Guide complet : réaliser un diagnostic cybersécurité efficace en 2026
Hippolyte Valdegré
Guide complet : réaliser un diagnostic cybersécurité efficace en 2026
1️⃣ Qu’est-ce qu’un diagnostic cybersécurité ?
BLUF : Un diagnostic cybersécurité évalue le niveau de protection d’un système d’information, identifie les vulnérabilités et propose un plan d’action priorisé.
- Pourquoi ? Pour réduire le risque de cyber-attaque, respecter les exigences légales (ISO 27001, NIS 2, RGPD) et rassurer les partenaires.
- Exemple : Une PME de 30 salariés a découvert, grâce à un diagnostic, que son serveur de messagerie était exposé à une faille de type SMTP-STARTTLS. Le correctif a évité un ransomware qui aurait coûté ≈ 120 k€.
Formation cybersécurité sans diplôme
2️⃣ Prérequis & avertissements
| ✔️ Prérequis | ⚠️ Avertissement |
|---|---|
| Accès administrateur aux serveurs Windows/Linux | Ne jamais tester en production sans sauvegarde |
| Inventaire des actifs (IP, serveurs, applications) | Les tests « boîte noire » peuvent déclencher des alertes IDS |
| Responsable de projet désigné (CISO ou DSI) | Un audit incomplet = fausses conclusions |
| Budget alloué (voir tableau 4) | Respecter la législation sur la protection des données (RGPD) |
Temps estimé : 2 à 4 jours (selon la profondeur).
Compétences : connaissances de base en administration réseau, systèmes, et concepts de sécurité (authentification, chiffrement, patch management).
3️⃣ Étapes détaillées (numérotées)
3.1 Pré-cadrage (Jour 0)
- Réunion de kickoff avec la direction, le DSI et le prestataire.
- Définir le périmètre : sites, services, applications.
- Valider le niveau d’accès (boîte noire / grise / blanche).
3.2 Collecte d’inventaire (Jour 1)
Exécutez les scripts ci-dessous ; ils génèrent un CSV inventory.csv.
# Bash - Linux
#!/usr/bin/env bash
echo "Hostname,IP,OS,Kernel,PatchLevel" > inventory.csv
for host in $(cat hosts.txt); do
ip=$(nslookup $host | awk '/Address:/ {print $2}')
os=$(ssh $host "cat /etc/os-release | grep PRETTY_NAME")
kernel=$(ssh $host "uname -r")
patches=$(ssh $host "yum list installed | wc -l")
echo "$host,$ip,$os,$kernel,$patches" >> inventory.csv
done
# PowerShell - Windows
$hosts = Get-Content -Path "C:\hosts.txt"
$csv = @()
foreach ($h in $hosts) {
$ip = [System.Net.Dns]::GetHostAddresses($h) | Where-Object {$_.AddressFamily -eq 'InterNetwork'} | Select-Object -First 1
$os = (Get-WmiObject Win32_OperatingSystem).Caption
$patch = (Get-HotFix | Measure-Object).Count
$csv += [pscustomobject]@{
Hostname=$h; IP=$ip.IPAddressToString; OS=$os; PatchCount=$patch
}
}
$csv | Export-Csv -Path "C:\inventory.csv" -NoTypeInformation
Vérification
- Ouvrez le CSV : chaque ligne doit contenir ≥ 5 colonnes.
- Corrigez les hôtes non-résolus avant la suite.
3.3 Audit de gouvernance (Jour 2)
| Domaine | Points de contrôle clés |
|---|---|
| Politique de sécurité | Existence d’une charte, mise à jour annuelle |
| Gestion des accès | Utilisation du principe du moindre privilège, MFA obligatoire |
| Sensibilisation | Sessions de formation ≥ 1 par an, phishing test |
| Gestion des incidents | Plan de réponse (IRP) testé au moins une fois |
| Conformité | Alignement ISO 27001, NIS 2, DGA le cas échéant |
Utilisez le questionnaire fourni en annexe A (PDF téléchargeable).
3.4 Audit externe (boîte noire) - Test d’exposition (Jour 3)
- Scanning public avec SecurityScorecard ou Qualys.
Impact du Rowhammer sur GPU
2. Analyse Web via Mozilla Observatory et Webbkoll.
3. Vérification des services cloud (Microsoft 365 Security Center).
Rapport de résultat (extrait)
Score global : 62 / 100
Principales failles :
- Port 443 ouvert sur serveur non-patché (CVE-2025-1234)
- MDP administrateur « admin » faible (réutilisé sur 4 comptes)
3.5 Audit interne (boîte grise) - Pentest interne (Jour 4)
Utilisez un outil de type Lynis (Linux) ou PingCastle (AD) :
# Lynis audit rapide
lynis audit system --quick > lynis_report.txt
# PingCastle AD health check
Invoke-PingCastle -ReportPath "C:\PingCastleReport.html"
Vérification
- Aucun « critical » non expliqué dans le rapport.
- Si criticité > 7, planifiez une investigation immédiate.
3.6 Synthèse & feuille de route (Jour 5)
Consolidation des résultats (governance + externe + interne).
Attribution d’un score de maturité :
- 0-30 : Très faible
- 31-60 : Faible
- 61-80 : Moyenne
- 81-100 : Élevée
Priorisation des actions : Quick Wins (< 2 jours) vs Projets stratégiques (> 30 jours).
