L’approche que nous défendons chez June Factory se distingue par un double positionnement : répondre aux exigences de conformité tout en apportant une réelle valeur pédagogique et opérationnelle. En croisant les obligations réglementaires (RGPD, NIS2, ISO 27001…) avec l’analyse fine des compétences métiers, nous plaçons la sensibilisation au service de la maturité cyber de l’organisation — et non comme une contrainte administrative.

Dans cet article, nous vous proposons une approche concrète : comment structurer un parcours de sensibilisation qui a du sens, qui s’adapte aux différents publics internes, et qui s’inscrit dans une logique d’amélioration continue.
Objectif : faire de la sensibilisation un outil stratégique et différenciant, à la croisée de la conformité, des usages réels et du développement des compétences.

1. Identifier les besoins : entre analyse des risques et détection de non-conformité

Avant même de concevoir un parcours de sensibilisation, la première étape consiste à comprendre pourquoi et où intervenir. Il ne s’agit pas de former tout le monde, partout, tout le temps, mais de concentrer les efforts là où ils auront un réel impact. Cette phase d’analyse permet d’éviter les approches génériques, souvent inefficaces, et de construire des parcours ciblés et mesurables.

La première dimension à prendre en compte est l’analyse des risques métier. Certains services manipulent des données sensibles, d’autres sont davantage exposés à des tentatives de fraude ou à des accès techniques critiques. Identifier ces zones de vulnérabilité est essentiel pour prioriser les efforts. Le service RH, par exemple, est souvent en première ligne sur les attaques de phishing liées au social engineering, tandis que les équipes financières peuvent être visées par des tentatives de fraude au président. L’IT, de son côté, porte des responsabilités liées à la configuration, à la gestion des accès ou aux mises à jour logicielles.

Mais au-delà de cette approche par exposition, il est tout aussi stratégique de repérer les signaux faibles de non-conformité comportementale. Une erreur récurrente dans les tests de phishing, des pratiques contraires à la politique de sécurité ou des incidents passés liés à une mauvaise manipulation peuvent tous servir de déclencheurs. Ces indicateurs de terrain révèlent des écarts de compétences ou de vigilance, parfois invisibles dans les audits traditionnels.

Détecter ces écarts ne doit pas être perçu comme une sanction, mais comme un levier de personnalisation. En d’autres termes, la non-conformité devient un signal d’alerte, qui alimente un cycle vertueux : observation → ciblage → sensibilisation → réévaluation. Cela permet de ne pas sensibiliser à l’aveugle, mais de s’appuyer sur des données concrètes, issues du réel.

Un parcours de sensibilisation pertinent naît donc de cette double lecture : une cartographie des risques liés aux métiers, et une lecture dynamique des comportements observés. C’est ce croisement qui permet d’initier un dispositif réellement adapté, évolutif, et aligné sur les priorités de sécurité de l’entreprise.

2. Adapter les parcours selon les profils et le niveau de maturité

Une stratégie de sensibilisation efficace repose sur sa capacité à tenir compte des spécificités humaines et organisationnelles. Tous les collaborateurs ne partent pas du même niveau, ni ne sont exposés aux mêmes menaces. Adapter les parcours en fonction des profils et de leur maturité permet de construire un dispositif à la fois ciblé, cohérent et progressif.

Prenons d’abord le cas des profils dits métiers, comme les services RH, finance ou achats. Ces fonctions sont en contact quotidien avec des données personnelles, des flux financiers ou des fournisseurs. Elles représentent des cibles récurrentes pour les attaques de phishing, les tentatives de fraude ou les fuites de données involontaires. Le parcours de sensibilisation doit ici viser l’acquisition de réflexes simples, mais critiques, sur la vigilance, la gestion documentaire, et les communications externes. Par exemple, une équipe RH pourra suivre un plan échelonné sur 12 mois, alternant capsules e-learning, quiz de rappel, simulations de phishing ciblées et ateliers pratiques. L’objectif : ancrer des comportements durables sans alourdir leur quotidien.

À l’autre extrémité du spectre, les profils dirigeants et membres du COMEX requièrent une approche très différente. Peu disponibles mais exposés à des risques systémiques (fraude au président, compromission de boîte mail, attaques ciblées), ils doivent être formés aux impacts business et réputationnels des incidents cyber. Ici, le format compte autant que le fond : interventions express d’experts, simulations de crise, capsules vidéo orientées gouvernance. L’idée est de créer une prise de conscience rapide et stratégique, avec une évaluation finale sous forme de rapport de maturité individuel.

Enfin, les profils techniques (administrateurs, développeurs, support) exigent une approche encore plus opérationnelle. Ils sont en première ligne sur la sécurisation des systèmes, la gestion des droits, la configuration réseau. La sensibilisation prend alors la forme de cas pratiques, d’ateliers entre pairs, d’analyse d’incidents réels. Le format est plus technique, souvent interactif, et fait appel à la logique de co-construction. Leur parcours peut inclure des tests de compétences, des contributions à la documentation interne, ou des retours d’expérience sur des événements internes.

Quelle que soit la cible, l’enjeu reste le même : donner du sens à la démarche, contextualiser les risques et permettre une montée en compétence adaptée au quotidien des collaborateurs. Ce travail de segmentation n’est pas un luxe, mais une condition d’efficacité.

3. Évaluer, ajuster et progresser en continu

Un parcours de sensibilisation n’a de valeur que s’il est suivi, mesuré et constamment ajusté. Trop souvent, la sensibilisation se limite à un geste ponctuel : une formation, un quiz, une campagne de phishing simulée. C’est un début, mais l’efficacité réelle se joue dans la capacité à évaluer ce qui fonctionne, à comprendre les points de blocage, et à faire évoluer les actions au fil du temps.

La première étape consiste à mettre en place une évaluation systématique des actions de sensibilisation. Cela peut prendre la forme de quiz post-formation, d’analyses de clics sur les simulations de phishing, ou d’autoévaluations de compétences perçues. L’important n’est pas tant le score obtenu que la capacité à dégager des tendances. Des résultats faibles ou très dispersés peuvent signaler un défaut de clarté dans les messages, ou un format inadapté à la cible.

Pour avoir une vision plus globale, il est utile de modéliser la maturité cybersécurité des équipes à l’aide d’un radar de compétences. Ce type de représentation permet de suivre l’évolution des connaissances et des pratiques dans le temps, par métier ou par service. On ne cherche pas ici une performance individuelle, mais une cartographie dynamique de la progression collective. Cela facilite le dialogue avec les managers, alimente les tableaux de bord RSSI, et renforce la capacité à prioriser les prochaines actions.

