Audit & Diagnostic
Cartographiez vos risques. Mesurez votre maturité. Tracez votre cap.
Nos audits et diagnostics vous offrent une vision claire et objective de votre posture de sécurité. Identifiez vos vulnérabilités, évaluez votre niveau de conformité et obtenez une feuille de route opérationnelle pour renforcer votre gouvernance des risques.
Pourquoi réaliser un audit de sécurité ?
Dans un environnement réglementaire en constante évolution et face à des cybermenaces toujours plus sophistiquées, connaître précisément votre niveau de maturité en matière de gouvernance des risques IT n'est plus une option, c'est une nécessité stratégique.
Visibilité sur votre exposition aux risques
Sans cartographie précise, vous naviguez à l'aveugle dans l'océan des menaces cyber. Nous identifions et priorisons vos risques selon leur criticité métier, pas seulement leur dimension technique.
Conformité réglementaire
DORA, NIS2, ISO 27001... Les exigences s'accumulent et les sanctions se durcissent. Nous évaluons précisément vos écarts par rapport aux référentiels applicables et vous fournissons un plan de remédiation priorisé.
Optimisation des investissements sécurité
Comment allouer efficacement vos ressources sans vision claire des priorités ? Nos audits vous permettent de cibler les actions à fort impact et d'optimiser votre ROI sécurité.
Démonstration de la diligence
Vos parties prenantes (direction, clients, régulateurs, assureurs) exigent des preuves de votre maturité. Nous vous fournissons des rapports structurés et des KPI objectifs pour démontrer votre niveau de maîtrise.
Une gamme complète d'audits pour éclairer tous vos angles morts
Nous adaptons notre approche à vos besoins spécifiques, de l'audit express à l'analyse approfondie multi-référentiels.
Évaluez votre niveau de conformité au référentiel international de management de la sécurité de l'information.
Préparez-vous au règlement européen sur la résilience opérationnelle numérique du secteur financier.
Anticipez les obligations de la directive européenne sur la sécurité des réseaux et systèmes d'information.
Mesurez objectivement votre niveau de maturité en Gouvernance, Risque et Conformité.
Identifiez et traitez vos risques numériques avec la méthode de référence française et européenne.
Audit de Conformité ISO 27001
Évaluez votre niveau de conformité au référentiel international de management de la sécurité de l'information
L'audit ISO 27001 examine l'ensemble des 93 mesures de sécurité (Annexe A) ainsi que votre système de management de la sécurité de l'information (SMSI). Nous évaluons la conception, la mise en œuvre et l'efficacité de vos processus selon une méthodologie reconnue par les organismes certificateurs.
Ce que nous analysons
Contexte de l'organisation et parties intéressées, Politique de sécurité et engagement de la direction, Appréciation et traitement des risques, 93 mesures de sécurité de l'Annexe A, Documentation et gestion des preuves, Surveillance et amélioration continue.
Livrables
Rapport d'audit détaillé avec scoring par domaine, Gap analysis avec écarts majeurs et mineurs, Matrice de conformité mesure par mesure, Feuille de route de mise en conformité priorisée, Estimation des efforts de remédiation, Recommandations pour la certification.
Durée & Public
Entre 5 et 15 jours selon la taille et la complexité de votre organisation. Pour les organisations préparant une certification ISO 27001 ou devant démontrer leur conformité.
Audit de Conformité DORA
Préparez-vous au règlement européen sur la résilience opérationnelle numérique du secteur financier
Le Digital Operational Resilience Act (DORA) impose aux entités financières et à leurs prestataires ICT critiques des exigences strictes. Notre audit DORA évalue votre conformité aux 5 piliers du règlement.
⚠️ Échéance proche
Application obligatoire au 17 janvier 2025
Les 5 piliers DORA
Gestion des risques liés aux TIC, Gestion des incidents, Tests de résilience opérationnelle, Gestion du risque lié aux prestataires tiers ICT, Mécanismes de partage d'informations.
Livrables clés
Rapport de conformité DORA exhaustif, Gap analysis par pilier et par article, Matrice de criticité des écarts réglementaires, Plan de mise en conformité avec jalons, Templates de documentation DORA (registres, procédures), Cartographie des prestataires ICT critiques.
Date limite
17 janvier 2025 : application obligatoire du règlement DORA. Entre 8 et 20 jours d'audit selon la complexité de votre écosystème ICT.
Audit de Conformité NIS2
Anticipez les obligations de la directive européenne sur la sécurité des réseaux et systèmes d'information
La directive NIS2 renforce les exigences de cybersécurité pour les opérateurs de services essentiels (OSE) et importants (OSI). Notre audit évalue votre conformité aux mesures techniques, organisationnelles et de gouvernance imposées.
