GRC en mode service — sans avoir à construire un département pour ça.
ISO 27001, NIS2, DORA, CRA et l'EU AI Act vous frappent en même temps. VamiSec prend en charge l'ensemble de l'opération GRC quotidienne en tant que stack externe — piloté par l'IA, germanophone, audit-ready dès le premier jour.
Construire la GRC en interne coûte 18 mois, des budgets à six chiffres — et ne rassure personne pour autant.
La conformité n'est pas un projet, c'est un état permanent. La plupart des programmes GRC échouent non pas à l'audit, mais lors de l'entretien qui suit.
Cinq frameworks en parallèle
ISO 27001, NIS2, DORA, CRA, EU AI Act, RGPD — chacun avec ses contrôles, ses cycles d'audit et des exigences parfois contradictoires.
Une personne, trois rôles
RSSI, DPO et responsable IA sont souvent la même personne — sans temps, sans outils, sans backup d'audit.
Excel et SharePoint ne suffisent pas
Registre des risques sous Excel, politiques sous Word, actions dans les tickets — rien ne communique, la traçabilité d'audit manque.
Ré-audit tous les 12 mois
Le même marathon chaque année. Et chaque questionnaire fournisseur reste deux semaines en suspens.
Exactement les modules dont vous avez besoin — ni plus, ni moins.
Chaque brique est réservable indépendamment et combine une plateforme pilotée par IA (VamiGRC) avec une expertise humaine (vCISO, DPO, responsable IA).
vCISO / GRC Officer à la demande
Officier GRC expérimenté en tant que CISO externe. Comités de pilotage, accompagnement d'audit et reporting board en une main.
Lead Auditor ISO 27001 & 42001Surveillance continue de conformité
VamiGRC surveille 24/7 les contrôles, politiques et risques. Le drift est détecté et priorisé en temps réel.
OSCAL · ISO · NIS2 · DORAPréparation audit & certification
Nous vous accompagnons à travers les audits Stage-1, Stage-2 et de surveillance. Nous curons les preuves et siégeons à la table de l'auditeur avec vous.
ISO 27001 · 27701 · 42001 · TISAXGestion des risques & fournisseurs
Registre des risques, analyses de risque ISO 31000 et évaluation fournisseurs sur une base de données unique.
ISO 31000 · BSI 200-3 · NIS2 Art.21Cycle de vie des politiques & documents
Documentation vivante : les politiques sont générées, revues, approuvées et automatiquement livrées en audit.
OSCAL · IA générativeIncident & BCM Response
Connexion SOC 24/7, runbooks d'incident, tests BCM. Les délais NIS2 sont respectés.
NIS2 24/72h · BSI 200-4DPO & Bureau Données Personnelles
Fonction DPO externe pour le RGPD. Registres de traitement, AIPD et demandes d'exercice de droits — opérationnalisés.
RGPD · BDSG · TDDDGResponsable IA (EU AI Act)
Fonction AI Officer pour les systèmes IA à haut risque. SMSI ISO 42001, évaluations de conformité, model cards.
EU AI Act · ISO 42001 · NIST AI RMFTrois phases, un chemin clair.
Diagnostic (2–4 semaines)
Analyse d'écarts sur tous les frameworks pertinents, évaluation de maturité, feuille de route documentée avec priorités et charges réalistes.
Mise en place (8–16 semaines)
Plateforme VamiGRC déployée, politiques en place, risques capturés, contrôles planifiés. Première évaluation de readiness Stage-1.
Exploitation (continu)
Comités de pilotage mensuels, monitoring continu, préparation d'audit, gestion d'incidents et coaching de ré-audit annuel.
Trois portes d'entrée, alignées sur votre maturité.
Vous pouvez monter en gamme à tout moment — les briques restent les mêmes, seules la profondeur et la cadence évoluent.
Starter
Pour PME avec 1 à 2 frameworks
- 1 framework (ex. ISO 27001 ou NIS2)
- Plateforme VamiGRC incluse
- Comités de pilotage trimestriels
- Accompagnement audit Stage-1 & 2
- Support incident réactif
Professional
Plusieurs frameworks, vCISO dédié
- Jusqu'à 3 frameworks en parallèle
- vCISO dédié 8h/semaine
- Revues et reporting mensuels
- Gestion active des risques et fournisseurs
- Hotline incident 24/7
- DPO externe inclus
Enterprise
Groupe, multi-entités, cadence d'audit élevée
- Tous les frameworks + IA à haut risque
- vCISO + responsable IA + DPO
- Pilotage hebdomadaire
- On-Prem ou cloud souverain UE
- Connexion SOC en option
- Customer Success Lead dédié
Ce que vous vous demandez probablement.
Avons-nous encore besoin d'un RSSI interne ?
Non. Le vCISO remplit pleinement la fonction RSSI sur le plan réglementaire (ISO 27001, NIS2, BSI). Nous recommandons un point de contact interne (responsable conformité, ~4h/semaine) pour le quotidien — c'est suffisant.
En combien de temps sommes-nous audit-ready pour Stage-1 ?
Réaliste : 12 à 16 semaines à partir du démarrage du setup, à condition que le top management s'engage sur les comités et la livraison de preuves. Nous avons livré des clients en 9 semaines — c'était un sprint complet.
Que se passe-t-il en cas d'incident à 2h du matin ?
Professional et Enterprise incluent une hotline 24/7. L'alerte précoce NIS2 (24h) et le rapport complet (72h) sont coordonnés par le CISO de garde. En Starter, gestion réactive le jour ouvrable suivant.
Nos données sont-elles en sécurité dans VamiGRC ?
Hébergement dans un data center allemand AWS Francfort, certifié ISO 27001 et BSI-C5-Type-2. Chiffrement au repos et en transit, SSO via SAML/OIDC, journaux d'audit complets. Cloud souverain UE en option sur demande.
Pouvons-nous reprendre la main plus tard ?
Oui. Toutes les politiques, risques et contrôles sont exportables au format OSCAL. Nous menons des phases explicites de transfert de connaissances lors de la reprise interne. Pas de vendor lock-in.
Faites-vous aussi des pentests ou du TLPT ?
Pentests oui (web, API, IoT, systèmes IA). TLPT DORA en coopération avec des Red Teams certifiées. Les deux ne sont pas inclus dans le forfait GRCaaS de base mais s'y ajoutent proprement.
Échangeons 30 minutes.
Pas de pitch commercial — une évaluation honnête de votre maturité et de la pertinence du GRCaaS pour vous.
Protégez votre organisation dès maintenant !
Contactez-nous pour une consultation individuelle et une solution de sécurité adaptée à vos besoins.
Valeri Milke, CEO de VamiSec
"Ce n'est que lorsque tous les instruments sont bien accordés que votre organisation devient sécurisée et conforme."