À propos du diagnostic cybersécurité ESS
Ce diagnostic est un outil d'auto-évaluation gratuit conçu pour les associations, coopératives, fondations, SCOP et structures de l'économie sociale et solidaire (ESS) qui veulent situer rapidement leur niveau de risque numérique. Il restitue un score sur 10, un détail par domaine et trois priorités d'action concrètes en 3 minutes, sans scan technique et sans création de compte.
Il s'appuie sur le Panorama 2026 de la cybersécurité dans l'ESS, un baromètre construit à partir de 35 audits pédagogiques conduits entre mars et mai 2026 par Emmanuel Pinglier. Score médian observé sur le terrain : 4,9 / 10. Coût médian pour passer de 4 à 7 : 0 €.
Les 16 dimensions évaluées
Le diagnostic balaye cinq domaines représentant les surfaces d'attaque les plus fréquentes chez les associations et structures de l'ESS auditées en 2026.
Site web (3 questions)
- Type de site et stack technique — SaaS managé (Webflow, Squarespace), WordPress ou autre CMS, site sur-mesure, sites multiples. Le risque varie fortement avec la stack.
- Fréquence des mises à jour — CMS, plugins, thèmes, extensions. Les WordPress non maintenus concentrent l'essentiel des piratages d'associations.
- Sous-domaines anciens et outils oubliés — anciens intranets, vieux ownCloud, CRM legacy, "v1", "preprod". Portes d'entrée privilégiées des attaquants opportunistes.
Email et fraude (4 questions)
- Type de messagerie — Microsoft 365 (Outlook, Exchange Online), Google Workspace (Gmail pro), hébergeur classique (OVH, Gandi, Infomaniak). Vecteur n°1 d'attaque dans l'ESS.
- Authentification à deux facteurs (2FA / MFA) — universelle, partielle, absente. Bloque 95 % des compromissions de compte.
- Configuration DMARC / SPF / DKIM — protections anti-usurpation d'email. Sans elles, n'importe qui peut envoyer un email "de la part de" votre association (fraude au président, faux fournisseur, faux RIB).
- Exposition aux emails frauduleux — mesure de l'efficacité réelle des défenses et de la sensibilisation des équipes.
Pratiques internes (3 questions)
- Partage des mots de passe — gestionnaire dédié (Bitwarden, 1Password, Dashlane), document partagé, email ou Slack. Hygiène de base trop souvent absente.
- Processus d'offboarding — révocation des accès email, SaaS, fichiers partagés quand un salarié ou bénévole part. Surface d'attaque résiduelle quand c'est négligé.
- Sensibilisation au phishing — atelier, e-learning, simulation interne. Le facteur humain reste déterminant.
Outils SaaS et administration (3 questions)
- Accès aux outils d'administration — ouverts sur Internet, restreints par IP, derrière un VPN. La surface admin est la cible prioritaire des attaquants.
- Nombre d'outils SaaS utilisés — Notion, HelloAsso, Mailchimp, Slack, CRM, comptabilité. Chaque compte = surface d'attaque supplémentaire.
- Concentration des droits administrateurs — sur le site, la messagerie et les SaaS critiques.
Continuité et gouvernance (3 questions)
- Sauvegardes hors-site testées — cloud séparé ou disque externe déconnecté, restauration testée trimestriellement. Seule défense réelle contre le ransomware.
- Plan de réponse à incident — qui appeler (CERT, prestataire), comment isoler, comment communiquer. Une page écrite suffit pour démarrer.
- Référent cybersécurité identifié — interne ou prestataire spécialisé. Pas "le neveu informaticien" : quelqu'un qui connaît le sujet et que vous pouvez appeler.
Méthodologie
Le diagnostic Code'ess est dérivé du Panorama de la cybersécurité dans l'ESS — baromètre 2026, fondé sur 35 audits pédagogiques (reconnaissance passive, OSINT, tests actifs sous autorisation) conduits entre mars et mai 2026 sur un échantillon volontairement large : associations loi 1901, coopératives, SCOP, fondations, SAS à mission et établissements publics, de 3 à 1 000+ salariés.
Chaque question est pondérée selon la corrélation observée entre le critère et le score global de posture de sécurité. Les recommandations restituées sont issues des remédiations à coût nul ou faible observées comme les plus efficaces sur le terrain.
Questions fréquentes (FAQ)
À qui s'adresse ce diagnostic cybersécurité ?
Aux associations loi 1901, coopératives, fondations, SCOP, SAS à mission et structures de l'économie sociale et solidaire qui veulent évaluer rapidement leur posture de sécurité informatique, sans engagement et sans scan technique.
Combien de temps prend l'auto-évaluation ?
Environ 3 minutes pour 16 questions. Vous obtenez immédiatement un score /10, un détail par domaine (site web, email, pratiques internes, outils, continuité) et trois priorités d'action concrètes.
Le diagnostic est-il vraiment anonyme et gratuit ?
Oui. Vos réponses ne quittent pas votre navigateur tant que vous ne demandez pas explicitement un retour personnalisé. Aucun compte, aucun scan technique, aucune trace serveur sur les réponses elles-mêmes.
Combien coûte un audit cybersécurité complet pour une association ESS ?
Les audits pédagogiques individuels conduits dans le cadre du baromètre Code'ess sont gratuits pour les structures de l'ESS. Pour aller plus loin, le dispositif Diag Cyber Asso de Cybermalveillance.gouv.fr est également accessible aux associations à but non lucratif.
Quelles sont les principales menaces cybersécurité pour les associations ?
D'après le baromètre 2026 (35 audits ESS) : fraude au président par usurpation d'email (DMARC / SPF / DKIM mal configurés), compromission de site WordPress non mis à jour, absence de double authentification sur Microsoft 365 ou Google Workspace, sous-domaines fantômes et outils legacy oubliés, absence de sauvegarde hors-site testée face au ransomware.
Que se passe-t-il si je demande un retour personnalisé ?
Vos coordonnées et vos réponses sont transmises à Emmanuel Pinglier, qui revient sous 48h ouvrées avec une lecture qualitative de votre score, des recommandations adaptées et — si pertinent — une proposition d'audit gratuit ou de formation.
Ressources et guides utiles