☎ 03.65.89.07.57 ✉ cmoisan@mederi-consulting.fr
Amiens • Creil • Hauts-de-France
🛡️Mettez votre entreprise à l'abri des cyber-attaques

❓ Foire aux questions cybersécurité

Toutes les réponses claires aux questions que se posent les dirigeants de PME : réglementations (NIS2, DORA, RGPD), audits, ransomware, sauvegardes, MFA, EDR, Cloud, BPI France 2030...

Qu'est-ce que la directive NIS2 ?Réglementation

NIS2 (Network and Information Security 2) est la directive européenne de cybersécurité entrée en vigueur en France par la loi du 30 avril 2025. Elle impose des obligations de sécurité — gouvernance, gestion des risques, notification d'incidents sous 24h, continuité d'activité — à environ 15 000 entités françaises : entreprises de plus de 50 salariés ou 10 M€ de CA dans 18 secteurs critiques (énergie, transport, santé, banque, eau, espace, services numériques, fabrication, administration publique...).

Sanctions : jusqu'à 10 M€ ou 2% du CA mondial.

Qu'est-ce que DORA et qui est concerné ?Réglementation

DORA (Digital Operational Resilience Act) est le règlement européen applicable depuis le 17 janvier 2025. Il s'adresse au secteur financier : banques, assurances, gestionnaires d'actifs, plateformes de négociation, prestataires de services crypto.

5 piliers : gestion du risque TIC, notification d'incidents majeurs, tests de résilience opérationnelle, gestion du risque tiers (fournisseurs IT critiques), partage d'informations sur les menaces. Sanctions jusqu'à 1% du CA quotidien moyen pendant 6 mois.

Qu'est-ce que le RGPD et que dois-je faire ?Réglementation

Le RGPD s'applique à toute entité traitant des données personnelles d'européens depuis mai 2018. Obligations clés pour une PME :

Registre des traitements à jour
• Base légale claire pour chaque traitement
• Durée de conservation définie
• Droits des personnes (accès, rectification, effacement)
• Sécurité des données (chiffrement, MFA, sauvegardes)
Notification à la CNIL sous 72h en cas de fuite

Sanctions : jusqu'à 20 M€ ou 4% du CA mondial.

Qu'est-ce que la certification ISO 27001 ?Réglementation

ISO 27001 est la norme internationale de référence pour le management de la sécurité de l'information. Elle structure un SMSI (Système de Management de la Sécurité de l'Information) basé sur 93 mesures organisées en 4 thèmes : organisationnel, humain, physique, technologique.

Certification valable 3 ans avec audit annuel de surveillance. Délai pour une PME : 8 à 18 mois. Devient quasi-obligatoire pour les sous-traitants de grands comptes, santé ou finance.

Combien coûte un audit de cybersécurité ?Audits & coûts

Le coût varie selon la taille et la complexité :

Diagnostic BPI France 2030 : 4 000 à 8 000 € HT (cofinancé jusqu'à 50% ETI, 32% TPE/PME)
Audit approfondi + tests d'intrusion : 8 000 à 25 000 € HT
Audit ISO 27001 de pré-certification : 10 000 à 30 000 € HT

MEDERI propose une évaluation initiale gratuite de 1H pour cadrer votre besoin.

Combien de temps prend un audit complet ?Audits & coûts

Selon le format :

Auto-diagnostic en ligne : 3 minutes
Diagnostic approfondi MEDERI (gratuit) : 2 heures + restitution
Diag Cyber BPI France 2030 : 5 à 10 jours
Pentest externe PME : 5 à 15 jours
ISO 27001 pré-certification : 4 à 8 semaines

Rapport livré sous 48 à 72 heures après la fin des travaux.

Qu'est-ce qu'un Pentest (test d'intrusion) ?Audits & coûts

Un Pentest simule une vraie attaque cyber par un expert mandaté pour identifier vos vulnérabilités exploitables. Trois grands types :

Pentest externe : simule un attaquant depuis Internet
Pentest interne : simule un collaborateur malveillant ou un poste compromis
Pentest applicatif : test approfondi d'une appli web ou mobile

Tarif PME : 3 000 à 15 000 € HT. À réaliser au moins annuellement.

Qu'est-ce que le Diag Cyber BPI France 2030 ?Audits & coûts

Dispositif d'accompagnement cofinancé par BPI France dans le cadre du plan France 2030. Il finance jusqu'à 50% du diagnostic pour les ETI et 32% pour les TPE/PME, dans la limite de 14 000 € HT.

Cible : entreprises de moins de 5 000 salariés (hors secteurs réglementés). Réalisé par un prestataire référencé BPI comme MEDERI, il aboutit à un plan d'actions priorisé et chiffré.

Qu'est-ce que le MFA et est-ce vraiment indispensable ?Technique

Le MFA (Multi-Factor Authentication) ajoute un second facteur après le mot de passe : code SMS, application authentificator, clé physique. Selon Microsoft, le MFA bloque 99,9% des attaques automatisées de vol de compte.

C'est la mesure n°1 à déployer : messagerie pro, VPN, outils cloud (Microsoft 365, Google Workspace), comptes administrateurs. Privilégier l'application ou la clé physique au SMS (vulnérable au SIM-swap).

Qu'est-ce qu'un EDR / XDR ?Technique

L'EDR (Endpoint Detection & Response) est la nouvelle génération d'antivirus : il détecte les comportements suspects en temps réel, permet l'investigation post-incident et peut isoler automatiquement un poste compromis.

