Retour aux ressources
Livre Blanc Gratuit

Êtes-vous réellement protégé, ou avez-vous juste un "sentiment" de sécurité ?

Les 10 questions à poser à votre prestataire informatique pour tester sa fiabilité (et les réponses que vous devez exiger).

🖥️ L'informatique ne doit pas être une boîte noire.

En tant que dirigeant, vous n'avez pas besoin de savoir coder. Mais vous devez savoir challenger ceux qui gèrent vos données.

Ce guide "Anti-Langue de Bois" vous révèle :

  • 🚩La question piège sur les sauvegardes qui déstabilise 50% des prestataires
  • 🔑La vérité sur qui détient vraiment vos mots de passe (Souveraineté)
  • ⏱️La différence critique entre "faire au plus vite" et garantir un délai de reprise

🎯 Armez-vous pour votre prochain Comité de Pilotage IT.

Recevez votre Check-list Dirigeant

PDF envoyé instantanément par email

Vos données sont protégées et conformes RGPD
Prestataire labellisé ExpertCyber
+400 PME accompagnées
Questions issues de notre expérience terrain

Gouvernance IT : les 10 questions pièges pour savoir si votre prestataire vous protège vraiment

Le guide anti-langue de bois pour dirigeants non-techniques

« Le jargon technique est souvent utilisé comme un écran de fumée. En tant que dirigeant, vous n'avez pas besoin de savoir coder, mais vous devez savoir challenger. » — Dominique Maiano, Dirigeant, Groupe Maiano

Ce guide contient

  • 10 questions stratégiques à poser à votre prestataire IT
  • Les mauvaises réponses qui doivent vous alerter
  • Les bonnes réponses à exiger
  • Une grille de scoring pour évaluer votre niveau de risque

Comment utiliser ce guide

Ce document est conçu pour être utilisé lors de votre prochain comité de pilotage IT ou rendez-vous avec votre prestataire informatique.

  1. Lisez chaque question et posez-la directement à votre DSI ou prestataire
  2. Comparez la réponse obtenue avec nos indicateurs
  3. Notez votre score à la fin du guide
  4. Évaluez votre niveau de risque réel

Attention : Si votre prestataire bégaye sur plus de 3 questions, votre niveau de risque est plus élevé que vous ne le pensez.

Les 10 thématiques

1. La restauration (RTO/RPO) - 2. La souveraineté - 3. La sécurité du prestataire - 4. La preuve de sauvegarde - 5. Les mises à jour (Patching) - 6. L'exposition extérieure - 7. La sensibilisation - 8. L'obsolescence - 9. La documentation - 10. Le plan de crise

Question 1 : La restauration

La question à poser : « Quel est mon RTO (Délai de Reprise) contractuel en cas de crash total ? »

Mauvaise réponse : « On fera au plus vite / On a des sauvegardes, ne vous inquiétez pas. » C'est du « Best Effort », pas une garantie. En cas de litige, vous n'avez aucun recours.

Bonne réponse : « Nous nous engageons à remonter les serveurs critiques en 4 heures et le parc complet en 24 heures. » Un engagement chiffré et contractuel vous protège et responsabilise votre prestataire.

Conseil : Demandez à voir la clause RTO/RPO dans votre contrat de maintenance.

Question 2 : La souveraineté

La question à poser : « Qui détient les mots de passe administrateur globaux de mon entreprise ? »

Mauvaise réponse : « C'est nous qui gérons, vous n'en avez pas besoin. » C'est une prise d'otage technique. Si vous changez de prestataire, vous êtes bloqué.

Bonne réponse : « Ils sont dans un coffre-fort numérique sécurisé dont vous avez l'accès bris de glace en cas d'urgence absolue. » Vous restez maître de votre infrastructure, même en cas de rupture avec le prestataire.

Conseil : Exigez un accès d'urgence documenté et testé annuellement.

Question 3 : La sécurité du prestataire

La question à poser : « Comment sécurisez-vous VOS propres accès à mon réseau ? »

Mauvaise réponse : « On a un VPN standard. » Un VPN seul ne suffit plus. Si le prestataire est compromis, vous l'êtes aussi.

Bonne réponse : « Nos techniciens utilisent une authentification forte (MFA), des postes dédiés, et chaque accès chez vous est tracé et audité. » Un prestataire sérieux applique à lui-même les règles qu'il vous recommande.

Conseil : Demandez le rapport d'audit de leur propre sécurité (certification ISO 27001 ou label ExpertCyber).

Question 4 : La preuve de sauvegarde

La question à poser : « Quand avez-vous testé une restauration complète pour la dernière fois ? »

Mauvaise réponse : « Les logs de sauvegarde sont verts tous les jours. » Un fichier peut être « vert » mais corrompu. Seul un test réel prouve que la restauration fonctionne.

Bonne réponse : « Le [Date], nous avons restauré le serveur Compta sur un environnement de test. Voici le rapport de succès. » Un test documenté avec date et rapport = une vraie garantie de reprise d'activité.

Conseil : Exigez un test de restauration trimestriel avec rapport écrit.

