Audit de sécurité sur site — TPE/PME & Associations

Nous venons dans vos locaux pour faire un état des lieux clair de votre sécurité informatique : ce qui va bien, ce qui doit être corrigé, et dans quel ordre. Le tout en langage simple, avec des actions concrètes adaptées à vos moyens.

🏢 Intervention sur site 🧭 Priorités claires 🧑‍💼 Pédagogie non-technique 🔐 Bonnes pratiques ANSSI 📊 Rapport & plan d’action
Demander un audit sur site

1) Préparation & Planification

Objectif : comprendre votre contexte pour éviter le jargon inutile et cibler l’essentiel.

  • Qui êtes-vous ? Activité, taille, sites, outils clés (messagerie, gestion commerciale, compta…).
  • Ce qui compte pour vous : continuité d’activité, protection de données clients, secret des prix, conformité…
  • Périmètre : bureaux, télétravail, serveurs, cloud (Microsoft 365, Google, etc.), Wi-Fi invités, caisses…
  • Pratique : dates de passage, personnes à rencontrer (informatique, direction), accès nécessaires.

Tout est expliqué simplement. Un NDA (accord de confidentialité) est possible si vous le souhaitez.

2) Collecte d’Informations

Objectif : dresser un inventaire raisonnable sans immobiliser vos équipes.

  • Matériel : ordinateurs, serveurs, box/routeur, points Wi-Fi, smartphones pro.
  • Logiciel : systèmes (Windows, macOS, Linux), antivirus/EDR, sauvegardes, mises à jour.
  • Comptes & accès : administrateurs, comptes partagés, mots de passe, MFA.
  • Cloud & SaaS : mails, ERP/CRM, stockage, droits d’accès, partages externes.

Nous demandons des preuves simples (captures, exports), sans données sensibles.

3) Évaluation des Risques

Objectif : relier les risques informatiques à vos risques métiers (perte de ventes, arrêt d’activité, image, conformité).

  • Scénarios typiques : hameçonnage (phishing), ransomware, vol de compte, panne matérielle, erreur humaine.
  • Impact & probabilité : nous évaluons la gravité et la chance d’apparition selon votre contexte.
  • Priorités : nous classons “à faire d’abord / ensuite / plus tard”.

Pas de jargon : chaque risque est expliqué en une phrase + les actions à mener.

4) Tests Techniques (échantillon représentatif)

Objectif : vérifier que vos protections fonctionnent en pratique.

  • Revue de configuration : box/routeur, pare-feu, Wi-Fi (mot de passe, invités), antivirus/EDR, mises à jour.
  • Scan de vulnérabilités : détecter les failles connues et vérifier les correctifs (quand c’est possible, en mode “authentifié”).
  • Journalisation (SIEM) : voyez-vous les événements importants ? Alertez-vous correctement ?
  • Restauration de sauvegarde : tester sur un fichier ou un petit dossier (preuve que la sauvegarde marche).
  • Test d’intrusion : optionnel (non obligatoire) — uniquement avec votre autorisation écrite.

Les tests sont non destructifs et planifiés pour ne pas gêner votre production.

5) Politiques & Procédures

Objectif : s’assurer que les règles du quotidien sont claires et applicables par tous.

  • MFA & mots de passe : quand et comment activer le 2FA, quelles longueurs de mots de passe, gestionnaire d’identifiants.
  • Entrées/Sorties (On/Offboarding) : création de compte, droits justes, désactivation lors des départs.
  • Sauvegardes 3-2-1 : 3 copies, 2 supports, 1 hors-site ; fréquence et test régulier.
  • Réponse à incident : qui appelle qui, en combien de temps, et que fait-on en premier.

6) Conformité

Objectif : vérifier l’alignement avec des référentiels simples.

  • Bonnes pratiques ANSSI : hygiène informatique, recommandations d’authentification.
  • RGPD (côté sécurité) : minimisation, gestion des accès, traçabilité, confidentialité.
  • ISO 27001/27002 (sensibilisation) : bonnes pratiques sans viser la certification.

7) Rapport d’Audit

Objectif : vous remettre un document facile à lire qui aide à décider.

  • Résumé exécutif : 1 page pour la direction (les 5 points clés).
  • Carte des risques : par thème (faible / moyen / élevé / critique) + score global avec échelle de lecture.
  • Plan d’action 30-60-90 jours : actions classées par impact/effort, responsables, estimation de moyens.
  • Annexes : constats techniques, captures, références utiles.
≥ 80 % → Excellent
60–79 % → Bon
40–59 % → À améliorer
< 40 % → Critique

8) Suivi & Mise en Œuvre

Objectif : vous aider à passer de la feuille de route à l’action.

  • Restitution en atelier (IT + métiers) : on clarifie qui fait quoi et quand.
  • Accompagnement (option) : mise en place MFA, sauvegardes, anti-phishing, durcissement postes, etc.
  • Re-tests ciblés : vérifier que les failles prioritaires sont bien corrigées.
  • Mini-audit de contrôle (selon besoin) quelques mois plus tard.

Confidentialité, périmètre & options

  • Confidentialité : NDA sur demande ; nous ne copions pas de données sensibles.
  • Périmètre : défini ensemble ; toute action intrusive (ex. test d’intrusion) est optionnelle et sur autorisation écrite.
  • Tarification : sur devis selon la taille du parc, le nombre de sites et les options retenues.
Planifier une intervention