Pourquoi distinguer oui et prouvé dans le diagnostic ?

La réponse oui indique qu'une mesure existe. La réponse prouvé indique qu'elle est documentée, testée ou vérifiable. Cette différence évite de confondre une déclaration avec une preuve de continuité numérique.

Le score remplace-t-il un audit cybersécurité ?

Non. Le score est une première lecture dirigeant des dépendances et des priorités. Un audit cybersécurité vérifie techniquement les systèmes, les configurations et les vulnérabilités.

Méthodologie

Notre méthode pour évaluer la souveraineté numérique d’une PME

La méthode Diag Souveraineté Numérique transforme un sujet technique en grille de décision dirigeant : dépendances critiques, preuves disponibles, familles de risques, score lisible et priorités d’action à 90 jours.

Lancer le diagnostic

À retenir

Le diagnostic mesure la maîtrise opérationnelle : données, accès, prestataires, sauvegardes, cloud, IA et reprise.
Une réponse “prouvé” vaut plus qu’un simple “oui”, car elle repose sur un élément vérifiable.
Le score sert à prioriser les décisions ; il ne remplace pas un audit technique, juridique ou contractuel.

La méthode

Diag Souveraineté Numérique aide une PME à identifier ses dépendances numériques critiques : prestataires, cloud, sauvegardes, accès, applications métier, IA, données et reprise d’activité. Le diagnostic produit un score, des sous-scores, une liste de preuves à demander et une roadmap 30/60/90 jours.

Principe général

Pour une PME, la souveraineté numérique ne signifie pas tout internaliser ni remplacer tous les outils existants. Elle consiste d’abord à savoir où sont les données, qui les contrôle, comment l’activité redémarre en cas d’incident, quels prestataires sont critiques et quelles alternatives réalistes existent si un service devient indisponible.

La méthode part donc du risque business, pas du catalogue technique. Une panne, une cyberattaque, une erreur de configuration ou un conflit prestataire deviennent critiques lorsqu’ils empêchent de facturer, produire, communiquer, accéder aux fichiers, restaurer une sauvegarde ou prouver la maîtrise des données sensibles.

La logique “non / en cours / oui / prouvé”

Le questionnaire utilise quatre niveaux de réponse. “Non” indique une absence de mesure identifiée. “En cours” indique une intention ou un chantier ouvert. “Oui” indique qu’une mesure existe. “Prouvé” indique qu’elle est documentée, datée, testée ou vérifiable par une pièce concrète.

Non

Signification: Rien n’existe ou ce n’est pas connu par l’entreprise.
Exemple: Aucun test de restauration identifié.

En cours

Signification: Le sujet est identifié, mais pas finalisé ni vérifiable.
Exemple: Inventaire commencé, sans validation ni responsable.

Oui

Signification: Une mesure est déclarée ou existe dans l’organisation.
Exemple: Sauvegarde active, contrat signé ou MFA annoncé.

Prouvé

Signification: La mesure est vérifiée, documentée, datée ou testée.
Exemple: Compte rendu de restauration daté et exploitable.

Non Absent Risque visible, action à créer.

En cours Identifié Sujet lancé, preuve encore faible.

Oui Existant Mesure déclarée, à vérifier.

Prouvé Vérifié Valeur forte dans le score.

Cette nuance est centrale. Une sauvegarde peut exister dans une console sans avoir jamais été restaurée. Un PRA peut être annoncé sans exercice ni ordre de reprise. Un prestataire peut gérer les comptes administrateurs sans documentation disponible côté dirigeant. Dans ces cas, la mesure existe peut-être, mais la continuité n’est pas encore démontrée.

Exemple sauvegarde : réponse “oui”

Lecture: Une sauvegarde automatique est configurée.
Valeur dans le score: Mesure déclarée, encore à vérifier.

Exemple sauvegarde : réponse “prouvé”

Lecture: Une restauration complète a été testée, datée et documentée.
Valeur dans le score: Preuve forte de capacité de reprise.

Exemple prestataire : réponse “oui”

Lecture: Le prestataire affirme gérer les accès critiques.
Valeur dans le score: Dépendance connue, preuve à demander.

