Cybersécurité

Audit cybersécurité entreprise 2026 : méthode, checklist 50 points, prix

1Acces12 mai 2026

# Audit cybersécurité entreprise 2026 : méthode complète et checklist 50 points

60 % des PME françaises ne savent pas où elles en sont en matière de cybersécurité. Pourtant, c'est la première étape obligatoire avant tout investissement : sans audit, vous achetez des outils au pif. Cet article détaille la méthodologie d'audit cybersécurité 2026 pour PME 10-150 personnes, avec une checklist 50 points prête à l'emploi, les coûts indicatifs et le bon timing.

TL;DR — Ce qu'il faut retenir

Objectif audit : cartographier risques, mesurer maturité, prioriser actions
3 niveaux d'audit : auto-diagnostic gratuit, audit externe (5-15 k€), audit certifiant ISO 27001 (15-40 k€)
Méthodes reconnues : EBIOS Risk Manager (ANSSI), ISO 27005, NIST CSF
Durée audit standard PME : 5-15 jours ouvrés
Fréquence recommandée : 1 audit complet par an + suivi trimestriel
Livrables : cartographie risques + plan d'action priorisé + score maturité
Quick wins typiques : 5-10 actions à haut ROI sous 90 jours

1. Pourquoi auditer la cybersécurité d'une PME en 2026

1.1 Les obligations réglementaires

| Régulation | Audit obligatoire ? | | --- | --- | | RGPD | Cartographie des traitements obligatoire + analyse d'impact (PIA) si risque élevé | | NIS2 (entités essentielles + importantes) | Audit annuel + déclaration ANSSI | | DORA (secteur financier) | Audit annuel + audits indépendants | | HDS (santé) | Audit certifiant pour hébergement données santé | | ISO 27001 (certification) | Audit interne + audit externe par auditeur certifié |

1.2 Les bénéfices business

Conformité légale : éviter sanctions DGCCRF, CNIL, ANSSI (jusqu'à 10 M€ NIS2)
Réduction des coûts d'incident : 1 audit (5-15 k€) évite potentiellement 120 k€ de coûts ransomware
Confiance clients : cybersécurité démontrée = avantage commercial B2B
Couverture cyber-assurance : audit obligatoire pour souscrire / maintenir polices
Maturité interne : faire monter en compétence les équipes IT

1.3 Les déclencheurs d'audit

| Situation | Audit recommandé | | --- | --- | | Nouveau dirigeant / RSSI | 🔴 Immédiat (état des lieux) | | Cyberattaque récente | 🔴 Sous 30 jours (forensic + remédiation) | | Croissance > 30 %/an | 🔴 Annuel (scaling sécurité) | | Demande client B2B | 🔴 Avant signature contrat | | NIS2 applicable | 🔴 Sous 6 mois (mise en conformité) | | Cyber-assurance | 🔴 Avant souscription | | Renouvellement annuel | 🟠 Annuel (maintien) |

2. Les 3 niveaux d'audit cybersécurité

Niveau 1 — Auto-diagnostic gratuit

Pour qui : TPE 1-10 personnes, démarrage cybersécurité.

Outils gratuits 2026 : - ANSSI Cybermalveillance.gouv.fr : auto-diagnostic en ligne (15-30 questions) - DiagCyber CCI France : grille adaptée PME - NIST CSF Tier Assessment : self-assessment international - Bpifrance Cyber Diag : outil officiel pour PME françaises

Durée : 30 min à 2 heures (en ligne)

Coût : 0 €

Livrable : rapport synthétique automatique + recommandations génériques

Limites : pas d'expertise externe, vision partielle, pas d'analyse technique approfondie.

Niveau 2 — Audit externe par cabinet spécialisé

Pour qui : PME 10-150 personnes, conformité NIS2, préparation cyber-assurance.

