Une PME sous-traitante d’un groupe industriel reçoit un email un lundi matin : « Merci de compléter notre questionnaire de sécurité fournisseur d’ici vendredi prochain. Sans réponse, votre référencement sera suspendu. » Le lien ouvre un formulaire CyberVadis de 87 questions. Le responsable informatique n’a jamais entendu parler de CyberVadis. Le DPO reçoit un transfert du mail avec la mention « tu gères ? ». Le vendredi, la PME renvoie des réponses approximatives, sans preuves, avec plusieurs « en cours de déploiement » qui ne correspondent à rien de planifié.

Ce scénario se répète chaque semaine dans des centaines de PME françaises. La demande de questionnaire n’est plus une exception réservée aux grands comptes : c’est devenu une étape standard de la relation commerciale avec tout client soucieux de sa conformité NIS2 ou ISO 27001. Ce guide explique comment répondre avec précision, constituer un dossier de preuves solide, et transformer ce processus en avantage concurrentiel plutôt qu’en corvée administrative.

Pourquoi vos clients vous envoient des questionnaires de sécurité

La demande ne vient pas de nulle part. Elle découle de trois évolutions réglementaires convergentes qui ont transformé la gestion des fournisseurs en obligation de compliance.

La pression de la chaîne d’approvisionnement

L’article 21.2.d de la directive NIS2, transposée en droit français en 2025, impose explicitement aux entités concernées de gérer les risques liés à « la sécurité de la chaîne d’approvisionnement ». Concrètement : votre client grand compte, s’il est une entité NIS2 (et la liste est longue — hôpitaux, collectivités, opérateurs d’infrastructures, mais aussi beaucoup d’entreprises de taille intermédiaire dans des secteurs critiques), est tenu d’évaluer le niveau de sécurité de ses prestataires. Il ne peut pas vous imposer des mesures, mais il peut décider de ne plus travailler avec vous si votre niveau ne correspond pas à ses critères. Voir notre page conformité NIS2 pour vérifier si votre client entre dans ce périmètre.

ISO 27001 Annexe A.5.19-23 : la sécurité des relations fournisseurs

Les entreprises certifiées ou en cours de certification ISO 27001 ont une obligation directe : l’Annexe A.5.19 à A.5.23 couvre intégralement la sécurité dans les relations fournisseurs — identification des risques liés aux tiers, clauses contractuelles, suivi de la performance de sécurité, et gestion des changements. Un client certifié ISO 27001 qui ne vous soumet pas à une évaluation de sécurité serait lui-même en écart lors de son audit de certification.

La due diligence des assureurs

Les assureurs cyber ont durci leurs conditions depuis 2022. Certains imposent à leurs assurés de démontrer qu’ils évaluent leurs sous-traitants, au même titre qu’ils exigent un inventaire des actifs ou un plan de sauvegarde. Notre guide sur l’assurance cyber détaille ce que les assureurs exigent actuellement.

Les types de questionnaires que vous allez rencontrer

Il n’existe pas un questionnaire de sécurité standard. Selon votre client ou votre assureur, vous pouvez recevoir quatre formats très différents.

CyberVadis

CyberVadis est une filiale de l’agence Moody’s spécialisée dans l’évaluation de la cybersécurité des fournisseurs. Le questionnaire couvre environ une centaine de questions réparties sur dix domaines : gouvernance, gestion des actifs, contrôle des accès, cryptographie, sécurité des communications, gestion des incidents, continuité d’activité, conformité, et plus.

Ce qui distingue CyberVadis des autres : les réponses sont vérifiées par des analystes humains qui examinent les preuves documentaires que vous joignez. Un score élevé sans preuves solides sera contesté. À l’inverse, une PME avec un score modeste mais des preuves bien documentées passera mieux l’analyse qu’une PME qui affiche des niveaux élevés sans documentation.

La demande « questionnaire CyberVadis » émanant d’un client est un signal fort : ce client prend la sécurité de sa chaîne d’approvisionnement au sérieux, et votre évaluation va figurer dans son dossier de conformité.

SecurityScorecard

SecurityScorecard fonctionne différemment : c’est une notation automatisée fondée sur des signaux externes collectés en continu — domaines expirés, ports ouverts non justifiés, certificats TLS invalides, adresses IP figurant dans des bases de compromission, fuites de données identifiées. Vous n’êtes pas consulté. Votre score est calculé et rendu visible à tous les abonnés de la plateforme, que vous en soyez informé ou non.

