Temps de lecture : 8 min
Pourquoi votre prestataire n’est pas forcément à blâmer
Avant les signes d’alerte, une mise en contexte importante.
La plupart des prestataires informatiques de PME sont des généralistes : ils gèrent les postes, les imprimantes, les serveurs, la messagerie, parfois le cloud. Ce sont souvent des structures de 3 à 15 personnes, réactives, disponibles, et qui connaissent bien votre environnement.
Le problème n’est pas leur compétence. C’est le périmètre de leur mission.
La cybersécurité exige désormais une veille technologique permanente, une supervision continue des alertes, des mises à jour planifiées et priorisées, et une réponse coordonnée en cas d’incident. Ce n’est pas ce pour quoi la plupart des contrats d’infogérance classiques ont été signés — et ce n’est souvent pas ce que le dirigeant a demandé ni budgété. Eurenet
Le résultat : votre prestataire pense faire son travail. Vous pensez être protégé. Et personne ne s’est assuré que les mesures de sécurité essentielles étaient effectivement en place.
C’est ce vide que ces 5 signes vous permettent d’identifier.
Signe n°1 — Le MFA n’est pas activé sur vos accès critiques
C’est le signe le plus révélateur — et le plus facile à vérifier en 30 secondes.
Ouvrez votre messagerie professionnelle (Microsoft 365, Google Workspace, ou autre). Connectez-vous depuis un autre appareil. Est-ce qu’on vous demande un code de validation en plus de votre mot de passe ?
Si la réponse est non : votre prestataire néglige votre cybersécurité.
Le MFA (authentification multifacteur) est la mesure de protection la plus efficace qui existe pour un coût quasiment nul. L’authentification multifacteur bloque 99,9 % des attaques par vol de mot de passe selon Microsoft. Elle est incluse dans tous les abonnements Microsoft 365 et Google Workspace — il suffit de l’activer. Mobilecube
Et pourtant, dans la majorité des PME que j’audite, elle n’est pas activée. Ni sur la messagerie. Ni sur le VPN. Ni sur les outils cloud.
La question à poser à votre prestataire : “Est-ce que le MFA est activé sur notre messagerie, notre VPN et tous nos accès distants ? Pouvez-vous me montrer la configuration ?”
Si la réponse est vague, si votre prestataire dit qu’il “va regarder”, ou s’il évoque des raisons techniques pour lesquelles ce n’est “pas encore possible” — considérez ça comme un signal d’alarme sérieux.
Signe n°2 — Vous ne savez pas quand vos sauvegardes ont été testées pour la dernière fois
Votre prestataire vous dit que vous avez des sauvegardes. Parfait. Mais quand les a-t-il testées pour la dernière fois ?
Il y a une règle dans la cybersécurité : une sauvegarde non testée n’est pas une sauvegarde. C’est une illusion de protection.
Avec des sauvegardes immuables testées et un plan de réponse à incident opérationnel, la remise en état après ransomware prend 48 à 72 heures pour les systèmes critiques, contre 21 jours sans préparation — une différence de l’ordre de 10 à 30 fois. Eurenet
Voici ce qu’un bon prestataire fait avec vos sauvegardes :
Il les teste en restaurant des données réelles, au moins une fois par trimestre. Il s’assure qu’elles sont isolées de votre réseau principal — une sauvegarde accessible depuis votre réseau sera chiffrée en même temps que vos fichiers lors d’un ransomware. Il vous envoie un rapport de sauvegarde régulier (hebdomadaire ou mensuel) confirmant que tout s’est bien passé. Il applique la règle 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors ligne.
La question à poser : “Quand avez-vous restauré nos sauvegardes pour la dernière fois ? Pouvez-vous m’envoyer le rapport de test ? Nos sauvegardes sont-elles accessibles depuis notre réseau ?”
Si votre prestataire ne peut pas vous répondre précisément — ou si la dernière restauration testée remonte à plus d’un an — vos sauvegardes sont peut-être inutilisables au moment où vous en aurez le plus besoin.
Signe n°3 — Vous ne recevez aucun rapport de sécurité
Un prestataire qui gère votre cybersécurité vous tient informé. Régulièrement. Par écrit.
Posez-vous cette question : quand avez-vous reçu pour la dernière fois un rapport de votre prestataire sur l’état de votre sécurité informatique ? Pas une facture. Pas un email de support pour dépanner un poste. Un vrai rapport de sécurité : état des mises à jour, alertes détectées, tentatives d’intrusion bloquées, état des sauvegardes, vulnérabilités identifiées.
