Partenaire IT? Decouvrez comment livrer la conformite NIS2

Voir offre partenaire →

Comment Cadrer une Mission d'Audit-Readiness NIS2

Un client vous demande un devis pour la conformite NIS2. Vous savez que la partie plateforme prend un jour ou deux a configurer. Vous savez aussi que le vrai travail n'est pas la plateforme. A quoi vous engagez-vous concretement, et comment tarifer pour ne pas absorber les heures de mise en oeuvre? Voici un guide de cadrage ecrit par des operateurs, pour des operateurs.

La Question de Cadrage a Laquelle Vous Devez Repondre

Un client envoie une demande de devis, ou son assureur demande des preuves, ou un client plus important exige des preuves CyFun Basic. On vous demande: "Combien de temps cela prendra et combien cela coutera?" Bien repondre a cette question suppose de separer trois flux de travail tres differents qu'un devis generique de "conformite" melange.

Configuration plateforme (1 a 2 jours)

Connecter les integrations, lancer les assistants de politique, charger les donnees de parc. Fixe et rapide.

Validation des politiques et remplissage des registres (semaines)

Adapter les politiques brouillons au fonctionnement reel du client, remplir les registres risques, fournisseurs, incidents et formation, courir apres les signatures de la direction.

Mesures de securite manquantes (mois, variable)

Deployer MFA, deployer EDR, mettre en place une sauvegarde immuable, implementer la retention des logs. C'est du travail d'ingenierie, pas de la paperasse de conformite.

Ce Que Fait la Plateforme vs Ce Que Vous Faites vs Ce Que Fait le Client

Clarifier cette repartition pendant le cadrage evite le decalage d'attentes qui tue les missions au troisieme mois. La plateforme est rapide. L'engagement autour d'elle est la ou vont les heures.

Travail plateforme (invisible, automatique)

  • Provisionnement du cadre et mise en place du wiki apres l'evaluation d'entree
  • Synchronisation des integrations pour les preuves techniques (M365 Graph, EDR, sauvegarde, pare-feu)
  • Generation de politiques brouillons via les assistants, contextuelle au client
  • Moteur en cascade (approuver un controle pre-remplit les controles dependants)
  • Suivi d'expiration des preuves, mises a jour de la punch-list, analyse des ecarts
  • Exports: classeur CCB, lien de partage CAB, rapport a votre marque, archive ZIP

Travail MSP (vos heures facturables)

  • Relation client, conditions commerciales, facturation du client final
  • Session Phase 2: s'asseoir une fois avec le client pour connecter les integrations et lancer les assistants
  • Valider et adapter les politiques brouillons a la realite du client
  • Remplir les 10 registres avec des donnees client reelles (risques, fournisseurs, incidents, formation, tests de phishing, tests de sauvegarde, changements, revues de politiques, onboarding, revues)
  • Courir apres les signatures de la direction, grappe par grappe
  • Mettre en oeuvre les mesures de securite manquantes: deploiement MFA, deploiement EDR, durcissement des sauvegardes, retention des logs. C'est souvent le principal moteur du calendrier et c'est presque toujours sous-estime
  • Revues trimestrielles, coordination d'incidents, preparation d'audit

Travail client (les transferts dont vous avez besoin)

  • Approuver les politiques au niveau de la direction
  • Fournir les donnees de parc: effectifs, inventaire logiciel, fournisseurs
  • Participer a la formation et aux tests de phishing quand declenches
  • Etre disponible pour l'audit CAB a la date planifiee

Trois Profils Clients, Trois Calendriers

La configuration plateforme de 1 a 2 jours est fixe. Ce qui varie, c'est la Phase 3, l'etape de validation et de mise en oeuvre. Lors du premier cadrage, passez en revue avec le client le profil qui lui correspond. Cela calibre les attentes avant de devis une echeance.

Client bien equipe

1 a 3 mois

Point de depart: M365 avec MFA applique, EDR en place, sauvegarde immuable, une forme de logging central, politique d'usage acceptable ecrite, formation annuelle de sensibilisation en cours

Ce qui pilote le calendrier: Revue des politiques, signatures de la direction, remplissage des registres. La technique est deja la; la paperasse rattrape.