Si votre client mentionne SecurityScorecard, c’est souvent parce qu’il a déjà regardé votre score. Un score C ou D sur SecurityScorecard peut bloquer un appel d’offres avant même que vous ayez eu l’occasion de présenter votre offre. Revendiquez votre profil sur la plateforme pour corriger les faux positifs et répondre aux anomalies détectées. L’outil test de sécurité email de nophi.sh peut vous aider à identifier les configurations de messagerie qui tirent votre score vers le bas.

Questionnaires internes client

La majorité des PME reçoivent des questionnaires propriétaires : un document Word, un formulaire Excel, ou un Google Form envoyé par l’équipe achats ou sécurité du client. La qualité de ces questionnaires est très variable — certains tiennent en quinze questions génériques, d’autres couvrent quarante pages de contrôles techniques détaillés.

Avantage : vous pouvez souvent adapter la forme de vos réponses. Inconvénient : les critères d’évaluation ne sont pas publics. Quand un questionnaire interne client pose une question imprécise, demandez une clarification par écrit — la réponse vous dit souvent plus sur ce que le client cherche vraiment que la question elle-même.

Questionnaires d’assurance cyber

Les formulaires d’assurance sont les plus engageants juridiquement. Les assureurs cyber posent des questions similaires à celles des clients, mais les réponses constituent une déclaration précontractuelle. Une inexactitude peut invalider votre contrat. Notre guide sur l’assurance cyber détaille les questions typiques et les pièges à éviter.

Un point spécifique aux questionnaires d’assurance : la formulation « à 100 % de vos systèmes » est fréquente. Un assureur peut vous demander si le MFA est déployé sur l’ensemble de vos systèmes critiques, pas seulement sur certains. Répondre « oui » quand c’est vrai pour 80 % de vos postes constitue une fausse déclaration.

Les 10 questions les plus fréquentes et comment y répondre

Quel que soit le format du questionnaire, dix sujets reviennent dans presque toutes les évaluations. Voici ce qui est attendu pour chacun.

1. Authentification multi-facteur (MFA)

L’évaluateur cherche la preuve que le MFA est activé sur les accès à distance (VPN, Microsoft 365, Google Workspace) et les applications métier critiques — pas seulement sur le compte du responsable informatique. Précisez le périmètre réel, la méthode utilisée (application d’authentification, clé FIDO2) et le pourcentage de couverture. Si le déploiement est partiel, indiquez le calendrier. Notre guide déploiement du MFA en entreprise détaille les étapes pratiques.

Preuve à joindre : capture d’écran de la configuration MFA dans votre console d’administration (Entra ID, Google Admin).

2. Plan de réponse à incident

L’évaluateur cherche un document formalisé, validé par la direction, avec des procédures par type d’incident et des délais de notification définis. Indiquez la date de la dernière version, les types d’incidents couverts (ransomware, phishing, fuite de données), et les délais que vous respectez (CNIL 72h, ANSSI 24h si NIS2). Notre plan de réponse à incident fournit la structure complète.

Preuve à joindre : page de garde du plan avec date et approbation direction.

3. Programme de sensibilisation et formation

C’est la section la plus souvent sous-traitée. L’évaluateur attend un programme structuré avec des indicateurs mesurés — pas une déclaration vague. Décrivez votre programme (e-learning, simulations de phishing, ateliers), la fréquence et les taux de participation. Les données chiffrées de simulations de phishing — taux de clics avant/après, taux de signalement — sont particulièrement appréciées. Voir la section dédiée ci-dessous.

Preuve à joindre : rapport de campagne de simulation de phishing avec indicateurs clés.

4. Chiffrement des données

Distinguez le chiffrement au repos (BitLocker, FileVault sur les postes, chiffrement des sauvegardes) du chiffrement en transit (HTTPS, TLS 1.2+ pour les échanges). Précisez si le chiffrement est activé par politique sur l’ensemble des postes ou uniquement sur certains profils.

Preuve à joindre : politique de chiffrement extraite de votre PSSI, ou configuration dans votre outil de gestion des postes.

5. Politique de sauvegarde et tests de restauration

L’évaluateur s’attend à la règle 3-2-1 (3 copies, 2 supports différents, 1 hors site) et — point souvent manquant — à la preuve que les restaurations sont testées régulièrement. Précisez la fréquence, les supports, et la date du dernier test. Une politique de sauvegarde non testée est considérée comme non fiable.

Preuve à joindre : rapport du dernier test de restauration avec date et résultat.

