Un audit de cybersécurité apporte une photographie utile de la situation d’une entreprise. Il identifie les points forts, les écarts, les risques et les mesures à améliorer.
Mais quelques mois après la restitution, le même scénario se répète souvent :
Le problème ne vient pas nécessairement de la qualité de l’audit. Il vient de l’absence de continuité après la mission.
Pour un consultant GRC, transformer un audit ponctuel en accompagnement mensuel ne doit toutefois pas consister à multiplier les réunions ou à créer une dépendance artificielle. La mission récurrente doit produire une valeur concrète : maintenir le plan d’action, actualiser les preuves, traiter les blocages, suivre les risques et aider la direction à prendre les bonnes décisions.
Le bon modèle repose sur une chaîne simple :
audit initial → plan d’action → revue mensuelle → mise à jour des preuves → suivi des risques → synthèse trimestrielle
Un audit est réalisé à un moment précis, sur un périmètre donné et avec les preuves disponibles à cette date.
Dès la fin de la mission, l’environnement continue pourtant d’évoluer :
Un rapport remis en janvier peut donc ne plus représenter fidèlement la situation en juin.
Le NIST Cybersecurity Framework 2.0 recommande justement de comparer une posture actuelle à une posture cible, puis d’utiliser cette comparaison pour identifier les écarts et évaluer les progrès. ISO 27001 inscrit également la sécurité dans une logique de maintien et d’amélioration continue.
L’audit ne devrait donc pas être considéré comme la fin de la mission. Il constitue le point de départ du pilotage.
Un accompagnement récurrent utile ne consiste pas à refaire un audit complet chaque mois.
Il sert à vérifier que les décisions prises après l’audit produisent réellement des résultats.
Chaque mois, le consultant doit être capable d’aider le client à répondre à quelques questions simples :
La valeur ne vient donc pas du nombre d’heures consommées. Elle vient de la continuité créée entre les décisions, les mesures et leur exécution.
La qualité de l’accompagnement mensuel dépend d’abord de la qualité du diagnostic initial.
L’audit doit établir :
Le consultant doit éviter de produire uniquement une liste de non-conformités.
Chaque constat important doit être traduit en conséquence opérationnelle.
Par exemple :
La revue des habilitations n’est pas formalisée.
devient :
L’entreprise ne vérifie pas régulièrement que les collaborateurs et prestataires conservent uniquement les droits nécessaires. Des accès injustifiés peuvent donc rester actifs après une mobilité ou un changement de mission.
Cette formulation facilite la compréhension, puis la définition de l’action.
L’audit initial devrait produire au minimum :
Un rapport contenant cinquante recommandations ne constitue pas encore un plan d’action.
Chaque action doit comporter :
Le consultant doit également distinguer plusieurs horizons.
Mesures urgentes ou rapides :
Mesures de structuration :
Chantiers plus structurants :
Le plan doit rester compatible avec les ressources du client. Un accompagnement mensuel ne doit pas maintenir artificiellement un volume d’actions impossible à absorber.
La revue mensuelle constitue le cœur de la mission récurrente.
Elle ne doit pas devenir une réunion générale de cybersécurité où chaque participant découvre les sujets en séance.
Une durée de 45 à 90 minutes peut suffire pour une PME, à condition que les informations soient mises à jour en amont.
Avant la réunion, il peut :
La réunion est alors consacrée aux blocages et aux décisions, pas à la recherche d’informations.
La conformité se dégrade rapidement lorsque les preuves ne sont pas actualisées.
Une capture d’écran, un rapport de test ou une revue des droits peut être valable à une date donnée, puis devenir obsolète.
L’accompagnement mensuel doit donc prévoir :
| Mesure | Preuve | Fréquence possible |
| Gestion des accès | Compte rendu de revue des droits | Trimestrielle |
| Sauvegardes | Rapport de test de restauration | Semestrielle ou annuelle selon le risque |
| Vulnérabilités | Rapport de scan et tickets de correction | Mensuelle |
| Sensibilisation | Participation et résultats | Annuelle ou continue |
| Fournisseurs | Revue des prestataires critiques | Annuelle |
| Incidents | Exercice et plan d’amélioration | Annuelle |
Le suivi des risques doit également être vivant.
Un risque peut :
Le consultant doit aider le client à relier l’évolution du risque aux actions réellement réalisées, sans refaire chaque mois une analyse de risques complète.
La direction n’a pas nécessairement besoin de participer à toutes les revues mensuelles.
Elle doit en revanche recevoir périodiquement une vision claire de la trajectoire.
Une synthèse trimestrielle peut tenir en quelques pages et présenter :
La couverture MFA est passée de 72 % à 96 % sur les comptes concernés. Le test de restauration de l’ERP a été réalisé avec succès. En revanche, la revue des accès fournisseurs reste bloquée faute de responsable métier. Une décision est attendue sur la désignation du pilote et sur le budget du prochain exercice de crise.