Le XDR étend cette logique au-delà des postes : serveurs, cloud, réseau, identités. Pour une PME, un EDR moderne (SentinelOne, CrowdStrike, Defender for Business) est désormais indispensable — l'antivirus classique est dépassé face aux ransomwares.

Qu'est-ce que SPF, DKIM et DMARC ?Technique

Ce sont les 3 standards qui empêchent l'usurpation de votre domaine email (spoofing).

SPF : liste les serveurs autorisés à envoyer en votre nom
DKIM : signe cryptographiquement chaque mail sortant
DMARC : dit aux serveurs receveurs quoi faire en cas d'échec

Sans ces 3 enregistrements DNS, n'importe qui peut envoyer des emails au nom de votre entreprise. Testez gratuitement votre domaine →

Mes sauvegardes sont-elles suffisantes ?Technique

Test simple : avez-vous testé une restauration complète dans les 6 derniers mois ? Sinon, vos sauvegardes ne sont PAS sûres.

Appliquez la règle 3-2-1-1-0 : 3 copies, sur 2 supports différents, dont 1 hors site, dont 1 immuable (anti-ransomware), avec 0 erreur lors du dernier test de restauration.

Les ransomwares modernes ciblent volontairement les sauvegardes en premier : un NAS connecté ou une sauvegarde sur le même domaine AD ne protège plus.

Cloud ou hébergement on-premise : quel choix sécurité ?Technique

Pas de réponse universelle, mais 90% des PME gagnent en sécurité avec le Cloud bien configuré : patching auto, redondance native, MFA et chiffrement par défaut, expertise sécurité de l'hébergeur (Microsoft, AWS, OVHcloud SecNumCloud).

L'on-premise garde du sens pour : souveraineté des données stratégiques, conformité sectorielle, contraintes de latence ou continuité offline.

Piège : un Cloud mal configuré (droits trop ouverts, MFA absent) est moins sûr qu'un on-premise rigoureusement géré.

Que faire en cas de ransomware ?Incidents

Les premières heures sont critiques :

1. NE PAYEZ PAS la rançon (vous financez le crime et n'avez aucune garantie)
2. Isolez immédiatement les machines infectées du réseau
3. Préservez les preuves (n'éteignez pas, ne reformatez pas)
4. Contactez une cellule de crise : MEDERI 03.65.89.07.57
5. Déposez plainte
6. Notifiez la CNIL sous 72h si données personnelles
7. Signalez à cybermalveillance.gouv.fr

Faut-il déclarer une cyberattaque ?Incidents

Oui, plusieurs déclarations sont obligatoires :

CNIL sous 72h en cas de fuite de données personnelles (art. 33 RGPD)
ANSSI/CERT-FR sous 24h si vous êtes OIV, OSE ou entité NIS2
Votre assureur cyber dans les délais contractuels
Plainte gendarmerie/police (obligatoire pour indemnisation)
• Signalement à cybermalveillance.gouv.fr

Mon assurance cyber suffit-elle à couvrir le risque ?Incidents

Non, une cyber-assurance ne remplace pas la prévention :

• Les assureurs exigent désormais un niveau minimal de mesures (MFA, EDR, sauvegardes testées, PCA) — sans quoi ils refusent l'indemnisation
• L'assurance ne couvre que les pertes financières directes — pas la réputation, ni les données perdues
• Beaucoup de polices excluent les ransomwares ou plafonnent les rançons

Stratégie gagnante : prévention ET transfert de risque.

Mes salariés sont-ils mon maillon faible ?Incidents

Statistiquement oui : 70 à 80% des compromissions initiales passent par un humain (phishing, mot de passe faible, clic sur pièce jointe malveillante).

Mais cette fragilité se corrige : un programme de sensibilisation continu (formation initiale + tests de phishing simulés trimestriels + microlearning) réduit de 70 à 90% les clics sur liens malveillants en 12 mois.

Les ressources humaines doivent être traitées comme une couche de défense au même titre que les firewalls et les EDR.

Qu'est-ce qu'un DSI à temps partagé ?MEDERI

Un DSI à temps partagé est un expert qui pilote votre système d'information quelques jours par mois — entre 1 et 5 selon vos besoins.

Pour une PME, c'est l'accès aux compétences d'un Directeur des Systèmes d'Information sans le coût d'un salaire à temps plein (60 à 120 K€/an).

Il gère : stratégie IT, budgets, fournisseurs, projets de transformation, cybersécurité, conformité. MEDERI propose cette prestation pour les PME et ETI des Hauts-de-France.

Pourquoi choisir MEDERI CONSULTING ?MEDERI

Trois raisons concrètes :

1. Une expertise locale Hauts-de-France à Amiens et Creil — proximité géographique et réactivité, là où les grandes ESN sont injoignables
2. Une approche dirigeant, sans jargon — Christophe Moisan accompagne directement les chefs d'entreprise, sans intermédiaire commercial
3. Une indépendance totale vis-à-vis des éditeurs — nous recommandons ce qui convient à votre contexte

Labellisation BPI France. Partenariats WatchGuard, SentinelOne, Microsoft, Nakivo.

Une question qui n'est pas dans la liste ?

Posez-la directement à Christophe Moisan. Réponse sous 24h ouvrées.

✉ Poser ma question 📅 Prendre rendez-vous (30 min)