Vous êtes DSI ou directeur technique. Vous venez de recevoir un email d'un grand compte avec une pièce jointe : un questionnaire sécurité. Trente, cinquante, parfois quatre-vingts lignes. Beaucoup de termes que vous ne maîtrisez pas. Une échéance courte. Et derrière : un contrat que vous voulez signer ou conserver.

Vous n'êtes pas seul dans cette situation. Dans les boîtes de 100 à 500 personnes, c'est souvent le DSI ou le CTO qui hérite de ces questionnaires, parce qu'il n'y a pas de responsable sécurité dédié. L'objectif ici n'est pas de vous former à la cybersécurité, c'est de vous donner les réflexes immédiats pour ne pas vous tirer une balle dans le pied.

Pourquoi vous n'avez surtout pas envie de répondre au feeling

Quand on remplit ces questionnaires dans l'urgence, trois pièges reviennent toujours.

Le premier, c'est de répondre "oui" parce que ça a l'air bien. Sauf que le questionnaire est souvent intégré au contrat. Si vous écrivez "oui, nous chiffrons toutes les données au repos" et que ce n'est pas vrai, vous venez de créer une clause que vous ne tenez pas. Le jour d'un incident, l'acheteur peut s'en servir pour résilier ou demander des comptes.

Le deuxième, c'est l'inverse : répondre "non" sec, sans rien expliquer. "Non, nous n'avons pas de plan de continuité d'activité" ferme la porte. Mais l'acheteur n'attend pas la perfection, il veut surtout savoir que vous comprenez ce qu'il vous demande, et que vous mesurez vos limites.

Le troisième, c'est de bâcler la copie pour s'en débarrasser. Le problème, c'est qu'il va lire la vôtre puis celle de votre concurrent. Si la sienne est claire et la vôtre brouillonne, le verdict tombe plus vite que vous ne le pensez, parfois avant même que la décision passe par l'équipe technique.

Comprendre ce que votre acheteur cherche vraiment à vérifier

L'acheteur ne note pas chaque case 0 ou 1, en pratique. Il cherche surtout à savoir si vous maîtrisez votre sujet, parce qu'une réponse bien formulée, même moyenne sur le fond, rassure plus qu'une perfection copiée-collée. Il regarde aussi si vous êtes franc : une faiblesse assumée avec un plan d'amélioration passe mieux qu'une réponse évasive ou trompeuse. Et il cherche un interlocuteur de qualité en face, parce que le jour où un incident touche les deux côtés, c'est avec vous qu'il devra travailler.

Votre objectif, du coup, n'est pas de cocher un maximum de "oui". C'est de donner un cadre cohérent et crédible.

Les 3 grandes familles de questions

Que le questionnaire arrive en Excel, en PDF, sur un portail web ou en Word, les questions tournent toujours autour des mêmes angles. Les repérer au premier coup d'œil aide à formuler la bonne réponse.

CatégorieCe qu'on chercheDocument type à joindre
Gouvernance Qui est responsable, quelles règles écrites existent, qui les valide Politique de sécurité, organigramme, charte informatique
Opérationnel Ce qui tourne au quotidien : sauvegardes, mises à jour, contrôle des accès, surveillance Procédures internes, captures d'écran d'outils, schémas
En cas d'incident Que se passe-t-il quand ça dérape : détection, notification, restauration, communication Plan de continuité, processus de notification, contacts d'urgence

Pour chaque question, posez-vous d'abord la question : c'est de la gouvernance, de l'opérationnel, ou de la réaction à incident ? La formulation suit naturellement.

Comment formuler quand vous êtes déjà conforme

Décrivez ce que vous faites, et joignez la preuve dans la même phrase. Sans la preuve, votre réponse pèse à peu près rien aux yeux de l'acheteur.

Question typeMauvaise formulationBonne formulation
"Avez-vous une politique de gestion des mots de passe ?" "Oui" "Oui, politique formalisée en 2024, longueur minimale 12 caractères, renouvellement annuel, authentification à deux facteurs sur tous les services exposés sur internet. Document disponible sur demande."
"Réalisez-vous des sauvegardes régulières ?" "Oui, tous les jours" "Oui, sauvegardes quotidiennes incrémentales et hebdomadaires complètes. Stockées sur un site distant chiffré. Test de restauration trimestriel documenté. Dernière restauration testée : mars 2026."
"Sensibilisez-vous vos collaborateurs ?" "Oui chaque année" "Oui, formation annuelle obligatoire (taux completion 98 % en 2025), campagnes de phishing simulé trimestrielles, communications régulières lors d'événements spécifiques."

