Aller au contenu
Cadrage

Choisir la région et la langue

Des contrôles qui survivent à l’audit et au prochain attaquant.

Préparation et programmes continus pour ISO 27001, SOC 2, NIS 2, DORA et RGPD — avec une direction sécurité à temps partagé — des preuves plutôt que du cochage de cases.

Demander un échange de cadrage Voir notre méthode
  • Praticiens seniors uniquement.
  • Indépendant des éditeurs.
  • Reporting fondé sur des preuves.

Le travail de conformité dérape dans deux directions : un classeur de politiques que personne n’applique, ou un jeu de contrôles bâti uniquement pour passer un audit, que l’attaquant traverse sans effort. Nous construisons l’autre chose — des contrôles qui tiennent en pratique et restent à jour à mesure que l’activité et la réglementation évoluent.

Parce que nous menons aussi de la sécurité offensive, notre conseil GRC est éclairé par la façon dont les contrôles échouent réellement sous pression, pas seulement par la description d’un référentiel. Nous sommes indépendants de tout organisme de certification — nous ne réalisons pas l’audit, nos recommandations sont donc sans parti pris.

Ce sur quoi nous conseillons

Préparation ISO 27001 & SOC 2

Évaluation d’écarts, conception du SMSI et des contrôles, preuves et politiques, et préparation à l’audit — rattachées à l’Annexe A et aux Trust Services Criteria, conçues pour que les contrôles fonctionnent, pas seulement figurent sur papier.

Préparation NIS 2 & DORA

Déterminer les obligations applicables, les mesures de gouvernance et de gestion des risques, la préparation au signalement d’incidents et — pour DORA — le risque lié aux tiers TIC et le programme de tests, y compris les tests guidés par la menace si requis.

Conseil RGPD

Registres des traitements, base légale et posture de consentement, protection des données dès la conception, gestion des sous-traitants et mécanismes de transfert — des preuves de préparation concrètes, l’interprétation étant laissée à votre conseil.

RSSI à temps partagé / forfait conseil

Une direction sécurité senior sans recrutement à temps plein — gouvernance du risque, feuille de route, reporting au conseil et supervision de la sécurité des fournisseurs, calibrés sur la réalité de votre programme.

Périmètre. Nous fournissons des preuves de conformité et de préparation, pas un conseil juridique — l’interprétation de la loi est laissée à votre conseil. L’accréditation est honnête : nous ne détenons aucune autorité d’organisme de certification et n’en revendiquons aucune.

Quand on nous appelle

Les moments les plus fréquents où les équipes nous sollicitent pour du conseil GRC :

  • Un audit ISO 27001 ou SOC 2 est au calendrier.
  • Un client ou un référentiel exige la preuve d’un programme de sécurité géré.
  • Un périmètre NIS 2 ou DORA est en cours de cadrage et les obligations doivent être traduites en travail.
  • L’équipe a besoin d’une direction sécurité senior sans encore recruter de RSSI à temps plein.

Ce que vous recevez

Le dossier de mission HackingByte

Chaque service se conclut par les trois mêmes livrables connectés — pour qu’exploitation, lacune de contrôle et impact métier racontent une seule histoire.

  1. Rapport technique

    Constats reproductibles, preuves et remédiation par constat, rédigés pour vos équipes techniques.

  2. Synthèse exécutive des risques

    Les mêmes constats en risque métier pour la direction et le conseil — sans jargon, sans tableaux CVSS.

  3. Plan d’action

    Priorisé, avec un responsable désigné, et calibré sur ce que votre équipe peut réellement livrer.

Calendrier

À quoi ressemble une mission type.

Le travail GRC prend l’une de deux formes. Un projet de préparation va jusqu’à un jalon défini — un diagnostic de votre situation, une cartographie des contrôles et des preuves, et un plan priorisé jusqu’à l’état prêt — généralement sur quelques semaines à quelques mois selon le nombre de référentiels concernés et la part de modèle opérationnel déjà en place. Un programme continu prend ensuite la forme d’une cadence régulière : maintenir les preuves, tenir le registre des risques à jour et rendre compte au conseil, avec un RSSI à temps partagé comme arrangement mensuel défini.

