Conseiller malgré l’empilement des normes
Pendant vingt-cinq ans, Georges n’a pas “fait carrière” : il a “fait système”. Consultant en infrastructures, bras droit de nombreux DSI et DG, il a construit sa réputation sur ce qu’on ne voit pas : des systèmes robustes, résilients, silencieux, capables d’encaisser les pics de charge, de s’adapter aux refontes, de soutenir la croissance sans vaciller.
Sa vie professionnelle commence dans les années 90 dans une petite entreprise qui fabrique des chaussures. À cette époque, la sécurité, c’est surtout éviter que le serveur plante pendant la paie. Il accompagne plus tard les premiers opérateurs télécoms virtuels, quand la virtualisation bouleverse les réseaux. Puis vient le temps des des courtiers en assurance, des fintechs et plus généralement, ces startups au bord du décollage, à qui il offre ce qu’elles n’ont pas encore : des fondations solides.
Ce que Georges leur apporte ? Une capacité rare à stabiliser, documenter, scaler. À transformer une système informatique centré sur le succès d’un seul produit en une infrastructure prête à faire croître toute l’entreprise. Il fait partie de ces experts qui “ne cassent jamais rien”, qui posent les bonnes questions au bon moment, sans imposer leur cadre.
Mais voilà : aujourd’hui, le cadre s’impose à lui.
Dans les missions qu’il accompagne aujourd’hui, une nouvelle question revient avec insistance :
Et sur la sécurité ? Je suis complètement perdue. On est couverts ?"
La question vient de Claire, responsable IT chez un opérateur cloud. Elle sort d’une conférence où l’on mentionnait le Cyber Resilience Act. Elle sait aussi qu’elle doit garantir la résilience de son infrastructure… tout en se demandant si elle ne tombe pas aussi sous le coup de NIS 2, voire de DORA, puisque certains de ses clients sont des banques. Elle regarde Georges : “On est concerné par quoi ?”
Plus tard, c’est Marc, directeur des risques dans une néobanque qui l’appelle au sujet de la traduction de NIS 2 et de DORA en directives internes du groupe. Il s’arrache les cheveux sur le sens des tests de résilience numérique avancés et sa cartographie précise des risques. Il interpelle Georges : “Tu peux m’auditer notre PCA ? Mais cette fois, il faut que ce soit conforme à DORA…”. Puis vient Sarah, fondatrice d’une PME e-commerce, découvre NIS 2 au détour d’un échange avec son avocat. Elle a bien mis à jour sa politique RGPD, mais se demande “jusqu’où il faut aller maintenant”. Elle n’a pas de RSSI, pas de budget cybersécurité dédié. Et elle regarde Georges, comme elle le fait à chaque pivot technologique : “Tu me diras ce qu’il faut faire ?”
Et Georges, lui, où en est-il ?
La sécurité, il l’a toujours pensée en ingénieur. Un pare-feu bien configuré, des journaux activés, un chiffrement des sauvegardes, une logique d’accès simple. Pour lui, moins de complexité = moins de failles.
Il a participé un jour à un déploiement ISO 27001 chez un de ses clients. Il a ajusté plusieurs processus pour répondre à l’audit, mais la conduite du projet était restée le domaine des consultants compliance. Pas le sien.
Mais aujourd’hui, avec l’empilement des normes, il sait qu’il ne peut plus rester en retrait. Sa position lui confère encore un avantage dans la gouvernance des SI d’entreprise, mais il va devoir bouger. Il est souvent le seul lien de ses clients avec les enjeux d’architecture sécurisée, le seul à pouvoir articuler contraintes techniques, réalités métier et attentes réglementaires. Et dans le contexte actuel, il le sent bien : il va devoir prendre position. Expliquer. Traduire. Sinon, d’autres le feront à sa place.
Le mille-feuille des normes
Pour Georges, les vraies complexités ne sont jamais purement techniques. Elles résident d’abord dans les règles, les exceptions, les contournements que chaque entreprise finit par générer en interne. Et à cela vient désormais s’ajouter une pression externe croissante : en cybersécurité, l’époque est à l’empilement. Un véritable mille-feuille réglementaire, chaque couche ajoutant ses exigences, ses acronymes, ses échéances.
Il y a eu d’abord le RGPD, qui a marqué une rupture : on parlait de droits, de consentement, de traçabilité. Georges s’y est adapté avec pragmatisme persuadant ses clients des bénéfices obtenus : loguer les accès, anonymiser les données de test, gérer la purge automatique, ce serait moins de risques et parfois même des économies au final.
Mais depuis quelque temps, les couches s’ajoutent à un rythme inédit, et elles ne parlent plus tout à fait le même langage :
NIS 2 débarque avec sa logique de services essentiels, de gouvernance cybersécurité, de notifications d’incidents.
