Conformité cybersécurité : NIS2, DORA, ISO 27001 et audits pour PME et ETI

Les menaces cyber évoluent en permanence et les entreprises doivent s’adapter. Parce qu’il ne suffit pas de déployer une stratégie de cybersécurité complète, nous vous accompagnons dans son évolution et son amélioration continue :

  • Audit de maturité et acculturation de vos équipes aux enjeux de sécurité
  • Assessment Microsoft 365 sécurité
  • Audit et accompagnement vers votre conformité réglementaire
  • Évaluation de votre surface d’attaque pour mieux en gérer les vulnérabilités (Attack Surface Management).
  • Audit de sécurité de vos identités (AD)
  • Mise en œuvre d’actions ciblées d’amélioration et de durcissement
  • Déploiement de solution GRC (Gouvernance Risque et Conformité) pour animer vos équipes
  • Accompagnement en approche RSSI externalisé
Demander un devis

Répondre à vos enjeux cybersécurité d’aujourd’hui et de demain

S’évaluer

Face à des attaques qui se professionnalisent, se poser les bonnes questions : où en est votre organisation ? Quels enjeux traiter en priorité ?

Cartographier

Vous ne pouvez sécuriser que ce que vous connaissez ! Des SI toujours plus hybrides et exposés, une supply chain mouvante : apprenez à maîtriser votre écosystème.

S’appuyer sur des experts

Nous vous accompagnons pour renforcer durablement votre sécurité : expertise technologique, renforcement des configurations, externalisation des services 24/7, etc.

Confiez votre cybersécurité à Sigma, une entreprise d’informatique basée à Nantes et dont toutes les équipes sont localisées en France, disponibles sur site en 24/7.

Faites le choix de la sécurité et de la confiance pour votre SI !

Demander un devis

NIS2 vs DORA : qui est concerné et quelles obligations ?

Comparatif des réglementations européennes de cybersécurité : NIS2 vs DORA
Critère NIS2 DORA
Périmètre Entités essentielles et importantes (énergie, santé, transport, eau, infrastructure numérique, administrations) + leurs sous-traitants significatifs Entités financières (banques, assureurs, mutuelles, PSP, sociétés de gestion) + leurs fournisseurs IT critiques
En vigueur France : fin 2024 Europe : janvier 2025
Obligations clés Politique de gestion des risques, notification des incidents sous 24h, audits réguliers, mesures de sécurité de la chaîne d’approvisionnement Gestion des risques TIC documentée, tests de résilience (TLPT), gestion des incidents, surveillance et reporting des tiers
Sanctions Jusqu’à 10 M€ ou 2 % du CA mondial Jusqu’à 10 M€ ou 5 % du CA mondial
Qui peut vous aider ? Sigma — assessment NIS2, plan de remédiation, RSSI externalisé Sigma — conformité DORA, audit des tiers, tests de résilience

Vous n’êtes pas certain d’être concerné par NIS2 ou DORA ? Sigma réalise un assessment de votre situation en 1 à 2 jours, sur la base de votre secteur, de vos activités et de vos relations avec des entités réglementées. Cet assessment est la première étape avant tout plan de mise en conformité.

Demander mon assessment NIS2 / DORA

Conformité et gouvernance : un enjeu réglementaire, mais pas que !

Le déploiement des directives européennes comme NIS2 et DORA promeut la vision d’un usage numérique plus sûr, dans l’objectif d’atteindre une immunité digitale collective.

Sigma vous accompagne dans votre projet de conformité réglementaire, tout en faisant de lui une vraie opportunité pour la résilience de votre SI.

  • Assessment : nous mesurons votre exposition aux risques cyber.
  • Hardening : nous déployons les actions correctives à court et moyen terme.
  • Devsecops : nous intégrons bydesign la sécurité dans vos évolutions.
Nous contacter

Avec une centralisation sur une seule solution et notre savoir interne, nous sommes capables de corréler les vulnérabilités, de définir des chemins d’attaque, de prioriser des scénarios de risque et d’ajuster au mieux les efforts.

