Conformité

Conformité & Gouvernance

Structurer et faire avancer votre conformité — avec une méthode projet claire, des livrables opérationnels et un langage accessible.

Quelques termes utiles

SMSI: Système de management de la sécurité de l'information — cadre pour identifier les risques, appliquer des mesures de protection et améliorer en continu la sécurité de vos données et de vos systèmes.
ISO 27001: Norme internationale qui définit les exigences d'un SMSI. La certification est volontaire : vous choisissez le périmètre à certifier.
NIS2: Directive européenne (Network and Information Security) qui renforce les obligations de cybersécurité pour certaines organisations. En France, la transposition en loi a pris du retard, mais un règlement d'exécution s'applique déjà à certains acteurs du numérique depuis octobre 2024.
Entité essentielle / importante: Classification NIS2 selon votre secteur d'activité et votre taille. Les « entités essentielles » et « entités importantes » doivent mettre en place des mesures de sécurité renforcées et peuvent être contrôlées par les autorités. Le portail NIS2 permet de vérifier si vous êtes concerné.
CRA: Cyber Resilience Act — règlement européen sur la sécurité des produits comportant des éléments numériques (logiciels, objets connectés).

Les 3 référentiels

ISO 27001

Structurer la gouvernance, déployer un SMSI et viser la certification sur un périmètre choisi.

NIS2

Diagnostic, feuille de route et mise en conformité à la directive européenne.

CRA

Sécuriser les produits logiciels et matériels connectés que vous placez sur le marché.

Lequel me concerne ?

Référentiel	En bref	Vous êtes probablement concerné si…	Première étape SOOIZ
ISO 27001	Certification volontaire d'un SMSI sur un périmètre que vous définissez.	Toute organisation — PME, association, ETI — qui souhaite structurer sa sécurité de l'information ; ou dont les clients, assureurs ou appels d'offres exigent une démarche formalisée ou une certification.	Diagnostic de maturité et cadrage du périmètre SMSI
NIS2	Obligation réglementaire pour certaines organisations ; périmètre imposé (tout le SI à risque cyber).	Votre organisation est identifiée comme entité essentielle ou importante (énergie, santé, transport, collectivités, industrie critique, etc.) ; ou vous êtes prestataire de services numériques soumis au règlement d'exécution depuis octobre 2024 ; ou vos donneurs d'ordre vous interrogent sur votre niveau cyber.	Diagnostic initial et feuille de route 12 à 36 mois
CRA	Sécurité by design des produits numériques commercialisés.	Vous éditez ou intégrez des logiciels, applications ou matériels connectés destinés au marché européen.	Cartographie produit et plan de mise en conformité

Méthode projet

Les grandes phases d'un projet de conformité

Que ce soit pour ISO 27001 ou NIS2, SOOIZ structure l'accompagnement en quatre phases — avec formation continue de vos équipes pendant le projet.

1. Initialisation

Engagement de la direction, cadrage du périmètre, définition des rôles et du contexte organisationnel.

2. Analyse des risques

Appréciation des risques, traitement et plan d'action — socle de la démarche.

3. Mise en œuvre

Déploiement des contrôles, politiques, procédures et sensibilisation des équipes.

4. Suivi & amélioration

Revues de direction, audits internes, préparation certification ou contrôles réglementaires.

Avant-vente · gratuit

Prenons rendez-vous → Rendez-vous découverte Suggestions d'amélioration Proposition commerciale

Prestation

Audit · Conseil & stratégie · Pilotage projet · RSSI à temps partagé

IA & conformité

Accompagnement assisté ou non par IA

Sur un projet ISO 27001, NIS2 ou CRA, certaines actions peuvent être accélérées par l'IA — rédaction, analyse, automatisation — sans remplacer le jugement métier ni la responsabilité de la direction. SOOIZ adapte le niveau d'assistance à votre contexte, votre maturité et vos contraintes de confidentialité.

L'assistance IA reste optionnelle : chaque livrable est relu, adapté et validé avant d'entrer dans le SMSI ou le dossier réglementaire.

Gouvernance des usages IA Parler de votre projet

Rédaction & structuration documentaire

Politiques, procédures, registres : aide au chapitrage et à une première rédaction calée sur votre périmètre — puis reprise et validation par vos équipes.

Analyse des risques

Exploration des scénarios pertinents, complétude des axes d'appréciation et priorisation des sujets à traiter — l'expert valide et arbitre les mesures retenues.

Automatisation des processus

Workflows de revue, relances, checklists et tâches récurrentes du SMSI : moins de temps sur l'opérationnel, plus sur le pilotage et l'amélioration continue.

Preuves & contrôles de conformité

Recueil structuré des éléments attendus, contrôles périodiques et tableaux de bord — une traçabilité exploitable, sans fichiers dispersés ni doublons.

Pour aller plus loin

ISO 27001 — Norme internationale (ISO.org)
Cadre normatif du SMSI — compléter avec l'article Actu/Blog ISO 27001 et la landing Conformité ISO 27001 SOOIZ.
ANSSI — Publications réglementaires et guides

Parler de votre conformité

Un premier échange de 30 minutes suffit pour voir si nos approches correspondent à vos enjeux.

Prendre rendez-vous