« On a reçu un questionnaire de sécurité de notre donneur d'ordres, il faut répondre avant la fin du mois. » C'est probablement la phrase que nous entendons le plus souvent au téléphone depuis un an. L'audit cybersécurité n'est plus réservé aux grands groupes : les PME du bassin nazairien y sont désormais confrontées, qu'elles le veuillent ou non. Voici concrètement ce qu'un auditeur contrôle, les écarts qu'on retrouve partout, et comment transformer cet exercice imposé en avantage commercial.
Pourquoi votre PME va (probablement) être auditée
Trois forces poussent aujourd'hui les PME vers l'audit cybersécurité :
- Les donneurs d'ordres. Sur le bassin de Saint-Nazaire, les Chantiers de l'Atlantique, Airbus Atlantic et leurs rangs 1 diffusent des questionnaires de sécurité à toute leur chaîne de sous-traitance. Pas de réponse satisfaisante, pas de renouvellement de contrat. Nous en avons parlé en détail dans notre article sur la mise à niveau cyber des sous-traitants industriels.
- La directive NIS2. Transposée en droit français, elle étend les obligations de sécurité à des milliers d'entreprises qui n'étaient pas concernées par NIS1 — y compris, par effet de cascade, leurs fournisseurs. L'audit devient le moyen de prouver sa conformité.
- Les assureurs cyber. Plus aucune police cyber sérieuse ne se souscrit sans questionnaire technique préalable. MFA absent ou sauvegardes non testées = surprime, exclusions de garantie, voire refus pur et simple.
La check-list de l'audit cybersécurité : 7 domaines passés au crible
Que l'audit soit mené selon le référentiel de l'guide d'hygiène informatique de l'ANSSI, un questionnaire donneur d'ordres ou une préparation ISO 27001, les points contrôlés sont remarquablement constants. Les voici, dans l'ordre où un auditeur les examine généralement.
1. Identités et accès
Le premier réflexe de l'auditeur : la liste des comptes. Qui a des droits d'administrateur ? Les comptes des salariés partis sont-ils désactivés ? Le MFA (authentification multifacteur) est-il activé partout — messagerie, VPN, outils cloud ? Y a-t-il des comptes génériques partagés (« accueil », « atelier ») ? C'est le domaine qui concentre le plus de non-conformités.
2. Postes de travail et serveurs
Inventaire du parc, versions des systèmes d'exploitation (les postes Windows 10 non migrés sont immédiatement relevés), politique de mises à jour, présence d'un EDR — pas un simple antivirus — sur chaque machine, chiffrement des disques des portables.
3. Réseau
Pare-feu à jour et supervisé, segmentation (le Wi-Fi invité est-il séparé du réseau de production ? les machines industrielles sont-elles isolées ?), accès distants sécurisés, ports exposés sur Internet. Un scan externe de vos adresses IP publiques fait presque toujours partie de l'exercice.
4. Sauvegardes
Le sujet préféré des auditeurs depuis la vague de rançongiciels. Règle 3-2-1 respectée ? Une copie hors ligne ou immuable ? Et surtout : quand avez-vous testé une restauration complète pour la dernière fois ? Une sauvegarde jamais restaurée n'est pas une sauvegarde, c'est un espoir.
5. Le facteur humain
Sensibilisation des équipes au phishing (avec preuves : campagnes de faux phishing, sessions de formation datées), charte informatique signée, procédure de signalement d'un mail suspect. L'auditeur interroge souvent un ou deux collaborateurs au hasard — c'est là que tout se voit.
6. Procédures et continuité d'activité
Existe-t-il une procédure écrite en cas d'incident ? Un PRA (plan de reprise d'activité) documenté et testé ? Qui appelle-t-on à 6h du matin quand plus rien ne démarre ? Les PME qui répondent « c'est dans la tête de notre prestataire » perdent des points.
7. Conformité RGPD
Registre des traitements, gestion des durées de conservation, contrats de sous-traitance (article 28) avec vos prestataires IT et cloud. Faites le point avec notre auto-évaluation RGPD en 10 questions.