Périmètre d'analyse
Gouvernance de la cybersécurité, Mesures de gestion des risques, Mesures techniques et opérationnelles, Sécurité de la chaîne d'approvisionnement, Obligations de notification (24h/72h).
Pour qui ?
Secteurs hautement critiques (OSE) : Énergie, transport, santé, eau, infrastructure numérique. Autres secteurs critiques (OSI) : Services postaux, gestion des déchets, fabrication, services numériques, recherche.
Nos livrables
Évaluation de votre classification (OSE/OSI), Gap analysis par catégorie de mesures, Analyse de l'implication de la direction, Plan de mise en conformité, Procédures de notification d'incidents, Évaluation des risques de sanctions.
Évaluation de Maturité GRC
Mesurez objectivement votre niveau de maturité en Gouvernance, Risque et Conformité
Au-delà de la conformité pure, notre évaluation de maturité GRC vous permet de comprendre où vous vous situez dans votre parcours d'excellence. Nous utilisons des modèles de maturité reconnus (CMMI, COBIT, ISO/IEC 15504).
5 Dimensions évaluées
Gouvernance (structures, rôles, alignement), Gestion des risques (méthodologie, traitement), Conformité (veille, audits, preuves), Opérations de sécurité (vulnérabilités, incidents, continuité), Culture et compétences (sensibilisation, formation).
Échelle de maturité
Niveau 1 - Initial (ad-hoc, réactif), Niveau 2 - Reproductible (partiellement documenté), Niveau 3 - Défini (standardisé, proactif), Niveau 4 - Maîtrisé (mesuré, piloté), Niveau 5 - Optimisé (amélioration continue, innovation).
Résultats exploitables
Radar de maturité visuel (spider chart), Benchmarking sectoriel, Roadmap d'amélioration pluriannuelle, Quick wins et actions prioritaires, Plan de montée en compétence.
Analyse de Risques EBIOS Risk Manager
Identifiez et traitez vos risques numériques avec la méthode de référence française et européenne
EBIOS Risk Manager (EBIOS RM) est la méthode officielle de l'ANSSI pour l'appréciation et le traitement des risques numériques. En tant qu'experts certifiés EBIOS RM, nous déployons cette méthode avec rigueur et pragmatisme.
🎯 Expertise unique
Nous intégrons l'intelligence économique pour identifier les menaces ciblées sur vos actifs stratégiques
Les 5 ateliers EBIOS RM
Atelier 1 : Cadrage et socle de sécurité. Atelier 2 : Sources de risque. Atelier 3 : Scénarios stratégiques. Atelier 4 : Scénarios opérationnels. Atelier 5 : Traitement du risque.
Notre valeur ajoutée
Experts certifiés EBIOS RM par l'ANSSI, Intégration de l'intelligence économique dans l'analyse des sources de risque, Ateliers collaboratifs impliquant métiers, IT et direction, Scénarios réalistes basés sur la threat intelligence.
Engagement
15 à 30 jours répartis sur 2-3 mois (incluant ateliers et rédaction). Idéal pour les organisations manipulant des informations sensibles, projets stratégiques, secteurs régulés.
Une démarche éprouvée en 5 étapes
Quelle que soit la prestation choisie, nous suivons une méthodologie rigoureuse garantissant la qualité et l'exploitabilité de nos audits.
PRÉPARATION
Kick-off et alignement sur les objectifs, définition du périmètre précis, identification des interlocuteurs clés, collecte documentaire préalable, préparation des questionnaires et grilles d'audit.
COLLECTE
Entretiens avec les parties prenantes, revue documentaire approfondie, observations terrain et visites, tests techniques si applicable, analyse des preuves et enregistrements, vérification de l'implémentation des contrôles.
ANALYSE
Consolidation des constats, évaluation de la conformité ou maturité, identification des écarts et non-conformités, analyse de causes racines, évaluation de la criticité des écarts, formulation des recommandations.
RESTITUTION
Rédaction du rapport d'audit, préparation de la présentation exécutive, réunion de restitution avec la direction, réunion technique avec les équipes opérationnelles, échanges et clarifications, validation factuelle des constats.
ACCOMPAGNEMENT POST-AUDIT
Ateliers de priorisation des actions, élaboration du plan de remédiation détaillé, support à la mise en œuvre des quick wins, revues d'avancement périodiques, accompagnement à la levée des écarts critiques.
Pourquoi choisir HASARISK pour vos audits ?
