Diagnostic & audits de cybersécurité

Sécurité informatique pour études notariales, cabinets et professions réglementées
Prisme Pro · 45290 Nogent-sur-Vernisson · 06 74 91 31 84 · contact@prisme-pro.net

Mes offres tiennent en 3 missions claires — un constat gratuit, un diagnostic complet, un audit d'intrusion — plus un abonnement de surveillance continue.

Vous choisissez selon votre niveau de préoccupation et votre budget, sans formule imposée. La plupart des cabinets démarrent par le Constat gratuit ou le Diagnostic, puis montent en gamme si nécessaire.

Cliquez sur chaque ligne pour afficher le détail.

Stoïk Protect vs Prisme Pro

Stoïk mesure une surface. Prisme Pro évalue une posture.

Stoïk Protect (et scanners externes équivalents)

« Est-ce que le périmètre public semble propre ? »
  • Diagnostic externe entièrement automatisé
  • Scan rapide, score de risque normalisé
  • Indispensable comme premier filtre d'assurabilité
  • Structurellement aveugle à la posture interne

Prisme Pro

« L'entreprise peut-elle survivre à une attaque ciblée une fois le périmètre franchi ? »
  • Audit hybride humain : technique + dialogue + OSINT
  • Vulgarisation adaptée au dirigeant non technique
  • Complète Stoïk, ne le remplace pas
  • Détecte 4 catégories de failles invisibles à Stoïk

Les 4 angles morts de Stoïk que nous détectons

1

Backups cloud oubliés

Le piège : Dropbox folders ou buckets S3 ouverts depuis des années, accessibles par n'importe qui.

Notre détection : OSINT ciblé + dialogue client.

Risque RGPD : fuite d'archives clients sur 5 à 10 ans, fraude au RIB.

2

Mots de passe réutilisés

Le piège : Post-it sous le clavier, fichier partagé, même mot de passe partout.

Notre détection : Dialogue 5 minutes + audit d'hygiène locale.

Risque : pivot complet du SI après une fuite externe quelconque.

3

Endpoint non protégé

Le piège : Antivirus moderne absent, RDP ou AnyDesk exposé pour le dépannage.

Notre détection : Revue des outils de gestion à distance, statut AV/EDR.

Risque : ransomware déclenché en un seul clic sur un email piégé.

4

SaaS tiers mal contrôlés

Le piège : Permissions OAuth trop larges accordées à une appli il y a 2 ans.

Notre détection : Audit des consents Google / Microsoft + revue des intégrations.

Risque : exfiltration silencieuse via une appli tierce compromise.

« Vous avez fait scanner par Stoïk : c'est bien, c'est nécessaire. Mais Stoïk regarde votre porte d'entrée. Une fois la porte franchie — par un email piégé, un mot de passe réutilisé, une fuite tierce — qu'est-ce qui se passe ? C'est cette deuxième couche que Prisme Pro évalue. »

Comment se passe concrètement une mission

  1. Premier contact : email ou téléphone, 15 à 20 minutes, sans engagement.
  2. Signature d'un mandat (autorisation écrite obligatoire) si on passe à une mission payante.
  3. Réalisation de l'audit : entre 1 jour et 2 semaines selon le niveau, en dehors de vos heures d'activité si vous le souhaitez.
  4. Remise du rapport : une version technique + une synthèse simple en français accessible.
  5. Restitution téléphonique ou visio pour vous expliquer les conclusions (incluse dès le Diagnostic).

Mes offres

Le Constat · Gratuit
Constat de visibilité externe
Ce qu'un attaquant peut voir de chez lui, sans toucher à votre site
Gratuit

Qu'est-ce que je fais ?

J'utilise uniquement des bases d'information publiques (annuaires DNS, registres officiels, archives Internet). Je n'envoie aucune requête vers vos serveurs. C'est l'équivalent de consulter le cadastre public pour étudier une parcelle, sans pénétrer chez vous.