Si la réponse est “jamais” ou “je ne sais pas” — c’est un signal clair.
En 2025, l’ANSSI a recensé une hausse de 30 % des incidents cyber touchant les PME et ETI françaises. Dans 80 % des cas, les failles exploitées étaient connues et auraient pu être corrigées par un simple audit. Cybersecurity Agency
Un prestataire sérieux en matière de sécurité vous produit :
Un rapport mensuel ou trimestriel sur l’état des mises à jour et des correctifs. Une liste des alertes détectées et traitées. Un bilan des sauvegardes. Des recommandations concrètes d’amélioration avec un plan de priorités.
Si vous ne recevez rien de tout ça, votre prestataire est peut-être excellent pour réparer un poste qui ne démarre plus — mais il ne gère pas votre cybersécurité. Il gère votre informatique. Ce n’est pas la même chose.
La question à poser : “Pouvez-vous m’envoyer le rapport de sécurité du dernier trimestre ? Quelles alertes avez-vous détectées et traitées ces trois derniers mois ?”
Signe n°4 — Vos mises à jour de sécurité sont faites “quand on a le temps”
C’est souvent là que tout commence.
En 2026, les attaques automatisées scannent en permanence les infrastructures à la recherche de vulnérabilités connues. L’exploitation de vulnérabilités représente une part importante des accès initiaux selon le DBIR 2025 de Verizon. Ce scénario peut arriver sans clic : pas de mail piégé, pas d’erreur humaine évidente — juste un équipement exposé, une faille connue, et une mise à jour repoussée. Eurenet
Les mises à jour de sécurité doivent être traitées avec une urgence proportionnelle au risque. Sur les équipements critiques — pare-feu, VPN, accès distants — un correctif de sécurité doit être appliqué sous 72 heures maximum après sa publication. Pas “au prochain passage”. Pas “quand on aura le temps”.
Les signaux concrets d’un problème :
Votre prestataire vient “mettre à jour les postes” une fois par mois, sans distinction entre une mise à jour cosmétique et un patch de sécurité critique. Votre pare-feu ou votre VPN tourne sur un firmware vieux de plusieurs mois. Votre prestataire repousse les mises à jour parce qu’elles “risquent de casser quelque chose” — sans proposer de test sur un environnement isolé. Personne, dans votre organisation, n’est clairement désigné comme responsable du suivi des correctifs.
Patch Tuesday est mort : 28 % des CVE (failles de sécurité publiées) sont exploitées en moins de 72 heures après leur publication. Une faille connue le lundi matin peut être exploitée massivement le mercredi. Attendre “la prochaine intervention planifiée” pour patcher, c’est laisser une porte ouverte pendant des jours. Neoxo
La question à poser : “Avez-vous une procédure documentée pour les patches de sécurité critiques ? En combien de temps appliquez-vous un correctif critique sur notre pare-feu et notre VPN après sa publication ?”
Signe n°5 — Il n’existe aucun plan de réponse à incident
C’est le signe le moins visible — et potentiellement le plus coûteux.
Si votre entreprise subit un ransomware demain matin, que se passe-t-il concrètement dans les 30 premières minutes ? Qui appelle-t-on ? Comment isole-t-on les machines infectées si votre messagerie est hors service ? Qui prend la décision de couper le réseau ? Qui notifie l’ANSSI dans les 24h (obligation NIS2) ? Qui contacte la CNIL dans les 72h (obligation RGPD) ?
Si vous n’avez pas de réponse précise à ces questions — et si votre prestataire n’a jamais évoqué ce sujet avec vous — vous n’avez pas de plan de réponse à incident.
La pire façon de gérer une cyberextorsion, c’est d’improviser sous pression. Un plan préparé à l’avance change radicalement la gestion des 72 premières heures. Ce plan doit exister en format papier — si votre système d’information est chiffré, votre SharePoint l’est aussi. Eurenet
Un bon prestataire en cybersécurité vous a aidé à construire et tester ce plan. Il a identifié avec vous les personnes à appeler, les machines à isoler en priorité, les procédures de communication de crise. Il fait des exercices de simulation réguliers — au moins une fois par an.
L’absence totale de ce plan est la marque d’un prestataire qui traite la cybersécurité comme un sujet secondaire.