Type d'audit : - Audit organisationnel : politique, procédures, gouvernance - Audit technique : configuration systèmes, réseaux, applications - Audit de conformité : RGPD, NIS2, ISO 27001 - Tests d'intrusion (pentest) : optionnel, +5-10 k€

Durée : 5-15 jours ouvrés (selon périmètre)

Coût : 5 000 - 15 000 € HT (PME 50 personnes)

Livrable : - Rapport détaillé (50-100 pages) - Cartographie des risques (matrice probabilité/impact) - Plan d'action priorisé (quick wins + actions moyen-long terme) - Score de maturité par domaine - Présentation orale au comité de direction

Cabinets référencés : - Almond, Orange Cyberdefense, Sopra Steria (grands cabinets) - Advens, ITrust, Synetis (cabinets indépendants) - EY, Mazars, KPMG (Big Four — pour ETI)

Niveau 3 — Audit certifiant ISO 27001 / HDS / SecNumCloud

Pour qui : ETI ou PME visant certification, secteurs régulés (santé, défense, finance).

Étapes : 1. Pré-audit (3-6 mois préparation interne) 2. Audit blanc (par cabinet conseil) 3. Audit de certification (par organisme accrédité COFRAC) 4. Surveillance annuelle 5. Re-certification tous les 3 ans

Durée : 12-24 mois (incluant préparation)

Coût : 15 000 - 40 000 € HT pour ISO 27001 PME 50 personnes (audit + accompagnement)

Livrable : certificat ISO 27001 / HDS / SecNumCloud + plan de surveillance

Organismes accrédités COFRAC : Bureau Veritas, AFNOR Certification, SGS, LRQA, DEKRA.

3. Méthodologies d'audit reconnues

3.1 EBIOS Risk Manager (ANSSI) — recommandé France

Méthode officielle ANSSI, gratuite, adaptée PME.

5 ateliers : 1. Cadrage et socle de sécurité : périmètre, valeurs métier, biens supports 2. Sources de risques : motivations attaquants, vecteurs 3. Scénarios stratégiques : impact business des attaques 4. Scénarios opérationnels : modes opératoires concrets 5. Traitement du risque : choix des mesures, plan d'action

Avantages : - Gratuit - Reconnu ANSSI (compatible NIS2) - Adapté aux PME - Outils gratuits (logiciel libre EBIOS RM)

Inconvénients : - Demande de l'expertise (formation préalable utile) - Travail collectif (ateliers avec parties prenantes)

3.2 ISO 27005

Méthode internationale, basée sur ISO 27001.

4 étapes : 1. Identification des risques 2. Analyse des risques 3. Évaluation des risques 4. Traitement des risques

Avantages : - Reconnaissance internationale - Compatible ISO 27001 (pour certification) - Cadre rigoureux

Inconvénients : - Plus lourd qu'EBIOS RM - Plus adapté aux ETI / grands comptes

3.3 NIST Cybersecurity Framework (CSF)

Méthode américaine, adoptée internationalement.

5 fonctions : 1. Identify : inventaire actifs, gestion risques 2. Protect : contrôles d'accès, formation, sécurité données 3. Detect : monitoring, anomalies, alerting 4. Respond : plan de réponse, communication, mitigation 5. Recover : récupération, amélioration continue

Avantages : - Simple et flexible - Adapté tous secteurs - Mappable avec ISO 27001

Inconvénients : - Moins prescriptif qu'EBIOS RM - Moins de reconnaissance officielle en France

4. Checklist 50 points — auto-audit cybersécurité PME

Cette checklist couvre les 5 domaines NIS2 et permet une auto-évaluation rapide. Pour chaque point, notez : OUI / NON / PARTIEL / NON APPLICABLE.

