Logo Complikey
Accueil
Produits
Normes
Consultants
Tarifs
Blog
Contact
Planifier une démo

Consultants cybersécurité : gérer 10 clients sans Excel (méthode scalable)

Par AlexV
Le 07/05/2026

Consultants cybersécurité : comment gérer 10 clients sans multiplier les fichiers Excel


Quand un consultant cybersécurité passe de 2 ou 3 clients à 8, 10 ou 15 clients actifs, le même problème apparaît presque toujours : les fichiers se multiplient plus vite que le pilotage.

Un Excel pour le plan d’action, un autre pour les preuves, un dossier partagé pour les politiques, un document pour le compte-rendu d’audit, quelques mails pour les validations, des tickets ailleurs, puis un tableau “temporaire” pour suivre les écarts. Au début, cela semble gérable. Ensuite, cela devient un système fragile, lent et difficile à maintenir.

Le problème n’est pas Excel en soi. Le problème, c’est qu’à partir d’un certain volume de clients, Excel ne structure plus un pilotage de conformité dans le temps. Or les cadres sérieux demandent justement l’inverse : établir, mettre en œuvre, maintenir et améliorer continuellement la démarche de sécurité. ISO/IEC 27001 formule explicitement cette logique d’amélioration continue, et le NIST CSF 2.0 insiste sur le fait qu’il faut prioriser, communiquer et évaluer les progrès de manière cohérente.


Le vrai pain point : le consultant ne manque pas de méthode, il manque de centralisation

Dans beaucoup de missions GRC, le consultant sait très bien quoi faire :

  1. cadrer le périmètre ;
  2. suivre les mesures ;
  3. rattacher des preuves ;
  4. préparer un audit ;
  5. relancer les responsables ;
  6. produire une vision direction.

Mais dès que le portefeuille client grandit, ce n’est plus la méthode qui casse. C’est le support de pilotage.

Les symptômes sont toujours les mêmes :

  1. versions contradictoires d’un même tableau ;
  2. difficulté à savoir quel document est à jour ;
  3. perte de temps à reconstituer l’historique ;
  4. relances manuelles ;
  5. preuves dispersées ;
  6. reporting difficile à consolider ;
  7. risque d’oublier un écart, une échéance ou une pièce attendue.

Ce point est d’autant plus critique que les référentiels modernes insistent sur la communication du risque, la traçabilité, le suivi des écarts et la preuve. ENISA, dans sa guidance technique 2025, fournit d’ailleurs des examples of evidence pour montrer qu’une exigence n’est pas seulement “documentée”, mais réellement en place.


Pourquoi Excel devient vite une limite quand on gère plusieurs clients

Excel fonctionne bien pour :

  1. une mission courte ;
  2. un audit ponctuel ;
  3. un plan d’action simple ;
  4. un client avec peu d’acteurs.

Il fonctionne beaucoup moins bien quand il faut en parallèle :

  1. suivre plusieurs périmètres ;
  2. garder un historique ;
  3. associer des preuves ;
  4. relancer des responsables différents ;
  5. comparer l’avancement entre clients ;
  6. produire un reporting propre ;
  7. retrouver rapidement ce qui manque avant un audit ou un comité.

Le sujet n’est donc pas “Excel est mauvais”. Le sujet est plus simple : Excel n’est pas conçu comme un cockpit multi-clients de gouvernance cyber.


Les 5 problèmes concrets que rencontrent les consultants à partir de 10 clients

1. La dispersion des informations

Le consultant ne sait plus où se trouve la bonne information :

  1. dans le fichier maître ;
  2. dans la copie envoyée au client ;
  3. dans le dernier mail ;
  4. dans le dossier partagé ;
  5. ou dans un autre tableau créé “en attendant”.

Résultat : perte de temps et risque d’erreur.

2. L’absence de vue consolidée

Quand chaque client a ses propres fichiers, il devient difficile de répondre rapidement à des questions simples :

  1. quels clients ont des écarts critiques ouverts ;
  2. quels audits approchent ;
  3. quelles preuves manquent ;
  4. quels plans d’action sont en retard ;
  5. quelles mesures sont bloquées depuis plus de 30 jours.

