NIS2 et RGPD : vos obligations sont réelles.
Votre DSI ne l'est pas.
RSSI externalisé pour cabinets de 20 à 100 collaborateurs. Mise en conformité, sécurisation, formation — un seul interlocuteur, qui connaît votre calendrier fiscal.
NIS2 ne demande plus la permission.
La directive NIS2 transposée en droit français en 2025 élargit massivement le périmètre des entités concernées. Les cabinets d'expertise comptable de plus de 50 collaborateurs ou dépassant 10 M€ de chiffre d'affaires entrent dans la catégorie « entité importante ».
- Notification des incidents significatifs sous 24 h à l'ANSSI
- Mise en place d'une politique sécurité documentée
- Gestion des risques fournisseurs (sous-traitance IT et SaaS)
- Formation des dirigeants à la cybersécurité
- Sanctions jusqu'à 7 M€ ou 1,4 % du CA mondial
Trois risques spécifiques à votre cabinet.
Données financières clients
Bilans, paie, déclarations fiscales : votre base de données est une cible de choix pour les rançongiciels et les fuites.
Calendrier fiscal
Une indisponibilité en pleine période fiscale (mars-mai) coûte beaucoup plus cher qu'à d'autres moments. La continuité doit être planifiée.
Secret professionnel
Une fuite de données peut engager votre responsabilité ordinale et conventionnelle, en plus des sanctions CNIL.
Quatre leviers concrets.
Conformité NIS2 + RGPD
Politique de sécurité documentée, procédures incident, registre RGPD à jour. Prêts pour un contrôle.
Sécurisation SI comptable
MFA sur les outils métier (Sage, Cegid, ACD…), durcissement, sauvegardes 3-2-1 testées en période fiscale.
Formation collaborateurs
Sessions ciblées 1 h pour comptables et assistants : phishing, ingénierie sociale, gestion des accès.
Registre à jour pour la CNIL
Outillage ClarIO. Exports prêts en cas de demande, sans paniquer.
Le seul RSSI qui connaît votre cycle.
Une cyber-mission qui ignore mars-mai est une mission qui tombera mal. Voici comment je m'adapte au rythme du cabinet.
- Revue des accès (anciens stagiaires, collabs partis)
- Test de restauration de sauvegarde
- Durcissement postes Sage / Cegid / ACD avant montée en charge
- Astreinte renforcée (option Standard / Premium)
- Monitoring 7j/7 des accès anormaux et tentatives de phishing
- Procédure incident testée, point de contact ANSSI identifié
- Audit annuel léger (revue PSSI, conformité RGPD)
- Revue des contrats sous-traitants (clauses NIS2)
- Formation collaborateurs (1 h ciblée) avant la rentrée
- Comité de pilotage trimestriel
- Budget cyber N+1 cadré, présenté à l'associé gérant
- Préparation contrôle ANSSI (le cas échéant) ou audit blanc
Trois formats. Selon votre maturité.
Aucune obligation de commencer par la plus grosse. La plupart des cabinets démarrent par l'Audit Flash, puis enchaînent.
Audit Flash adapté cabinets
Diagnostic complet : NIS2, RGPD, sécurité opérationnelle. Rapport 10-15 pages + plan d'action 30/60/90 jours.
Voir l'Audit FlashRSSI Externalisé Essentiel
Pilotage continu : PSSI, suivi des actions, comité trimestriel, formation incluse. Adapté cabinets 20-50 collab.
Voir le RSSI Ext.Conformité NIS2 — Mission
Mise en conformité clé en main : gap analysis, politiques opposables, procédures notification 24h/72h.
Voir Conformité NIS2Cadres et normes utilisés en mission.
Maîtrise du référentiel ≠ certification officielle. Voir la page À propos pour le détail des diplômes et certifications.
Cabinet PACA, 35 collaborateurs.
Contexte. Cabinet de 35 collaborateurs en PACA, secteur services. Pas de RSSI, prestataire IT historique compétent côté run mais sans pilotage stratégique.
Mission. Audit Flash + 6 mois RSSI Externalisé Standard.
Résultats. Registre RGPD à jour, MFA déployé sur 100 % des postes, PSSI documentée, 2 incidents traités sans interruption métier.
Spécifiquement pour les cabinets.
1 journée pour comprendre où vous en êtes vis-à-vis de NIS2, RGPD et de la sécurité opérationnelle.