Audit organisationnel, audit technique, pentest : trois exercices distincts

L'audit organisationnel évalue votre gouvernance de la sécurité : politiques, procédures, gestion des accès et des départs, sensibilisation des équipes, plan de continuité. Il se déroule en entretiens et revue documentaire, sur quelques jours. C'est lui qui révèle les failles les plus banales et les plus exploitées : le compte de l'ancien salarié jamais désactivé, la sauvegarde jamais testée.

L'audit technique examine la configuration réelle de votre SI : durcissement des serveurs, segmentation réseau, gestion des correctifs, exposition Internet, Active Directory. Il combine outils de scan et analyse manuelle, et produit une liste de vulnérabilités hiérarchisées par criticité.

Le test d'intrusion (pentest) va plus loin : un attaquant professionnel tente réellement de compromettre votre SI, en boîte noire (sans information préalable), grise ou blanche. C'est l'exercice le plus parlant pour une direction générale — rien ne vaut un rapport montrant que l'auditeur a atteint la paie en quatre heures.

Un devis qui parle « d'audit de sécurité » sans préciser lequel de ces trois exercices il couvre mérite une question avant une signature.

Le déroulé type d'un audit sérieux

  • Cadrage (1 réunion). Périmètre exact, systèmes critiques, contraintes (fenêtres de test, environnements de production), règles d'engagement écrites pour un pentest.
  • Collecte et tests (3 à 10 jours selon le périmètre). Entretiens, scans, revue de configuration, tentatives d'exploitation contrôlées.
  • Restitution. Deux documents distincts : une synthèse pour la direction (risques métier, priorités, budget) et un rapport technique détaillé pour les équipes (vulnérabilités, preuves, remédiations pas à pas).
  • Contre-audit. Quelques semaines plus tard, vérification que les correctifs ont réellement fermé les failles. Souvent négligé, toujours utile.

Côté budget, le marché français pratique généralement de 5 à 15 000 € pour un audit de PME et de 10 à 40 000 € pour un pentest complet, selon le périmètre. Les missions pour grands comptes ou environnements réglementés montent au-delà.

Comment préparer l'audit pour en tirer le maximum

Trois préparatifs font gagner du temps facturé et améliorent la qualité du résultat. Rassemblez d'abord une cartographie de votre SI, même imparfaite : liste des serveurs, applications critiques, schéma réseau, prestataires ayant des accès. Préparez ensuite les accès et interlocuteurs : un audit qui attend trois jours un compte de lecture seule est un audit qui coûte trois jours de trop. Définissez enfin ce que vous voulez protéger en priorité : données clients, production, paie, R&D. Un bon auditeur oriente ses efforts vers vos joyaux de la couronne, pas vers ce qui est facile à scanner.

Les signes d'un audit bâclé

Un rapport qui se résume à l'export brut d'un scanner de vulnérabilités, sans hiérarchisation ni contexte métier. Des recommandations génériques copiées d'un référentiel, applicables à n'importe quelle entreprise. Aucune restitution orale. Pas de distinction entre ce qui est critique cette semaine et ce qui peut attendre le prochain budget. Si vous recevez 80 pages de findings sans savoir par quoi commencer lundi matin, l'audit a échoué, quelle que soit la qualité de son scanner.

Et si vous êtes soumis à NIS2, l'audit n'est plus seulement une bonne pratique : la gestion des risques et l'analyse régulière de votre posture deviennent des obligations légales. Autant faire d'une pierre deux coups en cadrant l'audit sur les exigences de la directive.

Chez SkillSys, l'audit s'inscrit dans une approche sécurité 360° : nous auditons, mais nous savons aussi corriger et opérer dans la durée — SOC managé, EDR, Zero Trust. Et tout commence par un premier diagnostic gratuit de 2 heures qui vous situe avant d'engager le moindre budget.

Walid EttayebFondateur de SkillSys — architecte IT et expert cybersécurité, +10 ans d'infrastructures critiques.

Où en est votre posture de sécurité ? Premier diagnostic gratuit, 2 heures, sans engagement.

Évaluer ma sécurité