Question 1

NIS2 — suis-je concerné si je suis une PME française ?

Accepted Answer

NIS2 (directive UE 2022/2555, transposée en droit français par le projet de loi de 2024 et applicable depuis le 17 octobre 2024) concerne deux catégories : les "entités essentielles" (énergie, santé, transports, banque, cloud, etc.) ET les "entités importantes" (services numériques, industrie critique, agroalimentaire, services postaux, déchets…). Seuil général : 50 salariés ou 10 M€ de CA, mais certains secteurs sont concernés dès la moindre activité. Concrètement, beaucoup plus de PME sont dans le périmètre qu'avant NIS1. On vous aide à qualifier votre statut en 1 h d'échange, puis à bâtir la gouvernance minimale : gestion des risques, déclaration d'incident sous 24 h à l'ANSSI, formation dirigeants, preuves documentaires. Sanction maximale : 10 M€ ou 2 % du CA mondial pour les entités essentielles.

Question 2

C'est quoi un pentest et en quoi c'est différent d'un scan de vulnérabilités ?

Accepted Answer

Un scan de vulnérabilités est automatisé (Nessus, Qualys, OpenVAS) : il identifie les CVE connues présentes sur votre infra. Utile, mais n'exploite rien et génère beaucoup de faux positifs. Un pentest est manuel : un auditeur humain tente réellement de compromettre votre système en enchaînant plusieurs failles, comme le ferait un attaquant. Il trouve des défauts de logique métier (escalade de privilège, IDOR, chaînage SSRF → RCE) qu'aucun scanner ne voit. On combine les deux : scan en continu pour la couverture large, pentest annuel sur zones critiques pour la profondeur. Méthodologie OWASP WSTG + OWASP API Security Top 10, rapport CVSS 4.0 avec preuves d'exploitation reproductibles.

Question 3

DORA — quelles obligations concrètes depuis janvier 2025 ?

Accepted Answer

DORA (règlement UE 2022/2554) est applicable depuis le 17 janvier 2025 à toute la chaîne financière européenne : banques, assureurs, fintechs, PSP, MAIS aussi leurs prestataires TIC critiques (cloud, SaaS, éditeurs). Cinq piliers : (1) gouvernance du risque TIC au niveau direction, (2) gestion d'incident avec classification et reporting réglementaire, (3) tests de résilience (pentest avancé TLPT obligatoire pour les acteurs significatifs tous les 3 ans), (4) gestion du risque tiers avec contrats renforcés, (5) partage d'information sur les menaces. Si vous fournissez un SaaS à une banque ou un assureur, ils vont vous demander un contrat DORA-compliant — on vous aide à vous mettre à niveau.

Question 4

Combien coûte un pentest pour un site web + API + infra cloud ?

Accepted Answer

Le budget dépend de trois variables : le périmètre (site vitrine vs app métier avec 50 endpoints API), la profondeur (boîte noire, grise ou blanche — on recommande grise : on vous donne un compte utilisateur), et la durée (3 à 15 jours d'auditeur). Pour une PME, comptez généralement un pentest sur l'app principale chaque année + un scan continu en continu. Nos rapports sont utilisables pour répondre à un questionnaire sécurité client, une cyber-assurance (AXA, Hiscox, Generali demandent tous un audit récent) ou une certification ISO 27001. Devis précis sous 24 h après un appel de cadrage de 30 min.

Question 5

MFA — pourquoi FIDO2 / passkeys plutôt que SMS ou TOTP ?

Accepted Answer

Les MFA par SMS sont compromis depuis longtemps (SIM swap, interception SS7) et le NIST les a retirés des recommandations en 2020. Les TOTP (Google Authenticator, Authy) sont mieux mais phishable : un site frauduleux relais le code en temps réel. FIDO2 / passkeys (WebAuthn) résistent structurellement au phishing parce que la clé cryptographique est liée à l'origine (domaine) et ne quitte jamais l'appareil. Adoption 2026 : iOS 17+, Android 14+, tous les navigateurs modernes, Entra ID, Google Workspace, Okta. Pour une PME, déploiement en 2-3 semaines : YubiKey physiques pour les admins (résistant même si le laptop est compromis), passkeys biométriques sur iPhone/Android pour les collaborateurs. Fin des attaques par phishing de credentials.

