Retour aux articles

Check‑list sécurité pour prestataires IT de 2 à 10 utilisateurs

Les petites ESN et prestataires IT peuvent rester attractifs pour leurs clients régulés en structurant une sécurité « juste suffisante » mais démontrable. Voici une check‑list concrète pour passer les audits NIS2, DORA et CRA sans y consacrer tout votre temps.

Publié le 15 avril 2026

Cartographier vos services et dépendances critiques

Avant de parler conformité, il faut savoir ce que vous protégez. Pour un prestataire IT de 2 à 10 utilisateurs, cette étape peut rester légère mais doit être écrite :

  • listez vos services par client (infogérance, hébergement, développement, support, intégration SaaS, etc.) ;
  • identifiez les données sensibles que vous manipulez (données personnelles, financières, de santé, secrets industriels) ;
  • repérez vos dépendances clés : cloud, datacenters, éditeurs SaaS, sous‑traitants techniques ;
  • notez, pour chaque service critique, ce qui se passe si vous êtes indisponible 1 heure, 1 jour, 1 semaine.

Cette mini‑cartographie est souvent la première chose demandée lors des questionnaires de sécurité ou des audits.

Mettre en place un socle de mesures techniques indispensables

Les régulations NIS2, DORA et CRA ne vous imposent pas directement des outils précis, mais vos clients s’attendront à retrouver un socle commun de mesures :

  • Sauvegardes : au moins une sauvegarde quotidienne des systèmes et données critiques, avec stockage hors‑site ou dans un cloud séparé, et tests de restauration trimestriels.
  • Gestion des accès : MFA sur les comptes sensibles, principe du moindre privilège, désactivation rapide des comptes lors des départs.
  • Mises à jour : cycle régulier de patch management pour serveurs, postes, routeurs, firewalls, applicatifs.
  • Protection des postes : antivirus/EDR, chiffrement des disques, verrouillage automatique des sessions.
  • Réseau : segmentation minimale (production / administration / invités), VPN sécurisé pour les accès distants.

Documentez ces points dans une courte politique de sécurité : même 3 pages bien tenues valent mieux qu’une documentation inexistante.

Formaliser vos procédures de sécurité essentielles

Pour rassurer un client soumis à NIS2 ou DORA, vous devez montrer que vous savez quoi faire en cas de problème. Trois procédures simples, mais écrites, font souvent la différence :

  • Gestion des incidents : comment vous détectez, analysez, corrigez et communiquez sur un incident ; délais de notification au client ; personnes à contacter.
  • Gestion des changements : qui valide les changements techniques sensibles, comment vous les testez et les déployez, comment vous revenez en arrière en cas d’échec.
  • Continuité d’activité : scénarios de crise (panne majeure, ransomware, indisponibilité d’un datacenter ou d’un cloud), temps de reprise visés, solutions de secours.

Ces procédures peuvent tenir sur quelques pages chacune, mais doivent être connues de l’équipe et appliquées.

Structurer la relation contractuelle avec vos clients régulés

DORA insiste fortement sur la gestion des prestataires TIC par les entités financières. Même si vous êtes une petite structure, vos contrats devront progressivement intégrer :

  • des clauses de sécurité minimales (mesures techniques et organisationnelles, responsabilités) ;
  • la notification d’incident dans un délai défini, avec un contenu minimal (description, impact, mesures prises) ;
  • les droits d’audit ou, à défaut, la fourniture régulière de rapports et de preuves ;
  • la réversibilité des services (récupération des données, assistance à la migration) ;
  • l’encadrement de la sous‑traitance en cascade.

Anticiper ces clauses vous évitera des renégociations dans l’urgence et montrera que vous comprenez les contraintes de vos clients.

Préparer un « kit de preuves » pour les audits et due diligences

Les clients soumis à NIS2, DORA ou au CRA vont de plus en plus vous demander des preuves concrètes. Constituez à l’avance un petit dossier que vous pourrez partager (sous NDA si besoin) :

  • extrait de votre politique de sécurité ;
  • exemples de rapports de sauvegarde et de tests de restauration ;
  • registre simplifié des incidents et actions correctives ;
  • inventaire de vos actifs critiques ;
  • synthèse de vos procédures (incidents, changements, continuité).

Ce « kit » réduit le temps passé à répondre à chaque questionnaire et renforce votre image de prestataire structuré.

Accélérer la mise en œuvre avec un accompagnement ciblé

Mettre tout cela en place seul peut sembler lourd quand on gère déjà l’opérationnel au quotidien. Un accompagnement court et ciblé permet de transformer ces exigences en une feuille de route claire, avec des actions priorisées et réalistes pour une équipe réduite.

En une heure, il est possible de revoir votre situation, identifier les écarts principaux, bâtir une check‑list 3/6/12 mois et préparer les éléments de langage à utiliser avec vos clients régulés. Pour obtenir ce plan d’action structuré et adapté à votre taille, vous pouvez réserver une session d’accompagnement sécurité dédiée aux prestataires critiques.

Sources

  1. Directive NIS2 : votre PME est-elle concernée ? — aclg.fr — 2026-03-01
  2. NIS2 : qui est concerné en France ? Les critères officiels à connaître — nis2-info.fr — 2025-12-15
  3. Calendrier NIS2 France : ce que les entreprises doivent faire avant 2025 — nis2-info.fr — 2025-12-10
  4. ESAs publish first set of rules under DORA for ICT and third-party risk management and incident classification — eiopa.europa.eu — 2024-01-17
  5. Cyber Resilience Act — ANSSI — cyber.gouv.fr — 2025-08-01
  6. Cyber Resilience Act (CRA) : ce qui change pour les entreprises et comment s’y préparer — entreprises.gouv.fr — 2026-03-10
  7. Tour d’horizon juridique : NIS 2, DORA, Cyber Resilience Act (CRA) — roquefeuil.avocat.fr — 2025-10-01
  8. Règlement sur la cyberrésilience (Cyber Resilience Act) — fr.wikipedia.org

Découvrir le Spark lié : Conformité Sécurité des TIC pour Prestataires Critiques