Définition
Cette FAQ cybersécurité rassemble les questions fréquemment posées par les dirigeants et responsables IT de PME concernant la protection de leur système d’information. Vous y trouverez des réponses concrètes sur les prestations de sécurité (audit, pentest, conformité) et les réglementations en vigueur.
Si votre question n’apparaît pas ici, contactez-nous directement, nous répondons à chaque demande.
Questions sur l’Audit de Sécurité
Qu’est-ce qu’un audit de sécurité informatique?
Un audit de sécurité informatique est une évaluation méthodique de votre système d’information pour identifier les points de conformité et les vulnérabilités. L’analyse couvre trois dimensions: technique (serveurs, configurations, accès), organisationnelle (procédures, gouvernance) et humaine (pratiques des équipes). Le livrable est un rapport avec des vulnérabilités classées par criticité et des recommandations concrètes. L’objectif est opérationnel: vous permettre de prendre des décisions éclairées sur l’allocation de votre budget sécurité.
→ Découvrir notre audit de sécurité informatique
Quelle est la différence entre un audit et un pentest?
C’est la question la plus fréquente. L’audit est une évaluation globale qui analyse configurations, documentation, procédures et mène des entretiens avec vos équipes. Le pentest (test d’intrusion) est une simulation d’attaque qui tente concrètement d’exploiter des failles, comme le ferait un attaquant malveillant. L’audit répond à “Quelles sont nos vulnérabilités théoriques?”, le pentest répond à “Peut-on réellement nous pirater, et comment?”. Les deux approches sont complémentaires: l’audit donne la vue d’ensemble, le pentest prouve concrètement ce qu’un attaquant peut accomplir.
→ En savoir plus sur le test d’intrusion
Combien de temps dure un audit de sécurité?
La durée varie selon le périmètre analysé. Pour une PME de 50 à 200 salariés, voici les ordres de grandeur: un diagnostic rapide (audit flash) prend 2-3 jours, un audit standard 5-10 jours, et un audit complet préparant une certification ISO 27001 peut aller jusqu’à 2-4 semaines. Ces durées incluent les entretiens avec vos équipes, l’analyse technique de votre infrastructure, et la rédaction d’un rapport exploitable. Point important: le temps de préparation côté client (récupération des accès, mobilisation des interlocuteurs) est également à prendre en compte.
Combien coûte un audit de sécurité?
On ne publie pas de grille tarifaire, et pour une bonne raison: chaque situation est différente. Le prix dépend du nombre de sites à auditer, du nombre de serveurs et d’applications dans le périmètre, de la profondeur d’analyse souhaitée, et des livrables attendus. Ce qu’on peut vous dire: on établit toujours un devis détaillé après avoir compris votre contexte. Et on adapte nos propositions aux budgets PME, pas de forfaits surdimensionnés conçus pour les grands groupes.
→ Demander un devis personnalisé
À quelle fréquence faut-il réaliser un audit?
La recommandation classique, c’est un audit complet tous les 2-3 ans. Mais ce que l’expérience nous apprend: il faut surtout auditer lors des changements majeurs. Nouvelle infrastructure? Audit. Migration cloud? Audit. Rachat ou fusion? Audit. Incident de sécurité? Audit post-mortem. Pour les entreprises concernées par NIS2, attention: des évaluations régulières deviennent une obligation légale, pas juste une bonne pratique.
Questions sur le Test d’Intrusion (Pentest)
Pourquoi faire un pentest?
Un pentest montre ce qu’un attaquant peut réellement accomplir sur votre système, pas ce qu’il pourrait théoriquement faire. Les tests révèlent régulièrement des chemins d’attaque insoupçonnés, des combinaisons de failles mineures qui, exploitées ensemble, permettent d’accéder aux données sensibles. Le rapport de pentest devient ensuite votre feuille de route pour prioriser les corrections qui comptent vraiment.
→ Comprendre le test d’intrusion en détail
Quels types de pentest existent?
Il existe plusieurs approches selon ce qu’on veut tester:
- Pentest externe: attaque depuis Internet, comme le ferait un attaquant externe ciblant vos serveurs exposés
- Pentest interne: simulation d’un attaquant ayant déjà un pied dans votre réseau (employé malveillant, poste compromis)
- Pentest applicatif: analyse ciblée d’une application web ou mobile spécifique
- Pentest réseau: évaluation de l’infrastructure, Wi-Fi, segmentation entre vos différents réseaux
- Ingénierie sociale: phishing, manipulation humaine, évaluation de la vigilance de vos collaborateurs
Notre retour d’expérience montre que la combinaison pentest externe + interne donne la vision la plus complète pour une PME.
