Sécurité de l'information · Conformité · Certification

Soyez accompagnés, pas juste audités.

Certification ISO 27001, conformité RGPD, NIS2, DORA — je pilote vos projets de sécurité de l'information de bout en bout. Avec la rigueur d'un auditeur certifié AFNOR et l'efficacité d'un chef de projet qui fait ça depuis plus de quinze ans.

Réserver un échange Voir les prestations
Référentiels & réglementations
ISO 27001 RGPD NIS2 DORA ISO 19011
Pourquoi moi

Votre conformité mérite mieux qu'un consultant de passage.

Vous avez besoin de quelqu'un qui comprend vos enjeux de sécurité, qui sait piloter un projet de transformation, et qui connaît les exigences des auditeurs pour les avoir pratiquées. C'est exactement ce profil.

  • Un consultant qui pilote, pas qui diagnostique et s'en va

    Plus de quinze ans de gestion de projets IT et digitaux en ESN, en mutuelle, dans l'industrie et récemment chez l'Olympique Lyonnais. Certification, mise en conformité, transformation — ce sont avant tout des projets : jalons, comités, arbitrages, conduite du changement. C'est mon métier.

  • Une crédibilité d'auditeur au service de votre préparation

    Certifié responsable d'audit ISO 27001 par AFNOR, mandaté par les principaux organismes de certification (AFNOR, LRQA). Je sais exactement ce qui sera contrôlé, comment, et où tombent les écarts les plus fréquents. Cette connaissance est au service de votre accompagnement, pas d'un rapport supplémentaire.

  • Un périmètre large, une approche cohérente

    ISO 27001, RGPD, NIS2, DORA — ces sujets se recoupent et vos clients, régulateurs ou partenaires vous les demandent souvent en même temps. Je vous aide à construire une démarche de sécurité et de conformité unifiée, pas un empilement de chantiers isolés.

  • Un indépendant basé à Lyon, disponible en France

    Pas de sous-traitance opaque, pas de junior qui apparaît après la signature. Vous travaillez avec moi du premier au dernier jour. Basé à Lyon, je privilégie l'Auvergne-Rhône-Alpes et le Sud-Est pour les missions récurrentes. Interventions ponctuelles sur toute la France.

Prestations

Des offres claires pour votre sécurité et votre conformité.

Des missions aux livrables précis, aux durées connues, facturées au forfait ou au TJM selon la nature. Chaque offre peut être un point d'entrée ou un jalon d'un parcours plus large.

— 01 Cadrage

Go / No-Go ISO 27001

Le diagnostic d'écart qui vous dit, en quelques jours, si votre organisation est prête pour une démarche de certification, et à quel coût.

  • Gap analysis vs les 93 mesures de l'Annexe A 27001:2022
  • Cartographie du périmètre candidat à la certification
  • Estimation charge, budget et délai jusqu'au certificat
  • Note d'opportunité à présenter au Comex
Durée 5 à 10 jours
Format Forfait
— 02 Accompagnement

Mise en conformité & certification

Le pilotage complet de votre projet, du cadrage initial jusqu'au passage de l'audit de certification. C'est là que la double casquette auditeur / chef de projet fait la différence.

  • Pilotage du projet de mise en conformité (chef de projet dédié)
  • Rédaction et revue de la documentation SMSI complète
  • Accompagnement de la direction : revue de management, décisions
  • Préparation des équipes aux entretiens d'audit
  • Audit à blanc final avant passage en certification
Durée 6 à 12 mois
Format TJM ou forfait
— 03 Audit

Audit interne ISO 27001

Exigence obligatoire de la norme (clause 9.2), conduite selon ISO 19011, par un auditeur certifié AFNOR. Un livrable exploitable immédiatement en revue de management.

