Cette FAQ regroupe les questions que me posent le plus souvent les dirigeants de TPE, PME et ETI. Si la vôtre n'y figure pas, n'hésitez pas à me contacter directement.
Ma PME est-elle vraiment une cible pour les cyberattaques ?
Oui. Les TPE et PME représentent la majorité des victimes recensées chaque année, précisément parce qu'elles sont moins protégées que les grands comptes. Les attaques sont la plupart du temps opportunistes : un automate balaye Internet, détecte une faille et l'exploite, sans cibler une entreprise en particulier.
Combien de temps faut-il pour sécuriser mon entreprise ?
La cybersécurité est un processus continu, pas un projet ponctuel. Cela dit, un premier diagnostic se réalise en quelques jours, et un plan d'action prioritaire peut produire des résultats visibles en quelques semaines. La maturité durable s'installe sur 12 à 24 mois selon la taille et l'état initial du système d'information.
Suis-je concerné par la directive NIS2 ?
NIS2 vise un large périmètre : entités essentielles et importantes dans l'énergie, la santé, le numérique, les transports, l'eau, l'agroalimentaire, la finance et bien d'autres secteurs. Au-delà de l'application directe, la directive ruisselle aussi sur les sous-traitants et fournisseurs. Voir la page NIS2 pour plus de détails.
Quelle est la différence entre cybersécurité et Cyber-Résilience ?
La cybersécurité cherche à empêcher les incidents : protection, détection, prévention. La Cyber-Résilience accepte l'idée qu'un incident finira par survenir et organise l'entreprise pour qu'elle continue de fonctionner pendant et après l'attaque, puis retrouve un état nominal. Les deux approches sont complémentaires et indispensables.
Faut-il payer la rançon en cas d'attaque par rançongiciel ?
La recommandation officielle de l'ANSSI est de ne pas payer : aucune garantie de récupération des données, alimentation de l'écosystème criminel, et risque accru d'être à nouveau ciblé. La priorité est de disposer en amont de sauvegardes saines, isolées et testées, et d'un plan de reprise opérationnel.
Qu'apporte un RSSI à temps partagé par rapport à un prestataire technique ?
Un prestataire technique exécute : il installe un pare-feu, configure une sauvegarde, déploie un EDR. Un RSSI à temps partagé porte la stratégie : il définit la politique de sécurité, arbitre les priorités, dialogue avec la direction, prépare les audits, et coordonne les prestataires techniques pour servir les objectifs métier. En savoir plus.
Combien coûte un accompagnement Armadura ?
Le coût dépend du périmètre, de la maturité initiale et du rythme souhaité. Un forfait de diagnostic permet de partir sur des bases saines pour un budget maîtrisé, puis l'accompagnement se calibre en jours par mois selon les besoins. Le devis est toujours établi avant engagement, sans frais cachés. Demandez un échange pour obtenir une estimation.
Mes sauvegardes me protègent-elles vraiment ?
Pas automatiquement. Une sauvegarde n'est utile que si elle est isolée du système principal (sinon elle est chiffrée avec lui), si elle couvre les bonnes données, et surtout si la restauration a été testée. Beaucoup d'entreprises découvrent en situation de crise que leurs sauvegardes sont incomplètes, corrompues ou inaccessibles.
Que faire en cas d'incident en cours ?
Garder son calme, isoler les machines suspectes du réseau (sans les éteindre, pour préserver les preuves), prévenir un référent cyber, déposer plainte, et notifier les autorités compétentes si des données personnelles sont concernées. Un appui externe expérimenté évite les erreurs critiques en phase aiguë. Voir la page Gestion de crise.
Comment démarre concrètement une mission avec Armadura® ?
Tout commence par un échange gratuit pour comprendre votre contexte, vos enjeux et vos contraintes. Si la collaboration semble pertinente, un diagnostic ou une première mission est proposé sous forme de devis clair. La suite se construit progressivement, avec des points réguliers et des livrables tangibles à chaque étape.
Faut-il être certifié ISO 27001 pour être bien protégé ?
