Audit de sécurité pour PME : déroulé, durée, prix et livrables (guide 2026)

« Combien coûte un audit de sécurité ? » est la question qu'on me pose le plus. La réponse honnête : ça dépend de ce que vous voulez vraiment savoir. Voici, en transparence, les types d'audit, leur déroulé, leur durée, leurs prix réels et — surtout — ce que vous devez recevoir à la fin pour que ça serve à quelque chose.

Les types d'audit (et lequel vous faut-il)

Le diagnostic / audit flash

Un état des lieux rapide de votre exposition : surface externe, configuration M365, sauvegardes, hygiène des mots de passe, présence sur le Dark Web. Objectif : identifier vos 3 à 5 risques les plus critiques. C'est le bon point de départ pour une PME qui n'a jamais rien fait. Chez nous, le diagnostic initial de 30 minutes est gratuit.

L'audit de configuration / organisationnel

On examine vos systèmes existants (Active Directory, M365, pare-feu, sauvegardes, postes) et vos pratiques (gestion des accès, procédures, sensibilisation) au regard des bonnes pratiques ANSSI et ISO 27001. C'est l'audit le plus rentable pour une PME : il trouve les portes grandes ouvertes avant qu'un attaquant ne les trouve.

Le test d'intrusion (pentest)

Là, on attaque réellement — avec votre autorisation écrite — comme le ferait un pirate : scan de vulnérabilités, exploitation, tentative de latéralisation. Pentest externe (depuis Internet), interne (depuis votre réseau) ou applicatif (votre site/app, méthodologie OWASP). C'est l'audit qui prouve concrètement ce qu'un attaquant peut atteindre.

Le déroulé type, étape par étape

1. Cadrage — on définit le périmètre, les objectifs et les règles d'engagement (ce qu'on a le droit de tester, quand, comment). Une demi-journée.

2. Collecte et reconnaissance — inventaire de votre surface d'attaque, des comptes, des services exposés, recherche de fuites Dark Web.

3. Analyse / exploitation — selon le type d'audit : revue de configuration ou tests offensifs réels.

4. Restitution — c'est le cœur de la valeur : un rapport hiérarchisé et une réunion où on vous explique, en français clair, ce qui a été trouvé et quoi faire.

5. Plan d'action et suivi — un plan priorisé, chiffré, et idéalement une contre-vérification après corrections.

Combien de temps ça prend

Un diagnostic flash : quelques jours, restitution sous 5 jours ouvrés. Un audit de configuration pour une PME de 10 à 50 postes : 1 à 2 semaines. Un pentest : 1 à 3 semaines selon le périmètre. L'erreur classique est de vouloir tout faire d'un coup — mieux vaut commencer ciblé et étendre.

Les prix réels en 2026

Pour une PME, les ordres de grandeur du marché : un audit essentiel à partir de 1 500 €, un audit de configuration complet entre 2 500 et 6 000 € selon la taille, un pentest applicatif ou réseau entre 3 500 et 10 000 €. Méfiez-vous des deux extrêmes : le scan automatisé à 300 € rebaptisé « audit » (un outil, pas une analyse) et le rapport à 25 000 € calibré pour des grands comptes. Une PME a besoin du juste milieu : de l'expertise humaine, sur un périmètre réaliste.

Ce que vous devez exiger en livrable

Un audit qui finit par un PDF de 80 pages illisible n'a aucune valeur. Exigez : une synthèse pour dirigeant (1 à 2 pages, sans jargon), une liste de vulnérabilités hiérarchisée par criticité et par effort de correction, des recommandations concrètes et chiffrées (quoi faire, dans quel ordre, pour combien), et une réunion de restitution orale. Le bon livrable, c'est celui qui vous dit par quoi commencer lundi matin.

Un dernier conseil : un audit est une photo à un instant T. Sans suivi ni surveillance, sa valeur s'érode en quelques mois. L'audit doit déboucher sur un plan vivant, pas dormir dans un tiroir.