NIS2 · DORA · ISO 27001 · RGPD · SOX · CSRD
| Solution | Éditeur | Positionnement | Forces | Cible principale |
|---|---|---|---|---|
| ServiceNow GRC / IRM | ServiceNow | GRC intégré à la Now Platform. Convergence ITSM-GRC-SecOps sur une plateforme unique. | CMDB-aware : les risques sont liés aux actifs IT réels. Workflows automatisés. Reporting NIS2/DORA natif. | Grands comptes déjà sur ServiceNow |
| SAP GRC | SAP SE | Suite GRC native dans l'écosystème SAP : Access Control (SoD), Process Control (conformité), Risk Management, Audit Management. | Intégration native S/4HANA : analyse SoD en temps réel, contrôles automatiques sur les processus financiers. | Grandes entreprises sur SAP |
| MetricStream | MetricStream | Leader GRC indépendant. Suite complète IRM couvrant risques enterprise, conformité, audit, continuité d'activité. | Leader Magic Quadrant Gartner IRM. Couverture multi-référentiels (ISO 31000, COSO, NIST CSF). Forte implantation BFSI. | Banques, assurances, industries |
| RSA Archer | RSA Security (via Archer GRC) | Plateforme GRC historique (ex-EMC RSA). Très déployée en BFSI et défense US/EU. Forte profondeur réglementaire. | Référentiel de 1 500+ contrôles préconfigurés. Gestion des risques tiers avancée. Conformité DORA Article 28 risques ICT tiers. | BFSI, défense, energie |
| OneTrust GRC | OneTrust | Plateforme centrée RGPD/Privacy devenue suite GRC complète. Leader mondial gestion de la confidentialité. | RGPD natif : registres de traitements, DPIA, gestion des droits. Extension vers risk management, conformité fournisseurs, ESG. | Toutes tailles, forte adoption EU |
| IBM OpenPages | IBM | Plateforme IRM enterprise sur IBM Cloud. Intégration watsonx pour IA décisionnelle dans le risk management. | IA IBM watsonx pour scoring de risques prédictif. Intégration native IBM Maximo MAS pour risques actifs industriels. | Energie, utilities, banques |
| Diligent (ex-Galvanize) | Diligent Corporation | Plateforme GRC orientée governance board et audit interne. Forte adoption dans les comités de direction. | Reporting board-level : tableaux de bord risques pour COMEX et CA. Forte couverture CSRD/ESG reporting. | Governance, audit, ESG |
| Qualys / Tenable (cyber GRC) | Qualys, Tenable | GRC cyber orienté vulnérabilités et conformité technique. Complémentaires aux GRC enterprise. | Scans continus CVE, conformité CIS Benchmarks, tableaux de bord CISO. Connecteurs SIEM/SOAR/CMDB. | RSSI, SOC, équipes cyber |
NIS2 impose à ~15 000 entités françaises (entités essentielles et importantes) : gouvernance cyber formalisée, gestion des risques documentée, gestion des incidents et notification, sécurité de la chaîne d'approvisionnement, et audits réguliers. Un outil GRC permet d'automatiser la cartographie des risques, le suivi des contrôles et le reporting vers les autorités (ANSSI). Sans outillage, la conformité NIS2 est ingérable manuellement au-delà de 500 actifs IT.
DORA impose aux entités financières EU : registre des contrats ICT tiers, tests TLPT (Threat-Led Penetration Testing), reporting d'incidents ICT, plans de résilience opérationnelle. Les outils GRC avec modules "Third Party Risk Management" (TPRM) deviennent obligatoires de facto. MetricStream, RSA Archer et ServiceNow GRC sont les plus déployés sur ce segment BFSI-DORA.
La Corporate Sustainability Reporting Directive impose un reporting ESG auditable pour les grandes entreprises (2024) puis les ETI (2026). Les plateformes GRC évoluent vers la collecte automatisée des données ESG, la traçabilité des émissions carbone, la gouvernance des indicateurs sociaux et environnementaux. OneTrust, Diligent et SAP GRC sont les plus actifs sur ce segment CSRD.
