10 millions d'euros d'amende ou 2 % du CA mondial — et ce n'est que NIS 2

DORA (Digital Operational Resilience Act), NIS 2, ISO 27001, RGPD — chaque mois une nouvelle exigence, chaque manquement une sanction. Je vous guide de l'audit à la conformité.

AgileVizion

Production des vidéos de présentation en cours

Réserver un rendez-vous

Vous vous posez ces questions ?

Quelles normes s'appliquent à mon entreprise ?

DORA, NIS 2, RGPD, ISO 27001, CIS Controls... La multiplication des référentiels rend difficile l'identification de vos obligations réelles — et de celles qui ne vous concernent pas.

Obligatoire ou recommandé ?

Certaines normes exposent à des sanctions pénales et financières sévères. D'autres sont de simples bonnes pratiques. Confondre les deux coûte cher — en sur-investissement ou en amende.

Quel est le risque financier ?

Les amendes prévues par les réglementations européennes sont massives :

DORA astreintes périodiques + retrait d'agrément possible
NIS 2 jusqu'à 10 M€ ou 2 % du CA mondial
RGPD jusqu'à 20 M€ ou 4 % du CA annuel mondial

Quel est le risque pour les dirigeants ?

DORA et NIS 2 introduisent la responsabilité personnelle des dirigeants : amendes nominatives, obligation de formation sur les risques cyber, destitution possible en cas de manquement grave.

Mon approche en 4 étapes

Une méthodologie structurée conforme à ISO 19011 (Lignes directrices pour l'audit des systèmes de management).

Audit

Contrôles sur pièces et sur site, entretiens avec les parties prenantes, collecte de preuves. Grille structurée de 100 à 160+ points de contrôle par norme.

Évaluation des écarts

Classification de chaque exigence : conforme, non conforme ou conformité partielle. Identification précise des lacunes et de leur criticité.

Feuille de route

Plan d'action priorisé par criticité, effort et délai réglementaire. Chaque écart est documenté avec une recommandation concrète et un responsable désigné.

Accompagnement projet

Pilotage de la mise en conformité : suivi d'avancement, arbitrages, coordination des parties prenantes. En option, selon disponibilités.

Option

Périmètre d'intervention

Un seul consultant pour DORA, NIS 2, ISO 27001 et ISO 22301 — pas de coordination entre 3 cabinets, pas de perte de contexte entre les phases.

ISO 27001 — SMSI

Système de Management de la Sécurité de l'Information · ISO 27001:2022 · ISO 27002 · ISO 27005 · ISO 19011

Implémentation du SMSI

Périmètre, contexte de l'organisation et parties intéressées (clauses 4.1 à 4.4)
Politique de sécurité, objectifs et leadership (clauses 5 et 6)
Appréciation et traitement des risques (clause 6.1.2 / ISO 27005)
DdA (Déclaration d'Applicabilité) et sélection des 93 contrôles Annexe A (ISO 27002)
Documentation opérationnelle : registre des risques, procédures, compétences

Audit & amélioration continue

Audit interne conforme ISO 19011 : entretiens, vérification sur pièces, cotation des non-conformités (mineur / majeur / critique)
Évaluation de la performance et revue de direction (clauses 9.1 à 9.3)
Pilotage de la remédiation et accompagnement certification
Audits de surveillance et re-certification (cycle triennal)

DORA — Résilience opérationnelle numérique

Digital Operational Resilience Act · Règlement UE 2022/2554 · RTS/ITS · Circulaires CSSF

Gap analysis sur les 5 piliers : gestion des risques TIC, incidents, tests de résilience, risques tiers, partage d'information
Cotation de maturité 1 à 4 par exigence — identification des écarts critiques
Plan de remédiation priorisé avec feuille de route d'implémentation
Corpus documentaire complet : Règlement DORA, RTS/ITS (Regulatory/Implementing Technical Standards), Circulaires CSSF
Cadrage prestataire TIC critique : clauses contractuelles, due diligence, stratégie de sortie

NIS 2 — Sécurité des réseaux et de l'information

Network and Information Security Directive 2 · Directive UE 2022/2555 · Art. 21 (10 mesures)