A. Gouvernance et organisation (10 points)

1. La cybersécurité est inscrite dans le plan stratégique de l'entreprise 2. Un responsable cybersécurité (RSSI ou équivalent) est identifié 3. Une politique de sécurité des SI (PSSI) est documentée et signée 4. Un comité de pilotage cyber se réunit au moins trimestriellement 5. Les dirigeants ont suivi une formation cybersécurité (obligatoire NIS2) 6. Un DPO est désigné (interne ou externalisé) 7. Une cartographie des risques cyber est à jour (< 12 mois) 8. Un budget cybersécurité dédié est alloué (4-8 % budget IT) 9. Des indicateurs (KPI) cyber sont suivis (MTTD, MTTR, etc.) 10. Une cyber-assurance est souscrite

B. Protection technique des systèmes (15 points)

11. Tous les postes ont un EDR moderne (pas un antivirus classique) 12. L'email est protégé par une passerelle anti-phishing 13. Le DNS filtering est actif (Umbrella, Cloudflare Gateway, OpenDNS) 14. Un pare-feu nouvelle génération avec IPS est en place 15. Les patches OS sont appliqués sous 14 jours max 16. Les patches applicatifs critiques sont appliqués sous 7 jours 17. Le 2FA est activé sur tous les comptes admin 18. Le 2FA est activé sur tous les accès distants (VPN, RDP) 19. Le 2FA est activé sur Microsoft 365 / Google Workspace 20. Les comptes inactifs sont désactivés sous 30 jours 21. Les permissions suivent le principe du moindre privilège (RBAC) 22. Le Wi-Fi guest est séparé du réseau interne 23. Les ports inutiles (SMBv1, RDP exposé, etc.) sont désactivés 24. Les supports amovibles (USB) sont contrôlés ou interdits 25. Le chiffrement disque (BitLocker, FileVault) est activé sur tous les laptops

C. Détection et réponse (8 points)

26. Un EDR/XDR est déployé sur 100 % des postes 27. Les logs centralisés sont collectés (SIEM ou équivalent) 28. Les alertes critiques sont monitorées 24/7 ou en heures ouvrées 29. Un Plan de Réponse à Incident (IR plan) existe et est documenté 30. La cellule de crise cyber est identifiée (rôles + contacts) 31. Un exercice de crise cyber est réalisé annuellement 32. Les contacts d'urgence (ANSSI, CERT-FR, assurance) sont à disposition 33. Un MDR managé est en place (PME 50+) — optionnel mais recommandé

D. Sauvegarde et continuité (8 points)

34. Les sauvegardes suivent la règle 3-2-1-1-0 35. Au moins 1 copie de sauvegarde est immutable (Object Lock / WORM) 36. Les sauvegardes sont testées trimestriellement (restauration réelle) 37. RTO (Recovery Time Objective) est défini et documenté 38. RPO (Recovery Point Objective) est défini et documenté 39. Un Plan de Reprise d'Activité (PRA) existe et est documenté 40. Le PRA est testé semestriellement 41. Un site de Disaster Recovery (DR) est opérationnel pour les apps critiques

E. Sensibilisation et conformité (9 points)

42. Une charte informatique est signée par tous les collaborateurs 43. Une formation cybersécurité initiale est donnée aux nouveaux arrivants 44. Une campagne de sensibilisation phishing est lancée trimestriellement 45. Le taux de clic phishing est mesuré et suivi 46. Les fournisseurs critiques sont audités cyber annuellement 47. Les contrats fournisseurs incluent des clauses cybersécurité 48. La conformité RGPD est documentée (registre, PIA, DPA, etc.) 49. La conformité NIS2 est en cours ou validée (si applicable) 50. Un audit cyber externe est réalisé annuellement

Score de maturité

| Score (OUI sur 50) | Niveau | | --- | --- | | 0-15 | Critique — risque très élevé, action urgente | | 16-25 | Faible — risque élevé, plan 6 mois prioritaire | | 26-35 | Moyen — risque modéré, plan 12 mois | | 36-45 | Bon — risque contrôlé, optimisation continue | | 46-50 | Excellent — maturité élevée, suivi régulier |

