Questionnaire sécurité cyber client : comment répondre

Un de vos clients vient de vous envoyer un fichier Excel de soixante lignes. Politiques de sécurité, gestion des accès, sauvegardes, plan de continuité. Vous avez deux semaines pour le remplir. Et vous n'avez ni DSI, ni la moindre idée de ce qu'attend la personne en face.

Respirez. Ce document n'est pas un piège. C'est une demande de preuve, et il y a une bonne manière d'y répondre.

Pourquoi vos clients vous envoient ces questionnaires

Vos donneurs d'ordre sont en train de cartographier leurs risques. La directive NIS2 leur impose de surveiller la sécurité de leur chaîne d'approvisionnement, vous compris. Du coup ils vous demandent de prouver que vous ne serez pas le maillon faible par lequel une attaque remonte jusqu'à eux.

Ce mécanisme a un nom. On l'appelle la cascade NIS2 vers les sous-traitants : une grande entreprise soumise à la réglementation reporte ses exigences sur ses fournisseurs, par contrat. Le questionnaire sécurité est l'outil concret de cette cascade. C'est par là que ça commence, presque toujours.

Petit point qui rassure, et qui compte. En France, la loi de transposition de NIS2 n'est même pas encore promulguée. Son examen à l'Assemblée est attendu pour l'été 2026, et l'ANSSI a annoncé une période d'accompagnement de trois ans plutôt que des sanctions immédiates. Autrement dit, la pression qui pèse sur vous ne vient pas du régulateur. Elle vient de vos clients. Ils n'attendent pas la loi pour vous demander des comptes, parce qu'eux sont déjà engagés.

C'est une nuance utile. Vous ne risquez pas une amende parce que votre questionnaire est imparfait. Vous risquez de perdre un marché. Ce n'est pas le même problème, et ça change la façon de répondre.

Ce qu'un questionnaire sécurité contient vraiment

Les formats varient d'un client à l'autre. Certains tiennent sur une page, d'autres font cent vingt questions et réclament des justificatifs. Mais sous la diversité, on retrouve toujours les mêmes familles. Les connaître à l'avance vous évite de découvrir le sujet question par question.

Gouvernance et organisation

Qui décide de la sécurité chez vous ? Existe-t-il une politique écrite, même courte ? Une personne responsable, même à temps partiel ? Des règles d'accès documentées ? Comment gérez-vous les départs de salariés et la révocation de leurs accès ?

C'est souvent la partie qui désarçonne le plus les PME industrielles. Pas parce que rien n'est fait, mais parce que rien n'est écrit. Vous avez peut-être des pratiques solides depuis quinze ans. Si elles ne sont nulle part formalisées, le questionnaire les considère comme inexistantes.

Mesures techniques

État des sauvegardes, fréquence, tests de restauration. Gestion des mots de passe. Mises à jour des systèmes. Protection des accès distants, surtout depuis le télétravail. Antivirus, pare-feu, segmentation du réseau. Chiffrement des données sensibles.

Là, votre prestataire IT habituel détient une bonne partie des réponses. Encore faut-il le solliciter et traduire ce qu'il fait en langage de questionnaire. Beaucoup de dirigeants répondent "je crois qu'on a ça" sans vérifier. Mauvaise idée. Une réponse engage.

Gestion des incidents et des sous-traitants

Que se passe-t-il chez vous en cas d'attaque ? Qui prévenez-vous, et dans quel délai ? Avez-vous déjà testé un scénario ? Et vos propres fournisseurs, ceux qui ont accès à vos systèmes, comment les contrôlez-vous ?

Cette dernière question piège tout le monde. La PME qui reçoit le questionnaire est elle-même quelqu'un dont on cascade les exigences plus bas. Votre intégrateur, votre prestataire de maintenance, votre éditeur de logiciel métier ont peut-être un accès à vos machines. Vos clients veulent savoir si vous le maîtrisez.

Les deux erreurs qui coûtent cher

Devant un questionnaire qu'on ne comprend qu'à moitié, deux réflexes. Les deux sont mauvais.

Cocher "oui" partout

Tentant. Rapide. Vous renvoyez le document en vingt minutes, le client est content, le marché est sauvé. Sauf que vous venez de signer une déclaration.

Ce questionnaire devient une pièce contractuelle. Le jour où votre client réclame un audit, ou pire, le jour où un incident survient et qu'on remonte la chaîne, vos réponses sont ressorties. Si vous avez déclaré "oui, nous testons nos sauvegardes tous les trimestres" alors que personne ne l'a jamais fait, vous n'êtes plus seulement non conforme. Vous avez menti par écrit à un partenaire commercial. Les conséquences vont de la rupture de contrat à la mise en cause de votre responsabilité.

Un "conforme" que vous ne pouvez pas prouver est plus dangereux qu'un "pas encore" assumé.

Répondre dans la panique, seul, la veille de l'échéance

L'autre extrême. Le questionnaire traîne trois semaines, personne ne s'en empare, et le vendredi soir avant la date limite, le gérant ou le DAF se retrouve seul devant le fichier. Il invente des réponses approximatives, laisse des cases vides, joint un document qui n'a rien à voir.

