Des contrôles qui survivent à l’audit et au prochain attaquant.
Préparation et programmes continus pour ISO 27001, SOC 2, NIS 2, DORA et RGPD — avec une direction sécurité à temps partagé — des preuves plutôt que du cochage de cases.
- Praticiens seniors uniquement.
- Indépendant des éditeurs.
- Reporting fondé sur des preuves.
Réalisé au Maroc
Un seul jeu de contrôles pour la loi 05-20 et vos clients.
Notre équipe basée à Casablanca bâtit une gouvernance et des contrôles qui répondent à la loi marocaine de cybersécurité (loi 05-20) et aux attentes de la DGSSI, et rattache le même jeu de contrôles aux référentiels ISO 27001 et SOC 2 dont s’enquièrent vos clients internationaux — pour qu’un seul programme satisfasse le régulateur local et un acheteur mondial.
Au Maroc, la GRC a généralement deux publics à la fois : les attentes de la DGSSI et de Bank Al-Maghrib au pays, et la preuve ISO 27001 ou SOC 2 qu’exigent vos clients internationaux à l’étranger. Menés séparément, ils dupliquent le travail ; menés en un seul jeu de contrôles, ils répondent aux deux. La loi 05-20 a posé le socle de cybersécurité pour les systèmes sensibles, et la loi 09-08 celui de la protection des données — aucun ne se satisfait d’un certificat seul.
Notre équipe basée à Casablanca bâtit un jeu de contrôles unique et le cartographie sur la loi 05-20, les attentes de la DGSSI et les référentiels internationaux qu’exigent vos acheteurs — pour qu’un seul programme satisfasse le régulateur local et un client mondial à la fois. Lorsque c’est utile, une direction sécurité à temps partagé le porte. Nous fournissons la préparation et les preuves ; l’interprétation juridique reste à votre conseil.
Là où nous intervenons
ISO 27001 et SOC 2 pour les exportateurs
- Les certifications qu’exigent vos clients internationaux, bâties sur des contrôles qui tiennent à la fois face à un auditeur étranger et à la DGSSI — pas un classeur assemblé avant l’audit.
Rattachés à la loi 05-20 et à la DGSSI
- Vos contrôles de sécurité alignés sur la loi marocaine de cybersécurité et les attentes de la DGSSI pour les systèmes sensibles, attestés une fois et réutilisés pour vos référentiels internationaux.
Protection des données (loi 09-08 / CNDP)
- Le volet gouvernance de la loi 09-08 — inventaire des traitements, responsabilité et formalités CNDP — intégré au même programme plutôt que mené à part.
Direction sécurité à temps partagé
- Une direction sécurité senior locale pour porter le programme, le risque fournisseurs et les relations régulateur et clients sans recrutement à plein temps.
Quand les équipes marocaines nous appellent
Les moments où les organisations marocaines nous sollicitent pour la GRC :
- Un client international ne signera pas sans ISO 27001 ou un rapport SOC 2.
- Les attentes de la DGSSI ou une directive de Bank Al-Maghrib s’appliquent à vos systèmes.
- Vous répondez aux régulateurs locaux et aux clients étrangers à la fois et l’effort dupliqué est devenu le problème.
- Vous avez besoin d’une direction sécurité senior, mais pas encore d’un CISO à plein temps.
Ce que vous recevez
Le dossier de mission HackingByte
Chaque service se conclut par les trois mêmes livrables connectés — pour qu’exploitation, lacune de contrôle et impact métier racontent une seule histoire.
-
Rapport technique
Constats reproductibles, preuves et remédiation par constat, rédigés pour vos équipes techniques.
-
Synthèse exécutive des risques
Les mêmes constats en risque métier pour la direction et le conseil — sans jargon, sans tableaux CVSS.
-
Plan d’action
Priorisé, avec un responsable désigné, et calibré sur ce que votre équipe peut réellement livrer.
Calendrier
À quoi ressemble une mission type.