Le NIST CSF 2.0 insiste pourtant sur la nécessité de pouvoir assess progress toward addressing gaps et de communiquer dans un langage commun aux parties prenantes.

3. La relance manuelle permanente

Plus le nombre de clients augmente, plus le consultant passe du temps à :

  1. relancer ;
  2. vérifier ;
  3. demander une preuve ;
  4. requalifier un statut ;
  5. mettre à jour plusieurs tableaux à la main.

Ce temps ne crée pas beaucoup de valeur. Il compense surtout l’absence de structure.

4. La difficulté à garder un historique propre

Un bon pilotage cyber ne repose pas seulement sur l’état actuel. Il repose aussi sur l’historique :

  1. quand la mesure a été décidée ;
  2. qui l’a validée ;
  3. quand la preuve a été ajoutée ;
  4. quand le statut a changé ;
  5. pourquoi l’échéance a bougé.

Sans historique, un consultant passe vite du pilotage à la reconstruction manuelle.

5. La difficulté à démontrer la valeur au client

Un consultant ne vend pas seulement du travail. Il vend aussi de la lisibilité :

  1. où en est le client ;
  2. ce qui a progressé ;
  3. ce qui bloque ;
  4. ce qui reste à arbitrer.

Quand tout est éclaté entre fichiers, cette valeur devient plus difficile à rendre visible.


Ce que les consultants devraient piloter à un seul endroit

À partir d’un certain volume de clients, il faut sortir de la logique “un dossier = un client = plusieurs fichiers”.

Le plus robuste est de centraliser, pour chaque client :

  1. les mesures ;
  2. les écarts ;
  3. les tâches ;
  4. les responsables ;
  5. les échéances ;
  6. les preuves ;
  7. les commentaires ;
  8. l’historique ;
  9. la vue synthèse.

C’est exactement la logique portée par les cadres de management modernes : établir un système maintenu dans le temps, pas seulement produire des livrables ponctuels. ISO/IEC 27001 parle explicitement d’un système de management à maintenir et améliorer continuellement, y compris pour des organisations de toute taille.


La bonne approche : passer du "fichier par sujet" au "pilotage par client"

Le vrai changement n’est pas technique. Il est méthodologique.

Au lieu de raisonner en fichiers, il faut raisonner en objets de pilotage :

  1. une mesure ;
  2. une preuve ;
  3. un écart ;
  4. un responsable ;
  5. un statut ;
  6. un périmètre ;
  7. une norme ;
  8. une échéance.

Ensuite seulement, on reconstitue :

  1. la vue audit ;
  2. la vue direction ;
  3. la vue plan d’action ;
  4. la vue consultant multi-clients.

C’est ce qui permet de gérer 10 clients sans avoir 10 systèmes parallèles bricolés.


Le modèle qui tient quand on gère plusieurs clients

Le modèle le plus robuste est généralement celui-ci :

1. Une base par client

Avec ses périmètres, ses normes, ses mesures, ses responsables et ses preuves.

2. Une vue consultant transverse

Pour voir rapidement :

  1. les clients en retard ;
  2. les audits proches ;
  3. les preuves manquantes ;
  4. les écarts critiques ;
  5. les tâches à relancer.

3. Une logique d’historique

Pour garder la mémoire des décisions et des évolutions.

4. Une logique de reporting simple

Pour produire rapidement une vue lisible sans recompiler plusieurs fichiers à la main.


Exemple très concret

Prenons un consultant qui suit 10 clients.

S’il fonctionne avec Excel, il finit souvent par avoir :

  1. 10 tableaux de conformité ;
  2. 10 plans d’action ;
  3. plusieurs dossiers de preuves ;
  4. des versions locales et partagées ;
  5. un fichier perso de relance ;
  6. un autre pour le suivi global.

À ce stade, il ne pilote plus un portefeuille. Il pilote un empilement de fichiers.

À l’inverse, s’il centralise dans une logique multi-clients :

  1. chaque client garde son périmètre ;
  2. chaque mesure garde son statut et sa preuve ;
  3. chaque écart garde son historique ;
  4. et le consultant garde une vue globale.