Un fait, un chiffre, parfois une date. Ce sont ces détails concrets qui font la différence entre une affirmation creuse et une preuve.

Comment formuler quand c'est "en cours" sans piège juridique

C'est là qu'on glisse le plus facilement vers le mensonge poli. Vous êtes en train de mettre quelque chose en place, mais ce n'est pas fini. La tentation, c'est d'écrire "oui" pour ne pas affoler l'acheteur. C'est exactement ce qu'il ne faut pas faire.

Pour qu'un "en cours" passe sans coincer plus tard, il vous faut systématiquement un engagement, une date, et quelque chose de vérifiable.

Bonne formulation type :
"Mise en place engagée. Déploiement prévu pour [date]. Étapes déjà réalisées : [liste courte]. Étapes restantes : [liste courte]. Point d'étape disponible sur demande à partir de [date intermédiaire]."

Voici comment ça se décline sur les cas qui reviennent le plus souvent.

  1. Plan de continuité formalisé : "En cours de rédaction. Document attendu pour septembre 2026. Procédures de sauvegarde et de restauration déjà en place et testées, le formalisme manque encore."
  2. Cartographie des actifs informatiques : "En cours. Inventaire automatisé déployé au T2 2026, formalisation documentaire prévue au T3."
  3. Test d'intrusion externe : "Planifié. Prestataire sélectionné, intervention prévue au T3 2026. Premier test ciblé sur le périmètre exposable sur internet."
  4. Certification ISO 27001 : "Démarche engagée. Phase de cadrage finalisée. Audit blanc prévu au T4 2026. Certification visée au T2 2027."
  5. Journalisation centralisée : "En cours de déploiement. Outils sélectionnés, premiers serveurs raccordés, généralisation prévue d'ici septembre 2026."

Ce qui tient debout dans ces formulations : une date qu'on peut vérifier, des étapes déjà franchies, des étapes restantes nommées. Tout sauf des promesses vagues.

Vous voulez qu'on relise votre réponse avant envoi ?
30 minutes en visio, sans engagement. On regarde ensemble les points à risque et on vous propose des reformulations.
Réserver un créneau →

Comment formuler quand vous ne ferez pas (sans perdre le contrat)

Vous avez parfois l'impression qu'un "non" tue le contrat. C'est rarement vrai. Un "non" assumé, avec un argumentaire derrière, passe quasi toujours mieux qu'un "oui" douteux. L'acheteur préfère ajuster son contrat plutôt que découvrir un mensonge dans six mois.

Cas type 1 : "Disposez-vous d'un centre de supervision sécurité opérationnel 24/7 ?"

Si la réponse est non, voici la formulation :

"Non. Notre dispositif repose sur une supervision automatisée 24/7 avec alertes et réponses pré-programmées sur les menaces les plus courantes, et une revue humaine en jours ouvrés. Cette architecture est dimensionnée par notre profil de risque (nature des données traitées, exposition internet, taille). Possibilité de basculer sur une supervision humaine 24/7 selon votre exigence contractuelle, devis sur demande."

Ce qui passe ici : la limite est assumée, vous expliquez pourquoi votre dimensionnement actuel a un sens, et vous laissez la porte commerciale ouverte au cas où l'acheteur tient à ce point.

Cas type 2 : "Êtes-vous certifié ISO 27001 ?"

Si la réponse est non, voici la formulation :

"Non, certification non encore obtenue. Démarche [démarrage prévu / en cours, étape X]. Nous appliquons les mesures de l'annexe A de la norme pertinentes pour notre contexte : politiques formalisées, gestion des accès, sauvegardes, supervision, gestion des incidents. Liste détaillée disponible sur demande. Notre objectif de certification : [date réaliste]."

Ici, vous montrez à l'acheteur que vous connaissez la norme, que vous appliquez déjà l'essentiel de ses exigences, et que vous lui donnez un horizon. C'est largement suffisant pour qu'il reste dans la conversation.

Jamais de "non" tout seul. Soit vous expliquez pourquoi ce n'est pas un risque pour l'acheteur dans votre contexte, soit vous proposez une alternative qui le rassure.

Que faire des questions que vous ne comprenez pas

Vous tombez sur une ligne du type "Implémentez-vous un contrôle d'intégrité des fichiers via hashing cryptographique sur vos actifs critiques ?" et vous n'êtes pas sûr de ce que ça veut dire.

