Trois niveaux d'intervention, trois cas d'usage différents
En matière de qualification de la maturité cyber d'une organisation, l'offre disponible s'étend d'une prestation gratuite de 2 heures à un audit de conformité complet pouvant durer plusieurs mois. Entre ces deux extrêmes, le Diagnostic Flash est une porte d'entrée payante mais rapide. Voici comment choisir.
MonAideCyber (ANSSI) — Le niveau gratuit
MonAideCyber est un dispositif de l'ANSSI permettant à toute organisation française de bénéficier d'un accompagnement cybersécurité gratuit par un prestataire labellisé. L'intervention dure environ 2 à 3 heures et se conclut par un plan d'action priorisé sur les bonnes pratiques essentielles.
Pour qui : TPE, PME, associations, collectivités locales qui démarrent leur démarche cyber. La cible est une organisation qui n'a aucune évaluation existante et souhaite un premier regard externe structuré.
Limites : MonAideCyber n'adresse pas la conformité réglementaire (NIS2, CRA, RGPD). Il ne produit pas un livrable utilisable dans une relation avec un donneur d'ordre, un auditeur ou une autorité de supervision. Il ne couvre pas les systèmes OT ou les dispositifs médicaux. C'est une excellente introduction, pas une réponse aux enjeux réglementaires des ETI.
Le Diagnostic Flash — Le niveau payant rapide
Le Diagnostic Flash d'ACESO CONSEIL est une mission courte (2 à 3 jours de travail sur 1 à 2 semaines calendaires) dont le livrable est une synthèse de 8 à 12 pages orientée COMEX, accompagnée d'une restitution orale d'une heure.
Pour qui : ETI (200 à 2000 salariés) qui ont identifié une obligation réglementaire (NIS2, CRA, audit client) mais n'ont pas encore de cartographie de leur exposition réelle. Le Diagnostic Flash répond à la question : "Concrètement, qu'est-ce qui nous est applicable, dans quel délai, et par quoi commencer ?"
Ce que le Diagnostic Flash n'est pas : ce n'est pas un audit technique, ni une analyse de configuration, ni un test d'intrusion. C'est une lecture stratégique et réglementaire de la situation de l'organisation — conçue pour la direction générale, pas pour la DSI.
Ce qu'il produit : une cartographie de l'exposition réglementaire (NIS2, CRA, RGPD selon pertinence), une priorisation des risques par impact métier, et une feuille de route des 6 premiers mois. Un livrable auditable, documenté, exploitable immédiatement.
L'audit de conformité complet — Le niveau structurant
Les missions longues d'ACESO CONSEIL (3 à 9 mois selon le périmètre) produisent les livrables complets exigés par NIS2, le CRA ou le RGPD : PSSI, cartographie des risques, plan de traitement, preuves documentaires opposables aux autorités de supervision.
Pour qui : ETI ayant déjà réalisé un diagnostic (interne ou Diagnostic Flash) et souhaitant engager la mise en conformité effective. Également pertinent pour les organisations ayant reçu une notification de qualification NIS2, une mise en demeure CNIL, ou une exigence de leur donneur d'ordre principal.
La règle de décision en trois questions
- Avez-vous déjà une évaluation de votre exposition réglementaire ? Si non, commencez par un Diagnostic Flash. MonAideCyber est pertinent si vous n'avez pas encore de conscience du sujet cyber en général.
- Avez-vous une obligation réglementaire identifiée avec un délai ? Si oui, le Diagnostic Flash vous permettra de calibrer la mission longue nécessaire — et son budget.
- Avez-vous reçu une notification, une mise en demeure, ou une demande d'audit client ? Dans ce cas, passez directement à la mission longue : le temps de qualification est déjà brûlé.