- Écrit par Sanae Boudchich
- , le
Retour d’expérience :
Comment un client du secteur financier a changé la façon dont il voit son Système d’Information
Dans le secteur financier, on imagine souvent que les enjeux de cybersécurité sont forcément lourds, complexes et coûteux. La réalité est plus nuancée. Beaucoup d’établissements ne manquent pas de bonne volonté, mais simplement de temps, de visibilité ou d’organisation.
Voici un retour d’expérience réel et anonymisé sur l’accompagnement d’un client du secteur.
Le contexte : un SI “qui fonctionne”, mais sans véritable cadre
La société en question est une structure de gestion de portefeuille d’une quarantaine de collaborateurs.
Comme beaucoup d’acteurs financiers, elle avait déjà plusieurs outils de sécurité : antivirus, filtre mail, sauvegardes, MFA…
Le problème n’était pas l’absence de solutions, mais le manque de cohérence entre elles.
Lors d’un audit, plusieurs questions sont apparues :
Comment tester le PRA de manière réaliste ?
Les sauvegardes sont-elles réellement exploitables en cas d’incident ?
Les incidents mineurs sont-ils suffisamment documentés ?
Les prestataires IT sont-ils suivis comme l’exige DORA ?
Ce n’était pas un système d’information “en danger”. C’était un SI qui manquait de structure.
Notre approche : comprendre avant d’agir
Plutôt que proposer un grand chantier, nous avons commencé par écouter. Trois réunions ont suffi pour que l’équipe exprime ce qui la bloquait :
le manque de temps, la peur de “mal faire”, et l’impression que la conformité demandait des changements titanesques.
Nous avons ensuite réalisé une cartographie simple et accessible, centrée sur leur réalité.
Les actions menées
Test complet du PRA, pour identifier ce qui fonctionnait et ce qui devait être renforcé.
Mise à jour des procédures existantes.
Centralisation des journaux et incidents, pour avoir une vision claire de ce qui se passe réellement.
Vérification et documentation des sauvegardes : fréquence, intégrité, test de restauration.
Création d’un fichier unique récapitulant les rôles, responsabilités et contacts en cas d’incident.
Revue des prestataires sensibles pour répondre simplement aux attentes DORA.
Les résultats : moins de stress, plus de visibilité
Le PRA a été testé et validé.
La direction a une vision claire des risques.
La société dispose enfin d’une documentation simple, vivante.
Le responsable informatique ne travaille plus “à l’instinct”, mais avec un cadre.
La conformité DORA est maîtrisée sans surinvestissement.
Beaucoup de sérénité gagnée.
Après cet accompagnement, le client nous a dit :
“Pour la première fois, on sait exactement dans quel état est notre SI. On sait où on est bons, où on doit s’améliorer, et comment.”
Conclusion
Ce type de mission montre que la résilience et la conformité ne sont pas réservées aux grandes banques.
Avec une approche pragmatique et attentive, il est possible de rendre un SI plus clair, plus stable et plus maîtrisé, sans opérations lourdes.
C’est ce que nous essayons de faire au quotidien : aider nos clients à avancer, à leur rythme, en fonction de leur réalité.
Vous aussi vous avez des questions à nous soumettre ?
