1/8 — Votre entreprise dispose-t-elle d'une politique de sécurité informatique écrite et approuvée par la direction ?
Une politique de sécurité est un document (même d'une page) qui définit les règles à respecter pour protéger vos informations.
2/8 — Un responsable de la cybersécurité est-il officiellement désigné dans votre entreprise ?
Cela peut être un employé dédié, votre DSI, ou un prestataire externe avec un mandat clair.
3/8 — Vos sous-traitants ayant accès à vos données signent-ils un engagement de confidentialité ?
Cela inclut votre comptable, prestataire IT, hébergeur, développeur, etc.
4/8 — Des audits ou revues de sécurité sont-ils réalisés au moins une fois par an ?
Un audit peut être réalisé par un prestataire ou en interne pour vérifier que les mesures de sécurité sont en place.
5/8 — Disposez-vous d'un inventaire à jour de tous vos équipements informatiques ?
Ordinateurs, serveurs, téléphones pro, imprimantes réseau, NAS, routeurs…
6/8 — Vos employés ont-ils été informés des règles de sécurité informatique de l'entreprise ?
Via une charte informatique remise à l'embauche, une réunion dédiée, ou un email de règles.
7/8 — Lorsqu'un employé quitte l'entreprise, ses accès sont-ils supprimés immédiatement ?
Email, logiciels métier, cloud, VPN, accès physiques… Chaque accès non supprimé est une porte ouverte.
8/8 — La direction alloue-t-elle un budget spécifique à la cybersécurité ?
Budget pour des outils, des formations, des audits ou des prestataires spécialisés.
1/6 — Utilisez-vous une double authentification (code SMS ou application) pour accéder à vos outils professionnels ?
La double authentification (2FA) demande un 2e code en plus du mot de passe — comme un code reçu par SMS ou via Google Authenticator. Cela bloque 99% des piratages de comptes.
2/6 — Chaque employé n'a-t-il accès qu'aux données et outils dont il a besoin pour son travail ?
Ex : un comptable accède aux données financières, mais pas aux fichiers RH. C'est le principe du "moindre privilège".
3/6 — Avez-vous une règle sur les mots de passe (longueur minimale, complexité, renouvellement) ?
Ex : obligation d'avoir au moins 12 caractères avec chiffres et symboles. Un gestionnaire de mots de passe (Bitwarden, 1Password) facilite grandement cela.
4/6 — Les connexions à distance (télétravail, accès depuis l'extérieur) sont-elles sécurisées ?
Un VPN (réseau privé virtuel) est la méthode standard. Sans VPN, les données transitent en clair sur Internet.
5/6 — Les personnes gérant vos systèmes ont-elles un compte administrateur séparé de leur compte quotidien ?
Les comptes admin ont des droits étendus et ne doivent jamais être utilisés pour naviguer sur le web ou lire ses emails.
6/6 — Les accès des personnes qui quittent l'entreprise sont-ils supprimés dans les 24 heures ?
Un ancien employé conservant ses accès représente un risque sérieux, qu'il soit mal intentionné ou simplement négligent.
1/8 — Vos systèmes et logiciels sont-ils mis à jour régulièrement ?
Les mises à jour corrigent des failles de sécurité. Ne pas les appliquer, c'est laisser une porte ouverte.
2/8 — Tous vos appareils professionnels sont-ils protégés par un antivirus actif ?
Les antivirus modernes (souvent appelés EDR) détectent et bloquent les menaces en temps réel sur tous les postes.
3/8 — Vos sauvegardes sont-elles effectuées ET testées régulièrement ?
Une sauvegarde non testée peut être inutilisable lors d'une crise. Règle d'or : 3 copies, 2 supports différents, 1 copie hors site.
4/8 — Vos données sensibles sont-elles chiffrées ?
Le chiffrement rend vos données illisibles si un ordinateur est volé. Il s'applique au disque dur (BitLocker/FileVault) et aux transmissions (HTTPS).
5/8 — Disposez-vous d'un pare-feu et segmentez-vous votre réseau ?
Un pare-feu filtre les connexions. La segmentation sépare les réseaux (ex : production séparé du réseau bureautique) pour limiter la propagation d'une attaque.
6/8 — Surveillez-vous les activités suspectes sur vos systèmes (connexions inhabituelles, alertes) ?
Cela peut être des alertes email activées dans Microsoft 365, Google Workspace, ou un outil de monitoring dédié.
7/8 — Votre réseau Wi-Fi professionnel est-il séparé du Wi-Fi accessible aux visiteurs ?
Un visiteur connecté au même Wi-Fi que vos serveurs peut, intentionnellement ou non, accéder à vos données internes.
8/8 — Les outils cloud et applications web que vous utilisez ont-ils été évalués avant adoption ?