Évaluation des 10 mesures de l'Art. 21 : politiques de sécurité, analyse de risques, gestion des incidents, continuité d'activité
Sécurité de la chaîne d'approvisionnement (supply chain) et gestion des prestataires
Notification d'incidents : procédures 24h (alerte précoce) / 72h (notification complète)
MFA (authentification multi-facteurs), chiffrement, contrôle d'accès
Formation cybersécurité des dirigeants (obligation légale NIS 2)

ISO 22301 — Continuité d'activité

ISO 22301:2019 · ISO 22313 · ISO 22317 (BIA) · ISO 27031 (préparation TIC)

BIA — Business Impact Analysis

Analyse activité par activité : identification des processus critiques
Définition des KPI par activité critique :

MTPD RTO RPO RTPO

Validation des objectifs par la direction

BCP — Plan métier de continuité

9 éléments obligatoires : périmètre, rôles/RACI, activation, procédures dégradées, locaux de repli, ressources critiques, arbre d'appel, fournisseurs alternatifs, retour à la normale
Exécutable sans expert ni réseau par tout collaborateur désigné

DRP — Plan technique de reprise IT

Basculement site de secours, restauration sauvegardes, retour site principal
RTO/RPO alignés sur BIA — chaque étape exécutable par technicien IT sans appel externe

Tests & Validation

Tabletop exercise Scénario fictif, test chaîne de décision et angles morts BCP

Test technique DRP Backup/restore, basculement, coupure réelle

Mesure RTO/RPO réels Rapport écarts vs objectifs BIA + plan de remédiation

Ce que je vous livre

Grille d'audit complète

100 à 160+ points de contrôle par norme, avec statut (conforme / non conforme / partiel) et preuves associées.

Rapport exécutif

Synthèse pour la direction avec indicateurs clés + détail technique exploitable par les équipes sécurité.

Feuille de route priorisée

Actions classées par criticité, effort estimé et délai réglementaire. Chaque action est traçable à un écart.

PV de conformité

Document de clôture formel attestant la réalisation de l'audit, signé par les parties prenantes.

Modèles de politiques

Templates prêts à l'emploi : PSSI (Politique de Sécurité des Systèmes d'Information), procédures incidents, DPIA (Data Protection Impact Assessment).

Décryptage des normes

Présentations claires par norme (DORA, NIS 2, ISO 27001, ISO 22301) — chaque exigence expliquée, illustrée et rendue actionnable pour la direction et les équipes métier.

Quelles réglementations cyber s'appliquent à vous ?

Répondez à quelques questions et découvrez immédiatement quels référentiels sont applicables ou recommandés pour votre organisation.

Votre organisation

Ce simulateur fournit une indication générale et ne constitue pas un avis juridique.

Où est situé votre siège social / activité principale ?*

Quel est votre secteur d'activité principal ?* Détermine NIS 2 (Annexe I/II), DORA (secteur financier)

Quelle est la taille de votre organisation ?* NIS 2 : <50 sal ET <10M€ = non concerné

Traitez-vous des données personnelles ?* Nom, email, téléphone, IP, cookies, données RH...

Détenez-vous un agrément financier (AMF, ACPR, CSSF...) ?* DORA cible exclusivement les entités financières régulées.

Fournissez-vous des services IT/Cloud à des clients ?* MSP, infogérance, SaaS, hébergement, conseil IT...

Êtes-vous prestataire TIC pour des entités financières régulées ? Sous-traitant IT critique pour banques, assureurs, SGP... → DORA s'applique

Votre entité est-elle fournisseur DNS, registre TLD, prestataire de confiance ou opérateur télécom ? Ces entités sont soumises à NIS 2 quelle que soit leur taille (Art. 2§2)

Continuité d'activité

Avez-vous des activités critiques nécessitant un plan de continuité ?*

Votre diagnostic compliance

Réglementation(s) applicable(s)

Recommandation(s)

Télécharger votre rapport

Recevez un PDF récapitulatif avec toutes les réglementations, risques et échéances.

Prêt à y voir clair sur votre conformité ?

Premier diagnostic de 30 minutes — gratuit, sans engagement

Réserver un rendez-vous