Ce que je cherche concrètement

  • Usurpation d'email possible : est-ce que quelqu'un peut envoyer un mail en se faisant passer pour vous (fraude au virement type "votre IBAN a changé") ?
  • Noms de domaine pièges : est-ce que des escrocs ont acheté des variantes proches de votre nom (perrochon-notaire.com, perrochon-actes.fr, etc.) pour piéger vos clients ?
  • Sous-sites oubliés : ancien webmail, vieille interface de gestion qui traîne encore en ligne et que vous ne surveillez plus
  • Fuites publiques : votre nom ou celui de l'étude apparaît-il dans des bases de données piratées disponibles publiquement ?

Ce que je vous livre

Un document PDF d'une page avec mes 3 à 5 constats principaux et leur niveau de risque. Je ne facture rien. C'est ma manière de me présenter aux confrères de la région.

Exemple concret : sur une étude analysée, j'ai trouvé que n'importe qui pouvait envoyer un email apparaissant comme provenant de "maitre.x@etude-x.fr". La correction est techniquement simple (quelques lignes à ajouter dans la configuration de votre nom de domaine). Je vous remets dans le constat les instructions précises pour votre informaticien habituel — ou, si vous préférez, je m'en charge dans le cadre du Diagnostic Sécurité (qui inclut aussi la récupération de vos accès si vous les avez perdus, ce qui est très fréquent).
Durée 2 à 4 heures de mon côté, vous n'avez rien à faire
Délai de livraison Sous 48 à 72 heures
Pour qui ? Toute étude / cabinet, sans engagement, sans condition
Diagnostic
Diagnostic SécuritéLe plus demandé
Bilan complet sans intrusion : hygiène, cartographie, OWASP + conformité RGPD
490 € HT

Qu'est-ce que je fais ?

Une fois l'autorisation écrite (mandat) signée, je peux toucher à votre site pour vérifier sa configuration, et je cartographie toute votre présence en ligne : site principal, sous-sites, anciens projets, traces publiques, fuites éventuelles. Un état des lieux complet de votre sécurité — sans jamais tenter d'« entrer ».

Ce que je vérifie concrètement

  • Récupération de vos accès techniques égarés : qui héberge votre domaine, où sont vos accès admin, comment les récupérer (whois, registrar, procédure). Très fréquent.
  • Protection email anti-usurpation (SPF/DKIM/DMARC) contre la fraude au virement par usurpation de votre adresse
  • Protections invisibles manquantes : en-têtes de sécurité, cookies, fichiers techniques oubliés en ligne (config, sauvegardes, /admin exposé)
  • Vieilles versions de logiciels à failles connues (WordPress, PHP…) et secrets oubliés dans le code public (clés, mots de passe)
  • Les 10 failles les plus courantes (référentiel OWASP, le standard international) et l'analyse de la chaîne de risques
  • Fuites historiques : votre étude ou vos collaborateurs dans des bases d'identifiants piratés
  • Conformité RGPD : vos obligations de sécurité (article 32) sont-elles respectées ?

Ce que je vous livre

  • Un rapport PDF clair en français accessible, avec une cartographie visuelle de vos points d'exposition
  • L'inventaire de votre patrimoine numérique (registrar, hébergeur, comptes admin, accès récupérés ou procédure)
  • Un plan d'action priorisé (urgent / ce mois / plus tard), avec pour chaque action le risque, la correction et une estimation coût/délai
  • Mapping aux normes : OWASP, RGPD article 32, ISO 27001
  • Un appel de restitution pour vous expliquer les conclusions de vive voix
  • Carnet de mission signé électroniquement (preuve en cas de litige)
Exemple typique : on trouve souvent 5 à 8 améliorations, dont 1 ou 2 prioritaires (mise à jour serveur, suppression d'un dossier exposé). La plupart se corrigent gratuitement ou en quelques heures de votre informaticien habituel.
💡 Bon à savoir

Le Diagnostic est déductible de l'Audit Intrusion Complet si vous décidez d'aller plus loin ensuite — vous ne payez jamais deux fois.

Durée 2 à 3 jours de mon côté
Délai de livraison Sous 8 à 10 jours ouvrés
Pour qui ? Étude / cabinet de 1 à 8 collaborateurs, site vitrine ou petit espace client
Tarif 490 € HT en une fois — ou en continu avec le Bouclier (voir plus bas)
Mandat requis Oui (signature obligatoire avant démarrage)
Audit Intrusion
Audit Intrusion Complet
On essaie réellement d'entrer — de l'extérieur ET avec un compte (scénario « compte volé »)
1 900 € HT

Qu'est-ce que je fais ?