Mais au-delà des indicateurs chiffrés, le retour du terrain est un levier souvent sous-exploité. Les outils comme Auditool permettent de recueillir de façon structurée les pratiques réelles, les écarts observés, les besoins exprimés. Un service qui contourne une procédure, un outil mal utilisé, un réflexe absent… autant de signaux faibles à capter. Ce recueil qualitatif vient compléter les données issues des campagnes de sensibilisation. Il permet de relier l’intention (ce qui a été transmis) au comportement réel (ce qui est appliqué).

C’est cette boucle complète — évaluer, analyser, ajuster — qui garantit la pertinence du parcours dans la durée. Une bonne sensibilisation n’est pas figée : elle s’affine, se réinvente, s’aligne au plus près de la réalité opérationnelle de l’entreprise. En intégrant la mesure comme boussole, on dépasse le cadre réglementaire pour entrer dans une logique d’amélioration continue, au service de la résilience collective.

Conclusion

Sensibiliser efficacement à la cybersécurité, ce n’est pas cocher une case réglementaire ou diffuser un rappel annuel. C’est construire un processus vivant, ancré dans le quotidien, capable d’évoluer en fonction des risques, des comportements et des retours terrain. Cela implique d’identifier les bons leviers, d’adapter les formats aux profils, de suivre les résultats dans la durée et d’intégrer une logique de boucle continue.

Un parcours pertinent commence par une bonne lecture des besoins : analyse des risques, détection des écarts, priorisation des actions. Il se décline ensuite selon les cibles, en s’appuyant sur des formats pédagogiques adaptés, sur une fréquence bien pensée et sur des supports clairs. Enfin, il se mesure, se réévalue, se remet en question. Et c’est cette exigence qui en garantit la pertinence.

À l’heure où les menaces évoluent vite, la vraie résilience ne se joue plus uniquement dans les firewalls et les systèmes d’authentification. Elle se construit aussi — et surtout — dans la conscience collective et la maturité cyber des collaborateurs.
Et c’est précisément ce que permet un parcours de sensibilisation bien pensé.

1 : Créez vos profils d’utilisateurs associés au(x) parcours de votre choix.

Indiquez les différents descripteurs & valeurs qui permettent de caractériser la typologie d’utilisateurs. Il est possible de combiner plusieurs descripteurs ou valeurs de descripteurs en utilisant des expressions constituées de « ET » et de « OU ».
Attention car l’utilisation du « ET » implique qu’il faut répondre aux 2 conditions pour valider les critères. Contrairement à l’utilisation du « OU » qui induit que la correspondance à l’une ou l’autre de ces conditions suffit.
Dans notre exemple, un utilisateur ne peut pas faire partie du service RH et du service comptabilité. Il faut donc utiliser le « OU ». Si on utilisait le « ET » la traduction informatique serait « utilisateurs devant faire partie du service RH et du service comptabilité ».

2 : Créez et composez les parcours de votre choix

Dans notre exemple, il faudrait créer puis attribuer le parcours administratif au profil « Administratif » uniquement, et le parcours « commun » à tous les profils

Avantages et inconvénients de chaque méthode :

Configurez votre SSO directement sur votre plateforme

Aidez-nous à améliorer le LMS Phosforea

Mais face à des réglementations de plus en plus structurantes (DORA, RGPD, NIS2) et des menaces en constante évolution, cette approche n’est plus tenable. La sensibilisation ne doit plus cocher une case. Elle doit transformer des comportements, faire monter en maturité l’organisation et contribuer activement à la conformité opérationnelle.

À condition d’être bien conçue : contextualisée, progressive, pilotable.

Expertise + pédagogie : un duo indispensable

Un expert cybersécurité maîtrise les risques concrets liés aux infrastructures, aux usages et aux métiers. Mais cette expertise, seule, ne suffit pas à sensibiliser un utilisateur aux cyber menaces. Pour engager durablement les utilisateurs, cette expertise doit être traduite en contenus pédagogiques qui parlent dans le quotidien des collaborateurs.

C’est là que la pédagogie entre en jeu : elle rend les notions complexes accessibles, favorise la mémorisation par l’interaction, et surtout, elle permet d’ancrer les bons réflexes au bon moment. Cette alliance entre technicité et méthode permet d’aller au-delà de la simple information descendante pour construire un véritable changement de posture.

Sensibiliser, c’est transformer… et se conformer

Une campagne efficace part du terrain. Elle prend en compte les usages réels, les profils à risques et les spécificités métier. En adaptant les contenus et les formats à ces réalités, on passe d’une approche générique à une stratégie d’engagement ciblée et mesurable.

Mais ce travail pédagogique ne bénéficie pas qu’aux utilisateurs. Il permet aussi à l’entreprise de structurer un pilotage concret de la maturité cyber : en mesurant les acquis, en identifiant les écarts, en outillant les managers, on alimente une vision claire des compétences cyber et on documente les efforts de conformité.

La sensibilisation devient alors un actif stratégique, au service de la sécurité opérationnelle comme des obligations réglementaires.

Vers une culture cyber intégrée

Former, ce n’est pas seulement diffuser du contenu. C’est embarquer toute l’organisation dans une dynamique partagée, soutenue par la direction, portée par les métiers, structurée dans le temps.

Chez June Factory, nous pensons que la sensibilisation est une démarche d’impact. Pas un rituel, mais un outil vivant pour bâtir une culture cyber solide, visible et alignée avec les enjeux de l’entreprise.

NIS2 marque un changement d’échelle : son champ d’application s’étend désormais à davantage d’organisations, y compris des entreprises jusqu’ici non concernées. Secteurs critiques comme l’énergie, la finance, la santé, mais aussi les services numériques et la supply chain, sont soumis à de nouvelles obligations en matière de gestion des risques, de surveillance et de reporting des incidents.

Pour les Responsables de la Sécurité des Systèmes d’Information (RSSI), NIS2 représente à la fois une contrainte réglementaire et une opportunité. D’un côté, elle renforce la pression sur la conformité avec des exigences accrues en termes de gouvernance et de gestion des fournisseurs. De l’autre, elle offre un cadre structurant pour justifier les investissements en cybersécurité et aligner les pratiques internes avec un référentiel européen.

Avec des sanctions pouvant atteindre 2% du chiffre d’affaires mondial, NIS2 impose aux organisations d’agir dès maintenant pour structurer leur mise en conformité. Ce guide vous aidera à anticiper les obligations, comprendre les impacts pour votre organisation et bâtir une stratégie efficace face à ce nouveau cadre réglementaire.

Ce que le RSSI doit savoir pour anticiper NIS2

La directive NIS2, adoptée en 2022, renforce le cadre réglementaire européen pour améliorer la cybersécurité des infrastructures critiques et services essentiels. Elle remédie aux lacunes de NIS1 en imposant des règles plus strictes et une harmonisation renforcée au sein des États membres. Son objectif est d’élever le niveau de cybersécurité en imposant des exigences accrues de gestion des risques, de surveillance et de notification des incidents.