La question à poser : “Avez-vous rédigé un plan de réponse à incident pour notre entreprise ? Pouvez-vous me l’envoyer ? Quand l’avons-nous testé pour la dernière fois ?”
Ce que votre contrat dit (et ne dit probablement pas)
Avant de reprocher quoi que ce soit à votre prestataire, prenez 10 minutes pour relire votre contrat d’infogérance.
Dans la grande majorité des contrats PME que j’ai consultés, la cybersécurité n’est ni définie, ni périmètrée, ni engagée. Le contrat parle de “maintenance”, de “support”, de “dépannage”. Il n’y a aucun engagement sur le MFA, les tests de sauvegarde, les rapports de sécurité ou les délais de patching.
En cas d’incident de sécurité causé par un tiers, votre entreprise reste responsable vis-à-vis de ses propres clients et des autorités de régulation. Si votre contrat ne définit pas clairement les obligations de cybersécurité de votre prestataire, c’est vous qui portez l’intégralité du risque juridique. My Trust Partner
Avec NIS2, cette réalité contractuelle prend une dimension supplémentaire. Chaque entité régulée devra identifier et évaluer ses fournisseurs critiques — hébergeurs, éditeurs de logiciel, prestataires de maintenance, fournisseurs cloud et SaaS — et s’assurer de leur niveau de sécurité. Agesys
En clair : NIS2 vous impose de vérifier que votre prestataire informatique est lui-même sécurisé. Et si ce n’est pas le cas, c’est votre responsabilité de dirigeant qui est engagée.
La liste des 10 questions à poser à votre prestataire
Voici le questionnaire complet à envoyer à votre prestataire dès cette semaine. Ses réponses vous diront tout ce que vous devez savoir.
Sur les accès et le MFA :
- Le MFA est-il activé sur notre messagerie, notre VPN et tous nos accès distants ? Pouvez-vous me montrer la configuration ?
- Avez-vous un inventaire complet des comptes utilisateurs actifs, notamment les anciens collaborateurs ?
Sur les sauvegardes : 3. Quand avez-vous restauré nos sauvegardes pour la dernière fois ? Pouvez-vous m’envoyer le rapport ? 4. Nos sauvegardes sont-elles isolées de notre réseau principal (hors ligne ou air-gap) ?
Sur les mises à jour : 5. En combien de temps appliquez-vous un patch de sécurité critique sur nos équipements de bordure (pare-feu, VPN) ? 6. Avez-vous une procédure documentée pour les correctifs de sécurité urgents ?
Sur le reporting : 7. Pouvez-vous m’envoyer le rapport de sécurité du dernier trimestre ? 8. Quelles alertes avez-vous détectées et traitées sur notre réseau ces 3 derniers mois ?
Sur la réponse à incident : 9. Avez-vous rédigé un plan de réponse à incident pour notre entreprise ? Quand l’avons-nous testé ? 10. Êtes-vous en mesure de nous aider à notifier l’ANSSI sous 24h et la CNIL sous 72h en cas d’incident ?
Que faire si les réponses sont insuffisantes ?
Ne paniquez pas, et ne rompez pas immédiatement le contrat. Commencez par une conversation franche.
Étape 1 — Présentez le questionnaire comme une démarche positive. Dites à votre prestataire que vous souhaitez renforcer votre posture de sécurité, notamment dans le cadre de NIS2 et de vos obligations réglementaires. Ce n’est pas une mise en accusation — c’est une prise de responsabilité.
Étape 2 — Demandez un plan d’action chiffré. Si certaines mesures ne sont pas en place, demandez un devis pour les mettre en place. Vous saurez ainsi si votre prestataire a la compétence et la volonté de progresser — ou si la cybersécurité n’est tout simplement pas dans ses cordes.
Étape 3 — Faites réaliser un diagnostic indépendant. La crédibilité externe est cruciale : un rapport d’audit signé par un tiers reconnu porte une valeur probante auprès des partenaires commerciaux, des assureurs et des autorités, contrairement à une auto-évaluation. Notre outil de diagnostic sur cyberdiagnostic.fr vous donne en 10 minutes une image objective de votre niveau de protection réel — indépendamment de ce que vous dit votre prestataire. My Trust Partner
Étape 4 — Si les réponses restent insuffisantes, envisagez de changer. Ce n’est pas anodin, et cela mérite une transition bien planifiée. Mais confier votre cybersécurité à quelqu’un qui n’en fait pas son métier, c’est assumer personnellement un risque que la loi vous impose désormais de maîtriser.
