Audit et Conformité réglementaire

Reprenez le contrôle de vos données et gagnez en performance et en efficacité

Les données sont de plus en plus encadrées, que ce soit pour ses usages ou pour la détection d’anomalies ou d’irrégularités. Trop souvent la conformité est vue comme une contrainte, et pourtant elle peut s’avérer être une véritable opportunité pour l’entrepriseUne opportunité découlant de la nécessité de connaitre son environnement et d’en maitriser les usages.  Autant de points forts qui feront de cet actif, trop souvent sous exploité, une richesse, et une source de bénéfices visibles et concrets pour l’entreprise qui s’en soucie. 

La lutte que la Fraude et le Terrorisme (LCB-FT) renforcera votre KYC, le RGPD vous imposera de maitriser vos usages et la consommation des données personnelles  Dans le premier cas vous renforcez la maitrise de votre portefeuille clients, dans le second vous limitez les risques de perte de données ou leur redondance couteuse… et ce n’est qu’une vision grossière de la réalité, et simpliste des bénéfices effectifs. 

Notre objectif :  vous accompagner à la mise en conformité, et soutenir vos objectifs de performance. Nos consultants s’efforcent, selon les cultures qu’ils rencontrent, de permettre à vos équipes de prendre la mesure des enjeux portés par une mise en conformité, et d’en identifier les gains potentiels pour leurs activités. 

01

NOS DOMAINES D'INTERVENTION

CONFORMITÉ RÈGLEMENTAIRE

CONFORMITÉ CYBER

AUDIT ET CONTROLE

"DPO AS A SERVICE"

CONFORMITÉ RÈGLEMENTAIRE

CONFORMITÉ CYBER

AUDIT ET CONTROLE

"DPO AS A SERVICE"

Notre veille permanente nous permet d’intervenir sur les évolution réglementaire comme la dématérialisation des factures ou le télétravail par exemple Quel que soit le périmètre que vous nous confiez, nos consultants ont la sensibilité du résultat et s’efforcent de faire en sorte que votre conformité ne soit pas synonyme de baisse de performance et d’efficience. 

Pour soutenir ce niveau d'exigence, nos experts sont certifiés :

Délégué à la protection des données conformément au référentiel de certification des compétences du DPO de la CNIL

ISO27001 Auditor

02

CE QUE NOS ÉQUIPES ONT RÉALISÉ

Cas d’usage #1:

Entités d’un Groupe industriel international  

Contexte :

Le Groupe dispose d’une solution et pousse les différentes entités à se conformer à la réglementation. Les filiales cherchent également à se doter d’un moyen de pouvoir répondre simplement aux contraintes tout en étant capable de se conformer aux exigences centrales mais en évitant la solution groupe jugée inadaptée à leur réalité.  

Risque à traiter :

Les équipes sont débordées et ne sont pas prêtent à pouvoir gérer la mise en conformité en autonomie. Le secteur industriel du client est sensible et il est urgent de pouvoir mettre en place les éléments attendus de la règlementation.  

Problématiques confiées :   

  • Identification des traitements   
  • Identification et analyse des PIA  
  • Organisation et réalisation du Registre des traitements  
  • Établissement du plan d’action pour mise à jour du registre et remédiation des PIA  

Cas d’usage #2:

Éditeur de logiciel du secteur bancaire  

Contexte :

La société doit faire face à plusieurs réalités. Sa responsabilité vis-à-vis de ses traitements, le contrôle de ses sous-traitants, et son rôle de sous-traitants au travers de ses lignes de production. 

Risque à traiter :

Le secteur dans lequel elle évolue et le volume des données qu’elle a à traiter dans le cadre de ses activités en fait une cible possible et remarquable.

Problématiques confiées :   

  • Prise en compte des différents rôle (RT, SST) 
  • Identification des traitements selon les rôles 
  • Identification et analyse des PIA associé 
  • Organisation et réalisation des Registres des traitements
  • Établissement du plan d’action pour mise à jour des registres et remédiation des PIA 
  • Ateliers de sensibilisation des équipes 

Cas d’usage #3:

Société de paiement et de monnaie électronique  

Contexte :

Validation du Modèle de contrôle et de supervision  

Risque à traiter :

Ce type d’établissement, du fait de son activité, est en risque constant vis de la réglementation LCB-FT (notamment le blanchiment) et des obligations de maitrise du process de KYC.  

Problématiques confiées :   

  • Valider le modèle de supervision (cartographie des risques et contrôles) 
  • Définir le plan d’action de remédiation de l’équipe supervision 
  • Accompagner le directeur du contrôle interne dans la définition du pilotage des contraintes réglementaires LCB-FT  
  • Identifier les interactions CRM / KYC / LCB-FT / GDPR 
  • Proposer un modèle de cartographie LCB-FT 

     

     

Cas d’usage #1:

Entités d’un Groupe industriel international  

Contexte :

Le Groupe dispose d’une solution et pousse les différentes entités à se conformer à la réglementation. Les filiales cherchent également à se doter d’un moyen de pouvoir répondre simplement aux contraintes tout en étant capable de se conformer aux exigences centrales en évitant la solution groupe inadaptée à leur réalité.  