6. Conformité RGPD

L’évaluateur cherche le registre des traitements (article 30 RGPD), la procédure de notification des violations (articles 33-34), et les clauses contractuelles avec vos sous-traitants (article 28). Indiquez si vous avez désigné un DPO et si votre registre est à jour. Pour les aspects détaillés, consultez notre page conformité RGPD.

Preuve à joindre : page de garde du registre des traitements, ou attestation du DPO.

7. Gestion des accès et révocation

L’évaluateur s’attend à un processus formalisé d’attribution à l’arrivée et de révocation au départ, avec un délai défini. La révocation dans les 24 heures suivant le départ est la norme. Décrivez votre processus, le délai garanti, et si vous faites des revues périodiques des droits.

Preuve à joindre : procédure d’onboarding/offboarding extraite de votre PSSI.

8. Gestion des vulnérabilités

L’évaluateur cherche une politique de patch management avec des délais par criticité (critique : sous 72h, haute : sous 7 jours). Décrivez votre processus de veille (bulletins ANSSI sur cyber.gouv.fr, alertes éditeurs) et vos délais d’application des correctifs.

Preuve à joindre : politique de patch management documentée.

9. Risques liés aux tiers

La chaîne de responsabilité descend : vous êtes évalué sur votre capacité à évaluer vos propres fournisseurs. Décrivez votre processus de qualification des prestataires et les clauses contractuelles obligatoires. Si le processus n’est pas encore formalisé, dites-le honnêtement avec un calendrier de mise en place.

Preuve à joindre : extrait de votre politique de gestion des tiers ou modèle de contrat avec clauses de sécurité.

10. Continuité d’activité

L’évaluateur cherche un document définissant les systèmes prioritaires à rétablir, les délais de reprise (RTO), les pertes de données acceptables (RPO) et le mode de fonctionnement dégradé. Précisez si vous avez un PRA, un PCA ou les deux, avec la date de dernière révision et de dernier test. Notre guide PRA/PCA pour PME fournit la structure.

Preuve à joindre : page de garde du PRA/PCA avec date et approbation.

Comment nophi.sh vous aide à répondre à la section sensibilisation

La section sensibilisation est systématiquement la plus mal traitée dans les réponses des PME. La raison est simple : la plupart des entreprises ne disposent pas de données chiffrées sur leur programme de sensibilisation. Elles savent qu’elles ont fait « une formation l’an dernier », mais ne peuvent pas dire combien de personnes ont participé, ni si cela a produit un effet mesurable.

Les évaluateurs le savent. Une réponse vague sur la sensibilisation est un signal de faiblesse, même si votre MFA est parfaitement déployé.

Ce que nophi.sh génère comme preuves exportables

Chaque campagne de simulation de phishing dans nophi.sh produit un rapport structuré qui répond directement aux questions standard des questionnaires de sécurité :

Taux de participation : combien de collaborateurs ont été ciblés, combien ont interagi avec la simulation (clic sur le lien, ouverture de pièce jointe, saisie d’identifiants). Ce chiffre répond à la question « quelle proportion de vos collaborateurs est exposée à un test régulier ? »

Taux de clics et évolution dans le temps : un graphique de tendance montrant l’évolution du taux de clics sur les 6 ou 12 derniers mois est l’un des indicateurs les plus convaincants pour un évaluateur. Une courbe descendante signifie que votre programme fonctionne.

Taux de signalement : combien de collaborateurs ont signalé l’email suspect plutôt que de cliquer ou de l’ignorer. Ce taux mesure l’appropriation des bons réflexes — et c’est ce que les RSSI des grandes entreprises regardent en premier.

Rapports de formation post-clic : nophi.sh déclenche automatiquement une formation courte pour chaque collaborateur qui a cliqué. Le rapport indique combien ont suivi cette formation, ce qui répond à la question sur l’existence d’un programme correctif.

Pour CyberVadis, joignez le rapport de la dernière campagne au format PDF avec la date, le nombre de participants et les trois indicateurs clés. Pour un questionnaire d’assurance, certains assureurs demandent l’historique sur douze mois — exportable depuis votre tableau de bord nophi.sh. Une PME qui présente une courbe de taux de clics passée de 22 % à 8 % sur dix mois se distingue immédiatement d’un concurrent qui répond « nous faisons des formations de sensibilisation ».

Constituer votre dossier de preuves de sécurité

La meilleure façon de répondre rapidement à un questionnaire est de ne pas attendre de le recevoir pour rassembler les preuves. Un dossier de preuves constitué à l’avance vous permet de répondre en deux jours plutôt qu’en deux semaines.

