Accueil
Diagnostic

Outil de diagnostic gratuit

Ce que cet outil mesure réellement

La plupart des dirigeants de PME estiment leur dispositif de continuité IT comme « correct » ou « sous contrôle ». Pourtant, lorsqu’un incident majeur survient, l’écart entre cette lecture déclarative et la réalité opérationnelle se révèle, souvent au plus mauvais moment. Cet outil interactif compare votre perception à la réalité factuelle de votre dispositif, à travers 7 paires de questions miroir couvrant la sauvegarde, la restauration, le périmètre, la résilience ransomware, le plan de reprise, la conformité réglementaire et la profondeur de supervision.

Pour chaque écart détecté, l’outil modélise une exposition financière annuelle (bas, médian, haut) calibrée sur votre chiffre d’affaires, votre effectif et votre secteur. Il distingue le coût direct d’un incident (arrêt de production, reconstruction de données, salaires improductifs, coûts indirects) de l’exposition réglementaire annuelle (NIS2, RGPD, HDS). Il dérive vos RPO et RTO effectifs, les plus probables en conditions réelles, à partir de votre cadence de sauvegarde déclarée et de la fraîcheur de votre dernier test de restauration.

Méthode actuarielle

Probabilité d’incident annuelle calibrée sur le panorama ANSSI (baseline 10 %, modulée par secteur, gouvernance, dispositif ransomware). Coût horaire d’arrêt et coûts indirects pondérés sur les baromètres Sophos State of Ransomware 2024 et IBM Cost of a Data Breach.

Pour qui

Dirigeants, DSI, RSSI et responsables infrastructure de PME ou ETI françaises (10 à 250 collaborateurs), tous secteurs d’activité. Particulièrement utile à un changement de prestataire, avant un comité de direction sur la cybersécurité, ou après un incident.

Ce que vous obtenez

Un rapport PDF (8 à 12 pages) téléchargé localement sans création de compte. Synthèse de l’écart, exposition financière modélisée, exposition réglementaire, dérivations RPO et RTO, exposition par actif et 8 à 12 pistes priorisées avec gain chiffré par incident et par an.

Confidentialité opérationnelle. Vos réponses sont traitées localement dans votre navigateur. Aucun email, aucune coordonnée, aucune transmission externe. Le rapport PDF est généré sur votre poste via html2canvas et jsPDF. À la fermeture de l’onglet, plus rien n’en subsiste, ni côté serveur, ni dans le stockage local.

Si un incident survenait demain, quelle est l’exposition financière de votre organisation ?

Le temps passe, votre activité évolue, les obligations aussi. Les outils choisis hier répondaient au contexte d’hier. Cet outil interactif fait le point en 5 à 7 minutes : votre dispositif actuel reste-t-il aligné avec vos besoins d’aujourd’hui ? Rapport PDF téléchargeable, sans inscription.

Étape 1 sur 4 : Votre situation25 %

1. Votre situation

2. Vos actifs critiques

3. Vos repères et votre dispositif

4. Votre point de situation

Votre situation

Quelques repères pour calibrer le point ensemble.

Chiffre d’affaires approximatif

Votre CA5,0 M€

0,5 M€5 M€20 M€100 M€

Granularité fine : pas de 0,1 M€ jusqu’à 5 M€, puis 0,5 M€ jusqu’à 20 M€, puis 1 M€ au-delà. Cette donnée sert au calcul du coût horaire d’arrêt et de l’exposition réglementaire : une valeur précise donne une modélisation précise.

Effectif

Votre effectif50 personnes

5502001 000

Granularité : pas de 1 jusqu’à 50, puis 5 jusqu’à 200, puis 25 au-delà. Cette donnée alimente la ligne « Masse salariale figée pendant l’incident » de la décomposition : un effectif précis donne une exposition précise.

Secteur d’activité principal

Industrie / productionSanté / médico-socialRetail / e-commerceServices aux entreprisesBTP / immobilierSecteur public / collectivitéAutre

Le secteur module deux paramètres : le coefficient appliqué au coût horaire d’arrêt (revenus immobilisés) et la part de l’effectif réellement bloquée pendant l’incident. Il ajuste également la probabilité de contrôle réglementaire pour les secteurs à régime renforcé (santé, public).

