Un audit informatique est souvent demandé trop tard. La demande apparaît quand les incidents se multiplient, quand la documentation manque, ou quand un changement de prestataire devient probable. À ce stade, le besoin existe déjà, mais le niveau de visibilité reste faible.
Le problème n'est pas l'absence de bonne volonté. Le problème est l'absence de base de lecture commune. Sans état des lieux précis, un devis paraît comparable alors que les périmètres ne le sont pas. Sans cartographie minimale, les risques les plus importants restent noyés dans le détail.
Le problème réel
Dans beaucoup de PME, le mot audit recouvre des réalités très différentes. Parfois il s'agit d'un simple inventaire matériel. Parfois il s'agit d'une revue de sécurité. Parfois d'un prétexte à chiffrer une reprise. Cette confusion réduit fortement la valeur du travail produit.
Un audit utile avant changement de prestataire a une fonction plus précise. Il doit permettre de comprendre ce qui existe, ce qui manque, ce qui est fragile et ce qui dépend encore de connaissances non documentées.
Ce qu'un audit doit rendre visible
Le périmètre réel
Le premier objectif consiste à identifier les actifs et services réellement utilisés. Postes, serveurs, Microsoft 365, sauvegardes, switchs, firewall, bornes Wi Fi, imprimantes, NAS, VPN, applications métiers, noms de domaine et services cloud doivent apparaître dans le même inventaire logique.
Les dépendances critiques
Un environnement technique paraît souvent simple jusqu'au moment où il faut expliquer ce qui s'arrête si un composant tombe. Une connexion Internet, un contrôleur de domaine, un NAS ou un tenant Microsoft 365 peuvent concentrer beaucoup plus de dépendances qu'il n'y paraît.
L'état de la documentation
L'absence de documentation n'est pas qu'un problème de confort. Elle augmente le temps d'intervention, fragilise la continuité et rend plus difficile toute reprise ou montée en qualité.
Le niveau de continuité réel
Une sauvegarde configurée ne signifie pas une reprise disponible. Un PRA annoncé ne signifie pas un PRA testable. L'audit doit distinguer ce qui existe sur le papier de ce qui a déjà été vérifié dans des conditions proches du réel.
Une checklist utile en six blocs
1. Inventaire
| Vérification | Pourquoi c'est critique |
|---|---|
| Liste des postes et serveurs | Base minimale de pilotage |
| Équipements réseau identifiés | Permet de comprendre la topologie |
| Services cloud listés | Réduit les dépendances invisibles |
| Propriétaires ou référents nommés | Clarifie les responsabilités |
Un inventaire qui oublie les services cloud ou les éléments réseau donne une image incomplète. Dans les PME, ces oublis sont fréquents.
2. Accès et identités
| Vérification | Signal de risque |
|---|---|
| Comptes administrateurs connus | Accès détenus uniquement par un tiers |
| MFA activé sur les comptes sensibles | Absence sur Microsoft 365 ou VPN |
| Comptes partagés recensés | Comptes génériques non tracés |
| Procédure d'arrivée et de départ | Comptes dormants ou droits excessifs |
Un prestataire peut gérer correctement l'exploitation courante tout en laissant une gouvernance faible sur les accès. Ce point mérite une lecture dédiée.
3. Sauvegardes et reprise
| Vérification | Question à trancher |
|---|---|
| Données réellement sauvegardées | Qu'est ce qui est couvert ou non |
| Rétention connue | Combien de temps les données restent récupérables |
| Dernier test de restauration | La reprise a t elle été prouvée |
| Localisation des sauvegardes | Dépendance à un site ou à un fournisseur |
Quand l'audit ne parvient pas à répondre clairement à ces quatre questions, le sujet sauvegarde doit remonter immédiatement dans les priorités.
4. Réseau et connectivité
| Vérification | Risque principal |
|---|---|
| Topologie simplifiée disponible | Dépendances non comprises |
| Segmentation existante ou absente | Réseau trop plat |
| Firewall documenté | Règles opaques ou obsolètes |
| Accès distants recensés | Surface d'accès externe mal maîtrisée |
Un schéma très simple suffit souvent.
Internet
|
Firewall
|
Switch coeur
/ | \
Users Servers Wi-Fi
Ce type de vue ne remplace pas la configuration détaillée. Il permet en revanche de situer rapidement les zones critiques.
5. Supervision et exploitation
| Vérification | Ce que cela révèle |
|---|---|
| Outils de supervision actifs | Capacité à détecter tôt |
| Politique de correctifs connue | Niveau d'hygiène réel |
| Reporting existant | Capacité de pilotage |
| Incidents récurrents identifiés | Dette technique non résolue |
Un environnement peut sembler stable uniquement parce qu'il est peu observé. L'audit doit donc distinguer stabilité réelle et absence de visibilité.
6. Réversibilité
| Vérification | Pourquoi cela compte |
|---|---|
| Documentation transférable | Facilite tout changement futur |
| Comptes et licences au bon propriétaire | Évite la dépendance |
| Liste des tiers connue | Réduit le temps de reprise |
| Conditions de sortie claires | Sécurise la relation de service |
Ce bloc est souvent négligé lorsqu'aucun changement immédiat n'est prévu. C'est pourtant l'un des meilleurs indicateurs de maturité d'un environnement.
Ce qui doit sortir de l'audit
Un audit utile ne devrait pas se terminer sur une simple liste brute. Il devrait aboutir à trois livrables minimum.
- Un inventaire consolidé.
- Une liste de risques priorisés.
- Un plan d'action court terme, moyen terme et structurel.
Sans ces trois sorties, l'audit décrit. Il aide peu à décider.
Les erreurs fréquentes
Confondre audit et catalogue matériel
Un inventaire matériel a son utilité. Il ne répond ni à la question des dépendances, ni à celle de la continuité, ni à celle des accès sensibles.
Vouloir tout traiter au même niveau
Tous les constats n'ont pas la même gravité. Une version logicielle en retard ne pèse pas comme une sauvegarde jamais testée ou un compte administrateur inconnu.
Lancer une consultation sans état des lieux
Demander des devis sans audit préalable produit souvent des propositions difficilement comparables. Chaque prestataire imagine alors un périmètre différent.
Ce que cela change concrètement
Un audit bien mené réduit le bruit dans la décision. Il clarifie les priorités, rend les risques lisibles et améliore fortement la qualité d'une reprise ou d'un contrat d'infogérance.
Il permet aussi de distinguer un simple besoin de support d'un besoin d'exploitation structurée. C'est précisément ce point qui sépare une assistance ponctuelle d'un service d'exploitation réellement piloté. Dans cette logique, un acteur comme Initial Infrastructures est plus utile lorsqu'il reprend un périmètre déjà clarifié que lorsqu'il doit d'abord découvrir l'environnement dans l'urgence.
Sources
- ANSSI Guide d'hygiène informatique
- NIST Cybersecurity Framework
- CIS Controls v8 Safeguards and Implementation Groups
Sources
Accompagnement disponible sur ce sujet
Initial Infrastructures intervient sur l'ensemble de ces problématiques pour les PME et ETI. Un échange court permet d'identifier les priorités et le bon niveau d'intervention.