Conformité & Conseil : ISO 27001, RGPD, PCI-DSS

Accompagnement stratégique pour la mise en conformité réglementaire et l'obtention de certifications de sécurité. Nous vous aidons à structurer votre gouvernance cybersécurité et à répondre aux exigences légales et sectorielles.

Objectifs de la Mission

• Évaluer l'écart entre l'existant et les exigences réglementaires (Gap Analysis)
• Définir une roadmap de mise en conformité
• Documenter les politiques et procédures de sécurité
• Préparer les audits de certification
• Former les équipes aux bonnes pratiques

Référentiels Couverts

ISO/IEC 27001 : Système de Management de la Sécurité de l'Information (SMSI)

• Gap Analysis : Audit initial des 114 contrôles (Annexe A)
• Risk Assessment : Analyse de risques selon ISO 27005
• Statement of Applicability (SoA) : Justification des contrôles applicables
• Documentation SMSI : Politiques, procédures, enregistrements
• Audit Interne : Simulation d'audit blanc avant certification
• Plan d'Action de Remédiation : Priorisation des non-conformités

RGPD (Règlement Général sur la Protection des Données)

• Cartographie des Traitements : Registre des activités de traitement
• Privacy Impact Assessment (PIA) : Analyse d'impact sur la vie privée
• Data Mapping : Flux de données personnelles et localisation
• Audit des Droits : Accès, rectification, effacement, portabilité
• Breach Notification Process : Procédure de notification de violation
• DPO as a Service : Désignation d'un DPO externalisé (option)
• Conformité Sous-traitants : Revue des contrats et DPA

PCI-DSS (Payment Card Industry Data Security Standard)

• Self-Assessment Questionnaire (SAQ) : Choix du bon niveau (A, B, C, D)
• Audit des 12 Exigences : Firewall, chiffrement, gestion des accès, etc.
• Network Segmentation : Isolation du CDE (Cardholder Data Environment)
• Vulnerability Scanning : Scans trimestriels par ASV agréé
• Penetration Testing : Tests annuels obligatoires
• Attestation of Compliance (AoC) : Préparation du dossier de conformité

Autres Référentiels

• ISO 27002 : Code de bonnes pratiques (catalogue de contrôles)
• SOC 2 Type II : Audit des contrôles opérationnels (SaaS/Cloud)
• NIST Cybersecurity Framework : Identify, Protect, Detect, Respond, Recover
• CIS Controls v8 : 18 mesures de sécurité critiques
• HDS (Hébergeur de Données de Santé) : Conformité secteur santé

Nos Prestations

Audit & Gap Analysis

Évaluation initiale de votre posture de conformité, identification des écarts et priorisation des actions.

Documentation & Politiques

• Politique de Sécurité des Systèmes d'Information (PSSI)
• Charte informatique et règlement intérieur
• Procédures opérationnelles (gestion des incidents, changements, accès)
• Plan de Continuité d'Activité (PCA) et Plan de Reprise d'Activité (PRA)

Formation & Sensibilisation

• Formation des équipes IT aux exigences réglementaires
• Sensibilisation RGPD pour l'ensemble des collaborateurs
• Ateliers pratiques sur les contrôles de sécurité

Accompagnement Audit de Certification

• Préparation des preuves et documents requis
• Simulation d'audit blanc (audit interne)
• Participation aux entretiens avec les auditeurs
• Suivi des plans d'action post-audit

Livrables

• Rapport de Gap Analysis : État des lieux et écarts identifiés
• Roadmap de Conformité : Plan d'action priorisé sur 6-18 mois
• Pack Documentaire : Politiques, procédures, chartes (templates personnalisés)
• Registre RGPD : Cartographie des traitements
• Tableau de Bord de Suivi : KPI de conformité et avancement
• Recommandations Techniques : Mesures de sécurité à implémenter

Durée Estimée

• Gap Analysis : 5 jours
• Accompagnement ISO 27001 : 3 à 6 mois
• Mise en conformité RGPD : 2 à 4 mois
• Audit PCI-DSS : 10 à 15 jours

Expertise de l'Équipe

Consultants certifiés ISO 27001 Lead Auditor, CIPP/E (RGPD), PCI-QSA, CISSP, CISM

Secteurs d'Expertise

Banque & Finance, E-commerce, Santé, SaaS/Cloud, Administration Publique, Industrie