Yves-Marie Ip, expert cybersécurité Sigma

Les 10 étapes pour mettre votre SI en conformité NIS2

Évaluer votre périmètre NIS2

Identifier si votre organisation est entité essentielle ou importante, et quels systèmes sont dans le scope de NIS2.

Désigner un responsable de la sécurité

NIS2 impose une gouvernance identifiable. Nommer (ou externaliser) un RSSI avec les ressources nécessaires.

Cartographier vos actifs critiques

Inventorier tous les systèmes, données et services qui, en cas de compromission, impacteraient vos opérations ou vos clients.

Réaliser un audit de risques

Évaluer les menaces, les vulnérabilités et l’impact potentiel sur chacun de vos actifs critiques.

Définir et documenter votre politique de sécurité (PSSI)

NIS2 exige une politique formalisée, approuvée par la direction et revue régulièrement.

Déployer une stratégie de gestion des incidents

Processus de détection, qualification, notification (ANSSI sous 24h pour les incidents significatifs) et remédiation.

Sécuriser la chaîne d’approvisionnement

Évaluer les risques liés à vos prestataires et fournisseurs technologiques. Exiger des garanties contractuelles.

Mettre en œuvre les mesures techniques

Chiffrement, MFA, segmentation réseau, gestion des correctifs, sauvegarde et PRA testés.

Former vos équipes

L’Article 20 de NIS2 impose la formation des organes de direction et des collaborateurs aux enjeux de cybersécurité.

Tester et auditer régulièrement

Tests d’intrusion, exercices de gestion de crise, revues annuelles de la posture de sécurité.

Télécharger la check-list complète

+ 44 %

de cyberattaques en 2024 par rapport à 2023

Source : Check Point Research

30 %

des incidents opérés depuis un compte valide

Source : IBM Monde 2024

Nous avons choisi d’externaliser le SOC avec SIGMA car nous ne disposons pas en interne de toutes les compétences ni de toute la disponibilité pour assurer une surveillance 24h/24 et 7j/7.

Sylvain Darroy, Directeur des Systèmes d’Information Libaud
Lire le témoignage Libaud

Un écosystème de partenaires technologiques pour renforcer votre résilience

  • Audit Zero Trust & Secure Score avec Microsoft ;
  • Audit AD avec Oradad, Pingcastle ;
  • Attack Surface Management avec Security Score Card ;
  • Identity Access Management avec Entra ID, Bastion Wallix, IDP Keycloack, la gestion de mot de passe Keeper ;
  • Scan de vulnérabilités et vulnerability management avec les frameworks Open Source Greenbone, faraday ou les solutions Tenable.

Assurance cybersécurité : protégez vos actifs !

En 2023, le nombre d’entreprises assurées en matière de cybersécurité a augmenté de 25 %, selon le rapport LUCY par AMRAE. Face à la cybercriminalité, on observe une réelle prise de conscience et la volonté de se protéger.

En partenariat avec Chesneau, Sigma vous propose un accompagnement de proximité et des programmes d’assurance optimisés pour vous.

  • Une infrastructure mieux protégée contre les attaques ;
  • Une vraie méthodologie pour favoriser la cyber résilience de votre SI ;
  • Des garanties solides pour mieux vous relever suite à une éventuelle attaque.

Vous souhaitez un devis ou une démo ? Contactez-nous.

Formulaire offre RGAA
Les champs marqués d’une * sont obligatoires. Pour plus d’informations sur le traitement de vos données et vos droits, consultez notre politique de confidentialité.

Foire aux questions

Qu’est-ce qu’un EDR ? 

Un EDR (Endpoint Detection and Response) est un outil capable de détecter les menaces en termes de sécurité informatique, et ceci quels que soient les supports concernés (ordinateurs, serveurs, tablettes, objets connectés, etc.). Plus efficace qu’un antivirus traditionnel, l’EDR répond plus rapidement aux incidents, démontre moins de faux positifs et peut bloquer les menaces de manière plus efficace.

