Audit cybersécurité : mesurer l’exposition de votre PME et hiérarchiser les risques
Un audit cybersécurité examine votre système d’information sous l’angle de la menace : par où une attaque pourrait entrer, ce qu’elle pourrait atteindre, ce qui vous permettrait de vous en relever. Exposition externe, identités et authentification multifacteur (MFA), postes et serveurs, sauvegardes, Microsoft 365 et pratiques internes sont passés en revue, puis convertis en risques classés par vraisemblance et impact métier, avec les corrections à engager en premier. Un audit de sécurité informatique pensé pour les PME de Paris et d’Île-de-France qui fonctionnent sans responsable sécurité dédié — et une restitution que votre direction peut arbitrer sans bagage technique.
Accès distants ouverts au fil des besoins, services publiés sur internet puis oubliés, comptes sans MFA, anciens prestataires qui détiennent encore des accès : personne ne sait ce qu’un attaquant verrait depuis l’extérieur, ni avec quelle facilité il progresserait ensuite.
02
Une protection supposée, jamais vérifiée
Un antivirus installé, un pare-feu en place, et la conviction que « ça suffit ». Mais les correctifs en retard, les droits accumulés, les partages ouverts et les sauvegardes accessibles depuis le réseau ne se voient pas au quotidien — un ransomware, lui, les trouve.
03
Des questionnaires auxquels personne ne sait répondre
Assureur cyber, donneur d’ordre, client grand compte : les questionnaires de sécurité arrivent, et l’entreprise coche des cases sans certitude. Une déclaration inexacte peut fragiliser la couverture ou la relation commerciale ; un état des lieux factuel permet de répondre — et de corriger avant de s’engager.
Ce que nous couvrons
Le périmètre de la prestation.
01 / EXPOSITION EXTERNE
Exposition externe et accès distants
Ce que votre entreprise montre à internet — et donc à un attaquant : services publiés, accès distants, messagerie et noms de domaine. La revue part de l’extérieur, sans a priori sur ce qui est « censé » être ouvert.
Services et interfaces exposés sur internet
Accès distants, VPN et outils de prise en main à distance
Protection du domaine et de la messagerie : SPF, DKIM, DMARC
Recherche des comptes de l’entreprise dans les fuites de données publiquement connues
02 / IDENTITÉS & MFA
Identités, MFA et droits d’accès
Les identités comptent parmi les cibles privilégiées des attaquants : la revue porte sur la couverture MFA, les comptes à privilèges, les comptes dormants et la manière dont les accès sont accordés — puis retirés.
Couverture MFA des utilisateurs et des administrateurs
Comptes à privilèges, comptes de service et délégations
Comptes dormants et droits accumulés dans Entra ID
Circuit d’attribution et de révocation des accès lors des arrivées et des départs
03 / POSTES & SAUVEGARDES
Postes, serveurs et restaurabilité
Ce qui freine une attaque et ce qui permet de s’en relever : état des correctifs, protection des postes et des serveurs, et sauvegardes examinées comme une cible — car c’est ainsi qu’un ransomware les traite.
Retard de correctifs sur les postes et serveurs Windows et Linux
Protection des postes et des serveurs, y compris EDR lorsqu’il est déployé
Sauvegardes : couverture, copie hors site, immutabilité, cloisonnement des accès
Restaurabilité face à un scénario de chiffrement malveillant
04 / CLOUD & HUMAIN
Microsoft 365 et pratiques internes
La configuration de sécurité du tenant Microsoft 365 et les processus humains qui font la différence au quotidien : partages, mots de passe, sensibilisation, réaction face au doute.
Configuration de sécurité du tenant : authentification, règles de messagerie, journalisation
Partages externes SharePoint, OneDrive et Teams
Pratiques de mots de passe et sensibilisation au phishing
Réflexes face à un e-mail suspect ou à un incident : qui alerter, comment réagir
Comment nous procédons
Du cadrage au suivi.
Le périmètre exact, les livrables et les délais sont formalisés dans la proposition, avant tout engagement.
1
Cadrage
Définition du périmètre, des scénarios redoutés et des accès en lecture nécessaires. Le tout est formalisé dans une lettre de mission — aucune action offensive n’est menée sur vos systèmes.
2
Revue d’exposition externe
Relevé de ce qui est visible depuis internet : services publiés, accès distants, configuration du domaine et de la messagerie, traces de comptes dans les fuites de données connues.
