Tier-1 face au tier-2 chez les prestataires de cybersécurité : comment choisir selon la taille
Nous allons écrire l'article qu'un cabinet tier-1 ne peut pas écrire et que le pire type de cabinet tier-2 n'écrira pas. Nous sommes un cabinet tier-2. Nous avons un intérêt. Nous le disons ouvertement : la plupart du temps, pour les entreprises moyennes européennes, une boutique tier-2 est le meilleur ajustement. Nous serons aussi précis sur les cas où ce n'est pas le cas et sur le pourquoi.
Ce n'est pas un article sur les prix. C'est un article sur l'ajustement. Une mission mal ajustée à n'importe quel prix est chère ; une mission bien ajustée à un prix raisonnable est bon marché. La variable qui compte est l'ajustement.
Ce que nous entendons par tier-1 et tier-2
Tier-1 dans le conseil et les services de cybersécurité désigne les cabinets mondiaux comptant des milliers de consultants, une forte notoriété de marque, une présence multi-juridiction et la capacité de mettre à l'échelle un programme sur l'empreinte mondiale d'une entreprise. Les noms connus (grands cabinets de conseil dotés de pratiques cyber, grands MSSP, grands intégrateurs mondiaux) se disputent les missions à l'échelle Fortune 500 et équivalents.
Tier-2 désigne les cabinets spécialisés moyens et boutique dotés d'une expertise profonde dans des domaines ou secteurs spécifiques, d'équipes plus petites, d'une plus forte implication sénior directe et de périmètres mesurés typiquement en semaines ou trimestres plutôt qu'en années.
Tier-3 désigne les consultants individuels, les petites pratiques d'une à cinq personnes et les micro-cabinets très spécialisés. Ils ont leur place ; cet article ne se concentre pas sur eux.
Quand le tier-1 est la réponse pour une entreprise moyenne
Trois scénarios. Ils sont étroits mais réels.
Scénario 1 · C'est la filiale locale d'une multinationale
Si votre entité moyenne en France ou en Roumanie est la filiale d'une multinationale dotée d'un programme mondial de cybersécurité déjà exécuté par un tier-1, vous vous intégrez au programme. Lutter contre le prestataire hérité n'est pas un usage productif d'énergie. Vous voudrez peut-être un conseiller tier-2 en parallèle pour interpréter le programme mondial dans les réalités locales, mais la mission dominante reste tier-1.
Scénario 2 · Vous allez être acquise par un client tier-1
Si votre pipeline inclut un client Fortune 500 qui exigera, comme condition d'approvisionnement, que votre programme de sécurité soit mené ou audité par un cabinet tier-1 qu'il reconnaît, la mission est une décision commerciale, pas de sécurité. La prime que vous payez est le coût d'accès à l'approvisionnement de ce client.
Scénario 3 · Vous opérez dans un secteur réglementé avec une attente tier-1 explicite
Certains sous-secteurs très réglementés (certains segments de services financiers, certains opérateurs d'infrastructure critique nationale) ont des attentes de supervision qui s'alignent sur des capacités tier-1. L'attente n'est pas toujours écrite ; elle est dans les habitudes du superviseur. Une entité moyenne au sein de ce secteur lit la salle et s'aligne.
En dehors de ces trois scénarios, la mission tier-1 pour une entreprise moyenne est généralement un choix par défaut, pas un choix délibéré. Les défauts existent parce que l'équipe achats connaît les noms, l'équipe juridique connaît les contrats et le RSSI précédent a travaillé dans un tier-1 et reproduit ce qu'il connaît.
Quand le tier-2 est la réponse pour une entreprise moyenne
L'image inversée. Cinq scénarios.
Scénario 1 · Le périmètre est borné et de profondeur technique
Une montée en capacité NIS2 de 90 jours, un pentest à périmètre fixe, un vRSSI à 3 jours/mois, un sprint OSINT défensif. Ces missions prospèrent avec une implication sénior directe, une petite équipe nommée et une vitesse de communication. Un tier-1 les livrera ; le prix reflétera le coût de sa structure et les consultants qui livrent seront souvent juniors parce que les séniors sont sur des missions plus grandes.
Scénario 2 · Vous appréciez que la même personne apparaisse à chaque fois
Dans une mission tier-2, le sénior qui a vendu est habituellement le sénior qui livre. Dans une mission tier-1, c'est vrai le premier mois et s'érode avec le temps. Pour les entreprises moyennes où la relation et le contexte institutionnel comptent, la constance est un avantage structurel.
Scénario 3 · Vous voulez des « non » honnêtes
Une boutique qui dit oui à chaque périmètre n'est pas une boutique ; c'est un petit tier-1 qui essaie de grandir. La boutique à rechercher est celle qui refuse 20-30 % des missions qu'elle pourrait gagner pour des raisons d'ajustement. Les cabinets tier-1 ont une pression structurelle à dire oui plus souvent.
Scénario 4 · Votre budget est réel mais pas illimité
Un budget moyen qui finance une mission tier-1 à 60 % du périmètre visé finance généralement une mission tier-2 à 100 % du périmètre visé. L'arithmétique favorise le tier-2 dans la fourchette de budget où vit la plupart des entreprises moyennes.
Scénario 5 · Vous voulez des séniors en salle dès la semaine un
Dans une mission tier-2, le responsable de projet est sénior et présent dès la semaine un. Dans une mission tier-1, l'associé est au kick-off et au comité de pilotage ; le quotidien est junior. Les deux modèles peuvent livrer. Le modèle qui convient aux entreprises moyennes le plus souvent est le premier.
