Logo Ayi NEDJIMI Consultants
Intelligence & Forensics
Forensics Corrélation Logs
Besoin d'un audit de sécurité ?
Devis personnalisé sous 24h
Outils & Méthodologie
Wazuh SIEM/XDR Threat Hunting
Guides Conformité & Réglementations 2026
Active Directory Infrastructure Cloud Kubernetes Microsoft 365 Virtualisation Forensics Solutions IA
Articles Guides Gratuits Livres Blancs Blog
Normes
ISO 27001 SOC 2 PCI DSS 4.0.1 S-SDLC & Secure by Design HDS 2026 SecNumCloud 2026 Cryptographie Post-Quantique
Réglementations 2026
DORA 2026 NIS 2 Directive NIS 2 AI Act 2026 CRA RGPD 2026 SBOM Cyber-assurance
Sécurité Opérationnelle
NIS2/DORA/RGPD Mapping IEC 62443 Audit Sécurité SI PRA/PCA Cyber PASSI ANSSI
IA & Certifications
RGPD & Règlement IA ISO 42001 Foundation ISO 42001 Lead Implementer ISO 42001 Lead Auditor Juridique & Éthique IA
News
Conformité & Gouvernance / Audit

Audit de Sécurité du SI : Méthodologie Complète et Référentiels

Par Ayi NEDJIMI 1 mars 2026 Lecture : 30 min ~5300 mots
#AuditSécurité #Pentest #PASSI #ISO27001 #Conformité #RGPD #NIS2

1. Introduction : pourquoi auditer la sécurité de son système d'information

L'audit de sécurité du système d'information est un exercice fondamental de toute démarche de cybersécurité mature. Il constitue le diagnostic objectif et méthodique de la posture de sécurité d'une organisation, révélant les vulnérabilités techniques, les faiblesses organisationnelles et les écarts de conformité avant qu'un attaquant ne les exploite. Dans un contexte où les cybermenaces se complexifient, où la réglementation européenne impose des obligations de sécurité renforcées (NIS 2, RGPD, DORA), et où les cyberassureurs exigent des preuves de maturité, l'audit de sécurité n'est plus optionnel -- il est stratégique.

Les chiffres le confirment : selon le baromètre CESIN 2025, 49 % des entreprises françaises ont subi au moins une cyberattaque réussie en 2024. Le rapport IBM Cost of a Data Breach 2025 révèle que les organisations qui identifient une compromission en moins de 200 jours économisent en moyenne 1,12 million de dollars par rapport à celles qui la détectent plus tard. L'audit de sécurité est précisément l'outil qui permet d'identifier les failles avant les attaquants et de réduire drastiquement le temps de détection.

Ce guide propose une exploration complète de l'audit de sécurité du SI : les différents types d'audits (organisationnel, technique, conformité, intrusion), les méthodologies certifiées (PASSI, PRIS), les phases de planification et d'exécution, les outils de référence, la rédaction du rapport et le suivi du plan de remédiation. Que vous soyez RSSI commanditant un audit, auditeur en formation, ou dirigeant cherchant à comprendre la valeur d'un audit, ce guide vous fournit les clés pour maximiser le retour sur investissement de cette démarche essentielle.

Point clé : Un audit de sécurité n'est pas une fin en soi -- c'est le point de départ d'un cycle d'amélioration continue. Sa valeur réside autant dans les vulnérabilités découvertes que dans les recommandations de remédiation et le suivi de leur implémentation.

Cadre légal de l'audit de sécurité

En France, l'audit de sécurité, et notamment les tests d'intrusion, sont encadrés par le Code pénal (articles 323-1 à 323-7). Un audit ne peut être réalisé qu'avec l'autorisation écrite explicite du propriétaire du système audité (convention d'audit). Sans cette autorisation, même un audit bienveillant constitue une infraction pénale. Pour les prestataires, la qualification PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) délivrée par l'ANSSI garantit un cadre méthodologique et déontologique rigoureux.

2. Types d'audits de sécurité

L'audit de sécurité du SI se décline en quatre grandes catégories, chacune apportant une perspective complémentaire sur la posture de sécurité. Une approche complète combine ces quatre types pour une vision à 360 degrés.