La première chose, c'est de ne pas deviner. Pas de Google en panique pour produire en dix minutes une réponse à laquelle vous ne croyez pas vous-même.

Plusieurs options selon le contexte. La plus simple, et trop rarement utilisée, c'est de demander une clarification directement à l'acheteur. Reformulez la question dans vos mots et demandez "vous parlez bien de [votre compréhension] ?". L'acheteur est souvent content de vous aider, ça lui montre que vous prenez la demande au sérieux.

Une autre option, sur un contrat stratégique : passer une heure avec un consultant sécurité externe sur les sections que vous ne maîtrisez pas. À ce niveau d'enjeu, c'est un investissement minime.

Et si vous êtes sûr de faire quelque chose dans le voisinage du sujet, vous pouvez aussi décrire ce que vous faites avec vos mots, sans utiliser le terme du questionnaire. Si l'acheteur demande "contrôle d'intégrité via hashing cryptographique" et que vous savez juste que "votre outil vous alerte quand un fichier important est modifié sans raison", écrivez ça. L'acheteur fera le lien lui-même.

Une règle de discernement pour finir : vous pouvez demander à l'acheteur les termes contractuels durs (SLA, taux de disponibilité, clause de notification, périmètre exact des données couvertes). En revanche, évitez de lui demander la définition d'un acronyme classique, vous passez pour amateur. Pour ceux-là, dix minutes sur le site de l'ANSSI ou un appel à un consultant suffisent.

Les 10 questions qu'on retrouve dans 9 questionnaires sur 10

Si vous êtes pris par le temps, commencez par celles-là. C'est ce qui pèse le plus dans la décision finale de l'acheteur.

  1. Politique de sécurité formalisée. Il faut un document écrit, validé en interne. L'acheteur veut sentir une vraie réflexion d'entreprise derrière, pas une copie de modèle Word téléchargée.
  2. Gestion des accès. Qui a accès à quoi, et comment vous le suivez. Ce qui rassure surtout : que les comptes sont revus régulièrement, en particulier quand un collaborateur quitte la boîte.
  3. Mots de passe et authentification. Politique, longueur minimale, deuxième facteur. Le point clé : que tout ça soit appliqué sur l'ensemble des services exposés à internet, pas juste sur la messagerie.
  4. Sauvegardes et restauration. Fréquence, stockage distant, tests réguliers. Et surtout la date de la dernière restauration que vous avez testée, qui prouve que le dispositif fonctionne vraiment.
  5. Mises à jour et correctifs. Le délai d'application des correctifs critiques, chiffré. Typiquement 15 jours pour un serveur, 7 jours pour une vulnérabilité critique exposée à internet.
  6. Sensibilisation des collaborateurs. Formation, fréquence, taux de complétion. Une vidéo annuelle obligatoire pour cocher la case ne suffira pas à rassurer un acheteur sérieux.
  7. Gestion des sous-traitants. Qui sont vos prestataires sensibles et comment vous les contrôlez. L'enjeu pour l'acheteur : que vous sachiez précisément où sont stockées ses données.
  8. Gestion des incidents. Procédure écrite, contacts d'urgence, délai de notification au client. Ce qui importe : que vous ne découvriez pas tout ça le jour où ça arrive.
  9. Chiffrement. Données au repos, données en transit. Les zones vraiment sensibles, ce sont les flux exposés à internet et les sauvegardes externalisées.
  10. Surveillance et journalisation. Ce que vous tracez, pendant combien de temps, et qui regarde. Pas juste des logs entassés, mais une vraie capacité à détecter quelque chose d'anormal.

Pour chacune, répondez sur le même principe : statut actuel, preuve concrète, et plan si quelque chose n'est pas encore en place.

Avant d'envoyer, votre checklist de relecture en 5 points

Avant d'appuyer sur "envoyer", cinq contrôles à passer systématiquement.

  1. Cohérence d'ensemble. Pas de "oui, nous avons une supervision 24/7" en début de questionnaire et "non, supervision en jours ouvrés" cinquante lignes plus loin. C'est le genre de contradiction qui se voit immédiatement et qui décrédibilise toute la copie.
  2. Aucun engagement irréaliste. Reprenez chaque "oui" et demandez-vous : si l'auditeur du client passait demain, est-ce que je peux le prouver, avec un document ou un écran ? Si la réponse est non, vous devez reformuler la ligne.
  3. Les "en cours" sont datés. Pas un seul "en cours" sans une échéance concrète. Un "en cours" sans date, c'est un mensonge poli.
  4. Un tiers a relu. Idéalement quelqu'un d'externe à l'équipe qui a rédigé. Un consultant sécurité, un pair dans une autre boîte, un membre du CODIR qui connaît un peu le sujet. Une seule paire d'yeux fraîche évite la majorité des bourdes.
  5. Les pièces jointes sont à jour et publiables. Vérifiez la date de dernière mise à jour de chaque document joint. Et ne joignez jamais de document interne contenant des références nominatives, des chemins d'accès, ou des configurations précises. Ces choses-là ne s'envoient pas en pièce jointe sans NDA.

