Audit · 8 min

Audit cybersécurité PME Suisse : ce qu’il couvre et comment il se déroule

Comprendre l’audit cybersécurité d’une PME suisse : périmètre, déroulé sur 7 jours, livrables, coûts (CHF 790 à 2'500) et choix entre Express et Complet.

Réponse courte

En bref

Comprendre l’audit cybersécurité d’une PME suisse : périmètre, déroulé sur 7 jours, livrables, coûts (CHF 790 à 2'500) et choix entre Express et Complet.

Un audit de cybersécurité n’est pas un test technique réservé aux grands groupes. Pour une PME suisse de 5 à 100 personnes, c’est simplement un état des lieux structuré : où sont les données sensibles, qui y accède, comment les e-mails sont protégés, si les sauvegardes fonctionnent réellement, et quels usages de l’IA circulent dans l’entreprise sans cadre.

L’objectif n’est pas de dresser une liste anxiogène de failles théoriques. Il est d’identifier les quelques risques concrets qui, s’ils se réalisent, coûtent cher : un compte administrateur sans double authentification, une sauvegarde jamais testée, une facture payée sur un faux IBAN. Un bon audit sépare l’important de l’accessoire et propose un plan d’action réaliste.

Cet article explique précisément ce que couvre un audit, comment il se déroule concrètement sur une semaine, ce que vous recevez à la fin, et comment choisir entre une version Express et une version Complète selon la taille et la maturité de votre organisation.

Ce que couvre réellement un audit cybersécurité de PME

Un audit utile part de votre réalité opérationnelle, pas d’un référentiel abstrait. Il examine six domaines qui concentrent la grande majorité des incidents chez les PME suisses.

Chaque domaine est évalué sur des critères vérifiables, avec des preuves (captures de configuration, tests concrets) plutôt que sur du déclaratif. C’est cette exigence de preuve qui distingue un audit d’un simple questionnaire.

  • Accès et identités : double authentification (MFA), gestion des comptes administrateurs, mots de passe, départs de collaborateurs.
  • Messagerie : configuration Microsoft 365 ou Google Workspace, protections anti-phishing, règles de transfert suspectes.
  • Sauvegardes : existence, périmètre, copies hors ligne ou immuables, et surtout tests de restauration réels.
  • Usages de l’IA : quels outils (ChatGPT, Copilot, Gemini) sont utilisés, avec quelles données, et sans quel cadre.
  • Phishing et fraude : exposition à la fraude au président et au changement d’IBAN, authentification du domaine (SPF, DKIM, DMARC).
  • Données : localisation des données sensibles, partages externes, hébergement et considérations liées à la LPD.

Comment se déroule l’audit sur 7 jours

Un audit bien mené ne mobilise votre équipe que quelques heures au total. L’essentiel du travail d’analyse se fait côté auditeur, à partir d’accès en lecture et d’entretiens ciblés.

Le déroulé typique s’étale sur environ une semaine calendaire, ce qui laisse le temps de collecter des preuves fiables sans perturber l’activité.

  • Jours 1-2 : cadrage, entretien avec la direction et le responsable informatique, collecte des accès en lecture seule.
  • Jours 3-4 : analyse technique de la messagerie, des identités, des partages et des sauvegardes.
  • Jour 5 : revue des usages de l’IA et des pratiques humaines (formation, procédures, gestion des départs).
  • Jours 6-7 : rédaction du rapport, hiérarchisation des risques et préparation de la restitution.

Ce que vous recevez à la fin

Le livrable central est un rapport lisible par la direction, pas seulement par un informaticien. Il traduit chaque constat en impact métier et en priorité claire.

Une restitution orale accompagne le document : elle permet d’expliquer les enjeux, de répondre aux questions et de valider ensemble un plan d’action réaliste, échelonné dans le temps et dans le budget.

  • Un rapport hiérarchisé (critique, élevé, moyen) avec, pour chaque point, l’impact concret et la correction recommandée.
  • Un score de maturité par domaine pour situer votre organisation et mesurer les progrès dans le temps.
  • Un plan d’action priorisé, avec les mesures rapides à faible coût distinguées des chantiers de fond.
  • Une restitution avec la direction pour arbitrer les priorités en connaissance de cause.

Combien coûte un audit et comment choisir la bonne formule

Le coût d’un audit dépend surtout de la taille de l’organisation, du nombre de collaborateurs et de la complexité de votre environnement. Pour une PME suisse, l’ordre de grandeur se situe entre CHF 790 et CHF 2'500.

La version Express convient à une petite structure qui veut une photographie fiable de sa sécurité et un plan d’action rapide. La version Complète s’adresse aux entreprises plus grandes ou plus exposées, qui ont besoin d’une analyse approfondie de chaque domaine et d’un accompagnement de la restitution jusqu’à la mise en œuvre.

Le bon critère de choix n’est pas seulement le budget : c’est votre niveau d’exposition. Une entreprise qui traite des données clients sensibles, effectue des virements importants ou dépend fortement de son informatique a intérêt à la version Complète.

  • Express (indicativement CHF 790 à 1'200) : PME de 5 à 20 personnes, périmètre standard, plan d’action rapide.
  • Complet (indicativement CHF 1'500 à 2'500) : 20 à 100 personnes, analyse approfondie, accompagnement renforcé.
  • Facteurs de coût : nombre de comptes, environnements multiples, exigences réglementaires, dette technique.

Pourquoi commencer par un diagnostic

On ne corrige bien que ce que l’on a d’abord mesuré. Investir des ressources dans des outils de sécurité avant de connaître ses vrais points faibles conduit souvent à dépenser au mauvais endroit.

Un diagnostic initial, même court, permet de savoir si un audit complet se justifie, et sur quels domaines concentrer les efforts. C’est le point de départ logique de toute démarche sérieuse.