2.1 Audit organisationnel et gouvernance

L'audit organisationnel évalue la maturité du management de la sécurité : politiques, processus, organisation, rôles et responsabilités, gestion des risques, sensibilisation. Il s'appuie sur des référentiels reconnus :

  • ISO 27001/27002 : évaluation du Système de Management de la Sécurité de l'Information (SMSI), des 93 contrôles de l'annexe A, et de la maturité des processus PDCA. Voir notre guide complet ISO 27001.
  • EBIOS Risk Manager : méthodologie d'analyse de risques développée par l'ANSSI, adoptée massivement en France. L'audit vérifie que l'analyse de risques est formalisée, à jour, et que les scénarios de risques couvrent les menaces actuelles.
  • NIST Cybersecurity Framework (CSF) 2.0 : modèle de maturité sur les cinq fonctions (Identify, Protect, Detect, Respond, Recover) + Govern. Particulièrement adapté pour les filiales d'organisations internationales.
  • Modèle de maturité CIS Controls : évaluation de l'implémentation des 18 contrôles critiques CIS, avec un scoring par Implementation Group (IG1/IG2/IG3).

L'audit organisationnel se conduit principalement par entretiens avec les parties prenantes (RSSI, DSI, DPO, responsables métier, administrateurs), revue documentaire (PSSI, PCA/PRA, procédures d'incidents, chartes) et observation des pratiques réelles. L'écart entre documentation et pratique est souvent le constat le plus révélateur.

2.2 Audit technique

L'audit technique évalue la robustesse des dispositifs de sécurité à travers des tests concrets. Il comprend plusieurs sous-types :

Scan de vulnérabilités

Détection automatisée des vulnérabilités connues (CVE) sur l'infrastructure : systèmes d'exploitation, applications web, bases de données, équipements réseau. Les scanners identifient les correctifs manquants, les configurations par défaut, les protocoles obsolètes et les services exposés inutilement. C'est la première couche de l'audit technique, qui fournit un panorama quantitatif de l'exposition.

Test d'intrusion (Pentest)

Le test d'intrusion simule une attaque réelle pour démontrer l'exploitabilité des vulnérabilités et la capacité de l'organisation à détecter et répondre. Il se décline en trois modes :

  • Black Box : l'auditeur n'a aucune information préalable sur la cible, simulant un attaquant externe. Évalue la surface d'attaque publique et la défense périmétrique.
  • Grey Box : l'auditeur dispose d'informations partielles (comptes utilisateur standard, documentation réseau partielle). Simule un attaquant ayant déjà un accès initial (insider, compte compromis).
  • White Box : l'auditeur a un accès complet à la documentation, au code source, aux configurations. Permet l'analyse la plus exhaustive, souvent utilisée pour l'audit de code et la revue d'architecture.

Revue de configuration

Analyse manuelle des configurations de sécurité des composants critiques : Active Directory (GPO, délégation, comptes à privilèges), firewalls (règles, NAT, VPN), serveurs (durcissement OS, services, certificats), bases de données (droits, chiffrement, audit). Cette revue s'appuie sur les CIS Benchmarks, les guides de durcissement ANSSI, et les recommandations des éditeurs.

Revue de code source

Analyse statique (SAST) et dynamique (DAST) du code source des applications développées en interne ou personnalisées. Recherche des vulnérabilités OWASP Top 10 (injection SQL, XSS, broken authentication, etc.) et des failles de logique métier. Particulièrement critique pour les applications web exposées sur Internet et les API. Cette démarche s'inscrit dans les principes du développement sécurisé.

2.3 Audit de conformité réglementaire

L'audit de conformité vérifie l'adéquation du SI avec les exigences réglementaires applicables :

Réglementation Périmètre Points clés audités Sanctions
RGPD Protection des données personnelles Registre des traitements, AIPD, DPO, droits des personnes, sécurité Art. 32 Jusqu'à 4 % du CA mondial
NIS 2 Entités essentielles et importantes Gouvernance cyber, gestion des risques, notification incidents, supply chain Jusqu'à 10 M EUR ou 2 % CA
PCI DSS v4.0 Données de cartes de paiement Segmentation réseau, chiffrement, accès, logging, tests réguliers Amendes + perte qualification
DORA Secteur financier Résilience opérationnelle, tests TLPT, gestion prestataires ICT Sanctions administratives
HDS Hébergement données de santé ISO 27001 + exigences HDS spécifiques, localisation données Sanctions pénales

2.4 Audit d'intrusion (Red Team)

Le Red Team va au-delà du pentest classique : il simule une attaque persistante avancée (APT) sur une période étendue (2 à 6 semaines), en combinant vecteurs techniques (exploitation, phishing ciblé, accès physique), humains (social engineering) et logiques (chaîne d'approvisionnement). L'objectif n'est pas de trouver un maximum de vulnérabilités mais de tester la capacité de détection et de réponse de l'organisation (Blue Team / SOC) face à un scénario d'attaque réaliste. Le Red Teaming évalue les trois piliers : personnes, processus et technologies.

