Retour aux actualités
    Page pilier

    Comment choisir son prestataire en cybersécurité ?

    Choisir le bon prestataire en cybersécurité est une décision stratégique pour votre entreprise. Entre les qualifications officielles, les certifications individuelles, les spécialisations et les méthodologies, il n'est pas toujours facile de s'y retrouver. Ce guide vous donne toutes les clés pour faire le bon choix.

    Les qualifications et certifications à vérifier

    La première étape pour choisir un prestataire en cybersécurité est de vérifier ses qualifications. En France, l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) a mis en place un système de qualification rigoureux qui permet d'identifier les prestataires de confiance. Ces qualifications sont le fruit d'un processus d'évaluation approfondi qui vérifie les compétences techniques, les méthodologies employées et la qualité des prestations délivrées.

    La qualification PASSI

    La qualification PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est la référence en matière d'audit de sécurité en France. Elle est délivrée par l'ANSSI après un processus d'évaluation rigoureux portant sur cinq portées : audit d'architecture, audit de configuration, audit de code source, tests d'intrusion et audit organisationnel. Un prestataire qualifié PASSI a démontré sa capacité à réaliser des audits de qualité selon des méthodologies éprouvées, avec des auditeurs compétents et dans un cadre déontologique strict.

    Pour les entreprises soumises à des réglementations strictes (OIV, OSE au sens de NIS2), le recours à un prestataire qualifié PASSI est obligatoire pour certains types d'audits. Mais même sans obligation réglementaire, cette qualification constitue un gage de qualité et de sérieux pour toute PME qui souhaite s'assurer de la fiabilité de son prestataire.

    Les certifications individuelles des consultants

    Au-delà des qualifications de l'entreprise, les certifications individuelles des consultants sont un indicateur important de leur niveau de compétence. Parmi les certifications les plus reconnues dans le domaine du pentest et de l'audit cybersécurité :

    • OSCP (Offensive Security Certified Professional) : la référence en pentest, nécessitant de réussir un examen pratique de 24 heures. Un consultant certifié OSCP a démontré sa capacité à identifier et exploiter des vulnérabilités dans des conditions réelles.
    • CEH (Certified Ethical Hacker) : certification EC-Council couvrant les techniques de hacking éthique. Moins exigeante techniquement que l'OSCP mais offrant une bonne base théorique.
    • CISSP (Certified Information Systems Security Professional) : certification de référence pour les profils managériaux et architectes sécurité, couvrant huit domaines de la cybersécurité.
    • ISO 27001 Lead Auditor : certification pour les auditeurs spécialisés dans les systèmes de management de la sécurité de l'information (SMSI).
    • GPEN, GWAPT, GCIH (SANS/GIAC) : certifications spécialisées de très haut niveau technique, particulièrement reconnues dans le domaine du pentest et de la réponse à incident.

    Les critères essentiels de sélection

    1. L'expérience dans votre secteur d'activité

    Chaque secteur a ses spécificités en matière de cybersécurité : réglementations propres (DORA pour la finance, HDS pour la santé), risques spécifiques, types d'infrastructures et de données à protéger. Un prestataire ayant déjà travaillé avec des entreprises de votre secteur comprendra plus rapidement vos enjeux et pourra vous apporter des retours d'expérience pertinents. Demandez des références clients dans votre domaine d'activité et n'hésitez pas à les contacter pour recueillir leur avis.

    2. La transparence méthodologique

    Un bon prestataire doit être capable d'expliquer clairement sa méthodologie : quels référentiels utilise-t-il ? Comment structure-t-il ses rapports ? Quelle est sa démarche de qualification des vulnérabilités ? Un prestataire qui reste vague sur sa méthodologie ou qui s'appuie uniquement sur des outils automatisés sans analyse humaine approfondie n'offrira pas la qualité attendue. Les meilleurs prestataires s'appuient sur des référentiels reconnus (OWASP, PTES, OSSTMM, NIST) tout en adaptant leur approche au contexte spécifique de chaque client.

    3. La qualité des livrables

    Le rapport d'audit est le livrable principal d'une mission de cybersécurité. Il doit être clair, structuré et actionnable. Demandez à voir un exemple de rapport anonymisé avant de vous engager. Un bon rapport contient : un résumé exécutif compréhensible par la direction, une description détaillée de chaque vulnérabilité avec preuves d'exploitation, une classification par criticité (CVSS), des recommandations de remédiation concrètes et priorisées, et un plan d'action synthétique.

