Un audit informatique bien mené ne cherche pas seulement des failles techniques. Il vérifie si le parc tient réellement la route sur trois axes qui comptent en France: la sécurité, la conformité et la capacité à réagir vite en cas d’incident. Ici, je prends un exemple concret d’audit pour montrer ce que je contrôle, comment je priorise les écarts et comment je transforme les constats en plan d’action.
Les points essentiels à garder en tête avant d’auditer un parc
- Un audit utile couvre les accès, les postes, le réseau, les sauvegardes, la journalisation et les droits d’administration.
- Un bon cas d’audit commence par un périmètre clair: sites, cloud, télétravail, prestataires et données sensibles.
- Les écarts les plus coûteux sont souvent simples: comptes partagés, MFA absent, sauvegardes non testées, Wi-Fi mal segmenté.
- La priorité n’est pas de tout corriger d’un coup, mais de traiter d’abord ce qui expose l’entreprise à une fuite, un arrêt ou une non-conformité.
- Le bon format d’audit dépend du niveau d’objectivité recherché, du temps disponible et du budget.
Ce qu’un audit de parc doit prouver
Quand j’évalue un parc informatique, je ne pars pas d’abord des outils. Je pars des preuves. Un audit n’a de valeur que s’il permet de démontrer que l’organisation sait ce qu’elle protège, qui y accède, comment elle détecte un incident et ce qu’elle fait lorsqu’un écart apparaît. En pratique, je sépare toujours deux questions: la sécurité est-elle suffisante, et peut-on montrer qu’elle est organisée et suivie?
Cette distinction est importante, parce qu’un environnement peut sembler correct sur le papier tout en restant fragile sur le terrain. ISO/IEC 27001 résume bien cette logique: définir un système de management, suivre les risques et l’améliorer en continu. Dans un audit de parc, cela se traduit par des éléments très concrets: gestion des comptes, segmentation réseau, sauvegardes, journalisation, procédures et revue des droits.
| Angle | Question à poser | Preuve attendue |
|---|---|---|
| Sécurité | Le parc limite-t-il réellement l’exposition? | MFA, segmentation, mises à jour, restauration testée, filtrage réseau |
| Conformité | Peut-on démontrer que les règles sont appliquées? | Politiques écrites, journalisation, habilitations, registre des actions, plan de correction |
Un exemple d’audit sur une PME de services
Je prends ici un cas fictif, mais très proche de ce que l’on rencontre souvent: une PME de 140 personnes, trois sites, environ 110 postes fixes, 25 portables en mobilité, une messagerie cloud, un serveur de fichiers local, un VPN pour les accès distants et un Wi-Fi invité pour les visiteurs. Les données sensibles portent surtout sur les dossiers clients, les documents RH et quelques contrats stratégiques.
Le but de l’audit n’est pas de certifier l’entreprise d’emblée. Il s’agit d’établir un état des lieux honnête, puis de produire un plan d’action priorisé. Sur ce type de périmètre, je travaille généralement en trois temps: entretiens avec les responsables, vérification technique ciblée, puis restitution des écarts classés par niveau de risque.
Périmètre de départ
Je commence par cartographier ce qui existe vraiment, pas seulement ce qui est documenté. Cela inclut les comptes administrateurs, les postes nomades, les équipements réseau, les sauvegardes, les accès distants, les prestataires et les flux de données personnelles. Dans beaucoup de PME, c’est déjà là que les premières surprises apparaissent.
Méthode de travail
- Je fais un inventaire rapide des actifs: postes, serveurs, mobiles, comptes cloud, équipements réseau et applications critiques.
- Je vérifie les droits d’accès et les comptes à privilèges, notamment les accès d’administration et les comptes partagés.
- Je teste la robustesse des sauvegardes, avec au moins une restauration d’échantillon.
- Je contrôle la segmentation du réseau, les accès Wi-Fi et les mécanismes d’authentification à distance.
- Je relis enfin les journaux et les procédures de réaction en cas d’incident.
Lire aussi : Hedy Lamarr - Mythes et réalité pour la cybersécurité sans fil
Ce que cette première passe révèle presque toujours
Sur ce type de PME, les écarts ne sont pas forcément spectaculaires. Ils sont plutôt cumulatifs: un compte partagé ici, des droits trop larges là, une sauvegarde jamais restaurée, un poste oublié hors politique de mises à jour. Pris isolément, chaque point paraît mineur. Ensemble, ils créent une surface d’attaque très exploitable.
