Pourquoi auditer son parc informatique ?
Le parc informatique d'une PME se construit par couches : un serveur acheté il y a 7 ans, un Wi-Fi étendu après l'ouverture d'un nouveau bureau, des postes ajoutés au fil des embauches, des logiciels métiers empilés. Sans revue périodique, le SI devient une accumulation de dettes techniques. L'ANSSI rappelle dans son guide d'hygiène informatique que la connaissance de son système est la première mesure de sécurité. On ne protège pas ce qu'on ne connaît pas.
L'audit révèle aussi les pertes de performance invisibles. Un disque saturé, une bande passante mal répartie, une sauvegarde qui tourne en pleine journée : ces incidents font perdre 10 à 20 minutes par utilisateur et par jour. Sur 50 collaborateurs, cela représente 50 000 à 100 000 euros de productivité par an. La perte n'apparaît dans aucun budget, mais elle se paie en heures de travail effacées.
Côté coûts, l'audit identifie des économies rapides : licences logicielles inutilisées (15 à 25 % du parc en moyenne), abonnements cloud doublons, contrats de maintenance sur du matériel hors service, sur-dimensionnement de bande passante. Sur un budget IT de 80 000 euros par an, l'audit révèle typiquement 8 000 à 15 000 euros d'optimisation. Pour comprendre comment cet investissement se rentabilise, lisez notre article audit informatique prix : combien pour une PME.
Checklist : 10 points à auditer
Inventaire matériel
Recensez chaque poste fixe, portable, serveur, NAS, switch, routeur, point d'accès Wi-Fi, imprimante réseau et périphérique. Notez le modèle, le numéro de série, la date d'achat, la fin de garantie et le statut (en service, stock, rebut). Un parc de 50 postes contient en moyenne 15 à 20 % de matériel hors d'âge ou redondant. Sans cet inventaire, impossible de planifier le renouvellement, d'estimer les coûts de support ou de respecter l'article 32 du RGPD.
Logiciels et licences
Listez les logiciels installés sur chaque poste : OS, suite bureautique, ERP, CRM, antivirus, outils métiers. Vérifiez les versions, les contrats de licence (perpétuel, abonnement, OEM) et les conditions d'utilisation. La BSA (Business Software Alliance) audite régulièrement les PME : une licence non conforme coûte en moyenne 4 000 euros HT par poste. Repérez aussi les redondances : trois outils de gestion documentaire pour 30 utilisateurs n'a aucun sens.
Réseau et connectivité
Cartographiez le LAN : switchs, VLAN, débits, points uniques de défaillance. Mesurez le débit réel de la fibre, la latence, la couverture Wi-Fi par zone. Vérifiez la présence d'une redondance Internet (4G secours, second opérateur) si l'activité dépend du réseau. Pour 60 postes, prévoyez du PoE+ sur les switchs principaux et une bande passante de 200 Mbps minimum en symétrique. Les goulots d'étranglement réseau coûtent jusqu'à 20 minutes par jour et par utilisateur.
Sécurité périmétrique
Analysez le pare-feu : modèle, règles actives, mises à jour de firmware, journaux. Vérifiez la segmentation réseau (LAN bureautique, LAN voix, LAN OT, DMZ pour les services publiés). Évaluez les accès distants : VPN site à site, VPN nomades, RDP exposés (à proscrire). L'ANSSI publie un guide d'hygiène informatique avec 42 mesures dont la règle 27 sur les accès distants : cette mesure est défaillante dans 7 PME sur 10 selon le panorama 2024.
Postes de travail et endpoint
Vérifiez la présence d'un EDR ou d'un antivirus à jour sur chaque poste, le statut des mises à jour Windows / macOS, l'activation du chiffrement disque (BitLocker, FileVault), la configuration UAC. Repérez les comptes locaux administrateurs, les logiciels obsolètes (Java 8, Flash, vieux navigateurs). Un poste non patché est vulnérable en moyenne 30 jours après la publication d'une CVE critique. Pour aller plus loin, consultez notre guide EDR PME.
Identités et accès
Auditez l'Active Directory ou Azure AD / Entra ID : comptes inactifs depuis plus de 90 jours, comptes à privilèges, mots de passe jamais changés, MFA actif ou non. Un compte d'ancien collaborateur encore actif est l'une des premières portes d'entrée des attaques. Le MFA doit couvrir 100 % des accès administrateurs et au minimum les accès externes. Vérifiez aussi la rotation des mots de passe administrateurs et l'usage d'un coffre-fort (Bitwarden, 1Password Business).
