Services

Trois services. C'est ce que nous faisons bien. Si vous avez besoin d'autre chose, nous vous le dirons et vous orienterons vers un prestataire adapté.

---

vCISO · Direction de la sécurité en mode service

Pour qui. Organisations de 30 à 500 salariés qui n'ont pas encore besoin d'un CISO à temps plein mais ont besoin d'une personne prenant des décisions de sécurité avec jugement, pas d'un technicien qui réagit aux incidents.

Ce qui est inclus. Une professionnelle senior assignée à votre compte pour un nombre d'heures mensuelles convenu. Définit la stratégie sécurité, priorise les investissements, participe au comité de direction quand cela apporte de la valeur, pilote votre équipe technique interne ou des prestataires externes, et vous représente face aux auditeurs, assureurs et clients.

Comment nous travaillons. Après le diagnostic initial, nous fixons un plan trimestriel avec trois à cinq objectifs mesurables. Revue mensuelle avec la direction, revue technique hebdomadaire avec votre équipe, rapport trimestriel avec indicateurs. Sans présence obligatoire au bureau si elle n'apporte pas de valeur.

Engagement. Trimestriel minimum, sans pénalité de sortie après le premier trimestre. Nous ne facturons pas les heures non consommées.

Livrable mensuel. Procès-verbal des priorités, registre des décisions prises, rapport des risques vivants et plan du mois suivant.

Qui assure la prestation. Ingénieur senior avec plus de dix ans en sécurité opérationnelle et expérience préalable comme CISO interne ou consultant en direction.

---

ISO/IEC 42001 · Certification de gestion responsable de l'IA

Pour qui. Organisations déployant des systèmes d'IA propres ou tiers qui doivent démontrer une gestion responsable : les grands clients le demandent, les régulateurs vont le demander, et le règlement européen sur l'IA le renforce.

Ce qu'est ISO/IEC 42001. Norme internationale publiée en 2023 définissant les exigences d'un système de management de l'IA. Couvre la gouvernance, la gestion des risques, le cycle de vie du modèle, la supervision humaine, les biais, la traçabilité et l'amélioration continue.

Ce qu'inclut notre accompagnement.

1. Analyse d'écart face à la norme · une à deux semaines selon la taille.

2. Conception du système documentaire adapté à votre organisation.

3. Mise en œuvre des contrôles, procédures et enregistrements.

4. Formation de l'équipe responsable et du comité IA.

5. Pré-audit interne et accompagnement pendant l'audit externe de certification.

Ce que nous ne faisons pas. Nous n'émettons pas le certificat. La certification est délivrée par un organisme accrédité indépendant. Nous vous préparons à l'obtenir du premier coup.

Délai typique. Quatre à neuf mois selon le point de départ et la maturité de la gouvernance des données existante.

---

Audit OSINT · Évaluation de l'exposition publique

Pour qui. Toute organisation à présence numérique significative, équipes de direction visibles, ou exposition à l'ingénierie sociale. Particulièrement utile après une fusion, avant une annonce publique importante, ou après un incident suggérant une fuite.

Ce que nous faisons. Nous collectons, exclusivement depuis des sources ouvertes et légales, toute l'information qu'un attaquant à motivation modérée pourrait obtenir sur votre organisation en une semaine de travail : domaines et sous-domaines, infrastructure exposée, identifiants fuités dans des brèches publiques, informations personnelles sur l'équipe dirigeante, présence sur forums et réseaux, et empreintes des prestataires.

Ce que nous ne faisons pas. Nous n'accédons pas aux systèmes, nous ne testons pas de vulnérabilités sans autorisation, nous ne contactons pas les salariés sous prétexte. L'OSINT est strictement passif et légal.

Livrable.

• Rapport exécutif de 12-20 pages.
• Liste priorisée des constats par niveau de criticité.
• Plan de mitigation avec actions concrètes, responsables suggérés et ordre recommandé.
• Session de présentation à la direction et à l'équipe technique.

Délai. Dix jours ouvrés à compter de la signature du contrat et de l'autorisation de démarrer.

Répétabilité. Nous recommandons de répéter l'audit OSINT tous les douze mois, ou après des changements organisationnels significatifs.

---

Comment commencer ?

La première étape est toujours le diagnostic initial. Une semaine. Sans coût si nous décidons ensemble de ne pas poursuivre. Nous répondons avec le nom et prénom de l'ingénieur qui s'en chargerait avant tout engagement.

Écrivez à [email protected].