Les 5 écarts qu'on retrouve dans 9 audits cyber sur 10
Sur les audits que nous menons en Loire-Atlantique, cinq non-conformités reviennent presque systématiquement :
- MFA absent ou partiel — activé sur la messagerie mais pas sur le VPN, ou l'inverse ;
- Comptes administrateurs surnuméraires — d'anciens prestataires ou salariés encore actifs dans l'Active Directory ;
- Sauvegardes jamais testées — le job tourne, personne n'a jamais vérifié qu'il produit quelque chose d'exploitable ;
- Parc obsolète — postes hors support, firmwares de pare-feu jamais mis à jour ;
- Aucune procédure d'incident écrite — la gestion de crise repose sur une seule personne, souvent injoignable en août.
La bonne nouvelle : ces cinq écarts se corrigent vite. La plupart de nos clients passent de « préoccupant » à « conforme » en un à trois mois de plan d'action, sans investissement massif. Les protections décrites dans notre article sur les rançongiciels en Loire-Atlantique couvrent déjà l'essentiel.
Comment se préparer à un audit cybersécurité
Si un questionnaire ou un audit s'annonce, ne foncez pas tête baissée dans les réponses. Notre conseil, appliqué chez nos clients sous-traitants :
- Faites d'abord un pré-audit interne (ou avec votre prestataire) sur les 7 domaines ci-dessus. Mieux vaut découvrir les écarts vous-même que les voir écrits dans un rapport transmis à votre donneur d'ordres.
- Traitez les quick wins avant l'échéance : activer le MFA, désactiver les comptes dormants, tester une restauration — trois actions à fort impact réalisables en quelques jours.
- Documentez ce qui existe déjà. Beaucoup de PME font mieux qu'elles ne le croient, mais rien n'est écrit. Un auditeur ne peut valider que ce qui est prouvable.
- Répondez honnêtement. Un « non, prévu au T4 2026 » avec un plan d'action daté vaut mieux qu'un « oui » de complaisance qui sera démonté au premier contrôle sur site.
Bien préparé, l'audit devient un argument commercial : vous êtes le sous-traitant qui répond au questionnaire en trois jours avec des preuves, pendant que vos concurrents demandent un délai.
Combien coûte un audit cybersécurité pour une PME ?
| Prestation | Contenu | Budget indicatif |
|---|---|---|
| Pré-audit flash | 1/2 à 1 journée, les 7 domaines, rapport synthétique | 800 – 2 000 € HT |
| Audit complet | 2 à 5 jours, entretiens, scans, plan d'action priorisé | 2 500 – 8 000 € HT |
| Test d'intrusion (pentest) | Attaque simulée externe et/ou interne | 4 000 – 15 000 € HT |
Fourchettes constatées pour des PME de 10 à 100 postes en Pays de la Loire, juillet 2026. Le pentest n'est pertinent qu'une fois les fondamentaux en place.
Audit cybersécurité gratuit Astorya : 1 heure sur site à Saint-Nazaire ou dans le bassin nazairien. Nous passons en revue les 7 domaines de cet article et vous repartez avec une première photographie de votre exposition, sans engagement. Appelez le 02 40 00 80 00 ou demandez à être rappelé.
En résumé
Un audit cybersécurité n'a rien d'une inspection surprise : les points contrôlés sont connus, constants et documentés — identités, postes, réseau, sauvegardes, humain, procédures, RGPD. Une PME qui traite les cinq écarts classiques (MFA, comptes dormants, restauration testée, parc à jour, procédure d'incident) aborde n'importe quel questionnaire donneur d'ordres ou exigence NIS2 avec sérénité.
Ne subissez pas l'échéance : anticipez-la. Notre équipe cybersécurité réalise le pré-audit, corrige les écarts et vous accompagne dans les réponses aux questionnaires, et notre offre audit & conseil IT prend le relais pour le schéma directeur et la mise en conformité dans la durée.