Un pentest peut-il perturber mon activité?
C’est une inquiétude légitime. Les tests sont réalisés de manière contrôlée: le périmètre exact, les limites à ne pas franchir et les plages horaires pour les tests sensibles sont définis en amont. Les tests sur serveurs critiques sont planifiés en dehors des heures de production. Un contrat cadre précisément ces paramètres avant le démarrage. Une préparation rigoureuse élimine pratiquement tout risque de perturbation non planifiée.
Faut-il un pentest si on a déjà un antivirus ou un EDR?
Oui, et voici pourquoi cette question révèle un malentendu fréquent. L’antivirus et l’EDR (Endpoint Detection and Response) protègent contre les menaces connues et les comportements suspects sur vos postes de travail. Mais ils ne détectent pas les failles de configuration de vos serveurs, les vulnérabilités dans vos applications métier, ou les erreurs de droits d’accès. Un pentest identifie les chemins d’attaque que votre EDR ne bloquera jamais, parce que ce n’est tout simplement pas son rôle. Les deux approches se complètent: l’EDR surveille en continu, le pentest valide ponctuellement que tout tient.
Questions sur NIS2 et la Conformité
Qu’est-ce que la directive NIS2?
NIS2 est la nouvelle directive européenne sur la cybersécurité des réseaux et systèmes d’information. Sa transposition était attendue en octobre 2024, mais la France n’a pas encore promulgué sa loi (Loi Résilience, en cours d’adoption). Elle remplace la directive NIS1 qui ne concernait qu’un petit nombre d’opérateurs. Avec NIS2, le périmètre s’élargit considérablement: 18 secteurs d’activité sont concernés (énergie, santé, transport, numérique, agroalimentaire…), et les seuils de taille sont bien plus bas qu’avant. Concrètement, si votre entreprise atteint 50 salariés avec un chiffre d’affaires ou bilan supérieur à 10 millions d’euros dans un secteur concerné, vous serez soumis aux obligations. Les sanctions peuvent atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial.
→ Lire notre guide complet sur NIS2
Ma PME est-elle concernée par NIS2?
La question revient constamment, et la réponse n’est pas toujours évidente. Les critères de base: 50 salariés ou plus ET un chiffre d’affaires ou bilan supérieur à 10 millions d’euros, ET appartenance à l’un des 18 secteurs définis par la directive. Mais attention au piège que beaucoup oublient: même si vous n’êtes pas directement concerné, vos clients ou donneurs d’ordres soumis à NIS2 peuvent vous imposer des exigences de sécurité par contrat. On voit de plus en plus de grandes entreprises exiger des audits ou des certifications à leurs sous-traitants. L’ANSSI a mis en place un outil en ligne (MonEspaceNIS2) pour vérifier votre éligibilité, c’est le premier réflexe à avoir.
→ Accompagnement conformité NIS2/RGPD
Quelle différence entre NIS2 et RGPD?
Ce sont deux textes complémentaires qui peuvent s’appliquer au même incident. Le RGPD protège les données personnelles: comment vous les collectez, les traitez, les conservez. NIS2 impose des mesures de cybersécurité pour protéger vos systèmes d’information dans leur ensemble. Un exemple concret: une attaque ransomware avec fuite de données peut déclencher des sanctions au titre des deux réglementations, RGPD pour la fuite de données personnelles, NIS2 pour le défaut de sécurité du SI. La bonne nouvelle: beaucoup d’exigences se recoupent. Si vous êtes déjà bien avancé sur le RGPD, une partie du travail NIS2 est déjà fait.
Quels sont les délais pour se mettre en conformité NIS2?
La directive est entrée en application en octobre 2024. En théorie, les entreprises concernées doivent se conformer maintenant. En pratique, l’ANSSI a indiqué que les contrôles seraient progressifs, le temps que les organisations se mettent à niveau. Mais “progressif” ne signifie pas “indéfiniment reporté”. Les sanctions sont applicables, et les premiers contrôles ont commencé. Notre recommandation: anticiper plutôt qu’attendre un contrôle. Plus la mise en conformité est anticipée, plus la transition sera fluide.
Questions sur la Sensibilisation
Pourquoi former mes collaborateurs à la cybersécurité?
