Questions fréquentes

La qualification PASSI ANSSI couvre quatre portées : audit organisationnel et physique, audit d’architecture, audit de configuration, tests d’intrusion. Brightway est qualifié sur l’ensemble de ces portées, ce qui couvre le spectre d’audit exigé dans les marchés publics, pour la conformité NIS2 des opérateurs de services essentiels (OSE), le référentiel SecNumCloud, et pour les appels d’offres des grands donneurs d’ordre.

Un scan de vulnérabilités est automatisé et détecte des défauts connus sans exploiter. Un test d’intrusion PASSI est mené par des consultants qualifiés qui exploitent les failles comme un attaquant réel, chaînent des vecteurs et mesurent l’impact concret. Le pentest répond à la question « jusqu’où un attaquant peut aller ? ».

Après un incident, avant une mise en production critique, pour valider un durcissement CIS ou ANSSI, ou à la demande d’un assureur cyber ou d’un client grand compte. L’audit mesure l’écart entre une référence de sécurité et l’état réel de vos systèmes (Active Directory, serveurs, équipements réseau, applicatifs).

NIS2 concerne plus de 10 000 entités en France. L’assujettissement combine secteur (énergie, santé, finance, numérique, administrations…), taille (≥ 50 salariés ou ≥ 10 M€ de chiffre d’affaires) et criticité. Brightway réalise gratuitement un diagnostic de périmètre sur demande pour qualifier votre statut d’entité essentielle ou importante.

Comptez 9 à 15 mois entre le démarrage du projet et l’audit de certification initial. Chemin critique : cadrage (1-2 mois), analyse de risques et politique SMSI (2-3 mois), déploiement des contrôles Annexe A (4-6 mois), audit interne et revue de direction (1 mois), audit de certification (2 mois).

DORA s’applique depuis janvier 2025 à toutes les entités financières européennes : banques, assurances, gestionnaires d’actifs, plateformes de négociation, prestataires de services crypto. Il concerne aussi leurs prestataires TIC critiques. Les obligations couvrent la gestion des risques TIC, les tests de résilience et la notification d’incidents majeurs à l’ACPR.

Le DPO veille à la conformité RGPD, mais la mise en œuvre des mesures techniques et organisationnelles relève du RSSI ou du responsable SI. En pratique, DPO et RSSI collaborent étroitement sur les analyses d’impact (AIPD), la gestion des violations, les durées de conservation et la documentation des traitements sensibles.

Le vCISO (RSSI à temps partagé) est un RSSI senior mutualisé entre plusieurs organisations, généralement 1 à 5 jours par mois. Pertinent pour les PME et ETI qui ne justifient pas un RSSI plein temps mais ont besoin de piloter une feuille de route cyber, de préparer un audit ou de porter une gouvernance crédible.

Les assureurs évaluent votre posture via 40 à 80 questions couvrant gestion des accès (MFA, privilèges), sauvegardes (règle 3-2-1), détection (EDR/SOC), sensibilisation et gouvernance. Un écart sur les points critiques entraîne un refus ou une prime majorée. Brightway cadre les réponses et comble les écarts rédhibitoires avant soumission.

Notre SOC collecte les événements de vos systèmes (endpoints, Active Directory, pare-feu, cloud) via des connecteurs standards, les corrèle avec des règles de détection MITRE ATT&CK et une veille CTI. Les alertes qualifiées sont prises en main par nos analystes avec notification client sous 15 minutes pour les incidents critiques.

Isolez les systèmes compromis sans les éteindre (pour préserver la mémoire volatile), notifiez direction et DPO, puis contactez un CERT immédiatement. Notre CERT FIRST peut intervenir sous 2 à 4 heures. Les 48 premières heures sont critiques pour l’endiguement, la collecte de preuves et la notification CNIL sous 72 heures.

Brightway Academy est certifié Qualiopi, prérequis pour l’éligibilité aux fonds mutualisés de la formation professionnelle depuis janvier 2022. Nos formations certifiantes peuvent être prises en charge par l’AIF France Travail.

Qualiopi est une certification qualité (pas une qualification) délivrée par un organisme certificateur accrédité COFRAC. Elle atteste que l’organisme de formation respecte le Référentiel National Qualité sur 7 critères (information, pédagogie, suivi, moyens, encadrement, qualité continue, traitement des réclamations). Obligatoire depuis janvier 2022 pour les organismes de formation accédant aux financements publics et mutualisés.

Les examens PECB durent 2 à 3 heures selon la certification (Lead Implementer, Lead Auditor, Risk Manager, AI). 50 à 80 questions écrites mélangeant QCM et questions ouvertes, note minimale 70 %. Passage en fin de session en salle supervisée. Résultats sous 6 à 8 semaines, certificat valide 3 ans.

Brightwatch est notre service de veille vulnérabilités en français, conçu pour les équipes IT qui n’ont ni le temps ni l’analyste dédié pour suivre les flux CVE anglophones. Chaque alerte est qualifiée, contextualisée à votre environnement déclaré et hiérarchisée par criticité opérationnelle, avec des recommandations actionnables.

Un flux CVE brut génère des centaines d’alertes par semaine, la plupart non pertinentes pour votre parc. Brightwatch filtre sur votre stack technologique déclarée, intègre l’exposition réelle (CVSS environnemental, exploitation observée) et livre des bulletins rédigés en français par nos analystes — pas un flux machine de plus à trier.

Un ordre de grandeur raisonnable est de 3 à 8 % du budget IT pour une PME non régulée, davantage pour les secteurs NIS2 ou les structures traitant des données sensibles. L’investissement initial cible généralement EDR, MFA, sauvegardes immuables, sensibilisation et un audit de posture pour prioriser la feuille de route.

Brightway répond aux procédures formalisées (appels d’offres, MAPA) et aux marchés négociés. Nous sommes référencés sur plusieurs accords-cadres pour les prestations PASSI et la formation Qualiopi. Nos références couvrent communes, intercommunalités, conseils départementaux et établissements publics, avec une expertise des contraintes budgétaires et calendaires du secteur.