petite équipe, gestion informelle. [NIS2 21.2.i]
La politique de contrôle d'accès documente les règles d'attribution. [NIS2 21.2.i.2]
Règles de mot de passe Better Auth + politique MFA. [NIS2 21.2.j]
FORCE : MFA imposée partout. [NIS2 21.2.j.1]
Identifiants hachés (Better Auth), secrets en environnement, TLS. (Rotation des secrets à effectuer — action opérationnelle interne, hors surface publique.) [NIS2 21.2.h]
Expiration/verrouillage de session dans Better Auth. [NIS2 21.2.i]
Comptes d'administration séparés (admin org GitHub, Hetzner, superuser DB vs reglyze_app) ; split de rôles RLS. [NIS2 21.2.i]
Administration distincte des comptes utilisateurs ; reglyze_admin (bypass) vs reglyze_app (scoped) en base. [NIS2 21.2.i]
FORCE : MFA sur toutes les consoles d'administration. [NIS2 21.2.j.1]
Aucun cycle de revue des comptes d'administration complété. [NIS2 21.2.i]
Journaux d'audit GitHub, logs de déploiement, logs DB ; centralisation partielle (log-shipper). [NIS2 21.2.e.5]
Le PRI comporte un cadre de classification/qualification des événements ; alertes Cloudflare/Dependabot en entrée ; non testé contre un événement réel. [NIS2 21.2.b.3]
Sauvegardes quotidiennes rclone -> Google Drive opérationnelles ; politique BDR (REGLYZE-POL-BDR-001). [NIS2 21.2.c.2]
La politique impose un test ; la restauration n'a pas été testée sur les 12 derniers mois. [NIS2 21.2.c.2]
Sauvegardes hors-site Google Drive chiffrées au repos ; pas de véritable stockage hors-ligne/immuable. [NIS2 21.2.c]
Le PCA définit RTO/RPO à haut niveau ; besoins de disponibilité par service non entièrement cartographiés. [NIS2 21.2.c.1]
Le PCA aborde la crise à haut niveau ; pas de dispositif de gestion de crise autonome exercé. [NIS2 21.2.c.4]
Équipe de 5 personnes, astreinte unique (Cyril) ; compétences concentrées. [NIS2 21.2.c.4]
Aucune fiche de contacts d'urgence hors-ligne (papier) attestée. [NIS2 21.2.c]
Le PRI référence la notification ANSSI ; liste des contacts externes partielle. [NIS2 21.2.b.4]
Applicabilité réelle EI+EE (erreur de suffixe PDF v2.5). Le PRI comporte un REX post-incident ; jamais exercé. [NIS2 21.2.b.5]
La politique de test d'efficacité impose des exercices ; AUCUN exercice sur table n'a été conduit à ce jour, et aucun test d'intrusion n'a été réalisé (NIS2 21.2.f.2 = 0). Écart le plus important. [NIS2 21.2.b, 21.2.f.2]
Hetzner Online GmbH
Cloud infrastructure / hosting
Data shared: All application data, customer accounts, encrypted backups
Cloudflare
CDN, DNS, WAF, TLS termination
Data shared: All HTTP/S traffic metadata, no plaintext payloads
Anthropic
AI/LLM (Claude API for document generation)
Data shared: Customer organization context for document generation prompts
GitHub
Source code hosting and CI/CD
Data shared: Source code, deployment secrets via Actions
Resend
Transactional email delivery
Data shared: Recipient email addresses (customer admins, vendor questionnaire contacts), email bodies (compliance notifications, vendor questionnaire requests, billing notices).
Google (Workspace + Drive via rclone)
Off-site backup destination
Data shared: Encrypted daily Postgres dumps + MinIO blob backups mirrored via rclone. Encryption at rest by Google; Reglyze does not currently apply client-side encryption on top.
Stripe
Payment processing and billing
Data shared: Customer billing details, subscription metadata
NIS2 Article 20(2) Training Certificate — Cyril Poder
Updated 17 May 2026
Reglyze Information Security Policy
Updated 17 May 2026
Reglyze Incident Response Plan
Updated 17 May 2026
Reglyze Business Continuity Plan
Updated 17 May 2026
Reglyze Backup and Disaster Recovery Plan
Updated 17 May 2026
Reglyze Supply Chain Security Policy
Updated 17 May 2026
Reglyze Vulnerability Management Policy
Updated 17 May 2026
Reglyze Effectiveness Testing Policy
Updated 17 May 2026
Reglyze Cybersecurity Training Plan
Updated 17 May 2026
Reglyze Cryptography Policy
Updated 17 May 2026
Reglyze HR Security Policy
Updated 17 May 2026
Reglyze Access Control Policy
Updated 17 May 2026
Reglyze Asset Management Policy
Updated 17 May 2026
MFA & Secured Communications Policy
Updated 17 May 2026
Board/Management Cybersecurity Briefing Deck
Updated 17 May 2026
Most compliance vendors talk about security but never show their own posture. We think that's backwards. If our platform is good enough for our customers, it's good enough for us.
Every score, control, supplier, and policy on this page comes from the same Reglyze platform we sell — rendered in each country's native framework, the way a French, Italian or German buyer actually assesses. There's no separate trust portal, no manually-curated security PDF.
You can verify it yourself: api.reglyze.com/api/public/trust/reglyze