Question 5 : Les mises à jour (Patching)

La question à poser : « Si une faille critique sort ce soir, quand sera-t-elle corrigée chez nous ? »

Mauvaise réponse : « Lors de notre prochaine maintenance mensuelle. » Trop tard ! Une faille critique exploitée en 24-48h peut détruire votre entreprise.

Bonne réponse : « Nos outils automatisés appliquent les correctifs de sécurité critiques sous 24h à 72h maximum. » La réactivité sur les failles critiques est un indicateur clé de maturité.

Conseil : Vérifiez que votre contrat inclut un SLA de patching critique inférieur à 72h.

Question 6 : L'exposition extérieure

La question à poser : « Combien de ports sont ouverts sur notre pare-feu depuis l'extérieur ? »

Mauvaise réponse : « Je ne sais pas de tête / Il faut que tout soit ouvert pour que ça marche. » Chaque port ouvert est une porte d'entrée potentielle. L'ignorance est dangereuse.

Bonne réponse : « Uniquement le strict nécessaire (VPN, Web). Tout le reste est fermé par défaut (Politique Deny All). » La règle d'or : tout est fermé sauf ce qui est explicitement autorisé et documenté.

Conseil : Demandez un scan de vulnérabilité externe annuel avec rapport.

Question 7 : La sensibilisation

La question à poser : « Avez-vous testé la vigilance de mes équipes récemment ? »

Mauvaise réponse : « On a envoyé une note de service l'an dernier. » Une note de service ne change pas les comportements. 90% des attaques passent par l'humain.

Bonne réponse : « Oui, nous avons lancé une fausse campagne de phishing le mois dernier. 12% des employés ont cliqué, nous allons former ces personnes. » Des tests réguliers + formation ciblée = réduction mesurable du risque humain.

Conseil : Mettez en place des campagnes de phishing simulé trimestrielles.

Question 8 : L'obsolescence

La question à poser : « Avons-nous du matériel ou des logiciels qui ne reçoivent plus de mises à jour de sécurité ? »

Mauvaise réponse : « Tant que ça marche, on ne change pas. » Danger critique ! Un système obsolète est une cible facile, sans correctif possible.

Bonne réponse : « Nous avons un inventaire. Tout est à jour sauf le serveur d'archives qui est isolé du réseau pour éviter les risques. » L'inventaire + l'isolation des systèmes obsolètes = gestion maîtrisée du risque.

Conseil : Exigez un inventaire du parc avec les dates de fin de support.

Question 9 : La documentation

La question à poser : « Si votre technicien principal est indisponible, qui sait comment fonctionne mon réseau ? »

Mauvaise réponse : « Ne vous inquiétez pas, il n'est jamais malade. » Dépendre d'une seule personne = risque majeur. Accident, démission, congés...

Bonne réponse : « Votre architecture est documentée dans notre outil de gestion (schémas, procédures), accessible par toute notre équipe technique. » Une documentation à jour garantit la continuité, quel que soit l'interlocuteur.

Conseil : Demandez à voir le schéma réseau et la documentation de votre infrastructure.

Question 10 : La surveillance continue (Plan de crise)

La question à poser : « Si un ransomware s'active un samedi à 23h, comment êtes-vous alerté ? »

Mauvaise réponse : « On verra lundi matin quand on rallumera les ordinateurs. » En 48h, vos données sont chiffrées, vos sauvegardes compromises, et votre assureur refuse l'indemnisation.

Bonne réponse : « Nous avons un SOC (Security Operations Center) qui surveille votre infrastructure 24/7. Toute anomalie déclenche une alerte automatique et une réaction immédiate. » Une surveillance continue avec détection comportementale = l'attaque est bloquée avant que les dégâts ne soient irréversibles.

Conseil : Vérifiez que ce SOC surveille bien tous vos actifs critiques (serveurs, postes, accès cloud). Demandez un rapport mensuel d'incidents détectés.

Grille de scoring

Comptez le nombre de « bonnes réponses » obtenues lors de votre entretien :

Score 8-10 sur 10 : Niveau MAÎTRISÉ. Bravo ! Votre prestataire semble sérieux. Maintenez la vigilance.

Score 5-7 sur 10 : Niveau À SURVEILLER. Des lacunes existent. Exigez un plan d'amélioration sous 3 mois.

Score 0-4 sur 10 : Niveau CRITIQUE. Danger ! Envisagez sérieusement un audit indépendant ou un changement de prestataire.

Conclusion

Si votre prestataire actuel bégaye sur plus de 3 questions, votre niveau de risque est plus élevé que vous ne le pensez. L'informatique ne doit pas être une boîte noire. Vous avez le droit d'avoir des réponses claires, en français, avec des engagements écrits.

Pour aller plus loin, consultez notre guide complémentaire : comment piloter la cybersécurité en tant que dirigeant, qui détaille la méthode pas à pas pour reprendre la main sur votre gouvernance IT.

Passez à l'action

Discutons de vos réponses lors d'un café visio de 15 min (sans engagement)

Téléphone : +33 5 46 05 23 22

Email : contact@groupe-maiano.com

Site : groupe-maiano.com

Votre partenaire cybersécurité de confiance en Nouvelle-Aquitaine : Bordeaux, La Rochelle, Limoges