Aller au contenu principal
Cybersécurité ConseilCybersécuritéAudit

Checklist : les 10 points clés d'un audit de sécurité pour PME

Les 10 points incontournables d’un audit de sécurité PME

80 % des cyberattaques ciblent les PME. Pourtant, un audit de sécurité structuré permet de réduire drastiquement le risque. Voici les 10 points que nous vérifions systématiquement.

1. Politique de mots de passe

  • Longueur minimale de 12 caractères imposée.
  • Authentification multi-facteurs (MFA) activée sur tous les comptes critiques.
  • Pas de réutilisation de mots de passe entre services.
  • Gestionnaire de mots de passe déployé (Bitwarden, KeePass).

2. Mises à jour et correctifs

  • Système d’exploitation et logiciels à jour (Windows, Linux, macOS).
  • Correctifs de sécurité appliqués sous 72h pour les failles critiques.
  • Processus de patch management documenté et automatisé.

3. Sauvegardes (règle 3-2-1)

  • 3 copies des données, sur 2 supports différents, dont 1 hors site.
  • Sauvegardes testées régulièrement (restauration effective vérifiée).
  • Au moins une copie immuable ou déconnectée (protection anti-ransomware).

4. Droits d’accès et comptes

  • Principe du moindre privilège appliqué.
  • Comptes administrateurs séparés des comptes utilisateurs quotidiens.
  • Revue trimestrielle des droits d’accès.
  • Comptes d’anciens collaborateurs désactivés immédiatement.

5. Protection périmétrique

  • Pare-feu correctement configuré avec règles restrictives.
  • Segmentation réseau (VLANs) entre les zones sensibles.
  • Accès Wi-Fi sécurisé (WPA3, réseau invité séparé).

6. Protection des postes de travail

  • Antivirus / EDR déployé et à jour sur tous les postes.
  • Chiffrement des disques activé (BitLocker, FileVault).
  • Verrouillage automatique après inactivité.

7. Messagerie et phishing

  • Filtrage anti-spam et anti-phishing activé.
  • SPF, DKIM et DMARC configurés sur le domaine.
  • Sensibilisation régulière des collaborateurs au phishing.

8. Supervision et journalisation

  • Logs centralisés (pare-feu, serveurs, Active Directory).
  • Alertes configurées sur les événements critiques (échecs de connexion, élévation de privilèges).
  • Rétention des logs conforme aux obligations légales.

9. Plan de réponse aux incidents

  • Procédure documentée : qui fait quoi en cas d’incident.
  • Contacts d’urgence identifiés (prestataire IT, ANSSI, assurance cyber).
  • Exercice de simulation réalisé au moins une fois par an.

10. Conformité réglementaire

  • RGPD : registre des traitements, DPO désigné si nécessaire.
  • NIS 2 : évaluation de l’éligibilité et préparation anticipée.
  • Contrats fournisseurs : clauses de sécurité et de réversibilité vérifiées.

Votre score

  • 8 à 10 points couverts : bonne posture, à maintenir avec des audits réguliers.
  • 5 à 7 points : des lacunes à combler rapidement, surtout sur les sauvegardes et le MFA.
  • Moins de 5 points : risque élevé, un audit complet est recommandé sans attendre.

OLHYN réalise des audits de sécurité complets pour les PME. Nous identifions vos vulnérabilités, priorisons les corrections et vous accompagnons dans leur mise en œuvre.

Besoin d'accompagnement ?

Contactez-nous pour mettre en place ces solutions dans votre entreprise.

Nous contacter

Retrouvez l'ensemble de nos prestations informatiques pour entreprises.

Tous les articles ·Nos services ·Tarifs et offres