Astuce: Ces missions sont rentables immediatement. Le travail plateforme ferme environ 70% des controles au jour 1. Vos heures vont a valider et obtenir des signatures.

Client avec des ecarts

4 a 6 mois

Point de depart: Un peu de technique en place mais des ecarts mesurables: pas de MFA applique, sauvegarde grand public, pas de logging central, ou pas d'EDR sur chaque appareil

Ce qui pilote le calendrier: La mise en oeuvre des mesures manquantes se deroule en parallele du travail sur les politiques. Chaque ecart est un mini-projet: deploiement MFA, remplacement de sauvegarde, deploiement EDR.

Astuce: Devisez l'abonnement plateforme au mois et le travail sur les mesures manquantes comme une ligne ponctuelle separee. Ne les regroupez pas ou votre taux horaire disparait.

PME greenfield

6 a 9 mois ou plus

Point de depart: Sauvegarde grand public, pas d'EDR, pas de MFA applique, pas de retention de logs, probablement pas de politiques ecrites

Ce qui pilote le calendrier: La majorite du calendrier est votre projet de mise en oeuvre. La paperasse de conformite suit dans les 2 derniers mois.

Astuce: Ne promettez pas audit-ready avec une echeance courte. Sous-cadrer un client greenfield cree un stress de deadline autour de la fenetre de depot CCB et abime la relation.

Ces fourchettes valent par niveau CyFun atteint, generalement Basic. Si la destination du client est Important ou Essential, voir la section suivante : c'est un trajet pluriannuel, pas une fenetre unique plus longue.

Quand la Destination Est Important ou Essential : Planifiez un Trajet Pluriannuel

Les calendriers de 1 a 9 mois ci-dessus supposent que le client atteint un seul niveau CyFun dans cet engagement, generalement Basic. Le CCB exige une readiness Basic auditee avant Important, et un Important audite avant Essential — pas de raccourci, pas de saut. Donc si la destination du client est Important ou Essential, le schema realiste est pluriannuel, pas pluri-mensuel. Chaque cycle d'audit fait par ailleurs surgir du travail de remediation qui demande plusieurs mois pour cloturer avant que le niveau suivant ne s'ouvre.

Annee 1

Readiness Basic et audit

Construire la gouvernance, le moteur de preuves, la mise en oeuvre des controles et la discipline d'audit-readiness. L'engagement de 12 mois charpente cela. Apres l'audit, prevoyez 2-3 mois de remediation avant le demarrage de l'Annee 2.

Annee 2

Readiness Important et audit

Meme boucle qu'en Annee 1 mais sur le niveau Important (132 controles vs 34 pour Basic). La discipline existe deja ; les controles s'approfondissent. Un autre cycle d'audit, une autre fenetre de remediation.

Annee 3+

Readiness Essential et audit

Essential ajoute la couche de maturite operationnelle : monitoring continu, reponse incident avancee, attestation supply-chain. Realiste seulement apres deux cycles d'audit qui prouvent que la discipline tient. Les dates reelles dependent fortement du contexte.

Comment Mener la Session Plateforme Phase 2

La Phase 2 est la configuration plateforme de 1 a 2 jours. Vous la faites une fois par client, generalement a distance. Le livrable est une org client avec des preuves techniques auto-verifiees, des politiques brouillons et une punch-list complete qui montre exactement ce qui echouerait a un audit aujourd'hui. Menez-la dans cet ordre.

1

Connectez M365 Graph en premier

Consentement GDAP, 30 minutes. Cette seule integration auto-verifie environ la moitie des controles CyFun Basic. Faites ceci avant tout le reste pour que la session dispose de donnees reelles.

2

Connectez l'EDR

Sophos, Bitdefender, SentinelOne ou Defender for Endpoint. 1 a 2 heures. Cela pousse la couverture auto-verifiee au-dela de 70% sur Basic et donne des inventaires d'appareils precis pour detecter les ecarts de population.

3

Connectez sauvegarde et pare-feu la ou les connecteurs existent

Si le client utilise un fournisseur de sauvegarde ou un pare-feu supporte, connectez-le maintenant. Sinon, notez l'ecart; il deviendra une preuve manuelle plus tard.