Les 4 Types d'Audit de Sécurité du SI 1. Audit Organisationnel Gouvernance, processus, maturité ISO 27001 / 27002 -- SMSI, Annexe A (93 contrôles) EBIOS Risk Manager -- Analyse de risques ANSSI NIST CSF 2.0 -- 6 fonctions, modèle de maturité Entretiens + Revue documentaire + Observation terrain 2. Audit Technique Vulnérabilités, exploitabilité, robustesse Scan de vulnérabilités (Nessus, Qualys, OpenVAS) Pentest Black/Grey/White Box (Metasploit, Burp, Cobalt) Revue de configuration (CIS Benchmarks, ANSSI) Revue de code source (SAST/DAST, OWASP Top 10) 3. Audit de Conformité Réglementations, standards, obligations légales RGPD -- Art. 32, AIPD, registre des traitements NIS 2 -- Obligations OES/EI, notification incidents PCI DSS v4.0 -- 12 exigences, SAQ/ROC DORA, HDS, SecNumCloud, SOC 2 4. Red Team / Purple Team Simulation d'attaque avancée, détection & réponse Scénarios APT multi-vecteurs (2-6 semaines) Social engineering + technique + physique Évaluation SOC/Blue Team (détection, réponse) TIBER-EU / TLPT (DORA) / iCAST 360°

Figure 1 -- Les quatre types d'audit de sécurité du SI : vision complète à 360 degrés

3. Qualification PASSI et cadre ANSSI

3.1 La qualification PASSI

La qualification PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est délivrée par l'ANSSI et constitue le label de référence en France pour les prestataires d'audit de sécurité. Elle couvre cinq portées d'audit :

  1. Audit organisationnel et physique : évaluation des processus, de la gouvernance et de la sécurité physique.
  2. Audit d'architecture : analyse de la conception et de la segmentation du SI.
  3. Audit de configuration : vérification du durcissement des composants techniques.
  4. Audit de code source : analyse de la sécurité du code des applications.
  5. Tests d'intrusion : simulation d'attaques pour démontrer l'exploitabilité des vulnérabilités.

La qualification PASSI impose des exigences strictes : méthodologie documentée, charte de déontologie, gestion de la confidentialité des résultats, compétences certifiées des auditeurs, et indépendance vis-à-vis du commanditaire. Pour les OIV (Opérateurs d'Importance Vitale) et les OSE (Opérateurs de Services Essentiels), le recours à un prestataire qualifié PASSI est obligatoire pour certains types d'audits.

3.2 La qualification PRIS

La qualification PRIS (Prestataire de Réponse aux Incidents de Sécurité) est complémentaire à la PASSI. Tandis que la PASSI couvre l'audit (avant l'incident), la PRIS couvre la réponse (pendant et après l'incident). Les deux qualifications partagent des exigences communes en termes de méthodologie, de confidentialité et de compétences. Une organisation mature fait appel à un prestataire PASSI pour l'audit préventif et à un prestataire PRIS (ou le même s'il détient les deux qualifications) pour la réponse aux incidents.

Conseil : vérifier la qualification

Avant de mandater un prestataire d'audit, vérifiez sa qualification PASSI sur le site de l'ANSSI (catalogue des prestataires qualifiés). Assurez-vous que la portée de la qualification couvre les types d'audits souhaités. Un prestataire peut être qualifié PASSI pour les tests d'intrusion mais pas pour l'audit organisationnel, ou inversement.

4. Méthodologie d'audit : les 6 phases

Un audit de sécurité structuré se déroule en six phases distinctes, chacune avec ses livrables et ses points de contrôle. Cette méthodologie s'applique à tous les types d'audits, avec des adaptations selon le périmètre.

