Choisir un Prestataire Cybersécurité: Guide PME
En résumé
- Un bon prestataire ne vend pas de la peur mais aide à comprendre vos risques réels
- Les certifications (PASSI, ISO 27001) sont des indicateurs utiles, pas des garanties
- La proximité compte pour les audits sur site, la formation et la réponse à incident
- Exigez la transparence : méthodologie documentée, exemples de livrables, tarification claire
- Meldis accompagne les PME d’Occitanie avec une approche pragmatique et pédagogique
Vous avez pris la décision de faire appel à un prestataire pour sécuriser votre système d’information. C’est une bonne décision. Maintenant, il faut trouver le bon.
Le problème, c’est que le marché de la cybersécurité est opaque. Les offres se ressemblent, les discours aussi. Entre les grandes enseignes qui vous traiteront comme un “petit dossier” et les indépendants dont vous ne savez rien, comment trancher?
Ce guide présente les critères essentiels pour évaluer un prestataire: ce qui compte vraiment, les questions à poser, et les signaux qui doivent vous alerter.
Ce qui Distingue un Bon Prestataire d’un Mauvais
Avant de parler certifications ou méthodologies, concentrons-nous sur l’essentiel: un bon prestataire cybersécurité ne vous vend pas de la peur. Il vous aide à comprendre vos risques réels et à les réduire de manière pragmatique, dans le respect de vos contraintes.
Un mauvais prestataire fait le contraire. Il dramatise, promet l’impossible, ou vous noie sous le jargon pour justifier sa facture.
La différence ne se voit pas sur une plaquette commerciale. Elle se voit dans la conversation.
Les Critères Techniques: Ce qu’il Faut Vraiment Vérifier
Certifications: Utiles, Mais Pas Suffisantes
Les certifications sont des indicateurs, pas des garanties. Un prestataire certifié peut être médiocre. Un prestataire non certifié peut être excellent. Mais il faut comprendre ce que chaque certification signifie.
Certifications d’entreprise:
| Certification | Ce qu'elle garantit | Pour qui c'est important |
|---|---|---|
| PASSI (ANSSI) | Prestataire qualifié pour les audits | Obligatoire pour OIV, un plus pour les autres |
| PRIS (ANSSI) | Compétence en réponse à incident | Si vous cherchez de l'incident response |
| ISO 27001 | Processus de management sécurité | Bonne pratique, pas indispensable pour une PME |
Certifications individuelles des consultants:
| Certification | Ce qu'elle dit | Ce qu'elle ne dit pas |
|---|---|---|
| OSCP | Le consultant sait faire du pentest | Pas qu'il sait communiquer ou vulgariser |
| CEH | Il a une base en ethical hacking | Certification moins exigeante que l'OSCP |
| CISSP | Il connaît le management de la sécurité | Certification généraliste, pas technique |
La vraie question à poser
“Qui va réellement travailler sur ma mission, et quelles sont ses certifications à lui?” Les certifications de l’entreprise ne garantissent pas la compétence de la personne qui sera sur votre dossier.
Méthodologies: Le Révélateur du Sérieux
Un prestataire sérieux doit pouvoir expliquer comment il travaille. Pas en citant des acronymes, mais en vous décrivant concrètement le déroulement d’une mission.
Pour les audits, demandez:
- Quel référentiel utilisez-vous? (ANSSI, ISO 27002, CIS Controls)
- Comment structurez-vous vos recommandations?
- Quelle part d’automatisation vs. analyse manuelle?
Pour les pentests, demandez:
- Quelle méthodologie? (OWASP Testing Guide, PTES, OSSTMM)
- Comment gérez-vous la découverte d’une faille critique en cours de mission?
- Que contient votre rapport? Puis-je voir un exemple anonymisé?
Signal positif: Le prestataire vous explique spontanément sa méthode et peut vous montrer un exemple de livrable.
Signal d’alerte: Il élude la question, parle de “méthodologies propriétaires” ou refuse de détailler.
Les Critères Humains: Ce qu’on Oublie Trop Souvent
La Capacité de Vulgarisation
C’est peut-être le critère le plus sous-estimé. La cybersécurité est technique, mais vos interlocuteurs ne sont pas tous des experts IT. Votre direction, vos équipes métiers, votre DAF doivent comprendre les enjeux.
