Publications
Notes de terrain
Analyses techniques, choix d'architecture, retours d'expérience opérationnelle. Rédigées par les équipes du cabinet — conformité, cybersécurité, intelligence artificielle, édition SaaS.
Cybersécurité des PME en 2025 : les menaces qu'on sous-estime
43 % des cyberattaques visent des PME. Pourtant la majorité n'a ni plan de réponse ni budget sécurité. Voici les menaces réelles et ce que vous pouvez faire dès maintenant.
Shadow IA : le risque invisible dans vos organisations
Vos collaborateurs utilisent ChatGPT, Claude, Gemini sans validation IT. Vos données stratégiques partent vers des serveurs que vous ne contrôlez pas. C'est le Shadow AI — et c'est déjà dans votre organisation.
Architecture SaaS : les 5 décisions techniques qui définissent un produit
Multi-tenant ou single-tenant ? Monolithe ou microservices ? Ces choix faits en début de projet vous suivront pendant des années. Voici comment les aborder avec lucidité.
Incident Response : ce que les CISO apprennent apres la compromission
Les exercices de simulation ne revelent pas ce que revele une vraie compromission. Trois lecons que les CISO retiennent apres un incident reel et ce qu'elles impliquent pour votre IRP.
DORA et le paradoxe de la résilience opérationnelle
Être conforme DORA et être résilient sont deux choses différentes. 40 % des entités soumises au règlement présentaient encore des lacunes six mois après son entrée en vigueur. Voici où les risques résident vraiment.
Claude Mythos & Project Glasswing : la détection ne suffit plus, il faut corriger
Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview — un modèle capable de découvrir et d'exploiter des vulnérabilités en quelques heures — et Project Glasswing, une coalition défensive de 12 organisations fondatrices. Ce n'est pas un événement de communication. C'est un changement structurel.
Cryptographie post-quantique : ce que les organisations doivent faire maintenant
Le NIST a publié ses premiers standards de cryptographie post-quantique en août 2024. Les ordinateurs quantiques capables de casser RSA ne sont pas là demain — mais les attaques 'harvest now, decrypt later' sont actives aujourd'hui. Ce que vous devez faire.
NIS2 en France : calendrier réel, obligations concrètes et premières sanctions
La directive NIS2 a été transposée en droit français par ordonnance en août 2024. Mais entre le texte et la mise en œuvre réelle, il y a un écart. Voici ce que les organisations doivent savoir sur le calendrier, les obligations effectives et les premières décisions de l'ANSSI.
Construire un système RAG en production : retours d'expérience
RAG (Retrieval-Augmented Generation) est devenu le pattern dominant pour intégrer des LLMs dans des contextes métier. Mais entre un POC qui fonctionne et un système RAG en production, il y a un abîme. Voici ce qu'on a appris.
Talent GRC : attirer les experts en marché de pénurie
Le marché GRC manquera de 2,4 millions d'experts d'ici 2027. Les PME et mid-market ne peuvent pas concurrencer les grands groupes sur le salaire — mais elles ont trois leviers que les grandes organisations ne peuvent pas répliquer.
L'erreur silencieuse dans le design de votre Risk Dashboard
61 % des incidents de conformité documentés en 2025 se sont produits dans des organisations dont le score dépassait 80 % au moment de l'incident. Votre Risk Dashboard vous rassure — mais vous protège-t-il ?
Automatisation GRC : le ROI promis vs. la réalité que vivent vos équipes
62 % des responsables conformité ayant déployé une plateforme GRC déclarent plus de charge qu'avant l'implémentation. Les données sur le ROI réel et les 3 erreurs de déploiement à éviter.
Les 3 piliers silencieux de la conformité RGPD que 80 % des directeurs ignorent
Les amendes RGPD dépassent 4,5 Md€ depuis 2018 — et leur rythme s'accélère. Pourtant, la majorité des incidents sanctionnés ne concernent pas l'ignorance du règlement, mais trois angles morts précis que la plupart des directeurs n'ont jamais cartographiés.
Pourquoi l'approche compliance-first crée plus de risque qu'elle n'en élimine
Une ETI certifiée ISO 27001 et conforme DORA s'est fait chiffrer pendant 17 jours. Son score d'audit était 94/100. La corrélation entre conformité et sécurité est plus faible qu'on ne le croit — et comprendre pourquoi est la question que beaucoup de RSSI ne posent pas.
Tiers et supply chain : les angles morts que NIS2 sanctionne en 2025
NIS2 et DORA imposent une gestion formalisée des risques tiers depuis 2024-2025. Pourtant, 67 % des organisations n'ont toujours pas de registre des tiers critiques. Voici les trois angles morts qui exposent votre organisation — et ce qu'une cartographie efficace doit vraiment couvrir.
EU AI Act août 2026 : les 3 mois critiques pour votre gouvernance IA
Le 2 août 2026, les obligations complètes pour les systèmes d'IA à haut risque entrent en vigueur. Dans 89 jours. La majorité des organisations dans le scope n'ont pas encore réalisé leur inventaire. Voici les trois obligations qui concentrent les risques de non-conformité — et ce que vous pouvez encore faire.
Zero Trust à mi-parcours : quand l'incomplet aggrave l'exposition
42 % des organisations engagées dans un déploiement Zero Trust ont une architecture incomplète. Ce n'est pas neutre : les organisations à mi-parcours présentent une surface d'attaque plus élevée que celles n'ayant pas encore commencé. Voici pourquoi — et comment sortir de l'impasse.
NIS2 : conduire votre audit de maturité en 90 jours
Plus de 55 % des entités dans le périmètre NIS2 n'ont pas encore conduit d'audit de maturité formalisé. Voici la méthode en 90 jours pour transformer les exigences réglementaires en diagnostic opérationnel — sans sur-conformité et sans angle mort.
Blockchain et GRC : 5 cas d'usage où la technologie déçoit
67 % des DSI ont envisagé un projet blockchain pour leur audit trail. Seuls 4 % l'ont déployé en production. Voici pourquoi — et ce qui fonctionne vraiment.
CSRD et risque cyber : quand votre rapport ESG devient un audit de sécurité
Moins de 30 % des RSSI ont été consultés dans la préparation du rapport de durabilité CSRD de leur organisation. Pourtant, les incidents cyber sont doublement matériels au sens de la directive. Voici ce que cela change — concrètement — pour votre équipe GRC.
RGPD : les 3 piliers que 80 % des directions sous-estiment
Sept ans après son entrée en vigueur, le RGPD génère encore des amendes record. Non par ignorance du règlement, mais par négligence de ses piliers structurants : registre vivant, gestion réelle des sous-traitants, documentation des bases légales.