Diagnostic & audits de cybersécurité

Sécurité informatique pour études notariales, cabinets et professions réglementées
Prisme Pro · 45290 Nogent-sur-Vernisson · 06 74 91 31 84 · contact@prisme-pro.net

Cette grille présente les 5 niveaux de mission que je propose, du simple constat gratuit jusqu'à l'audit approfondi.

L'idée est de vous laisser choisir selon votre niveau de préoccupation et votre budget, sans vous imposer une formule trop lourde dès le premier contact. La plupart des cabinets démarrent au niveau 0 ou 1 pour découvrir, et montent en gamme par la suite si nécessaire.

Cliquez sur chaque ligne pour afficher le détail.

Comment se passe concrètement une mission

  1. Premier contact : email ou téléphone, 15 à 20 minutes, sans engagement.
  2. Signature d'un mandat (autorisation écrite obligatoire) si on passe à une mission payante.
  3. Réalisation de l'audit : entre 1 jour et 2 semaines selon le niveau, en dehors de vos heures d'activité si vous le souhaitez.
  4. Remise du rapport : une version technique + une synthèse simple en français accessible.
  5. Restitution téléphonique ou visio pour vous expliquer les conclusions (à partir du niveau 2).

Les niveaux de mission

Niveau 0
Constat de visibilité externe
Ce qu'un attaquant peut voir de chez lui, sans toucher à votre site
Gratuit

Qu'est-ce que je fais ?

J'utilise uniquement des bases d'information publiques (annuaires DNS, registres officiels, archives Internet). Je n'envoie aucune requête vers vos serveurs. C'est l'équivalent de consulter le cadastre public pour étudier une parcelle, sans pénétrer chez vous.

Ce que je cherche concrètement

  • Usurpation d'email possible : est-ce que quelqu'un peut envoyer un mail en se faisant passer pour vous (fraude au virement type "votre IBAN a changé") ?
  • Noms de domaine pièges : est-ce que des escrocs ont acheté des variantes proches de votre nom (perrochon-notaire.com, perrochon-actes.fr, etc.) pour piéger vos clients ?
  • Sous-sites oubliés : ancien webmail, vieille interface de gestion qui traîne encore en ligne et que vous ne surveillez plus
  • Fuites publiques : votre nom ou celui de l'étude apparaît-il dans des bases de données piratées disponibles publiquement ?

Ce que je vous livre

Un document PDF d'une page avec mes 3 à 5 constats principaux et leur niveau de risque. Je ne facture rien. C'est ma manière de me présenter aux confrères de la région.

Exemple concret : sur une étude analysée, j'ai trouvé que n'importe qui pouvait envoyer un email apparaissant comme provenant de "maitre.x@etude-x.fr". La correction est techniquement simple (quelques lignes à ajouter dans la configuration de votre nom de domaine). Je vous remets dans le constat les instructions précises pour votre informaticien habituel — ou, si vous préférez, je m'en charge dans le cadre du Niveau 1 (qui inclut aussi la récupération de vos accès si vous les avez perdus, ce qui est très fréquent).
Durée 2 à 4 heures de mon côté, vous n'avez rien à faire
Délai de livraison Sous 48 à 72 heures
Pour qui ? Toute étude / cabinet, sans engagement, sans condition
Niveau 1
Audit ExpressPremier pas conseillé
Vérification rapide de l'hygiène de base de votre site
490 € HT

Qu'est-ce que je fais ?

Une fois que vous avez signé l'autorisation écrite (mandat), je peux toucher à votre site pour vérifier comment il est configuré. C'est la même différence qu'entre regarder une maison depuis la rue (gratuit, sans permission) et faire le tour du jardin pour vérifier les serrures des portes (avec votre accord).

Ce que je cherche concrètement

  • Récupération de vos accès techniques égarés : qui héberge votre nom de domaine, où sont vos accès administrateur, comment les récupérer si vous les avez perdus. Très fréquent : beaucoup de cabinets ne savent plus qui gère leur infrastructure technique. Je m'occupe du whois, du contact registrar et de la procédure de récupération.
  • Correction des défauts de protection email identifiés au Niveau 0 : configuration anti-usurpation (SPF/DKIM/DMARC) pour empêcher la fraude au virement par usurpation de votre adresse
  • Protections invisibles manquantes : votre site dit-il aux navigateurs comment se protéger contre les attaques classiques ?
  • Fichiers techniques oubliés en ligne : des choses comme un ancien fichier de configuration avec des mots de passe, une sauvegarde de site, un dossier "/admin" non protégé
  • Vieilles versions de logiciels : le site utilise-t-il une version de WordPress, PHP ou autre qui a des failles connues et patchées depuis longtemps ?
  • Cookies sans protection : les fichiers que votre site dépose chez vos visiteurs sont-ils sécurisés contre le vol ?
  • Liste des sous-sites actifs : combien de sites secondaires dépendent de votre nom de domaine, et lesquels sont à surveiller ?