Ce qu’il faut évaluer dès le premier échange:
- Le prestataire adapte-t-il son discours à votre niveau?
- Utilise-t-il des analogies compréhensibles?
- Ses rapports ont-ils une synthèse lisible par un non-technicien?
Signal positif: Il vous pose des questions sur votre organisation, votre maturité, vos contraintes avant de parler technique.
Signal d’alerte: Jargon excessif, discours alarmiste, ou au contraire condescendance.
La Qualité de l’Écoute
Un bon prestataire commence par comprendre votre contexte avant de proposer des solutions. Il pose des questions sur votre activité, vos enjeux business, vos ressources disponibles.
Un mauvais prestataire arrive avec une offre packagée qu’il essaie de vous vendre quelle que soit votre situation.
L’Honnêteté sur ses Limites
Aucun prestataire n’est bon dans tout. Celui qui prétend l’être ment ou se surestime.
Question à poser: “Y a-t-il des types de missions que vous n’acceptez pas ou pour lesquelles vous recommanderiez un confrère?”
La réponse est révélatrice. Un prestataire honnête connaît ses limites et les assume.
Les Critères Pratiques: Proximité, Réactivité, Tarification
Proximité Géographique: Utile ou Pas?
La réponse dépend de la prestation:
| Type de mission | Proximité importante? | Pourquoi |
|---|---|---|
| Audit organisationnel | Oui | Les entretiens en présentiel sont plus efficaces |
| Pentest externe | Non | Réalisable entièrement à distance |
| Pentest interne | Oui | Intervention sur site nécessaire |
| Formation / Sensibilisation | Oui | Le présentiel est plus impactant |
| Réponse à incident | Oui | La réactivité peut être critique |
| SOC externalisé | Moyennement | Surveillance à distance, mais intervention possible |
Un prestataire local présente aussi des avantages moins évidents: il connaît mieux le tissu économique régional, peut intervenir rapidement si besoin, et la relation de confiance se construit plus facilement en face-à-face.
Réactivité et Disponibilité
Questions à poser:
- Quel est votre délai habituel pour démarrer une mission?
- Qui sera mon interlocuteur principal? Sera-t-il joignable directement?
- Comment vous contacter en cas d’urgence?
- Proposez-vous un suivi après la mission?
Ce qui compte: Un interlocuteur identifié, des délais annoncés et tenus, une capacité à s’adapter à vos contraintes.
Comprendre la Tarification
La cybersécurité n’est pas un produit standardisé. Les tarifs varient énormément selon le périmètre, la complexité, et le profil des intervenants.
Pour comparer des devis, vérifiez qu’ils couvrent le même périmètre:
- Nombre de jours/homme
- Profil des intervenants (junior, confirmé, expert)
- Périmètre technique exact
- Livrables inclus
- Frais annexes (déplacements, licences outils)
Un devis moins cher peut cacher moins de jours, des profils moins expérimentés, ou des livrables moins complets.
Méfiez-vous des tarifs anormalement bas. Un audit de sécurité ou un pentest de qualité demande du temps et des compétences. Des prix cassés signifient souvent des prestations bâclées ou des consultants juniors non encadrés. Si vous hésitez entre ces deux types de prestation, notre guide pentest ou audit: que choisir vous aide à trancher.
Les Red Flags: Quand Fuir
Le Discours Alarmiste
“Vous allez vous faire pirater, c’est sûr.” “Sans notre solution, vous êtes en danger immédiat.” “J’ai vu des entreprises comme la vôtre se faire détruire.”
Un prestataire qui joue sur la peur pour vendre n’est pas un partenaire de confiance. Un bon professionnel présente les risques objectivement, avec leurs probabilités et impacts réels, sans dramatisation.
Les Promesses Irréalistes
“Nous garantissons que vous ne serez jamais piraté.” “Notre solution est 100% sécurisée.” “En deux jours, vous serez conforme NIS2.”
La sécurité n’est pas un état, c’est un processus. Aucune solution n’est infaillible. Quiconque prétend le contraire ne comprend pas son métier ou vous ment.