Je passe en test d'intrusion contrôlé : au lieu de juste regarder, j'attaque activement votre site comme le ferait un cybercriminel, mais avec des techniques sans risque pour votre activité (aucune donnée modifiée, aucune saturation — juste des preuves de concept).

Et je teste aussi depuis l'intérieur, avec deux comptes de test que vous me fournissez : le scénario « employé curieux » ou « compte volé ». C'est la différence entre vérifier qu'une porte a un verrou, essayer réellement de la crocheter, et vérifier qu'une clé donnée à un collaborateur n'ouvre pas plus de portes qu'elle ne devrait.

Ce que je teste activement

  • Injection SQL : peut-on atteindre votre base de données depuis un formulaire ? (test inoffensif)
  • Injection JavaScript (XSS) : un attaquant pourrait-il afficher de faux messages pour piéger vos clients ?
  • Contournement d'authentification et force brute légère : peut-on entrer sans le mot de passe ?
  • Sessions & cookies : peut-on détourner la session d'un utilisateur ?
  • Cloisonnement entre utilisateurs : avec le compte A, puis-je voir les documents du compte B en changeant un numéro dans l'URL ? (faille très répandue)
  • Escalade de privilèges : un utilisateur peut-il devenir administrateur ?
  • Logique métier : peut-on contourner les règles (modifier un prix, accéder au dossier d'un autre client) ?
  • Secrets exposés (scan type TruffleHog sur dépôts publics) et attaque chaînée SSRF (pivot vers vos systèmes internes)
  • Facturation électronique : votre flux Factur-X (réforme 2026-2027) est-il conforme et sécurisé ?

Ce que je vous livre

  • Un rapport technique détaillé avec preuves (captures, extraits HTTP)
  • Une synthèse exécutive en langage non technique (assurance cyber, expert-comptable, chambre des notaires, contrôle CNIL)
  • Un score de maturité sur 100 pour vous situer
  • Pour chaque faille : la preuve technique, l'impact business et la solution chiffrée
  • Un appel de restitution pour vous expliquer les conclusions
  • Re-test offert sur les vulnérabilités les plus critiques après correction (sous 60 jours)
  • Carnet de mission signé électroniquement (preuve légale opposable)
Durée 5 à 8 jours de mon côté
Délai de livraison Sous 2 à 3 semaines
Pour qui ? Cabinet avec un véritable espace client, ou traitement de données sensibles (succession, contentieux, immobilier)
Tarif 1 900 € HT en une fois — ou en continu avec le Bouclier Intrusion (voir plus bas)
Pré-requis 2 comptes de test fournis par vos soins + mandat de test d'intrusion signé
Abonnement
🛡️ Bouclier
Le Diagnostic, mais en continu toute l'année — la sécurité n'est pas une photo
40 € HT / mois

Le principe

Un audit, c'est une photo à l'instant T. Mais de nouvelles failles apparaissent toute l'année. Le Bouclier, c'est le film : je vous suis en continu, au lieu de vous laisser seul après le rapport.

Ce qui est inclus

  • 1 Diagnostic de surveillance par trimestre (4 par an) : je repasse sur votre site et je détecte ce qui a bougé
  • Veille ciblée : quand une faille majeure sort sur VOTRE technologie, vous êtes prévenu (pas une newsletter générique)
  • Surveillance externe : nouveaux sous-domaines exposés, fuite d'identifiants, SPF/DKIM/DMARC qui se casse, certificat qui expire
  • Alerte en cas de problème critique entre deux passages
  • Digest mensuel : une page « voici l'état de votre sécurité ce mois-ci »
Tarif 40 € HT / mois
Engagement 12 mois — mandat récurrent inclus (scans périodiques autorisés)
Pour qui ? Le cabinet qui veut être tranquille toute l'année sans repayer un audit à chaque fois
Abonnement
🛡️ Bouclier Intrusion
Comme le Bouclier, mais avec un vrai test d'intrusion chaque trimestre
149 € HT / mois

Ce qui est inclus

  • 1 Audit Intrusion par trimestre (4 par an) : test d'intrusion actif (SQLi, XSS, contournement d'auth, cloisonnement, escalade…)
  • Tout le Bouclier : veille ciblée, surveillance externe, alertes, digest mensuel
  • Re-test des corrections inclus
  • Score de maturité suivi dans le temps : vous voyez votre sécurité progresser
💡 L'argument imparable

Pour le prix d'un seul audit, vous êtes audité chaque trimestre et surveillé toute l'année.

