juin 2026
8 articles
Comment préparer votre organisation à la conformité NIS 2
L'application de NIS 2 arrive en 2026. Voici la feuille de route pratique, directe et sans détour pour mettre votre organisation en conformité, sans vous noyer dans la paperasse ni perdre des mois en théorie.
Comment planifier des audits internes couvrant plusieurs référentiels
Gérer simultanément ISO/IEC 27001, GDPR, NIS 2, DORA, SOC 2 et d'autres référentiels peut sembler insurmontable. Voici comment construire un programme d'audit interne unique et efficace, applicable à l'ensemble de vos cadres de conformité.
Comment intégrer le risque IA dans votre ISMS et votre registre des risques existants
L'IA introduit de nouveaux risques que votre ISMS n'a jamais été conçu pour gérer. Voici la méthode claire et pratique pour intégrer le risque IA dans votre registre des risques ISO 27001 existant, sans réinventer l'ensemble de votre modèle de gouvernance.
Comment évaluer les prestataires tiers comme un CISO (la vraie méthode)
La sécurité des prestataires ne se résume pas à des checklists ; elle repose sur le contexte, les contrats, la gouvernance et la crédibilité. Voici le guide terrain, sans concession, pour évaluer les tiers comme le fait un CISO moderne.
Comment construire une piste d'audit qui résiste à l'examen le plus rigoureux
Les régulateurs, les auditeurs et les tribunaux ne s'intéressent pas à vos intentions ; ils s'intéressent à ce que vous pouvez prouver. Voici comment construire une piste d'audit qui résiste à NIS2, DORA, GDPR, AI Act et à une analyse forensique.
Comment construire un registre des risques IA (avec modèle)
L'IA introduit de nouveaux risques que les registres des risques traditionnels ne peuvent pas capturer. Voici la méthode claire et pragmatique pour construire un registre des risques IA, ainsi qu'un modèle prêt à l'emploi que vous pouvez appliquer dès aujourd'hui.
Comment l'IA transforme l'audit et la gestion de la conformité
L'IA ne remplace pas les auditeurs ni les équipes conformité ; elle redéfinit leur façon de travailler. Voici un état des lieux concret, issu du terrain, sur la manière dont l'IA transforme le risque, l'audit, les preuves et la gouvernance en 2026 et au-delà.
Évaluer les prestataires cloud sous DORA & NIS2
Les prestataires cloud se trouvent désormais au cœur des exigences réglementaires. Voici comment les évaluer correctement sous DORA et NIS2, sans vous noyer dans la paperasse ni passer à côté des risques critiques.
mai 2026
6 articles
Conformité continue : transformer les audits en pratique opérationnelle permanente
Les audits annuels sont morts. La conformité continue est le seul modèle qui résiste à NIS2, DORA, ISO 27001, SOC 2, GDPR et l'AI Act. Voici comment transformer la conformité en habitude opérationnelle vivante ; pas en crise de panique annuelle.
ChatGPT peut-il rédiger votre politique SMSI ? Un test concret
L'IA peut-elle écrire vos politiques SMSI ? Oui, mais pas de la façon dont la plupart des gens l'imaginent. Voici un retour terrain sur ce qui fonctionne, ce qui échoue, et comment utiliser l'IA de manière sécurisée dans votre programme de gouvernance.
Construire un tableau de bord conformité qui parle le langage du conseil d'administration
La plupart des tableaux de bord conformité noient les dirigeants sous les données. Voici comment en construire un qui parle le langage du conseil : clair, stratégique, et prêt à éclairer les décisions.
La prochaine étape de Bruxelles : ce qui vient après NIS2 et DORA
NIS2 et DORA n'étaient que la phase 1. AI Act, Data Act, CRA, EUCS et les nouvelles règles de responsabilité sont sur le point de définir la phase 2. Voici la feuille de route concrète que les responsables GRC doivent anticiper.
Articuler GDPR, NIS2 et DORA pour une conformité unifiée
GDPR, NIS2 et DORA se recoupent bien plus que la plupart des organisations ne le pensent. Voici comment construire un modèle de conformité unifié plutôt que trois chantiers séparés.
Le programme de sensibilisation est mort.
La formation de sensibilisation réduit le risque, mais seulement lorsqu'elle est conçue pour de vrais humains, des incitations réelles et un contexte ancré dans la réalité. Voici pourquoi la plupart des programmes échouent ; et ce qui fonctionne vraiment.
mars 2026
3 articles
ISO27001 : J'ai hérité d'un SMSI. C'était un dossier SharePoint avec 200 documents et une prière.
Ce que personne ne vous dit sur la mise en œuvre d'ISO27001, et comment arrêter de faire semblant en 5 jours. Du 11 au 15 mai, en ligne.