La différence est énorme : moins de dispersion, moins de relances inutiles, plus de visibilité, plus de valeur perçue.


Pourquoi ce sujet devient stratégique pour les consultants GRC

Le marché pousse de plus en plus vers :

  1. des suivis plus continus ;
  2. des preuves plus demandées ;
  3. des audits plus réguliers ;
  4. des questionnaires clients plus fréquents ;
  5. des attentes plus fortes sur la démonstration et la traçabilité.

ENISA met clairement l’accent sur les evidences, tandis que le NIST CSF 2.0 insiste sur la capacité à prioritize, communicate et assess progress. Dans ce contexte, un consultant qui reste prisonnier d’une organisation par fichiers finit souvent par plafonner plus vite que sa capacité réelle de conseil.


Ce qu’un consultant gagne en sortant d’Excel

Du temps

Moins de recherche d’information, moins de double saisie, moins de consolidation manuelle.

De la rigueur

Moins de risque d’oublier une preuve, une échéance ou une action.

De la lisibilité

Une meilleure capacité à montrer au client où il en est réellement.

De la scalabilité

Le consultant peut suivre plus de clients actifs sans que la complexité administrative explose.

De la crédibilité

Un pilotage propre rassure davantage qu’un assemblage de fichiers.


Là où le mode consultant de CompliKey a du sens

C’est précisément sur ce point que le positionnement CompliKey est crédible pour les consultants.

L’intérêt n’est pas de remplacer toute la production du consultant. L’intérêt est de lui éviter de gérer 10 clients à coups de tableaux Excel, de dossiers et de suivis parallèles.

Le mode consultant de CompliKey permet justement de raisonner dans la bonne logique :

  1. multi-clients ;
  2. mesures centralisées ;
  3. suivi des preuves ;
  4. gestion des périmètres ;
  5. vue globale ;
  6. pilotage des écarts ;
  7. reporting plus propre.

Autrement dit, CompliKey aide à transformer un suivi artisanal dispersé en pilotage multi-clients structuré.


En bref

Un consultant cybersécurité peut gérer 10 clients sans problème sur le plan méthodologique. Ce qui bloque, en général, ce n’est pas la compétence. C’est l’empilement des fichiers et la dispersion des preuves.

Le vrai enjeu est donc de passer :

  1. d’une logique de documents,
  2. à une logique de pilotage.

À partir du moment où les mesures, écarts, preuves, responsables et échéances sont centralisés, le portefeuille devient beaucoup plus simple à suivre, à démontrer et à faire grandir.


FAQ

Peut-on encore gérer plusieurs clients cyber avec Excel ?

Oui, jusqu’à un certain point. Mais dès que les clients, les périmètres et les preuves se multiplient, Excel devient souvent un support fragile pour un pilotage continu.

Quel est le principal problème d’Excel pour un consultant cybersécurité ?

Le problème principal n’est pas le tableur lui-même, mais la dispersion : versions multiples, manque d’historique, absence de vue consolidée, relances manuelles et faible traçabilité.

Que faut-il centraliser en priorité ?

Les mesures, les preuves, les écarts, les responsables, les échéances et l’historique des décisions.

Pourquoi ce sujet devient-il plus critique aujourd’hui ?

Parce que les cadres modernes demandent davantage de preuve, de suivi, de communication et d’amélioration continue, ce qui rend les suivis artisanaux plus difficiles à tenir à mesure que le portefeuille client augmente.

COMPLIKEY
La méthode de supervision cyber incarnée
dans un logiciel
  • Tableau de conformité centralisé
  • Plan de traitement des risques & analyse
  • Tableaux de bord & KPIs en temps réel
  • Guidage et automatisation des revues/documentation
Plus d'informations
Logo complikey
COMPLIKEY
LinkedIn
Copyright 2026 CompliKey - Tous droits réservés.
Liens Utiles
Produits
Normes
Consultants
Contact
À propos de nous
Mentions légales
CGU
CGV
Politique de confidentialité
Politique de cookies