Risque à traiter :

Les équipes sont débordées et ne sont pas prêtent à pouvoir gérer la mise en conformité en autonomie. Le secteur industriel du client est sensible et il est urgent de pouvoir mettre en place les éléments attendus de la règlementation.  

Problématiques confiées :   

  • Identification des traitements   
  • Identification et analyse des PIA  
  • Organisation et réalisation du Registre des traitements  
  • Établissement du plan d’action pour mise à jour du registre et remédiation des PIA  

Cas d’usage #2:

Éditeur de logiciel du secteur bancaire  

Contexte :

La société doit faire face à plusieurs réalités. Sa responsabilité vis-à-vis de ses traitements, son contrôle de ses sous-traitants et son rôle de sous-traitants. des lignes de production. 

Risque à traiter :

Son activité fait de lui une cible possible du fait de son secteur d’activité et des données qu’ils doivent traiter dans le cadre de leurs activités.

Problématiques confiées :   

  • Prise en compte des différents rôle (RT, SST) 
  • Identification des traitements selon les rôles 
  • Identification et analyse des PIA associé 
  • Organisation et réalisation des Registres des traitements liés 
  • Établissement du plan d’action pour mise à jour des registres et remédiation des PIA 
  • Ateliers de sensibilisation des équipes 

Cas d’usage #3:

Société de paiement et de monnaie électronique  

Contexte :

Validation du Modèle de contrôle et de supervision  

Risque à traiter :

Ces établissements, du fait de leur activité, sont en risque constant vis de la réglementation LCB-FT (notamment le blanchiment) et des obligations de maitrise du process de KYC.  

Problématiques confiées :   

  • Valider le modèle de supervision (cartographie des risques et contrôles) 
  • Définir le plan d’action de remédiation de l’équipe supervision 
  • Accompagner le directeur du contrôle interne dans la définition du pilotage des contraintes réglementaires LCB-FT  
  • Identifier les interactions CRM / KYC / LCB-FT / GDPR 
  • Proposer un modèle de cartographie LCB-FT 

     

     

Votre entreprise doit sécuriser son développement, appuyez-vous sur nos experts pour le faire dans les règles !

Ensemble, assurons votre entreprise contre le risque de non-conformité grâce à notre accompagnement personnalisé.

RGPD

S’assurer que votre entreprise se donne les moyens de protéger ses données personnelles, celles des équipes que vous mobilisez, ainsi que celles de vos clients.

Protection globale des contrats, conformité juridique, Métier et IT

Audit d’initialisation, plan de rémédiation, pilotage de la mise en conformité.

Nous proposons une solution simple et pragmatique pour soutenir votre conformité.

 

LCBFT et KYC


Permettre à votre entreprise qu’elle s’est mise en capacité de se conformer aux obligations de la loi SAPIN en matière de Fraude, d’influence/corruption, connaissance de ses clients


Code de conduite (Charte et politique internes, formation, sensibilisation…),

Cartographie des risques (identification, évaluation, remédiation),

Connaissance des clients (KYC) et des fournisseurs,

Audit, contrôles et sensibilisation.

RGPD

S’assurer que votre entreprise se donne les moyens de protéger ses données personnelles, celles des équipes que vous mobilisez, ainsi que celles de vos clients.

Protection globale des contrats, conformité juridique, Métier et IT

Audit d’initialisation, plan de rémédiation, pilotage de la mise en conformité.

Nous proposons une solution simple et pragmatique pour soutenir votre conformité.

 

LCBFT et KYC


Permettre à votre entreprise qu’elle s’est mise en capacité de se conformer aux obligations de la loi SAPIN en matière de Fraude, d’influence/corruption, connaissance de ses clients


Code de conduite (Charte et politique internes, formation, sensibilisation…),

Cartographie des risques (identification, évaluation, remédiation),

Connaissance des clients (KYC) et des fournisseurs,

Audit, contrôles et sensibilisation.

RGPD

S’assurer que votre entreprise se donne les moyens de protéger ses données personnelles, celles des équipes que vous mobilisez, ainsi que celles de vos clients.

Protection globale des contrats, conformité juridique, Métier et IT

Audit d’initialisation, plan de rémédiation, pilotage de la mise en conformité.

Nous proposons une solution simple et pragmatique pour soutenir votre conformité.

