Audit Cybersécurité PME : 30 questions gratuites

Comment utiliser ce guide : coche mentalement (ou imprime-le) pour chaque question si la réponse est OUI. Compte tes points à la fin. Plus tu as de OUI, plus tu es protégé. Le score t'indique exactement où tu en es et quoi faire en priorité.

30 questions d'audit cybersécurité

Compte 1 point par OUI

Section 1 — Mots de passe & authentification (5 points)

J'utilise un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass).
Tous mes mots de passe font au moins 16 caractères.
Aucun de mes mots de passe n'est réutilisé sur plusieurs services.
La 2FA est activée sur mes 5 comptes critiques (email, banque, comptabilité, domaine, Stripe/PayPal).
J'ai vérifié haveibeenpwned.com pour mes emails dans les 12 derniers mois.

Section 2 — Sauvegardes & ransomware (5 points)

J'applique la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site).
Mes sauvegardes incluent un site distant (cloud distant ou disque externe ailleurs).
Je teste mes sauvegardes au moins 1 fois par mois (restauration partielle).
Mes sauvegardes critiques sont chiffrées (AES-256).
Je connais mon RTO (Recovery Time Objective) — combien de temps pour tout restaurer.

Section 3 — Email & phishing (5 points)

J'utilise un email professionnel avec mon nom de domaine (jamais @gmail.com pour mon entreprise).
SPF, DKIM et DMARC sont configurés sur mon domaine (testé sur mxtoolbox.com).
Mes employés savent reconnaître un email de phishing et appliquent le protocole STOP.
Tous les virements supérieurs à 1 000 € sont vérifiés par téléphone (sans utiliser le numéro de l'email).
J'ai désactivé les macros Office par défaut sur tous les postes.

Section 4 — Infrastructure & appareils (5 points)

Mes appareils (PC, smartphones) sont chiffrés au repos (BitLocker, FileVault, chiffrement Android/iOS).
J'utilise un VPN dès que je me connecte à un Wi-Fi public.
Les mises à jour OS et logiciels sont automatiques sur tous les postes.
Mon antivirus pro (pas le gratuit) est actif et à jour.
Mon Wi-Fi pro a un mot de passe fort en WPA3 (ou WPA2 a minima) et un SSID invité séparé.

Section 5 — RGPD & conformité (5 points)

J'ai un registre des traitements RGPD à jour (modèle CNIL).
Ma politique de confidentialité est en ligne et conforme RGPD.
Mon cookie banner est conforme CNIL (Refuser aussi visible que Accepter).
Je sais répondre à un droit d'accès RGPD en moins de 30 jours.
Mes prestataires (cloud, mailing, analytics) ont un DPA signé.

Section 6 — Organisation & plan d'urgence (5 points)

J'ai un plan d'urgence cyber écrit avec contacts et procédures.
Mes employés sont sensibilisés à la cybersécurité au moins 1 fois par an.
Je suis couvert par une assurance cyber adaptée à ma taille.
Je connais les contacts d'urgence : 17 (police), ANSSI, CNIL, expert IT.
Je fais un audit de sécurité au moins 1 fois par an.

Ton score sur 30

Interprétation honnête

Comment te situer ?

27-30

🛡️ Niveau pro. Tu es dans les 5% les mieux protégés. Continue à monitorer et fais ton audit annuel.

20-26

✓ Bon niveau. Tu connais les bases. Identifie tes 2-3 sections faibles et travaille-les en priorité.

10-19

⚠️ Niveau insuffisant. Tu es exposé à plusieurs menaces majeures. Plan d'action 30 jours obligatoire.

0-9

🚨 Zone rouge. Tu es très exposé. Une cyberattaque peut survenir à tout moment. Action immédiate requise.

3 protocoles d'urgence

Si tu n'as pas le temps, fais au moins ça

🛡️ 3 actions qui blindent 80% des failles en 1 heure

Protocole 01 · 20 min

Active la 2FA sur tes 5 comptes critiques

Installe Authy ou Google Authenticator sur ton téléphone.
Va dans les paramètres sécurité de ton email principal → 2FA → scanner le QR code.
Répète pour : banque, comptabilité, domaine (OVH/Gandi), Stripe/PayPal.
Sauvegarde les codes de récupération sur papier (coffre-fort).

Effet : bloque 99,9% des attaques de compte (source : Microsoft).

Protocole 02 · 30 min

Mets en place la règle 3-2-1 de sauvegarde

Identifie tes 3 dossiers vitaux (comptabilité, clients, contrats).
Copie n°1 : disque externe USB branché 1× par mois (déconnecté ensuite).
Copie n°2 : cloud chiffré (Backblaze 7 €/mois ou Proton Drive gratuit).
Note ta date de prochain test de restauration sur ton agenda.

Effet : tu survis à un ransomware sans payer la rançon.

Protocole 03 · 10 min

Installe Bitwarden + génère des mots de passe uniques

Installe Bitwarden (gratuit, open-source) sur PC + smartphone.
Crée un mot de passe maître très fort (4 mots aléatoires + chiffres).
Importe tous tes mots de passe actuels.
À chaque connexion, clique "Générer" et remplace ton ancien mot de passe.

Effet : 1 fuite de site n'expose plus tous tes autres comptes.

🛡️ Tu veux la méthode complète ?

Si ce guide t'a aidé, la formation Cybersécurité PME & Freelance couvre les 12 modules essentiels avec 5 simulateurs interactifs (force mdp, coût attaque, RGPD, risque, budget). Pour dirigeants non-techniques. Garantie 14 jours.

Découvrir la formation — 49 €

© 2026 Des Clics Académie · Document librement reproductible pour usage interne.
Cet audit est fourni à titre informatif et ne remplace pas un audit professionnel par un expert RSSI.

Audit CybersécuritéPME & Freelance