Cette synthèse traduit l’activité en résultats et en décisions.
Elle évite de présenter uniquement :
Toutes les PME n’ont pas besoin du même accompagnement.
Adapté à une entreprise disposant déjà d’un responsable interne :
Adapté à une PME sans RSSI dédié :
Adapté à une organisation ayant besoin d’un véritable pilotage délégué :
Le niveau de service doit être défini selon les besoins réels, pas selon le nombre maximal de jours que le consultant pourrait vendre.
Un accompagnement récurrent devient problématique lorsque le consultant conserve volontairement toute l’information ou rend le client incapable de poursuivre sans lui.
Une mission saine doit au contraire renforcer progressivement l’autonomie du client.
Le consultant doit laisser :
Même sans RSSI, l’entreprise doit disposer de personnes capables de :
Les mesures, preuves et décisions ne doivent pas rester uniquement dans les fichiers personnels du consultant.
Le client doit pouvoir consulter et récupérer son information.
Tous les six ou douze mois, le consultant et le client peuvent revoir :
Une baisse du nombre de jours peut être un signe de réussite si le client gagne en autonomie.
La proposition commerciale peut préciser :
Cette transparence renforce la confiance et facilite paradoxalement la relation à long terme.
Le consultant doit limiter les indicateurs aux informations qui aident réellement à piloter.
Il faut éviter de valoriser uniquement le volume d’activité. Fermer vingt tâches administratives ne signifie pas nécessairement que le risque a diminué.
Le consultant doit être prudent dans sa formulation.
Il ne peut pas garantir qu’une organisation restera conforme ou qu’aucun incident ne surviendra.
Il peut en revanche proposer :
La promesse commerciale devient alors :
Nous ne nous contentons pas de produire un audit. Nous vous aidons à transformer ses conclusions en actions suivies, à maintenir vos preuves et à donner régulièrement une vision claire à la direction.
Cette promesse est concrète, crédible et mesurable.
Pour un consultant GRC, la difficulté augmente lorsqu’il faut suivre plusieurs clients avec des référentiels, preuves, actions et échéances différents.
CompliKey permet de centraliser, pour chaque client :
L’espace consultant facilite le passage d’une mission à l’autre sans reconstruire systématiquement les supports de suivi.
La plateforme peut aussi servir de base commune entre les interventions : le consultant prépare la revue, le client complète ses éléments et les décisions restent rattachées aux mesures concernées.
L’objectif n’est pas de remplacer l’analyse du consultant ni de prétendre automatiser toute la restitution. Il est de maintenir une continuité entre les audits, de consolider les informations et de faciliter la préparation des synthèses récurrentes.
Transformer un audit ponctuel en accompagnement mensuel utile repose sur cinq étapes :
La mission ne doit pas créer une dépendance artificielle.
Elle doit au contraire :
Le consultant ne vend alors plus uniquement un rapport. Il accompagne la transformation du diagnostic en amélioration durable.
Il peut comprendre le suivi du plan d’action, la mise à jour des preuves, la revue des risques, l’accompagnement des responsables et la préparation d’une synthèse périodique pour la direction.
Cela dépend de la taille de l’entreprise, de sa maturité et du rôle attendu. Une revue légère peut demander quelques heures, tandis qu’une mission de RSSI externalisé peut représenter plusieurs jours par mois.
Le consultant GRC peut intervenir sur un périmètre précis de conformité et de pilotage. Le RSSI externalisé assume généralement une responsabilité plus large : stratégie, gouvernance, risques, prestataires, incidents et reporting.
Non. L’audit initial établit la situation de départ. Les revues mensuelles suivent les changements, les actions, les preuves et les blocages. Une réévaluation plus complète peut être réalisée périodiquement.
En montrant la progression de la maturité, la réduction des écarts, la mise à jour des preuves, le traitement des actions et les décisions prises par la direction.
En documentant les méthodes, en formant les relais internes, en rendant les données accessibles et en définissant dès le départ les modalités de réversibilité.
Un audit ponctuel répond à la question :
Où en sommes-nous aujourd’hui ?
L’accompagnement mensuel répond à une question plus importante :
Comment éviter de perdre le contrôle demain ?
La valeur du consultant ne réside pas dans la multiplication des réunions. Elle réside dans sa capacité à maintenir une trajectoire :
constat → action → responsable → preuve → décision → réévaluation
Lorsqu’il est bien structuré, l’accompagnement récurrent devient utile aux deux parties.
Le client progresse sans devoir recruter immédiatement un RSSI à temps plein.
Le consultant construit une relation durable fondée sur des résultats visibles plutôt que sur une dépendance artificielle.