Nous fixons la forme et le calendrier autour de votre véritable échéance — le questionnaire d’un client, une date d’audit ou l’horloge d’un régulateur — et en convenons au cadrage avant tout engagement.

En quoi c’est différent

  1. Éclairé par l’offensif — la même équipe senior qui teste vos défenses conseille sur vos contrôles, de sorte que le travail GRC est ancré dans la façon dont les attaques réussissent réellement, et pas seulement dans la lecture d’une clause.

  2. Indépendant de l’audit — nous vous préparons et travaillons aux côtés de votre auditeur ou organisme de certification ; rester hors du fauteuil de l’auditeur est l’intérêt même, nos conseils sur ce qu’il faut corriger sont donc sans parti pris.

  3. Conçu pour être opéré — les contrôles sont pensés pour être tenus par votre équipe et maintenus à jour, avec des preuves qui servent aussi de réponse quand un client ou un régulateur demande comment le risque est géré.

Pourquoi la GRC échoue

Les référentiels ne comptent que lorsqu’ils se traduisent en propriété, preuves et décisions.

Un référentiel est une liste de choses qui devraient être vraies. Il ne les rend pas vraies. L’écart entre « nous avons un contrôle » et « ce contrôle fonctionne, quelqu’un en est responsable et nous pouvons le prouver n’importe quel jour » est l’endroit où vivent discrètement la plupart des programmes — et c’est précisément cet écart qu’exposent l’échantillonnage d’un auditeur, le questionnaire d’un client grand compte ou un incident réel.

Trois choses comblent cet écart, et aucune n’est un document. Une propriété claire, pour que chaque contrôle ait un nom rattaché et une personne qui remarquerait s’il cessait de fonctionner. Un modèle de preuve qui fonctionne, pour que la preuve soit un sous-produit de la manière dont l’équipe opère plutôt qu’une course avant l’audit. Et une priorisation honnête, pour que le temps limité de votre équipe aille aux risques qui comptent plutôt qu’aux cases les plus faciles à cocher. Nous construisons ces trois éléments d’abord ; l’ensemble de politiques en découle, et non l’inverse.

Ce que nous aidons à construire

Le modèle opérationnel sous le certificat.

La certification est un résultat. Ce qui la produit — et survit entre deux audits — est un modèle opérationnel. Nous vous aidons à construire les éléments qui le rendent réel :

  • Modèle de gouvernance opérationnel — qui décide, qui détient le risque, et comment les questions de sécurité atteignent les personnes qui peuvent y répondre, à une cadence qui tourne sans qu’on ait à la relancer.
  • Propriété des contrôles — chaque contrôle rattaché à un responsable nommé et au processus dans lequel il vit, pour que rien ne soit « l’affaire de tous » et donc de personne.
  • Modèle de preuve — des preuves générées comme sous-produit du travail normal (tickets, revues, pipelines, journaux) plutôt que reconstituées sous la pression de l’échéance.
  • Registre des risques et logique de traitement — un registre qui reflète l’exposition réelle, avec des décisions de traitement consignées, attribuées et réexaminées plutôt qu’écrites une fois puis oubliées.
  • Reporting exécutif et au conseil — la posture de sécurité traduite dans les quelques chiffres et décisions dont la direction a réellement besoin, dans un langage sur lequel un conseil peut agir.
  • Cartographie des référentiels — un seul jeu de contrôles cartographié sur ISO 27001, SOC 2, NIS 2, le RGPD et DORA, pour que chaque nouvelle obligation devienne un exercice de preuve plutôt qu’une reconstruction.

Comment nous travaillons

Diagnostiquer, relier aux systèmes réels, prioriser par le risque métier.

Chaque mission se déroule de la même manière, calibrée sur votre situation actuelle :

Diagnostiquer l’état actuel. Nous évaluons ce que vous avez réellement — contrôles, preuves, propriété et obligations en présence — et renvoyons une image honnête de la distance à parcourir.