Expertise certifiée
Nos auditeurs sont certifiés sur les référentiels audités (EBIOS RM, ISO 27001 Lead Auditor, etc.) et possèdent une expérience significative dans votre secteur d'activité.
Approche métier
Nous ne nous contentons pas d'une analyse technique. Nous comprenons vos enjeux business et traduisons les risques IT en impacts métier compréhensibles par la direction.
Dimension intelligence économique
Notre expertise unique en intelligence économique enrichit nos analyses de risques, notamment pour identifier les menaces ciblées et protéger vos actifs stratégiques.
Livrables actionnables
Pas de rapports théoriques : nous fournissons des feuilles de route opérationnelles, priorisées et chiffrées que vous pouvez mettre en œuvre immédiatement.
Indépendance et objectivité
En tant que cabinet de conseil pur, nous n'avons aucun conflit d'intérêt avec des éditeurs ou intégrateurs. Notre seul objectif : votre sécurité.
Accompagnement dans la durée
L'audit n'est que le début. Nous restons à vos côtés pour vous accompagner dans la mise en œuvre des recommandations et la levée des écarts.
— RSSI, Institution financière
Un accompagnement de qualité
"L'audit DORA réalisé par HASARISK nous a permis d'identifier précisément nos écarts et de construire une roadmap réaliste. Leur expertise métier et leur connaissance du secteur financier ont fait la différence."
Questions fréquentes sur nos audits
Quelle est la différence entre un audit et une évaluation de maturité ?
Un audit évalue la conformité à un référentiel précis (ISO 27001, DORA, NIS2) avec une logique binaire (conforme / non conforme). Une évaluation de maturité mesure votre niveau de sophistication sur une échelle progressive (niveaux 1 à 5) sans nécessairement viser un référentiel spécifique. L'audit est souvent imposé par la réglementation ou une certification, tandis que la maturité est une démarche volontaire d'amélioration continue.
Combien de temps dure un audit ?
La durée varie selon la prestation et la taille de votre organisation : Audit ISO 27001 (5 à 15 jours), Audit DORA (8 à 20 jours), Audit NIS2 (6 à 15 jours), Évaluation maturité GRC (4 à 10 jours), Analyse EBIOS RM (15 à 30 jours sur 2-3 mois). Ces durées incluent la préparation, la collecte, l'analyse et la restitution.
Dois-je réaliser tous les audits en même temps ?
Non, et ce n'est généralement pas recommandé. Nous vous conseillons de prioriser selon vos obligations réglementaires, vos objectifs stratégiques et votre maturité actuelle. Nous pouvons néanmoins mutualiser certaines analyses pour optimiser l'effort.
Que se passe-t-il après l'audit ?
Après la restitution, vous disposez de plusieurs options : auto-remédiation en interne, accompagnement partiel sur les sujets complexes, accompagnement complet pour piloter la mise en conformité, ou suivi périodique avec revues d'avancement trimestrielles. Le choix dépend de vos ressources internes et de la criticité des écarts.
Vos audits sont-ils reconnus par les organismes certificateurs ?
Nos audits ISO 27001 suivent la méthodologie des organismes certificateurs accrédités, ce qui facilite grandement l'audit de certification. Cependant, l'audit de certification reste obligatoire et doit être réalisé par un organisme accrédité (COFRAC en France). Notre audit constitue une excellente préparation et réduit significativement les risques de non-conformités lors de l'audit officiel.
Puis-je auditer uniquement une partie de mon organisation ?
Oui, vous pouvez définir un périmètre restreint (une filiale, un processus métier critique, un système d'information spécifique). Nous adaptons le scope de l'audit à vos besoins et contraintes. Attention toutefois : pour une certification ISO 27001 ou une conformité réglementaire (DORA, NIS2), le périmètre doit couvrir l'ensemble des activités concernées.
Combien coûte un audit ?
Le coût dépend de plusieurs facteurs : taille et complexité de votre organisation, périmètre de l'audit, type de prestation, nombre de sites à auditer, niveau de préparation existant. Contactez-nous pour un devis personnalisé. Nous proposons systématiquement une première réunion gratuite pour cadrer précisément vos besoins.
Dois-je préparer l'audit en amont ?
Oui, une bonne préparation optimise la durée et le coût de l'audit. Nous vous fournissons un questionnaire préparatoire, une liste documentaire à collecter, un guide de préparation et une liste des interlocuteurs à mobiliser. Plus vous êtes préparé, plus l'audit est efficace et les résultats exploitables rapidement.
Be a part of our vision
Discover a dynamic work environment, unparalleled growth opportunities, and the chance to make a meaningful impact.