    4. La capacité d'accompagnement post-audit

    L'audit n'est que la première étape. Le véritable enjeu est la remédiation des vulnérabilités identifiées. Vérifiez que le prestataire propose un accompagnement post-audit : assistance à la mise en œuvre des recommandations, audit de contrôle pour vérifier l'efficacité des correctifs, et disponibilité pour répondre aux questions techniques de vos équipes. Un prestataire qui livre un rapport et disparaît n'est pas un bon partenaire de sécurité.

    5. La réactivité et la disponibilité

    En cybersécurité, la réactivité peut faire la différence entre un incident contenu et une crise majeure. Évaluez la capacité du prestataire à intervenir rapidement en cas d'urgence : dispose-t-il d'une équipe de réponse à incident (CERT/CSIRT) ? Quels sont ses délais d'intervention ? Est-il disponible 24/7 ? Pour une PME, il est rassurant de savoir que son prestataire peut intervenir rapidement en cas de cyberattaque, même en dehors des heures ouvrées.

    Les pièges à éviter

    Les offres trop bon marché

    Un pentest à 500€ n'est pas un vrai pentest. Il s'agit probablement d'un simple scan automatisé sans analyse humaine. Le tarif jour d'un pentester qualifié se situe entre 800€ et 1500€ HT. Si le prix est significativement inférieur, la qualité de la prestation sera nécessairement compromise.

    Les résultats uniquement automatisés

    Méfiez-vous des prestataires qui se contentent de lancer un scanner de vulnérabilités et de vous livrer le rapport brut. Un véritable audit nécessite une analyse humaine approfondie pour valider les vulnérabilités, éliminer les faux positifs, tester les enchaînements de failles et évaluer l'impact réel sur votre activité.

    L'absence de cadrage précis

    Un prestataire qui commence les tests sans avoir formalisé un périmètre précis, des règles d'engagement et un mandat d'autorisation manque de rigueur. Ce document est indispensable tant sur le plan méthodologique que juridique.

    Le manque de confidentialité

    Les informations collectées lors d'un audit sont extrêmement sensibles. Assurez-vous que le prestataire dispose de procédures strictes de protection des données d'audit : chiffrement des communications et des livrables, clauses de confidentialité renforcées, destruction des données après la mission.

    Les questions à poser lors de l'évaluation

    Lors de vos échanges avec les prestataires potentiels, voici une liste de questions pertinentes à poser pour évaluer leur sérieux et leur compétence :

    • Êtes-vous qualifié PASSI par l'ANSSI ? Sur quelles portées ?
    • Quelles certifications individuelles détiennent vos consultants qui interviendront sur notre mission ?
    • Pouvez-vous nous fournir des références clients dans notre secteur d'activité ?
    • Quelle méthodologie et quels référentiels utilisez-vous pour vos audits ?
    • Pouvez-vous nous montrer un exemple de rapport anonymisé ?
    • Comment classifiez-vous les vulnérabilités ? Utilisez-vous le score CVSS ?
    • Proposez-vous un accompagnement post-audit pour la remédiation ?
    • Réalisez-vous des audits de contrôle après remédiation ?
    • Disposez-vous d'une assurance responsabilité civile professionnelle couvrant les activités d'audit ?
    • Comment gérez-vous la confidentialité des données collectées pendant l'audit ?
    • Quels sont vos délais d'intervention en cas d'urgence ?
    • Disposez-vous d'un CERT/CSIRT pour la réponse à incident ?

    Construire un partenariat de long terme

    La cybersécurité n'est pas un projet ponctuel mais une démarche continue. Plutôt que de changer de prestataire à chaque mission, il est souvent plus efficace de construire un partenariat de long terme avec un prestataire de confiance qui connaît votre infrastructure, vos enjeux et votre culture d'entreprise.

    Un partenariat durable permet au prestataire de suivre l'évolution de votre posture de sécurité dans le temps, d'identifier les tendances et les récurrences, et de vous accompagner de manière proactive face aux nouvelles menaces. Il facilite également la communication et la réactivité en cas d'incident, car les équipes se connaissent déjà et peuvent intervenir plus efficacement.

    Cependant, il est recommandé de faire appel occasionnellement à un second prestataire pour un regard neuf. Cette pratique de "second opinion" permet d'éviter les angles morts et de confronter les résultats de votre prestataire habituel à un œil extérieur.

    CyberSecure, votre partenaire cybersécurité de confiance

    Qualifié PASSI, notre équipe de consultants certifiés accompagne les PME et ETI dans leur démarche de sécurisation. Discutons de vos besoins.

    Nous contacter

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.