3.7 Rollback / Désinstallation (facultatif)
Si vous avez installé des agents temporaires :
# Bash - désinstaller Lynis
apt-get purge lynis -y
# PowerShell - désinstaller PingCastle
Remove-Item -Recurse -Force "C:\Program Files\PingCastle"
4️⃣ Comparaison des approches & fournisseurs (Tableau 2)
| Méthode | Niveau d’accès | Durée typique | Coût moyen (2026) | Exemple de prestataire | Points forts | Points faibles |
|---|---|---|---|---|---|---|
| Boîte noire | Aucun accès interne | 1-2 jours | 4 000 € HT | Orange Cyberdefense | Simuleur d’attaque réel | Peut manquer les config internes |
| Boîte grise | Accès utilisateur limité | 2-3 jours | 5 500 € HT | Visiativ Cyber Pilot | Combine scans externes + tests internes | Nécessite un compte test |
| Boîte blanche | Accès complet (code source) | 3-5 jours | 8 800 € HT | Bpifrance Diag Cybersécurité | Analyse profonde, conformité | Coût élevé, besoin de documentation |
| Auto-diagnostic en ligne | Aucun (questionnaire) | 10 min | Gratuit | ANSSI / Cybermalveillance.gouv.fr | Rapide, sans frais | Niveau de détail limité |
5️⃣ Coût actualisé & aides publiques (Tableau 3)
| Item | Tarif 2026 (HT) | Subvention Bpifrance (32 %) | Subvention DGA (50 % pour défense) | Coût final pour l’entreprise |
|---|---|---|---|---|
| Diag Standard | 8 800 € | 2 816 € | - | 6 000 € |
| Diag Premium | 13 200 € | 4 224 € | - | 8 976 € |
| Diag Défense | 8 800 € | - | 4 400 € | 4 400 € |
Astuce 2026 : les entreprises qui emploient ≤ 250 salariés peuvent aussi prétendre à la prime cyber (≤ 3 500 €) du plan national « Cyber PME ».
6️⃣ Exemple de livrable (Annexe B)
1. Executive Summary (score global, tendance)
2. Cartographie des actifs (inventaire + classification)
3. Analyse des vulnérabilités (détectées, criticité, exploitation)
4. Recommandations (quick wins, medium, long terme)
5. Feuille de route (délais, responsabilités, budget estimé)
6. Annexes : logs, scripts, références normatives
7️⃣ Plan d’action post-diagnostic (Checklist)
- Valider le rapport avec le comité de direction.
- Prioriser les « quick wins » (ex : mise à jour des patchs critiques).
- Mettre en place le Plan de réponse aux incidents (IRP).
- Programmer la prochaine ré-évaluation (12 mois).
- Documenter les changements dans le CMDB.
8️⃣ Conseils sectoriels (bullet points)
| Secteur | Contrôles spécifiques |
|---|---|
| Santé | chiffrement des dossiers patients, conformité HDS. |
| Finance | conformité PCI-DSS + exigences de la Banque de France. |
| Industrie | segmentation réseau (OT vs IT), protection des PLC. |
| Commerce en ligne | protection des pages de paiement, PCI-DSS, tokenisation. |
En savoir plus sur le Bac Pro cybersécurité
9️⃣ FAQ rapides
Le diagnostic nécessite-t-il un pare-feu dédié ?
Non, mais il faut que les ports 22/443 soient accessibles pour le scan.Puis-je réaliser le diagnostic sans prestataire ?
Oui, les scripts ci-dessus permettent une auto-évaluation basique.Combien de temps faut-il pour corriger les failles critiques ?
En général ≤ 48 heures si les process de patch sont déjà en place.Quel est le ROI moyen d’un diagnostic ?
Selon l’ANSSI, chaque euro investi évite en moyenne ≈ 10 € de pertes potentielles.Dois-je informer la CNIL ?
Seulement si le diagnostic implique le traitement de données personnelles non-authorisées.Quel outil choisir pour le pentest interne ?
Lynis pour Linux, PingCastle pour Active Directory, ou Metasploit pour des scénarios avancés.Le diagnostic couvre-t-il les appareils IoT ?
Pas automatiquement ; il faut les ajouter manuellement à l’inventaire.Peut-on combiner plusieurs méthodologies ?
Oui, la meilleure pratique est un mix : boîte noire + boîte grise + gouvernance.Quelles sont les obligations légales en 2026 ?
ISO 27001, NIS 2, DGA - exigences de reporting annuel et de tests périodiques.Comment choisir entre “Standard” et “Premium” ?
Si vous avez déjà une politique de sécurité, le Standard suffit.
Sinon, optez pour le Premium qui inclut les deux audits (externe + interne) et un accompagnement renforcé.
10️⃣ Conclusion
Un diagnostic cybersécurité bien conduit vous fournit une vision claire des risques, un plan d’action priorisé et la preuve de conformité aux exigences règlementaires. En suivant ce guide pas à pas, même une petite structure peut atteindre une maturité > 60 / 100 sans exploser le budget.
Ce guide a été rédigé par un senior SEO & cybersécurité, mise à jour mars 2026. Pour plus de ressources, téléchargez le PDF complet ou contactez un expert certifié ANSSI.