GRC · NIS2 · DORA · ISO 27001 · ISO 22301

La conformité cyber n'attend pas.
Surtout pas pendant une transformation.

NIS2 en vigueur, DORA applicable au secteur financier, clients qui exigent ISO 27001 : la gouvernance, les risques et la conformité cybersécurité sont devenus des sujets de COMEX. Je les pilote, en mission dédiée ou intégrés à vos programmes de transformation.

DIAGNOSTIC
Écarts et exposition
PLAN
Actions priorisées
DÉPLOIEMENT
Mesures et gouvernance
AUDIT
Certification, contrôle
CONTINU
Amélioration, veille
Les référentiels

Quatre cadres, une seule démarche.

Un socle de gouvernance bien construit répond à plusieurs référentiels à la fois. L'enjeu n'est pas d'empiler les conformités, mais de bâtir un système qui tient l'audit et sert réellement l'entreprise.

NIS2

Directive européenne

Analyse d'assujettissement, gouvernance des risques, mesures de sécurité, notification d'incidents, responsabilité des dirigeants. La mise en conformité se pilote comme un programme, avec des jalons et un reporting au COMEX.

DORA

Résilience du secteur financier

Gestion des risques TIC, tests de résilience, encadrement des prestataires critiques, notification des incidents majeurs. Applicable aux entités financières et à leurs fournisseurs de services TIC.

ISO 27001

Certification du SMSI

Analyse d'écarts, construction du système de management, déploiement des mesures, préparation et suivi des audits de certification et de surveillance, plans d'action correctifs sur non-conformités.

ISO 22301

Continuité et crise

Plans de continuité d'activité, exercices de gestion de crise cyber, résilience opérationnelle. Parce que la question n'est pas de savoir si un incident surviendra, mais si vous y survivrez en bon ordre.

Les situations types

Trois raisons d'agir maintenant.

Le régulateur ou un client vous a mis une échéance.

Assujettissement NIS2 confirmé, exigence ISO 27001 dans un appel d'offres, questionnaire DORA d'un donneur d'ordres : la conformité est devenue une condition d'accès au marché, avec une date.

Votre opération M&A embarque un périmètre régulé.

L'entité acquise ou cédée est dans le champ NIS2 ou DORA : la conformité s'applique au Day 1, pas six mois après. Le workstream GRC doit être dans le plan de séparation ou d'intégration dès le cadrage.

Un audit a laissé des non-conformités sans plan.

Le rapport est tombé, les non-conformités sont listées, et personne ne pilote la remédiation. Un plan d'action correctif jalonné, suivi et documenté, c'est exactement un exercice de direction de programme.

Dans tous les cas, la réponse est la même : un diagnostic honnête, un plan priorisé, une exécution pilotée.


Parlons de votre situation
La méthode

Du diagnostic à l'audit, sans conformité de façade.

1

Diagnostic et analyse d'écarts

Évaluation de la maturité au regard du référentiel visé, notamment via des audits techniques ciblés, dont les environnements Microsoft 365. Livrable : une vision chiffrée et priorisée des écarts.

2

Plan d'action priorisé et validé au COMEX

Chaque action reçoit un responsable, une échéance et un critère de preuve. Le plan distingue ce qui protège réellement de ce qui ne sert qu'à cocher des cases.

3

Déploiement piloté par jalons

Comitologie régulière, suivi des actions, préparation des équipes aux audits, exercices de crise. La gouvernance s'installe dans la durée, pas dans un classeur.

4

Audit, certification et amélioration continue

Préparation et accompagnement des audits de certification et de surveillance, traitement des non-conformités, plans d'action correctifs suivis jusqu'à leur clôture.

Références : missions ISO 27001 menées jusqu'à l'audit de certification, plans d'action correctifs pilotés en contexte d'audit de surveillance, audits Microsoft 365 pour ETI et foncières cotées. Voir les résultats
Questions fréquentes

Ce qu'on me demande sur la conformité cyber.

Mon entreprise est-elle concernée par NIS2 ?

NIS2 concerne les entités essentielles et importantes de 18 secteurs, selon des seuils de taille et de chiffre d'affaires, ainsi que certaines entités désignées quelle que soit leur taille. La première étape est une analyse d'assujettissement : déterminer si vous êtes dans le périmètre, à quel niveau, et ce que cela implique concrètement.

Combien de temps prend une certification ISO 27001 ?

De 6 à 18 mois selon la maturité de départ et le périmètre certifié : analyse d'écarts, construction du SMSI, déploiement des mesures, audit à blanc puis audit de certification. Un plan réaliste et jalonné évite les deux écueils classiques : le projet qui s'enlise et la certification de façade.

Quelle est la différence entre NIS2, DORA et ISO 27001 ?

NIS2 est une directive européenne imposant des exigences de cybersécurité aux entités essentielles et importantes. DORA est un règlement européen dédié à la résilience opérationnelle numérique du secteur financier. ISO 27001 est une norme internationale certifiable de management de la sécurité de l'information. Elles se recoupent largement : un socle commun bien construit permet de répondre aux trois sans tripler l'effort.

Pourquoi la GRC cyber est-elle critique en contexte M&A ?

Parce qu'une opération M&A est le moment où l'exposition est maximale : identités en mouvement, équipes réorganisées, SI interconnectés. Et si l'entité acquise ou cédée est dans le périmètre NIS2 ou DORA, la conformité s'applique dès le Day 1. C'est pourquoi la GRC est un workstream intégré à mes programmes de carve-out et d'intégration.

Votre conformité mérite un pilotage à la hauteur.

En un appel de 30 minutes, vous savez où vous en êtes, ce qui est prioritaire et à quelles conditions avancer.

Réserver un appel de qualification

Premier appel gratuit, sans engagement.