Ex : vérifier où sont hébergées les données, la politique de confidentialité, si le fournisseur est certifié.
1/6 — Disposez-vous d'un registre listant toutes les données personnelles que vous collectez ?
Ce registre des traitements est obligatoire depuis le RGPD. Il liste : qui collecte quoi, pourquoi, combien de temps, et qui y a accès. Un modèle gratuit est disponible sur le site de la CNIL.
2/6 — Vos clients et employés sont-ils informés de la façon dont vous collectez et utilisez leurs données ?
Cette information doit figurer sur votre site (politique de confidentialité), dans vos formulaires et contrats.
3/6 — Avez-vous désigné un Délégué à la Protection des Données (DPO) si votre activité le nécessite ?
Le DPO est obligatoire pour certaines activités (santé, RH à grande échelle). Si vous n'êtes pas concerné, indiquez-le.
4/6 — Supprimez-vous les données personnelles quand elles ne sont plus nécessaires ?
Ex : dossiers clients supprimés 3 ans après la fin de la relation, données de candidats non retenus supprimées après 2 ans.
5/6 — Avez-vous vérifié que vos sous-traitants traitant des données personnelles respectent le RGPD ?
Hébergeur, logiciel de paie, CRM, etc. Des clauses contractuelles spécifiques (DPA) sont requises par la loi.
6/6 — En cas de fuite de données, avez-vous une procédure pour notifier la CNIL dans les 72 heures ?
Cette notification est une obligation légale. Les amendes pour manquement peuvent atteindre 4% du chiffre d'affaires annuel.
1/4 — Vos employés ont-ils reçu une sensibilisation à la cybersécurité dans les 12 derniers mois ?
Même une session d'1 heure sur le phishing et les mots de passe constitue une sensibilisation valable.
2/4 — Avez-vous testé vos employés avec de faux emails frauduleux (simulation de phishing) ?
Des outils comme KnowBe4 ou Phished envoient de faux emails de phishing pour mesurer et améliorer la vigilance des équipes.
3/4 — Vos employés savent-ils exactement à qui signaler un incident ou une tentative d'arnaque informatique ?
Un employé qui reçoit un email suspect doit savoir immédiatement qui appeler, sans hésitation.
4/4 — Avez-vous une procédure pour vérifier l'identité d'un interlocuteur avant un virement ou un partage de données sensibles ?
La "fraude au président" (FOVI) représente des millions d'euros de pertes chaque année pour les PME françaises. Un rappel sur un numéro connu suffit à la déjouer.
1/4 — Disposez-vous d'un plan documenté décrivant comment réagir en cas de cyberattaque ?
Un plan de réponse décrit : qui appeler, comment isoler les systèmes touchés, comment communiquer en interne et en externe.
2/4 — Votre entreprise a-t-elle déjà subi un incident de cybersécurité (virus, ransomware, phishing réussi…) ?
Si oui, avoir analysé et documenté l'incident est une force : cela signifie que vous avez tiré les leçons de l'expérience.
3/4 — Votre plan de continuité d'activité inclut-il un scénario de cyberattaque paralysant vos systèmes ?
Un plan de continuité (PCA) décrit comment votre activité survit à une crise grave. Le cyber doit y être explicitement intégré.
4/4 — Des exercices simulant une crise cyber ont-ils déjà été organisés dans votre entreprise ?
Un exercice de crise (même de 2h) permet d'identifier les lacunes AVANT qu'une vraie attaque se produise.
1/4 — Avez-vous identifié vos actifs numériques les plus critiques pour votre activité ?
Exemples : votre ERP, votre base clients, vos fichiers de formules ou de plans. Que se passe-t-il si vous n'y avez plus accès pendant 3 jours ?
2/4 — Avez-vous évalué les menaces les plus probables pour votre entreprise ?
Ransomware, arnaque au président, espionnage industriel, erreur humaine… Chaque secteur a ses menaces spécifiques.
3/4 — Des mesures de sécurité prioritaires ont-elles été planifiées suite à une analyse de vos risques ?
Une analyse de risque sans plan d'action concret ne sert à rien. Cette question vérifie que vous passez de l'identification à l'action.
4/4 — Votre exposition sur internet a-t-elle été auditée (ports ouverts, services accessibles depuis l'extérieur) ?
Des outils comme Shodan ou des prestataires spécialisés peuvent scanner vos systèmes exposés et identifier des vulnérabilités avant que les pirates ne le fassent.
Ce que vous allez recevoir
✓ Gratuitement : votre score de maturité sur 100, affiché immédiatement
✓ À 9,99 € : le rapport PDF complet — analyse détaillée, 5 à 8 risques identifiés, plan d'action priorisé
Paiement sécurisé par Stripe · Rapport reçu par email en moins de 5 minutes
Veuillez répondre à toutes les questions avant de continuer.