Structure et calendrier de mise en œuvre

Publiée au Journal officiel de l’UE le 27 décembre 2022, NIS2 est entrée en vigueur le 16 janvier 2023. Les États membres doivent transposer la directive d’ici le 17 octobre 2024 dans leur législation nationale, mais certains pays, comme la France, ont reporté cette transposition au 17 janvier 2025.

Les jalons clés pour 2025 sont les suivants :

• 17 janvier 2025 : Le Groupe de coopération (assisté par la Commission européenne et l’ENISA) doit établir la méthodologie et les modalités des examens par les pairs pour renforcer la cybersécurité des États membres. (nis-2-directive.com)

• 17 avril 2025 : Les États membres doivent avoir établi et communiqué la liste des entités essentielles et importantes concernées par la directive NIS2. Cette liste devra être mise à jour tous les deux ans. (nis-2-directive.com)

Les autorités de contrôle : ENISA, autorités nationales, CSIRTs

Pour garantir l’application de NIS2, plusieurs acteurs sont impliqués :

• ENISA (Agence de l’UE pour la cybersécurité) : soutien aux États membres et coordination des bonnes pratiques.
• Autorités nationales compétentes : supervision des entités concernées et sanctions en cas de non-conformité.
• CSIRTs (Computer Security Incident Response Teams) : rôle clé dans la détection et la réponse aux incidents cyber.

Les six piliers fondamentaux de NIS2

NIS2 repose sur six axes majeurs que tout RSSI doit intégrer dans sa stratégie.

Gouvernance et gestion des risques cyber : établir un cadre robuste et conforme

La directive NIS2 impose aux entités essentielles et importantes de renforcer leur gouvernance et leur gestion des risques cyber. Pour les Responsables de la Sécurité des Systèmes d’Information (RSSI), cela implique de mettre en place des mesures structurées pour assurer la conformité et renforcer la résilience de l’organisation face aux cybermenaces.

Exigences de gouvernance : implication des dirigeants et rôle du RSSI

Selon l’article 20 de la directive NIS2, les États membres doivent s’assurer que les organes de direction des entités concernées approuvent les mesures de gestion des risques de cybersécurité et supervisent leur mise en œuvre. Les dirigeants peuvent être tenus responsables en cas de manquements à ces obligations. De plus, les membres des organes de direction sont tenus de suivre des formations régulières pour acquérir les compétences nécessaires à l’identification des risques et à l’évaluation des pratiques de gestion des risques cyber.

Politique formelle de gestion des risques : cartographie des services critiques et alignement avec les cadres de référence

Les entités doivent élaborer une politique formelle de gestion des risques incluant :

• Cartographie des services critiques : identifier les services essentiels et évaluer leur dépendance aux systèmes d’information pour prioriser les mesures de sécurité.​
• Évaluation des risques : réaliser des analyses régulières pour identifier et évaluer les risques cyber, en tenant compte des menaces potentielles et des vulnérabilités.​
• Mise en œuvre de mesures de sécurité : adopter des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques identifiés.

Ces démarches doivent être alignées avec les cadres de référence pertinents pour assurer une approche cohérente et efficace.

Documentation et preuves à produire

La directive NIS2 exige une documentation exhaustive pour démontrer la conformité,lors des contrôles effectués par les autorités compétentes.

Gestion des incidents et obligations de reporting : anticiper et réagir efficacement

La directive NIS2 impose aux entreprises concernées de mettre en place un cadre structuré pour la gestion des incidents cyber. L’objectif est d’assurer une réponse rapide et efficace tout en respectant les obligations de notification aux autorités compétentes. Cette approche vise à limiter l’impact des attaques et à améliorer la résilience globale des organisations face aux cybermenaces.

Définition et critères d’un incident significatif

Un incident est considéré comme significatif lorsqu’il affecte la disponibilité, l’intégrité ou la confidentialité des systèmes critiques d’une organisation. La directive précise plusieurs critères d’évaluation, notamment l’ampleur des perturbations, l’impact financier et les dommages causés aux tiers. Par ailleurs, une entreprise est tenue de signaler tout événement susceptible d’avoir des conséquences transfrontalières ou résultant d’une attaque coordonnée. (eur-lex.europa.eu)

Processus de déclaration et délais réglementaires

NIS2 définit une procédure de notification stricte, comprenant trois étapes :

1. Une alerte initiale doit être envoyée dans les 24 heures suivant la détection d’un incident pour signaler un risque potentiel.
2. Une notification détaillée est requise sous 72 heures, incluant une évaluation de l’impact, les causes potentielles et les premières mesures de remédiation.
3. Un rapport final, intégrant une analyse approfondie et les actions correctives mises en œuvre, doit être transmis sous un mois.

Ces notifications doivent être effectuées auprès des autorités nationales de cybersécurité ou des CSIRTs (Computer Security Incident Response Teams), qui assurent la coordination de la réponse et la diffusion des alertes si nécessaire. (ENISA)

Organisation interne et bonnes pratiques pour la gestion des incidents

Pour assurer une prise en charge efficace des incidents, les entreprises doivent mettre en place un processus structuré incluant des procédures internes de détection, d’analyse et de remédiation. La formation des équipes IT et la sensibilisation des employés aux signaux faibles d’une cyberattaque sont également essentielles.

L’intégration de solutions de surveillance continue, comme les systèmes SIEM (Security Information and Event Management) ou les plateformes SOAR (Security Orchestration, Automation and Response), permet d’automatiser la détection et le signalement des incidents. Ces outils offrent une meilleure visibilité sur les menaces en temps réel et facilitent la prise de décision en cas d’attaque.

Sanctions et conséquences d’un défaut de notification

Le non-respect des obligations de déclaration expose les entreprises à des sanctions financières importantes. NIS2 prévoit des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial pour les entités essentielles et 7 millions d’euros ou 1,4 % du chiffre d’affaires mondial pour les entités importantes. En plus des pénalités financières, des restrictions peuvent être imposées aux dirigeants et des mesures correctives obligatoires peuvent être mises en place par les régulateurs. (nis-2-directive.com)

Sécurité des infrastructures critiques et des systèmes IT/OT : protéger les fondations de l’organisation

La directive NIS2 impose des exigences renforcées en matière de sécurisation des infrastructures critiques et des systèmes informatiques (IT) et opérationnels (OT). Face à l’augmentation des cyberattaques visant ces environnements stratégiques, les entreprises doivent déployer des mesures adaptées pour garantir la continuité de leurs activités et limiter les risques de compromission.

Différences et complémentarités entre IT et OT

Les infrastructures IT englobent les systèmes d’information traditionnels, incluant les réseaux, les serveurs et les applications métiers. Les infrastructures OT, quant à elles, concernent les systèmes industriels et les dispositifs de contrôle, comme les SCADA (Supervisory Control and Data Acquisition) et les automates programmables industriels.