Question 6

Faut-il chiffrer les données personnelles ? RGPD et chiffrement

Accepted Answer

Le RGPD (article 32) impose des mesures techniques appropriées — il ne rend pas le chiffrement explicitement obligatoire, mais la CNIL et la jurisprudence considèrent qu'il est attendu dès que des données sensibles sont stockées. Concrètement : chiffrement at-rest systématique (disques Vercel/AWS EBS/Azure Disk, BDD Postgres avec TDE ou pgcrypto pour les champs sensibles), chiffrement in-transit TLS 1.3 obligatoire partout, chiffrement applicatif pour les PII très sensibles (numéro de sécu, données de santé) avec KMS (AWS KMS, HashiCorp Vault). Bonus : en cas de violation de données, le chiffrement fort peut vous dispenser de notifier les personnes concernées (article 34 §3.a).

Question 7

Comment gérer les secrets (API keys, mots de passe de service) sans les mettre dans le code ?

Accepted Answer

Règle d'or : aucun secret dans Git, jamais. Stack recommandée 2026 : (1) HashiCorp Vault ou Doppler pour le coffre central, (2) injection au runtime via variables d'environnement gérées par la plateforme (Vercel env vars chiffrées, AWS Secrets Manager, Azure Key Vault), (3) rotation automatique trimestrielle des secrets longs-vivants, (4) scanner Git (GitGuardian, TruffleHog) en pré-commit ET côté serveur pour bloquer les fuites, (5) secrets à durée de vie courte via OIDC pour CI/CD (GitHub Actions → AWS sans clé statique). Un audit initial trouve presque toujours des secrets en clair dans le code ou les logs — c'est l'un des premiers trous qu'on bouche.

Question 8

Cyber-assurance — est-ce utile pour une PME et qu'est-ce qu'on demande ?

Accepted Answer

La cyber-assurance est devenue de facto obligatoire pour toute PME traitant des données sensibles ou dépendant du numérique. Couverture type : frais de remédiation, rançon (avec conditions), perte d'exploitation, frais légaux RGPD, notification aux personnes concernées. Assureurs 2026 (AXA, Hiscox, Generali, Coalition) demandent systématiquement : MFA sur tous les comptes admin, sauvegardes air-gappées testées, EDR sur les postes, patch management documenté, pentest annuel, formation phishing. Sans ces prérequis, primes x2-x3 ou refus pur. On vous met à niveau de ces exigences pour obtenir un bon tarif — le coût de l'audit est souvent amorti en 1 an via la baisse de prime.

Question 9

IA et cybersécurité — quels sont les nouveaux risques en 2026 ?

Accepted Answer

Trois menaces concrètes qui explosent. (1) Phishing IA-généré : copies indiscernables d'emails internes, personnalisées avec les données LinkedIn/RH scrapées — les anciens indices (fautes, formulations bizarres) ont disparu. Défense : MFA FIDO2 + training basé sur le comportement, pas le texte. (2) Deepfake vocal : fraude au président via appel téléphonique synthétique de 30 secondes (cas Arup 2024, 25 M$ détournés). Défense : procédure de double validation hors canal pour tout virement > seuil. (3) Prompt injection dans les LLM de votre entreprise : un document uploadé peut détourner un agent IA pour exfiltrer des données. Défense : sandboxing des outputs, guardrails LlamaGuard, validation des actions sensibles. On couvre ces 3 scénarios dans nos formations.

Question 10

Mon site a été compromis, quoi faire dans les 24 premières heures ?