3
Revue interne et entretiens
Examen des configurations — identités, postes, serveurs, sauvegardes, Microsoft 365 — confronté aux pratiques réelles lors d’entretiens : arrivées et départs, mots de passe, réaction au phishing.
4
Hiérarchisation des risques
Chaque constat est évalué selon sa vraisemblance et son impact métier, puis classé : ce qui expose l’entreprise à court terme, ce qui relève d’un chantier de fond, ce qui peut attendre.
5
Restitution à la direction
Les risques sont présentés sans jargon ni catastrophisme, chacun relié à un scénario concret et à un ordre de traitement : corrections rapides à engager immédiatement, chantiers de fond à budgéter, points de vigilance à suivre.
Questions fréquentes — cybersécurité
Les réponses décrivent le fonctionnement du service. Les engagements chiffrés sont formalisés dans votre contrat.
L’audit informatique dresse un état des lieux global du système d’information : parc, licences, performances, organisation, coûts. L’audit cybersécurité se concentre sur la menace : par où une attaque pourrait entrer, ce qu’elle atteindrait, ce qui permettrait de restaurer l’activité. Les deux se complètent — le premier répond à « de quoi mon SI est-il fait ? », le second à « qu’est-ce qui peut m’arriver, et dans quel ordre corriger ? ».
L’analyse porte sur l’exposition externe — services publiés, accès distants, messagerie —, les identités et la couverture MFA, l’état des postes et des serveurs, les sauvegardes et leur restaurabilité, la configuration de sécurité de Microsoft 365 et les pratiques internes : arrivées et départs, mots de passe, sensibilisation. Le périmètre exact est arrêté au cadrage et formalisé dans la lettre de mission.
Non. Un test d’intrusion (pentest) tente activement d’exploiter des failles pour démontrer un chemin d’attaque ; notre audit est une revue organisationnelle et technique — configurations, exposition, pratiques — menée en lecture, sans action offensive sur vos systèmes. Il répond à une autre question : où sont les risques, et par quoi commencer. Il ne remplace pas un test d’intrusion, mais il en constitue souvent le préalable utile — corriger l’évident avant de payer quelqu’un pour le démontrer.
Les deux se calibrent au cadrage : taille du parc, nombre de sites, présence d’un tenant Microsoft 365 et profondeur d’analyse souhaitée font varier la charge. Plutôt qu’une grille générique, nous établissons le calendrier et le chiffrage lors d’un échange préalable sans engagement ; l’un et l’autre figurent ensuite dans la lettre de mission.
Non. L’audit est une prestation autonome, encadrée par sa lettre de mission, et peut porter sur un parc géré en interne ou par un autre prestataire — sous réserve d’obtenir les accès en lecture nécessaires. Les livrables vous appartiennent et restent exploitables avec l’équipe ou le prestataire de votre choix.
Trois documents structurent la restitution : une synthèse que la direction peut lire sans bagage technique, un registre qui situe chaque risque selon sa vraisemblance et son impact métier, et un plan d’action séquencé — quoi corriger tout de suite, quoi budgéter, quoi surveiller. Ils restent votre propriété ; leur composition précise est arrêtée au cadrage et inscrite dans la lettre de mission.
Il n’existe pas de fréquence universelle. Les déclencheurs pertinents sont les évolutions significatives du système d’information — migration, déménagement, croissance, changement de prestataire —, un incident ou une alerte sérieuse, et les échéances externes : renouvellement d’assurance cyber, questionnaire d’un donneur d’ordre. Le rythme adapté à votre contexte se discute lors de la restitution, ou se formalise dans votre contrat si vous êtes suivi dans la durée.
Oui, c’est l’un de ses usages fréquents : les questionnaires des assureurs et des donneurs d’ordre portent précisément sur les domaines couverts — MFA, sauvegardes, correctifs, sensibilisation. L’audit fournit une base factuelle pour répondre sans surdéclarer, et le plan d’action documente les écarts en cours de correction. Il ne constitue pas une certification et ne préjuge pas de la décision de votre assureur : les exigences précises restent celles de votre assureur ou de votre client.
C’est votre choix. Le plan d’action est rédigé pour être exploitable par votre équipe interne, votre prestataire en place ou tout autre intervenant. Si vous le souhaitez, Dalena peut prendre en charge tout ou partie des recommandations — durcissement des identités, sauvegardes, EDR managé, PRA — dans le cadre d’une proposition distincte de l’audit, que vous êtes libre d’accepter ou non.