Sauvegardes et PRA
Validez la règle 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site et immuable. Vérifiez la fréquence des sauvegardes, la durée de rétention, et surtout la réalité des tests de restauration. 4 PME sur 10 découvrent que leurs sauvegardes ne fonctionnent pas le jour où elles en ont besoin. Un test de restauration trimestriel sur un fichier, mensuel sur un serveur, annuel sur un bare-metal complet est le minimum.
Conformité RGPD
Vérifiez la présence d'un registre des traitements (article 30 RGPD), la désignation d'un DPO si requis, la procédure de gestion des droits des personnes (accès, effacement, portabilité). Auditez les sous-traitants (Microsoft 365, Salesforce, prestataire IT) avec un contrat conforme article 28. La CNIL a prononcé 87 sanctions en 2024 dont 31 contre des PME, avec un montant médian de 15 000 euros. Le défaut de registre et l'absence d'analyse d'impact (AIPD) sont les manquements les plus fréquents.
Télétravail et mobilité
Évaluez le dispositif de télétravail : VPN, MFA, postes prêtés ou BYOD, MDM (Intune, Jamf), chiffrement, séparation pro / perso. Le BYOD non encadré expose les données à tout l'écosystème du collaborateur. Un MDM permet d'effacer à distance un poste perdu, d'imposer un code de verrouillage, de bloquer l'installation d'applications non approuvées. Pour 30 utilisateurs nomades, comptez 5 à 8 euros par mois et par poste pour Intune.
Documentation et procédures
Recensez la cartographie SI, les schémas réseau, les runbooks (procédures pas à pas), la liste des prestataires et contacts clés. Une PME sans documentation dépend de la mémoire d'une ou deux personnes. Si elles partent, le SI devient une boîte noire. Vérifiez aussi les procédures critiques : reset mot de passe, onboarding, offboarding, gestion d'incident, contact prestataire. Une documentation à jour réduit le temps de résolution des incidents de 40 %.
Méthode d'audit pas à pas
Une méthode structurée garantit la qualité du livrable et la maîtrise du planning. Sicollab applique le découpage suivant pour chaque audit, du diagnostic découverte au schéma directeur. Pour aller plus loin sur le cadrage stratégique, consultez notre service audit informatique PME.
Préparation
1 à 2 jours
Cadrage du périmètre (sites, postes, applications métier), entretiens avec la direction et les utilisateurs clés, recueil de la documentation existante, accès RH et IT, planning d'intervention. Un kick-off de 2 heures avec direction et IT cale les attentes et les livrables.
Collecte
2 à 4 jours
Scans automatisés (Lansweeper, PDQ Inventory, Nmap), entretiens techniques, relevés sur site (salle serveur, baies, points d'accès), extraction des journaux pare-feu, AD, sauvegardes. La collecte combine outillage et observation terrain : un scan ne voit pas une baie poussiéreuse ou un onduleur HS.
Analyse
2 à 3 jours
Confrontation des données au référentiel ANSSI (guide d'hygiène 42 mesures), au RGPD, aux bonnes pratiques métier. Scoring par axe, identification des risques et de leur criticité (impact x probabilité), priorisation des actions. Chaque écart est documenté avec une preuve et une recommandation chiffrée.
Restitution
1 jour
Rapport écrit de 30 à 60 pages, plan d'action sur 90 jours avec coûts indicatifs, présentation orale de 1 à 2 heures avec direction et IT. Le rapport est remis en PDF et en présentation. Le plan d'action distingue les actions immédiates (moins de 30 jours), court terme (30 à 90 jours), moyen terme (3 à 12 mois).
Quand faut-il auditer ?
Trois déclencheurs justifient un audit dans une PME. Le premier reste le plus fréquent : l'envie de changer de prestataire ou d'internaliser une partie de la fonction IT. L'audit donne alors une base objective pour comparer les offres et négocier. Pour une vision long terme de la fonction IT, le DSI externalisé complète bien cette démarche.
Changement de prestataire
Avant de signer un nouveau contrat d'infogérance, un audit indépendant donne une photographie objective du parc. Vous comparez les devis sur la même base et vous évitez de payer 12 mois pour découvrir un parc bien plus dégradé qu'annoncé.
