Skip to main content

Chèque diagnostic Cyber : tout savoir sur l’aide aux PME

Sébastien Palais
27/10/2023
7 min read

Découvrez les conditions d’éligibilité au Chèque diagnostic Cyber, une subvention de la région Île-de-France pouvant aller jusqu’à 5.000€ pour aider les PME à renforcer leur cybersécurité.

C’est un fait : en France, les PME sont les plus touchées par la menace cyber. Le cabinet Asterès estime que 43% des organisations du pays ont été visées par une cyberattaque en 2022 – quasiment une sur deux ! –, et que 385.000 d’entre elles ont abouti. Et là, tenez-vous bien, les PME représentent près de 90% des victimes, avec 330.000 attaques réussies.

Même son de cloche de la part de l’ANSSI, l’autorité nationale en matière de sécurité numérique. 40% des attaques par ransomware traitées en 2022 visaient les TPE, PME et ETI, confirmant leur statut de cibles privilégiées pour les pirates. Pire encore, on estime que seul un tiers des PME sont suffisamment préparées pour faire face à une cyberattaque – aux deux tiers restants, nous recommandons vivement la lecture du guide de l’ANSSI La cybersécurité pour les TPE/PME en 13 questions.

Le Chèque diagnostic Cyber : une subvention de la région Île-de-France

Face à ce constat alarmant sur la vulnérabilité des entreprises françaises, l’État et les régions multiplient les aides en matière de cybersécurité. C’est dans ce contexte qu’intervient le Chèque diagnostic Cyber, une subvention de la région Île-de-France pour encourager les PME à relever leur niveau de sécurité numérique.

L’objectif du dispositif est simple : aider les PME à identifier les actions prioritaires qu’elles doivent entreprendre pour sécuriser leurs actifs numériques. Autrement dit, il s’agit de dresser un état des lieux individuel, afin que chaque PME puisse :

  1. évaluer son niveau de sécurité actuel, et sa capacité à résister à une attaque ;
  2. prendre connaissance des mesures à mettre en place pour renforcer ses défenses.

Quelles entreprises peuvent en bénéficier ?

Le Chèque diagnostic Cyber est ouvert aux associations et aux PME, sous réserve de satisfaire certaines conditions. Voici le passage en question, extrait de la notice officielle (Source) :

“Plus précisément, sont éligibles, les PME :

  • Comptant entre 10 et 249 salariés et dont le chiffre d’affaires n’excède pas 50M€ ou dont le total bilan n’excède pas 43 M€ ;
  • Qui n’appartiennent pas à un groupe dépassant ces seuils d’effectifs et de chiffre d’affaires ;
  • Dont le siège et/ou l’établissement est situé en Île-de-France ;
  • Immatriculées depuis au moins 6 mois au Registre du commerce et des sociétés et/ou au Répertoire des métiers,
  • Qui ne répondent pas à la notion d’entreprises en difficulté.”

Quel est le montant de l’aide ?

Le montant du Chèque diagnostic Cyber est de 5.000€ au maximum, avec différents paliers que voici :

  • 3.200€ de subvention à partir de 4.000€ de dépenses (Hors Taxes)
  • 4.000€ de subvention à partir de 5.000€ de dépenses (Hors Taxes)
  • 5.000€ de subvention à partir de 6.250€ de dépenses (Hors Taxes)

Jusqu’à quand ?

Le dépôt des demandes est ouvert jusqu’au 15 octobre 2026, soit dans environ 3 ans au moment où l’on écrit ces quelques lignes. Nul ne pourra se plaindre que le délai était trop court. Les demandes doivent être déposées sur la plateforme mesdemarches.iledefrance.fr – nous vous invitons à consulter la notice officielle de la subvention pour prendre connaissance des documents à fournir. 

Quel prestataire d’audit choisir ?

Le choix de l’auditeur est important, puisqu’il conditionne l’acceptation du financement par la région. L’audit doit obligatoirement être réalisé par un prestataire tiers :

  • francilien
  • et certifié PASSI par l’ANSSI ou France Cybersécurité.

Précisons ici que nous – Yogosha – répondons à ces critères :

  • l’entreprise est francilienne, puisque domiciliée à Boulogne-Billancourt, avec des bureaux dans le 2e arrondissement de Paris ;
  • et vous pouvez nous trouver dans le Catalogue France Cybersécurité 2023 ;
  • et nous réalisons des tests d’intrusion, ce qui nous amène tout droit au point suivant.

La liste des audits de sécurité éligibles au dispositif

Qui dit subvention publique dit évidemment conditions à respecter. Le Chèque diagnostic Cyber existe pour aider les PME à faire le point sur leur niveau de sécurité. Il s’agit donc de financer des audits, pas de remplacer le parc informatique de la boîte ou d’investir dans des solutions logicielles – ce qui peut être financé par une autre aide régionale, le Chèque investissement Cyber.

