Diag Cybersécurité s’adresse aux entreprises de tous les secteurs, sauf les entreprises du secteur de la Défense pour qui le programme approprié est le Diagnostic Cyberdéfense. Par ailleurs, des startups et ETI peuvent également être éligibles en fonction du périmètre d’intervention concerné. Les petites et moyennes entreprises sont souvent limitées par le manque de ressources par rapport aux grandes organisations, ce qui peut les empêcher d'investir dans des mesures de cybersécurité solides.
« Face à une cybermenace grandissante, ce diagnostic vise à donner aux PME les armes pour se défendre et à diffuser une véritable culture de la cybersécurité dans les PME en les accompagnant dans la prévention du risque d’attaques et dans la sécurisation de leur système d’information. Cet enjeu stratégique pour assurer la résilience de leurs activités est au cœur de l’ambition de Bpifrance », explique Guillaume Mortelier, Directeur Exécutif en charge de l’Accompagnement de Bpifrance.
Un parcours en quatre étapes
Au cours d’une mission de quatre jours et en quatre étapes, l’expert établira un bilan des forces et faiblesses de la protection du système d’information de l’entreprise, sensibilisera le Comité de direction et diffuser les bonnes pratiques en matière de cybersécurité, proposera des recommandations efficaces, adaptées à la situation de l’entreprise et rapidement actionnables pour assurer un niveau de sécurité adéquat. Ce diagnostic, pris en charge à 50 % par Bpifrance, ne concerne qu’un seul site physique, mais l’entreprise a la possibilité d’en effectuer plusieurs (sur différents sites).La mission de quatre jours débute avec un pré-bilan téléphonique avec le dirigeant ou le responsable SI pour définir les objectifs de la mission. En second lieu, une visite sur site permet de sensibiliser le CODIR aux grands principes de protection à adopter, évaluer le niveau de sécurité des infrastructures SI (salle serveur, postes sensibles, équipements industriels connectés au réseau…) et des entretiens avec les acteurs clés du SI. Vient ensuite la définition du niveau de maturité cyber des pratiques actuelles et l’évaluation de la vulnérabilité des actifs de l’entreprise. Enfin, l’expert remet un plan d’action au dirigeant avec des recommandations adaptées aux spécificités et au contexte de l’entreprise.