Le travail GRC prend l’une de deux formes. Un projet de préparation va jusqu’à un jalon défini — un diagnostic de votre situation, une cartographie des contrôles et des preuves, et un plan priorisé jusqu’à l’état prêt — généralement sur quelques semaines à quelques mois selon le nombre de référentiels concernés et la part de modèle opérationnel déjà en place. Un programme continu prend ensuite la forme d’une cadence régulière : maintenir les preuves, tenir le registre des risques à jour et rendre compte au conseil, avec un RSSI à temps partagé comme arrangement mensuel défini.
Nous fixons la forme et le calendrier autour de votre véritable échéance — le questionnaire d’un client, une date d’audit ou l’horloge d’un régulateur — et en convenons au cadrage avant tout engagement.
En quoi c’est différent
-
Éclairé par l’offensif — la même équipe senior qui teste vos défenses conseille sur vos contrôles, de sorte que le travail GRC est ancré dans la façon dont les attaques réussissent réellement, et pas seulement dans la lecture d’une clause.
-
Indépendant de l’audit — nous vous préparons et travaillons aux côtés de votre auditeur ou organisme de certification ; rester hors du fauteuil de l’auditeur est l’intérêt même, nos conseils sur ce qu’il faut corriger sont donc sans parti pris.
-
Conçu pour être opéré — les contrôles sont pensés pour être tenus par votre équipe et maintenus à jour, avec des preuves qui servent aussi de réponse quand un client ou un régulateur demande comment le risque est géré.
Pourquoi la GRC échoue
Les référentiels ne comptent que lorsqu’ils se traduisent en propriété, preuves et décisions.
Un référentiel est une liste de choses qui devraient être vraies. Il ne les rend pas vraies. L’écart entre « nous avons un contrôle » et « ce contrôle fonctionne, quelqu’un en est responsable et nous pouvons le prouver n’importe quel jour » est l’endroit où vivent discrètement la plupart des programmes — et c’est précisément cet écart qu’exposent l’échantillonnage d’un auditeur, le questionnaire d’un client grand compte ou un incident réel.
Trois choses comblent cet écart, et aucune n’est un document. Une propriété claire, pour que chaque contrôle ait un nom rattaché et une personne qui remarquerait s’il cessait de fonctionner. Un modèle de preuve qui fonctionne, pour que la preuve soit un sous-produit de la manière dont l’équipe opère plutôt qu’une course avant l’audit. Et une priorisation honnête, pour que le temps limité de votre équipe aille aux risques qui comptent plutôt qu’aux cases les plus faciles à cocher. Nous construisons ces trois éléments d’abord ; l’ensemble de politiques en découle, et non l’inverse.
Ce que nous aidons à construire
Le modèle opérationnel sous le certificat.
La certification est un résultat. Ce qui la produit — et survit entre deux audits — est un modèle opérationnel. Nous vous aidons à construire les éléments qui le rendent réel :
- Modèle de gouvernance opérationnel — qui décide, qui détient le risque, et comment les questions de sécurité atteignent les personnes qui peuvent y répondre, à une cadence qui tourne sans qu’on ait à la relancer.
- Propriété des contrôles — chaque contrôle rattaché à un responsable nommé et au processus dans lequel il vit, pour que rien ne soit « l’affaire de tous » et donc de personne.
- Modèle de preuve — des preuves générées comme sous-produit du travail normal (tickets, revues, pipelines, journaux) plutôt que reconstituées sous la pression de l’échéance.
- Registre des risques et logique de traitement — un registre qui reflète l’exposition réelle, avec des décisions de traitement consignées, attribuées et réexaminées plutôt qu’écrites une fois puis oubliées.
- Reporting exécutif et au conseil — la posture de sécurité traduite dans les quelques chiffres et décisions dont la direction a réellement besoin, dans un langage sur lequel un conseil peut agir.
- Cartographie des référentiels — un seul jeu de contrôles cartographié sur ISO 27001, SOC 2, NIS 2, le RGPD et DORA, pour que chaque nouvelle obligation devienne un exercice de preuve plutôt qu’une reconstruction.
Comment nous travaillons
Diagnostiquer, relier aux systèmes réels, prioriser par le risque métier.