Ce que je vous livre

  • Un rapport PDF de 4 à 6 pages en français accessible
  • Un inventaire de votre patrimoine numérique : registrar, hébergeur, comptes administrateurs identifiés, accès récupérés ou procédure formelle pour les récupérer
  • Une liste d'actions concrètes classées par priorité (à faire en urgence / dans le mois / éventuellement)
  • Pour chaque problème : ce que c'est, pourquoi c'est un risque, et comment le corriger
  • Conservation légale : carnet de mission signé électroniquement (preuve en cas de litige)
Exemple typique : sur un audit Niveau 1, on trouve souvent 5 à 8 améliorations à faire, dont 1 ou 2 prioritaires (mise à jour serveur, suppression d'un dossier exposé). La plupart se corrigent gratuitement ou pour quelques heures de votre informaticien habituel.
Durée 1 journée de mon côté
Délai de livraison Sous 5 jours ouvrés
Pour qui ? Étude / cabinet de 1 à 3 collaborateurs, site vitrine sans espace client
Mandat requis Oui (signature obligatoire avant démarrage)
Niveau 2
Audit Visibilité Étendue
Vérification poussée du site + cartographie complète
990 € HT

Qu'est-ce que je fais en plus du Niveau 1 ?

J'inclus tout ce qui est dans le Niveau 1, et j'ajoute une cartographie complète de votre présence en ligne. Imaginez un état des lieux complet de tout ce qui touche votre nom : site principal, sous-sites, anciens projets, traces dans les moteurs de recherche, fuites publiques éventuelles.

Ce que je cherche en plus

  • Recherche dans le code de votre site : y a-t-il des clés, mots de passe ou identifiants oubliés dans le code visible publiquement ?
  • Recherche de fuites historiques : votre étude ou ses anciens collaborateurs apparaissent-ils dans des bases d'identifiants piratés ?
  • Vérification des 10 failles les plus courantes en 2026 (référentiel OWASP, le standard international)
  • Analyse de la chaîne de risques : si un petit problème + un autre petit problème peuvent se combiner pour devenir un gros problème
  • Mapping conformité RGPD : votre traitement des données respecte-t-il les obligations légales de sécurité (article 32 du RGPD) ?

Ce que je vous livre

  • Un rapport PDF de 10 à 15 pages
  • Une cartographie visuelle de vos points d'exposition (un schéma simple pour comprendre où sont les risques)
  • Le plan d'action priorisé avec, pour chaque action, une estimation du coût et du délai
  • Mapping aux normes : OWASP, RGPD article 32, ISO 27001
  • Un appel de restitution de 30 minutes pour vous expliquer les conclusions
Durée 2 à 3 jours
Délai de livraison Sous 10 jours ouvrés
Pour qui ? Étude / cabinet 3 à 8 collaborateurs, site avec quelques formulaires ou un petit espace client
Mandat requis Oui
Niveau 3
Audit Sécurité Standard
Vérification active : test si on peut réellement entrer
1 900 € HT

Qu'est-ce que je fais en plus du Niveau 2 ?

Je passe en mode test d'intrusion contrôlé. Au lieu de juste regarder votre site, je vais essayer activement de l'attaquer comme le ferait un cybercriminel, mais avec des techniques sans risque pour votre activité (aucune donnée modifiée, aucune saturation, juste des tests de "preuve de concept").

Comparaison : c'est la différence entre vérifier qu'une porte a un verrou (Niveau 2) et essayer réellement de la crocheter sans la casser (Niveau 3).

