Diagnostic cybersécurité : Guide complet étape par étape pour les PME françaises
Séraphine Clairlune
Pourquoi réaliser un diagnostic cybersécurité ?
- BLUF : Un diagnostic cybersécurité évalue votre posture face aux menaces, identifie les vulnérabilités et génère un plan d’action réaliste.
- À quoi ça sert ? : conformité (ISO 27001, NIS 2, DGA), réduction du risque financier, renforcement de la confiance client.
- Exemple : une PME du secteur viticole découvre une faille d’accès externe grâce à un test d’intrusion et corrige le point en 3 jours, évitant un incident de 120 k€. Pour en savoir plus sur les attaques hardware comme Rowhammer, consultez l’attaque Rowhammer sur les GPU.
1. Prérequis & mise en garde
| ✔️ Prérequis | 📌 Détails |
|---|---|
| Équipe | Un responsable SI (ou un prestataire) et le comité de direction. |
| Documentation | Inventaire du parc (serveurs, postes, cloud), politiques de mots de passe, plan de continuité. |
| Accès | Accès administrateur aux systèmes critiques (ou droits limités pour un test grey box). |
| Outils | Nmap, OpenVAS, Lynis, Wireshark, SecurityScorecard API (optionnel). |
| Temps estimé | 2 jours de collecte + 3 jours d’analyse + 1 jour de restitution = ≈ 6 jours. |
| Avertissement | Un test d’intrusion peut perturber les services ; prévoir une fenêtre de maintenance. |
2. Étapes du diagnostic (séquence stricte)
Définir le périmètre
- Listez les actifs à tester : sites web, API, serveurs internes, services cloud (ex. Microsoft 365).
- Classez-les par criticité (A = mission-critique, B = support, C = non-essentiel).
Collecter les informations d’inventaire
- Utilisez
nmappour le balayage réseau :
# Scan complet du réseau interne (exemple CIDR 10.0.0.0/24) nmap -sS -p 1-65535 -T4 10.0.0.0/24 -oA inventory/scan- Exportez les résultats (
.gnmap) vers un tableau d’actifs.
- Utilisez
Évaluer les contrôles organisationnels
- Questionnaire type (15 questions) : politique de mots de passe, formation phishing, gestion des privilèges, sauvegardes, conformité RGPD.
- Scorez chaque réponse (0 = non-conforme, 1 = partiellement, 2 = conforme).
Tests techniques
🛠️ Technique 🎯 Objectif 🛡️ Référence Scan de ports (Nmap) Découvrir services exposés. ANSSI / CIS Vulnérabilité web (OWASP ZAP) Détecter injections, XSS, CSRF. OWASP Top 10 Analyse de configuration (Lynis) Vérifier durcissement Linux/Unix. CIS Benchmarks Audit cloud (Microsoft 365 Secure Score) Contrôler paramètres de protection. Microsoft Secure Score Pentest grey box (Metasploit) Simuler attaque interne. MITRE ATT&CK Exemple avec OpenVAS :
# Lancer une analyse OpenVAS sur le serveur web omp -u admin -w password --target 192.168.1.45 \ --scan-config "Full and fast" --format pdf > reports/openvas_report.pdfAnalyser les résultats
- Classez les vulnérabilités par CVSS :
- Critique (≥ 9.0) - correction immédiate.
- Élevée (7.0-8.9) - plan d’action sous 30 jours.
- Moyenne (4.0-6.9) - remediation dans 90 jours.
- Cartographiez chaque faille à un contrôle ISO 27001 ou NIS 2 correspondant.
- Classez les vulnérabilités par CVSS :
Rédiger le rapport
- Synthèse exécutive (1 page) : score global, points critiques.
- Tableau de remédiation (voir modèle ci-dessous).
- Plan de continuité : sauvegardes, reprise après sinistre.
Restitution & validation
- Présentez le rapport au comité de direction (30 min).
- Obtenez l’accord sur les priorités et le budget.
- Programme de suivi (revue trimestrielle, KPI : nombre de vulnérabilités corrigées).
