Audit IT d'une PME : les 10 points qu'on regarde en premier

Quand un dirigeant ou un responsable opérationnel nous appelle pour la première fois, la question de fond n’est presque jamais « est-ce que mon SI fonctionne ? » — il fonctionne, sinon vous m’appelleriez plus tôt. La vraie question est : qu’est-ce qui ne va pas que je ne vois pas. Voici les 10 points que nous regardons en priorité dans nos audits IT initiaux gratuits.

1. L’identité d’entreprise

Premier réflexe : qui peut se connecter à quoi, comment. Existe-t-il un fournisseur d’identité unique (Entra ID, Okta, Google Workspace) ou les comptes sont-ils éparpillés dans chaque outil ? Le MFA est-il obligatoire pour tous, ou seulement pour les administrateurs ? Y a-t-il des comptes dormants jamais désactivés (anciens collaborateurs, prestataires partis) ?

C’est statistiquement le point le plus dégradé sur les PME que nous reprenons. 60% des organisations qui se croient en règle découvrent qu’elles ont entre 10 et 25% de comptes dormants actifs avec MFA absent.

2. La gestion des postes (MDM)

Un parc IT moderne se gère via un MDM (Kandji, Jamf, Microsoft Intune). On vérifie : combien de postes sont sous MDM, combien échappent à la gestion (BYOD, postes de prestataires, machines historiques), quel est le taux de chiffrement actif (FileVault sur Mac, BitLocker sur PC), quel est le délai moyen d’application des mises à jour critiques de l’OS.

Une PME mature de 50 collaborateurs devrait avoir 95%+ de postes sous MDM, 100% de chiffrement, et une fenêtre de mise à jour critique inférieure à 14 jours.

3. La sécurité endpoint (EDR)

Y a-t-il un EDR (Microsoft Defender, CrowdStrike, SentinelOne) déployé sur tous les postes ? Les alertes sont-elles supervisées (par l’organisation ou par un MDR) ou s’accumulent-elles dans une console que personne ne regarde ? La couverture inclut-elle les Mac (encore trop souvent oubliés en pensant qu’ils n’en ont pas besoin) ?

4. La sauvegarde

C’est le point qu’on découvre le plus souvent défaillant. La règle du 3-2-1 (trois copies, deux supports différents, une copie hors site) est-elle respectée ? Les sauvegardes sont-elles testées régulièrement ? Y a-t-il une protection contre le ransomware (sauvegardes immutables, comptes de service distincts) ? Combien de temps faudrait-il pour restaurer le SI complet ?

Beaucoup de PME pensent être sauvegardées parce qu’elles « ont OneDrive ». Une synchronisation OneDrive n’est pas une sauvegarde — un ransomware chiffre OneDrive en même temps que le poste local.

5. La connectivité et le réseau

Lien Internet principal : type, débit, fournisseur, contrat. Y a-t-il un lien de secours (4G/5G, second opérateur) avec bascule automatique ? Le pare-feu est-il à jour, supervisé, avec des règles documentées ? Le Wi-Fi est-il segmenté (staff, invités, IoT, paiement) ?

6. Les e-mails et la collaboration

Workspace ou Microsoft 365 : les politiques anti-spam et anti-phishing sont-elles configurées (DKIM, DMARC, SPF, Defender for Office 365, Workspace Security Center) ? Le partage de fichiers externe est-il maîtrisé (durée de validité des liens, expiration, audit des partages élargis) ? Les groupes Teams/Drive ont-ils une gouvernance (création contrôlée, archivage des inactifs) ?

7. Les SaaS métier et les abonnements

L’organisation paie souvent 15 à 30 SaaS différents : Notion, Slack, Linear, Figma, HubSpot, Pipedrive, Asana, etc. On cartographie : qui paie quoi (souvent éparpillé entre cartes corporate et personnelles), qui a accès admin, comment on offboarde un collaborateur sur tous ces outils, quelles sont les redondances (deux outils qui font le même métier).

8. Les ERP et les outils de production

Ce point est très spécifique au métier : Business Central, Sage, Cegid, QuickBooks pour la finance ; Shopify, Magento, WooCommerce pour le commerce ; Salesforce, HubSpot, Pipedrive pour le commercial. On regarde la version (souvent en retard, parfois critiques de sécurité non patchées), les intégrations EDI ou API, le coût total de possession.

9. La gouvernance et la documentation

Existe-t-il une cartographie du SI à jour ? Les procédures critiques (onboarding, offboarding, gestion des incidents, restauration) sont-elles documentées et testées ? Le RGPD est-il traité (registre des traitements, DPO ou correspondant, politique de confidentialité publique alignée sur la pratique réelle) ? La conformité sectorielle est-elle prise en compte (NIS2 pour les secteurs régulés, ISO 27001 pour les exigences clients) ?

10. La cellule de crise

Le test final, le plus parlant : si un ransomware déclenche dans la nuit, qui appelez-vous, à quelle heure, avec quels accès, dans quel ordre. Quasi aucune PME n’a de réponse claire à cette question — et c’est précisément l’objectif d’un audit IT que de la rendre claire.

Ce qu’on remet en sortie

L’audit IT initial Macinwork dure 1 à 3 demi-journées sur place et débouche sur un livrable structuré : cartographie du SI existant, identification des risques par criticité (rouge / orange / vert), plan d’action chiffré sur 12 mois avec priorisation, recommandation de modèle d’engagement (régie, forfait, abonnement managé). C’est gratuit. Ce qui se passe ensuite — vous nous confiez un chantier, plusieurs, ou aucun — vous appartient.

Le formulaire en bas de la home est fait pour démarrer cette conversation.