5. Combien coûte un audit cybersécurité PME en 2026 ?

Tableau récapitulatif

| Profil PME | Type d'audit | Coût HT | | --- | --- | ---: | | TPE 1-10 pers | Auto-diagnostic en ligne | 0 € | | TPE 1-10 pers | Audit léger externe (1-2 j) | 2 500 - 4 000 € | | PME 10-30 pers | Audit standard externe (3-5 j) | 5 000 - 8 000 € | | PME 30-80 pers | Audit complet (5-10 j) | 8 000 - 15 000 € | | PME 80-150 pers | Audit complet + pentest (10-15 j) | 12 000 - 25 000 € | | PME 30-150 pers | Préparation ISO 27001 | 15 000 - 40 000 € | | ETI / grands comptes | Audit ISO 27001 + certification | 40 000 - 100 000 € |

Ce qui fait varier le prix

Taille de la flotte IT (nb postes, serveurs, sites)
Périmètre audit (organisationnel uniquement vs technique inclus)
Pentest inclus ou non
Cabinet choisi (indépendant vs Big Four)
Réglementations à couvrir (NIS2 + RGPD + DORA = plus cher)
Urgence (audit post-attaque = +30-50 %)

Aides financières disponibles

Bpifrance Cyber Diag : diagnostic gratuit éligible
Aide régionale (Nouvelle-Aquitaine, Île-de-France, Auvergne-Rhône-Alpes) : jusqu'à 50 % audit
France Num : chèque numérique jusqu'à 1 500 €
Crédit Impôt Innovation (CII) : si développement R&D cyber interne

6. Comment se déroule un audit cybersécurité externe ?

Phase 1 — Cadrage (1-2 jours)

Réunion de lancement avec dirigeants + DSI
Définition du périmètre (sites, systèmes, applications)
Documentation préparatoire (PSSI existante, architecture, contrats fournisseurs)
Calendrier et planning des entretiens

Phase 2 — Collecte d'informations (3-7 jours)

Entretiens : Direction, DSI, RSSI, DPO, RH, métiers
Questionnaires : maturité cyber, gouvernance, procédures
Inspection technique : scans réseau, configuration des systèmes, revue Active Directory
Tests : phishing simulation, vulnérabilités automatisées, revue des accès

Phase 3 — Analyse (2-5 jours)

Compilation des données collectées
Comparaison avec référentiel (EBIOS RM, ISO 27001, NIST CSF)
Identification des écarts et risques
Priorisation par probabilité × impact

Phase 4 — Restitution (1-2 jours)

Rapport détaillé (50-100 pages) :
- Résumé exécutif (3-5 pages)
- Score de maturité par domaine
- Cartographie des risques
- Plan d'action priorisé
- Estimations budgétaires
Présentation orale au comité de direction (2h)
Workshop d'arbitrage sur les priorités

Phase 5 — Suivi (3-6 mois)

Mise en œuvre des recommandations
Points d'avancement mensuels
Audit de suivi (optionnel, 1 jour)

7. Que faire après l'audit ? — Plan d'action 90 jours

Mois 1 — Quick wins (gratuit ou faible coût)

[ ] Activer 2FA partout (gratuit)
[ ] Désactiver SMBv1, macros Office par défaut
[ ] Patcher les CVE critiques identifiées
[ ] Désactiver les comptes inactifs
[ ] Sensibiliser dirigeants + utilisateurs (1ère campagne phishing)

Mois 2 — Outils techniques

[ ] Déployer EDR sur 100 % des postes
[ ] Mettre en place email security avec sandbox
[ ] Activer DNS filtering
[ ] Configurer sauvegarde immutable testée

Mois 3 — Procédures

[ ] Documenter IR plan
[ ] Documenter PRA + tester
[ ] Mettre en place comité cyber trimestriel
[ ] Souscrire cyber-assurance adaptée

Mois 4-6 — Conformité

[ ] Mise en conformité NIS2 (si applicable)
[ ] Audit fournisseurs critiques
[ ] Formation continue utilisateurs

Mois 7-12 — Maturité

[ ] Mise en place MDR managé (PME 50+)
[ ] Audit interne de suivi
[ ] Test PRA complet
[ ] Préparation audit externe annuel

8. FAQ — questions fréquentes audit cybersécurité

Combien de temps faut-il pour préparer un audit cybersécurité ?

