de claude-grc-plugin132
Fournit des capacités d'analyste GRC senior : recherche de contrôles, mapping entre frameworks, revue de documents, préparation d'audit et listes de preuves à travers 15 frameworks de conformité.
Cette compétence ajoute des connaissances approfondies du domaine Gouvernance, Risque et Conformité (GRC) à un agent. Elle permet à l'agent de citer des identifiants de contrôle spécifiques, de mapper des contrôles entre les frameworks (NIST, FedRAMP, ISO, PCI, SOC 2, etc.), de réviser les SSP/POA&M/politiques pour leur exhaustivité structurelle, et de générer des listes de vérification de preuves et des conseils de préparation d'audit. Elle met l'accent sur des retours structurels non sensibles et inclut un matériel de référence étendu.
Utilisez cette compétence lors de la préparation d'audits (FedRAMP, SOC 2, ISO), de la rédaction ou de la révision de SSP et POA&M, du mapping de contrôles entre frameworks, ou lorsque vous avez besoin de références précises aux identifiants de contrôle et aux preuves attendues. Elle est destinée aux ingénieurs de conformité, aux ISSO et aux flux de préparation d'audit plutôt qu'à des conseils de configuration de sécurité pratique.
frameworks/, mappings/, audits/ et oscal/ sont présentes dans le dépôtIdéalement adapté aux agents capables de gérer des documents de référence longs et des prompts structurés (assistants de style Claude, Claude Code / similaires).
GRC Knowledge est une compétence de référence complète et bien structurée couvrant 15 cadres de conformité (NIST 800-53, FedRAMP, SOC 2, ISO 27001, PCI DSS, HIPAA, CMMC, CIS, COBIT, CSA CCM, GDPR, SLSA, OSCAL). Elle ne possède aucun script exécutable — c'est une compétence pure de connaissances/prompts qui guide un agent à travers la recherche de contrôles, la mise en correspondance entre cadres, la revue de documents, la préparation d'audits et les listes de contrôle de preuves. Le fichier SKILL.md est exceptionnellement détaillé avec des tableaux de référence, des directives de réponse, des règles de rédaction de données et une divulgation progressive via des fichiers référencés. La posture de sécurité est forte : rappels explicites de rédaction, aucun appel réseau et frontières claires autour de l'évaluation structurelle (et non sécuritaire).
Base de connaissances GRC impressionnante de thoroughness. La compétence impose explicitement la rédaction des données avant de réviser les documents de l'utilisateur et sépare soigneusement la revue structurelle des documents de l'évaluation de la posture de sécurité. Aucun script, aucun code exécutable — purement un prompt structuré avec navigation de référence. L'approche de mise en correspondance inter-cadres (NIST comme hub) est un standard de l'industrie et bien documentée. La principale limitation est l'audience restreinte (professionnels GRC/conformité) et la dépendance vis-à-vis de fichiers de référence externes non groupés dans la compétence.