Croissance supérieure à 10 postes / an
Une PME qui passe de 30 à 60 postes en 18 mois atteint un point de bascule : l'architecture initiale n'est plus adaptée. L'audit identifie ce qui doit être ré-architecturé (Active Directory, sauvegardes, segmentation réseau) avant que les incidents ne se multiplient.
Incident sécurité
Après une tentative de phishing réussie, un ransomware bloqué ou une fuite de données, un audit post-incident permet de comprendre la chaîne d'attaque, de combler les failles et de prouver la diligence raisonnable à votre cyberassureur et à la CNIL.
Cas Sicollab : audit d'une PME industrielle de 60 postes
Une PME industrielle du Puy-de-Dôme (60 postes, 2 sites, 1 atelier de production) nous a confié un audit complet après 8 ans avec le même prestataire d'infogérance. Mission : photographier le SI, identifier les risques et proposer un plan de remise à niveau avant renouvellement du contrat.
La collecte sur 4 jours a révélé 8 axes critiques : un Active Directory non documenté avec 23 comptes inactifs, des sauvegardes qui n'avaient jamais été testées en restauration, deux serveurs Windows Server 2012 R2 hors support, un pare-feu sans mise à jour depuis 18 mois, aucun MFA sur les accès administrateurs, une segmentation réseau OT / bureautique inexistante, un registre RGPD vide, et zéro documentation opérationnelle.
Le plan d'action 90 jours a ciblé les 5 risques majeurs : MFA généralisé, segmentation OT, migration des serveurs obsolètes, mise en place de sauvegardes immuables et test de restauration trimestriel. Coût total des actions priorisées : 18 000 euros HT sur 3 mois, pour un risque cyber estimé à plus de 200 000 euros en cas d'incident. Pour le volet sécurité spécifique, voir notre service audit cybersécurité PME et notre offre cybersécurité PME.
Questions fréquentes
Combien de temps dure un audit de parc informatique ?
Pour une PME de 20 à 50 postes, comptez 5 à 7 jours ouvrés au total : 1 à 2 jours de préparation, 2 à 4 jours de collecte sur site, 2 à 3 jours d'analyse et 1 jour de restitution. Sur un parc de 100 postes ou multi-sites, prévoyez 10 à 15 jours.
Qui peut réaliser un audit informatique ?
Un prestataire IT indépendant de votre infogérant actuel, un cabinet de conseil spécialisé, ou un expert en sécurité (PASSI pour les audits cybersécurité réglementaires). Éviter de confier l'audit au prestataire qui exploite le SI : conflit d'intérêt et angle mort sur ses propres carences.
Quel est le ROI d'un audit IT ?
Sur 5 audits Sicollab réalisés en 2025, le retour médian sur 12 mois est de 3,2 fois le coût : économies sur licences inutiles (15 à 25 %), réduction du nombre d'incidents (-40 %), renégociation contrats prestataires (10 à 20 %), évitement de sanctions RGPD ou cyber.
Quels livrables après un audit ?
Un rapport écrit de 30 à 60 pages avec scoring par axe, une cartographie SI à jour, un plan d'action 90 jours chiffré et priorisé, une matrice de risques, et une présentation orale de restitution. Tous les livrables sont remis en PDF et en formats sources (Visio, Excel) pour appropriation interne.
À quelle fréquence faut-il auditer ?
Tous les 24 à 36 mois pour un audit complet de parc, plus après un évènement majeur : changement de prestataire, croissance significative, incident, ouverture d'un nouveau site, intégration d'une filiale, exigence client ou cyberassureur. Entre deux audits complets, des revues annuelles ciblées suffisent.
Quel coût indicatif pour un audit de parc ?
De 990 euros HT pour un audit découverte sur moins de 20 postes à 4 500 euros HT pour un audit approfondi sur 50 à 100 postes. Pour le détail des tarifs et ce qui est inclus, consultez notre article dédié sur le prix d'un audit informatique.
Article rédigé par Quentin Beauger, fondateur de Sicollab et DSI pour PME en Auvergne.
Auditez votre parc informatique avec Sicollab
Diagnostic gratuit de 30 minutes. On cadre le périmètre, on chiffre l'audit et on vous remet un plan d'action 90 jours.
Planifier un diagnostic gratuit