Guide complet du diagnostic de cybersécurité : définition, étapes, fournisseurs et tableau comparatif (2026)
Théophane Villedieu
Qu’est-ce qu’un diagnostic de cybersécurité ?
BLUF : Il s’agit d’une évaluation méthodique du niveau de protection d’un système d’information (SI) contre les cybermenaces.
Pourquoi ? Pour identifier les vulnérabilités, prioriser les actions correctives et satisfaire les exigences légales (ISO 27001 2022, NIS 2, RGPD).
Exemple : Une PME industrielle fait réaliser un diagnostic ; le rapport révèle un défaut de mise à jour du serveur FTP, classé « critique », avec une recommandation de correctif sous 30 jours.
1. Le concept du diagnostic
- Scope : réseaux internes, périmètre d’exposition internet, applications web, API et postes utilisateurs.
- Méthodes : boîte noire (simulation d’attaque externe), boîte grise (accès limité), boîte blanche (accès complet au code).
- Livrables : rapport de synthèse, matrice de risques (probabilité × impact), feuille de route de remédiation, tableau de suivi.
2. Mécanisme d’un diagnostic typique
| Phase | Objectif | Actions clés | Artefacts produits |
|---|---|---|---|
| Pré-cadrage | Alignement des attentes | Call 30 min, recueil des périmètres, validation des contraintes légales | Cahier des besoins |
| Collecte d’informations | Cartographie du SI | Inventaire matériel, interviews, revue des politiques (mots de passe, sauvegarde) | Inventaire actifs |
| Analyse technique | Détection des failles | Scans vulnérabilité, tests d’intrusion (pentest), revue de configuration (firewall, TLS) GPU Rowhammer | Rapport technique |
| Synthèse & recommandations | Priorisation | Scoring CVSS, classification (quick win, medium, long term) | Feuille de route, tableau de priorités |
| Restitution | Validation et diffusion | Présentation aux dirigeants, formation des équipes | Rapport exécutif, plan de communication |
3. Cas d’usage fréquents
- Conformité réglementaire : préparer une certification ISO 27001, SOC 2 ou la directive NIS 2.
- Avant lancement produit : valider la sécurité d’une API de paiement.
- Gestion de crise : disposer d’un plan de réponse (CSIRT) dès la découverte d’une faille.
- Obtention de subventions : Bpifrance ou l’UE exigent souvent un diagnostic préalable.
4. Pièges à éviter
| Piège | Conséquence | Remède |
|---|---|---|
| Diagnostiquer uniquement le périmètre externe | Blindage incomplet, faille interne ignorée | Inclure aussi les actifs internes (serveurs, postes, IoT). |
| Ignorer la gouvernance | Recommandations non adoptées | Impliquer le comité de direction dès le pré-cadrage. |
| Ne pas actualiser les outils | Fausse négativité (vulnérabilités non détectées) | Utiliser des scanners à jour (Nessus 2026, OpenVAS 2.2). |
| Sous-estimer le temps de remédiation | Retards, surcoûts | Planifier des jalons réalistes (quick wins < 2 semaines). |
| Omettre la formation des utilisateurs | Phishing toujours possible Phishing attack details | Ajouter un volet sensibilisation Guide formation cybersecurite sans diplôme (séances 30 min). |
5. FAQ rapides
Q : Combien coûte un diagnostic ?
R : Le tarif varie : Standard ≈ 8 800 € HT (environ 1 000 €/jour), Premium ≈ 13 000 € HT (inclut test d’intrusion externe et interne). Certaines subventions (Bpifrance - 32 %, DGA - 50 %) réduisent la facture.
Q : Quelle durée ?
R : 4 à 8 jours ouvrés selon la complexité et le périmètre choisi.
Q : Dois-je réaliser le diagnostic moi-même ?
R : Oui, avec un auto-questionnaire (voir annexe) ; toutefois un audit externe apporte une objectivité et une reconnaissance (ISO 27001, CREST).
Q : Le diagnostic est-il obligatoire ?
R : Non, mais il devient souvent indispensable pour les contrats publics, les assurances cyber et les exigences de la directive NIS 2.