Chaque mission se déroule de la même manière, calibrée sur votre situation actuelle :
Diagnostiquer l’état actuel. Nous évaluons ce que vous avez réellement — contrôles, preuves, propriété et obligations en présence — et renvoyons une image honnête de la distance à parcourir.
Relier les obligations aux systèmes et processus réels. Nous connectons chaque exigence au système, à l’équipe et au flux de travail concrets qui la satisfont, pour que le programme décrive votre entreprise plutôt qu’une entreprise modèle.
Prioriser les écarts par le risque métier. Nous classons les écarts selon ce qu’ils exposent réellement, pour qu’un budget contraint referme d’abord les risques qui comptent le plus, avant les écarts cosmétiques.
Mettre en place les routines de preuve. Nous installons la manière dont la preuve est produite et tenue à jour, puis montrons à votre équipe comment la faire tourner, pour que rien n’ait à être reconstruit avant chaque audit.
Préparer la direction aux échanges. Nous préparons vos dirigeants aux conversations avec l’auditeur, le client et le régulateur — ce qui sera demandé, ce que disent les preuves, et où se trouvent les réserves honnêtes.
Où se situe la limite
Ce que nous sommes, et ce que nous ne sommes pas.
Nous vous rendons prêts et nous vous maintenons prêts. Nous ne sommes pas un organisme de certification et nous ne délivrons pas de certificats — pour ISO 27001, cela relève d’un organisme de certification accrédité, et un rapport SOC 2 est émis par un cabinet de CPA agréé. Rester indépendant de l’audit est précisément l’intérêt : c’est ce qui nous permet d’être francs avec vous sur votre situation réelle.
Nous ne fournissons pas non plus de conseil juridique. Lorsqu’un référentiel soulève une question juridique — comment une obligation doit être interprétée, ce qu’un contrat doit stipuler — cela relève de votre conseil juridique, et nous l’appuyons plutôt que de prétendre le remplacer. Ce que nous faisons, c’est rendre opérationnelles la sécurité et la conformité : transformer les obligations en contrôles, les contrôles en preuves, et les preuves en décisions que votre direction peut assumer.
Cadrage et tarification
Au forfait, par tranche de périmètre — pas de taux journaliers.
Nous facturons le travail GRC au forfait, par tranche selon le périmètre — le nombre de référentiels, la taille du parc, et qu’il s’agisse d’un projet de préparation ou d’un programme continu — et communiquons la tranche au cadrage avant tout engagement. Un RSSI à temps partagé est un arrangement mensuel défini, pas un taux journalier ouvert.
Nous ne vendons aucun outil et ne percevons aucune commission d’éditeur, de sorte que le programme est bâti autour de vos obligations plutôt que d’un produit que nous chercherions à placer. Si vous travaillez avec un budget, indiquez-le au cadrage et nous serons clairs sur ce qu’il couvre.
Questions fréquentes
Un seul programme peut-il couvrir la loi 05-20, la DGSSI et ISO 27001/SOC 2 ?
- En grande partie, oui — leurs socles de sécurité se recoupent. Nous bâtissons un jeu de contrôles unique et le cartographions sur le régime local et vos référentiels internationaux, pour attester une fois et répondre à la fois à la DGSSI et à un auditeur étranger.
Nous certifiez-vous ?
- Non — la certification est délivrée par un organisme accrédité. Nous vous préparons réellement, menons l’audit interne et vous accompagnons lors de l’audit externe. Nous ne détenons aucun statut d’organisme de certification et n’en revendiquons aucun.
Gérez-vous aussi la protection des données loi 09-08 ?
- Oui — la gouvernance et les formalités CNDP de la loi 09-08 s’intègrent au même programme. L’interprétation juridique reste à votre conseil.
Est-ce un conseil juridique ?
- Non. Nous rendons opérationnelles la sécurité et la gouvernance qu’exigent ces régimes et produisons les preuves ; la façon dont chacun s’applique à votre organisation est une détermination de votre conseil.
Indiquez-nous le référentiel et l’échéance — nous cadrerons une préparation qui tient face à l’audit et à l’attaquant.
Chaque mission se conclut par les trois mêmes livrables connectés, et les plateformes continues veillent entre les missions. Plateformes de surveillance continue.