NIS2 en vigueur, DORA applicable au secteur financier, clients qui exigent ISO 27001 : la gouvernance, les risques et la conformité cybersécurité sont devenus des sujets de COMEX. Je les pilote, en mission dédiée ou intégrés à vos programmes de transformation.
Un socle de gouvernance bien construit répond à plusieurs référentiels à la fois. L'enjeu n'est pas d'empiler les conformités, mais de bâtir un système qui tient l'audit et sert réellement l'entreprise.
Analyse d'assujettissement, gouvernance des risques, mesures de sécurité, notification d'incidents, responsabilité des dirigeants. La mise en conformité se pilote comme un programme, avec des jalons et un reporting au COMEX.
Gestion des risques TIC, tests de résilience, encadrement des prestataires critiques, notification des incidents majeurs. Applicable aux entités financières et à leurs fournisseurs de services TIC.
Analyse d'écarts, construction du système de management, déploiement des mesures, préparation et suivi des audits de certification et de surveillance, plans d'action correctifs sur non-conformités.
Plans de continuité d'activité, exercices de gestion de crise cyber, résilience opérationnelle. Parce que la question n'est pas de savoir si un incident surviendra, mais si vous y survivrez en bon ordre.
Assujettissement NIS2 confirmé, exigence ISO 27001 dans un appel d'offres, questionnaire DORA d'un donneur d'ordres : la conformité est devenue une condition d'accès au marché, avec une date.
L'entité acquise ou cédée est dans le champ NIS2 ou DORA : la conformité s'applique au Day 1, pas six mois après. Le workstream GRC doit être dans le plan de séparation ou d'intégration dès le cadrage.
Le rapport est tombé, les non-conformités sont listées, et personne ne pilote la remédiation. Un plan d'action correctif jalonné, suivi et documenté, c'est exactement un exercice de direction de programme.
Dans tous les cas, la réponse est la même : un diagnostic honnête, un plan priorisé, une exécution pilotée.
Évaluation de la maturité au regard du référentiel visé, notamment via des audits techniques ciblés, dont les environnements Microsoft 365. Livrable : une vision chiffrée et priorisée des écarts.
Chaque action reçoit un responsable, une échéance et un critère de preuve. Le plan distingue ce qui protège réellement de ce qui ne sert qu'à cocher des cases.
Comitologie régulière, suivi des actions, préparation des équipes aux audits, exercices de crise. La gouvernance s'installe dans la durée, pas dans un classeur.
Préparation et accompagnement des audits de certification et de surveillance, traitement des non-conformités, plans d'action correctifs suivis jusqu'à leur clôture.
NIS2 concerne les entités essentielles et importantes de 18 secteurs, selon des seuils de taille et de chiffre d'affaires, ainsi que certaines entités désignées quelle que soit leur taille. La première étape est une analyse d'assujettissement : déterminer si vous êtes dans le périmètre, à quel niveau, et ce que cela implique concrètement.
De 6 à 18 mois selon la maturité de départ et le périmètre certifié : analyse d'écarts, construction du SMSI, déploiement des mesures, audit à blanc puis audit de certification. Un plan réaliste et jalonné évite les deux écueils classiques : le projet qui s'enlise et la certification de façade.
NIS2 est une directive européenne imposant des exigences de cybersécurité aux entités essentielles et importantes. DORA est un règlement européen dédié à la résilience opérationnelle numérique du secteur financier. ISO 27001 est une norme internationale certifiable de management de la sécurité de l'information. Elles se recoupent largement : un socle commun bien construit permet de répondre aux trois sans tripler l'effort.
Parce qu'une opération M&A est le moment où l'exposition est maximale : identités en mouvement, équipes réorganisées, SI interconnectés. Et si l'entité acquise ou cédée est dans le périmètre NIS2 ou DORA, la conformité s'applique dès le Day 1. C'est pourquoi la GRC est un workstream intégré à mes programmes de carve-out et d'intégration.
En un appel de 30 minutes, vous savez où vous en êtes, ce qui est prioritaire et à quelles conditions avancer.
→Réserver un appel de qualificationPremier appel gratuit, sans engagement.