4

Renseignez le parc declare

Effectifs, nombre d'appareils, nombre de sites, inventaire logiciel. La plateforme s'en sert pour detecter les ecarts de population (declare 83 appareils, Graph en voit 12 = vraie non-conformite d'audit). Faites-le correctement en Phase 2 ou vous passerez les trois mois suivants a nettoyer.

5

Lancez les assistants de politique dans l'ordre de cascade

Priorisez d'abord les 5 controles declencheurs; chaque assistant pre-remplit jusqu'a 3 controles dependants via le moteur en cascade. A la fin de la session, vous avez des politiques brouillons sur l'ensemble du cadre, pas une pile de modeles vides.

6

Prenez le premier instantane de la punch-list

La Audit Punch List affiche maintenant Echec-certain, A-risque et Pret. C'est votre backlog pour la Phase 3. Passez-la en revue avec le client a la fin de la session; c'est la que le cadrage du travail de mise en oeuvre devient concret.

Comment Tarifer la Mission

Le modele commercial a deux parties. Gardez-les separees dans votre devis, votre contrat et votre facturation. Les clients qui ne savent pas ce qu'ils paient sont ceux qui marchandent chaque facture.

Partie 1: Abonnement mensuel de conformite

Couvre l'acces plateforme continu, les revues trimestrielles, le rafraichissement des preuves, le suivi de la punch-list et les rapports a votre marque. ECP vous facture 25 euros par client par mois a taux fixe. Vous facturez le client entre 50 et 250 euros par mois selon la taille, le secteur et le niveau de service. Avec la subvention VLAIO, un client payant 100 euros par mois recupere jusqu'a 45 euros, soit un net d'environ 55 euros par mois. C'est ici que reside votre marge recurrente. Note : ce sont des tarifs de lancement — les clients onboardes au tarif actuel restent a ce tarif pour les fonctionnalites actuelles a mesure que le modele tarifaire evolue.

Remises volume: 10% de 26 a 50 clients, 15% de 51 a 100, 20% au-dela de 100.

Partie 2: Travail de mise en oeuvre ponctuel

L'ingenierie des mesures manquantes (application MFA, deploiement EDR, durcissement des sauvegardes, retention des logs, ateliers d'adaptation des politiques) est facturee a vos tarifs MSP standards. C'est du travail projet, pas du travail abonnement. Estimez-le depuis la punch-list Phase 2 et devisez-le separement.

  • Projet d'application MFA: typiquement 3 a 8 heures par locataire selon la taille et la necessite d'un deploiement progressif
  • Deploiement EDR: specifique au fournisseur, generalement 0,5 a 1 heure par endpoint pour un parc de taille moyenne
  • Mise en place d'une sauvegarde immuable: depend du fournisseur actuel; souvent un projet de remplacement
  • Atelier d'adaptation des politiques et de la direction: 4 a 8 heures pour une passe complete sur les 34 controles Basic

Avertissements de Cadrage: Ne Faites Pas Ca

Une courte liste des erreurs de cadrage qui creent des clients mecontents et des missions non rentables.

Ne promettez pas audit-ready en 1 a 2 jours

C'est le temps de configuration plateforme, pas le temps d'engagement. Confondre les deux est la cause la plus frequente d'attentes brisees. La configuration plateforme produit des preuves auto-verifiees et des politiques brouillons. Audit-ready signifie que ces politiques sont adaptees, approuvees, et soutenues par des registres remplis et des controles mis en oeuvre.

Ne promettez pas Important ou Essential dans une fenetre de 12 mois

Le CCB vous fait gravir l'echelle : Basic audite avant Important, Important audite avant Essential. Un client dont la destination est Essential est un engagement pluriannuel (Annee 1 Basic, Annee 2 Important, Annee 3+ Essential). La proposition de 12 mois charpente l'Annee 1 et rend le reste possible — nommez-le explicitement au VP au moment de la proposition, pas au mois sept.