L’interconnexion croissante entre IT et OT expose les systèmes industriels à des attaques cyber qui, auparavant, étaient limitées aux environnements informatiques classiques. Cette convergence nécessite une stratégie de protection intégrée, combinant des approches spécifiques aux deux univers.

Exigences de sécurité pour les infrastructures critiques et les systèmes IT/OT

NIS2 impose aux organisations de sécuriser leurs infrastructures par la mise en place d’une gestion rigoureuse des risques et de contrôles de sécurité avancés. La directive recommande plusieurs mesures, parmi lesquelles :

• La mise en place d’une analyse continue des menaces et des vulnérabilités affectant les infrastructures critiques.
• Le renforcement des contrôles d’accès aux systèmes sensibles, via des politiques de gestion des identités et des accès (IAM) adaptées aux environnements IT et OT.
• L’implémentation d’une segmentation stricte des réseaux pour limiter la propagation des cyberattaques entre IT et OT.
• L’utilisation de solutions de détection et de réponse aux incidents en temps réel, telles que les systèmes SIEM et les plateformes de gestion des menaces industrielles.

La directive met aussi un accent particulier sur la continuité d’activité en exigeant des plans de réponse aux incidents et de reprise après sinistre adaptés aux infrastructures critiques. (ENISA)

Défis spécifiques à la sécurisation des systèmes OT

Les infrastructures OT présentent des caractéristiques particulières qui compliquent leur sécurisation. Les équipements industriels ont souvent une longue durée de vie, ce qui signifie qu’ils fonctionnent parfois sur des systèmes obsolètes dépourvus de mises à jour de sécurité. Leur disponibilité étant une priorité absolue, l’application de correctifs ou le déploiement de nouvelles solutions de cybersécurité peut entraîner des interruptions critiques des opérations.

Ces contraintes imposent aux organisations de développer une approche spécifique pour la protection des systèmes OT, intégrant des solutions de monitoring passif, des stratégies de durcissement des équipements et des protocoles de réponse aux incidents adaptés aux environnements industriels.

Gestion des tiers et sécurisation de la chaîne d’approvisionnement : renforcer la maîtrise des relations externes

Les cyberattaques visant les chaînes d’approvisionnement se multiplient, exploitant les failles de fournisseurs pour compromettre des entreprises bien protégées. NIS2 impose une gestion proactive des risques tiers en renforçant les contrôles sur les prestataires IT et les fournisseurs de services critiques.

Les nouvelles obligations en matière de gestion des fournisseurs

La directive exige des évaluations approfondies des risques liés aux partenaires externes, en particulier les prestataires de services TIC et les fournisseurs critiques. Les entreprises doivent inclure des clauses contractuelles spécifiques, détaillant les exigences en matière de cybersécurité, de surveillance et d’audit. Elles doivent également établir un registre des fournisseurs, identifiant les partenaires critiques et leur niveau de conformité. (ENISA)

Audits et surveillance continue des tiers

Un programme d’audit régulier est nécessaire pour vérifier la mise en œuvre effective des mesures de sécurité chez les fournisseurs. Il peut inclure des évaluations de conformité, des tests de pénétration externes ou des analyses de résilience des infrastructures sous-traitées.

Par ailleurs, la surveillance en continu des fournisseurs permet de détecter rapidement toute anomalie. L’intégration de solutions de gestion des risques tiers (TPRM – Third-Party Risk Management) aide à automatiser cette veille et à identifier les signaux faibles avant qu’ils ne deviennent des vecteurs d’attaque. (NIST)

Sanctions et risques en cas de non-conformité

Les entreprises qui ne sécurisent pas leur chaîne d’approvisionnement s’exposent à des sanctions financières et des obligations de remédiation imposées par les régulateurs. Une négligence dans la gestion des tiers peut aussi entraîner des interruptions critiques d’activité, des atteintes à la réputation et des risques juridiques en cas de violation de données impliquant un fournisseur.

Surveillance continue, audits de conformité et sanctions : assurer une vigilance constante

La directive NIS2 impose aux entreprises de ne pas se limiter à une mise en conformité ponctuelle, mais d’adopter une approche dynamique basée sur des audits réguliers et une surveillance continue des menaces. L’objectif est d’anticiper les vulnérabilités, d’adapter les mesures de protection et d’éviter les sanctions en cas de non-conformité.

Mise en place d’une surveillance continue

La cybersécurité est un processus en constante évolution. Les entreprises doivent surveiller en temps réel leurs infrastructures pour détecter et réagir aux menaces avant qu’elles n’impactent leurs opérations. L’usage de SIEM (Security Information and Event Management) et d’outils de Threat Intelligence permet d’identifier les comportements suspects et d’adapter les défenses en conséquence.

Les RSSI doivent également assurer une veille réglementaire et technique, en suivant les évolutions des cybermenaces et les mises à jour des exigences NIS2. (ENISA)

Audits de conformité et obligations de contrôle

Les entreprises doivent prouver leur conformité via des audits réguliers, réalisés en interne ou par des tiers indépendants. Ces contrôles permettent d’évaluer l’application des mesures de cybersécurité, d’identifier les écarts et de documenter les actions correctives mises en place.

Pour assurer un suivi efficace des audits et structurer les preuves de conformité, il est essentiel de s’appuyer sur une solution dédiée. L’usage d’outils spécialisés permet de centraliser les contrôles, d’automatiser le reporting et d’optimiser la gestion des écarts. Des plateformes comme Auditool facilitent le suivi des actions correctives et assurent une traçabilité complète des audits, un atout clé en cas d’inspection par les autorités.

Sanctions en cas de non-respect des obligations

NIS2 introduit un cadre de sanctions renforcé en cas de manquement aux obligations de cybersécurité. Les entités essentielles encourent des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Pour les entités importantes, les sanctions peuvent s’élever à 7 millions d’euros ou 1,4 % du chiffre d’affaires.

Outre les sanctions financières, des mesures correctives contraignantes peuvent être imposées, incluant la suspension temporaire d’activités, l’interdiction pour certains dirigeants d’exercer des fonctions de responsabilité ou encore l’imposition de nouvelles obligations de surveillance. (nis-2-directive.com)

Conclusion

L’adoption de la directive NIS2 marque un tournant majeur dans la régulation de la cybersécurité en Europe. Plus qu’une obligation réglementaire, elle fixe un nouveau standard de sécurité pour les secteurs critiques et impose une gouvernance rigoureuse des risques cyber.

Avec des sanctions financières élevées et une responsabilité accrue des dirigeants, les entreprises doivent intégrer la conformité à leur stratégie de cybersécurité. Plutôt que de subir ces nouvelles exigences, les RSSI doivent les utiliser comme un levier pour renforcer la résilience de leur organisation et justifier des investissements stratégiques auprès de la direction.