4.1 Phase 1 : Cadrage et planification

Le cadrage est la phase la plus critique -- un audit mal cadré produit des résultats inexploitables. Les éléments à définir :

  • Objectifs de l'audit : évaluation de maturité globale, conformité réglementaire spécifique, test de la surface d'attaque externe, audit d'une application critique, etc.
  • Périmètre : systèmes, réseaux, applications, localisations géographiques, entités juridiques inclus dans l'audit. Les exclusions doivent être explicitement documentées.
  • Référentiel d'évaluation : ISO 27001, CIS Controls, NIST CSF, guide de durcissement ANSSI, OWASP, etc.
  • Contraintes opérationnelles : fenêtres de test autorisées, systèmes fragiles à éviter, environnements de production vs. recette, contacts d'urgence en cas d'incident.
  • Convention d'audit : document juridique signé par les deux parties, définissant le périmètre, les modalités, la confidentialité, les responsabilités et les conditions de délivrabilité.
  • Plan de communication : qui est informé de l'audit (et qui ne l'est pas, dans le cas d'un Red Team), points de contact, fréquence des réunions de suivi.

4.2 Phase 2 : Collecte d'informations

La collecte d'informations alimente l'ensemble de l'audit. Selon le type d'audit et le mode (Black/Grey/White Box) :

  • Reconnaissance passive (OSINT) : collecte d'informations publiquement disponibles -- enregistrements DNS, certificats SSL (crt.sh), technologies utilisées (Wappalyzer, Shodan), fuites de données (Have I Been Pwned, intelligence sources), organigramme et emails (LinkedIn, Hunter.io).
  • Reconnaissance active : scan de ports (Nmap), enumération de services, fingerprinting d'OS et d'applications, découverte de sous-domaines (Subfinder, Amass), scan de répertoires web (Gobuster, Feroxbuster).
  • Collecte documentaire (audit organisationnel) : PSSI, PCA/PRA, procédures de gestion des incidents, registre des traitements RGPD, cartographie du SI, schémas d'architecture réseau, rapports d'audits précédents.
  • Entretiens dirigés : sessions structurées avec les responsables sécurité, administrateurs système/réseau, développeurs, et responsables métier. Utilisation de grilles d'entretien standardisées par référentiel.

4.3 Phase 3 : Analyse et tests

Le coeur de l'audit -- l'analyse approfondie et les tests techniques :

Audit organisationnel : analyse de maturité

Évaluation de chaque contrôle du référentiel sur une échelle de maturité (typiquement 5 niveaux : inexistant, initial, reproductible, défini, géré, optimisé). Identification des écarts entre le niveau actuel et le niveau cible. Corrélation entre les résultats des entretiens, la documentation et l'observation des pratiques réelles.

Audit technique : exécution des tests

Déroulement méthodique des tests techniques selon le périmètre défini. Pour un test d'intrusion externe, la séquence type est : reconnaissance > scan de vulnérabilités > exploitation des vulnérabilités critiques > élévation de privilèges > mouvement latéral > démonstration d'impact > nettoyage des traces. Chaque étape est documentée avec horodatage, preuves (captures d'écran, logs), et évaluation de la criticité selon CVSS v4.0.

Audit de conformité : mapping des exigences

Vérification systématique de chaque exigence du référentiel réglementaire applicable. Pour chaque exigence : collecte de la preuve de conformité (document, configuration, processus), évaluation du niveau de conformité (conforme, partiellement conforme, non conforme, non applicable), et identification des écarts avec recommandations de remédiation.

Méthodologie d'Audit de Sécurité -- 6 Phases 1 Cadrage Objectifs & périmètre Convention d'audit Référentiel d'évaluation Contraintes opérationnelles Livrable: Convention signée + Plan d'audit 2 Collecte OSINT & reconnaissance Revue documentaire Entretiens dirigés Scan & enumeration Livrable: Dossier de collecte + Cartographie périmètre 3 Analyse & Tests Tests de vulnérabilités Exploitation & pivoting Analyse de maturité Mapping conformité Livrable: Résultats bruts + Preuves d'exploitation 4 Rapport Synthèse pour la direction Détails techniques Classification CVSS Recommandations priorisées Livrable: Rapport d'audit + Synthèse managériale 5 Remédiation Plan de remédiation priorisé Quick wins (J+30) Actions moyen terme (J+90) Projets structurants (J+365) Livrable: Plan d'actions + Budget estimatif 6 Suivi Suivi des actions correctives Contre-audit (retest) Tableau de bord conformité Amélioration continue Livrable: Rapport de suivi + KPI sécurité

Figure 2 -- Méthodologie d'audit de sécurité en 6 phases : du cadrage au suivi continu

4.4 Phase 4 : Rédaction du rapport

Le rapport d'audit est le livrable clé -- il doit être actionnable par des audiences différentes. La structure recommandée :