Relier les obligations aux systèmes et processus réels. Nous connectons chaque exigence au système, à l’équipe et au flux de travail concrets qui la satisfont, pour que le programme décrive votre entreprise plutôt qu’une entreprise modèle.

Prioriser les écarts par le risque métier. Nous classons les écarts selon ce qu’ils exposent réellement, pour qu’un budget contraint referme d’abord les risques qui comptent le plus, avant les écarts cosmétiques.

Mettre en place les routines de preuve. Nous installons la manière dont la preuve est produite et tenue à jour, puis montrons à votre équipe comment la faire tourner, pour que rien n’ait à être reconstruit avant chaque audit.

Préparer la direction aux échanges. Nous préparons vos dirigeants aux conversations avec l’auditeur, le client et le régulateur — ce qui sera demandé, ce que disent les preuves, et où se trouvent les réserves honnêtes.

Voir notre méthode

Où se situe la limite

Ce que nous sommes, et ce que nous ne sommes pas.

Nous vous rendons prêts et nous vous maintenons prêts. Nous ne sommes pas un organisme de certification et nous ne délivrons pas de certificats — pour ISO 27001, cela relève d’un organisme de certification accrédité, et un rapport SOC 2 est émis par un cabinet de CPA agréé. Rester indépendant de l’audit est précisément l’intérêt : c’est ce qui nous permet d’être francs avec vous sur votre situation réelle.

Nous ne fournissons pas non plus de conseil juridique. Lorsqu’un référentiel soulève une question juridique — comment une obligation doit être interprétée, ce qu’un contrat doit stipuler — cela relève de votre conseil juridique, et nous l’appuyons plutôt que de prétendre le remplacer. Ce que nous faisons, c’est rendre opérationnelles la sécurité et la conformité : transformer les obligations en contrôles, les contrôles en preuves, et les preuves en décisions que votre direction peut assumer.

Cadrage et tarification

Au forfait, par tranche de périmètre — pas de taux journaliers.

Nous facturons le travail GRC au forfait, par tranche selon le périmètre — le nombre de référentiels, la taille du parc, et qu’il s’agisse d’un projet de préparation ou d’un programme continu — et communiquons la tranche au cadrage avant tout engagement. Un RSSI à temps partagé est un arrangement mensuel défini, pas un taux journalier ouvert.

Nous ne vendons aucun outil et ne percevons aucune commission d’éditeur, de sorte que le programme est bâti autour de vos obligations plutôt que d’un produit que nous chercherions à placer. Si vous travaillez avec un budget, indiquez-le au cadrage et nous serons clairs sur ce qu’il couvre.

Questions fréquentes

Réalisez-vous l’audit de certification ?

Non — nous vous préparons et travaillons aux côtés de votre auditeur ou organisme de certification. Rester indépendant de l’audit est l’intérêt même : nos recommandations ne sont pas contraintes par ce que nous aurions ensuite à valider.

S’agit-il d’un conseil juridique ?

Non. Nous fournissons des preuves de conformité et de préparation ; l’interprétation de la loi (y compris RGPD et loi 09-08) est laissée à votre conseil.

Pouvez-vous couvrir plusieurs référentiels à la fois ?

Oui — une grande partie du travail de contrôle est partagée entre ISO 27001, SOC 2, NIS 2, DORA et RGPD. Nous cartographions une fois et réutilisons les preuves sur les référentiels que vos clients et régulateurs demandent.

Proposez-vous un accompagnement continu, pas seulement ponctuel ?

Oui — un forfait RSSI à temps partagé / conseil vous apporte une direction sécurité senior et maintient le programme à jour entre les audits.

Préparation réglementaire

Une préparation propre à une réglementation

RGPD, DORA et NIS 2 sont les régimes que notre conseil GRC prépare le plus souvent. Chacun dispose d’une page de préparation dédiée, plus détaillée que l’aperçu ci-dessus :

Indiquez-nous le référentiel et l’échéance — nous cadrerons une préparation qui tient face à l’audit et à l’attaquant.

Chaque mission se conclut par les trois mêmes livrables connectés, et les plateformes continues veillent entre les missions. Plateformes de surveillance continue.

Demander un échange de cadrage