Qu’est-ce qu’un SIEM ?

Un SIEM est un système de gestion des événements et des informations de sécurité. Il collecte et catégorise de nombreuses informations pour détecter rapidement les comportements inhabituels et/ou suspects. Le SIEM traite aussi bien les données des périphériques réseau (routeurs, commutateurs, points d’accès sans fil, etc.) que des serveurs, des dispositifs de sécurité et des applications.

Quel est l’intérêt d’un SIEM si l’on dispose déjà d’un XDR ?

Le SIEM est capable de collecter des événements provenant de sources et natures diverses, puis de les corréler pour identifier les comportements anormaux le plus rapidement possible. Complémentaire de l’EDR, il permet une protection à 360° de votre SI.

Qu’est-ce que la gestion des accès et des identités (IAM) ?

L’objectif de la gestion des accès et des identités (IAM) est de contrôler quelles sont les personnes qui peuvent accéder aux ressources de l’entreprise. De cette manière, on va protéger à la fois les applications, les fichiers et les données.

L’IAM peut désigner à la fois des processus et des outils pour vérifier les identités, attribuer les permissions et globalement protéger les données des intrusions / cyberattaques.

Quels sont les enjeux de la gestion des vulnérabilités dans une stratégie cyber ?

Au travers d’une démarche continue et proactive, la gestion des vulnérabilités permet d’identifier, d’évaluer et de corriger les failles de sécurité du système informatique le plus rapidement possible.

Cette approche contribue à prévenir les cyberattaques et à minimiser leurs dommages potentiels.

Qu’est-ce que la GRC (Gouvernance, Risque et Conformité) ?

La GRC est une approche structurée qui permet d’aligner les objectifs informatiques avec ceux de l’entreprise tout en gérant les risques et en respectant les réglementations.

Elle comprend des outils et des processus pour unifier la gouvernance, la gestion des risques et la conformité. Une bonne GRC aide à prendre des décisions éclairées, à réduire les incertitudes et à garantir que l’entreprise respecte les lois et règlements en vigueur.

Qu’est-ce que NIS2 et quelles sont les obligations pour mon entreprise ?

NIS2 (Directive UE 2022/2555) impose des obligations de cybersécurité aux entités essentielles et importantes dans des secteurs élargis, ainsi qu’à leurs sous-traitants significatifs. Les obligations incluent une politique de sécurité documentée, la notification des incidents sous 24h à l’ANSSI, des tests réguliers (audits, tests d’intrusion) et la formation des équipes. Les sanctions atteignent 10 M€ ou 2 % du CA mondial. Sigma vous accompagne de l’assessment initial à la conformité complète.

Qu’est-ce que DORA et qui est concerné ?

DORA (Digital Operational Resilience Act) est en vigueur depuis janvier 2025 pour les entités financières et leurs fournisseurs IT critiques. Il exige une gestion des risques TIC structurée, des tests de résilience (dont les TLPT pour les établissements significatifs), une gestion et notification des incidents, et une surveillance des prestataires tiers. Sigma accompagne les entités financières concernées dans leur mise en conformité DORA.

Sigma peut-il accompagner une démarche ISO 27001 ?

Oui. Sigma accompagne les entreprises dans leur certification ISO 27001 : définition du périmètre SMSI, analyse des risques, mise en place des 93 contrôles de l’annexe A, revue documentaire et préparation de l’audit de certification. Sigma est lui-même certifié ISO 27001, ce qui garantit une expertise opérationnelle et non seulement théorique.

Qu’est-ce qu’un RSSI externalisé et pourquoi y avoir recours ?

Un RSSI externalisé (ou vCISO) est un expert en cybersécurité qui assure la fonction de Responsable de la Sécurité des Systèmes d’Information à temps partiel pour votre organisation. C’est la solution idéale pour les PME et ETI qui ont besoin d’une gouvernance cyber structurée sans les coûts d’un RSSI à temps plein (80 000 € à 150 000 €/an).

Nos clients témoignent

Consultez tous les témoignages clients