DORA, dans la finance, pousse encore plus loin : tests de résilience, cartographie des tiers, supervision des prestataires critiques.
Le Cyber Resilience Act arrive avec une exigence nouvelle : les produits numériques eux-mêmes doivent être conçus de manière sécurisée, documentée, auditable.
eIDAS, lui, cadre les identités numériques, leur sécurité, leur intégration dans des systèmes d’information critiques.
Et en toile de fond, les référentiels techniques (comme ISO 27001, ISO 22301, etc.) continuent à structurer les bonnes pratiques… sans forcément s’aligner mot pour mot avec les textes juridiques.
Georges voit bien que ce mille-feuille n’est pas qu’un excès bureaucratique. Il répond à une réalité : le numérique est devenu un infrastructure vitale, une cible stratégique, un enjeu de souveraineté. Mais pour lui, qui n’est ni avocat, ni RSSI de formation, cette superposition de normes et de textes est aussi source de flou, d’incertitude et de surcharge. À chaque mission, il doit se demander :
Le client est-il concerné par NIS 2 ? Et DORA ? Et le CRA ? Doit-on viser ISO 27001 ? Faut-il tout faire ? Dans quel ordre ?
Il se heurte alors à des contradictions concrètes : une entreprise peut, par exemple, interdire le stockage de données en ligne parce qu’elle a signé des engagements de confidentialité avec certains clients, tout en étant tenue de garantir leur disponibilité dans un plan de continuité conforme aux exigences européennes — notamment celles de l’article 21 de NIS 2. C’est dans ces décalages que Georges sent qu’il peut intervenir.
Il comprend que ce mille-feuille ne va pas s’alléger. Il va falloir apprendre à le lire, le découper, le prioriser. Et c’est là que son expertise peut devenir précieuse — à condition d’ajouter une couche de compréhension réglementaire à son savoir-faire.
Alors, devant ce mille-feuille de normes, il commence par trier.
1. Déchiffrer, trier, prioriser
Sa première étape, c’est de lire entre les lignes. Pas les textes de loi, mais les contextes de ses clients. Claire, chez son hébergeur cloud, est clairement concernée par NIS 2. Pas de doute : infrastructure critique, prestations pour des administrations, haute exposition. Elle doit sécuriser, documenter, notifier. Georges sait comment l’accompagner, en alignant exigences techniques et cadre réglementaire.
Mais il sait que ce ne sera pas le cas pour toutes les réglementations. Avec DORA, par exemple, le terrain change. Marc, son client néobanque, est englué dans le texte. Ici, les exigences sont nombreuses, mais aussi très sectorielles, avec une densité normative qui dépasse le seul champ technique.
Et puis il y a Sarah, dirigeante d’une PME e-commerce, concernée seulement à la marge par NIS 2, et pas du tout par DORA. Ici, il faut faire simple, progressif, utile. Il lui propose un kit de conformité light : gouvernance minimale, sécurité des accès, sauvegardes, logs, et une documentation de base.
Peu à peu, Georges structure sa méthode. Il bâtit ce qui lui manquait depuis longtemps : une matrice “client x réglementation x action”, qui lui permet de savoir qui est concerné, pourquoi, à quel niveau, et avec quelles priorités.
2. Se former pour mieux guider
Pour ne pas se perdre lui-même dans la jungle réglementaire, Georges décide de faire le tri dans sa propre boîte à outils.
Il s’inscrit à une formation NIS 2 Lead Implementer (celle de l’Afnic, bien sûr). Là, il comprend comment penser la cybersécurité comme un tout. Il apprend à construire une stratégie de conformité qui s’adapte aux profils d’entreprise. Il découvre les obligations communes à toutes les normes : gouvernance, documentation, gestion des incidents, relation avec les tiers.
Il sort de la formation armé pour parler avec un juriste, un RSSI, un DPO, un régulateur. Et surtout, il sait traduire la norme en architecture technique.
3. Identifier les bons alliés : Georges ne joue pas solo
Georges a toujours su faire beaucoup avec peu, mais il n’a jamais eu la prétention de tout faire. Il sait reconnaître quand il est temps de passer le relais ou inviter un autre joueur dans la partie.
Et là, avec le poids croissant des réglementations, il le sent bien : ce n’est plus un terrain pour les solistes. Pour naviguer dans ce mille-feuille de normes, il lui faut une partition à plusieurs mains.
L’allié ISO 27001 : de la méthode et de la rigueur
Georges a rencontré Delphine lors d’une mission commune chez un opérateur cloud. Elle venait d’un cabinet spécialisé dans les certifications ISO, notamment 27001. Ce qui l’avait frappé chez elle, ce n’était pas son jargon — elle en avait peu — mais sa capacité à faire parler les procédures. À faire en sorte que ce qui est fait soit écrit, et que ce qui est écrit corresponde vraiment à ce qui est fait.