Accepted Answer

Ordre d'action. (1) NE PAS payer la rançon (ANSSI, FBI, CERT-FR : consensus ferme). (2) Isoler le système compromis du réseau, ne pas éteindre (on perd la mémoire vive = preuves). (3) Appeler un CERT ou notre équipe en urgence (on répond < 4 h sur nos clients sous contrat). (4) Notifier la CNIL sous 72 h si données personnelles concernées (obligation RGPD article 33), porter plainte auprès de la brigade de répression de la criminalité informatique. (5) Communication de crise préparée, pas improvisée. (6) Analyse forensique : comment, par où, depuis quand — indispensable pour l'assureur ET pour éviter la récidive. (7) Reconstruction à partir de sauvegardes propres, pas de restauration "à chaud" du système infecté. On intervient sur ce type de mission en mode incident — forfait fixe 48 h pour stabiliser.

Cybersécurité pour PME — sérieuse, pas paranoïaque.

Les atouts de notre offre

Test d'intrusion par un expert

Conformité aux règles européennes

Comment nous procédons

Diagnostic & cartographie des risques

Audit technique & test d'intrusion

Questions fréquentes

NIS2 — suis-je concerné si je suis une PME française ?

C'est quoi un pentest et en quoi c'est différent d'un scan de vulnérabilités ?

DORA — quelles obligations concrètes depuis janvier 2025 ?

Combien coûte un pentest pour un site web + API + infra cloud ?

Pour aller plus loin dans votre choix

Agence vs Freelance

Services complémentaires

Solutions sur mesure

Création de site web

Lancez votre projet

Sécurisation de votre cloud

Sécurité dès la conception du code

Connexions sécurisées modernes

Données personnelles protégées (RGPD)

Plan d'urgence en cas d'attaque

Vos équipes formées contre le piratage

Sauvegardes vraiment fiables

Correction & renforcement

Pilotage & sécurité dans la durée

MFA — pourquoi FIDO2 / passkeys plutôt que SMS ou TOTP ?

Faut-il chiffrer les données personnelles ? RGPD et chiffrement

Comment gérer les secrets (API keys, mots de passe de service) sans les mettre dans le code ?

Cyber-assurance — est-ce utile pour une PME et qu'est-ce qu'on demande ?

IA et cybersécurité — quels sont les nouveaux risques en 2026 ?

Mon site a été compromis, quoi faire dans les 24 premières heures ?

Référencement SEO & SEA

Cybersécurité pour PME — sérieuse, pas paranoïaque.

Les atouts de notre offre

Test d'intrusion par un expert

Conformité aux règles européennes

Comment nous procédons

Diagnostic & cartographie des risques

Audit technique & test d'intrusion

Questions fréquentes

NIS2 — suis-je concerné si je suis une PME française ?

C'est quoi un pentest et en quoi c'est différent d'un scan de vulnérabilités ?

DORA — quelles obligations concrètes depuis janvier 2025 ?

Combien coûte un pentest pour un site web + API + infra cloud ?

Pour aller plus loin dans votre choix

Agence vs Freelance

Services complémentaires

Solutions sur mesure

Création de site web

Lancez votre projet

Voir aussi.

Sécurisation de votre cloud

Sécurité dès la conception du code

Connexions sécurisées modernes

Données personnelles protégées (RGPD)

Plan d'urgence en cas d'attaque

Vos équipes formées contre le piratage

Sauvegardes vraiment fiables

Correction & renforcement

Pilotage & sécurité dans la durée

MFA — pourquoi FIDO2 / passkeys plutôt que SMS ou TOTP ?

Faut-il chiffrer les données personnelles ? RGPD et chiffrement

Comment gérer les secrets (API keys, mots de passe de service) sans les mettre dans le code ?

Cyber-assurance — est-ce utile pour une PME et qu'est-ce qu'on demande ?

IA et cybersécurité — quels sont les nouveaux risques en 2026 ?

Mon site a été compromis, quoi faire dans les 24 premières heures ?

Référencement SEO & SEA