Q : Que faire si je ne suis pas éligible aux subventions ?
R : Opter pour un audit « light » : deux jours, focus sur les actifs critiques, coût moyen 4 500 € HT.
6. Comparatif des principaux prestataires français (2026)
| Prestataire | Certification reconnue | Coût (HT) | Durée typique | Scope inclus | Prix subvention (si éligible) | Points forts |
|---|---|---|---|---|---|---|
| Visiativ Cyber Pilot | ISO 27001 2022, ANSSI | 8 800 € (Standard) / 13 000 € (Premium) | 4 à 8 j | Gouvernance + externe + interne | 50 % Bpifrance (≈ 4 400 €) | Plateforme de suivi, scoring colorimétrique, tableau de bord dynamique |
| Orange Cyberdefense | CREST, ISO 27001, ISO 27701 | 9 500 € (Standard) / 14 500 € (Premium) | 5 à 9 j | Externe + Test d’intrusion + Veille menaces | 40 % (programme cyber - 3 800 €) | Réseau de SOC, expertise IA (Qevlar), service 24/7 |
| Bpifrance Diag | ISO 27001, DGA | 8 800 € (tout compris) | 8 j (4 étapes) | Gouvernance + technique (boîte grise) | 32 % (≈ 2 800 €) | Subvention officielle, label ExpertCyber, accompagnement post-audit |
| Vaadata | CREST, ISO 27001 | 750 € (1 j, “quick-audit”) | 1 j | Boîte noire ciblée (API, paiement) | Aucun | Tarif ultra-compétitif, idéal pour startups, livrable en 24 h |
Les prix sont indicatifs ; ils peuvent varier selon la taille du SI et le nombre d’actifs audités.
7. Checklist d’auto-diagnostic (à cocher en 10 minutes)
- Inventaire matériel : serveurs, postes, IoT.
- Mots de passe : complexité, expiration, MFA activé.
- Mises à jour : OS, applications, firmware.
- Sauvegardes : fréquence, stockage hors-site, test de restauration.
- Pare-feu : règles à jour, ports ouverts limités.
- Chiffrement : disques, transmissions (TLS 1.3).
- Gestion des comptes : droit d’accès minimal, désactivation des comptes inactifs.
- Sensibilisation : formation phishing récente.
- Plan de réponse : contacts CSIRT, procédure d’escalade.
- Conformité : RGPD, NIS 2, ISO 27001 2022 (check-list disponible en annexe).
8. Modèle de feuille de route de remédiation (extrait)
| Priorité | Action | Responsable | Durée estimée | Coût estimé |
|---|---|---|---|---|
| Quick win | Activer MFA sur tous les comptes admin | DSI | 2 jours | 0 € (outil interne) |
| Moyen | Mettre à jour le serveur FTP (CVE-2025-XYZ) | Responsable serveur | 1 semaine | 1 200 € (licence) |
| Long | Implémenter un SIEM hybride (OSS + licence) | RSSI | 4 semaines | 5 000 € (déploiement) |
| Strategic | Obtenir la certification ISO 27001 2022 | Direction | 6 mois | 12 000 € (audit externe) |
9. Prochaine étape pour votre entreprise
- Valider le périmètre : décidez si vous avez besoin d’un audit « Standard » ou « Premium ».
- Comparer les offres : utilisez le tableau ci-dessus pour identifier le prestataire qui correspond à votre budget et vos exigences.
- Lancer la demande : remplissez le formulaire d’éligibilité (Bpifrance) ou contactez le commercial du prestataire choisi.
- Planifier le pré-cadrage : 30 min d’appel pour définir les objectifs et le planning.
En suivant ces étapes, vous obtenez un état des lieux fiable, des recommandations actionnables et une meilleure résilience face aux cybermenaces.
Ressources utiles
- ISO 27001 2022 : https://www.iso.org/standard/79637.html
- Directive NIS 2 : https://www.economie.gouv.fr/nis-2
- Guide pratique de l’ANSSI : https://www.ssi.gouv.fr/guide/