"On nous a dit que c'était impossible. On l'a fait en moins d'un mois."

Comment Gabriel Greenfield a conduit sa certification CyberVadis — et s'est métamorphosée en tiers de confiance numérique.

Il y a quelques semaines, un client grand compte nous a adressé une demande que nous connaissions bien dans sa forme, mais que nous n'avions jamais encore affrontée dans sa plénitude : fournir une attestation CyberVadis pour poursuivre la relation commerciale. Un questionnaire de 32 contrôles couvrant la gouvernance, la protection des données, la sécurité technique, la gestion des incidents, la continuité d'activité.

Pour un cabinet de conseil boutique de 15 personnes, opérant en mode 100 % nomade, sans DSI, sans département juridique, sans budget de conformité dédié, la réaction initiale aurait pu être la capitulation.

Nous avons choisi l'autre option.

Acte I — Le diagnostic brutal

La première étape a été de refuser l'auto-illusion. Nous avons conduit un diagnostic honnête de notre posture réelle face aux 32 postes CyberVadis, en les croisant immédiatement avec trois autres référentiels que nous avions déjà en ligne de mire : RGPD, ISO 27001 et ISO 42001. C'est là qu'est née l'intuition centrale qui a tout changé : ces quatre référentiels parlent, en grande partie, de la même chose. La gouvernance, la gestion des accès, la protection des données, la traçabilité des incidents — ce sont des exigences mutualisables. Chaque document produit pour CyberVadis allait simultanément servir ISO 27001. Chaque preuve technique collectée dans Azure allait nourrir ISO 42001. Notre DPO externalisé nous aiderait pour le reste.

Cette mutualisation n'était pas un raccourci. C'était la méthode.

Acte II — Le plan en 25 jours

Nous avons structuré un plan d'action opérationnel sur 25 jours ouvrés. Trente-deux postes. Soixante questions. Vingt-cinq jalons, un par jour. Chaque contrôle était associé à trois éléments : un document de politique (la preuve de design), une configuration technique dans notre tenant Micro

soft 365 (la preuve technique), et une archive SharePoint (la preuve auditeur).

Les priorités critiques d'abord — J1 à J5 : Politique de Sécurité de l'Information signée par la Direction, gestion des mots de passe et MFA dans Azure Entra ID, contrôle des accès privilégiés, sécurisation des accès distants. Puis les priorités hautes — J6 à J20 : sauvegardes M365, sécurité messagerie, Defender for Office 365, gestion des appareils mobiles, BYOD, filtrage web. La conformité RGPD. Enfin les contrôles de surveillance et d'audit.

Ce n'était pas un projet. C'était une opération. Une mission.

Acte III — Le partenariat avec l'IA

Je dois être honnête sur un élément qui a été décisif et que beaucoup hésitent encore à mentionner publiquement : Claude, l'IA d'Anthropic, a été un partenaire de travail à part entière dans ce programme.

Pas pour remplacer le jugement humain. Pas pour signer des documents. Mais pour compresser un temps de production documentaire qui, sans elle, aurait représenté plusieurs semaines ou mois de rédaction. En quelques heures de session collaborative, nous avons produit : une Politique de Sécurité de l'Information, une Charte du Système d'Information, une Politique BYOD, une Politique de Messagerie, une Politique de Filtrage Web, un Registre des Traitements RGPD, un Registre des Systèmes IA, une Procédure de Gestion des Incidents, un Registre des Risques — le tout avec en-têtes brandés Gabriel Greenfield, bloc de signature RSSI + DPAIO + DG, et couverture multi-référentielle systématique (Cybervadis, RGPD, ISO27001, ISO42001). Nous sommes en mesure de connaître exactement comment chaque règle est couverte par chacune des actions menées.

Chaque document généré était immédiatement révisé, contextualisé, validé par notre RSSI Quentin et moi. L'IA produisait la matière. L'humain exerçait le jugement. C'est cette collaboration qui a rendu possible l'impossible délai.

Acte IV — La mutualisation Vanta / ISO 27001 / ISO 42001

Ce qui aurait pu être un sprint isolé est devenu le socle d'un programme de conformité structurant. Chaque document produit dans le cadre CyberVadis a été simultanément mappé sur ISO 27001:2022 et ISO 42001:2023. La plateforme Vanta, que nous avons intégrée à notre tenant Microsoft 365, collecte automatiquement les preuves de contrôle et génère un tableau de bord en temps réel.

Nous ciblons la certification ISO 42001 pour T4 2026 — la première norme internationale de management de l'IA. Pour un cabinet dont les clients sont des banques, des institutions financières, des acteurs régulés, c'est un signal fort : nous ne nous contentons pas de conseiller sur la transformation numérique et l'IA. Nous l'incarnons, nous la vivons, nous la certifions.

Épilogue — La métamorphose

En moins d'un mois, Gabriel Greenfield n'est plus seulement un cabinet de conseil en transformation. Nous sommes devenus un tiers de confiance — une organisation dont la posture de sécurité, la gouvernance des données, la gestion de l'IA et la résilience opérationnelle sont documentées, prouvées, auditables.

Ce n'est pas une case cochée. C'est une transformation profonde de notre identité professionnelle.

Pour nos clients bancaires, qui opèrent sous DORA, NIS2, les exigences de la BCE et les recommandations de l'ACPR, travailler avec un prestataire qui peut présenter un dossier de conformité complet n'est plus un "plus". C'est une condition d'entrée.

Nous avons choisi d'en faire notre avantage compétitif.