Vous nous nommez Responsable Sécurité de l'Information. Nous prenons le pilotage opérationnel : politique, gouvernance, gestion des risques, audits, gestion d'incidents, sensibilisation. Que vous soyez ou non soumis à NIS 2 ou DORA, la sécurité de vos données, de votre infrastructure et de vos clients reste un sujet, et c'est précisément le nôtre.
Votre CISO Luxgap couvre la sécurité au sens large, pas uniquement la conformité réglementaire.
Politique de sécurité, gestion des accès, surveillance des systèmes, classification des données, gestion des sauvegardes, plan de réponse aux incidents. La sécurité au sens large, applicable à toute organisation, quelle que soit sa taille.
NIS 2 pour les entités essentielles ou importantes (énergie, santé, transport, IT, fournisseurs critiques). DORA pour le secteur financier. ISO 27001 si vous voulez une certification opposable. Si rien de tout ça ne s'applique, on construit votre cadre interne sans surcouche inutile.
On ne se contente pas d'attendre votre coup de fil : nos outils déployés (SOC, surveillance Dark Web, analyse de logs, agents IA) détectent les incidents en continu. Savoir qu'on est piraté est légalement obligatoire (RGPD 72h, NIS 2 24h, DORA 4h). Une fois l'incident identifié : qualification, confinement, communication interne et externe, notification des autorités, retour d'expérience.
Une attaque réussie passe rarement par une seule porte. Pour vraiment protéger une organisation, on regarde simultanément l'intérieur (vos systèmes et configurations), la surface (ce qui est exposé sur Internet) et l'extérieur (ce qui se prépare contre vous sur le Dark Web). Mandat complet, ou en support d'un CISO existant : nous intervenons sur les trois couches ou seulement sur celles qui vous manquent.
Audit de la configuration M365 ou Google Workspace, gestion des accès, MFA, classification des données, sauvegardes, durcissement des postes et serveurs, plan de réponse aux incidents. La sécurité commence par ce que vous contrôlez déjà mais qui est trop souvent mal configuré.
Inventaire des actifs exposés (sites, sous-domaines, services, certificats), tests d'intrusion sur les applications les plus critiques, vérification continue des correctifs de sécurité. On voit votre organisation comme un attaquant la voit, et on ferme les portes une par une.
Surveillance Dark Web 24/7 : credentials fuités de vos employés, mentions de votre marque sur des forums frauduleux, et surtout enregistrement de domaines proches du vôtre destinés à du phishing ou à de l'usurpation. On vous prévient avant que l'attaque ne soit lancée.
Sur mesure et adapté à votre risque réel. Mandat complet ou seulement les couches qui vous manquent, en complément d'un CISO interne, par exemple.
Six chantiers menés en continu, dimensionnés selon votre taille et votre exposition.
Rédaction et maintien de votre politique de sécurité, charte informatique, charte d'usage IA. Comité de sécurité régulier avec votre direction, compte-rendu écrit, suivi des décisions.
Cartographie de vos données et systèmes critiques, identification des menaces, évaluation des protections en place, plan d'action priorisé selon le risque réel, pas selon une checklist abstraite.
Revue annuelle des protections en place. Tests d'intrusion ciblés sur vos applications les plus exposées (site web, espace client, applis mobiles). Plan d'action chiffré et nouvelle vérification après corrections.
Inventaire de vos prestataires critiques (cloud, paie, hébergement, support informatique). Revue contractuelle des clauses de sécurité, plan de sortie en cas de problème, suivi annuel des engagements.
Identification des activités qui ne peuvent pas s'arrêter, plan de reprise documenté, exercice annuel scénarisé (cyberattaque, perte d'un prestataire, coupure prolongée).
Sessions courtes pour la direction (responsabilités personnelles), formation pratique pour les équipes (phishing, mots de passe, données sensibles), accès à notre plateforme e-learning si vous le souhaitez.
Vous avez besoin d'un responsable sécurité identifié, d'une gouvernance documentée et d'un reporting d'incidents dans les délais légaux. On prend la responsabilité du mandat, vous restez en conformité.
Vos clients, votre banque ou vos assureurs vous demandent quand même un cadre sécurité crédible. Ou vous voulez simplement dormir tranquille. On construit ce qui est utile, sans empiler des documents inutiles.
C'est de plus en plus demandé dans les appels d'offres. Notre CISO pilote la mise en conformité, prépare l'audit, vous accompagne pendant la visite et gère le maintien année après année.
Sans mandat préalable. On peut intervenir en mission ponctuelle pour qualifier, contenir, notifier les autorités si nécessaire et préparer le retour d'expérience, sans rester ensuite si vous ne le souhaitez pas.
NIS 2 : jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles. Responsabilité personnelle des dirigeants en cas de manquement avéré.
DORA : jusqu'à 1 % du chiffre d'affaires journalier moyen pour chaque jour de manquement (jusqu'à 6 mois). Cumulable avec les sanctions de la CSSF.
Pour les entreprises hors NIS 2 et DORA, le coût d'un incident non préparé (rançongiciel, fuite de données, indisponibilité prolongée) reste souvent largement supérieur au coût d'un mandat CISO sur l'année.
Vous avez une obligation légale : on la prend en charge. Pas de location de personnel, pas de forfait jours-homme, pas de minimum. On engage notre responsabilité sur le résultat, derrière, c'est une équipe.
On ne vous facture pas un nombre de journées. On signe pour tenir votre obligation, registre, AIPD, gouvernance NIS 2, reporting régulateur. Si ça nécessite trois échanges en une semaine, on les fait.
Vous avez un interlocuteur unique. Derrière : juristes (RGPD, AI Act, NIS 2, DORA), ingénieurs cyber (audits, AIPD techniques, BCP, incidents) et développeurs (outils internes registre/AIPD, agents IA d'automatisation). Le bon profil intervient au bon moment.
Même un mandat dimensionné pour une journée par mois donne lieu à plusieurs interventions courtes : visio de 30 minutes, réponse écrite, AIPD ponctuelle, comité de pilotage. On répond, on intervient, on ne disparaît pas entre deux factures.
Chaque action est tracée. Une heure de Teams = une heure facturée, rien de plus. Pas de demi-journée minimum, pas de forfait masqué. Vous payez ce qu'on consomme, et seulement ça.
Vous accédez à un suivi détaillé : qui a fait quoi, quand, sur quel sujet, combien de temps. En cas de contrôle CNPD, ILR ou CSSF, ce journal est la preuve d'un mandat réellement opéré, pas un simple contrat sur papier.
Nos mandats vont de la PME de douze personnes au groupe industriel de plus de huit cents collaborateurs, en passant par des organisations publiques, communes et institutions. Notre méthode s'adapte au volume, pas l'inverse.
Configurez votre devis en cochant ce qui vous concerne, vous recevez une proposition adaptée sous 24 h ouvrées.
Configurer mon devis →