Si tous les voyants sont verts, envoyez. Si un seul vous chiffonne, prenez 24 heures de plus avant l'envoi. Vous gagnerez beaucoup plus que ce que vous perdrez.

Quand ce sujet revient régulièrement chez vous

Si votre boîte vend du B2B à des grands comptes, ces questionnaires vont revenir. Plusieurs par an, parfois plusieurs par mois en période d'appels d'offres.

Sur la durée, quelques investissements simples changent vraiment la situation.

Le premier, construire une banque de réponses interne. Vous répondez une fois bien, vous capitalisez, vous adaptez ensuite. Au bout de deux ou trois cycles, le temps consacré à chaque nouveau questionnaire est divisé par cinq, et la qualité monte au lieu de baisser.

Le deuxième, maintenir un "dossier sécurité client" déjà rédigé. Une dizaine de pages qui couvrent par anticipation l'essentiel de ce qu'on vous demande, à joindre à votre réponse. Ça rassure l'acheteur (il voit que vous avez de la matière), et ça vous fait gagner des heures de rédaction.

Le plus puissant sur le long terme, c'est d'outiller la preuve opérationnelle. Passer de "nous le faisons" à "voici, en temps réel, la preuve que nous le faisons" change la nature même du dialogue sécurité avec vos clients. Ce n'est plus une réponse défensive, c'est un argument commercial.

C'est exactement ce qu'on fait chez Protectam : aider les DSI et CTO qui n'ont pas la sécurité pour métier principal à produire ces preuves opérationnelles, sans embaucher de RSSI ni se former eux-mêmes au sujet.

Questions fréquentes

Combien de temps prend une réponse honnête à un questionnaire sécurité ?

Entre 8 et 20 heures cumulées pour un questionnaire de taille moyenne (40 à 60 questions), si c'est votre première fois. Comptez 2 à 5 heures pour les suivants une fois que vous avez constitué une banque de réponses interne. Répartissez sur plusieurs jours pour pouvoir réfléchir entre deux passes.

Faut-il joindre des documents internes confidentiels ?

Non. Joignez des documents synthétiques destinés à un partage externe (politique de sécurité en version publiable, schéma d'architecture haut niveau, certificat d'audit). Jamais de procédures détaillées, de listes de comptes, de mots de passe ou de configurations précises. Si l'acheteur demande plus de détail, signez d'abord un accord de confidentialité.

Mon client demande ISO 27001 mais je ne suis pas certifié. Je perds le contrat ?

Pas nécessairement. Beaucoup d'acheteurs acceptent une démarche engagée avec un horizon clair, surtout si vous démontrez que vous appliquez déjà les mesures de l'annexe A pertinentes pour votre contexte. Répondez "démarche engagée, certification visée à [date]" en explicitant ce que vous appliquez déjà. Si le contrat est stratégique, demandez une clause de progression plutôt que d'éliminer votre candidature.

Puis-je sous-traiter la réponse à un cabinet ?

Oui, et c'est même recommandé pour les questionnaires longs ou techniques quand vous n'avez pas l'expertise interne. Comptez 1 à 3 jours de prestation pour un questionnaire moyen. Le cabinet vous aide à structurer, formuler, éviter les engagements pièges. La signature et l'envoi restent de votre responsabilité.

Que faire si l'acheteur me relance sur des points techniques ?

Cela veut dire qu'il s'intéresse vraiment. Bonne nouvelle. Réponse honnête : "Nous avons besoin de 48 heures pour vous répondre précisément sur ces points, nous revenons vers vous avec un document détaillé." Mieux vaut prendre le temps que produire une réponse approximative dans l'heure.

Le RGPD suffit-il pour répondre à un questionnaire sécurité ?

Non. Le RGPD couvre une partie de la gouvernance (données personnelles, droits des personnes, sous-traitants), mais un questionnaire sécurité va beaucoup plus loin : technique, organisationnel, gestion des incidents. Être conforme RGPD est un prérequis, pas une réponse complète à un questionnaire sécurité client.