← Tous les cas/Fortivex
SecteurCybersecurity · DORA Compliance
ContexteCISOs & CTOs, Financial Services
Durée9 months
PubliéFebruary 2026

Fortivex × Outbound Empire :
816K€ d'ARR auprès des RSSI en 9 mois.

Fortivex est une société française de cybersécurité proposant des tests d'intrusion et du RSSI-as-a-service aux institutions financières soumises à DORA. En 9 mois de prospection auprès des RSSI et des CTO de banques, fintechs et assureurs, nous avons généré 12 contrats signés représentant 816K€ de nouvel ARR — de zéro, sans notoriété préalable sur le marché.

Marc D., CEO, Fortivex
Fortivex.
Marc D. · CEO & Co-founder, Fortivex
Contrats signés
12
Décisions RSSI et CTO dans des institutions financières réglementées
Nouvel ARR
€816K
Générés sur 12 contrats signés, engagement de 9 mois
Taux de réponse
8.4%
Sur des séquences ciblant les RSSI sur l'urgence réglementaire
CAC par contrat
€9.5K
Tout compris — contre une valeur contractuelle moyenne de 68K€

Chaque RSSI d'Europe a reçu le même email.

DORA — the EU's Digital Operational Resilience Act — entered full application in January 2025. Overnight, every bank, insurance company and fintech with EU operations had a hard compliance deadline and a gap analysis that most could not fill internally. The demand signal was enormous.

So was the noise. Every cybersecurity vendor in Europe pivoted their pitch to DORA within 90 days. CISOs went from receiving 5 vendor emails per week to 50. The entire channel was flooded with "DORA compliance" subject lines, templated risk matrices, and identical decks. Response rates across the industry collapsed to near zero.

Fortivex had the product — a genuinely differentiated pentest-plus-vCISO offering built specifically for Article 26 ICT risk management requirements. But Marc and his team were engineers, not salespeople. Their pipeline was three warm introductions and a lot of waiting. The brief: break through the noise, get in front of the real decision-makers, and close 20 contracts in under 12 months.

Outbound Empire comme moteur d'échéance réglementaire

We started April 2025 — three months after DORA took effect, when the initial frenzy had peaked and CISOs were sorting through the aftermath. Our angle: not "DORA compliance" as a feature, but gap-specific targeting. Each email identified one specific DORA article the recipient's institution was likely failing on, with evidence.

01
Weeks 1 – 3
Cartographie des écarts réglementaires

Identification de 1 480 RSSI, CTO et COO dans des institutions financières européennes réglementées de 100 à 2 000 salariés. Croisement avec les résultats d'audit DORA publics et les incidents déclarés pour identifier les lacunes de conformité probables par établissement.

02
Weeks 3 – 6
« Votre lacune Article 26 »

Chaque email s'ouvrait sur l'article DORA le plus problématique pour la taille et le profil de cet établissement — pas de discours générique sur la conformité. Objet : le numéro d'article. Première ligne : la lacune. Trois phrases. Pas de deck, pas de liste de fonctionnalités.

03
Weeks 6 – 20
Boucle de crédibilité technique

Les séquences de suivi incluaient un scorecard ICT d'une page adapté au secteur du destinataire, avec un lien vers un incident anonymisé de son sous-secteur. Le taux de conversion réponse-contrat a atteint 34 % — les prospects arrivaient déjà convaincus de la problématique.

04
Months 5 – 9
Amplification par clients de référence

Les 4 premiers RSSI signés sont devenus clients de référence. Nous avons rédigé leurs résumés post-audit et publié des versions anonymisées sous leur nom sur LinkedIn. Ces articles sont devenus les meilleurs outils de vente de Fortivex — les prospects les citaient dans leurs premières réponses.

12 contrats, 816K€ ARR, 9 mois.

ARR growth over time
€0 €816K
Cumulative ARR from outbound-sourced contracts. Accelerated from month 5 as reference clients activated.
Contracts signed
0 12
All CISO or CTO-level. Average contract: €68K/year. No junior IT contacts.
Reply rate progression
2.8% 8.4%
Regulatory-specific targeting and technical credibility assets tripled engagement from baseline.
Cost per contract
€28K €9.5K
Reference client assets slashed CAC by 66% from month 5 onward — well below the €68K contract value.

Pourquoi ça a fonctionné

Specificity destroyed the noise. Every other vendor sent "DORA compliance" emails. We sent "Your Article 26 ICT third-party risk gap, based on your last two disclosed incidents" emails. CISOs replied because we had clearly done the work.

The scorecard was the sales call. Recipients who downloaded the 1-page ICT risk scorecard had already self-diagnosed their problem by the time they booked a call. Average time from first reply to signed contract: 19 days.

Reference clients wrote our copy. The anonymised audit summaries we published under the names of early clients generated inbound replies from prospects who had never been in our sequences — they found the articles via LinkedIn search. 2 contracts came from entirely inbound leads generated by outbound content.

"Je reçois 40 emails de fournisseurs par semaine. J'ai répondu à celui de Fortivex parce qu'ils nommaient une lacune spécifique de l'Article 26 que j'avais identifiée en interne trois semaines auparavant — sans l'avoir dit à personne. Ce niveau de précision est ce qu'on attend d'un partenaire en sécurité."

Laurent K. · RSSI, banque européenne, Paris

Prêt à devenir l'un d'eux ?

20 minutes. Sans deck de vente. Nous étudions votre marché, vous montrons la méthode, et vous disons si nous pouvons aider.

Prendre RDV