Quand l’un de ses clients lui dit un jour : “On pense aller vers la certification ISO, mais on ne sait pas par où commencer”, il a tout de suite pensé à Delphine. Il sait qu’elle saura poser les bons jalons, sans écraser l’organisation sous des procédures vides.
Avec elle, il garde la main sur l’implémentation technique : logs, cloisonnement réseau, journalisation, sauvegardes, chiffrement. Et elle, elle transforme tout cela en politiques lisibles, auditables, défendables. Un binôme technique-documentaire, fluide, complémentaire. Efficace.
L’allié DORA : comprendre la finance pour sécuriser le système
DORA, c’est une autre histoire. Le texte est lourd, les enjeux sont politiques, les superviseurs (ACPR, AMF) ne plaisantent pas. Georges n’a pas envie de s’improviser régulateur bancaire. Il connaît les flux, les serveurs, les dépendances critiques. Mais la langue des régulateurs, les délais de notification, les seuils de matérialité ? Ce n’est pas son métier.
C’est là qu’il rencontre Malik, ancien responsable conformité d’un groupe financier, reconverti en indépendant. Malik connaît la finance de l’intérieur. Il sait comment une exigence réglementaire se traduit dans un plan de résilience, un comité de direction, un tableau de bord.
Ils montent une offre conjointe pour les acteurs du secteur financier : “Infrastructure & Gouvernance”. Georges, fort de son expertise infra et de ses premières expériences NIS 2, prend en charge la continuité, les tests de charge et les procédures techniques de réponse à incident. Il s’appuie sur Malik uniquement sur les aspects où celle-ci apporte une véritable valeur ajoutée : le cadrage des attentes des régulateurs, la formation conjointe des équipes, la préparation des tableaux de pilotage pour les revues internes.
Quand un client leur dit “On a besoin de nous mettre en conformité DORA mais on ne veut pas arrêter de travailler pour ça”, ils savent répondre à deux voix :
“On vous rend conforme sans vous immobiliser. Ce qu’on met en place, vous pourrez le piloter, le justifier — et surtout continuer à avancer.”
Georges garde ainsi la main sur les audits techniques, les scénarios de continuité, les cartographies système. Il devient le chef d’orchestre de la conformité — pas un simple exécutant, ni un prestataire relégué à l’arrière-plan pendant qu’un autre parlerait à sa place aux DSI ou aux directions générales. Il reste au cœur d’un business qui évolue, en développant de nouvelles compétences et en s’entourant des bons experts. Il s’adapte sans se faire déposséder.
4. Intégrer la conformité dans ses missions
Et surtout, Georges change sa manière d’aborder ses missions. Avant, il commençait par l’existant : “montre-moi tes serveurs, tes flux, ton infra, ton PCA”. Maintenant, il commence par une question simple :
“Est-ce que quelqu’un vous a dit si vous êtes concernés par une réglementation ?”
S’ils ne savent pas, il fait le tri. S’ils le savent, il intègre les exigences réglementaires dans son schéma d’architecture, dans ses plans d’action, dans les choix technologiques.
Il ne vend pas “de la conformité”. Il rassure. Il clarifie. Il fait en sorte que les choses soient alignées sur des exigences, sans complexifier le système. Il garde l’ADN de son métier : rendre les systèmes fiables, évolutifs, durables — mais désormais aussi défendables.
Comment Georges fait évoluer son offre pour y intégrer la conformité
Georges ne bouleverse pas son métier. Il l’enrichit. Plutôt que de devenir un expert en normes ou de se perdre dans le juridique, il choisit d’ajouter deux briques à son offre de consultant en infrastructures. D’abord, une brique d’orientation réglementaire : un diagnostic clair, accessible et actionnable pour identifier si le client est concerné par NIS 2, DORA, ou d’autres textes comme le RGPD. Il sait poser les bonnes questions, croiser les bons critères, et donner une lecture opérationnelle du périmètre réglementaire. Ensuite, il complète son cœur de métier avec une brique de conformité intégrée. Ici, il adapte ses recommandations techniques pour qu’elles répondent aux attentes des autorités : documentation des sauvegardes, journalisation, gestion des incidents, politiques de sécurité adaptées… Il n’impose rien de lourd, mais il conçoit des systèmes suffisamment clairs, traçables et défendables, pour qu’ils tiennent aussi bien face à un auditeur qu’à une panne. En gardant son rôle de bâtisseur, Georges devient le garant d’une infrastructure à la fois robuste et conforme, sans changer d’ADN.
Et pour franchir ce cap en confiance, il choisit de se former avec l’Afnic, via la formation “NIS 2 Lead Implementer”. Parce qu’elle parle le langage des techniciens, qu’elle relie la norme à la pratique, et qu’elle lui donne les clés pour accompagner ses clients dans un monde où la conformité est devenue une condition de solidité.