 

LCBFT et KYC


Permettre à votre entreprise qu’elle s’est mise en capacité de se conformer aux obligations de la loi SAPIN en matière de Fraude, d’influence/corruption, connaissance de ses clients


Code de conduite (Charte et politique internes, formation, sensibilisation…),

Cartographie des risques (identification, évaluation, remédiation),

Connaissance des clients (KYC) et des fournisseurs,

Audit, contrôles et sensibilisation.

Permettre à nos clients d’obtenir rapidement (Audit Flash) ou en profondeur (Audit), une vision claire de la situation à contrôler ou à évaluer


Nous menons selon les lettres de missions confiées différents types d’audits et y associons les plans d’action à mener (Actions ; Délais ; Niveau de charges) :


Audit Cyber


Audit Risques


Audit de processus


Audit RGPD


Audit de Conformité

Permettre à nos clients d’obtenir rapidement (Audit Flash) ou en profondeur (Audit), une vision claire de la situation à contrôler ou à évaluer


Nous menons selon les lettres de missions confiées différents types d’audits et y associons les plans d’action à mener (Actions ; Délais ; Niveau de charges) :


Audit Cyber

Audit Risques

Audit de processus

Audit RGPD

Audit de Conformité

Permettre à nos clients d’obtenir rapidement (Audit Flash) ou en profondeur (Audit), une vision claire de la situation à contrôler ou à évaluer


Nous menons selon les lettres de missions confiées différents types d’audits et y associons les plans d’action à mener (Actions ; Délais ; Niveau de charges) :


Audit Cyber

Audit Risques

Audit de processus

Audit RGPD

Audit de Conformité

NIS2 et DORA

Préparer votre entreprise en validant les écarts à combler en termes de résilience et protection Cyber de votre entreprise

NIS2 : Directive européenne imposant aux entreprises de renforcer leurs normes en matière de sécurité. Ambitieuse et visionnaire, NIS2 vise à atteindre une maturité cyber commune dans l’ensemble de l’Union Européenne

DORA : Directive Européenne créant un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux nouvelles technologies

 

 

Enjeux
Prémunir l’entreprise des risques qui la concerne ;

Assurer la Résilience de son activité ;

Éviter de se mettre en contradiction avec la loi et le régime de sanction associé (jusqu’à 10 millions d’euros d’amende, ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu)




Nous intervenons sur les 4 axes portés par la directive pour vous garantir une mise en conformité progressive et adaptée à votre contexte et vos enjeux business :

Signalement des incidents de sécurité ; 2 étapes à respecter :

– 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire.

– 1 mois pour fournir le rapport final.



Gestion des risques cyber :

– Attention particulière à la formation des dirigeants et plus largement des décideurs à la gestion des risques

– Obligation pour le management de contribuer au processus de validation des mesures de gestion des risques cyber

– Pilotage et suivi, et traçabilité des actions induite par cette attention et cette obligation



Tests et audits de sécurité :

Obligation de mener régulièrement des tests et des audits techniques,

– Tests d’intrusions

– Scans de vulnérabilités


pour évaluer l’efficacité des mesures de sécurité déployées.
Mise en œuvre de plan de remédiation et de corrections pour corriger les vulnérabilités détectées.


Sécurité de la « supply chain » :

Contrôle et Vérification à mener sur les process d’achat et d’approvisionnement,
notamment sur les aspects de cybersécurité, vis-à-vis des fournisseurs et des prestataires de services.

NIS2 et DORA

Préparer votre entreprise en validant les écarts à combler en termes de résilience et protection Cyber de votre entreprise

NIS2 : Directive européenne imposant aux entreprises de renforcer leurs normes en matière de sécurité. Ambitieuse et visionnaire, NIS2 vise à atteindre une maturité cyber commune dans l’ensemble de l’Union Européenne

DORA : Directive Européenne créant un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux nouvelles technologies

 

 

Enjeux
Prémunir l’entreprise des risques qui la concerne ;

Assurer la Résilience de son activité ;

Éviter de se mettre en contradiction avec la loi et le régime de sanction associé (jusqu’à 10 millions d’euros d’amende, ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu)




Nous intervenons sur les 4 axes portés par la directive pour vous garantir une mise en conformité progressive et adaptée à votre contexte et vos enjeux business :

Signalement des incidents de sécurité ; 2 étapes à respecter :

– 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire.

– 1 mois pour fournir le rapport final.



Gestion des risques cyber :

– Attention particulière à la formation des dirigeants et plus largement des décideurs à la gestion des risques

– Obligation pour le management de contribuer au processus de validation des mesures de gestion des risques cyber

– Pilotage et suivi, et traçabilité des actions induite par cette attention et cette obligation



Tests et audits de sécurité :

Obligation de mener régulièrement des tests et des audits techniques,

– Tests d’intrusions

– Scans de vulnérabilités


pour évaluer l’efficacité des mesures de sécurité déployées.
Mise en œuvre de plan de remédiation et de corrections pour corriger les vulnérabilités détectées.


