En tant que dirigeant de TPE ou PME, vous déléguez une partie de votre activité à des prestataires externes : comptables, hébergeurs web, sous-traitants informatiques, ou encore cabinets de paie. Ces partenaires, bien que compétents dans leur domaine, peuvent involontairement exposer votre entreprise à des cybermenaces.
Une étude récente de l’ANSSI révèle que plus de la moitié des cyberattaques subies par les PME en 2025 trouvent leur origine dans une faille chez un fournisseur ou un sous-traitant.
Le problème ? La plupart des dirigeants ne savent pas quelles questions poser pour évaluer le niveau de sécurité de leurs partenaires. Pourtant, quelques interrogations ciblées permettent de détecter les failles avant qu’elles ne deviennent des catastrophes. Voici comment aborder ce sujet avec vos prestataires, sans jargon technique ni investissement lourd.
1. « Quelles mesures utilisez-vous pour sécuriser les accès à distance ? »
Cette question vise à comprendre comment vos prestataires protègent les connexions à vos données ou à vos systèmes. Beaucoup d’attaques exploitent des accès distants mal sécurisés : un mot de passe trop simple, une absence de chiffrement, ou l’absence de double authentification.
Que chercher dans la réponse ? Votre prestataire doit mentionner au moins deux des éléments suivants :
- L’utilisation d’un VPN (réseau privé virtuel) pour chiffrer les échanges.
- La double authentification (un code envoyé par SMS ou une application dédiée en plus du mot de passe).
- Des mots de passe robustes et uniques, changés régulièrement.
Exemple concret : Un expert-comptable qui se connecte à votre logiciel de gestion doit utiliser un VPN et une double authentification. Si ce n’est pas le cas, vos données financières sont vulnérables.
Que faire si la réponse est vague ? Demandez des précisions : « Pouvez-vous me décrire la procédure exacte pour accéder à nos données ? » Une réponse évasive doit vous alerter.
2. « Comment gérez-vous les sauvegardes de nos données ? »
Les sauvegardes sont votre filet de sécurité en cas de cyberattaque, de panne, d’incendie ou d’erreur humaine. Pourtant, beaucoup de prestataires négligent cette étape, ou la réalisent sans précautions suffisantes.
Que chercher dans la réponse ?
- Les sauvegardes doivent être automatiques et régulières (quotidiennes ou hebdomadaires).
- Elles doivent être chiffrées et stockées hors ligne (sur un serveur isolé ou un support physique non connecté à internet).
- Le prestataire doit tester régulièrement la restauration des données pour s’assurer qu’elles sont exploitables.
Cas réel : Une PME a perdu trois mois de facturation après une attaque par ransomware. Son prestataire informatique sauvegardait bien les données, mais ne les avait jamais testées : les fichiers étaient corrompus.
Que faire si la réponse est insuffisante ? Exigez un rapport de sauvegarde ou une démonstration de restauration. Si le prestataire ne peut pas vous le fournir, envisagez un autre partenaire.
3. « Avez-vous une politique de gestion des mots de passe ? »
Les mots de passe restent la première ligne de défense contre les intrusions. Pourtant, beaucoup d’entreprises et de prestataires utilisent encore des mots de passe faibles ou les réutilisent sur plusieurs services.
Que chercher dans la réponse ?
- L’utilisation d’un gestionnaire de mots de passe (comme Bitwarden ou 1Password) pour générer et stocker des mots de passe complexes.
- Une obligation de changement régulier (tous les 3 à 6 mois).
- L’interdiction de réutiliser un même mot de passe sur plusieurs services.
Exemple : Un prestataire qui utilise « azerty123 » pour accéder à votre espace client est une cible facile pour les pirates.
Que faire si la réponse est inquiétante ? Proposez des outils gratuits ou peu coûteux pour améliorer leur gestion des mots de passe. Montrez que c’est aussi dans leur intérêt.
4. « Comment sensibilisez-vous vos équipes aux cybermenaces ? »
Les erreurs humaines (clic sur un lien malveillant, ouverture d’une pièce jointe infectée) sont à l’origine de la majorité des cyberattaques. Vos prestataires doivent former leurs équipes pour limiter ces risques.
Que chercher dans la réponse ?
- Des formations régulières (au moins une fois par an) sur les bonnes pratiques.
- Des tests de phishing pour évaluer la vigilance des employés.
- Une procédure claire en cas de suspicion d’attaque (qui contacter, comment isoler le problème).
Cas pratique : Un cabinet d’expertise comptable a évité une attaque grâce à une formation de ses collaborateurs. L’un d’eux a repéré un email suspect et alerté l’équipe IT avant qu’il ne soit trop tard.
Que faire si la réponse est floue ? Suggérez des ressources gratuites, comme les modules de formation de l’ANSSI ou de la CNIL. Insistez sur l’importance de cette démarche pour la sécurité de vos données communes.
5. « Avez-vous déjà été victime d’une cyberattaque ? Si oui, comment avez-vous réagi ? »
Cette question permet d’évaluer la transparence et la réactivité de votre prestataire. Une entreprise qui a déjà subi une attaque et en a tiré des leçons est souvent mieux préparée qu’une entreprise qui pense être à l’abri.
Que chercher dans la réponse ?
- Une reconnaissance honnête de l’incident, sans minimisation.
- Une description des mesures correctives mises en place (renforcement des accès, audit de sécurité, etc.).
- Une procédure de communication en cas de nouvelle attaque (qui est prévenu, dans quel délai).
Exemple : Un hébergeur web qui a subi une attaque il y a deux ans et a depuis investi dans un audit annuel et une surveillance 24/7 est un partenaire plus fiable qu’un hébergeur qui prétend n’avoir jamais eu de problème.
Que faire si la réponse est évasive ? C’est un signal d’alerte. Un prestataire sérieux doit être transparent sur ses failles passées et les actions engagées pour les corriger.
Poser ces cinq questions à vos prestataires ne prend pas plus d’une demi-heure par partenaire, mais peut vous éviter des mois de perturbations, des pertes financières, ou une atteinte à votre réputation. L’objectif n’est pas de devenir un expert en cybersécurité, mais de s’assurer que vos partenaires prennent ce sujet au sérieux.