NIS 2 est en vigueur. Votre régulateur n'attendra pas.
Passer de « j'ai lu la directive » à « je peux la mettre en œuvre » en 5 jours. Du 4 au 8 mai, en ligne.
Votre BIA est probablement un tableur rempli par une seule personne.
Modèle d'analyse d'impact sur les activités gratuit. Trois sections. Matrice d'impact prête à l'emploi. Conforme ISO 22301.
février 2026
1 article
janvier 2026
21 articles
Le storytelling pour les responsables conformité
Les faits informent, mais ce sont les histoires qui donnent envie de s'engager dans la conformité.
KPIs GRC qui comptent : comment prouver la conformité par les chiffres
La plupart des KPIs GRC ne servent à rien. Voici ceux qui prouvent réellement la conformité et orientent les décisions.
Comment amener les dirigeants à s'intéresser vraiment au risque
Comment amener les dirigeants à s'intéresser vraiment au risque ; et à agir en conséquence.
Les tableaux de bord GRC que les dirigeants lisent vraiment
Si vous voulez capter l'attention des dirigeants, cessez de reporter comme un responsable conformité et commencez à reporter comme un partenaire business.
Comment mener une évaluation des risques qui n'ennuie pas le conseil d'administration
Si vous voulez que votre conseil d'administration s'implique vraiment, et ne subisse pas simplement vos slides, vous devez transformer l'évaluation des risques en une véritable conversation de décision. Voici comment.
Comment parler conformité à des non-GRC (et les convaincre que ça les concerne)
Comment parler GRC à des non-GRC (et les convaincre que ça les concerne)
5 erreurs dans les registres des risques (et comment les corriger)
Parce que la plupart des registres des risques ne sont que des tableurs coûteux remplis de vœux pieux.
Top 10 des écarts que les auditeurs rechercheront sous NIS 2
Et pourquoi « nous avons une politique pour ça » ne suffira pas cette fois avec NIS 2
De la case à cocher à la stratégie : la fin de la conformité de façade
La conformité fondée sur des listes de contrôle est en train de mourir. Voici comment les organisations passent d'une maturité fictive à une sécurité stratégique réelle.
Gouvernance de l'IA vs. conformité IA : quelle différence ?
Et pourquoi confondre gouvernance de l'IA et conformité IA peut vous coûter cher.
Le guide complet des certifications ISO pour les professionnels GRC
Un guide pratique, éprouvé sur le terrain, sur les certifications ISO que tout professionnel GRC doit maîtriser ; et pourquoi elles comptent concrètement.
Comment rédiger des politiques que les gens suivent vraiment
Parce que « Conformément aux exigences légales applicables… » n'est pas ainsi que les humains parlent. Vos politiques ne devraient donc pas inclure ce type de formulation.
Des politiques de classification des données qui fonctionnent vraiment
Parce que la plupart des étiquettes « Confidentiel / Interne / Public » ne sont que de la décoration.
Du poste de stagiaire au CISO : comment construire une carrière GRC qui progresse
Une feuille de route éprouvée sur le terrain, du poste d'analyste GRC junior au CISO, sans se perdre dans les modèles, les audits ou les méandres des grandes organisations.
Leçons tirées des audits échoués : ce que toute organisation doit en retenir
Pourquoi les audits échouent, ce que cela signifie vraiment, et les leçons que toute organisation doit tirer pour ne pas reproduire les mêmes erreurs.
Lead Auditor vs. Lead Implementer : quelle certification vous correspond ?
Comment parler GRC à des non-spécialistes (et les convaincre de s'y intéresser)
Top 10 constats d'audit en 2025 : les vrais
Notes de terrain issues d'évaluations d'écarts réelles menées en Europe, pas de manuels.
Comment bâtir une culture de conformité au-delà des checklists
La culture de conformité ne se construit pas avec des politiques ou des checklists ; elle se construit avec des comportements, une appropriation claire et de la lisibilité.
Comment se démarquer en tant que vCISO
Comment un vCISO peut véritablement se distinguer sur un marché saturé en étant pragmatique, humain et résolument utile.
Pourquoi 2026 sera l'année de la convergence de la conformité
Comment parler GRC aux non-initiés (et les faire adhérer) D'ici 2026, les entreprises qui survivront à la tempête réglementaire, NIS2, DORA, l'AI Act, le CRA Act, le DATA Act, l'ESG, la vie privée, entre autres, seront celles qui auront enfin cessé de gérer les référentiels en silos. Nous entrons dans l'ère de la convergen
Quand Excel suffit et quand il vous faut une vraie plateforme GRC
Excel fonctionne… jusqu'au moment où ça ne marche plus. Voici la frontière pragmatique entre les tableurs « suffisants » et le moment où votre organisation a réellement besoin d'une plateforme GRC.