Ce que dit la loi sur la responsabilité de votre prestataire (et la vôtre)
Un point juridique important que peu de dirigeants connaissent.
Si votre entreprise subit une cyberattaque causée par une négligence de votre prestataire — VPN non patché, sauvegardes non testées, MFA non activé — vous pouvez vous retourner contre lui pour faute professionnelle. Mais seulement si votre contrat définit clairement ces obligations. Sans contrat précis, la responsabilité reste floue — et les tribunaux ont tendance à la faire peser sur l’entreprise victime.
Et avec NIS2, la boucle se referme : votre entreprise reste responsable vis-à-vis de ses propres clients et des autorités de régulation, même si la faille vient d’un prestataire. Vous ne pouvez pas vous défausser sur votre informaticien pour expliquer à l’ANSSI que vous n’étiez pas conformes. Agesys
En résumé : les 5 signaux d’alarme à surveiller
🔴 Signe 1 — Le MFA n’est pas activé sur votre messagerie, votre VPN et vos accès distants.
🔴 Signe 2 — Vous ne savez pas quand vos sauvegardes ont été testées, ni si elles sont isolées de votre réseau.
🔴 Signe 3 — Vous ne recevez aucun rapport de sécurité régulier de votre prestataire.
🔴 Signe 4 — Les mises à jour de sécurité sont appliquées “quand on a le temps”, sans procédure ni délai défini.
🔴 Signe 5 — Il n’existe aucun plan de réponse à incident documenté et testé pour votre entreprise.
Dans 80 % des cas d’incidents cyber en PME, les failles exploitées étaient connues et auraient pu être corrigées. Ce n’est pas une question de budget, ni de chance. C’est une question de vérification — et cette vérification commence par les 10 questions de cet article. Cybersecurity Agency
FAQ — Vos questions sur votre prestataire informatique et la cybersécurité
Mon prestataire est qualifié ExpertCyber ANSSI. Est-ce suffisant ? Le label ExpertCyber est un bon indicateur de compétence. Mais la compétence ne garantit pas que les mesures sont effectivement appliquées chez vous. Posez les 10 questions du questionnaire ci-dessus — même à un prestataire labellisé. Ce qui compte, ce n’est pas ce qu’il sait faire, c’est ce qu’il fait concrètement pour vous.
Mon prestataire dit que le MFA va perturber mes collaborateurs. Que faire ? C’est un argument fréquent — et souvent exagéré. Le MFA demande 10 secondes supplémentaires à la connexion. Comparé au risque d’une compromission de compte, c’est un inconfort parfaitement acceptable. Si votre prestataire utilise cet argument pour justifier de ne pas l’activer, c’est qu’il priorise le confort à court terme sur votre sécurité à long terme.
Est-ce que je peux demander une démonstration de restauration de sauvegarde ? Oui — et vous devriez le faire au moins une fois par an. Un bon prestataire acceptera sans hésitation. Si la demande est accueillie avec des excuses ou des délais, c’est un signal sérieux.
Mon prestataire gère tout à distance. Comment vérifier ce qu’il fait réellement ? Demandez les journaux d’activité (logs) sur les derniers mois : quelles interventions ont été réalisées, quelles alertes ont été traitées, quels correctifs ont été appliqués et quand. Un prestataire sérieux tient ces journaux à jour et peut les partager à tout moment.
Combien coûte un vrai prestataire de cybersécurité pour une PME ? Pour une PME entre 10 et 250 salariés, 10 actions concrètes suffisent à bloquer 90 % des attaques courantes, pour un budget de 50 à 200 euros par utilisateur et par mois selon le niveau de protection. Pour une PME de 20 personnes, c’est entre 1 000 et 4 000€ par mois — bien moins que le coût moyen d’une cyberattaque, estimé entre 150 000 et 466 000€. Mobilecube
Article rédigé par l’équipe CyberDiagnostic.fr — Nous aidons les dirigeants de PME à comprendre et améliorer leur niveau de cybersécurité, sans jargon et sans budget de grand groupe.
→ Obtenez une image indépendante de votre niveau de sécurité sur cyberdiagnostic.fr — 9,99€ — Résultat en 10 minutes