Confier sa cybersécurité à un prestataire, c'est lui remettre les clés de son système d'information : accès administrateurs, données sensibles, continuité d'activité. Pourtant, la plupart des plaquettes se ressemblent — tout le monde est « expert », « réactif » et « certifié ». Voici sept critères concrets, et surtout vérifiables, pour faire le tri avant de signer.
Transparence : Kipsafe est un prestataire de cybersécurité, cet article n'est donc pas neutre. Raison de plus pour vous donner une grille qui s'applique aussi à nous — chacun de ces critères peut nous être opposé en rendez-vous.
Critère 01Des certifications et une méthodologie vérifiables
N'importe qui peut se déclarer « expert en cybersécurité » : le titre n'est pas protégé. Ce qui se vérifie, en revanche, ce sont les certifications — individuelles (OSCP, CEH, CISSP…) comme organisationnelles (ISO 27001, ou la qualification PASSI délivrée sous le contrôle de l'ANSSI pour les prestataires d'audit).
La certification ne fait pas tout : demandez surtout la méthodologie. Sur quel référentiel public s'appuient les audits — OWASP, PTES, guides ANSSI ? À quoi ressemble un livrable ? Un prestataire sérieux peut vous montrer un rapport anonymisé avant la signature : structure, niveau de détail, hiérarchisation des vulnérabilités. Méfiez-vous de la « méthode propriétaire » qu'on ne peut ni décrire ni documenter.
À vérifier concrètement
- Demandez la liste des certifications et contrôlez-les auprès des organismes émetteurs.
- Exigez un exemple de rapport anonymisé avant de signer.
- Faites nommer le référentiel méthodologique utilisé pour chaque type de mission.
Critère 02Un engagement de délais écrit (SLA)
« On est très réactifs » n'est pas un engagement, c'est un argument commercial. Ce qui vous protège, c'est un SLA (Service Level Agreement) inscrit au contrat : délai de prise en charge d'une demande, délai d'intervention en cas d'incident, plages horaires couvertes, et pénalités applicables si l'engagement n'est pas tenu.
Le point mérite d'autant plus d'attention qu'en cas d'incident, le temps de réaction conditionne directement l'ampleur des dégâts. Un prestataire qui refuse de mettre ses délais par écrit vous dit quelque chose : écoutez-le.
À vérifier concrètement
- Demandez le SLA type avant la signature, pas après.
- Vérifiez ce qui se passe en cas de dépassement : pénalités, plan de remédiation, porte de sortie.
- Clarifiez ce qui est couvert — ou non — en dehors des heures ouvrées.
Critère 03Réversibilité et documentation
Vous devez pouvoir partir. Cela peut sembler paradoxal au moment de signer, mais la clause de réversibilité est l'un des meilleurs révélateurs du sérieux d'un prestataire : documentation d'architecture et de configuration maintenue à jour, comptes d'administration qui restent votre propriété, livrables transférables, procédure de sortie décrite noir sur blanc.
Un prestataire qui organise sa propre irremplaçabilité — documentation inexistante, comptes ouverts à son nom, configurations opaques — ne vous fidélise pas : il vous capture. La relation saine est celle que vous choisissez de reconduire, pas celle que vous subissez.
À vérifier concrètement
- Exigez une clause de réversibilité au contrat, avec un périmètre précis : documentation, comptes, données.
- Vérifiez que les accès administrateurs et les licences vous appartiennent.
- Demandez à quelle fréquence la documentation est mise à jour et remise.
Critère 04Un interlocuteur identifié
En avant-vente, vous rencontrez souvent un excellent commercial. La vraie question : qui décroche ensuite ? Exigez un référent nommé — un interlocuteur technique qui connaît votre contexte, votre historique et vos contraintes métier, avec un remplaçant identifié pour les absences et un canal d'escalade clair.
Ré-expliquer son système d'information à un inconnu à chaque ticket coûte du temps précisément au moment où vous n'en avez pas. La continuité de l'interlocuteur n'est pas un confort : c'est une composante de la réactivité réelle.
À vérifier concrètement
- Rencontrez le référent technique — pas seulement le commercial — avant de signer.
- Demandez qui le remplace en cas d'absence et comment fonctionne l'escalade.
- Observez qui répond à vos questions pendant l'avant-vente, et à quelle vitesse.
Critère 05La transparence tarifaire
Transparent ne veut pas dire bon marché. Un devis sérieux détaille ce qui est fait, par qui (profil et séniorité de l'intervenant), en combien de jours, et ce qui est inclus ou exclu du forfait. Vous devez comprendre ce qui déclencherait une facturation supplémentaire avant qu'elle n'arrive.