  • Plan d'audit formalisé et validé
  • Conduite des entretiens sur site ou à distance
  • Rapport d'audit conforme ISO 19011
  • Écarts qualifiés : majeurs, mineurs, pistes de progrès
  • Plan d'actions priorisé
Durée 3 à 8 jours
Format Forfait
— 04 Préparation

Audit à blanc avant certification

Vous êtes à deux ou trois mois de votre audit de certification ou de renouvellement. Je simule l'audit officiel dans des conditions réelles, pour qu'il n'y ait pas de surprise le jour J.

  • Audit en conditions réelles sur votre périmètre certifié
  • Rapport d'écarts complet
  • Plan de remédiation priorisé par criticité
  • Coaching des interlocuteurs clés face à l'auditeur
Durée 2 à 5 jours
Format Forfait
— 05 Conformité

Conseil en conformité réglementaire

RGPD, NIS2, DORA — ces exigences se recoupent avec l'ISO 27001 et vos clients ou régulateurs vous les demandent souvent en même temps. Je vous aide à construire une démarche cohérente plutôt qu'un empilement de chantiers.

  • Cadrage et articulation avec votre SMSI existant ou en construction
  • Cartographie des traitements et registre RGPD
  • Analyse d'écart NIS2 / DORA et plan de mise en conformité
  • Accompagnement opérationnel : DPIA, politiques, procédures
Durée Sur mesure
Format TJM ou forfait

Point de déontologie. Les audits de certification que je conduis pour AFNOR et LRQA sont mandatés par ces organismes et ne peuvent pas être commandés directement. Par ailleurs, je ne peux pas être l'auditeur de certification d'un client que j'ai accompagné en conseil (règle ISO 17021). Cette frontière est stricte, assumée, et c'est précisément elle qui fait la valeur de chaque casquette.

Méthode

Un parcours en quatre temps, sans surprise.

Quelle que soit l'offre retenue, la démarche suit la même logique. Parce qu'un projet de conformité, ça se pilote — ça ne s'improvise pas.

01

Cadrage

Premier échange gratuit. Je comprends votre contexte, vos contraintes, vos échéances. Vous repartez avec un premier avis, qu'on signe ou non.

02

Diagnostic

Analyse du périmètre, des risques, des écarts. Un rapport clair, hiérarchisé, chiffré. La photo à l'instant T, sans complaisance ni dramatisation.

03

Exécution

Pilotage en mode projet : jalons, comités, documentation, arbitrages. Rythme adapté à vos équipes, transparence sur la charge, engagement sur les livrables.

04

Passage

Audit à blanc, préparation des entretiens, présence en back-office pendant l'audit de certification. Jusqu'à l'obtention du certificat.

Christophe Brulin
Consultant sécurité & conformité · Lyon
À propos

Quinze ans à piloter la transformation. Aujourd'hui au service de votre conformité.

J'ai démarré ma carrière en ESN, dans la gestion de projets digitaux et IT. Dix ans dans une mutuelle m'ont appris ce que signifie vraiment la donnée sensible, la culture réglementaire et la conformité au quotidien. Quelques années d'industrie m'ont donné le goût des référentiels normatifs.

J'ai piloté des programmes de transformation, des refontes de SI, des déploiements métier. Plus récemment, j'ai terminé une mission de huit mois en tant que chef de projet / Product Owner pour l'Olympique Lyonnais.

En parallèle, je me suis certifié responsable d'audit ISO 27001 auprès d'AFNOR Certification, et j'interviens en tant qu'auditeur mandaté pour AFNOR et LRQA. Aujourd'hui, je mets cette double lecture — pilotage de projet et exigences d'audit, gouvernance et terrain — au service des entreprises qui veulent structurer leur sécurité de l'information et leur conformité réglementaire.

15+
années de pilotage de projets IT & digitaux
2
organismes certificateurs mandants (AFNOR, LRQA)
5
référentiels ISO 27000 maîtrisés
Questions fréquentes

Ce que les dirigeants me demandent avant de signer.

