La résilience ne se livre pas, elle se tient
Chez un acteur régulé, la résilience opérationnelle n’est pas un chantier avec une date de fin. Les audits passent, les menaces évoluent, les configurations dérivent. Ce qui était conforme en janvier ne l’est plus forcément en juin : un paramètre modifié pour dépanner un utilisateur, un correctif différé, un compte de service oublié — et l’écart se creuse, silencieusement, entre l’état documenté de votre système d’information et son état réel.
C’est précisément la logique de DORA : le règlement n’attend pas de vous un dossier de conformité figé, mais un dispositif qui fonctionne dans la durée — et qui sait le prouver. C’est aussi ce que l’ AMF examine lors de ses contrôles : pas vos intentions, vos preuves.
La plupart des prestataires traitent ce problème avec de la bonne volonté : des procédures, des rappels, des vérifications « quand on a le temps ». Le résultat est prévisible — la qualité dépend de la charge du moment, et les écarts se découvrent au pire moment, c’est-à-dire pendant l’audit. Nous avons fait un autre choix : structurer toute notre manière de travailler avec les acteurs financiers régulés en deux couches complémentaires. Le Socle, qui rend votre système d’information défendable. Et VIGIE, qui le garde défendu — chaque jour, chaque nuit, sans jamais dépendre de la vigilance d’un humain un lundi matin.
Le Socle ITAIA — notre cadre de travail en cinq disciplines
SOCLE n’est pas qu’un nom : c’est le cadre qui structure chacune de nos interventions, chez chacun de nos clients.
Supervision
Chaque poste, chaque serveur, chaque tenant est monitoré en continu. Rien n’entre dans notre périmètre sans être vu. Un poste qui décroche, un service qui sature, un certificat qui expire : l’information existe chez nous avant que vos équipes ne la subissent.
Orchestration
Les tâches récurrentes — correctifs, vérifications, remédiations — sont automatisées et standardisées. La qualité ne dépend pas de qui est de garde : le trois-centième poste est traité avec la même rigueur que le premier.
Conformité
Le durcissement, les preuves et la documentation sont produits au fil de l’eau, pas reconstitués la veille d’un audit. Quand votre RCCI demande l’historique des correctifs ou le dernier test de restauration, la réponse est un export — pas une reconstitution.
Liaison
Nous gérons vos tiers techniques et alimentons votre registre DORA. Un seul partenaire, un seul contrat, une seule ligne dans votre registre — et la documentation pour la justifier.
Exploitation
Le quotidien : support, gestion de parc, EDR sur 100 % des postes et serveurs, sauvegarde vérifiée — et pour l’offre SOC, détection et réponse managées 24/7.
Cinq disciplines, parce que la résilience se joue sur cinq fronts à la fois : voir (Supervision), standardiser (Orchestration), prouver (Conformité), relier (Liaison) et opérer (Exploitation). En retirer une, et l’édifice se fissure — un parc supervisé mais non standardisé dérive, un parc exploité mais non documenté ne se prouve pas.
Ce cadre s’applique à tous nos clients, régulés ou non. C’est ce qui fait qu’une société de gestion sous contrôle AMF et un bureau d’ingénierie bénéficient du même niveau d’exigence : nous ne savons pas travailler autrement. La différence, c’est que l’acteur régulé en tire en plus des preuves d’audit — produites au fil de l’eau, datées, restituables. C’est aussi la logique de notre propre maison : ITAIA est certifié ISO 9001, et notre démarche ISO 27001 est engagée. On n’impose pas un cadre à ses clients sans s’en imposer un à soi-même.
VIGIE — parce qu’un cadre ne vaut que s’il est vérifié
Un cadre de travail, aussi rigoureux soit-il, ne vaut que s’il est vérifié en permanence. C’est le rôle de VIGIE, notre plateforme d’agents automatisés, développée en interne, qui contrôle l’état du Socle en continu :
- Chaque sauvegarde est vérifiée tous les matins — pas « supervisée », vérifiée : une sauvegarde dont on n’a pas contrôlé l’exécution n’existe pas.
- Les menaces sont analysées toutes les 30 minutes, sur l’ensemble du parc couvert par l’EDR.
- La posture M365 est surveillée en continu, et chaque dérive de configuration par rapport à votre baseline est détectée et signalée.
- Les récidives sont repérées sur les tickets — un incident qui revient n’est plus un incident, c’est un problème à traiter à la racine.
- Une synthèse quotidienne alimente nos équipes chaque matin, et un rapport mensuel consolidé vous restitue l’ensemble.
Chaque action est tracée et horodatée. Et une règle ne souffre aucune exception : aucune action irréversible n’est prise sans validation humaine. VIGIE ne remplace pas nos ingénieurs — elle leur garantit de ne jamais rien rater, et vous garantit que personne n’a besoin d’y penser pour que ce soit fait.
Pour votre RCCI, la conséquence est concrète : le contrôle du dispositif technique ne repose plus sur la mémoire d’un technicien ni sur un tableur tenu à la main. Il existe une trace, datée, de chaque vérification — et le rapport mensuel consolidé en fait la synthèse, client par client. Le jour du contrôle, la question « pouvez-vous prouver que c’est surveillé ? » a une réponse qui tient en un document, pas en une réunion de crise.
Pour les clients qui retiennent l’offre SOC, cette vigilance automatisée s’ajoute à la détection et à la réponse managées 24/7 par un centre opérationnel de sécurité : les agents contrôlent le cadre, le SOC surveille la menace, nos ingénieurs décident.
Le socle est solide parce que la vigie ne dort jamais.
Envie de voir ce que ce cadre donnerait sur votre périmètre ? Parlez-en avec un ingénieur ITAIA — une conversation, pas une démonstration commerciale.
Vos questions sur SOCLE et VIGIE
Que signifie SOCLE ?
Supervision, Orchestration, Conformité, Liaison, Exploitation : les cinq disciplines qui structurent chaque intervention ITAIA, chez chaque client.
VIGIE remplace-t-elle vos ingénieurs ?
Non. VIGIE contrôle en continu que rien n’est raté (sauvegardes, menaces, dérives de configuration) et trace chaque vérification. Les décisions et actions irréversibles restent humaines.
Le Socle s’applique-t-il uniquement aux clients régulés ?
Non, à tous nos clients. Les acteurs régulés AMF/ACPR en tirent des preuves d’audit ; les autres bénéficient du même standard.
Quelle est la fréquence des contrôles VIGIE ?
Sauvegardes vérifiées chaque matin, menaces analysées toutes les 30 minutes, posture M365 et dérives de configuration en continu, rapport mensuel consolidé par client.