Aller au contenu principal
DSI externalisé · GRC · NIS2 · Audit

Un regard extérieur sur votre IT, sans agenda

Schéma directeur, conformité NIS2/DORA/RGPD/ISO 27001, GRC, audit de vulnérabilités, pilotage de projets. On vous aide à décider et à prouver votre conformité - pas à vous vendre quelque chose.

Prendre rendez-vous
Ce que l'on faitFAQ
Vos défis

Vos enjeux, nos solutions

?

Votre enjeu

Vos clients grands comptes exigent des preuves de conformité que vous ne savez pas produire

Notre solution

On répond à leurs questionnaires, met en place les mesures et produit les preuves documentées

1 / 6

En pratique

Ce qu'on fait concrètement

Schéma directeur IT

Votre roadmap IT sur 2-3 ans, alignée sur vos objectifs métier et votre budget réel.

  • Roadmap IT sur 2-3 ans, priorisée par risque et valeur métier
  • Alignée sur vos objectifs de croissance et votre budget réel
  • Arbitrages documentés et présentables à votre direction ou investisseurs

Réponse aux exigences clients

Questionnaires de sécurité grands comptes, conformité sectorielle, documentation des mesures.

  • Réponse aux questionnaires sécurité grands comptes et donneurs d'ordre
  • Mise en place des mesures techniques et organisationnelles demandées
  • Production des preuves documentées pour chaque exigence

Pilotage de projets

Appels d'offres, évaluation de prestataires, pilotage MOA, sans conflit d'intérêt.

  • Rédaction d'appels d'offres et évaluation objective des prestataires
  • Pilotage MOA sans lien financier avec les éditeurs ou intégrateurs
  • Reporting structuré et arbitrages pour la direction

DSI à temps partagé

L'expertise d'un DSI senior, sans le coût d'un temps plein. De quelques jours par mois selon vos besoins.

  • Disponibilité de quelques jours par mois, ajustable selon vos projets
  • Expertise senior immédiatement opérationnelle, sans coût de recrutement
  • Rôle de RSSI externalisé possible selon vos obligations sectorielles

GRC & conformité réglementaire

Pilotage de la gouvernance, des risques et de la conformité sur une plateforme centralisée. NIS2, DORA, RGPD, ISO 27001 et plus de 100 référentiels avec auto-mapping.

  • Plateforme GRC centralisée : registre des risques, plans d'actions, collecte de preuves, tableaux de bord COMEX
  • Support natif de 100+ référentiels (NIS2, DORA, RGPD, ISO 27001, NIST CSF, HDS, ANSSI…) avec auto-mapping entre frameworks
  • NIS2 : accompagnement des entités essentielles et importantes (gestion des risques, notification ANSSI)
  • DORA : résilience opérationnelle numérique pour le secteur financier (risques ICT, gestion des tiers)
  • RGPD : registre des traitements, DPIA, droits des personnes, minimisation des données
  • ISO 27001 : construction du SMSI, déclaration d'applicabilité (SoA), préparation aux audits de certification

Audit de vulnérabilités & sécurité

Analyse de la surface d'exposition de vos systèmes, identification des failles et accompagnement à la remédiation. Nous orientons vers des prestataires PASSI certifiés pour les tests d'intrusion formels.

  • Analyse de vulnérabilités sur vos systèmes, réseaux et applications avec priorisation par niveau de risque réel
  • Rapport détaillé avec recommandations de remédiation et plan d'action priorisé
  • Accompagnement à la remédiation et vérification de la correction des failles identifiées
  • Orientation et coordination avec des prestataires PASSI certifiés pour les tests d'intrusion formels (exigences NIS2, assureurs)
FAQ

Questions fréquentes

À partir de quelle taille une PME a-t-elle besoin d'un DSI externalisé ?

Dès que vos décisions IT ont un impact stratégique sur votre croissance ou votre conformité, en général à partir de 20-30 personnes. Un DSI externalisé, c'est l'expertise sans le salaire complet.

Comment répondre aux exigences de mes clients grands comptes en matière de sécurité ?

On vous aide à répondre aux questionnaires de sécurité, à mettre en place les mesures demandées et à les documenter. Vos clients veulent des preuves : on vous aide à les produire.

Comment choisir entre plusieurs prestataires ou éditeurs sans conflit d'intérêt ?

C'est exactement notre rôle en tant que DSI externe indépendant. On rédige les appels d'offres, on évalue les réponses et on recommande, sans être lié à aucun éditeur ou intégrateur.

Comment prioriser les investissements IT quand le budget est serré ?

On établit une matrice risque/impact avec vous. Ce qui menace la continuité d'activité ou expose à un risque légal passe avant ce qui optimise la productivité. On documente et on argumente.

Faut-il un responsable sécurité dédié ou peut-on l'externaliser ?

Pour une PME, un RSSI externalisé est souvent la bonne réponse : expertise à temps partiel, sans les contraintes d'un recrutement. On peut jouer ce rôle ou vous aider à trouver le bon profil.

NIS2 nous concerne-t-il et qu'est-ce que ça implique concrètement ?

NIS2 élargit considérablement le périmètre des entreprises concernées : secteurs de l'énergie, transport, santé, numérique, administrations… Si vous travaillez avec des entités régulées ou si vous êtes prestataire critique, vous pouvez être impacté. Les obligations couvrent la gestion des risques, les mesures techniques de sécurité, la notification d'incidents à l'ANSSI et la responsabilité de la direction. On vous aide à qualifier votre situation et à construire un plan d'actions.

Quelle différence entre un audit de vulnérabilités et un pentest PASSI ?

Un audit de vulnérabilités identifie et priorise les failles de votre SI sans les exploiter activement. Un test d'intrusion (pentest) simule une attaque réelle pour valider leur exploitabilité - il doit être réalisé par un prestataire qualifié PASSI pour avoir une valeur formelle (assureurs, NIS2). On réalise l'audit de vulnérabilités et l'accompagnement à la remédiation ; pour les pentests formels, on vous oriente vers les bons partenaires.