👉 Breakfast @Lyon 4 mars 2026

RSSI & DSI : duo stratégique ou couple sous tension ?

Services

Repenser son SMSI et sa gouvernance pour faire de la cybersécurité un levier business

Comment Onet a transformé une gouvernance complexe en avantage concurrentiel

« Tenacy nous a permis de faire monter beaucoup plus rapidement le SMSI des BU et de gagner en maturité. »

Hervé Comes

RSSI Groupe chez Onet

Le defi

Piloter la gouvernance cyber d'un géant du multiservices

Onet, groupe familial français créé en 1860, est un acteur international de l’ingénierie et des services. À travers ses activités le groupe emploie 80 000 collaborateurs. Avec une organisation décentralisée en filiales autonomes, le leader du multiservices fait face à une complexité croissante en matière de cybersécurité.

Depuis son arrivée en 2022, Hervé Comes (RSSI) a pour mission de porter la stratégie cyber du groupe et d’accompagner les métiers dans leur transformation digitale, avec une équipe centrale et un réseau de correspondants en France et à l’international. À ses côtés, Marion Borne (PMO) coordonne et pilote l’opérationnel. Tous deux se trouvent confrontés à trois enjeux majeurs.

‍

Gérer l’explosion des exigences clients et des questionnaires de sécurité de plus en plus denses en avant-vente.
Sortir d’Excel et des outils "artisanaux" qui rendaient le pilotage global impossible.
Renforcer la structuration (SMSI) pour faire de la cyber un avantage concurrentiel (notamment via l’obtention de la certification ISO 27001) et anticiper NIS 2.

Conformité

Sortir d’une approche théorique pour bâtir un SMSI concret, aligné sur l'ISO 27001 et anticipant NIS 2.

Gouvernance

Centraliser le pilotage d'un réseau décentralisé de correspondants cyber pour supprimer la gestion par silos.

Différenciation

Innover, gagner en efficacité et en modernité pour profiter d’avantages concurrentiels.

L'objectif

Mettre en place une gouvernance humaine et pragmatique pour accompagner la transformation digitale du groupe et faire de la cybersécurité un véritable levier business.

La solution

Pourquoi avoir choisi Tenacy ?

Multi-conformité

Un socle unique pour piloter les certifications réglementaires (ISO 27001, NIS 2, RGPD, II901) et garantir le niveau de conformité exigé par les clients (Air Cyber, IA Act).

Centralisation et automatisation

Une interface commune pour piloter les risques, la conformité et les plans d’amélioration, mais aussi automatiser les campagnes d’évaluation.

Accompagnement

Une collaboration étroite pour structurer la stratégie GRC avant même le déploiement technique.

Table des matières

This is some text inside of a div block.

Découvrez comment Tenacy structure votre cybersécurité

Planifier une démo

1/ Accélérer la certification ISO 27001

Face à un audit majeur prévu sous six mois, l’équipe cyber a choisi de relever le défi en s’appuyant sur Tenacy pour centraliser un SMSI jusqu’alors éparpillé. En seulement trois semaines, un état des lieux précis de la maturité du groupe a pu être livré. La plateforme a également permis de démontrer la dynamique d’amélioration continue d’Onet, saluée par l’auditeur.

Objectif couvert : ‍

Prouver à l’auditeur que le sujet était maîtrisé, que la cybersécurité était structurée et que l’organisation s’inscrivait dans une démarche d’amélioration continue, sécurisant ainsi l’obtention de la certification.

« Sans Tenacy, nous aurions écopé de trois écarts majeurs. L’outil a été déterminant pour prouver à l’auditeur que notre démarche était structurée et pérenne, même en peu de temps. »
– Hervé Comes, RSSI Groupe chez Onet

‍

2/ Sortir de l'artisanat pour piloter un réseau décentralisé

Le suivi manuel de plus de 600 fournisseurs et de filiales autonomes générait un bruit opérationnel constant.
Avec Tenacy, la PSSI Groupe a pu être traduite en mesures concrètes avec des campagnes d’évaluation automatisées. Ainsi, le RSSI ne subit plus la collecte de preuves via Excel : il dispose d’une visibilité analytique en temps réel.