Anticiper dès maintenant la mise en conformité est essentiel. Cela passe par une évaluation de la maturité actuelle, une structuration de la gouvernance, et la mise en place d’un plan d’action détaillé. La cybersécurité étant une course permanente contre les menaces, les entreprises qui adoptent une approche proactive auront un avantage concurrentiel face à celles qui se contentent de répondre aux obligations réglementaires a minima.

NIS2 ne doit pas être perçue comme une contrainte, mais comme un cadre structurant pour bâtir une cybersécurité robuste et durable.

Face à une intensification des cybermenaces et une pression réglementaire croissante, les cadres comme NIS2, DORA et ISO 27001 imposent des exigences renforcées aux entreprises. Ces réglementations ne sont pas des contraintes isolées mais bien des piliers stratégiques pour renforcer la résilience numérique. En intégrant ces cadres dans leur gouvernance, les organisations peuvent minimiser les risques de cyberattaques, assurer la continuité de leurs opérations et éviter des sanctions financières lourdes.

Malgré l’importance croissante de la conformité cyber, de nombreuses entreprises peinent encore à structurer leur approche et à comprendre comment ces réglementations s’imbriquent les unes aux autres. Un manque de clarté sur les exigences spécifiques, l’absence d’outils adaptés et une surveillance insuffisante des fournisseurs constituent des obstacles majeurs à une mise en conformité efficace.

Ce guide vous offre une approche complète et opérationnelle pour structurer votre conformité, éviter les sanctions et aligner les exigences réglementaires avec votre stratégie de cybersécurité.

1. Comprendre et Prioriser les Exigences de NIS2, DORA et ISO 27001
   1. Panorama des réglementations
   2. Principles obligations NIS 2, DORA, ISO 27001
2. Déployer une Gouvernance et une Stratégie de Conformité Efficace
   1. Structurer une gouvernance de la conformité efficace
   2. Élaborer une stratégie pragmatique de mise en conformité
   3. Alignement entre conformité et gestion des risques
3. Surveillance et Audits de Conformité
   1. Mise en place d’une surveillance proactive
   2. Gestion des audits et contrôles réglementaires
   3. Suivi des indicateurs clés de conformité (KPI)

Comprendre et Prioriser les Exigences de NIS2, DORA et ISO 27001

Avant de définir une stratégie de mise en conformité, il est essentiel de bien comprendre les obligations imposées par NIS2, DORA et ISO 27001. Ces cadres réglementaires ont été conçus pour répondre aux menaces cyber croissantes et garantir un niveau de résilience élevé aux entreprises et organisations critiques.

Panorama des réglementations

Chacune de ces réglementations apporte des exigences spécifiques, certaines étant contraignantes sur le plan légal (comme NIS2 et DORA), tandis que d’autres, comme ISO 27001, offrent un cadre normatif structurant mais non obligatoire. Ce panorama vous permet d’identifier rapidement les axes majeurs de conformité pour prioriser les actions à mettre en œuvre.

Principles obligations NIS 2, DORA, ISO 27001

Nous allons maintenant détailler les exigences spécifiques de chaque réglementation et les actions à entreprendre pour s’y conformer efficacement.

NIS2 : Sécuriser les infrastructures critiques

La directive NIS2 s’adresse aux opérateurs de services essentiels et aux fournisseurs de services numériques, avec un accent particulier sur la gestion des incidents, la protection des chaînes d’approvisionnement et la supervision des fournisseurs tiers.

Principales obligations :

1. Mise en place d’un cadre de gestion des risques cyber.
2. Renforcement de la surveillance et des audits de sécurité.
3. Obligation de notification des incidents sous 72 heures.
4. Sécurisation des chaînes d’approvisionnement IT et prestataires TIC.

DORA : La cybersécurité des services financiers

DORA (Digital Operational Resilience Act) vise les institutions financières et leurs prestataires TIC. Il impose un cadre strict de résilience informatique, avec des exigences accrues pour la gestion des risques liés aux prestataires externes.

Principales obligations :

1. Évaluation continue des fournisseurs IT critiques.
2. Renforcement des tests de résilience IT.
3. Mise en place d’une surveillance proactive des infrastructures cloud et TIC.
4. Stratégie de gestion et réponse aux incidents IT avec obligations de reporting.

ISO 27001 : Structurer la cybersécurité par un cadre certifiable

ISO 27001 est une norme internationale qui permet aux entreprises d’établir un Système de Management de la Sécurité de l’Information (SMSI) pour protéger les actifs critiques. Contrairement à NIS2 et DORA, elle n’est pas obligatoire, mais constitue un cadre reconnu pour prouver sa conformité et structurer sa gouvernance cyber.

Principales obligations :

1. Déploiement d’un SMSI avec des contrôles organisationnels et techniques.
2. Mise en œuvre de mesures de protection des données sensibles.
3. Gestion des risques liés aux accès, aux tiers et aux incidents de cybersécurité.
4. Audits de conformité et amélioration continue de la sécurité.

La mise en conformité avec NIS2, DORA et ISO 27001 ne peut être traitée comme une simple mise en œuvre technique. Elle repose sur une gouvernance rigoureuse, une vision stratégique claire et une méthodologie éprouvée pour intégrer ces exigences dans l’organisation de manière pérenne.

Déployer une Gouvernance et une Stratégie de Conformité Efficace

Un programme efficace de conformité cybersécurité repose sur trois piliers fondamentaux : une gouvernance bien définie, une mise en œuvre opérationnelle des exigences réglementaires et une culture de cybersécurité intégrée à l’ensemble de l’organisation.

Structurer une gouvernance de la conformité efficace

Sans une organisation structurée, la conformité devient rapidement une tâche confuse et décousue. Il est essentiel de clarifier les rôles et responsabilités, d’impliquer les bonnes parties prenantes et de définir un cadre de gouvernance qui assure un suivi continu.

Les acteurs clés d’une gouvernance conformité réussie 

Un comité de conformité doit être instauré pour orchestrer la gouvernance et coordonner l’ensemble des initiatives. Ce comité, réuni périodiquement, doit :

1. Surveiller l’évolution des réglementations et ajuster la stratégie en conséquence.
2. Assurer un alignement stratégique entre la conformité, la gestion des risques et la cybersécurité.
3. Superviser la mise en place des indicateurs de conformité (KPI) pour suivre l’évolution du programme.

Élaborer une stratégie pragmatique de mise en conformité

Une fois la gouvernance en place, la mise en conformité doit s’appuyer sur une approche structurée et progressive. Il est recommandé d’adopter une méthodologie en plusieurs étapes, permettant d’assurer une mise en œuvre réaliste et efficace des exigences de NIS2, DORA et ISO 27001.

