78% des PME victimes de cyberattaques n'avaient pas de prestataire spécialisé
Vous savez que votre PME a besoin d'un prestataire cybersécurité. Mais comment choisir le bon ? Le marché est saturé d'offres — infogérants qui ajoutent "cyber" à leur catalogue, pure players inaccessibles, revendeurs de licences déguisés en MSSP.
Le mauvais choix vous coûtera cher : soit vous payez trop pour un service inadapté, soit vous découvrez les lacunes le jour de l'attaque.
Ce guide vous donne les 10 critères objectifs pour choisir, un comparatif clair des types de prestataires, et les red flags qui doivent vous faire fuir.
Les 3 types de prestataires cybersécurité pour PME
1. L'infogérant classique (MSP) qui "fait aussi de la sécu"
Profil : votre prestataire IT historique qui a ajouté un antivirus et un firewall à son catalogue.
| Ce qu'il dit | La réalité |
|---|---|
| "On gère votre sécurité" | Antivirus + firewall basique |
| "On surveille votre réseau" | Vérification manuelle 1x/semaine |
| "On vous protège des ransomwares" | Pas de SOC, pas d'EDR, pas de réponse à incident |
Tarif typique : 30-50€/poste/mois (infogérance + "sécurité")
Le risque : le jour de l'attaque, il n'a ni les outils ni les compétences pour réagir. Il appelle lui-même un spécialiste en panique.
2. Le pure player cybersécurité (MSSP haut de gamme)
Profil : entreprise 100% cybersécurité, très technique, orientée grands comptes.
| Ce qu'il dit | La réalité |
|---|---|
| "SOC 24/7, threat intelligence, SIEM" | Vrai, mais dimensionné pour 500+ postes |
| "Réponse à incident en 15 minutes" | Vrai, mais le ticket coûte 2 000€/jour |
| "Conformité ISO 27001, SOC2" | Vrai, mais votre PME de 20 postes n'en a pas besoin |
Tarif typique : 80-200€/poste/mois + setup 5 000-20 000€
Le risque : surdimensionné et trop cher pour une PME. Vous payez pour des fonctionnalités que vous n'utiliserez jamais.
3. Le MSSP spécialisé PME (comme Dhala)
Profil : cybersécurité native intégrée à l'infogérance, dimensionnée pour 1-300 postes.
| Ce qu'il dit | La réalité |
|---|---|
| "EDR + SOC 24/7 inclus dans chaque offre" | Vrai — SentinelOne managé + SOC maison |
| "Support illimité, pas de compteur d'heures" | Vrai — forfait fixe mensuel |
| "3 mois d'essai sans engagement" | Vrai — vous testez avant de vous engager |
Tarif typique : 44-79€/poste/mois, tout inclus
Le risque : quasi nul grâce à la période d'essai. Si ça ne convient pas, vous partez.
Les 10 critères pour choisir le bon prestataire
Critères obligatoires (éliminatoires)
| # | Critère | Question à poser | Red flag |
|---|---|---|---|
| 1 | SOC 24/7 | "Qui surveille mon réseau à 3h du matin ?" | "On regarde les alertes le lundi matin" |
| 2 | EDR (pas antivirus) | "Quel produit EDR utilisez-vous ?" | "On utilise Avast/Norton/Kaspersky" |
| 3 | Sauvegardes testées | "Quand avez-vous testé la dernière restauration ?" | Silence gêné |
| 4 | Temps de réponse garanti | "En combien de temps intervenez-vous en cas d'urgence ?" | "On fait au mieux" |
| 5 | Période d'essai | "Puis-je tester avant de m'engager ?" | "Engagement 24 mois minimum" |
Critères importants (différenciants)
| # | Critère | Question à poser | Réponse Dhala |
|---|---|---|---|
| 6 | Patching automatisé | "Comment gérez-vous les mises à jour de sécurité ?" | Déploiement sous 48h, testé avant |
| 7 | Formation anti-phishing | "Formez-vous nos équipes ?" | Campagnes de simulation trimestrielles |
| 8 | Rapports mensuels | "Que recevons-nous comme reporting ?" | Rapport mensuel + comité trimestriel |
| 9 | Références PME | "Combien de PME de notre taille gérez-vous ?" | 50+ PME de 3 à 150 postes |
| 10 | Intervention sur site | "Pouvez-vous venir physiquement ?" | Paris et IdF en 4h max |
Grille tarifaire : ce que vous devez payer (et ne pas payer)
| Service | Inclus chez un bon prestataire | Supplément acceptable | Red flag si facturé |
|---|---|---|---|
| EDR managé | Oui | — | Non |
| SOC 24/7 | Oui | — | Non |
| Sauvegarde cloud | Oui | Stockage > 1To | Non |
| Support téléphone | Oui (illimité) | — | Oui (au ticket) |
| Anti-phishing | Oui | — | Non |
| Patching | Oui | — | Non |
| Intervention sur site | Inclus (IdF) | Hors IdF | Toujours |
| Audit initial | Gratuit | — | Oui |
| Mise en place | Inclus ou offert | Parc > 50 postes | Systématique > 2 000€ |
| Conformité NIS2 | Accompagnement inclus | Certification formelle | Non |
Ce que ça donne en budget
| Taille PME | Cyber Sérénité (44€/poste) | Infogérance Intégrale (79€/poste) |
|---|---|---|
| 5 postes | 220€/mois | 395€/mois |
| 15 postes | 660€/mois | 1 185€/mois |
| 30 postes | 1 320€/mois | 2 370€/mois |
| 50 postes | 2 200€/mois | 3 950€/mois |
Perspective : le coût médian d'une cyberattaque pour une PME est de 50 000€ (Stoïk Assurance, 2024). Un an de cybersécurité pour 15 postes coûte 7 920€ en Cyber Sérénité. Le ROI est de 6x.
Les 5 red flags qui doivent vous faire fuir
- "Engagement 24-36 mois" → Un bon prestataire n'a pas besoin de vous enfermer. Chez Dhala : 3 mois d'essai.
- "Notre antivirus est un EDR" → Demandez le nom du produit. Si c'est Avast, Norton ou Kaspersky, ce n'est PAS un EDR.
- "On surveille votre réseau" → Demandez : "À quelle heure ? Avec quel outil ? Qui est d'astreinte la nuit ?" Si pas de réponse claire, il n'y a pas de SOC.
- "Les sauvegardes sont en place" → Demandez : "Quand avez-vous testé la dernière restauration complète ?" Une sauvegarde non testée n'existe pas.
- "Setup : 8 000€" → Pour une PME de 20 postes, un setup à ce prix est abusif. Chez Dhala, l'audit et la mise en place sont inclus.
Pourquoi Dhala est le choix de 50+ PME en France
Nous ne sommes pas un infogérant qui a ajouté "cyber" à son site web. La cybersécurité est dans notre ADN depuis le jour 1. C'est ce qui nous a valu le prix Meilleur Espoir MSP 2025 à la MSPCON.
Ce qui nous distingue :
- Cybersécurité native : EDR + SOC 24/7 inclus dans TOUTES nos offres, même la plus basique
- 3 mois d'essai : testez notre réactivité avant de vous engager
- Support illimité : pas de compteur d'heures, pas de tickets facturés
- Intervention 4h : nos techniciens se déplacent à Paris et en Île-de-France
- Prix transparent : forfait fixe par poste, pas de surprise
Vous hésitez encore ? Demandez votre audit gratuit — nous analysons votre infrastructure actuelle et comparons avec ce que nous mettons en place. Sans engagement, sans pression commerciale.