  • Synthèse managériale (2-3 pages) : score de maturité global, principaux risques identifiés, top 5 des recommandations prioritaires, vue radar de la posture de sécurité. Cette synthèse est destinée à la direction générale -- elle doit être compréhensible sans expertise technique.
  • Résultats détaillés : pour chaque constat (vulnérabilité, écart de conformité, faiblesse organisationnelle) : description factuelle, preuve (capture d'écran, extrait de configuration, référence documentaire), criticité (CVSS v4.0 pour les vulnérabilités techniques, échelle Critique/Haute/Moyenne/Basse pour les constats organisationnels), impact potentiel, et recommandation de remédiation spécifique.
  • Analyse de la chaîne d'attaque (pentest) : reconstitution pas à pas des scénarios d'exploitation réussis, démontrant comment un attaquant peut chaîner plusieurs vulnérabilités pour atteindre un objectif critique (accès admin domaine, exfiltration de données, arrêt de production).
  • Matrice de conformité (audit de conformité) : tableau exigence par exigence avec le statut de conformité, la preuve associée, et les actions de remédiation si nécessaire.
  • Plan de remédiation priorisé : liste des actions correctives classées par priorité (P1 : immédiat / P2 : 30 jours / P3 : 90 jours / P4 : 12 mois), avec l'effort estimé, le responsable suggéré, et les indicateurs de succès.

Bonnes pratiques de rédaction

Un bon rapport d'audit est factuel, non accusatoire et orienté solutions. Évitez les formulations comme "l'administrateur a fait une erreur" et préférez "la configuration du service X n'est pas conforme au CIS Benchmark, exposant le système à [risque]. La remédiation recommandée est [action]". Le rapport doit être un outil d'amélioration, pas un acte d'accusation.

4.5 Phase 5 : Plan de remédiation

Le plan de remédiation transforme les constats d'audit en actions concrètes et priorisées. La priorisation combine trois facteurs : la criticité du risque (impact x probabilité), la facilité de mise en oeuvre (effort, coût, complexité technique), et les dépendances (certaines remédiations sont des prérequis pour d'autres). L'objectif est de maximiser la réduction du risque par unité d'effort investi.

Structure recommandée du plan de remédiation :

Priorité Délai Exemples Effort type
P1 - Critique Immédiat (J+7) Corriger les vulnérabilités critiques exploitables, désactiver les comptes compromis, patcher les failles RCE exposées Quick fix, hotfix
P2 - Haute Court terme (J+30) Activer le MFA partout, segmenter les réseaux critiques, durcir les configurations AD Configuration, déploiement
P3 - Moyenne Moyen terme (J+90) Mettre en place le SIEM/SOC, formaliser les processus PSSI, déployer le PAM Projet structurant
P4 - Basse Long terme (J+365) Certification ISO 27001, refonte d'architecture, programme de sensibilisation Programme pluriannuel

4.6 Phase 6 : Suivi et amélioration continue

Un audit sans suivi est un audit inutile. La phase de suivi comprend :

  • Comité de suivi : réunions mensuelles (ou trimestrielles) avec les parties prenantes pour suivre l'avancement du plan de remédiation, lever les blocages, et ajuster les priorités.
  • Contre-audit (retest) : vérification technique de la correction effective des vulnérabilités P1 et P2. Un retest 3 à 6 mois après l'audit initial est recommandé.
  • Tableau de bord sécurité : KPI de suivi (nombre de vulnérabilités critiques ouvertes, pourcentage de remédiation par priorité, score de maturité ISO 27001, taux de conformité réglementaire).
  • Planification du prochain audit : l'audit suivant est planifié (typiquement annuel pour les audits organisationnels, semestriel pour les scans de vulnérabilités, annuel pour les pentests).

5. Audit organisationnel approfondi

5.1 Évaluation selon ISO 27001

L'audit organisationnel selon l'ISO 27001 évalue la conformité et la maturité du SMSI sur deux axes : les clauses 4 à 10 (exigences de management) et les 93 contrôles de l'Annexe A (mesures de sécurité). L'auditeur vérifie non seulement l'existence des politiques et processus, mais surtout leur application effective et leur amélioration continue.

Les écarts les plus fréquemment constatés lors de nos audits ISO 27001 :

  • Absence de revue de direction : la clause 9.3 exige une revue de direction périodique du SMSI, avec analyse des indicateurs de performance et prise de décisions d'amélioration. Plus de 40 % des organisations auditées ne réalisent pas cette revue formellement.
  • Analyse de risques obsolète : la clause 6.1 exige une analyse de risques à jour. Les risques liés au cloud, au travail hybride, à l'IA et à la supply chain sont souvent absents des analyses réalisées il y a 2-3 ans.
  • Gestion des compétences insuffisante : la clause 7.2 exige que le personnel affecté à la sécurité dispose des compétences nécessaires. Les plans de formation cybersécurité sont souvent insuffisants ou non suivis.
  • Inventaire des actifs incomplet : le contrôle A.5.9 exige un inventaire des actifs informationnels. Les environnements cloud, les applications SaaS et les dispositifs IoT sont fréquemment absents de l'inventaire.