Ne sautez pas le cadrage des mesures manquantes

Si le client n'a pas de MFA applique et que vous dites "2 a 3 mois jusqu'a audit-ready," vous venez d'accepter de faire un deploiement MFA gratuitement. Passez en revue la punch-list Phase 2 avec le client. Chaque element Echec-certain qui est un ecart de mise en oeuvre recoit sa propre ligne dans le devis.

Ne traitez pas les registres comme de la paperasse

Les registres remplis contribuent automatiquement des preuves virtuelles aux controles. Un registre fournisseurs vide ou un registre risques vide = non-conformites d'audit, meme si chaque politique est parfaite. Planifiez des sessions dediees de remplissage des registres dans le calendrier de la mission.

N'oubliez pas le perimetre de population

Les integrations couvrent le parc declare. Si le client declare 83 appareils mais Graph n'en voit que 12, la punch-list signale Ecart de population. Un vrai audit echouerait ici. Cadrez un sprint de nettoyage en Phase 3 ou le parc declare est reconcilie avec ce que les integrations remontent reellement.

Ne devisez pas avant d'avoir lance l'evaluation d'entree

Le niveau du cadre (Small, Basic, Important, Essential) change significativement le perimetre. Lancez l'evaluation d'entree d'abord, confirmez le niveau, et devisez ensuite. Un client Basic (34 controles) et un client Important sont des missions tres differentes.

Moments Declencheurs pour la Conversation de Cadrage

Vous n'avez pas besoin de vendre la conformite a froid. Vos clients existants ont des declencheurs qui rendent cette conversation naturelle. Utilisez-les comme ouverture.

Renouvellement d'assurance

"Votre cyber-assureur va demander a propos de la conformite NIS2 au renouvellement. Anticipons-le avant qu'il n'augmente les primes ou n'exclue des couvertures."

Demande supply chain d'un client plus important

"Votre plus gros client demande une preuve CyFun Basic. Nous pouvons generer un rapport Supply Chain a votre marque en jours, pas en mois."

Echeance NIS2 qui approche

"La fenetre de depot CCB approche. Les organisations qui commencent maintenant sont auditees en premier; la file d'attente auditeur se forme deja."

Question du conseil ou de la direction

"Votre conseil pose la bonne question. Voici une reponse claire: ou vous en etes aujourd'hui, ce qui manque, et combien cela coute pour combler l'ecart."

Exigence d'achat dans un appel d'offres

"Cet appel d'offres exige des preuves de cybersecurite. Nous pouvons produire les artefacts qu'ils veulent en semaines, pas en mois."

Subvention VLAIO annoncee ou renouvelee

"VLAIO couvre jusqu'a 45% du conseil en cybersecurite. Apres subvention, votre cout net baisse sensiblement. C'est la meilleure fenetre pour commencer."

Rythme Trimestriel et Economie de Renouvellement

L'audit-readiness NIS2 n'est pas un projet; c'est un service. Une fois le client audit-ready, la mission continue a une cadence reduite mais ne s'arrete jamais. Integrez cela des le premier jour dans la proposition.

  • Reunion de revue trimestrielle, 30 a 60 minutes, que vous animez. Relancez la punch-list, rafraichissez les preuves qui expirent, mettez a jour les registres, discutez des nouveaux risques. C'est la que vous demontrez la valeur continue et c'est la que le client renouvelle sans friction.
  • Les preuves techniques restent fraiches automatiquement via les integrations. Ce qui expire, ce sont les artefacts manuels: preuves de formation, resultats de tests de phishing, logs de tests de sauvegarde. La plateforme les signale en Stale; vous planifiez le rafraichissement avec le client.
  • Rafraichissement annuel de conformite: refaites l'evaluation d'entree si le client a grandi ou change de secteur, recalibrez le plan d'action, rafraichissez les signatures de la direction.
  • Support au renouvellement d'assurance: generez le pack de preuves quand le client renouvelle son assurance cyber. C'est un point de contact facturable qui renforce la valeur de l'abonnement.
  • Mises a niveau du cadre: lorsque le CCB publie une nouvelle version du classeur CyFun, ECP publie une migration; vous re-exportez et le client a la nouvelle version. Communiquez-le proactivement au client pour qu'il voie la valeur de maintenance.