Contexte organisationnel

Trois questions courtes qui affinent la modélisation : historique vécu, transfert de risque assurantiel, gouvernance cyber.

Historique d’incidents (5 dernières années)

Aucun incident majeur dans les 5 dernières annéesCyberattaque détectée et contenue sans impact métier majeurCyberattaque avec impact métier (arrêt, perte de données, rançon)Pannes IT répétées (sans cyberattaque identifiée)Sinistre physique (incendie, inondation, vol)

Assurance cyber active

Oui, contrat actifEn cours d’évaluationNonJe ne sais pas

Référent dédié à la cybersécurité ou à la protection des données

RSSI dédié interneDPO dédié interne (sans RSSI)RSSI mutualisé externe (MSSP, RSSI à temps partagé)Aucun référent dédié

À renseigner : secteur, historique, assurance, référent.

Vos réponses sont traitées localement dans votre navigateur, sans transmission externe ni stockage persistant. À la fermeture de l’onglet, plus rien n’en subsiste.

Ce que mesure l’outil, paire par paire

Chaque domaine est évalué par deux questions miroir : l’une mesure votre lecture déclarative (ce que vous pensez avoir), l’autre mesure la réalité factuelle (ce que vos preuves permettent de défendre). L’écart entre ces deux scores nourrit la modélisation actuarielle.

Paire 1Sauvegarde
Lecture déclarative. Niveau de confiance dans la fraîcheur et la couverture des sauvegardes.
Preuve factuelle. Cadence réelle observée (CDP, horaire, quotidienne, hebdomadaire).
Paire 2Restauration
Lecture déclarative. Capacité estimée à remettre en service en cas d’incident majeur.
Preuve factuelle. Date du dernier test de restauration documenté (mois, années).
Paire 3Périmètre
Lecture déclarative. Sentiment de couverture des actifs critiques (M365, AD, ERP, postes).
Preuve factuelle. Cartographie effectivement tenue à jour ou non.
Paire 4Résilience ransomware
Lecture déclarative. Conviction que les sauvegardes résisteraient à une attaque.
Preuve factuelle. Présence vérifiée de copies immuables, identifiants distincts hors SI.
Paire 5Plan de reprise
Lecture déclarative. Existence supposée d’un PRA opérationnel.
Preuve factuelle. Documentation à jour, contacts vérifiés, exercice annuel.
Paire 6Conformité réglementaire
Lecture déclarative. Lecture du régime applicable (NIS2, RGPD, HDS).
Preuve factuelle. Cartographie documentée des obligations et plan de mise en conformité.
Paire 7Profondeur de supervision
Lecture déclarative. Confiance dans la détection rapide d’un incident.
Preuve factuelle. Tableau de bord quotidien, alertes automatiques, rétention longue.

Sources actuarielles de calibration

Les multiplicateurs et baselines de l’outil ne sont pas inventés. Ils dérivent de quatre corpus publics largement reconnus dans la communauté cybersécurité et continuité IT française et internationale.

ANSSI Panorama de la menace
Probabilité d’incident annuelle baseline 10 %, modulée par secteur, dispositif ransomware, gouvernance.
Sophos State of Ransomware 2024
Rançon médiane PME France 80 k€, taux de paiement 45 % en l’absence de plan testé.
IBM Cost of a Data Breach
Coûts indirects (perte de réputation, communication de crise, baisse activité) et leur multiplicateur.
CNIL et ANSSI sanctions 2023-2025
Plafonds pratiques observés par taille d’entité, art. 83.1 RGPD principe de proportionnalité.

L’intégralité des coefficients appliqués à votre situation est exposée dans la carte « Paramètres de modélisation » de votre rapport. Reproductible, auditable, défendable en comité de direction.

Questions fréquentes

Réponses courtes aux interrogations les plus courantes des dirigeants et DSI sur le sujet de la continuité informatique en PME.

Combien coûte une heure d’arrêt informatique en PME en 2026 ?

Selon les baromètres ANSSI et Sophos State of Ransomware 2024, le coût horaire moyen pour une PME française se situe entre 800 € pour une activité de services, 2 500 € pour le retail et 5 000 € et plus pour l’industrie ou la santé. Notre outil applique un coût horaire calibré sur votre secteur, votre chiffre d’affaires et vos actifs critiques.