5.2 Analyse de risques EBIOS RM

EBIOS Risk Manager est la méthodologie d'analyse de risques promue par l'ANSSI. L'audit vérifie que les cinq ateliers EBIOS RM sont correctement conduits :

  1. Atelier 1 -- Cadrage et socle de sécurité : périmètre métier et technique, valeurs métier, socle de sécurité (mesures de base d'hygiène).
  2. Atelier 2 -- Sources de risques : identification des sources de risques pertinentes (cybercriminels, APT, insiders, activistes) et de leurs objectifs visés.
  3. Atelier 3 -- Scénarios stratégiques : construction des chemins d'attaque de haut niveau (écosystème, chaîne d'approvisionnement).
  4. Atelier 4 -- Scénarios opérationnels : détail technique des scénarios d'attaque, avec les tactiques, techniques et procédures (TTP) utilisées. Utilisation de MITRE ATT&CK pour structurer les scénarios.
  5. Atelier 5 -- Traitement du risque : plan de traitement des risques (réduction, transfert, acceptation, évitement), avec mesures de sécurité associées et risques résiduels acceptés par la direction.

6. Audit technique : outils et méthodologies

6.1 Scan de vulnérabilités

Les scanners de vulnérabilités sont les outils de base de l'audit technique. Les solutions de référence :

Outil Type Forces Cas d'usage
Nessus Professional Scanner infra Base CVE exhaustive, plugins réguliers, compliance checks CIS Scan d'infrastructure, audit de conformité config
Qualys VMDR Cloud platform Cloud-native, agent + scanner, asset management, TruRisk scoring Gestion continue des vulnérabilités, grands parcs
OpenVAS / Greenbone Open source Gratuit, communauté active, NVT feeds PME, labs de test, première évaluation
Tenable.io Cloud platform Exposure management, prédiction exploitabilité, intégration cloud Entreprises avec environnements hybrides cloud
Microsoft Defender Vulnerability Management Intégré M365 Intégration native Defender, zero agent pour endpoints gérés Organisations M365/Defender, complémentaire

6.2 Tests d'intrusion : outils et frameworks

Les outils de pentest couvrent l'ensemble de la kill chain :

  • Reconnaissance : Nmap (scan de ports), Subfinder/Amass (discovery sous-domaines), Shodan/Censys (asset discovery Internet), theHarvester (collecte emails).
  • Web application : Burp Suite Professional (proxy, scanner, intruder, repeater -- outil incontournable), OWASP ZAP (alternative open source), Nuclei (templates de détection), SQLMap (injection SQL automatisée).
  • Infrastructure : Metasploit Framework (exploitation, post-exploitation), CrackMapExec/NetExec (mouvement latéral Windows), Impacket (protocoles Windows), BloodHound (cartographie AD), Responder (capture de credentials NTLM).
  • Cloud : ScoutSuite (multi-cloud audit), Prowler (AWS), AzureHound (Azure AD), Pacu (AWS exploitation).
  • Post-exploitation : Cobalt Strike / Sliver / Havoc (C2 frameworks), Mimikatz (extraction credentials Windows), Rubeus (attaques Kerberos), LinPEAS/WinPEAS (privesc enumeration).

6.3 Revue de configuration et durcissement

La revue de configuration s'appuie sur des référentiels de durcissement reconnus :

  • CIS Benchmarks : référentiels de durcissement pour plus de 100 technologies (Windows Server, Linux, AWS, Azure, Kubernetes, etc.). Chaque benchmark propose des recommandations classées en Level 1 (bonnes pratiques de base) et Level 2 (renforcé).
  • Guides ANSSI : recommandations de configuration pour Active Directory, Windows, Linux, mécanismes de cloisonnement réseau, administration sécurisée. Les guides ANSSI sont les références en France pour les OIV/OSE.
  • STIGs (Security Technical Implementation Guides) : référentiels du DoD américain, très détaillés et stricts. Utilisés dans les contextes exigeant un haut niveau de sécurité.