Deux signaux à prendre au sérieux : le devis global impossible à décomposer, et le prix anormalement bas — qui cache souvent une sous-traitance non annoncée ou des interventions facturées ensuite au fil de l'eau. Un prestataire à l'aise avec ses prix sait expliquer pourquoi ça coûte ce que ça coûte.
À vérifier concrètement
- Demandez un devis détaillé ligne à ligne, avec les profils qui interviennent.
- Faites préciser ce qui est hors périmètre et comment c'est facturé.
- Demandez si tout est réalisé en interne ou sous-traité — et à qui.
Critère 06La gestion du risque tiers : votre prestataire est lui-même un vecteur
C'est le critère qu'on oublie le plus, et c'est pourtant le plus contre-intuitif : votre prestataire de cybersécurité devient lui-même une porte d'entrée vers votre système d'information. Accès administrateurs, VPN permanents, outils de supervision — ce qui lui permet de vous protéger peut servir à vous attaquer s'il est lui-même compromis. Les chiffres du secteur donnent la mesure du problème.
des entreprises estiment que plus de la moitié de leurs incidents proviennent de prestataires, fournisseurs ou partenaires.
des entreprises ont été touchées par des attaques exploitant des failles chez des tiers.
Source : 11ᵉ Baromètre de la cybersécurité des entreprises, CESIN — étude OpinionWay, janvier 2026. Consulter l'étude
Interrogez donc le prestataire sur sa propre sécurité : ses intervenants utilisent-ils des comptes nominatifs avec authentification multifacteur ? Les interventions sur votre SI sont-elles tracées et journalisées ? Se fait-il lui-même auditer ? Comment encadre-t-il ses propres sous-traitants ? Un prestataire qui vous demande un compte administrateur générique partagé « pour aller plus vite » vient de répondre à la question.
Cette question dérange les mauvais prestataires et réjouit les bons. Posez-la systématiquement.
À vérifier concrètement
- Comptes nominatifs et authentification multifacteur pour chaque intervenant — jamais de compte partagé.
- Traçabilité des accès : qui s'est connecté à quoi, quand, pour faire quoi.
- Le prestataire est-il lui-même audité ou certifié sur sa propre sécurité ?
Critère 07Des références vérifiables — et le paradoxe de la confidentialité
Dernier critère, et son piège. En cybersécurité, les clients exigent la confidentialité — et c'est sain : publier « qui protège qui » revient à offrir une carte aux attaquants. Les clauses de confidentialité sont la norme du secteur. Conséquence : l'absence de logos clients sur un site ne dit rien de la qualité du prestataire… et une page remplie de logos ne prouve pas grand-chose non plus.
Ce qui est normal dans le secteur — et que vous pouvez donc exiger : des références anonymisées, consultables sur demande. Un cas client décrit par secteur d'activité, taille, problème rencontré et résultat obtenu ; et, une fois la discussion avancée, un échange direct avec un client comparable qui a accepté d'en parler. Un prestataire incapable de montrer quoi que ce soit, même anonymisé, pose question. Celui qui cite nommément ses clients sans leur accord aussi : indiscret avec les autres, il le sera avec vous.
À vérifier concrètement
- Demandez des cas clients anonymisés : contexte, mission, résultat.
- Demandez si un échange avec un client de secteur ou de taille comparable est envisageable.
- Écoutez comment il parle de ses clients actuels : la discrétion se constate en rendez-vous.
La checklist à emporter
- Certifications vérifiées auprès des organismes + rapport d'exemple anonymisé.
- SLA écrit au contrat, avec pénalités en cas de dépassement.
- Réversibilité : documentation à jour, comptes et livrables qui vous appartiennent.
- Référent nommé, rencontré avant signature, avec remplaçant identifié.
- Devis détaillé : hors-périmètre explicite, sous-traitance annoncée.
- Sécurité du prestataire lui-même : comptes nominatifs, multifacteur, traçabilité.
- Références anonymisées consultables sur demande.
Aucun prestataire ne cochera toutes les cases avec brio dès le premier rendez-vous — le nôtre compris. Mais la manière dont il réagit à ces sept questions est déjà une réponse : celui qui documente, écrit et montre se comporte en partenaire ; celui qui élude se comporte en simple fournisseur. En cybersécurité, la différence finit toujours par se voir.
Et si vous êtes en train de comparer des prestataires : posez-nous ces sept questions. C'est exactement pour ça que nous avons écrit cet article.
Sources & références
- CESIN — 11ᵉ Baromètre annuel de la cybersécurité des entreprises françaises, étude OpinionWay pour le CESIN, janvier 2026. Chiffres cités : 30 % des entreprises estiment que plus de la moitié de leurs incidents proviennent de prestataires, fournisseurs ou partenaires ; 34 % des entreprises ont été touchées par des attaques exploitant des failles chez des tiers. opinion-way.com