Le résultat se voit immédiatement côté client. Une réponse bâclée envoie un signal clair : cette entreprise ne maîtrise pas le sujet. Dans l'automobile ou l'aéronautique, où ces questionnaires sont devenus des filtres d'entrée, ça suffit à vous écarter d'une liste de fournisseurs référencés.

Comment répondre, concrètement

La bonne réponse tient en trois principes.

D'abord, dire la vérité. Ce qui est en place, vous le déclarez et vous pouvez le prouver. Ce qui ne l'est pas, vous ne le cachez pas. Un acheteur expérimenté préfère un fournisseur lucide sur ses écarts à un fournisseur qui coche tout sans broncher. Le premier est gérable. Le second est un risque caché.

Ensuite, accompagner chaque "non" d'un plan. "Nous ne testons pas encore nos restaurations de sauvegarde de façon planifiée, c'est prévu au deuxième semestre" vaut infiniment mieux qu'une case vide ou qu'un faux "oui". Vous montrez que vous avez compris l'enjeu et que vous avancez. C'est exactement ce que votre client veut voir : pas la perfection, une trajectoire.

Enfin, documenter. Une politique de sécurité de deux pages, une procédure de sauvegarde, une liste des accès tiers. Ces pièces transforment vos déclarations en preuves. Sans elles, vos réponses ne valent que votre parole.

Le problème, c'est que ces trois principes supposent une chose que beaucoup de PME n'ont pas : une vision claire de leur propre situation. On ne peut pas déclarer honnêtement ce qu'on n'a jamais mesuré. C'est là que le diagnostic de conformité entre en jeu. Il établit l'état réel de votre sécurité, point par point, et produit le plan d'action qui alimente directement vos réponses au questionnaire. Vous ne remplissez plus à l'aveugle. Vous remplissez avec un dossier en main.

Qui doit remplir le questionnaire dans votre entreprise

Mauvaise réponse fréquente : le stagiaire, ou la première personne disponible.

Un questionnaire sécurité touche à la gouvernance, à la technique et au juridique. Personne, dans une PME sans équipe IT, ne couvre les trois seul. La bonne approche est collective, même si une personne pilote.

Le dirigeant ou le DAF porte les questions de gouvernance et d'organisation : qui décide, quelles règles, quels engagements l'entreprise peut tenir. Le prestataire IT, interne ou externe, fournit la matière technique. Et quelqu'un doit relire l'ensemble avec en tête que ce document engage l'entreprise, au même titre qu'un contrat.

Dans les faits, c'est souvent le DAF qui hérite du dossier. Il voit passer les exigences clients, les questions d'assurance cyber, les sujets de risque. Logique. Mais il a besoin d'appui technique pour ne pas répondre de travers sur les volets qu'il ne maîtrise pas. Le faire seul, c'est s'exposer.

Ce qui se passe après votre réponse

Vous renvoyez le questionnaire. Et ensuite ?

Trois cas. Le plus simple : votre client valide, vous restez référencé, le sujet est clos pour cette année. Le deuxième : votre client revient avec des demandes précises, "il nous faut votre politique de sauvegarde" ou "merci de corriger ce point sous trois mois". Le troisième, plus rare mais réel : un audit, où un tiers vient vérifier sur place que vos déclarations tiennent.

Dans les trois cas, le même principe protège : avoir répondu juste. Un questionnaire honnête, étayé par un plan d'action, vous met en position de tenir la conversation suivante. Un questionnaire gonflé vous met en position de devoir expliquer un mensonge.

Et ces demandes reviennent. Une fois que la cascade s'est mise en marche dans votre secteur, les questionnaires deviennent annuels, parfois trimestriels. Le réflexe à prendre n'est pas de les subir un par un, mais de construire une fois pour toutes le socle qui permet d'y répondre vite et bien.

Transformer la contrainte en avance

Voilà le retournement que peu de dirigeants voient venir.

Le questionnaire sécurité ressemble à une corvée. C'est aussi un signal de marché. Si vos clients commencent à les envoyer, c'est que la conformité est en train de devenir un critère de sélection dans votre filière. Les fournisseurs qui s'y mettent tôt prennent une longueur d'avance, et elle est difficile à rattraper.

Concrètement, une PME qui peut répondre à un questionnaire sécurité en deux jours, dossier à l'appui, pendant que ses concurrents galèrent trois semaines, gagne sur deux tableaux. Elle rassure ses clients actuels. Et elle devient un argument commercial face à de nouveaux donneurs d'ordre qui filtrent justement sur ce critère.

C'est aussi la première marche vers la certification ISO 27001, que certains secteurs finissent par exiger. Le travail fait pour répondre proprement aux questionnaires n'est jamais perdu. Il alimente directement une démarche de conformité plus large, décrite dans notre guide complet de la conformité NIS2.

Le premier questionnaire fait peur. Le dixième, vous le remplissez en buvant votre café. La différence entre les deux, c'est d'avoir pris le sujet à bras-le-corps une fois, au lieu de le repousser à chaque échéance.