Mise en conformité NIS2, DORA et ISO 27001

NIS2, DORA, ISO 27001 : nous cartographions vos écarts, priorisons les actions et vous accompagnons jusqu'à la certification ou la conformité réglementaire.

La promesse

NIS2, DORA, ISO 27001, RGPD : les exigences se multiplient et les échéances se rapprochent. Notre rôle est de transformer une contrainte réglementaire en trajectoire claire, sans jargon et avec des livrables exploitables.

Nous cartographions vos écarts, priorisons les actions et vous accompagnons jusqu'à la certification ou la conformité réglementaire. L'objectif : une mise en conformité qui tient dans la durée, pas un classeur posé sur une étagère.

À chaque étape, vous gardez la main : nous documentons les choix, formons vos équipes et évitons l'effet boîte noire. La conformité doit devenir un réflexe interne, pas une dépendance permanente à un prestataire. Et parce que les référentiels évoluent, nous restons à vos côtés au-delà du certificat.

Qui est concerné ?

  • Entités désormais concernées par NIS2 (entités essentielles et importantes), dont les collectivités.
  • Acteurs du secteur financier soumis à DORA.
  • PME et ETI engagées dans une démarche de certification ISO 27001.
  • Organisations qui doivent répondre aux exigences sécurité de leurs clients pour décrocher ou conserver des contrats.

Le déroulé de la mise en conformité

La démarche s'appuie sur EBIOS Risk Manager pour l'analyse de risque et sur les standards de l'ANSSI. Notre approche par les risques couvre les cinq fonctions du cycle de sécurité : Identifier, Protéger, Détecter, Répondre, Récupérer. Elle se déroule en quatre temps :

Analyse d'écart

  • Mesure de la distance entre vos pratiques et le référentiel visé (NIS2, DORA, ISO 27001)
Rapport d'analyse d'écart

Plan de remédiation

  • Actions priorisées par impact et par effort
  • Séquencement sur 6 à 18 mois
Plan de remédiation priorisé

Accompagnement

  • Création du corpus documentaire (politiques, procédures)
  • Mise en œuvre des mesures
  • Montée en compétence des équipes
Corpus documentaire sécurité

Préparation à l'audit

  • Revue de conformité avant la certification ou le contrôle réglementaire
Préparation à la certification

Les livrables

Chaque étape produit son livrable (détaillés ci-dessus). Le fil conducteur : un plan de remédiation priorisé et un corpus documentaire prêts pour l'audit de certification ou le contrôle réglementaire.

Les référentiels mobilisés

NIS2DORAISO 27001ISO 27002RGPDEBIOS Risk ManagerHDS

Exemples de missions

Parmi nos références : un audit de conformité ISO 27001 dans le secteur maritime ; des conseils HDS, NIS2 et ISO 27001 pour un établissement hospitalier ; des réponses aux exigences SSI et DORA dans la fintech ; une mise en conformité NIS2 dans le secteur de l'énergie. Noms des clients confidentiels, références détaillées communiquées sur demande.

Questions fréquentes

Suis-je concerné par NIS2 ?
NIS2 élargit considérablement le périmètre des entités concernées (essentielles et importantes) dans de nombreux secteurs. Une analyse de votre activité, de votre taille et de votre chaîne de sous-traitance permet de statuer ; nous la réalisons dès le cadrage, pour éviter aussi bien la sous-estimation que le sur-investissement.
DORA concerne-t-il uniquement les banques ?
DORA s'applique au secteur financier au sens large (établissements financiers et certains de leurs prestataires informatiques). Nous vous aidons à qualifier votre situation et à répondre aux exigences.
Combien de temps pour obtenir l'ISO 27001 ?
Cela dépend de votre maturité initiale, mesurée lors de l'analyse d'écart. Le plan de remédiation est ensuite séquencé sur 6 à 18 mois en général, avec une préparation dédiée avant l'audit de certification.
Faut-il déjà avoir un RSSI ?
Non. Si vous n'avez pas de référent sécurité formé en interne, nous pouvons assurer un RSSI à temps partagé pour piloter la trajectoire de conformité.
Par quoi commencer ?
Par l'analyse d'écart : elle mesure la distance avec le référentiel visé et permet de bâtir un plan réaliste, sans sur-investir ni passer à côté de l'essentiel.

À explorer aussi

Audit de cybersécurité →RSSI à temps partagé →

Parlons de votre contexte.

Un échange de 30 minutes avec un expert certifié pour situer votre besoin et vos priorités. Sans engagement.