Quelle est la différence entre RPO cible et RPO effectif ?

Le RPO cible est l’objectif de perte de données tolérable affiché dans votre plan. Le RPO effectif est la réalité opérationnelle : la cadence de sauvegarde réellement appliquée et la profondeur de supervision. Si votre cible est 1 h mais que vos sauvegardes sont quotidiennes sans alerte, votre RPO effectif est de 24 h. Notre outil retient le moins favorable des deux pour défendre une lecture opérationnellement crédible.

Quelle est l’amende moyenne CNIL pour une PME en 2026 ?

Le plafond légal RGPD (20 M€ ou 4 % du CA mondial) reste rarement appliqué à une PME, par principe de proportionnalité (art. 83.1 RGPD). Les sanctions effectivement prononcées par la CNIL sur 2023 à 2025 pour les TPE et PME se situent entre 5 k€ et 100 k€. Notre outil calibre l’exposition annualisée sur ces plafonds pratiques observés, pas sur le plafond légal théorique.

Mon entreprise est-elle concernée par NIS2 ?

NIS2 vise nominativement les entités essentielles (énergie, santé, transports, eau, infrastructures numériques) et les entités importantes (poste, déchets, fabrication chimique, alimentation, services postaux et fabrication électronique). Mais l’article 21.2.d entraîne un effet ricochet : les fournisseurs et sous-traitants des entités régulées doivent eux aussi documenter leurs preuves de continuité. Notre outil distingue régime direct et régime ricochet pour ajuster l’exposition réglementaire annualisée.

Combien de temps prend ce diagnostic ?

5 à 8 minutes pour 4 phases : votre situation, vos actifs critiques, vos repères et votre dispositif (7 paires miroir), puis votre point de situation. Aucune création de compte, aucun email demandé, aucune transmission externe. Vos réponses restent dans votre navigateur jusqu’à fermeture de l’onglet.

Quel est le format du rapport généré ?

Un PDF 8 à 12 pages, généré localement dans votre navigateur via html2canvas, qui reprend : l’écart entre votre lecture déclarative et la réalité factuelle, l’exposition financière modélisée (basse, médiane, haute), l’exposition réglementaire annuelle, les dérivations RPO / RTO retenues, l’exposition par actif et les pistes priorisées avec gain chiffré par incident et par an.

Sur quelles sources sont calibrés les chiffres ?

ANSSI Panorama de la menace (probabilité d’incident annuelle baseline 10 %), Sophos State of Ransomware 2024 (rançon médiane PME France 80 k€, 45 % de paiement sans plan testé), IBM Cost of a Data Breach Report (coûts indirects et de réputation), CNIL et ANSSI sanctions effectives 2023 à 2025 (plafonds pratiques par taille d’entité). Tous les paramètres appliqués sont exposés dans la carte « Paramètres de modélisation » du rapport.

Cet outil remplace-t-il un audit ANSSI ou un audit ISO 27001 ?

Non. Il s’agit d’un point de situation indicatif, conçu pour un dirigeant ou DSI qui veut objectiver l’écart entre son ressenti et la réalité opérationnelle de son dispositif de continuité. Pour une certification ISO 27001, un audit ANSSI ExpertCyber ou une mise en conformité formelle NIS2, le rapport sert de base de discussion mais ne se substitue pas à un audit normé.

Architecte et exploitant en infrastructure et cybersécurité pour PME et ETI.

Expertises

Infrastructure
Sécurité
Continuité
Communications
Vidéoprotection
Microsoft 365

Ressources

Blog
Cas clients
Ressources
Glossaire technique
Audit Flash
Diagnostic continuité

Entreprise

À propos
Manifeste
Méthodologie
Choisir son MSP
Assistance
Échange technique

Implantations en Nouvelle-Aquitaine

Nouvelle-Aquitaine Royan La Rochelle Saintes Bordeaux Limoges

Siège · RoyanVaux-sur-Mer17640, Charente-Maritime

Agence · La RochelleCharente-Maritime (17)

Zones d'interventionBordeaux (33) · Limoges (87) · Saintes (17)

05 46 05 23 22 contact@maianoinfo.com

Mentions légales Politique de confidentialité groupe-maiano.com