Les arbitrages dont personne ne parle
Risque tier-1 que les entreprises moyennes sous-estiment
- Personnel junior sur des sujets séniors. L'associé qui a vendu n'est pas le consultant de votre réunion hebdomadaire.
- Inflation de périmètre. La structure a des incitations de croissance ; attendez-vous à des conversations d'extension chaque trimestre.
- La documentation comme livrable. Les livrables tier-1 sont lourds en documentation, parfois au détriment du changement opérationnel.
- Délais lents sur les petites questions. Une question de 30 minutes devient une demande, une estimation, une modification de SOW.
Risque tier-2 que les entreprises moyennes sous-estiment
- Dépendance à la personne clé. Si le sénior quitte la boutique, la qualité de la mission peut chuter.
- Banc limité pour les pics. Un tier-2 ne peut pas apporter 20 consultants pour une semaine de crise.
- Lacunes de couverture par spécialisation. Un tier-2 profond sur trois choses n'est pas profond sur vingt. Ajustez le cabinet à votre périmètre.
- Notoriété de marque pour votre auditeur. Certains auditeurs et clients préfèrent voir un logo tier-1 sur le rapport. Le rapport tier-2 peut être techniquement supérieur et affronter malgré tout une friction de marque.
Les arbitrages plus petits qu'il n'y paraît
- Qualité des séniors. Les séniors d'une boutique sérieuse sont souvent des personnes qui viennent du tier-1, ont appris le métier et ont délibérément choisi le modèle boutique. Ils ne sont pas de moindre qualité ; ils sont incités différemment.
- Alignement avec les standards. Une boutique sérieuse aligne sa méthodologie sur les mêmes standards (NIST CSF, ISO 27001, MITRE ATT&CK) qu'un tier-1. Le vocabulaire est partagé.
- Assurances et couverture contractuelle. Les cabinets tier-2 sérieux souscrivent la responsabilité civile professionnelle et cyber que les équipes achats exigent. Vérifiez en due diligence ; ne présumez pas.
Cadre de décision en une page
| Signal | Si oui, vers tier-1 | Si oui, vers tier-2 |
|---|---|---|
| C'est une filiale d'entreprise mondiale | Oui | |
| Votre plus gros client exige un audit tier-1 | Oui | |
| Votre superviseur attend un alignement tier-1 | Oui | |
| Périmètre borné, profondeur technique, 1-6 mois | Oui | |
| Vous appréciez la continuité sénior dans le temps | Oui | |
| Vous avez besoin de « non » honnêtes comme partie de la valeur | Oui | |
| Budget réel mais pas illimité | Oui | |
| La capacité de pic est une exigence dure | Oui | |
| Le multi-région et multi-langue est dominant | Oui | |
| La langue locale et la juridiction comptent | Oui | |
| La marque sur le rapport est une condition d'achat | Oui | |
| La qualité du rapport est une condition d'achat | Oui |
Si les signaux se répartissent, exécutez un petit pilote à périmètre fixe avec les deux types de cabinet avant de vous engager dans une mission pluriannuelle. La friction de changer après douze mois est élevée ; le coût du pilote est faible.
Comment entretenir un entretien avec un cabinet tier-2
Posez ce qu'une équipe achats tier-1 demanderait et un peu plus :
- Qui est le responsable nommé et quelle est son utilisation sur d'autres missions pendant ma fenêtre ?
- Quelles missions avez-vous refusées au cours des 12 derniers mois et pourquoi ?
- Montrez-moi un livrable rédigé d'une mission comparable (anonymisé).
- Quel est le plafond de votre assurance responsabilité civile professionnelle et qui est l'assureur ?
- Que se passe-t-il si le responsable nommé quitte le cabinet pendant ma mission ?
- Puis-je parler à deux clients de référence, idéalement un satisfait et un qui a décidé de ne pas renouveler ?
Un cabinet tier-2 qui ne répond pas avec clarté, ou qui se met sur la défensive sur la deuxième et la dernière question, n'est pas le bon.
> « Nous avons perdu des évaluations concurrentielles face à des cabinets tier-1 lorsque le client avait véritablement besoin d'un ajustement tier-1. Nous avons gagné des évaluations face à des cabinets tier-1 lorsque le client avait besoin d'un ajustement tier-2. Le schéma est l'ajustement, pas le prix. » — Revue interne de développement commercial IBL, 2026
Ce que nous faisons chez IBL
Nous sommes explicitement un cabinet boutique tier-2. Nous refusons les missions où l'ajustement tier-1 est véritablement meilleur et nous le disons dès la première conversation. Lorsque nous acceptons, le sénior nommé est celui qui est à votre réunion hebdomadaire, le livrable est signé par une personne réelle que vous pouvez appeler et le périmètre est celui convenu, pas 20 % de plus.
Si vous souhaitez discuter de la pertinence du tier-2 pour votre périmètre spécifique, écrivez à [email protected]. Nous répondons dans un jour ouvrable.
Ibida Black Level S.L. est un cabinet de conseil boutique en cybersécurité basé à Málaga, en Espagne, avec une équipe opérationnelle en Roumanie. Nous travaillons avec des entreprises moyennes européennes qui préfèrent l'honnêteté technique à l'emballage commercial. Nous avons été fondés en 2026 ; nous n'inventons pas une histoire plus longue.
Lectures connexes
- vRSSI face au RSSI interne : quand chaque modèle a du sens
- Audit OSINT : ce que nous livrons et combien de temps cela prend réellement (cluster pilier T4)
- Auto-évaluation NIS2 : 25 questions pour savoir si votre entreprise est conforme (cluster pilier T3)
Étiquettes : selection-prestataire, achats, entreprise-moyenne, boutique, tier-1, tier-2, cadre-decision