La majorité des cyberattaques commencent par un email de phishing (plus de 70% selon Verizon DBIR 2024). Vos collaborateurs sont simultanément votre première ligne de défense et votre principal vecteur de risque. Les dispositifs techniques les plus avancés ne protègent pas contre un clic sur un lien malveillant suivi d’une saisie d’identifiants. Les retours terrain montrent qu’une formation adaptée réduit significativement le taux de clic sur les emails malveillants. La technologie seule ne suffit pas, la formation des équipes est indispensable.
→ Découvrir nos formations en sensibilisation
Quelle différence entre sensibilisation et formation technique?
La sensibilisation s’adresse à tous vos collaborateurs, quel que soit leur niveau technique. L’objectif: qu’ils sachent reconnaître un phishing, créer des mots de passe robustes, adopter les bons réflexes au quotidien. La formation technique, elle, s’adresse à vos équipes IT: administration sécurisée des systèmes, détection d’incidents, gestion de crise cyber. Ce sont deux publics différents avec des besoins différents. Notre retour d’expérience montre que la sensibilisation grand public a souvent plus d’impact immédiat sur la réduction du risque que la formation technique, simplement parce qu’elle touche plus de monde.
Une simulation de phishing est-elle efficace?
La simulation de phishing est l’un des outils les plus efficaces pour mesurer et améliorer la vigilance. Le principe: des emails de phishing réalistes (mais inoffensifs) sont envoyés aux collaborateurs, les taux de clic sont mesurés, et les personnes ayant cliqué reçoivent une formation ciblée. L’objectif n’est pas de sanctionner mais d’identifier les points faibles et d’y remédier. Des campagnes répétées tous les 3-4 mois permettent de suivre la progression et d’ancrer les bons réflexes dans la durée.
Questions en Cas d’Incident
Cyberattaque PME: que faire en cas d’incident?
La réactivité est déterminante en cas d’incident. Si vous subissez une cyberattaque, voici les premiers réflexes: isolez les systèmes compromis (débranchez-les du réseau, ne les éteignez pas), préservez les preuves (pas de reformatage précipité), alertez votre assureur cyber si vous en avez un, et contactez un prestataire spécialisé. Pour les ransomwares spécifiquement: ne payez pas la rançon, ça ne garantit pas la récupération des données et ça finance les attaquants. L’ANSSI recommande également de déposer plainte, ce qui est indispensable pour l’assurance.
→ Comprendre et se protéger des ransomwares
Proposez-vous un service d’urgence en cas d’attaque?
Oui, nous intervenons en urgence sur les incidents de sécurité: ransomware, compromission de compte, fuite de données suspectée. Dans l’Hérault, notre temps de réponse se compte en heures. Sur le reste de l’Occitanie, comptez 24 heures maximum. Pour les clients sous contrat SOC, la surveillance est continue et l’alerte immédiate. Notre intervention couvre: investigation pour comprendre l’origine de l’incident, confinement pour limiter les dégâts, éradication de la menace, et accompagnement à la reprise d’activité.
Questions Pratiques
Comment choisir un prestataire cybersécurité?
Les critères de sélection essentiels: les compétences techniques (méthodologies appliquées, expérience démontrée), les références dans votre secteur d’activité, la proximité géographique si l’intervention sur site est importante, et la capacité à vulgariser et accompagner (au-delà de la simple livraison d’un rapport technique). Privilégiez les offres adaptées à votre contexte plutôt que les solutions standardisées. Un bon prestataire écoute d’abord, comprend votre situation, puis conseille.
Intervenez-vous en dehors de l’Occitanie?
Notre zone d’intervention principale couvre Montpellier, Nîmes, Millau et leurs environs, c’est là qu’on garantit réactivité et proximité physique. Pour des missions ponctuelles (audit, pentest) en dehors de cette zone, on étudie les demandes au cas par cas. Et pour les prestations qui se font à distance (SOC externalisé, accompagnement conformité avec réunions en visio), on peut intervenir sur tout le territoire national.
→ Découvrir nos zones d’intervention
Êtes-vous certifiés?
Meldis applique les méthodologies reconnues du secteur: OWASP pour les applications web, PTES pour les tests d’intrusion, référentiels ANSSI pour les audits. Nous utilisons des outils professionnels certifiés et nous engageons sur la qualité de chaque mission. Notre approche combine expertise technique, accompagnement personnalisé et tarification adaptée aux PME. Contactez-nous pour discuter de votre projet.
Vous Avez une Autre Question ?
Cette FAQ ne couvre pas tout. Contactez-nous directement, nous répondons à chaque demande.
Poser votre question