Retour sur les diagnostics en partenariat avec l'ANSSI et le dispositif Mon Aide Cyber

Depuis le mois d’octobre, je suis rentré dans le programme d’accompagnement de l’ANSSI MonAideCyber. Ce programme vise à accompagner les entreprises, en particulier les petites et moyennes structures, dans un premier état des lieux et dans l’identification des améliorations nécessaires.

Après plusieurs diagnostics effectués, j’ai décidé de vous faire un petit retour sur ce que qui ressort des diagnostics.

Ce qu’il ressort des diagnostics réalisés

Sécurisation des accès et des comptes

• Mise en place de comptes nominatifs : Trop souvent, des comptes partagés ou génériques sont utilisés, rendant difficile la traçabilité des actions. Chaque utilisateur doit disposer de son propre compte nominatif pour limiter ces risques.
• Séparation des comptes administrateurs et des usages professionnels courants : Réserver les privilèges élevés aux tâches spécifiques réduit la surface d’attaque en cas de compromission.

Gestion des droits et des utilisateurs

• Inventaire des utilisateurs, des comptes et des accès : La plupart des entreprises peinent à tenir à jour une cartographie des accès. Cet exercice est vraiment important pour identifier et supprimer les accès obsolètes ou non nécessaires.
• Sensibilisation des utilisateurs : Beaucoup d’incidents proviennent d’erreurs humaines. La formation régulière sur le phishing et les bonnes pratiques est un outil indispensable.

Mesures techniques et organisationnelles

• Mise à jour des systèmes et logiciels : De nombreuses entreprises accusent d’un retard dans l’application des correctifs de sécurité. Le problème est que les systèmes se retrouvent exposés à des vulnérabilités connues.
• Authentification multi-facteurs (MFA) : Bien que très important, la MFA n’est pas systématiquement déployée, ce qui en fait une lacune notable.
• Chiffrement des disques durs : Le chiffrement des disques (interne ou externe) est très largement oublié, notamment sur les équipements mobiles, alors qu’il est une mesure clé pour éviter que des données sensibles se retrouvent dans la nature en cas de vol.
• Interdiction des supports externes non maîtrisés : Clés USB et autres périphériques restent une source de vulnérabilité, bien trop souvent ignorée, tandis que c’est un vecteur d’attaque bien connue (rappelons-nous entre autres de Stuxnet, il y a quelques années).

Gestion des données personnelles et préparation aux incidents

• Constitution du registre RGPD : Peu d’entreprises disposent d’un registre complet des données collectées, leur localisation, et leur durée de conservation, ce qui complique la conformité et la maîtrise des données.
• Plan de Reprise et de Continuité d’Activité (PRA/PCA) : Ces plans restent absents ou insuffisamment formalisés dans de nombreuses structures.

Par ailleurs, la constitution même très simple d’une politique de sécurité interne permet de formaliser les bonnes pratiques, d’impliquer les équipes, et de poser les bases d’une gestion proactive des risques et d’une bonne hygiène afin de réduire les risques.

L’importance du dispositif MonAideCyber

MonAideCyber est une initiative particulièrement intéressante, notamment en Pays de la Loire, où le responsable régional joue un rôle clé en participant à divers événements pour sensibiliser les entreprises. Ce travail remarquable d’évangélisation a un réel impact, comme nous avons pu le constater lors des diagnostics effectués.

Contrairement à une idée reçue, ce n’est pas tant un manque de conscience des risques de cybersécurité qui freine les PME, mais plutôt la peur de mal faire. Les dirigeants rencontrés sont généralement conscients des enjeux et motivés pour agir, mais se heurtent à des obstacles tels que :

• Le manque de maîtrise des outils
• La crainte de prendre des mesures inappropriées, inefficaces ou contre-productives

Le dispositif MonAideCyber apporte une réponse concrète à ces problématiques. Grâce à un premier audit de maturité, les entreprises bénéficient d’un diagnostic clair qui :

• Met en évidence leurs faiblesses spécifiques
• Propose des pistes concrètes pour améliorer leur posture de sécurité
• Donne des idées d’actions à mettre en place, adaptées à leur niveau de maturité

En sortant de cet audit, les entreprises repartent avec une vision plus claire de leur situation et un plan d’actions réalisable, ce qui les aide à surmonter leurs appréhensions et à amorcer des démarches de cybersécurité efficaces.

Un diagnostic accessible et structuré

Le questionnaire de MonAideCyber constitue une première étape simple et efficace pour identifier les lacunes en cybersécurité. Il permet aux entreprises de :

• Se poser les bonnes questions sur leurs pratiques et leur organisation.
• Prioriser les actions à mener pour améliorer leur posture de sécurité.

Cependant, le questionnaire n’est qu’un point d’appui : il sert de fil conducteur pour orienter un échange approfondi avec les entreprises. Ces discussions vont bien au-delà des questions standards, car elles permettent :

• De comprendre comment l’entreprise fonctionne réellement
• D’identifier les enjeux spécifiques de chaque structure, en tenant compte de son contexte, de ses contraintes, et de ses ressources
• De proposer des solutions adaptées, en évitant les réponses “prêtes à l’emploi” souvent inefficaces ou inadaptées

Cet échange approfondi est essentiel, car il transforme le diagnostic en une véritable feuille de route, personnalisée et pragmatique.

Un alignement avec les obligations réglementaires

MonAideCyber aide également à initier une réflexion sur les exigences légales, comme celles du RGPD ou des futures directives comme NIS2. Ces obligations, bien qu’essentielles, sont souvent vues comme complexes et difficiles à intégrer pour les PME, qui manquent de temps et de moyens pour les traiter tout en assurant leurs activités principales.

Pour conclure

Les diagnostics réalisés avec MonAideCyber mettent en lumière des lacunes fréquentes, mais aussi des leviers d’amélioration accessibles à toutes les entreprises. Ce dispositif ne se contente pas de pointer les faiblesses, il permet aux dirigeants de prendre connaissance d’où ils en sont, de voir ce qu’ils doivent mettr en place, et d’avoir un échange de confiance.

Dans le document que nous signons avec l’ANSSI, il est clairement stipulé qu’en tant qu’auditeurs, nous ne pouvons pas proposer nos services aux entreprises diagnostiquées. Cela garantit des échanges totalement impartiaux et sans pression commerciale, d’autant que le dispositif MonAideCyber est entièrement gratuit.

Quelques ressources

• Se faire accompagner par un prestataire labellisé ExpertCyber
• Guide d’hygiène informatique
• Guide des bonnes pratiques de l’informatique pour les PME
• Liste des CSIRT (Centre de Réponses aux Incidents Cyber)
• MonAideCyber
• Charte de l’aidant MonAideCyber