1. Cartographie des actifs et des risques

Avant toute action, il est impératif de recenser et classer les actifs critiques, d’identifier les services essentiels et de définir les écarts par rapport aux exigences réglementaires. Cette cartographie permet d’évaluer le niveau d’exposition aux risques cyber et d’anticiper les obligations de sécurité et de résilience.

2. Déploiement des contrôles de sécurité et des audits

Chaque réglementation impose des mesures de protection spécifiques. Par exemple, NIS2 met l’accent sur la gestion des incidents et la sécurisation des chaînes d’approvisionnement, tandis que DORA exige la mise en place de tests de résilience IT et d’une supervision des fournisseurs critiques. Ces contrôles doivent être documentés et audités régulièrement pour garantir leur conformité.

3. Mise en place d’une gestion des incidents conforme aux exigences réglementaires

La réponse aux incidents doit être alignée avec les délais et exigences réglementaires. NIS2 impose une notification sous 72 heures, et DORA exige des rapports détaillés sur les incidents affectant la continuité des services financiers. Une bonne stratégie consiste à centraliser ces obligations dans un plan unique et à automatiser les notifications à l’aide de solutions SIEM/SOAR.

4. Automatisation et supervision continue de la conformité

Il est impossible d’assurer une conformité efficace sans une surveillance en temps réel. L’intégration d’outils de gestion des risques et de conformité (GRC) permet d’automatiser le suivi des obligations et d’obtenir une vision claire des éventuels écarts. Un Security Operations Center (SOC) est également un levier clé pour assurer une détection avancée des menaces et un reporting précis.

5. Sensibilisation et formation continue des équipes

Une culture de cybersécurité est indispensable pour garantir une mise en conformité durable. La formation régulière des collaborateurs et des prestataires est un prérequis imposé par NIS2 et ISO 27001. Il est recommandé d’intégrer des modules sur la gestion des accès, la protection des données et la réaction aux incidents dans le programme de sensibilisation de l’entreprise.

Découvrez comment Phosforea aide les entreprises à sensibiliser et former les entreprises à la cybersécurité.

Alignement entre conformité et gestion des risques

L’intégration de la conformité dans la gestion des risques est un facteur de succès déterminant. Les entreprises doivent adopter une approche basée sur les risques (Risk-Based Compliance) pour prioriser les contrôles en fonction de leur impact sur la sécurité et la continuité des opérations.

En croisant les exigences réglementaires avec les menaces et vulnérabilités identifiées, il devient possible de concentrer les efforts sur les domaines les plus critiques. Par exemple :

Cette approche permet d’optimiser les ressources et d’éviter une mise en conformité purement administrative qui ne prendrait pas en compte les véritables enjeux de cybersécurité.

Surveillance et Audits de Conformité

Assurer la conformité à NIS2, DORA et ISO 27001 ne se limite pas à une implémentation initiale des mesures de sécurité. Une surveillance continue et des audits réguliers sont essentiels pour garantir que les pratiques mises en place restent efficaces, évolutives et adaptées aux menaces et aux obligations réglementaires en constante évolution. Sans suivi rigoureux, une entreprise risque de tomber dans une conformité passive, où les contrôles deviennent obsolètes et inefficaces face aux nouvelles exigences ou aux attaques émergentes.

L’approche de surveillance et d’audit doit donc être proactive et intégrée à la gouvernance de la cybersécurité. Elle doit permettre aux entreprises non seulement de se conformer aux obligations actuelles, mais aussi d’anticiper les évolutions réglementaires et de prévenir les risques de non-conformité avant qu’ils ne deviennent des failles critiques.

Mise en place d’une surveillance proactive

Une surveillance proactive signifie détecter, analyser et corriger les écarts de conformité en temps réel, au lieu d’attendre qu’un audit ou un contrôle réglementaire révèle des lacunes. L’intégration de solutions technologiques et de processus automatisés permet de garantir un suivi permanent et une capacité d’adaptation rapide face aux exigences des régulateurs.

Intégrer des outils de gestion des risques et de conformité (GRC)

Les solutions GRC (Governance, Risk, and Compliance) jouent un rôle central dans le pilotage de la conformité. Elles permettent de :

• – Centraliser la gestion des obligations réglementaires, en alignant les politiques internes avec les exigences de NIS2, DORA et ISO 27001.
• – Automatiser la détection des écarts grâce à des tableaux de bord dynamiques et des alertes en cas de non-conformité.
• – Assurer un suivi des actions correctives pour garantir une remédiation efficace des failles identifiées lors des audits.

Anticiper les évolutions réglementaires avec une veille proactive

Les réglementations évoluent constamment, imposant aux entreprises un travail de veille et d’adaptation continue. Une veille proactive permet de :

• – Suivre les évolutions de NIS2, DORA et ISO 27001, en anticipant les nouvelles obligations avant leur mise en application.
• – Adapter les contrôles internes et ajuster les processus pour rester en conformité sans attendre une mise en demeure du régulateur.
• – Participer à des groupes de travail sectoriels (ex. ENISA, EBA, ISO) pour comprendre les tendances réglementaires et intégrer les meilleures pratiques avant leur imposition.

Gestion des audits et contrôles réglementaires

Les audits de conformité sont une composante essentielle de la mise en conformité avec NIS2, DORA et ISO 27001. Ils permettent de valider l’efficacité des contrôles mis en place, de détecter les écarts de conformité et d’assurer une amélioration continue des mesures de sécurité.

Effectuer des audits internes réguliers pour prévenir les écarts

Les audits internes constituent une première ligne de défense contre les risques de non-conformité. Ils doivent être réalisés de manière périodique (idéalement trimestrielle) et couvrir :

1. La conformité aux exigences techniques et organisationnelles imposées par NIS2 et DORA (gestion des incidents, évaluation des tiers, résilience IT).
2. La mise en application des politiques ISO 27001, en vérifiant notamment l’existence et l’application des procédures de gestion des risques.
3. L’identification des écarts et leur correction immédiate, pour éviter qu’ils ne soient relevés lors d’un audit externe.

Découvrez comment piloter le cycle de vie de tous vos audits de conformité avec Auditool.

Organiser des audits externes pour prouver la conformité

Les audits externes sont requis pour certaines certifications, comme ISO 27001, et peuvent être imposés par les régulateurs (ex. contrôles NIS2 par l’ANSSI). Ils permettent de :

• – Obtenir une validation indépendante de la conformité, un atout pour rassurer les clients et partenaires.
• – Préparer l’entreprise aux inspections réglementaires en simulant des audits réalisés par des organismes tiers.
• – Identifier les faiblesses du programme de conformité et améliorer la posture cybersécurité avant qu’un incident n’expose une faille.

Suivi des indicateurs clés de conformité (KPI)

L’évaluation de la conformité ne peut être efficace sans indicateurs de suivi précis. Un tableau de bord conformité permet d’avoir une vision en temps réel de la posture de sécurité de l’entreprise et de mesurer l’efficacité des actions mises en place.