Ce que ECP Vous Donne pour le Cadrage

Easy Cyber Protection est le moteur derriere la mission. Vous obtenez une plateforme multi-locataires avec des outils d'evaluation, la synchronisation d'integrations, les assistants de politique, la collecte de preuves, des rapports a votre marque et des exports audit-ready pour 25 euros par client par mois. Votre marque sur tout ce que voit le client. Aucune expertise conformite requise de votre part; le cadre est encode. Vous cadrez la mission, nous rendons le cote plateforme previsible.

Questions de Cadrage Frequentes

Combien de temps dure toute la mission de bout en bout?

Par niveau CyFun atteint, la configuration plateforme (Phase 2) est de 1 a 2 jours et la Phase 3 dure 1 a 9 mois selon le point de depart du client : bien equipe 1 a 3 mois, avec ecarts 4 a 6 mois, greenfield 6 a 9 mois ou plus — generalement vers CyFun Basic. Si la destination est Important ou Essential, c'est un trajet pluriannuel (Annee 1 Basic, Annee 2 Important, Annee 3+ Essential) car le CCB exige chaque niveau audite avant l'ouverture du suivant. Lors du cadrage, passez avec le client les deux couches : l'estimation par-niveau issue de la punch-list Phase 2, plus la progression de niveaux pluriannuelle si sa destination depasse Basic.

Comment tarifer pour ne pas faire du travail de mise en oeuvre gratuit?

Separez la partie commerciale en deux flux. L'abonnement mensuel de conformite (50 a 250 euros par client) couvre l'acces plateforme, les revues trimestrielles, le rafraichissement des preuves et le reporting. L'ingenierie des mesures manquantes (MFA, EDR, sauvegarde, logging) est facturee separement a vos tarifs MSP standards en tant que travail projet ponctuel. Les deux peuvent etre eligibles a la subvention VLAIO si vous etes enregistre en tant que conseiller en cybersecurite. N'incluez jamais les heures d'ingenierie dans le tarif d'abonnement.

Que dois-je savoir avant la premiere reunion de cadrage?

Ayez l'evaluation d'entree prete a lancer (elle determine le niveau CyFun). Demandez: couverture MFA actuelle, fournisseur de sauvegarde et immuabilite, presence et couverture EDR, retention des logs, politiques ecrites existantes, effectifs et nombre d'appareils declares, declencheurs reglementaires (demande assureur, demande supply chain, appel d'offres). Ces cinq reponses classent le client dans l'un des trois profils et pilotent tout le devis.

Ai-je besoin de qualifications en conformite ou en audit pour livrer cela?

Non. Les MSP preparent les clients a etre audit-ready. L'audit de certification est realise par un auditeur CAB accredite BELAC, pas par vous. La plateforme gere la cartographie du cadre et la structuration des preuves; vous gerez la relation client, l'adaptation et la mise en oeuvre. Voyez-le ainsi: le MSP est le comptable, l'auditeur CAB est l'expert-comptable externe.

Que se passe-t-il si le client rate la fenetre d'audit CAB?

Le sous-cadrage est la cause principale des fenetres ratees, surtout sur les clients greenfield. Fixez l'attente honnetement au cadrage: un client greenfield, c'est 6 mois et plus. Si le client insiste sur une fenetre plus courte, soit le perimetre se reduit a documenter les controles sans mise en oeuvre complete, soit la date bouge. Ne promettez jamais une date audit-ready a 2 mois a un client sans MFA et sans EDR.

Comment gerer le client qui dit "donnez-moi juste le prix total"?

Reponse en deux lignes. Abonnement mensuel: X euros par mois, demarre immediatement, inclut plateforme, revues trimestrielles, reporting, exports a votre marque. Mise en oeuvre ponctuelle: Y euros estimes sur la base des ecarts identifies en Phase 2, factures en travail projet a nos tarifs standards. Vous pouvez beneficier jusqu'a 45% de subvention VLAIO sur les deux. Cette formulation ferme les affaires plus vite qu'un chiffre unique melange.

Articles Connexes

TARS AI