7. Audit de conformité réglementaire

7.1 Audit RGPD

L'audit RGPD vérifie la conformité de l'organisation avec le Règlement Général sur la Protection des Données. Les points clés :

  • Article 5 : respect des principes (licéité, finalité, minimisation, exactitude, limitation de conservation, intégrité et confidentialité, responsabilité).
  • Article 30 : registre des activités de traitement tenu à jour, avec base légale, catégories de données, destinataires, durées de conservation et mesures de sécurité.
  • Article 32 : mesures techniques et organisationnelles appropriées (pseudonymisation, chiffrement, confidentialité, intégrité, disponibilité, résilience, capacité de restauration, tests réguliers).
  • Article 35 : analyses d'impact relatives à la protection des données (AIPD) pour les traitements à risque élevé.
  • Articles 12 à 22 : droits des personnes (accès, rectification, effacement, portabilité, opposition). Vérification des processus de gestion des demandes.

7.2 Audit NIS 2

L'audit de conformité NIS 2 vérifie les obligations imposées aux entités essentielles (EE) et aux entités importantes (EI). Les domaines clés évalués :

  • Gouvernance : implication de la direction dans la cybersécurité, responsabilités définies, budget alloué.
  • Gestion des risques : analyse de risques formalisée, mesures de sécurité proportionnées, gestion de la chaîne d'approvisionnement.
  • Notification des incidents : processus de notification à l'autorité compétente (ANSSI en France) dans les délais réglementaires (alerte précoce 24h, notification 72h, rapport final 1 mois).
  • Continuité d'activité : PCA/PRA formalisés et testés, sauvegardes vérifiées, gestion de crise cyber.
  • Sécurité de la supply chain : évaluation des risques liés aux prestataires et fournisseurs ICT. Le déploiement opérationnel de NIS 2 en 2026 renforce ces exigences.

7.3 Audit PCI DSS v4.0

L'audit PCI DSS est requis pour toute organisation qui stocke, traite ou transmet des données de cartes de paiement. La version 4.0, pleinement applicable depuis mars 2025, introduit des exigences renforcées : authentification multi-facteur étendue, scans de vulnérabilités internes authentifiés, gestion renforcée des scripts tiers (e-commerce), et approche personnalisée permettant des contrôles compensatoires documentés. L'audit PCI DSS est réalisé par un QSA (Qualified Security Assessor) accrédité par le PCI SSC.

8. Rédaction du rapport d'audit : bonnes pratiques

La qualité du rapport d'audit détermine la valeur opérationnelle de l'audit. Voici les bonnes pratiques issues de notre expérience :

Classification des constats

Chaque constat doit être classifié selon une échelle de criticité cohérente. Pour les vulnérabilités techniques, le score CVSS v4.0 est le standard. Pour les constats organisationnels, une échelle à quatre niveaux est recommandée :

  • Critique : risque immédiat d'exploitation avec impact majeur sur la disponibilité, l'intégrité ou la confidentialité. Remédiation immédiate requise.
  • Haute : vulnérabilité significative exploitable avec des moyens modérés, ou écart de conformité majeur. Remédiation sous 30 jours.
  • Moyenne : faiblesse qui contribue à la surface d'attaque mais n'est pas directement exploitable en isolation. Remédiation sous 90 jours.
  • Basse / Informationnelle : axe d'amélioration, non-conformité mineure, ou observation pour la prochaine revue. Remédiation planifiée.

Structurer les recommandations

Chaque recommandation doit être SMART (Spécifique, Mesurable, Atteignable, Réaliste, Temporellement définie). Évitez les recommandations vagues comme "améliorer la sécurité des mots de passe" et préférez "déployer une politique de mots de passe conforme au CIS Benchmark (14 caractères minimum, complexité, verrouillage après 5 échecs) sur l'Active Directory via GPO dans un délai de 30 jours".

