Diagnostic cybersécurité : guide complet, étapes, types et choix 2026
Aurélien Fontevive
TL;DR : définition éclair
Un diagnostic cybersécurité est une évaluation structurée du niveau de protection d’une organisation contre les cyber-menaces.
Il combine audit organisationnel, tests techniques (pentest, scans) et recommandations afin de quantifier les risques, prioriser les actions et préparer la conformité (ISO 27001, NIS 2, DGA, etc.).
Exemple : Une PME de 30 salariés utilise le service « Cyberdiag Standard » : audit du SI, scan de vulnérabilités internes et externes, et livrable de 15 actions classées par priorité.
1. Pourquoi réaliser un diagnostic ?
| Bénéfice | Impact business |
|---|---|
| Visibilité du risque | Réduit la probabilité de rupture d’activité de 30 % (étude ENISA 2025) |
| Conformité réglementaire | Permet le passage de l’audit ISO 27001 et de la directive NIS 2 sans pénalité |
| Priorisation des investissements | ROI moyen de 3,5 × sur les mesures « quick-win » |
| Crédibilité auprès des partenaires | Facilite les appels d’offres et les exigences de la chaîne d’approvisionnement |
2. Les grandes familles de diagnostics
| Type | Accès aux informations | Méthodologie | Coût moyen | Quand le choisir |
|---|---|---|---|---|
| Boîte noire (Black Box) | Aucune | Simule un attaquant externe | 2 000 € - 5 000 € | Exposition publique, besoin de tester la surface d’attaque |
| Boîte grise (Grey Box) | Accès limité (compte utilisateur, docs) | Combinaison externalité + connaissance interne | 3 000 € - 7 000 € | Évaluation réaliste d’un insider ou d’un fournisseur |
| Boîte blanche (White Box) | Code source, accès admin | Analyse exhaustive, revue de code, tests de pénétration | 5 000 € - 12 000 € | Applications critiques, conformité PCI-DSS, développement sécurisé |
Ces fourchettes sont actualisées 2026 et varient selon la portée (ex. API seule vs SI complet).
3. Étapes d’un diagnostic cybersécurité typique
| Étape | Objectif | Livrable clé |
|---|---|---|
| 1️⃣ Pré-cadrage (30 min - 2 h) | Aligner les attentes, définir le périmètre, identifier les parties prenantes | Plan de projet « Scope » |
| 2️⃣ Audit organisationnel | Évaluer les politiques, la gouvernance, la sensibilisation | Tableau de conformité (ISO 27001, NIS 2) |
| 3️⃣ Tests techniques (scan vuln., pentest, configuration) GPU Rowhammer attacks | Détecter les failles techniques (services, mots de passe, configurations cloud) | Rapport de vulnérabilités (CVSS ≥ 4) |
| 4️⃣ Analyse des résultats | Prioriser les risques selon impact et complexité | Matrice de priorisation (quick-win, moyen, long terme) |
| 5️⃣ Feuille de route | Fournir un plan d’action détaillé avec échéances et budget estimé | Document « Road-map » remis au comité de direction |
| 6️⃣ Restitution & suivi | Présenter les résultats, former les équipes, définir les KPI de suivi | Session de présentation + tableau de bord mensuel |
4. Choisir le bon niveau de service (Standard / Premium / Sur-mesure)
| Offre | Ce qui est inclus | Durée estimée | Prix TTC | Idéal pour |
|---|---|---|---|---|
| Standard | Audit organisationnel + 1 test technique (interne ou externe) + plan d’action | 4 jours | 8 800 € HT (subvention 32 % possible) | PME ≤ 50 salariés, première démarche |
| Premium | Standard + tests internes et externes + 2 sessions de sensibilisation + tableau de suivi | 8 jours | 14 500 € HT | ETI, exigences NIS 2, forte exposition cloud |
| Sur-mesure | Modules additionnels : audit Wi-Fi, campagne phishing, audit de code, conformité RGPD | Variable | Sur devis | Secteurs réglementés (finance, santé), projets critiques |
5. Checklist auto-évaluation (5 min)
- Mots de passe : Tous les comptes critiques utilisent au minimum 12 caractères et MFA ?
