Blog
Conformité & cybersécurité
Guides pratiques pour les fondateurs, RSSI et consultants.
- 10 min
Cyber Resilience Act : notifications dès le 11 septembre 2026 — qui est concerné et que faire
Le Cyber Resilience Act (règlement (UE) 2024/2847) expliqué : quels produits comportant des éléments numériques sont concernés, le calendrier vérifié (notifications dès le 11 septembre 2026, application pleine le 11 décembre 2027), l’escalade 24 h/72 h/14 jours, les exigences essentielles et les sanctions.
- 9 min
Certification ISO 27001 en France : transition 2022, organismes COFRAC et écosystème ANSSI
Se certifier ISO 27001 en France en 2026 : pourquoi tout certificat est désormais ISO 27001:2022 (l’édition 2013 a expiré le 31 octobre 2025), comment fonctionne la certification accréditée COFRAC, et comment la norme s’articule avec le ReCyF de l’ANSSI, HDS et SecNumCloud.
- 10 min
DORA en France : ACPR, AMF, registre d’information et TLPT
Comment DORA est supervisé en France : rôles de l’ACPR et de l’AMF, registre d’information (instruction 2025-I-12), tests TLPT TIBER-FR, passage aux contrôles approfondis en 2026 — et les documents qu’une entité financière doit tenir prêts.
- 9 min
Sanctions CNIL 2025 : ce que le record de 487 M€ signifie vraiment pour les PME
Analyse du bilan officiel 2025 de la CNIL : 259 décisions, 83 sanctions, 486,8 M€ d’amendes — dont 97,6 % issus de deux décisions seulement. Ce que la procédure simplifiée et les motifs récurrents (cookies, surveillance des salariés, sécurité) impliquent pour les PME.
- 11 min
NIS2 en France : où en est la loi de transposition en 2026
Le point sur la transposition de NIS2 en France : calendrier du projet de loi « résilience », qui est concerné (plus de 15 000 entités), entités essentielles vs importantes, sanctions, et ce que changent le référentiel ReCyF de l’ANSSI et MonEspaceNIS2.
- 10 min
NIS2 PME : guide de conformité en 10 étapes pour 2026
Un chemin pratique et concret vers la conformité NIS2 pour les PME : périmètre, analyse de risques, documents attendus et comment le prouver avant l’entrée en application.
- 5 min
Comment rédiger une politique de sécurité physique et environnementale
Une politique de sécurité physique protège les lieux et équipements qui détiennent vos données. Voici quoi inclure — accès, visiteurs, contrôles environnementaux — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de conservation des données
Une politique de conservation des données définit combien de temps vous gardez les données et quand vous les supprimez. Voici quoi inclure — durées, suppression, RGPD — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de sensibilisation et formation
Une politique de sensibilisation définit comment vous formez les collaborateurs à reconnaître et contrer les menaces. Voici quoi inclure — intégration, tests de phishing, cadence — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de gestion des actifs
Une politique de gestion des actifs maintient un inventaire exact de ce que vous possédez et protégez. Voici quoi inclure — inventaire, propriété, cycle de vie — avec un modèle gratuit.
- 6 min
Comment rédiger une politique d'usage de l'IA
Une politique d'usage de l'IA définit comment les collaborateurs peuvent utiliser l'IA générative avec les données de l'entreprise. Voici quoi inclure — outils approuvés, règles de données, supervision — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de sécurité réseau
Une politique de sécurité réseau définit comment vous segmentez, protégez et supervisez vos réseaux. Voici quoi inclure — segmentation, pare-feu, accès distant — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de journalisation et supervision
Une politique de journalisation et supervision définit ce que vous journalisez, combien de temps vous le conservez, et comment vous détectez les menaces. Voici quoi inclure — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de gestion des changements
Une politique de gestion des changements garantit des déploiements sûrs et traçables. Voici quoi inclure — demande, revue, approbation, retour arrière — avec un modèle gratuit.
- 6 min
Comment rédiger une politique de gestion des vulnérabilités
Une politique de gestion des vulnérabilités définit comment vous trouvez, priorisez et corrigez les failles. Voici quoi inclure — scans, délais, correctifs — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de télétravail
Une politique de télétravail fixe les conditions de sécurité du travail hors bureau. Voici quoi inclure — appareils, réseaux, environnement domestique — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de classification des données
Une politique de classification des données étiquette l'information par sensibilité pour appliquer des règles cohérentes. Voici quoi inclure — niveaux, manipulation, étiquetage — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de sécurité des fournisseurs
Une politique de sécurité des fournisseurs encadre l'évaluation et le suivi des tiers qui accèdent à vos données. Voici quoi inclure — due diligence, DPA, suivi — avec un modèle gratuit.
- 6 min
Comment rédiger une politique de continuité d'activité
Une politique de continuité d'activité maintient les fonctions critiques en cas de perturbation. Voici quoi inclure — RPO/RTO, BIA, tests — avec un modèle gratuit.
- 5 min
Comment rédiger une politique de sauvegarde et restauration
Une politique de sauvegarde définit ce que vous sauvegardez, à quelle fréquence, où, et comment vous testez les restaurations. Voici quoi inclure — avec un modèle gratuit aligné ISO 27001.
- 6 min
Comment rédiger une politique de chiffrement
Une politique de chiffrement définit ce que vous chiffrez, avec quels algorithmes, et comment vous gérez les clés. Voici les sections attendues par les auditeurs — avec un modèle gratuit.
- 5 min
Comment rédiger une politique d'usage acceptable
Une politique d'usage acceptable (PUA) indique aux employés ce qu'ils peuvent ou non faire avec les systèmes de l'entreprise. Voici quoi inclure — et un modèle générable gratuitement.
- 6 min
Comment rédiger une politique de réponse aux incidents
Une politique de réponse aux incidents définit comment vous détectez, confinez et rétablissez après un incident de sécurité. Voici les sections attendues par les auditeurs — avec un modèle gratuit.
- 5 min
Comment créer une politique BYOD
Une politique BYOD permet d'utiliser les appareils personnels en sécurité. Voici quoi inclure — enrôlement, chiffrement, cloisonnement des données, effacement à distance — avec un modèle gratuit.
- 6 min
Comment rédiger une politique de contrôle d'accès
Ce qu'une politique de contrôle d'accès doit couvrir pour réussir un audit ISO 27001 ou SOC 2 — moindre privilège, arrivée-mobilité-départ, revues d'accès — avec un modèle prêt à l'emploi.
- 6 min
Comment rédiger une politique de mots de passe (modèle gratuit)
Guide pratique pour rédiger une politique de mots de passe conforme ISO 27001, SOC 2 et NIST — quoi inclure, quoi éviter, et un modèle générable en quelques minutes.
- 11 min
SOC 2 vs ISO 27001 — laquelle viser en premier pour votre SaaS ?
Comparaison claire entre SOC 2 Type II et ISO 27001:2022 pour les fondateurs SaaS : coût, délai, audience, et comment mutualiser les deux.
- 12 min
Les 14 politiques ISO 27001 obligatoires — checklist complète 2026
Une checklist pratique et exhaustive de chaque politique requise par ISO 27001:2022, avec des modèles utilisables immédiatement.