Sécurité
Trois choses : des tests de pénétration externes continus selon la cadence qu'impose votre rythme de livraisons, un retainer vCISO pour le travail stratégique qui nécessite le jugement d'un dirigeant, et une préparation complète aux certifications ISO 27001 ou SOC 2 incluant les échanges avec l'auditeur.
Continu par défaut
L'engagement sécurité traditionnel consiste en un test de pénétration annuel plus un cycle de certification qui se déroule dans les mois précédant le prochain renouvellement. Cette cadence maintient la paperasse à jour. Pour un système qui livre du code chaque semaine, le travail de sécurité doit fonctionner à la même horloge que les releases.
Notre service de pentest fonctionne en continu : mensuel, hebdomadaire ou quotidien selon votre rythme de livraisons. Le retainer vCISO est permanent, de sorte qu'une lacune de contrôle peut être soulevée la semaine où elle apparaît et clôturée dans le même trimestre.
Les trois engagements que nous menons
La plupart des clients nous engagent pour au moins deux d'entre eux ensemble. Appuyez sur une carte pour voir le périmètre, la cadence et le tarif de départ.
ISO 27001 / SOC 2
Préparation aux audits ISO 27001 et SOC 2 — de bout en bout avec coordination des auditeurs.
Tests d'intrusion
Tests de pénétration externes continus — cadence mensuelle, hebdomadaire ou quotidienne.
De la revue de posture au programme continu
Revue de posture sécurité
Revue structurée d'une à deux semaines sur l'état actuel du programme de sécurité : contrôles existants, couverture pentest actuelle, statut de certification, flux de données, obligations de conformité, incidents antérieurs. Le résultat est une analyse des écarts priorisée avec une séquence de travail recommandée et un devis à prix fixe.
Opération continue
Les scans pentest s'exécutent à la cadence choisie (mensuelle, hebdomadaire, quotidienne) ; les findings sont triés, classés par gravité et suivis jusqu'à la remédiation. Le vCISO tient le registre des risques, assiste aux conversations de conformité et représente la fonction sécurité dans les rapports au conseil.
Audit et renouvellement
Quand l'audit de certification arrive, nous avons collecté des preuves tout au long, si bien que l'auditeur voit un programme qui a fonctionné toute l'année. Nous participons aux appels d'audit. Nous répondons aux findings. Nous portons les artefacts dans le prochain cycle de surveillance.
Où commence chaque service
Penetration Testing
Mensuel : €99 / month · Hebdomadaire : €250 / month · Quotidien : €500 / month. Chaque scan est un scan profond complet — la cadence est la seule variable.
Virtual CISO
Retainer à partir de €5,000 / month. Leadership stratégique en sécurité sans le recrutement à plein temps. S'associe bien au service pentest : le vCISO dirige le programme, le pentest produit les artefacts.
ISO 27001 & SOC 2
Cycle mono-référentiel à partir de €25,000. ISO 27001 seul à partir de €12,000 ; préparation SOC 2 à partir de €4,500. Les frais d'audit de l'organisme de certification sont séparés.
Engagements sécurité — questions que nous recevons
Travaillez-vous aux côtés de notre équipe sécurité interne ?
Oui — la plupart des engagements se présentent ainsi. L'équipe interne possède les opérations et la réponse aux incidents ; nous possédons les tests externes, la préparation aux certifications et le travail stratégique vCISO qui bénéficie d'une perspective extérieure.
Que couvre réellement le « test de pénétration continu » ?
Scans complets de la surface d'attaque externe à la cadence choisie — applications web, APIs, infrastructure exposée, flux d'authentification, faiblesses de configuration, dépendances vulnérables connues. Chaque scan produit un rapport écrit avec les findings classés par gravité, des preuves et des conseils de remédiation.
En quoi le retainer vCISO diffère-t-il du recrutement d'un CISO ?
Un vCISO travaille avec vous à temps partiel en retainer, gérant les responsabilités stratégiques et de gouvernance du rôle de CISO sans être dans l'organigramme à plein temps. Utile quand l'entreprise a besoin d'un jugement senior en sécurité — pour les revues de fournisseurs, le reporting au conseil, les feuilles de route de conformité, le leadership de réponse aux incidents — mais n'est pas à l'échelle qui justifie un CISO à plein temps.
ISO 27001 ou SOC 2 — par où commencer ?
Cela dépend de qui demande la certification. Les achats enterprise américains demandent SOC 2 par défaut ; les organisations enterprise européennes et de périmètre NIS2 demandent ISO 27001. Si les deux sont dans votre avenir, nous menons un engagement combiné car le travail de contrôle sous-jacent se recoupe largement.
Que se passe-t-il si un finding devient un vrai incident ?
Si nous sommes votre retainer vCISO, le leadership de réponse aux incidents fait partie du périmètre — nous sommes en appel, aidant à coordonner la réponse. Si nous sommes seulement votre prestataire pentest, les findings sont tout de même suivis jusqu'à la remédiation, avec le leadership de réponse tenu en interne par votre équipe.
Parlez-nous de votre posture sécurité
Dites-nous où en est le programme de sécurité aujourd'hui et ce qui est demandé pour la suite. Nous revenons avec une séquence recommandée et un cadrage à prix fixe pour l'engagement qui suit.
Nous contacter → Voir les tarifs →