Pour un audit externe : 2-3 semaines de préparation (documentation à rassembler). Pour un audit certifiant ISO 27001 : 3-6 mois de préparation interne intensive.

Faut-il un audit avant de souscrire une cyber-assurance ?

De plus en plus oui. Les assureurs exigent un questionnaire détaillé (50-100 questions) et parfois un audit indépendant pour les couvertures > 500 k€. Un audit récent (< 12 mois) facilite et accélère la souscription.

L'audit doit-il être annuel ?

Recommandé pour PME 50+ personnes. Pour TPE < 50 pers, un audit complet tous les 2 ans suffit si des auto-évaluations trimestrielles sont faites entre-temps.

Un audit cyber inclut-il un test d'intrusion (pentest) ?

Pas systématiquement. Le pentest est une option payante (+5-10 k€). Il est recommandé pour les PME ayant des applications web critiques ou des données très sensibles (santé, finance).

Qui peut auditer ma PME ?

Cabinets référencés ANSSI (PASSI : Prestataires d'Audit de la Sécurité des Systèmes d'Information)
Cabinets indépendants spécialisés cybersécurité
Big Four (EY, KPMG, Deloitte, PwC) pour ETI
Cabinets accrédités COFRAC si vous visez ISO 27001

Que se passe-t-il si l'audit révèle des risques critiques ?

Le cabinet vous remet un plan d'action urgent (30 jours) pour traiter les risques critiques. Vous décidez ensuite d'agir vous-même ou de mandater le cabinet pour la remédiation.

Mon prestataire IT habituel peut-il faire l'audit ?

❌ Non recommandé — conflit d'intérêts (il auditerait ses propres préconisations). Mieux vaut un auditeur indépendant pour garantir l'objectivité.

Combien de temps prend l'audit lui-même (en jours d'intervention) ?

TPE 10 personnes : 3-5 jours
PME 30 personnes : 5-8 jours
PME 80 personnes : 8-12 jours
PME 150 personnes : 12-18 jours

L'audit est-il déductible fiscalement ?

Oui, c'est une charge externe 100 % déductible (TVA récupérable). Pas d'immobilisation au bilan.

Que vérifie spécifiquement un audit NIS2 ?

Les 10 catégories de mesures obligatoires NIS2 (article 21) : 1. Politique d'analyse des risques 2. Gestion des incidents 3. Continuité d'activité 4. Sécurité supply chain 5. Sécurité du développement 6. Évaluation efficacité 7. Cyber hygiène 8. Cryptographie 9. RH et contrôle d'accès 10. MFA et communications sécurisées

Conclusion — votre prochain pas

Si vous n'avez jamais audité 1. Auto-diagnostic Bpifrance Cyber Diag (gratuit, 1h) 2. Score 0-30/50 → audit externe Niveau 2 dans le trimestre 3. Score 31-45/50 → audit externe Niveau 2 dans l'année 4. Score 46-50/50 → continuité, audits annuels légers

Si vous avez déjà audité (> 12 mois) 1. Re-passer la checklist 50 points 2. Mettre à jour la cartographie des risques 3. Réaliser un audit de suivi (3-5 jours)

Si vous êtes concerné NIS2 1. Audit gap NIS2 immédiat (cabinet certifié) 2. Plan d'action 6 mois pour mise en conformité 3. Audit annuel obligatoire + déclaration ANSSI

---

À lire aussi sur le cluster Cybersécurité PME :

Pour aller plus loin :