Les vraies questions, les vraies réponses. Si la vôtre n'est pas ici, posez-la en rendez-vous.

  • Combien de temps pour obtenir la certification ISO 27001 ?
    Pour une PME qui part de zéro avec un périmètre raisonnable, comptez 8 à 12 mois entre le cadrage et le passage de l'audit de certification. Une organisation déjà mature sur la sécurité peut viser 6 mois. À l'inverse, un périmètre complexe ou des équipes peu disponibles peuvent repousser à 14-18 mois. Je donne une estimation réaliste dès la phase de cadrage, pas une promesse optimiste pour signer.
  • Combien ça coûte, concrètement ?
    Un cadrage Go/No-Go est un forfait court, typiquement de quelques milliers d'euros. Un accompagnement complet à la certification s'étale sur plusieurs dizaines de jours de prestation répartis sur 6 à 12 mois — le budget dépend du périmètre et de votre niveau de maturité initial. À cela s'ajoutent les frais d'audit de certification payés directement à l'organisme certificateur (AFNOR, LRQA ou autre). Un devis chiffré est fourni après le premier échange.
  • Vous pouvez auditer une entreprise que vous avez accompagnée ?
    Non, et c'est volontairement cadré. La norme ISO 17021 interdit à un auditeur de certification d'intervenir chez un client qu'il a conseillé (règle des deux ans). C'est ce qui garantit l'indépendance de l'audit. En pratique : mes missions de conseil et mes missions d'audit mandatées concernent des clients différents. En revanche, je peux tout à fait réaliser un audit interne (clause 9.2) chez un client que j'accompagne — ce n'est pas la même chose.
  • Vous intervenez où géographiquement ?
    Basé à Lyon, je privilégie les clients d'Auvergne-Rhône-Alpes et du Sud-Est pour les missions récurrentes — là où je peux être présent régulièrement sur site. Pour les audits courts et les missions ponctuelles, la France entière, avec une préférence pour la moitié Est. Paris fait partie de la zone de travail habituelle.
  • Faut-il être une grande entreprise pour se certifier ?
    Absolument pas. L'ISO 27001 est parfaitement accessible aux PME, et elle devient même un prérequis commercial pour de nombreuses entreprises qui répondent à des appels d'offres B2B, aux directives NIS2 ou DORA, ou qui travaillent avec des grands comptes. L'enjeu pour une PME est justement de ne pas se faire vendre une usine à gaz : un SMSI bien proportionné au périmètre est aussi certifiable qu'un SMSI de grand groupe.
  • Et le RGPD, la NIS2, DORA, les autres référentiels ?
    Ma spécialité, c'est l'ISO 27001 et la famille ISO 27000. Le RGPD est très largement couvert par un SMSI bien construit — je peux intervenir sur l'articulation entre les deux. Pour NIS2 et DORA, je peux aider au cadrage et à l'articulation avec un SMSI existant, sachant qu'un SMSI ISO 27001 certifié est déjà une base solide pour ces directives. Les sujets très spécialisés (pentest, analyse forensique, cryptographie avancée) ne sont pas mon métier : je préfère vous orienter vers les bons spécialistes plutôt que faire semblant.
Parlons de votre projet

Un premier échange, sans engagement.

Trente minutes pour comprendre votre contexte, vos échéances, vos contraintes. Vous repartez avec un premier avis argumenté — que vous décidiez de travailler avec moi ou non.

Email
contact@christophebrulin.fr
LinkedIn
Christophe Brulin
Zone principale
Lyon · Auvergne-Rhône-Alpes
Mission
France entière
Premier échange
Visio · 30 minutes · Sans engagement
  • Compréhension de votre contexte et de vos enjeux
  • Premier avis sur la faisabilité et l'ordre de grandeur
  • Recommandations concrètes, même sans suite commerciale
  • Confidentialité garantie, NDA sur demande
Choisir un créneau
ou écrivez-moi à contact@christophebrulin.fr