Pourquoi s'auto-évaluer avant d'agir
Beaucoup de dirigeants de PME savent qu'ils devraient "faire quelque chose" pour leur sécurité informatique, sans savoir par où commencer ni à quel point leur situation actuelle est risquée. Cette auto-évaluation rapide permet d'identifier vos priorités réelles avant même de solliciter un prestataire ou un audit complet.
La grille d'auto-évaluation
Répondez par oui ou non à chacune des 15 questions suivantes. Comptez le nombre de "non", plus il est élevé, plus votre niveau de risque actuel est important.
| # | Question |
|---|---|
| 1 | L'authentification multifacteur (MFA) est-elle activée sur votre messagerie professionnelle ? |
| 2 | Vos sauvegardes sont-elles testées par une restauration réelle au moins une fois par trimestre ? |
| 3 | Avez-vous une copie de sauvegarde stockée hors ligne ou hors site, déconnectée du réseau principal ? |
| 4 | Vos systèmes d'exploitation et logiciels reçoivent-ils les correctifs de sécurité dans les 30 jours suivant leur publication ? |
| 5 | Disposez-vous d'une solution EDR sur l'ensemble de vos postes, plutôt qu'un simple antivirus ? |
| 6 | Vos collaborateurs ont-ils reçu une formation de sensibilisation au phishing dans les 12 derniers mois ? |
| 7 | Les accès administrateur sont-ils limités au strict nécessaire, avec des comptes distincts des comptes utilisateurs courants ? |
| 8 | Votre réseau interne est-il segmenté (séparation entre postes utilisateurs, serveurs, invités) ? |
| 9 | Disposez-vous d'un inventaire à jour de tous vos équipements et logiciels (shadow IT inclus) ? |
| 10 | Existe-t-il une procédure écrite à suivre en cas d'incident de sécurité (qui prévenir, quoi faire) ? |
| 11 | Une supervision de sécurité (SOC, SIEM, ou équivalent) surveille-t-elle vos systèmes en continu ? |
| 12 | Vos mots de passe critiques sont-ils gérés via un gestionnaire de mots de passe d'entreprise ? |
| 13 | Avez-vous déjà réalisé un audit ou un test d'intrusion sur vos systèmes au cours des deux dernières années ? |
| 14 | Connaissez-vous précisément les obligations NIS2 ou RGPD qui s'appliquent à votre entreprise ? |
| 15 | Une personne ou un prestataire est-il clairement responsable de la sécurité informatique de l'entreprise ? |
Interprétation de votre score
- 0 à 3 "non" niveau de maturité correct. Continuez à maintenir ces pratiques et envisagez un audit pour valider les points restants.
- 4 à 8 "non" niveau de risque modéré à significatif. Plusieurs failles importantes existent probablement déjà dans votre environnement, sans que vous le sachiez forcément.
- 9 "non" et plus niveau de risque élevé. Votre entreprise est probablement vulnérable à des attaques courantes (phishing, ransomware) sans capacité de détection ni de réponse rapide.
Cette auto-évaluation donne une photographie rapide mais reste indicative. Elle ne remplace pas un audit technique réalisé par des experts, capable d'identifier des vulnérabilités spécifiques à votre infrastructure (configurations, versions logicielles, failles applicatives) qu'un questionnaire ne peut pas détecter.
Quelles que soient vos réponses, voici par où commencer
Si votre score révèle plusieurs lacunes, ne tentez pas de tout corriger en même temps. Commencez par les mesures à fort impact et faible coût, l'authentification multifacteur et la vérification réelle de vos sauvegardes. Ce sont les deux actions qui réduisent le plus rapidement votre exposition aux ransomwares et compromissions de comptes, les deux menaces les plus fréquentes pour les PME françaises.
Envie d'un diagnostic réalisé par des experts ?
ONYX-CYBER propose un diagnostic initial gratuit pour transformer cette auto-évaluation en plan d'action concret, sans engagement.
Réserver mon diagnostic gratuit