Notre cabinet de conseil en sécurité des systèmes d'information s'appuie ainsi sur une méthodologie d'accompagnement éprouvée, adaptable à différents cadres réglementaires ou normatifs, afin de structurer efficacement la démarche de conformité et de préparer, lorsque nos clients le souhaitent, l'obtention d'une certification dans les meilleures conditions.
Nous vous accompagnons dans toutes les étapes de la mise en conformité pendant une période estimée entre 6 et 12 mois :
Analyse d'écart initiale avec élaboration du plan d'action
Élaboration des règles de sécurité et gouvernance (PSSI, analyse de risques…)
Rédaction des procédures opérationnelles
Formalisation des preuves de conformité
Audit final de validation
Certification internationale du Système de Management de la Sécurité de l'Information.
Étapes clés
Certification obligatoire pour les fournisseurs de l'industrie automobile traitant des données sensibles.
Étapes clés
Certification française pour l'hébergement de données de santé à caractère personnel.
Étapes clés
Règlement européen sur la résilience opérationnelle numérique du secteur financier.
Étapes clés
La certification n'est pas une fin en soi, c'est un levier commercial. Une certification ouvre la porte à des marchés et donneurs d'ordre importants.
Engager une certification permet également de créer une dynamique interne bénéfique pour assurer une mise en conformité règlementaire continue.
Contenu du livrable
Identification structurée des scénarios de risques cyber selon la méthode de référence ANSSI. Le rapport couvre la cartographie des valeurs métier, l'identification des sources de risques, la modélisation des scénarios stratégiques et opérationnels, et le plan de traitement du risque.
Exemples de cas d'usage
Homologation RGS, conformité NIS2, préparation à la certification ISO 27001, réponse aux exigences des donneurs d'ordre OIV/OSE, appels d'offres publics.
Contenu du livrable
Politique de Sécurité des Systèmes d'Information définissant les règles, responsabilités et engagements de l'organisation en matière de protection de l'information. Adaptée au contexte métier, elle couvre la gouvernance, la gestion des accès, la continuité et la gestion des incidents.
Exemples de cas d'usage
Prérequis ISO 27001 (contrôle A.5.1), conformité DORA, réponse aux questionnaires de qualification fournisseurs, documentation de maturité sécurité à destination des clients et partenaires.
Contenu du livrable
Plan de Continuité d'Activité documentant les procédures de maintien et de reprise des processus critiques en situation de crise. Inclut l'analyse d'impact métier (BIA), les seuils RTO/RPO, les stratégies de continuité et les procédures de test.
Exemples de cas d'usage
Exigence réglementaire DORA (résilience opérationnelle numérique), conformité ISO 22301, conditions d'éligibilité à certaines couvertures d'assurance cyber, contractualisation avec des donneurs d'ordre exigeants.
Contenu du livrable
Simulation d'un scénario de crise cyber (ransomware, intrusion, fuite de données) impliquant les équipes dirigeantes, techniques et métier. Le livrable comprend le scénario de jeu, le compte-rendu d'exercice et le plan d'amélioration.
Exemples de cas d'usage
Validation opérationnelle du PCA, exigence NIS2 (article 21), tests de résilience DORA, préparation aux audits de certification, sensibilisation des instances dirigeantes.
Contenu du livrable
Registre des activités de traitement conforme à l'article 30 du RGPD, documentant les finalités, les bases légales, les catégories de données, les durées de conservation et les transferts hors Union européenne.
Exemples de cas d'usage
Obligation légale pour tout responsable de traitement, préparation aux contrôles CNIL, réponse aux demandes d'exercice des droits, gestion contractuelle des sous-traitants.
Contenu du livrable
Procédure formalisée de détection, qualification, escalade et notification des incidents de sécurité. Intègre les obligations légales de signalement à l'ANSSI, à la CNIL et aux autorités sectorielles, avec les délais réglementaires applicables.
Exemples de cas d'usage
Conformité NIS2 (notification 24h/72h), reporting DORA, obligations RGPD (article 33), prérequis ISO 27001 (contrôle A.16), exigences contractuelles clients et partenaires.
Contenu du livrable
Inventaire structuré des prestataires et sous-traitants ayant accès aux actifs ou aux données de l'organisation, accompagné de la classification du risque tiers, de l'évaluation des mesures de sécurité et des clauses contractuelles applicables.
Exemples de cas d'usage
Gestion des tiers ICT critiques (DORA), cartographie des risques fournisseurs (ISO 27001 A.15), conformité RGPD pour les sous-traitants, qualification des prestataires dans le cadre de NIS2.
Logique métier
La conformité n'est pas une fin en soi — c'est un levier commercial. Une certification ISO 27001 ou TISAX ouvre des marchés fermés. Un PCA solide rassure les assureurs et réduit les primes. Une conformité DORA documentée évite les sanctions et les pertes de contrats.
Un échange de 30 minutes suffit à identifier le bon niveau d'engagement et le chemin le plus direct vers votre objectif.