Ce que je teste activement

  • Injection SQL : est-ce qu'on peut accéder à votre base de données depuis votre formulaire de contact ? (test inoffensif)
  • Injection JavaScript (XSS) : est-ce qu'un attaquant pourrait afficher de faux messages sur votre site pour piéger vos clients ?
  • Contournement d'authentification : est-ce qu'on peut accéder à votre espace de gestion sans connaître le mot de passe ?
  • Force brute légère : combien de tentatives de mot de passe peut-on faire avant blocage ? (limité à 10 tentatives pour rester inoffensif)
  • Test de configuration cookies & sessions : peut-on détourner une session utilisateur ?
  • Test des pages cachées : y a-t-il des espaces d'administration accessibles sans authentification ?

Ce que je vous livre

  • Un rapport technique de 20 à 30 pages avec preuves (captures, extraits HTTP)
  • Une synthèse exécutive de 2 pages en langage non technique (utilisable pour votre assurance, votre expert-comptable ou votre direction)
  • Un score de maturité sur 100 pour vous situer par rapport au marché
  • Pour chaque problème trouvé : la preuve technique, l'impact business, et la solution chiffrée
  • Un appel de restitution de 1 heure
  • Carnet de mission signé électroniquement (preuve légale opposable)
Niveau typique de rapport : 3 à 8 vulnérabilités trouvées en moyenne, classées "critiques / élevées / moyennes / faibles", avec un plan de remédiation chiffré pour chaque.
Durée 4 à 5 jours
Délai de livraison Sous 15 jours ouvrés
Pour qui ? Étude / cabinet 8 à 15 collaborateurs, ou présence d'un véritable espace client en ligne
Mandat requis Oui (mandat de test d'intrusion formel)
Niveau 4
Audit Approfondi avec accès
Test depuis l'intérieur, comme un employé malveillant ou un compte volé
3 500 € HT

Qu'est-ce que je fais en plus du Niveau 3 ?

Je teste votre système avec deux comptes utilisateurs que vous me fournissez (deux comptes de test, créés exprès pour l'audit, pas vos vrais comptes clients). Je peux ainsi vérifier si un utilisateur peut accéder aux données d'un autre — c'est le scénario "employé curieux" ou "compte volé".

Comparaison : Niveau 3 c'est tester les serrures de la porte d'entrée. Niveau 4 c'est aussi tester si une clé donnée à un collaborateur ouvre plus de portes qu'elle ne devrait.

Ce que je teste en plus

  • Cloisonnement entre utilisateurs : avec mon compte A, puis-je accéder aux documents du compte B en changeant juste un numéro dans l'URL ? (faille très répandue)
  • Escalade de privilèges : un utilisateur peut-il se transformer en administrateur par une manipulation ?
  • Manipulation de session : peut-on forger ou modifier un jeton d'authentification ?
  • Logique métier : peut-on contourner les règles métier (ex : modifier le prix d'un acte facturé, accéder à un dossier d'un autre client) ?
  • Audit de facturation électronique : votre flux de facturation dématérialisée (normes B2B Factur-X entrant en vigueur 2026-2027) est-il conforme et sécurisé ?
  • Recherche de secrets sur dépôts publics (scan TruffleHog-style : votre nom ou domaine apparaît-il dans des fuites de code source GitHub) ?
  • Tests d'attaque chaînée (SSRF) : peut-on utiliser votre serveur pour pivoter vers des systèmes internes ?

Ce que je vous livre

  • Un rapport technique de 40 à 60 pages
  • Un rapport exécutif de 5 à 8 pages utilisable comme démonstration de diligence (assurance cyber, contrôle CNIL, contrôle de la chambre des notaires)
  • Plan de remédiation chiffré poste par poste (matériel, logiciels, prestations externes)
  • Une restitution en visioconférence d'1 heure
  • Re-test offert sur les 3 vulnérabilités les plus critiques après que vous les ayez corrigées (sous 60 jours)
Durée 8 à 10 jours
Délai de livraison Sous 3 semaines
Pour qui ? Étude / cabinet 15+ collaborateurs, ou traitement de données sensibles à grande échelle (succession, contentieux, immobilier complexe)
Pré-requis 2 comptes utilisateurs de test fournis par vos soins + mandat signé

Pour démarrer la discussion

Un simple email ou un appel suffit pour le constat gratuit (Niveau 0). Aucun engagement.

Email : contact@prisme-pro.net
Téléphone : 06 74 91 31 84
Adresse : 425 Route de Nevers, 45290 Nogent-sur-Vernisson
Prisme Pro · SIRET 513 938 217 00033 · APE 6201Z
Document à titre indicatif — les tarifs s'entendent hors taxes, franchise de TVA art. 293 B CGI