Objectif couvert :

‍Sortir d’Excel, de nombreux outils et fichiers disparates afin d’unifier la gouvernance cyber du groupe.

‍

3/ Fédérer les métiers et améliorer la gouvernance

L’adoption de la solution a conduit à la création d’un pôle GRC dédié. En fusionnant les outils du RSSI et du DPO au sein d'une interface commune ouverte aux contributeurs métiers, la cyber devient un projet collectif. Chaque action est tracée et valorisée, facilitant l'acculturation à tous les niveaux de l'entreprise.

« On a créé une véritable communauté cyber, avec des correspondants métiers engagés et reconnus. »
– Hervé Comes, RSSI Groupe chez Onet

Objectif couvert :

‍Briser les silos entre les fonctions supports et les entités métiers pour une gouvernance transverse.

‍

4/ Transformer la cyber en levier de différenciation commerciale

Tenacy permet à Onet de répondre avec précision aux exigences croissantes des clients, transformant la conformité en un argument de vente décisif. Grâce aux dashboards personnalisés, l’entreprise souhaite également pouvoir quantifier l'impact financier de la cyber (risques évités, marchés gagnés…).

« La cyber a pris une grosse place dans la partie business, parce qu’elle peut se valoriser. Je n’imagine pas les RSSI rendre des comptes à une direction sur des enjeux stratégiques sans une plateforme comme Tenacy. »
– Hervé Comes, RSSI Groupe chez Onet

Objectif couvert :

‍Valoriser la cybersécurité comme un avantage concurrentiel et un soutien direct à l’innovation du groupe.

‍

Une certification ISO 27001 obtenue en un temps record

Deux Business Units à certifier simultanément - dont un SMSI à construire en partant de zéro -, un délai que tout le monde jugeait intenable. Découvrez comment Onet a relevé ce défi : les obstacles rencontrés, les décisions clés, et ce qui a vraiment fait la différence le jour de l'audit.

Découvrir leur méthode

Résultats

Les résultats

Une visibilité 360° sur la cybersécurité de l’organisation.

« Tenacy nous a permis de faire monter beaucoup plus rapidement le SMSI des BU et de gagner en maturité. » – Hervé Comes, RSSI Groupe chez Onet

« Tenacy nous permet de faire de l’analytique, ce que j’étais incapable de faire auparavant. On peut enfin assurer un vrai suivi, avec des relances automatiques et des demandes de preuves. » – Hervé Comes, RSSI Groupe chez Onet

Un gain de temps opérationnel grâce à la centralisation et à l’automatisation,

donnant des indicateurs de performance concrets à présenter au COMEX.

Un nouveau levier de croissance commerciale,

avec la cyber comme argument de confiance.

Conclusion

Le cas Onet démontre comment une organisation complexe peut accélérer sa certification ISO 27001 tout en faisant de sa gouvernance cyber un véritable levier de différenciation commerciale.

Ces enjeux vous parlent ?

Planifier une démo

Autres articles

Ca peut vous intéresser

Vie de RSSI

Les 5 tensions qui fragilisent votre collaboration DSI RSSI et votre gouvernance cybersécurité (et comment les dépasser)

Dans cet article, nous revenons sur les 5 points de friction majeurs qui minent la relation DSI-RSSI. Et surtout, les pistes concrètes pour enfin les dépasser !

Glossaire

ReCyF 2.5 (Référentiel Cyber France)

Le ReCyF est le référentiel de cybersécurité français issu de la directive européenne NIS 2. Il définit 20 objectifs de sécurité obligatoires pour les entités importantes et essentielles, et précise les moyens acceptables pour en démontrer la conformité.

10 April 2026

Actualité

Baromètre CESIN 2026 : analyse des cybermenaces et tendances de la cybersécurité en France

Le baromètre CESIN 2026 révèle une évolution paradoxale de la cybersécurité en entreprise : si le nombre de cyberattaques significatives diminue, leurs conséquences s'aggravent considérablement.

Cette étude annuelle du Club des Experts de la Sécurité de l'Information et du Numérique constitue une référence incontournable pour comprendre l'évolution des menaces cyber en France.

29 January 2026

Reprenez le contrôle de votre cybersécurité

Planifier ma démo personnalisée

30 min sans engagement