Cybersecurite TPE
Repondre a un questionnaire securite client quand on est une TPE
De plus en plus de clients demandent a leurs prestataires de remplir un questionnaire securite. Ce n'est pas reserve aux grandes entreprises. Une agence, un ...
De plus en plus de clients demandent a leurs prestataires de remplir un questionnaire securite. Ce n'est pas reserve aux grandes entreprises. Une agence, un consultant ou une petite TPE peut recevoir ce type de demande avant de signer, renouveler un contrat ou acceder a des donnees client.
Le bon reflexe n'est pas de repondre trop vite. Le bon reflexe est de construire un mini dossier securite : factuel, date, sans promesse excessive.
La version courte
Pour repondre proprement :
- lis toutes les questions avant de remplir ;
- separe ce qui existe, ce qui est en cours, et ce qui n'existe pas ;
- ne coche pas "oui" si la pratique n'est pas en place ;
- cite les documents internes disponibles ;
- garde une copie des reponses ;
- date la version envoyee.
Un questionnaire securite n'est pas une presentation commerciale. C'est un document de confiance. Il doit rester sobre.
Comprendre ce que le client cherche
Le client veut souvent verifier quatre sujets :
- protection des acces ;
- protection des donnees ;
- sauvegarde et continuite ;
- reaction en cas d'incident.
Certaines demandes sont liees a des exigences internes, a des obligations contractuelles ou a des contraintes de chaine fournisseur. Tu n'as pas besoin de te presenter comme expert cyber. Tu dois expliquer ce que tu fais vraiment.
Preparer les preuves simples
Avant de remplir le questionnaire, rassemble :
- politique de securite courte ;
- procedure de sauvegarde ;
- procedure de gestion des mots de passe ;
- tableau des outils utilises ;
- liste des sous-traitants importants ;
- description de la MFA sur les comptes critiques ;
- procedure de depart d'un collaborateur ou prestataire.
Si un document n'existe pas, note-le comme "a formaliser" plutot que d'inventer une reponse.
Repondre sans surpromettre
Les formulations prudentes sont utiles.
Au lieu de :
La securite de vos donnees est assuree.Ecris :
Nous appliquons des mesures operationnelles de reduction des risques :
comptes nominatifs lorsque l'outil le permet, MFA sur les comptes
critiques, sauvegardes regulieres et suppression des acces inutiles.Au lieu de :
Nous sommes conformes aux meilleures pratiques cyber.Ecris :
Nos procedures internes s'appuient sur des recommandations publiques
ANSSI, Cybermalveillance.gouv.fr et CNIL. Elles sont adaptees a notre
taille et revues periodiquement.Classer les reponses
Utilise trois statuts :
- en place ;
- en cours ;
- non applicable ou non couvert.
Exemple :
| Question client | Reponse courte | Statut | Preuve |
|---|---|---|---|
| MFA activee sur messagerie ? | Oui, pour les comptes administrateurs et utilisateurs principaux | En place | Tableau acces |
| Sauvegarde testee ? | Test trimestriel prevu, dernier test a documenter | En cours | Procedure sauvegarde |
| Certification ISO 27001 ? | Non, hors perimetre TPE | Non couvert | n/a |
Cette grille evite de transformer chaque reponse en paragraphe long.
Traiter les questions difficiles
Si le client demande une certification que tu n'as pas, ne laisses pas penser le contraire. Reponds clairement :
Nous ne disposons pas de certification cyber. Nous pouvons fournir nos
procedures operationnelles internes et decrire les controles actuellement
en place.Si le client demande un pentest, un audit ou une attestation technique, ne fabrique pas de preuve. Explique ce qui existe et propose une discussion avec le client si son niveau d'exigence depasse ton perimetre.
Garder une trace
Chaque questionnaire envoye doit etre archive avec :
- nom du client ;
- date d'envoi ;
- version ;
- personne ayant valide ;
- pieces jointes ;
- engagements pris.
Cette trace evite de repondre differemment a deux clients sur le meme sujet. Elle aide aussi a reperer les ameliorations prioritaires.
Erreurs a eviter
Ne pas laisser un commercial repondre seul a des questions techniques.
Ne pas cocher "oui" pour rassurer. Une fausse reponse peut creer plus de risque qu'un "non" explique.
Ne pas envoyer de documents internes sensibles inutiles. Fournis seulement ce qui est necessaire.
Ne pas oublier de retirer les acces client quand la mission se termine.
Sources
- Cybermalveillance.gouv.fr - Les 10 mesures essentielles pour assurer votre cybersecurite
- ANSSI - Guide TPE/PME
- CNIL - Securite : authentifier les utilisateurs
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Sources officielles ANSSI/Cybermalveillance/CNIL citees.