Les projets finançables par le Chèque diagnostic Cyber sont clairement définis, puisque la région a publié une liste des audits éligibles, que l’on vous donne en l’état :

  • les audits techniques (diagnostics des équipements, tests de vulnérabilité et d’intrusion…)
  • les audits d’architecture
  • les audits de conformité interne et/ou sectorielle
  • les audits organisationnels (évaluation de la gouvernance Cyber, des règles d’authentification, de sauvegarde, des politiques de mise à jour, des dispositifs de gestion de crise…)
  • les exercices de crise (uniquement en complémentarité avec d’autres activités d’audit décrites parmi la présente liste)

Les dépenses relatives à l’analyse forensique (a posteriori d’une attaque), à la gestion de projet et aux analyses de code ne sont pas éligibles.

Cela peut sembler évident, mais précisons que la prestation doit être accompagnée d’un rapport d’audit et d’un plan d’action détaillant les mesures correctives proposées afin que le diagnostic soit retenu.

Réaliser un test d’intrusion dans le cadre du Chèque diagnostic Cyber

Les tests de vulnérabilité et les tests d’intrusion sont des audits techniques pris en charge par le Chèque diagnostic Cyber, puisqu’ils sont mentionnés noir sur blanc dans la notice officielle. Et justement, c’est notre cœur de métier – les plus alertes nous auront vu venir de loin.

Yogosha est un spécialiste de la Sécurité Offensive, ou OffSec. Une approche proactive de la cybersécurité, qui consiste à adopter la posture d’un attaquant pour identifier les vulnérabilités des actifs numériques – systèmes d’information, réseaux, applications web et mobiles, IoT, etc.

A ce titre, nous proposons différents tests de sécurité offensifs, comme le bug bounty mais aussi le Pentest as a Service (PtaaS), notre offre de test d’intrusion. Nos experts en sécurité examinent vos actifs manuellement en utilisant toute une série d’outils, de tactiques et de procédures pour déceler les failles de sécurité. Les vulnérabilités découvertes sont priorisées et documentées avec leur score CVSS, des preuves de concept (POC) et des conseils de remédiation.

Il est difficile de vous donner un tarif fixe et universel pour un pentest, tant il dépend du périmètre du test, de sa durée et du nombre d’experts mobilisés. Mais, en règle générale, sachez que le Chèque diagnostic Cyber participe à plus de 50% du coût de nos tests d’intrusion “standards” pour une PME, avec une moyenne de 5 jours-hommes de test.

Rappelons ici que Yogosha satisfait aux exigences du Chèque diagnostic Cyber applicables aux auditeurs, puisque :

  • nous sommes une entreprise francilienne – n’hésitez pas à nous rendre visite dans nos bureaux, dans le 2e arrondissement de la capitale ;
  • nous sommes labellisé France Cybersécurité, vous pouvez nous trouver dans le Catalogue 2023 ;
  • nous réalisons des tests de vulnérabilité et des tests d’intrusion, des audits techniques éligibles à la subvention ;
  • nous délivrons un rapport d’audit, une attestation de pentest et un plan d’action aiguillant les mesures correctives à apporter à l’issue de chaque audit ;
  • nous répondons aux normes de sécurité les plus élevées et nos données sont hébergées sur le sol français : notre plateforme SaaS est hébergée via 3DS Outscale et son cloud souverain certifié SecNumCloud, la plus haute norme de sécurité française établie par l’ANSSI. Par ailleurs, la certification ISO 27001 de notre plateforme est en cours.

Soulignons également que nos opérations de Sécurité Offensive sont éligibles à d’autres financements publics, tel que le volet cybersécurité du plan France Relance. A titre d’exemple, nous vous renvoyons à cet article à propos de notre bug bounty mutualisé pour sécuriser les collectivités locales françaises, financé en partie par le plan France Relance.

Si la curiosité vous prend, vous pouvez aussi jeter un œil à certaines de nos opérations passées, comme ici avec Paris Aéroport, ou là pour tester la sécurité de MaProcuration, le dispositif numérique de demande de procuration électorale du ministère de l’Intérieur.

Vous êtes une PME à la recherche d’un test d’intrusion éligible au financement par le Chèque diagnostic Cyber ? Contactez-nous pour un devis rapide et personnalisé.

Plus ?

Interviews

eazy chez Mazars : “Il faut aller plus loin que le pentest classique”

Comment concilier cybersécurité et expertise comptable ? Christophe Ballihaut orchestre la transformation digitale du métier…
Sébastien Palais
Sébastien Palais07/03/2024

Hackers : 4 voies pour rejoindre la Yogosha Strike Force

Les chercheurs en sécurité peuvent à présent intégrer la Yogosha Strike Force (YSF) via quatre…
Yogosha
Yogosha02/02/2024

DORA : guide des tests de sécurité pour les entités réglementées

Accélérez votre mise en conformité DORA avec ce guide complet des tests de sécurité pour…
Sébastien Palais
Sébastien Palais18/12/2023