Sur un an, l'abonnement revient à 1 788 € HT — moins cher qu'un seul audit ponctuel (1 900 €), et vous êtes audité chaque trimestre.

Tarif 149 € HT / mois
Engagement 12 mois — mandat récurrent de test d'intrusion inclus
Pour qui ? Cabinet avec espace client / données sensibles qui veut une sécurité suivie en continu
Sur devis
E-commerce & gros périmètres
Boutique en ligne, paiement, multi-comptes, plateforme
Sur devis

Pourquoi sur devis ?

Une boutique en ligne ou une plateforme avec paiement, c'est une surface d'attaque bien plus large : flux de paiement, comptes clients, panier, stocks, et des enjeux de conformité supplémentaires (PCI-DSS). Le périmètre varie trop pour un prix fixe — je vous fais un devis personnalisé après un premier échange, en une fois ou en abonnement.

Concerné ? Boutique en ligne, réservation/paiement, espace multi-utilisateurs, application métier
Devis Gratuit, après un appel de cadrage de 15-20 min
Post-audit
Remédiation post-audit
Mise en œuvre des corrections identifiées (prestation optionnelle)
80 € HT / h

Qu'est-ce que je fais ?

Après un Diagnostic Sécurité, vous repartez avec un plan d'action détaillé. Vous avez alors deux choix : faire appliquer les corrections par votre prestataire informatique habituel (les instructions techniques pas à pas sont incluses dans le rapport), ou me confier directement la mise en œuvre.

Cette ligne tarifaire couvre la seconde option. Je n'impose rien — le choix vous appartient pleinement.

Corrections typiquement réalisées

  • Configuration anti-usurpation email (SPF, DKIM, DMARC) chez votre hébergeur de messagerie
  • Configuration des en-têtes HTTP de sécurité (CSP, HSTS, X-Frame, X-Content-Type-Options, etc.)
  • Suppression de fichiers techniques exposés (.env, .git, dossiers /admin non protégés)
  • Récupération de vos accès registraire / hébergeur perdus (procédure formelle)
  • Mise en place d'un WAF basique (règles Cloudflare gratuit ou équivalent)
  • Vérification post-fix incluse (re-scan de contrôle pour confirmer la correction effective)
💎 Avantage Partenariat Agent d'Assurance

Si vous avez été recommandé par un agent général d'assurance partenaire de Prisme Pro, les corrections sont offertes dans la limite d'une journée de travail (8 heures), à la suite de votre Diagnostic Sécurité.

Économie réelle pour vous : 320 € à 640 € HT.

Demandez à votre agent d'assurance s'il fait partie du réseau partenaire Prisme Pro.

Tarif horaire 80 € HT / heure
Estimation typique 4 à 8 heures selon le nombre d'actions du plan
Budget moyen 320 € à 640 € HT (en facturation directe)
Au-delà de 8 h Devis personnalisé (refactor applicatif, migration HTTPS, durcissement complet)
Mandat requis Oui (réutilisable depuis le mandat d'audit, ou nouveau si remédiation seule)
Libre choix Vous pouvez toujours faire appliquer les corrections par votre prestataire IT habituel

Pour démarrer la discussion

Un simple email ou un appel suffit pour le Constat gratuit. Aucun engagement.

Email : contact@prisme-pro.net
Téléphone : 06 74 91 31 84
Adresse : 425 Route de Nevers, 45290 Nogent-sur-Vernisson
Prisme Pro · SIRET 513 938 217 00033 · APE 6201Z
Document à titre indicatif — les tarifs s'entendent hors taxes (HT), TVA applicable