Pourquoi auditer ?
Un audit cybersécurité produit un état des lieux factuel et hiérarchisé. Il sert typiquement à :
- Répondre à un questionnaire d'un client donneur d'ordre (NIS2, ISO 27001, etc.).
- Justifier la couverture demandée par un assureur cyber.
- Préparer une certification (HDS pour la santé, SecNumCloud, etc.).
- Avoir une vision claire avant un investissement IT important (migration cloud, refonte AD).
- Reprendre la main après un incident ou une suspicion.
Les 4 grandes étapes
Étape 1 — Cadrage (visio 30-60 min)
Le cabinet vous demande :
- Combien de collaborateurs, combien de sites, type d'activité.
- Inventaire approximatif : serveurs, postes, applications métier critiques.
- Vos enjeux : répondre à un client ? préparer un assureur ? après-incident ?
- Vos contraintes : budget, calendrier, plages d'intervention possibles.
À la fin : lettre de mission proposée, périmètre exact, prix forfaitaire ou en jours, calendrier.
Étape 2 — Lettre de mission signée
Document légal qui formalise :
- Périmètre exact (quels systèmes, quels lieux).
- Autorisations explicites (article 323-1 du Code pénal).
- Calendrier d'intervention.
- Tarif détaillé.
- Modalités de remise du rapport.
- Confidentialité et propriété intellectuelle des résultats.
Aucune intervention sérieuse ne commence sans lettre de mission signée. C'est aussi la garantie que le cabinet est sérieux et que vous êtes juridiquement protégé.
Étape 3 — Évaluation sur site
Pour une PME 5-50 personnes, comptez 2 à 4 jours d'intervention selon la profondeur. Trois familles d'audit :
- Audit technique : scan d'exposition externe, analyse de l'Active Directory avec PingCastle, audit Microsoft 365, configuration des postes, des sauvegardes, du VPN.
- Audit organisationnel : gestion des accès, procédures internes, politique de mots de passe, sensibilisation, gestion des départs collaborateurs.
- Audit physique : accès aux locaux, salle serveur, écrans visibles, prises ethernet brassées. Voir Sécurité physique de la salle serveur.
Pendant l'intervention, votre activité continue. L'audit est non intrusif (pas de pentest, pas d'exploitation). Voir notre article Audit ou pentest : quand demander quoi.
Étape 4 — Restitution et rapport
Sous 5 à 15 jours après la fin de l'intervention, vous recevez :
- Un rapport détaillé (typiquement 30-80 pages selon la taille de l'audit) avec, pour chaque finding : description, niveau de criticité (rouge/orange/vert), preuve, recommandation, effort estimé.
- Un résumé dirigeant d'une page : les 3-5 priorités absolues, le score global, le plan d'action recommandé.
- Une restitution orale de 30 à 60 minutes, en visio ou sur site, où vous pouvez poser toutes vos questions.
Les ordres de grandeur de prix observés en 2026
Pour une PME française :
- Diagnostic découverte (demi-journée, 3 à 5 pages) : souvent gratuit en offre d'appel, ou 300-800 €.
- Audit complet PME (10 à 30 personnes, 2-3 jours, rapport 30-50 pages) : 2 500 à 6 000 €.
- Audit complet PME élargi (50+ personnes, 4-7 jours, rapport 50-80 pages) : 6 000 à 15 000 €.
- Pentest externe seul (1-3 jours) : 3 000 à 8 000 €.
- Pentest interne + Active Directory (5-10 jours) : 8 000 à 25 000 €.
Méfiance avec les prix très bas (< 1 500 € pour un audit complet) : c'est souvent un scan automatique sans analyse manuelle réelle, qui produit un rapport de mauvaise qualité.
Comment se préparer
- Centraliser dans un dossier partagé : schéma réseau, inventaire matériel, liste des applications métier, procédures internes existantes.
- Identifier les personnes interlocutrices côté audit : dirigeant, IT interne, prestataire IT, RH (pour les questions sur les départs collaborateurs).
- Bloquer les agendas pour les sessions d'entretien (typiquement 2-3 entretiens de 1 heure pendant l'audit).
- Prévoir un accès physique aux locaux et à la salle serveur.
À retenir
Ce que Scryptoura fait pour vous
Notre offre Audit Sécurité Complet couvre les trois familles (technique, organisationnel, physique) avec une grille tarifaire annoncée avant intervention. Si vous démarrez, le Diagnostic Découverte est l'entrée la plus simple — et la restitution orale est offerte.