| Profil | Solution recommandée | Justification |
|---|---|---|
| Grande entreprise sur SAP S/4HANA | SAP GRC Suite | Intégration native, contrôles SoD temps réel, pas d'interface ERP-GRC |
| Organisation déjà sur ServiceNow ITSM | ServiceNow GRC / IRM | Convergence ITSM-GRC-CMDB, ROI immédiat sur la plateforme existante |
| Banque / Assurance (DORA) | MetricStream ou RSA Archer | Couverture DORA native, TPRM avancé, conformité BCBS 239, intégration Core Banking |
| Conformité RGPD prioritaire | OneTrust | Leader mondial privacy management, registres RGPD, DPIA automatisées, gestion droits |
| Reporting ESG / CSRD | Diligent ou SAP Sustainability | Reporting board-level, collecte données ESG, traçabilité auditeurs |
| ETI / Budget contraint | ServiceNow GRC (Basic) ou OneTrust (SMB) | Couverture essentielle NIS2/RGPD à coût maîtrisé, déploiement rapide |
| Secteur Energie / Utilities (NIS2) | IBM OpenPages + Maximo | Convergence risques actifs physiques (Maximo) et GRC cyber, pipeline IT/OT |
- GRC ≠ conformité automatique : un outil GRC est un facilitateur, pas un certificateur. La conformité NIS2/DORA reste une obligation légale sous la responsabilité des dirigeants, non délégable à un logiciel.
- Qualité des données GRC : un registre des risques non maintenu génère une fausse sécurité. Prévoir un Risk Owner par domaine et une révision trimestrielle des contrôles.
- Interopérabilité ITSM-GRC : les incidents de sécurité détectés dans le SIEM ou l'ITSM doivent alimenter automatiquement le GRC. Cette intégration est souvent sous-estimée lors du déploiement.
- Accompagnement réglementaire : les outils GRC sont des plateformes techniques. L'interprétation des exigences NIS2/DORA nécessite une expertise juridique et réglementaire indépendante de l'outil.
Le marché GRC mondial atteint 15,7 milliards de dollars en 2026 avec un CAGR de 12,8 %, le plus élevé de tous les segments applicatifs enterprise. Cette croissance est directement alimentée par la vague réglementaire européenne : NIS2 (octobre 2024), DORA (janvier 2026), AI Act (2024–2027), Data Act (2026) et CSRD (2024–2026) concernent collectivement des dizaines de milliers d'organisations en Europe. En France seule, NIS2 concerne environ 15 000 entités essentielles et importantes — dont la très grande majorité n'était pas soumise à une obligation de cybersécurité formalisée avant la directive. La principale erreur observée dans les déploiements GRC est de traiter chaque texte réglementaire comme un projet distinct, générant des silos de conformité coûteux et contradictoires. Les organisations les plus matures traitent NIS2, DORA, RGPD et CSRD comme un système cohérent de gouvernance des risques, piloté par un GRC unifié. PwC, Navigating the EU Regulatory Landscape, 2026
DORA (Digital Operational Resilience Act) est la réglementation la plus structurante pour les SI des entités financières européennes depuis Bâle III. Applicable depuis janvier 2026 aux banques, compagnies d'assurance, gestionnaires d'actifs et prestataires de paiement, DORA impose concrètement : (1) un registre complet de tous les prestataires ICT tiers avec classification critique/non critique ; (2) des tests TLPT (Threat-Led Penetration Testing) annuels pour les établissements significatifs ; (3) des procédures de notification d'incidents ICT majeurs (4h notification initiale, 72h rapport intermédiaire, 1 mois rapport final) ; (4) des plans de résilience opérationnelle testés. Les outils GRC capables de gérer nativement le registre DORA Article 28 sont rares — MetricStream M7 (certifié PwC), RSA Archer et ServiceNow GRC sont les plus déployés sur ce segment. Les banques françaises (BNP Paribas, Société Générale, Crédit Agricole) ont engagé des budgets de conformité DORA de 20 à 50 millions d'euros sur 2024–2026. ACPR, Bilan de mise en conformité DORA, 2026
L'AI Act européen crée un nouveau périmètre GRC : la gouvernance des systèmes IA. Les organisations doivent inventorier tous leurs systèmes IA, les classifier par niveau de risque (inacceptable, haut risque, risque limité, minimal), et pour les systèmes haut risque (recrutement, notation des salariés, crédit, accès aux services), produire une documentation technique, conduire des évaluations de conformité et mettre en place une supervision humaine. Selon PwC France (Panorama AI Act 2026), moins de 15 % des grandes entreprises françaises disposent d'un inventaire complet de leurs systèmes IA — une lacune majeure qui expose les dirigeants à des amendes pouvant atteindre 30 millions d'euros ou 6 % du chiffre d'affaires mondial. Les outils GRC qui intègrent nativement les workflows AI Act (OneTrust AI Governance, MetricStream AI Risk, ServiceNow AI Governance) deviennent des composants critiques de la stratégie compliance 2026.