KPI essentiels pour la conformité cyber :

• – % de conformité des processus IT aux exigences NIS2, DORA et ISO 27001.
• – Temps moyen de remédiation d’une non-conformité après sa détection.
• – Nombre d’incidents de sécurité liés à des écarts de conformité.
• – Taux de succès des audits internes et externes.
• – Niveau de sensibilisation et d’adoption des bonnes pratiques par les collaborateurs.

L’utilisation d’un tableau de bord dynamique permet de visualiser ces indicateurs en temps réel et d’identifier les axes d’amélioration. Il est recommandé de connecter les outils GRC et SIEM à ces KPI pour automatiser la collecte et l’analyse des données.

La mise en conformité avec NIS2, DORA et ISO 27001 est un levier stratégique qui garantit une cybersécurité robuste et protège l’entreprise contre les menaces. La clé d’une conformité réussie repose sur une approche méthodique et proactive, combinant gouvernance solide, contrôles techniques adaptés et surveillance continue.

Points clés à retenir :

Comprendre les exigences spécifiques de chaque cadre réglementaire (NIS2, DORA, ISO 27001) pour aligner la mise en conformité avec les obligations sectorielles et stratégiques de l’entreprise.

Déployer une gouvernance de conformité robuste, en définissant clairement les rôles et responsabilités (RSSI, Compliance Officer, Risk Manager, SOC, Juridique) et en structurant un comité de conformité chargé du suivi et de l’adaptation aux évolutions réglementaires.

Prioriser la mise en conformité en fonction des risques réels, en appliquant une approche Risk-Based Compliance, qui croise les obligations réglementaires avec les menaces et vulnérabilités propres à l’entreprise.

Automatiser la gestion de la conformité grâce aux outils GRC, SIEM et SOAR, qui facilitent le suivi des obligations, l’identification des écarts et la gestion des incidents en temps réel.

Structurer un programme d’audit efficace, combinant audits internes fréquents pour prévenir les non-conformités et audits externes obligatoires (ISO 27001, contrôles réglementaires NIS2/DORA) pour valider la conformité de manière indépendante.

Mesurer et piloter la conformité via des indicateurs clés (KPI), incluant le taux de conformité, le temps moyen de remédiation des écarts et l’impact des incidents de cybersécurité sur les exigences réglementaires.

Anticiper les évolutions réglementaires et les nouvelles exigences, en mettant en place une veille proactive et en intégrant progressivement les futures obligations dans la stratégie de cybersécurité.

Les défis de la sécurité informatique évoluent, mettant une pression croissante sur les RSSI. Une étude révèle qu’un grand nombre d’entre eux souffrent d’un stress intense. La clé réside dans la gestion efficace des risques, avec une approche pragmatique et des outils adaptés, mais également dans la formation des collaborateurs. Explications.

La charge mentale du RSSI explose

60 % des RSSI seraient soumis à un stress quotidien intense, selon une étude du Cesin parue en novembre 2023…

Supervision de la sécurité des infrastructures, du réseau, des applications, des projets, des accès, préparation à l’intégration de nouvelles contraintes réglementaires, formation et sensibilisation des collaborateurs, analyse de risques, rédaction de processus, et mesures correctives de sécurité des opérations, la liste n’en finit plus. Mais un constat s’impose, si le spectre des sujets à traiter est large et que le volume de tâches associées se démultiplie, toutes choses égales par ailleurs alors la charge (mentale) du RSSI explose.

Face à cette réalité qui touche les entreprises comme les administrations, de toutes tailles, le salut réside peut-être dans la recherche d’un dénominateur commun qui permet d’ordonner toutes ces actions à traiter. En effet, quel est le point commun de ces 99 tâches hebdomadaires ? La réponse tient en deux syllabes :  RIS-QUE. Plus précisément, le besoin vital pour toute organisation d’identifier, d’évaluer et de corriger les risques qui la menacent. Mais attention, il ne s’agit pas de procéder à une analyse de risques pointue type EBIOS RM, mais de s’inspirer d’un cadre plus large de gestion des risques macros et de la certitude qu’ils sont sous contrôle.

Entre les cyber-risques et les contrôles de sécurité…

Il est d’usage de démarrer une analyse de risques par un découpage des activités, des processus métiers et des actifs nécessaires au bon fonctionnement de l’entreprise (respect de la stratégie, de la qualité de la production et des réglementations).

Cette cartographie de départ, propre à chaque organisation, est traditionnellement enrichie d’une estimation fine des risques. Si le mieux est l’ennemi du bien, alors le RSSI qui commence par identifier ses Top risques par zone de découpage, avant de les quantifier, aura déjà réalisé un premier pas important. Le second, plus pragmatique, vise à assigner pour chaque risque, 3 à 5 points de contrôle factuels. L’objectif étant de s’assurer que les règles de sécurité définies sur un processus métier et des actifs soient respectées, voire améliorées.

En somme, c’est la capacité de contrôler régulièrement le respect des règles de sécurité qui rend l’analyse de risques exploitable. Une plateforme de gestion d’audit comme Auditool qui permet de piloter des campagnes de contrôles réguliers sur ces Top risques peut s’avérer d’une grande aide. D’autant plus lorsque le RSSI peut déléguer les contrôles, dont les preuves seront tracées et conservées, à d’autres équipes grâce à une intégration des solutions d’audit et de gestion de projets de l’entreprise. Ce qui fonctionne également avec l’attribution des actions correctives.

 …il y a des hommes et des femmes à former à la cybersécurité

Dans certains cas la mauvaise application d’une règle de sécurité relève simplement d’un non-savoir.

Exemple en situation de crise :  Comment réagir en cas d’une attaque ? Est-ce que les personnes connaissent bien les premières tâches urgentes à réaliser, connaissent les manipulations des outils pour cela, connaissent le processus global pour partager et communiquer de façon coordonnée dans une période compliquée ?

Exemple au quotidien : Comment s’assurer que les différentes équipes qui individuellement affectent des droits d’accès pour leurs besoins opérationnels n’occasionnent pas par leur activité légitime un dépassement des prérogatives des personnes par des droits cumulés ? Comment utiliser les processus et les outils pour cela ?

Une action corrective peut donc prendre la forme d’une mise à niveau des connaissances. À l’échelle d’une organisation qui mène plusieurs campagnes de contrôles réguliers, cela pourrait donc représenter des dizaines de contenus de sensibilisation et de formation sur-mesure et par utilisateur.

Naturellement, ce n’est pas au RSSI, déjà bien occupé, de préconiser les contenus à suivre pour chaque défaut de conformité constaté sur le terrain. Ce n’est pas non plus le rôle, d’un middle manager ou d’un auditeur interne chargé d’exécuter un contrôle. En revanche, c’est notre rôle chez June Factory, de réfléchir à vous simplifier la tâche. C’est la mission que s’est donnée Phosforea cette année, en se rapprochant de la solution Auditool.