Les documents à préparer en permanence

Documentation de gouvernance :

PSSI (Politique de Sécurité des Systèmes d’Information) validée par la direction, avec date de dernière révision. Si vous n’en avez pas encore, notre guide rédiger votre PSSI vous donne la structure complète.
Organigramme de la gouvernance sécurité (qui est responsable de quoi)
Registre des traitements RGPD (page de garde suffisante)

Documentation opérationnelle :

Politique de sauvegarde avec preuve du dernier test de restauration
Politique de gestion des accès et procédure d’offboarding
Politique de patch management
Plan de réponse à incident — voir notre guide plan de réponse à incident

Preuves de sensibilisation :

Rapports des trois à six dernières campagnes de simulation de phishing
Historique de participation aux formations
Rapport de tendance sur 12 mois (taux de clics, taux de signalement)

Preuves techniques :

Capture d’écran de la configuration MFA dans votre console d’administration
Politique de chiffrement (BitLocker/FileVault activé)
Extrait de votre politique de gestion des mises à jour

Créez un dossier partagé sécurisé avec deux sous-dossiers : « Documents courants » (versions à jour) et « Archives » (versions précédentes datées). Désignez une personne — pas une équipe — responsable de la mise à jour. Sans responsable identifié, le dossier sera obsolète en douze mois.

Quand être honnête sur vos lacunes

La tentation existe de répondre « oui » ou « en cours » à des questions dont la réponse réelle est « non ». Voici pourquoi c’est une mauvaise stratégie.

Ce que l’évaluateur sait déjà

Un évaluateur expérimenté sait qu’une PME de 50 personnes n’a pas le même niveau de sécurité qu’une ETI de 500. Il ne s’attend pas à la perfection. Ce qu’il évalue, c’est votre niveau de maturité réel et votre capacité à en avoir une vision honnête.

Une PME qui répond « nous n’avons pas encore de PSSI formalisée, mais nous avons commencé la rédaction et nous prévoyons de la valider en juin » donne une image de maturité plus solide qu’une PME qui joint un document intitulé PSSI rédigé en langage générique sans aucun lien avec sa réalité opérationnelle.

La formulation « en cours de déploiement »

C’est une réponse légitime — à condition de la compléter. « En cours de déploiement » sans date ni responsable est une réponse vide. « En cours de déploiement sur les 20 postes restants, objectif fin T2 2026, responsable : [nom] » est une réponse crédible.

Les questionnaires CyberVadis permettent souvent d’indiquer un statut « prévu » avec une date. Utilisez ce champ plutôt que de cocher « oui » de façon inexacte.

Les conséquences d’une fausse déclaration

Sur un questionnaire client : si votre client découvre qu’une réponse était inexacte — lors d’un incident, d’un audit ou d’une vérification — la confiance est rompue. La résiliation du contrat est une issue possible, assortie d’une mise en demeure si votre prestataire a subi un dommage en lien avec la mesure sur laquelle vous avez fourni une fausse réponse.

Sur un questionnaire d’assurance : la fausse déclaration est une cause de nullité du contrat d’assurance (article L113-8 du Code des assurances). Si un incident survient sur un risque pour lequel vous aviez déclaré une mesure absente, l’assureur peut refuser l’indemnisation et réclamer les primes versées.

La règle pratique : si vous n’êtes pas certain qu’une mesure est réellement en place et appliquée, ne cochez pas « oui ». Décrivez honnêtement la situation réelle.

FAQ

Thomas Ferreira, CISSP — Consultant en cybersécurité et conformité. Thomas accompagne des PME et ETI françaises dans leur mise en conformité NIS2, ISO 27001 et RGPD, et dans la structuration de leur programme de sécurité fournisseurs. Ce guide s’appuie sur les exigences de la directive NIS2 (article 21.2.d), les contrôles ISO 27001:2022 (Annexe A.5.19-23), les recommandations de l’ANSSI disponibles sur cyber.gouv.fr, et les pratiques actuelles des plateformes CyberVadis et SecurityScorecard.

Pour aller plus loin : rédiger votre PSSI · plan de réponse à incident · conformité NIS2 · conformité ISO 27001 · assurance cyber

La section sensibilisation de votre prochain questionnaire mérite des données réelles. Les simulations de phishing nophi.sh génèrent les rapports exportables attendus par CyberVadis, les assureurs et les questionnaires internes client. Lancez votre première campagne gratuitement — résultats en 48h, preuves exportables immédiatement.