| Offre | Cible | Coût indicatif | Point d'attention |
|---|---|---|---|
| MetricStream M7 (IRM enterprise) | BFSI, énergie, pharma | 200–800 K€/an + implémentation 6–18 mois | Leader MQ Gartner IRM — DORA Article 28 certifié PwC — ROI sur réduction des pénalités réglementaires |
| ServiceNow GRC / IRM | Organisations déjà sur ServiceNow | 50–300 K€/an add-on | ROI immédiat si ITSM ServiceNow déjà en place — CMDB-aware (risques liés aux actifs IT réels) |
| OneTrust Platform | Conformité RGPD + AI Act + ESG | 30–150 K€/an selon modules | Leader mondial privacy — module AI Governance préconfigurée AI Act nativement |
| SAP GRC Suite | Organisations sur SAP S/4HANA | Inclus ou add-on SAP | Analyse SoD natif S/4HANA — indispensable pour la conformité SOX sur environnements SAP |
| IBM OpenPages with Watson | Énergie, utilities, finance | 100–400 K€/an | Convergence unique Maximo (actifs physiques) + GRC — pertinent pour les OIV industriels |
Les données GRC (registres des risques, contrôles, incidents, audits) doivent être conservées selon les exigences réglementaires : 10 ans pour les données SOX, 7 ans pour RGPD (selon les traitements), 5 ans pour DORA. La réversibilité d'une plateforme GRC est donc conditionnée à la portabilité des archives historiques — exiger contractuellement l'export complet en formats structurés (JSON, CSV, XML) incluant les pièces jointes (preuves d'audit) avant toute résiliation. Les plateformes GRC cloud sont généralement hébergées chez les hyperscalers US — Cloud Act applicable. Pour DORA, les données ICT des entités financières doivent rester dans l'EU — vérifier la localisation des données dans le contrat avant signature.
Le système GRC est un outil de gestion du risque opérationnel et de conformité — son indisponibilité n'est pas un incident de production mais un risque de reporting réglementaire. Néanmoins, pour les organisations avec des obligations de reporting ANSSI (NIS2) ou BCE (DORA) sous 4 heures, l'indisponibilité de l'outil GRC pendant un incident de sécurité est problématique. Les SLA des plateformes GRC cloud (MetricStream, ServiceNow) garantissent 99,9 % de disponibilité. Un mode dégradé documenté (procédures manuelles de notification ANSSI) doit être maintenu et testé annuellement.
Banque régionale française (DORA, 2026) : Déploiement MetricStream M7 pour la conformité DORA en 9 mois — registre ICT tiers complet (240 prestataires classifiés), workflows TLPT intégrés, reporting BCE automatisé. Budget : 380 K€ implémentation + 120 K€/an abonnement. ROI : élimination de 4 ETP dédiés à la conformité manuelle. ETI industrielle OIV (NIS2, France, 2024) : ServiceNow GRC déployé en extension du ServiceNow ITSM existant pour la cartographie des risques NIS2 et la conformité ISO 27001. Durée : 6 mois. Résultat : premier audit ANSSI passé avec conformité à 87 %. Groupe pharmaceutique (AI Act, 2026) : OneTrust AI Governance déployé pour l'inventaire des 47 systèmes IA utilisés (scoring crédit interne, recrutement IA, analyse prédictive qualité). 12 systèmes classifiés haut risque AI Act nécessitant une documentation technique complète. OneTrust Customer Story, 2026
La conformité réglementaire n'est pas un projet GRC — c'est une gouvernance permanente. Notre recommandation : traiter NIS2, DORA, RGPD, AI Act et CSRD comme un système cohérent piloté par un GRC unique (pas 5 outils distincts), nommer un Risk Owner par domaine réglementaire, et réviser le registre des risques trimestriellement. L'investissement GRC se justifie dès lors qu'une organisation gère plus de 50 risques actifs ou est soumise à plus d'une réglementation formalisée (NIS2, DORA, ISO 27001). En dessous de ce seuil, des référentiels documentaires structurés (SharePoint, Confluence) peuvent suffire temporairement. Pour les entités BFSI soumises à DORA, MetricStream ou ServiceNow GRC sont les deux options enterprise les plus matures — évaluer les deux sur la base d'un POC de 4 semaines avec des données réelles avant décision.