Sécurité de la « supply chain » :

Contrôle et Vérification à mener sur les process d’achat et d’approvisionnement,
notamment sur les aspects de cybersécurité, vis-à-vis des fournisseurs et des prestataires de services.

NIS2 et DORA

Préparer votre entreprise en validant les écarts à combler en termes de résilience et protection Cyber de votre entreprise

NIS2 : Directive européenne imposant aux entreprises de renforcer leurs normes en matière de sécurité. Ambitieuse et visionnaire, NIS2 vise à atteindre une maturité cyber commune dans l’ensemble de l’Union Européenne

DORA : Directive Européenne créant un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux nouvelles technologies

 

 

Enjeux
Prémunir l’entreprise des risques qui la concerne ;

Assurer la Résilience de son activité ;

Éviter de se mettre en contradiction avec la loi et le régime de sanction associé (jusqu’à 10 millions d’euros d’amende, ou 2 % du chiffre d’affaires mondial, le montant le plus élevé étant retenu)




Nous intervenons sur les 4 axes portés par la directive pour vous garantir une mise en conformité progressive et adaptée à votre contexte et vos enjeux business :

Signalement des incidents de sécurité ; 2 étapes à respecter :

– 24 heures à compter de la survenance de l’incident pour soumettre un premier signalement à l’ANSSI via un rapport préliminaire.

– 1 mois pour fournir le rapport final.



Gestion des risques cyber :

– Attention particulière à la formation des dirigeants et plus largement des décideurs à la gestion des risques

– Obligation pour le management de contribuer au processus de validation des mesures de gestion des risques cyber

– Pilotage et suivi, et traçabilité des actions induite par cette attention et cette obligation



Tests et audits de sécurité :

Obligation de mener régulièrement des tests et des audits techniques,

– Tests d’intrusions

– Scans de vulnérabilités


pour évaluer l’efficacité des mesures de sécurité déployées.
Mise en œuvre de plan de remédiation et de corrections pour corriger les vulnérabilités détectées.


Sécurité de la « supply chain » :

Contrôle et Vérification à mener sur les process d’achat et d’approvisionnement,
notamment sur les aspects de cybersécurité, vis-à-vis des fournisseurs et des prestataires de services.

DPO : Data Protection Officer

Aussi appelé délégué à la protection des données, est, selon la définition de la CNIL, le « chef d’orchestre » de la protection des données personnelle dans l’entreprise. Il a la responsabilité de « garantir » le bon niveau de protection des données à caractère personnel au sein des organismes publics ou privés.

« Winthorpe Privacy » : Abonnement annuel inédit proposant la garantie d’être de pouvoir se conformer au règlement européen de protection des données personnelles RGPD.

Un abonnement vous permettant de disposer d’un DPO déclarer à la CNIL le temps nécessaire à votre entreprise sans recrutement, sans mobilisation excessive de vos équipes, et avec l’assurance de disposer d’un expert dédié à vos priorités

La certitude que vous pourrez vous concentrer sur votre création de valeur

Une mission pouvant également couvrir votre conformité NIS2 avec le même expert dédié.

DPO : Data Protection Officer

Aussi appelé délégué à la protection des données, est, selon la définition de la CNIL, le « chef d’orchestre » de la protection des données personnelle dans l’entreprise. Il a la responsabilité de « garantir » le bon niveau de protection des données à caractère personnel au sein des organismes publics ou privés.

« Winthorpe Privacy » : Abonnement annuel inédit proposant la garantie d’être de pouvoir se conformer au règlement européen de protection des données personnelles RGPD.

Un abonnement vous permettant de disposer d’un DPO déclarer à la CNIL le temps nécessaire à votre entreprise sans recrutement, sans mobilisation excessive de vos équipes, et avec l’assurance de disposer d’un expert dédié à vos priorités

La certitude que vous pourrez vous concentrer sur votre création de valeur

Une mission pouvant également couvrir votre conformité NIS2 avec le même expert dédié.

DPO : Data Protection Officer

Aussi appelé délégué à la protection des données, est, selon la définition de la CNIL, le « chef d’orchestre » de la protection des données personnelle dans l’entreprise. Il a la responsabilité de « garantir » le bon niveau de protection des données à caractère personnel au sein des organismes publics ou privés.

« Winthorpe Privacy » : Abonnement annuel inédit proposant la garantie d’être de pouvoir se conformer au règlement européen de protection des données personnelles RGPD.

Un abonnement vous permettant de disposer d’un DPO déclarer à la CNIL le temps nécessaire à votre entreprise sans recrutement, sans mobilisation excessive de vos équipes, et avec l’assurance de disposer d’un expert dédié à vos priorités

La certitude que vous pourrez vous concentrer sur votre création de valeur

Une mission pouvant également couvrir votre conformité NIS2 avec le même expert dédié.