Exemple prestataire : réponse “prouvé”

Lecture: Les comptes, responsabilités, procédures et accès de secours sont listés.
Valeur dans le score: Maîtrise vérifiable côté entreprise.

Familles analysées

Cloud et hébergement : localisation, disponibilité, juridiction, contrats, réversibilité et exports.

Sauvegardes et restauration : fréquence, isolement, preuves de restauration, RPO, RTO et responsabilités.

Prestataires et accès : comptes administrateurs, documentation, dépendance contractuelle et continuité.

Applications métier et données : ERP, facturation, messagerie, fichiers clients, données RH et exports.

Cyber-résilience : MFA, mises à jour, accès sensibles, exposition externe et réaction en cas d’incident.

IA et confidentialité : données envoyées, règles internes, outils autorisés, traces et maîtrise des traitements.

Comment le score est interprété

Le score global donne une lecture rapide, mais les décisions viennent surtout des sous-scores. Une moyenne peut masquer un point faible majeur : sauvegarde non testée, absence de plan de reprise, dépendance à un compte admin unique ou données sensibles envoyées dans un outil IA non cadré.

Score global 62/100, sauvegardes à 22/100

Lecture dirigeant: La maturité moyenne cache un risque de reprise majeur.
Priorité: Tester une restauration complète avant tout autre chantier.

Cloud à 55/100, réversibilité non documentée

Lecture dirigeant: L’entreprise utilise le cloud, mais ne sait pas encore comment sortir.
Priorité: Identifier exports, clauses de sortie et délais de restitution.

Cyber-résilience à 70/100, IA et données à 18/100

Lecture dirigeant: Les accès sont mieux sécurisés que les usages IA internes.
Priorité: Définir les données interdites et les outils IA autorisés.

Limites du score

Le score n’est pas une certification, une garantie de sécurité ou une preuve juridique. Il dépend des réponses déclarées et du niveau de connaissance disponible au moment du test. Sa valeur est d’accélérer la prise de décision : repérer les dépendances critiques, demander les bonnes preuves et préparer un audit plus ciblé si nécessaire.

Une PME peut obtenir un score correct tout en conservant un risque fort sur un service précis. À l’inverse, un score faible n’indique pas que le système est inutilisable : il signale surtout que les preuves, procédures ou alternatives ne sont pas encore suffisamment visibles pour une direction.

Diagnostic ou audit : quelle différence ?

Diagnostic dirigeant

Le diagnostic sert à cadrer les risques et les priorités. Il s’appuie sur un questionnaire, des sous-scores, une lecture business et une roadmap 90 jours. Il permet de décider quoi regarder en premier.

Audit technique

L’audit vérifie en profondeur les configurations, contrats, journaux, sauvegardes, architectures, vulnérabilités ou obligations réglementaires. Il demande plus d’accès, plus de temps et produit des constats vérifiés.

Les deux démarches sont complémentaires. Le diagnostic évite de lancer un audit trop large ou mal orienté. L’audit permet ensuite de confirmer les points critiques et de sécuriser l’exécution.

Roadmap 90 jours

30 jours

Recenser les comptes administrateurs et contacts prestataires.
Demander les preuves de sauvegarde et de restauration.
Identifier les outils qui bloqueraient l’activité en moins de 48 h.

60 jours

Tester une restauration complète sur un périmètre représentatif.
Documenter les exports de données et les clauses de réversibilité.
Activer ou contrôler le MFA sur les comptes sensibles.

90 jours

Formaliser un plan de reprise court et compréhensible.
Cadrer les usages IA et les données interdites.
Rejouer le diagnostic pour mesurer les progrès.

Utilisation en comité de direction

Le rapport est conçu pour être lu par une direction non spécialiste. Il peut servir de support à un CODIR, à un échange DAF-dirigeant, à une réunion avec le prestataire ou à une demande d’assurance cyber. Les formulations privilégient l’impact business : facturation bloquée, données inaccessibles, production ralentie, messagerie coupée, dépendance fournisseur et reprise non prouvée.

Voir un exemple de rapport