RiskReady : plateforme open-source de GRC avec passerelle MCP

Introduction

RiskReady est une plateforme open-source de gestion des risques et de la conformité (GRC) qui intègre une passerelle MCP (Multi-Cloud Proxy) pour connecter directement les outils de conformité à la base de données. Cette plateforme utilise l'IA pour proposer des mutations, mais celles-ci doivent être approuvées par un humain avant d'être exécutées.

Contexte Technique

RiskReady repose sur une architecture qui utilise Docker et Compose v2 pour déployer les conteneurs. La plateforme est compatible avec Linux, macOS et Windows (WSL2). Elle expose 254 outils qui connectent directement à la base de données pour gérer les risques, les contrôles, les politiques, les incidents, les audits, les preuves, l'ITSM et la gouvernance de l'organisation.

La plateforme utilise un mécanisme de mutation qui propose des actions à un humain pour approbation avant de les exécuter. Cela s'applique aux interactions en temps réel, aux exécutions planifiées et aux flux de travail autonomes. Le coût de la plateforme est estimé à 0,19 $ sur Haiku et 10 $ sur Opus, avec une réduction de 96 % des jetons grâce à la recherche d'outils.

Analyse et Implications

La plateforme RiskReady présente plusieurs avantages, notamment la possibilité de connecter directement les outils de conformité à la base de données, ce qui réduit les coûts et améliore l'efficacité. La passerelle MCP permet également de gérer les risques et les contrôles de manière centralisée.

Cependant, la plateforme nécessite une approbation humaine pour chaque action, ce qui peut ralentir le processus de prise de décision. De plus, la plateforme repose sur une architecture complexe qui nécessite des compétences techniques avancées pour la déployer et la gérer.

Perspective

La plateforme RiskReady est une solution prometteuse pour les organisations qui cherchent à gérer leurs risques et leur conformité de manière efficace. Cependant, il est important de surveiller les limites de la plateforme, notamment la nécessité d'une approbation humaine pour chaque action et la complexité de l'architecture.

Les prochaines étapes pour la plateforme pourraient inclure l'intégration de modules supplémentaires pour les organisations plus grandes, tels que la gestion des appétits de risque, la magnitude des pertes (FAIR), la gestion des risques de la chaîne d'approvisionnement, la gestion des vulnérabilités et la posture de sécurité des applications.