- Mises à jour : Tous les serveurs et postes sont à jour (patch ≤ 30 jours) ?
- Sauvegardes : Tests de restauration réussis au moins une fois par mois ?
- Sensibilisation : Formations phishing réalisées Formation cybersecurité sans diplôme pour > 80 % du personnel ?
- Visibilité : Inventaire des actifs (hardware, cloud, SaaS) complet et classé par criticité ?
Si vous avez répondu « non » à plus de deux questions, lancez immédiatement un diagnostic cybersécurité.
6. Cas d’usage concrets (2026)
| Entreprise | Périmètre diagnostiqué | Résultat principal | Action clé mise en place |
|---|---|---|---|
| Dani Alu (Aluminium) | Site industriel + portail client | Réduction du score de risque de 45 % (SecurityScoreCard) | Mise en place d’un WAF et renforcement MFA |
| Puressentiel (Cosmétiques) | Infrastructure cloud Azure | Détection d’une fuite de données via bucket mal configuré | Déploiement d’une politique de chiffrement côté serveur |
| Airwell (HVAC) | Contrôle d’accès aux PLC | Vulnérabilité « default credentials » sur les contrôleurs | Rotation des mots de passe et segmentation réseau |
7. Pièges à éviter
| Piège | Conséquence | Comment l’éviter |
|---|---|---|
| Faire l’audit en interne uniquement | Biais, manque de vision extérieure | Faire appel à un tiers certifié (ANSSI, CREST) |
| Ne pas formaliser les recommandations | Mise en œuvre irrégulière, perte de suivi | Utiliser une feuille de route avec indicateurs (RAG) |
| Sous-estimer les risques liés aux tiers | Chaîne d’approvisionnement vulnérable | Inclure les fournisseurs dans le périmètre et réaliser un Supply-Chain Risk Assessment phishing OAuth attacks |
| Ignorer la phase de sensibilisation | Risque de phishing élevé | Planifier des campagnes de simulation régulières |
8. FAQ rapides
Q : Un diagnostic est-il obligatoire ?
R : Non, mais il est fortement recommandé par l’ANSSI et devient souvent une exigence contractuelle (ex. clause DGA).
Q : Combien de temps dure le processus ?
R : De 2 jours (auto-audit limité) à 8 jours (audit complet avec tests internes + externes).
Q : Quels labels garantissent la qualité du prestataire ?
R : CREST, ISO 27001, ISO 27701, certification « ExpertCyber » (AFNOR) sont largement reconnus.
Q : Puis-je financer le diagnostic ?
R : Oui : Bpifrance subventionne jusqu’à 32 % (ex. 4 400 € HT pour les PME), la DGA jusqu’à 50 % pour les entreprises du secteur Défense, et plusieurs régions offrent des aides spécifiques (ex. « Cyber PME » 2026).
Q : Quand faut-il répéter le diagnostic ?
R : Au minimum annuellement, ou après chaque gros changement d’infrastructure (migration cloud, lancement de produit, acquisition).
9. Ressources utiles (2026)
- Guide officiel NIS 2 - ANSSI
- Observatory Mozilla - État de l’art HTTP : https://observatory.mozilla.org/
- Lynis (audit Linux) - https://github.com/CISOfy/lynis
- SecurityScoreCard - Analyse de surface externe : https://securityscorecard.com/
- CNIL - Guide de conformité RGPD - https://www.cnil.fr
10. Décider rapidement : quel diagnostic choisir ?
Si vous avez < 50 salariés et que vous débutez, optez pour le Diagnostic Standard (pré-cadrage + audit organisationnel + un test technique).
Si vous êtes soumis à la directive NIS 2 ou à la DGA, choisissez le Diagnostic Premium (double test + sensibilisation).
Si vous avez une application critique (API, paiement, IoT), investissez dans un audit sur-mesure (boîte blanche + revues de code).
En résumé, un diagnostic cybersécurité n’est plus un luxe : c’est une boussole stratégique qui vous protège, vous rend conforme et vous différencie auprès de vos partenaires. Commencez dès aujourd’hui avec la checklist ci-détectée, puis faites appel à un prestataire certifié pour obtenir une feuille de route adaptée à votre contexte. 🚀