9. Checklist de l'auditeur sécurité

Checklist de l'Auditeur Sécurité -- 22 Points Essentiels PREPARATION & CADRAGE 1 Convention d'audit signée avec périmètre, exclusions et contacts d'urgence 2 Référentiel(s) d'évaluation défini(s) (ISO 27001, CIS, OWASP, PASSI) 3 Planification des entretiens avec les parties prenantes (RSSI, DSI, admins, métiers) 4 Outils d'audit préparés, licences vérifiées, environnement de test validé AUDIT ORGANISATIONNEL 5 PSSI existante, approuvée, diffusée et à jour (< 12 mois) 6 Analyse de risques formalisée (EBIOS RM, ISO 27005, NIST SP 800-30) 7 PCA/PRA documenté, testé dans les 12 derniers mois, restauration vérifiée 8 Procédure de gestion des incidents de sécurité avec escalade et notification AUDIT TECHNIQUE 9 Scan de vulnérabilités complet (interne + externe) avec rapport CVSS 10 Revue de configuration AD (GPO, comptes à privilèges, délégation, Kerberos) 11 Tests d'intrusion (externe + interne) avec chaîne d'attaque documentée 12 Revue des règles firewall, ACL, segmentation réseau (VLAN, DMZ) 13 Audit Wi-Fi (protocoles, chiffrement, isolation, rogue AP detection) CONFORMITÉ & LIVRAISON 14 Matrice de conformité réglementaire (RGPD Art.32, NIS2, PCI DSS le cas échéant) 15 Rapport d'audit avec synthèse managériale, détails techniques et plan de remédiation priorisé 16 Restitution orale avec Q&A pour la direction et les équipes techniques (deux sessions)

Figure 3 -- Checklist de l'auditeur sécurité : 16 points essentiels couvrant préparation, audit et livraison

10. Conclusion : l'audit comme fondation de la maturité cyber

L'audit de sécurité du système d'information n'est pas un exercice ponctuel de mise en conformité -- c'est le fondement d'un programme de cybersécurité mature et évolutif. Dans un contexte où les menaces se renouvellent constamment, où les systèmes évoluent (cloud, IoT, IA), et où la réglementation se durcit (NIS 2, DORA, Cyber Resilience Act), l'audit régulier est la seule manière de maintenir une visibilité objective sur sa posture de sécurité.

Les organisations qui tirent le meilleur parti de leurs audits de sécurité partagent trois caractéristiques :

  1. Une approche programmatique : l'audit n'est pas un événement isolé mais un élément d'un programme annuel structuré (audit organisationnel annuel, scans de vulnérabilités trimestriels, pentest annuel, Red Team biennal). Chaque type d'audit apporte une perspective complémentaire.
  2. Un engagement de la direction : la direction reçoit la synthèse managériale, valide le plan de remédiation, alloue les ressources nécessaires, et suit les KPI de sécurité. Sans ce sponsorship, les recommandations d'audit restent lettre morte.
  3. Un cycle d'amélioration continue : chaque audit est l'occasion de mesurer les progrès depuis le précédent, de valider la correction des vulnérabilités identifiées, et d'identifier les nouveaux risques. Le score de maturité doit progresser d'un audit à l'autre.

En investissant dans des audits de sécurité réguliers, structurés et conduits par des professionnels qualifiés (PASSI pour les contextes réglementés), les organisations se donnent les moyens de devancer les attaquants plutôt que de subir les conséquences d'une compromission. L'audit est le premier pas -- la remédiation et l'amélioration continue font le reste.

Besoin d'un audit de sécurité de votre SI ?

Nos experts réalisent des audits organisationnels, techniques et de conformité adaptés à votre contexte. Rapport détaillé, plan de remédiation priorisé, et accompagnement dans la mise en oeuvre.

Demander un audit de sécurité

Articles connexes

Conformité
ISO 27001 : Guide Complet
SMSI, analyse de risques, certification, Annexe A
Réglementation
NIS 2 : Directive Européenne
Obligations, périmètre, sanctions et mise en conformité
Protection des données
RGPD 2026 : Sécurité CNIL
Mesures techniques Art. 32, sanctions, bonnes pratiques
Paiement
PCI DSS v4.0 : Guide 2026
Exigences, audit QSA, nouvelles obligations v4.0
Finance
DORA 2026 : Bilan de Conformité
Résilience opérationnelle numérique, tests TLPT
Développement
Développement Sécurisé ISO 27001
SDL, revue de code, SAST/DAST, OWASP
Industriel
IEC 62443 : Cybersécurité Industrielle OT
Sécurité OT, zones et conduits, Security Levels
Santé
HDS 2026 : Certification Santé
Hébergement données de santé, ISO 27001+HDS

Références et ressources externes

Ayi NEDJIMI

Ayi NEDJIMI

Expert en Cybersécurité & Intelligence Artificielle

Consultant senior, certifié OSCP, CISSP et ISO 27001 Lead Auditor. Plus de 15 ans d'expérience en pentest, audit et solutions IA.

LinkedInProfil complet

Besoin d'une expertise en audit de sécurité ?

Audit organisationnel, technique, conformité et tests d'intrusion par des experts certifiés

Nos Services