Une fois ce contexte posé, la vraie valeur vient de la grille de contrôle.
La grille de contrôle que je passe en revue en premier
Je m’appuie toujours sur une logique simple: identifier ce qui protège l’entreprise, puis vérifier si c’est activé, suivi et documenté. Pour le réseau, je m’aligne sur les bonnes pratiques de l’ANSSI, notamment sur la séparation des accès et le contrôle d’authentification. Le déploiement de 802.1X, par exemple, ajoute une vraie barrière contre les connexions non autorisées: il ne laisse pas un poste se brancher “en aveugle” sur le réseau interne.
| Domaine | Ce que je vérifie | Bon signal | Alerte |
|---|---|---|---|
| Identités et accès | MFA, comptes nominatifs, suppression des comptes orphelins | Pas de compte partagé, revues régulières des droits | Comptes génériques, privilèges permanents |
| Postes de travail | Chiffrement, mises à jour, verrouillage, EDR | Politique de patching claire et suivie | Postes en retard, antivirus seul et non supervisé |
| Sauvegardes | Fréquence, rétention, isolement, test de restauration | Restauration testée au moins périodiquement | Sauvegardes présentes mais jamais vérifiées |
| Réseau | Segmentation, pare-feu, Wi-Fi invité, accès distant | Invités séparés du réseau interne | Wi-Fi plat, règles floues, VPN trop ouvert |
| Journalisation | Logs d’accès, d’administration et d’incidents | Traçabilité suffisante pour enquêter | Journaux inexistants ou trop courts |
| Organisation | Procédures, rôles, escalade, prestataires | Qui fait quoi est clair | Tout repose sur une personne “qui sait” |
La journalisation mérite un traitement à part. Sans traces fiables, on enquête mal, on corrige lentement et on prouve difficilement ce qui s’est passé. Je regarde donc toujours si les événements d’accès, de création, de modification et de suppression sont conservés assez longtemps pour être utiles, sans transformer le système en coffre-fort inutilisable. C’est souvent un compromis, mais il doit être assumé, pas subi.
À ce stade, on voit déjà où les écarts vont apparaître. Dans la plupart des cas, ils se concentrent toujours sur quelques zones très prévisibles.
Les écarts que je retrouve le plus souvent
Selon le rapport annuel 2024 de la CNIL, 5 629 violations de données ont été notifiées, soit une hausse de 20 % sur un an. Le chiffre ne dit pas tout, mais il rappelle une réalité simple: une faiblesse de configuration, une erreur humaine ou un compte compromis suffit à déclencher un incident qui dépasse largement le cadre technique.
| Écart fréquent | Pourquoi c’est critique | Correction prioritaire |
|---|---|---|
| Comptes partagés | Impossible de tracer qui a fait quoi, risque élevé de fuite et d’abus | Comptes nominatifs et MFA obligatoire |
| Sauvegardes non testées | Le jour de crise, on découvre qu’on ne sait pas restaurer | Test de restauration planifié et documenté |
| Retards de patching | Les failles connues restent exploitables trop longtemps | Fenêtre de mise à jour avec suivi par criticité |
| Réseau mal segmenté | Un incident sur un poste peut se propager plus vite | Isolation des zones, Wi-Fi invité séparé, règles de filtrage |
| Droits excessifs | Un simple compte utilisateur a accès à trop de ressources | Principe du moindre privilège et revue trimestrielle |
| Logs présents mais jamais relus | La détection est tardive et l’analyse post-incident est pauvre | Centralisation minimale et alertes sur les événements clés |
Dans un audit réel, ce qui me frappe le plus n’est pas l’absence d’outillage. C’est l’absence de discipline. On trouve un pare-feu, un antivirus, parfois même un SIEM, mais sans procédure claire, sans revue régulière et sans preuve de contrôle, l’ensemble reste fragile. Le problème n’est donc pas seulement technique; il est aussi organisationnel.
Il reste alors à convertir ces constats en séquence d’action.