L’Opacité sur les Méthodes
Si un prestataire refuse d’expliquer sa méthodologie, ne peut pas montrer d’exemple de rapport (même anonymisé), ou reste vague sur le déroulement de la mission, c’est un signal d’alerte majeur.
L’Absence de Cadre Contractuel Clair
Avant toute mission, vous devez avoir:
- Un périmètre clairement défini
- Des livrables précis
- Une lettre de mission (indispensable pour les pentests)
- Un accord de confidentialité
Si le prestataire veut démarrer sans ces éléments formalisés, passez votre chemin.
Besoin d’un prestataire cybersécurité de confiance ? Nous vous proposons un premier échange transparent pour comprendre votre contexte et vos besoins, sans jargon ni engagement. Contactez-nous.
Checklist: Les Questions à Poser en Entretien
Sur les Compétences
- Quelles certifications possèdent les consultants qui interviendront sur ma mission?
- Quelles méthodologies utilisez-vous?
- Avez-vous des références dans mon secteur d’activité?
- Puis-je contacter un de vos clients actuels (avec son accord)?
Sur l’Organisation
- Qui sera mon interlocuteur principal pendant la mission?
- Combien de personnes interviendront et avec quels profils?
- Quel est le déroulement type de la mission, jour par jour?
- Quels sont vos délais pour démarrer? Pour livrer?
Sur les Livrables
- Pouvez-vous me montrer un exemple de rapport anonymisé?
- Y a-t-il une synthèse compréhensible pour la direction?
- Proposez-vous un accompagnement après la remise du rapport?
- Comment sont gérées les découvertes critiques en cours de mission?
Sur les Conditions
- Le devis est-il détaillé (jours, profils, périmètre exact)?
- Y a-t-il des coûts non inclus (déplacements, outils, licences)?
- Quelle est votre politique de confidentialité?
- Fournissez-vous une lettre de mission et un NDA?
FAQ
Questions Fréquentes
Dois-je forcément choisir un prestataire certifié PASSI?
La certification PASSI est délivrée par l'ANSSI et garantit un niveau de compétence pour les audits. Elle est obligatoire pour certains contextes réglementaires (OIV, administrations). Pour une PME classique, elle n'est pas obligatoire mais constitue un gage de sérieux. Vous pouvez tout à fait travailler avec un prestataire non certifié PASSI s'il démontre sa compétence autrement: parcours des consultants, méthodologies, références vérifiables.
Grand cabinet ou spécialiste local?
Les deux ont leurs avantages. Grand cabinet: ressources importantes, certifications multiples, références prestigieuses. Mais souvent des processus lourds, des interlocuteurs changeants, et une tendance à standardiser les prestations. Spécialiste local: proximité, réactivité, connaissance du terrain, relation directe avec des experts. Mais des ressources limitées pour les très gros projets. Pour une PME, un spécialiste local de confiance est souvent plus adapté qu'un grand cabinet qui vous considérera comme un petit dossier parmi d'autres.
Comment savoir si le tarif proposé est correct?
Demandez plusieurs devis et assurez-vous qu'ils couvrent exactement le même périmètre. Les écarts importants doivent vous alerter dans les deux sens: trop cher peut signifier une facturation abusive, trop bas peut signifier une prestation au rabais. En France, pour une PME, comptez plusieurs milliers d'euros pour un audit flash, et significativement plus pour un audit complet ou un pentest approfondi. Les tarifs dépendent du périmètre et de la complexité.
En Résumé
Le bon prestataire cybersécurité pour votre PME n’est pas forcément le plus certifié ou le moins cher. C’est celui qui:
-
Comprend votre contexte : Il pose des questions avant de proposer des solutions
-
Explique clairement : Sans jargon ni dramatisation
-
Assume ses limites : Plutôt que de tout promettre
-
Travaille avec méthode : Et peut le démontrer
-
S'engage sur des livrables précis : Dans un cadre contractuel clair
-
Reste disponible : Pendant et après la mission
Prenez le temps de rencontrer plusieurs prestataires, posez les questions qui dérangent, et faites confiance à votre instinct: si quelque chose vous semble trop beau pour être vrai, c’est probablement le cas.