3. Modèle de tableau de remédiation (exemple)
| # | Vulnérabilité | CVSS | Priorité | Action corrective | Responsable | Échéance |
|---|---|---|---|---|---|---|
| 1 | HTTP / HTTPS mixte sur le site public | 9.3 | Critique | Implémenter Strict-Transport-Security (HSTS) + redirection 301 | DevOps | 7 jours |
| 2 | Mot de passe admin « admin123 » sur le serveur DB | 8.7 | Élevée | Changer avec politique 12-caractères + MFA | DBA | 14 jours |
| 3 | Port 22 ouvert à Internet (serveur SSH) | 6.5 | Moyenne | Restreindre accès via VPN/ACL | Sécurité réseau | 30 jours |
| 4 | Absence de chiffrement de sauvegarde cloud | 5.9 | Moyenne | Activer SSE-KMS sur Azure Blob | Cloud Ops | 45 jours |
| 5 | Politique de sensibilisation phishing inexistante | 4.0 | Faible | Lancer campagne de formation trimestrielle | RH | 60 jours |
(Ce tableau doit être adapté à chaque audit.)
4. Vérification post-remédiation
- Re-scan des actifs modifiés avec les mêmes outils.
- Contrôle de conformité : comparaison du nouveau score ISO 27001/NIS 2 avec le score initial.
- Tests d’intrusion : exécuter un deuxième pentest ciblé sur les vulnérabilités corrigées.
# Exemple de re-scan OpenVAS uniquement sur les hôtes corrigés
omp -u admin -w password --target 192.168.1.45 \
--scan-config "Full and fast" --format pdf > reports/openvas_recheck.pdf
5. Retour en arrière & désinstallation (rollback)
| Situation | Action de rollback |
|---|---|
| Mise à jour de configuration qui casse le service | Restaurer le backup de configuration (cp /etc/service.conf.bak /etc/service.conf). |
| Outil de test installé | Désinstaller via le gestionnaire (apt purge openvas -y). |
| Modification de politiques AD | Revenir à la GPO précédente (gpedit.msc → Import). |
6. Erreurs fréquentes & solutions rapides
| Symptom | Cause probable | Remède |
|---|---|---|
| Scan Nmap bloqué | Pare-fire bloque le trafic ICMP/SYN | Ouvrir temporairement le port 22 / 80 sur le firewall. |
| OpenVAS ne trouve aucune vulnérabilité | Cible hors ligne ou IP erronée | Vérifier la connectivité (ping, traceroute). |
| Rapport trop volumineux | Export all ports → bruit | Filtrer les services critiques (--version-light). |
| Mot de passe admin partagé | Politique insuffisante | Appliquer MFA obligatoire (ex. Duo, Azure AD). |
7. Checklist de pré-audit (à cocher avant le jour J)
- Inventaire complet des actifs (IP, OS, services).
- Accès administrateur ou droits limités définis.
- Sauvegardes récentes et testées.
- Fenêtre de maintenance planifiée avec les parties prenantes.
- Liste des exigences réglementaires (ISO 27001, NIS 2, DGA).
- Outils installés et mis à jour (Nmap 7.93, OpenVAS 22.4, Lynis 3.0).
8. Ressources complémentaires (2026)
- ANSSI - Guide de cybersécurité des PME (PDF, 2026).
- ISO 27001 :2022 - Annex A contrôles.
- NIS 2 Directive - texte officiel (EU).
- MITRE ATT&CK v13 - matrice d’attaque.
- SecurityScorecard API - scores externes (clé API gratuite jusqu’à 5 appels/jour). Pour approfondir vos compétences en cybersécurité sans diplôme, découvrez le guide ultime pour se former en cybersécurité.
En résumé : le diagnostic cybersécurité s’appuie sur une procédure structurée (définir le périmètre, inventory, évaluation technique, rapport, restitution). En suivant ce guide, une PME française peut obtenir une visibilité claire, prioriser les actions et se conformer aux exigences légales tout en maîtrisant les coûts.