La gouvernance, le risque et la conformité (GRC) traduisent les exigences réglementaires et normatives en organisation tangible. Sofly accompagne les organisations sur l'ensemble du cycle GRC — structuration du SMSI, mise en conformité NIS2 ou DORA, analyse de risques EBIOS Risk Manager, RSSI à temps partagé — avec une discipline de documentation et un pragmatisme qui rassure les auditeurs.
Ces canevas sont des points de départ — chaque mission est calibrée précisément à la suite du cadrage. Les durées sont indicatives, données pour un périmètre standard.
Structuration ou renforcement du système de management de la sécurité de l'information : politique, périmètre, analyse de risques, plan de traitement, indicateurs. Préparation jusqu'au passage de l'audit de certification, conduit par un organisme tiers.
Gap analysis vis-à-vis des exigences NIS2 applicables (entité essentielle ou importante), plan de mise en œuvre des mesures techniques et organisationnelles, accompagnement à la déclaration auprès de l'ANSSI.
Pour les entités financières : registre des contrats TIC, gestion des risques liés aux prestataires, scénarios de tests opérationnels, dispositif de notification d'incidents. Préparation aux contrôles des autorités.
Démarche structurée selon la méthode de l'ANSSI : cadrage, sources de risques, scénarios stratégiques et opérationnels, plan de traitement. Ateliers conduits avec les métiers, livrable conforme à l'attendu réglementaire.
Pour les organisations qui n'ont pas vocation à embaucher un RSSI en interne : pilotage continu de la fonction sécurité, comité sécurité mensuel, suivi des risques, animation des actions de remédiation.
Préparation d'un système d'information à l'homologation au sens du Référentiel Général de Sécurité (RGS) : analyse de risques, dossier d'homologation, plan d'action de réduction des risques. Cadrage avec l'autorité d'homologation jusqu'à la décision finale.
Pour les structures visant la qualification PASSI ANSSI : analyse des écarts vis-à-vis du référentiel, plan de mise en conformité organisationnelle et technique, accompagnement à la constitution du dossier de candidature. Préparation aux audits de qualification.
Une mission n'est pas un livrable improvisé. Voici la mécanique propre à ce pôle — déclinaison de la méthode générale du cabinet.
Identification précise du référentiel applicable, du périmètre concerné, des échéances. Aucune fuite en avant — on commence par savoir où l'on va.
Mesure rigoureuse de l'écart entre l'existant et l'attendu. Le diagnostic est posé avant tout exercice de roadmap.
Actions priorisées, charge, délai, responsable. Le plan est exécutable, jalonné, mesurable.
Tout est documenté pour servir à l'audit suivant. La traçabilité est un livrable, pas une corvée.
Sofly ne livre pas du temps passé. Sofly livre des documents, des configurations et des compétences transférables. Voici les artefacts produits typiquement sur ce pôle.
Sofly ne s'adresse pas à tout le monde. Ce pôle apporte le plus de valeur dans les situations suivantes.
Entités essentielles ou importantes au sens du décret de transposition. Mise en conformité dans le calendrier réglementaire.
Banques, assurances, fintechs concernées par l'entrée en application du règlement européen.
Démarche de certification engagée ou envisagée — clients grands comptes ou marchés publics qui l'exigent.
Structure dont la maturité ne justifie pas un RSSI à temps plein, mais qui a besoin d'une fonction sécurité pilotée.
Quelques lignes sur votre contexte suffisent à amorcer l'échange. Le cabinet répond sous 48 heures ouvrées.