Audit cybersécurité PME : que vérifier en priorité et combien ça coûte

Un audit de cybersécurité est un examen méthodique de votre système d'information pour identifier les failles, les mauvaises pratiques et les risques auxquels votre PME est exposée. Ce n'est pas réservé aux grandes entreprises : un audit adapté à une PME de 10 à 100 salariés peut se réaliser en quelques jours et pour un budget maîtrisé. L'objectif n'est pas de tout sécuriser d'un coup, mais de savoir exactement où vous êtes vulnérable et dans quel ordre agir.

Pourquoi réaliser un audit cybersécurité dans une PME ?

La plupart des PME n'ont pas de visibilité sur leur niveau de sécurité réel. Le dirigeant pense que « le prestataire informatique s'en occupe », mais sans audit, personne ne vérifie. Un audit permet de répondre à trois questions essentielles. Premièrement, quels sont vos actifs critiques ? Données clients, comptabilité, messagerie, outils métier, site web. Deuxièmement, quelles sont les failles existantes ? Mots de passe faibles, logiciels obsolètes, accès non révoqués, sauvegardes non testées. Troisièmement, quel est votre niveau de risque réel ? Un audit quantifie les risques et priorise les actions correctives. Il est aussi un prérequis pour certaines assurances cyber, de plus en plus exigées par les clients grands comptes.

Les différents types d'audits pour les PME

L'audit organisationnel

Il évalue vos processus et politiques de sécurité : politique de mots de passe, gestion des accès, procédures de sauvegarde, plan de continuité d'activité, conformité RGPD. C'est un audit par entretiens et revue documentaire, sans test technique approfondi. Durée : 1 à 2 jours. Coût : 1 500 à 3 000 €. C'est le point de départ idéal pour une PME qui n'a jamais été auditée.

L'audit technique (scan de vulnérabilités)

Un scan de vulnérabilités analyse votre infrastructure (serveurs, postes de travail, réseau, site web) pour détecter les failles connues : logiciels obsolètes, ports ouverts, configurations faibles, certificats expirés. Il utilise des outils automatisés (Nessus, Qualys, OpenVAS) complétés par une analyse humaine. Durée : 1 à 3 jours. Coût : 2 000 à 5 000 €. Il est recommandé après un audit organisationnel ou en complément.

Le test d'intrusion (pentest)

Le pentest simule une attaque réelle pour tester vos défenses. Un consultant tente de pénétrer votre système d'information comme le ferait un attaquant, en exploitant les failles techniques et humaines (phishing ciblé, tentative d'accès physique). C'est l'audit le plus complet mais aussi le plus coûteux. Durée : 3 à 10 jours selon le périmètre. Coût : 5 000 à 15 000 €. Il est pertinent pour les PME qui traitent des données sensibles (santé, finance, juridique) ou qui répondent à des appels d'offres exigeant un rapport de pentest.

Que doit couvrir un audit cybersécurité PME ?

Un audit complet pour une PME doit passer en revue huit domaines clés. La gestion des identités et des accès : politique de mots de passe, MFA, comptes privilégiés, comptes dormants. La protection des postes de travail : antivirus, chiffrement des disques, mises à jour, droits administrateurs. La sécurité réseau : pare-feu, segmentation, Wi-Fi, VPN, ports ouverts. Les sauvegardes : fréquence, supports, tests de restauration, isolation. La messagerie : filtrage anti-phishing, SPF/DKIM/DMARC, sensibilisation des utilisateurs. La conformité RGPD : registre des traitements, consentements, durées de conservation, droits des personnes. La sécurité des applications métier et du site web : mises à jour, gestion des accès, chiffrement des communications. La gouvernance : politique de sécurité écrite, procédure de réponse à incident, responsabilités définies.

Combien coûte un audit cybersécurité pour une PME ?

Les tarifs varient selon le type d'audit, la taille de l'entreprise et le prestataire. Pour une PME de 10 à 20 salariés, un audit organisationnel coûte entre 1 500 et 3 000 €. Un scan de vulnérabilités revient entre 2 000 et 5 000 €. Un audit combiné (organisationnel + technique) coûte entre 3 000 et 7 000 €. Un pentest démarre à 5 000 € et peut atteindre 15 000 € pour un périmètre étendu. Pour une PME de 50 à 100 salariés, ajoutez 30 à 50 % à ces tarifs. Certaines régions et CCI proposent des aides financières ou des chèques cybersécurité qui couvrent une partie du coût. Le dispositif France Num référence les aides disponibles.

Comment choisir un prestataire d'audit ?

Vérifiez que le prestataire possède une certification reconnue : PASSI (Prestataires d'Audit de Sécurité des Systèmes d'Information, qualifié par l'ANSSI), ISO 27001, ou des certifications individuelles comme CEH, OSCP, CISSP. Demandez des références dans votre secteur d'activité et votre taille d'entreprise. Un bon prestataire vous fournira un rapport clair avec des recommandations classées par criticité et par budget, pas un document de 200 pages incompréhensible. Méfiez-vous des offres trop bon marché (moins de 1 000 €) qui se limitent à un scan automatisé sans analyse humaine. Assurez-vous qu'un accord de confidentialité (NDA) est signé avant tout partage d'informations.

Que faire après l'audit ?

Le rapport d'audit n'est utile que s'il est suivi d'actions. Classez les recommandations en trois catégories : actions immédiates (failles critiques à corriger sous 1 à 2 semaines), actions à planifier dans le trimestre (failles importantes), et améliorations continues (bonnes pratiques à intégrer progressivement). Désignez un responsable pour chaque action et fixez des échéances. Planifiez un audit de suivi 6 à 12 mois plus tard pour mesurer les progrès. Conservez le rapport d'audit en lieu sûr : c'est un document sensible qui décrit vos failles. Ne le diffusez qu'aux personnes directement concernées.

L'auto-évaluation : une première étape gratuite

Avant de faire appel à un prestataire, vous pouvez réaliser une auto-évaluation gratuite. L'ANSSI propose le guide « La cybersécurité pour les TPE/PME en 13 questions ». Cybermalveillance.gouv.fr offre un diagnostic en ligne gratuit. La checklist cybersécurité ForgiaPro permet de vérifier les 20 points essentiels en moins de 30 minutes. Cette auto-évaluation ne remplace pas un audit professionnel, mais elle vous donne une première vision de votre niveau de maturité et vous aide à préparer le périmètre d'un audit externe.