Non. La certification est un objectif structurant, mais une organisation peut atteindre un excellent niveau de sécurité sans être certifiée. À l'inverse, une certification mal entretenue peut donner une fausse impression de maîtrise. La norme reste un excellent guide : on peut s'en inspirer pour progresser, sans nécessairement viser le tampon final. Voir la page ISO 27001.
Quelle différence entre cybersécurité et RGPD ?
Le RGPD encadre la protection des données personnelles : finalité, base légale, durée, droits des personnes. La cybersécurité est l'ensemble des moyens techniques et organisationnels qui protègent toutes les données sensibles, personnelles ou non. Les deux se recoupent largement : sans cybersécurité, pas de RGPD effectif. Voir la page RGPD.
Comment reconnaître un courriel de phishing ?
Plusieurs signaux doivent éveiller la vigilance : adresse d'expéditeur étrange, formulation pressante ou inhabituelle, lien dont l'aperçu ne correspond pas au texte affiché, demande inattendue d'identifiants ou de virement. Le bon réflexe consiste à ne jamais cliquer dans le doute, à vérifier par un autre canal, et à signaler le message au service informatique ou au référent cyber.
Faut-il souscrire une cyber-assurance ?
La cyber-assurance peut amortir le choc financier d'un incident, mais elle ne remplace pas la prévention. Les assureurs exigent désormais un socle minimum de mesures (MFA, sauvegardes isolées, EDR, plan de reprise) pour couvrir le risque, et indemnisent difficilement les manquements graves. C'est un complément utile à une démarche cybersécurité solide, jamais un substitut.
Le dirigeant peut-il être tenu personnellement responsable d'un incident cyber ?
Oui, dans certaines situations. Le dirigeant peut voir sa responsabilité civile, voire pénale, engagée en cas de manquement caractérisé : absence de mesures élémentaires, non-respect du RGPD, défaut de notification d'un incident significatif. Les directives européennes récentes, dont NIS2, renforcent explicitement la responsabilité des organes de direction sur les sujets cyber.
Comment sensibiliser efficacement mes collaborateurs ?
Une session annuelle ne suffit pas. La sensibilisation efficace repose sur des actions régulières, courtes, contextualisées au métier de chacun, et complétées par des exercices pratiques (campagnes de phishing simulées, mises en situation). L'objectif n'est pas de transformer les collaborateurs en experts, mais d'ancrer quelques bons réflexes : vigilance, signalement, doute légitime.
Mon prestataire informatique s'occupe déjà de la sécurité, est-ce suffisant ?
Pas toujours. Un infogéreur assure le maintien en conditions opérationnelles et applique des bonnes pratiques techniques, mais il agit rarement sur la stratégie, la gouvernance, la conformité ou la gestion de crise. Un regard externe et indépendant permet de challenger ce que fait le prestataire, de couvrir les angles morts et de traduire la sécurité en décisions métier au niveau de la direction.
Le cloud est-il plus sûr que l'hébergement interne ?
Le cloud n'est ni plus ni moins sûr par nature : il déplace le périmètre de risque. Les grands fournisseurs offrent un socle technique très robuste, mais le client reste responsable de la configuration, des accès et des sauvegardes. Un cloud mal paramétré est plus exposé qu'un serveur interne bien tenu. La bonne question est moins « où » que « comment » l'on héberge.
Le télétravail augmente-t-il réellement le risque cyber ?
Oui, parce qu'il étend la surface d'attaque : équipements personnels, réseaux Wi-Fi domestiques, contextes de travail moins contrôlés. Les mesures clés sont connues : VPN ou accès Zero Trust, MFA généralisée, EDR sur les postes, charte claire et sensibilisation. Bien encadré, le télétravail reste parfaitement compatible avec un bon niveau de sécurité.
À quelle fréquence faut-il auditer son système d'information ?
Un audit complet tous les deux à trois ans constitue une bonne base, complété par des contrôles plus ciblés chaque année (revue des accès, test de restauration, test d'intrusion sur les services exposés). Tout changement majeur — fusion, migration cloud, déploiement d'une application critique — doit également déclencher une revue de sécurité dédiée.