Pour aller au bout de ce nouveau paradigme, où la formation répond à un défaut de conformité constatée sur le terrain, la clé réside dans le suivi de la montée en compétences. Ainsi les évaluations sous forme de questionnaires avancés, de simulations d’attaques de phishing ou de revues d’audits, servent à suivre la progression de chaque collaborateur. Consolidé à l’échelle d’une organisation, c’est un véritable radar de maturité des connaissances qui émerge.

En route vers l’amélioration continue

La clôture du plan de remédiation d’une campagne d’audit signe un premier jalon important, celui d’un premier tour de roue… celle de Deming (Plan-Do-Act-Check). Le premier d’une longue série d’amélioration incrémentale qui fera progresser la maturité cyber de l’organisation.

Pour piloter les compétences et les conformités cybersécurité et suivre l’ensemble des recommandations de l’ANSSI, le RSSI n’aura qu’à suivre des dashboard présentant le taux de conformité par campagne ainsi que les scores d’évaluation des compétences cyber de l’ensemble des utilisateurs de l’entreprise… avec un focus process métier ou service. La boucle est bouclée, il n’y a plus qu’à relancer la roue.

Un défi organisationnel au cœur de notre intervention

La conférence s’appuyait sur un retour d’expérience concret, celui de STEF, leader européen spécialisé dans la logistique sous température contrôlée. L’intervention a permis de mettre en lumière un défi majeur auquel sont confrontées de nombreuses organisations :
Une dispersion des audits et actions correctives : Avec des audits dispersés sur différents supports et logiciels, les départements peinent à centraliser les données et à superviser efficacement les plans d’action.
Une supervision complexe : Pour une organisation comme STEF, avec plus de 200 sites, le suivi des contrôles périodiques et la conformité globale représente un défi considérable.

La réponse de June Factory : une digitalisation efficace

Pour répondre à ces enjeux, les acteurs du contrôle interne de STEF, en collaboration avec June Factory, ont entrepris de digitaliser le cycle de vie des audits, en se concentrant sur trois axes majeurs :
Audit immobilier
Audit environnemental
Audit de sécurité incendie

Des retours d’expérience riches et inspirants

Lors de cette conférence, les intervenants ont partagé leur vision et leurs résultats :
Victor SAINT GUILHEM (Chef de projet MOA STEF) a expliqué comment la digitalisation des audits facilite la collecte et le traitement des données.
Alexis MANCHON (Responsable audits assurances et sécurité incendie STEF) a détaillé les bénéfices pour les audits de sécurité incendie, notamment en termes de suivi des plans d’action.
Laurent PELUD (Fondateur et CEO de June Factory) a présenté les innovations technologiques mises en place pour accompagner cette transformation.

Une dynamique d’amélioration continue

En conclusion, cette expérience démontre que la digitalisation ne se limite pas à optimiser les processus existants, mais qu’elle contribue à transformer la conformité en un levier stratégique d’amélioration continue. Grâce à une approche collaborative et des outils performants, June Factory et ses partenaires montrent qu’il est possible de relever les défis organisationnels complexes.

Vous avez manqué notre intervention lors du salon IFACI ? Découvrez en détail comment STEF et June Factory collaborent pour digitaliser le cycle de vie des audits.

*Un plan d’action livré directement dans un outil de gestion de projet #Asana #Jira

Naturellement le rapport d’audit est un document important mais insuffisant … pour accompagner l’audité vers la mise en conformité.

Le vrai résultat d’un audit c’est le contre audit. Si la restitution n’est pas suivie de la mise en œuvre du plan de remédiation, comment prouver l’efficacité des préconisations ?

Pour transformer les préconisations en actions, le maître mot c’est l’organisation.

Pour piloter l’avancement d’un plan d’action, Auditool s’intègre désormais à Asana.

Cette nouvelle fonctionnalité vise à délivrer plus de valeur à l’audité durant tout le cycle d’audit.

En fin d’audit, le plan d’action est exportée dans un projet Asana. Une action corrective égale une tâche, une échéance et un responsable. Ce qui facilite pour l’audité le pilotage de sa mise en conformité.

Grâce à la synchronisation entre Asana et Auditool, il devient également plus simple de multiplier et d’accélérer les revues d’audit.

Au programme de ce webinaire :

︎ L’importance et la valeur ajouté du plan d’action pour l’auditeur et l’audité

︎ Fonctionnement de l’intégration du plan d’action (Asana X Auditool)

︎RETEX responsable du pôle Gouvernance de Scassi

Voir le replay

“Le maillon faible de la cybersécurité c’est l’humain”… oui mais… Les campagnes de sensibilisation se suivent et se ressemblent…Le format des contenus e-learning évolue, les serious game se démocratisent, les simulations de phishing sont de plus en plus sophistiquées… et l’engagement des collaborateurs ne décolle pas. Par ailleurs, dire que 50% des collaborateurs ont terminé la dernière campagne de sensibilisation ne dit rien du niveau de risques auxquels une organisation est exposée. D’autant que le risque n’est pas le même pour les utilisateurs du SI et pour ses opérateurs.

Pour trouver le bon indicateur de performance de nos actions de sensibilisation, il semble nécessaire de revenir à la base de notre métier : la gestion du risque, appliquée au facteur humain, dans son ensemble.

C’est ce que nous proposons dans ce webinaire, dont la trame sera la suivante :

1 : Des (bons) indicateurs et des Hommes, pourquoi a-t-on le sentiment de tourner en rond ?

2 : L’analyse de risque du facteur humain dans toute sa diversité, le vrai challenge

3 : Les 3 étapes à suivre pour entrer dans l’ère du “Human Risk Management”

Ce webinaire sera animé par Laetitia MAYNARD, Directrice Générale chez Phosforea, ainsi que Eric GLACE, Directeur Cybersécurité chez Seine Yvelines Numérique.

Voir le replay 

Ou pire encore, sans que le plan d’actions ne débouche sur une amélioration de la posture cyber de l’organisation.

L’ANSSI met à disposition un guide d’hygiène et de sécurité informatique pour aider les entreprises en ce sens.Pour autant, auditer son organisation sur la base de ce guide peut conduire à quelques écueils :

Comprendre et appliquer certaines recommandations d’ordre générale, sans plus d’information

Piloter et déployer un processus complet d’audit (évaluation, plan d’action, revue)

Pour préparer sereinement votre audit du guide d’hygiène et de sécurité de l’ANSSI découvrez les conseiles de Emmanuel WILDEMANN, Directeur Technique du Groupe SCASSI et de Théo LEMBOULAS, Product Owner chez June Factory.

Voir le replay