Audit cyber exigé par un client grand compte : comment répondre ?
De plus en plus de grands comptes — grandes entreprises, ETI, administrations, industriels — imposent à leurs sous-traitants et fournisseurs des exigences de cybersécurité formalisées. Questionnaire de sécurité, audit par le client, rapport de pentest, certification... Face à ces demandes, les PME sous-traitantes sont souvent démunies. Ce guide vous explique comment y répondre efficacement et en faire un avantage concurrentiel.
Pourquoi les grands comptes imposent ces exigences
Ce durcissement des exigences envers les sous-traitants a plusieurs origines convergentes :
NIS2 et la sécurité de la chaîne d'approvisionnement
La directive NIS2 (article 21.2d) impose aux entités essentielles et importantes de gérer les risques de sécurité liés à leurs fournisseurs et sous-traitants. Cette obligation se répercute contractuellement sur leurs prestataires.
Les incidents via la supply chain
Des attaques majeures (SolarWinds, Kaseya, MOVEit) ont montré que compromettre un sous-traitant permet d'accéder au grand compte. Les RSSI des grandes entreprises ont reçu instruction de sécuriser leur écosystème.
Les audits CNIL et les exigences RGPD
Si votre client traite des données personnelles et que vous y avez accès, vous êtes son sous-traitant RGPD. Il doit vérifier que vous offrez des garanties suffisantes (article 28 RGPD). L'audit cybersécurité est un moyen de le vérifier.
Les exigences des assureurs cyber
Les assureurs cyber exigent désormais que les assurés vérifient la sécurité de leurs sous-traitants. Votre grand compte répercute ces exigences sur vous pour protéger sa prime d'assurance.
Les 4 formes d'exigences les plus courantes
1. Le questionnaire de sécurité (SSAQ / SIG / questionnaire maison)
Le plus courant. Le grand compte vous envoie un questionnaire de 50 à 200 questions sur votre organisation, vos processus et vos mesures techniques. Exemples : SIG Lite (SANS), questionnaires TISAX (automobile), questionnaires maison des grandes banques ou industriels.
Comment répondre :
- Répondez honnêtement — les incohérences sont détectées lors des audits de suivi
- Pour les questions sur lesquelles vous n'êtes pas encore conformes, indiquez votre plan d'action et l'échéance
- Demandez au RSSI de votre client ce qui est vraiment prioritaire pour lui
2. L'audit par le client ou son prestataire
Le grand compte mandate un auditeur (interne ou externe) pour venir évaluer votre sécurité sur site. Durée : 1 à 3 jours. Périmètre : souvent ciblé sur les données ou systèmes du client que vous traitez.
Comment répondre :
- Préparez une documentation complète : PSSI, inventaire des accès, procédures
- Faites réaliser votre propre audit interne avant pour identifier et corriger les points faibles
- Désignez un interlocuteur dédié qui connaît votre organisation de sécurité
3. La demande de rapport de pentest ou d'audit tiers
Le grand compte vous demande de lui fournir le rapport d'un audit récent (moins de 12 mois) réalisé par un prestataire indépendant et qualifié. Il peut exiger la mention PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information).
Comment répondre :
- Faites réaliser un audit par un prestataire qualifié PASSI — c'est souvent une condition sine qua non
- Vérifiez que votre rapport couvre le périmètre qui intéresse votre client
- Partagez uniquement un résumé exécutif sécurisé — pas le rapport complet avec tous les détails techniques
4. L'exigence de certification
Certains clients, notamment dans l'industrie (TISAX), la défense (homologation), la santé (HDS) ou la finance (SOC 2) exigent une certification reconnue. C'est l'exigence la plus structurante mais aussi la plus valorisante.
Comment répondre :
- ISO 27001 : certification internationale, reconnue par tous les grands comptes, 6 à 18 mois pour l'obtenir
- TISAX : obligatoire pour les fournisseurs de l'industrie automobile allemande
- SOC 2 Type II : requis par de nombreux clients américains et startups tech
- Un RSSI externalisé peut piloter l'obtention de ces certifications
Que risque-t-on en cas de non-conformité ?
La réponse varie selon la contractualisation, mais les risques sont réels :
- Perte du contrat : le grand compte peut conditionner le renouvellement ou la signature à la conformité cybersécurité
- Exclusion des appels d'offres : dans les secteurs réglementés (défense, santé, finance), la non-conformité peut entraîner une disqualification directe
- Responsabilité contractuelle : si un incident chez vous impacte le grand compte, la clause de sécurité du contrat vous expose à des pénalités ou demandes d'indemnisation
- Audit de conformité imposé : le client peut se réserver le droit de faire auditer votre sécurité à ses frais, mais à vos risques si des lacunes sont trouvées
Transformer l'exigence en avantage concurrentiel
Les PME les plus malins ne subissent pas ces exigences — elles les anticipent et en font un argument commercial. Quelques exemples concrets :
Répondez à l'exigence de votre grand compte
Nos experts vous aident à répondre aux questionnaires de sécurité, réaliser l'audit demandé par votre client et constituer un dossier de conformité adapté à ses exigences. Délai de réponse rapide.
Répondre à l'exigence de mon client