Comment transformer les constats en plan d’action réaliste
Je préfère presque toujours un plan d’action en trois horizons. Cela évite le piège du grand chantier interminable et permet de sécuriser vite ce qui compte le plus. Dans les audits que je trouve utiles, les 30 premiers jours servent à réduire l’exposition immédiate, les 60 jours suivants à stabiliser les pratiques, puis les 90 jours à rendre les contrôles durables.
| Horizon | Priorités | Résultat attendu |
|---|---|---|
| 0 à 30 jours | MFA sur les comptes sensibles, séparation du Wi-Fi invité, suppression des comptes partagés, test de restauration simple | Baisse rapide du risque d’intrusion et de blocage opérationnel |
| 30 à 60 jours | Revue des droits, durcissement des postes, politique de patching, journalisation des événements critiques | Meilleure traçabilité et réduction des écarts récurrents |
| 60 à 90 jours | Segmentation réseau, procédure d’incident, sensibilisation ciblée, revue des prestataires | Dispositif plus cohérent et capable de tenir dans la durée |
Je conseille aussi de suivre quelques indicateurs simples, sinon le plan d’action retombe vite dans l’oubli: taux de MFA activé, délai moyen d’installation des correctifs critiques, taux de réussite des restaurations, nombre de comptes à privilèges, délai de clôture des écarts. Un tableau de bord trop ambitieux finit souvent ignoré; un tableau de bord minimal, lui, peut réellement piloter l’amélioration.
À ce niveau, la question devient presque toujours: qui doit porter ce travail et sous quel format?
Interne, externe ou hybride selon le niveau d’exigence
Je ne choisis pas le format d’audit en fonction d’une préférence théorique. Je le choisis selon l’objectif. Si je veux de la rapidité et du suivi régulier, l’interne est souvent pertinent. Si je veux de l’objectivité et un regard critique sur les angles morts, l’externe apporte davantage. Dans la pratique, le modèle hybride est souvent le plus solide: contrôle interne continu, puis regard externe périodique pour casser les habitudes.
| Format | Quand le choisir | Atout principal | Limite | Ordre de grandeur |
|---|---|---|---|---|
| Interne | Suivi régulier, petite équipe, budget serré | Rapidité et connaissance du contexte | Risque de biais et d’angle mort | Faible coût direct, mais mobilisation forte des équipes |
| Externe | Besoin d’objectivité, préparation à une certification ou à une revue de conformité | Regard neuf, méthode structurée | Coût supérieur et dépendance au prestataire | Souvent quelques milliers d’euros pour un audit ciblé; davantage pour un périmètre multi-sites |
| Hybride | Parc moyen ou grand, besoin de progrès continu | Bon compromis entre maîtrise et recul | Demande de la coordination | Souvent le meilleur rapport valeur/prix |
Sur les coûts, je reste volontairement prudent: ils varient beaucoup selon le nombre de sites, la profondeur des tests, la présence d’applications métiers, la sensibilité des données et le niveau de restitution attendu. En revanche, je peux être plus ferme sur un point: un audit trop bon marché qui ne produit ni preuves, ni priorités, ni suivi ne vaut presque rien. Le vrai coût, c’est souvent celui d’un incident mal évité.
Au fond, l’audit n’est utile que s’il produit des décisions exécutables, pas juste un document de plus.
Ce que je veux voir avant de considérer l’audit comme utile
Quand je relis un rapport, je cherche d’abord trois choses: des écarts classés par gravité, des preuves de vérification et un responsable par action. Sans ça, le document explique le problème mais ne change rien. Un bon audit doit aider à décider, pas seulement à décrire.
- Une liste courte des risques critiques, pas un inventaire confus de tout ce qui a été observé.
- Des preuves concrètes: captures, exports, configurations, journaux, tests de restauration.
- Un plan de remédiation avec échéance, propriétaire et critère de validation.
- Un suivi dans le temps, parce qu’un audit sans recontrôle s’épuise vite.
Si je devais résumer la logique en une phrase, je dirais ceci: un audit réussi ne sert pas à montrer que tout va bien, il sert à montrer ce qui doit être corrigé, dans quel ordre et avec quelle preuve de correction. C’est cette discipline qui transforme un parc informatique fragile en environnement réellement piloté.
