Pôle d'expertise
Gouvernance, risques et conformité (GRC) : structurer votre sécurité
GRC · 01
Qu'est-ce que la gouvernance, les risques et la conformité (GRC) ?
La gouvernance, la gestion des risques et la conformité - la GRC - désigne le socle qui structure durablement la sécurité d'une organisation. Là où un audit ou un test d'intrusion photographie un niveau de sécurité à un instant donné, la GRC installe les processus, les responsabilités et les documents qui font vivre cette sécurité dans le temps et l'alignent sur les enjeux métier.
Concrètement, une démarche GRC répond à trois questions liées : quels risques pèsent réellement sur nos activités (les risques), quelles règles et quels contrôles décidons-nous d'appliquer (la gouvernance), et comment prouvons-nous le respect de nos obligations légales et réglementaires (la conformité). AOCSI traite ces trois volets comme un ensemble cohérent, piloté par le risque plutôt que par une simple liste de mesures.
GRC · 02
L'analyse de risque, fondation de toute la démarche
On ne sécurise bien que ce dont on a compris la valeur et les menaces. L'analyse de risque cyber est donc le point de départ : elle identifie les biens essentiels, les événements redoutés, les sources de risque et les scénarios d'attaque plausibles, puis les hiérarchise selon leur vraisemblance et leur gravité. Cette hiérarchisation permet d'investir là où le risque est le plus élevé, au lieu de saupoudrer les budgets.
Nos consultants appliquent EBIOS Risk Manager, la méthode d'analyse de risque publiée par l'ANSSI, qui articule cinq ateliers du cadrage au traitement du risque. Elle a le mérite de relier explicitement le risque numérique aux enjeux stratégiques et de définir une appétence au risque assumée par la direction. Le résultat n'est pas un document mort mais une base de décision réévaluée à chaque changement majeur.
GRC · 03
La PSSI et le corpus documentaire
La politique de sécurité des systèmes d'information (PSSI) formalise les règles que l'organisation se donne : elle traduit les résultats de l'analyse de risque et les exigences réglementaires en principes opposables. Autour d'elle s'organise tout un corpus - politiques thématiques, chartes, procédures et standards techniques - qui décline la sécurité jusqu'au geste quotidien des équipes.
Un corpus utile est un corpus lu, appliqué et tenu à jour. Nous rédigeons des documents proportionnés à votre taille et à votre maturité, alignés sur des référentiels reconnus (ISO 27001, guides ANSSI), et directement exploitables par vos équipes plutôt que copiés d'un modèle générique.
GRC · 04
Continuité d'activité : PCA et PRA
Aucune sécurité n'empêche 100 % des incidents. La gouvernance des risques prépare donc la résilience : le plan de continuité d'activité (PCA) organise le maintien des activités essentielles en mode dégradé, tandis que le plan de reprise d'activité (PRA) décrit la remise en service des systèmes après un sinistre. Tous deux reposent sur un bilan d'impact sur l'activité (BIA) et sur des objectifs chiffrés de reprise : le RTO, délai maximal d'interruption tolérable, et le RPO, perte de données maximale admissible.
Face aux rançongiciels, ces plans ne sont plus optionnels : ils conditionnent la capacité à redémarrer sans céder au chantage. AOCSI construit des plans réalistes, testés, et cohérents avec vos sauvegardes et votre architecture.
GRC · 05
Exercices de crise et homologation
Un plan non testé est une hypothèse. Les exercices de gestion de crise - du format table-top autour d'une table à la simulation grandeur nature - confrontent vos équipes à un scénario d'attaque et révèlent les angles morts de l'organisation avant que l'attaquant ne le fasse. Ils entraînent la cellule de crise à décider vite, sous pression et avec une information incomplète.
Pour les systèmes les plus sensibles, l'homologation de sécurité formalise, par une décision explicite d'une autorité désignée, l'acceptation des risques résiduels avant la mise en service. Souvent exigée dans le secteur public au titre du RGS, cette démarche structure la responsabilité et documente les arbitrages. AOCSI en assure l'instruction, du dossier d'homologation à la commission.
GRC · 06
Notre approche et nos tarifs
AOCSI mobilise le Collectif - son réseau de consultants seniors de spécialités complémentaires - pour affecter à chaque mission GRC les profils les plus pertinents : analyste de risque, rédacteur de politiques, spécialiste de la continuité. L'Indice AOCSI, notre système de scoring interne, objective la couverture des travaux et la trajectoire de réduction du risque.
Premier cabinet français à publier ses prix, AOCSI chiffre chaque prestation GRC de façon transparente, sans revente de licence ni marge cachée. Cette démarche s'articule naturellement avec nos accompagnements ISO 27001, notre mise en conformité NIS2 et notre offre de RSSI externalisé, qui pilote la GRC dans la durée.
Notre méthode
Une intervention cadrée, du premier échange au suivi.
La même rigueur à chaque mission, quel que soit le périmètre.
Cadrage
Périmètre, objectifs et règles d'engagement définis avec vous.
Intervention
Nos experts exécutent la mission : outillage et analyse manuelle.
Restitution
Rapport priorisé par le risque, synthèse direction et plan d'action.
Accompagnement
Suivi de la remédiation et contre-vérification des correctifs.
Notre expertise en détail
Chaque facette de ce pôle fait l'objet d'une prestation dédiée, menée par des experts seniors.
Prêt à y voir clair sur votre exposition ?
Échangez avec un expert senior. Cadrage gratuit, prix publics, aucun engagement.
Questions fréquentes
Quelle différence entre gouvernance, risques et conformité ?
La gestion des risques identifie et hiérarchise ce qui menace vos activités. La gouvernance décide des règles, des rôles et des contrôles à mettre en place. La conformité prouve le respect de vos obligations légales et réglementaires. Les trois se nourrissent mutuellement : le risque oriente la gouvernance, qui produit les preuves de conformité.
EBIOS Risk Manager est-il obligatoire ?
Non. EBIOS Risk Manager est la méthode d'analyse de risque recommandée par l'ANSSI, largement attendue dans les contextes réglementés, mais aucune loi n'en impose universellement l'usage. Elle est compatible avec le cadre ISO 27005. Nous l'appliquons rigoureusement sans revendiquer de label, en l'adaptant à votre contexte.
La GRC concerne-t-elle aussi les PME ?
Oui, à condition d'être proportionnée. Une PME n'a pas besoin du corpus documentaire d'un grand groupe : une analyse de risque ciblée, une PSSI courte et un plan de continuité réaliste suffisent souvent à couvrir l'essentiel et à répondre à NIS2 ou à un client exigeant.
Quel lien entre GRC, NIS2 et ISO 27001 ?
La GRC fournit la matière première exigée par ces référentiels : analyse de risque, politique de sécurité, continuité d'activité, mesures et preuves. Nos livrables GRC sont conçus pour alimenter directement une mise en conformité NIS2 ou une certification ISO 27001.
À quelle fréquence réviser l'analyse de risque et la PSSI ?
Au moins une fois par an, et systématiquement après un changement majeur (nouvelle activité, migration, fusion, incident significatif). Un dispositif GRC vivant se réévalue au rythme des évolutions du système d'information, pas selon un calendrier figé.