Cabinet / Ressources / Audit cybersécurité Lausanne
Dossier 02 · Audit de sécurité

Audit de cybersécurité à Lausanne : ce que doit savoir une PME vaudoise.

Le canton de Vaud compte plus de 30'000 PME. La majorité sont assises sur trois ou quatre serveurs, un Microsoft 365 mal configuré, et un prestataire IT qui n'a jamais reçu de mandat de sécurité écrit. L'audit cybersécurité commence là — par une photographie honnête de votre exposition.

Gabriel Rossi 23 mai 2026 12 min de lecture Lausanne · Vaud

Il y a deux ans, j'auditais une fiduciaire à Lausanne — une douzaine d'employés, une réputation impeccable depuis 1987. En quatre heures, j'ai trouvé : trois comptes administrateurs sans authentification multifacteur, des dossiers clients en clair sur un partage Windows accessible à tout le personnel temporaire, et une sauvegarde non testée depuis sept mois. Aucun de ces problèmes ne se voyait à l'œil nu. Aucun n'avait été détecté par leur prestataire IT historique. C'est le rôle d'un audit : voir ce que personne, en interne, n'a plus la distance pour voir.

01 — TerrainLe contexte vaudois en 2026.

Vaud est l'un des cantons les plus denses de Suisse en PME : fiduciaires, cabinets d'avocats, cabinets médicaux, sociétés de gestion de patrimoine, EPFL spin-offs, industries de précision dans l'arc lémanique. Cette diversité crée une exposition particulière : les données traitées sont sensibles (financières, médicales, propriété intellectuelle), mais les structures sont trop petites pour avoir un RSSI à temps plein.

En 2024, la Police cantonale vaudoise et le NCSC ont enregistré une augmentation continue des signalements de PME victimes. La fréquence n'est plus l'exception : c'est l'arrière-plan permanent d'une activité économique normale. Un audit n'est donc plus une démarche optionnelle réservée aux grandes structures — c'est, pour 2026, l'équivalent du contrôle annuel des extincteurs.

30'000+ PME dans le canton de Vaud Statistique Vaud
7 / 10 présentent au moins une faille critique non détectée Diagnostics terrain Leman
CHF 50'000 coût direct moyen d'un incident pour une PME romande OFCS 2024

02 — DistinctionAudit ou pentest ? Ne pas confondre.

On me pose la question chaque semaine. Voici la version sans détour : l'audit constate ce qui devrait être en place. Le pentest démontre ce qu'un attaquant peut exploiter. Les deux sont utiles, mais ils ne répondent pas à la même question, et ils ne se commandent pas dans le même ordre.

Audit de sécurité Test d'intrusion (pentest)
Question posée Sommes-nous correctement organisés ? Sommes-nous réellement attaquables ?
Méthode Revue de configurations, entretiens, documentation, scans techniques Simulation d'attaque réelle avec exploitation contrôlée
Durée 3 à 8 jours selon périmètre 5 à 15 jours selon profondeur
Coût indicatif (PME) CHF 1'500 – 8'000 CHF 4'000 – 25'000+
Quand le commander En premier — toujours. Après remédiation, pour valider.

Si vous n'avez jamais fait ni audit ni pentest, commencez par l'audit. Un pentest sur une infrastructure non auditée trouvera tellement de failles que le rapport sera inutilisable : vous saurez que tout est cassé sans savoir par où commencer. L'audit donne la carte ; le pentest valide qu'on a bien fermé les portes après les avoir réparées.

03 — PérimètreLe périmètre type d'un audit PME vaudoise.

Un audit cybersécurité PME couvre généralement cinq domaines, dosés selon votre activité. C'est ce que nous appelons en interne le « tour complet du cabinet » — l'équivalent du bilan annuel chez un médecin : tout est passé en revue, pas seulement le symptôme déclaré.

  1. Gouvernance et politique — Politique de sécurité écrite, rôles et responsabilités, gestion des incidents, plan de continuité.
  2. Identités et accès — Comptes administrateurs, MFA, mots de passe, gestion des départs, partages réseau.
  3. Postes de travail et serveurs — Patching, antivirus/EDR, chiffrement des disques, sauvegardes, journalisation.
  4. Cloud et messagerie — Configuration Microsoft 365 ou Google Workspace, DMARC/SPF, partages externes, applications tierces autorisées.
  5. Conformité réglementaire — nLPD, secret professionnel sectoriel, durée de conservation, transferts hors Suisse.
i
Sectoriel : ce qui change selon votre activité

Une fiduciaire doit prouver la confidentialité comptable (LBA, secret bancaire des clients). Un cabinet médical est soumis au secret médical (art. 321 CP) et à des durées de conservation spécifiques. Une étude d'avocats a le secret professionnel renforcé. Un bon audit en tient compte dès le cadrage.

04 — DroitVos obligations légales suisses.

Le cadre suisse n'impose pas explicitement un audit annuel, contrairement à certains référentiels européens (DORA, NIS2). Mais il impose des obligations de résultat qui rendent l'audit pratiquement nécessaire :

  • Art. 716a CO — Le conseil d'administration assume la responsabilité de la gestion des risques. En cas d'incident grave non préparé, sa responsabilité civile peut être engagée.
  • nLPD, art. 8 — Obligation de garantir la sécurité des données personnelles par des mesures techniques et organisationnelles. L'absence de mesures démontrables est un manquement caractérisé.
  • nLPD, art. 24 — Notification des violations de sécurité au PFPDT « dans les meilleurs délais ». Sans audit préalable, vous ne pouvez ni détecter, ni notifier proprement.
  • Secrets sectoriels — Médical (art. 321 CP), avocats (art. 13 LLCA), bancaire (LBA) — chacun ajoute des exigences techniques implicites.

Concrètement : un audit documenté est aujourd'hui votre meilleure pièce de défense en cas d'incident. Il démontre que vous avez fait preuve de diligence — même si l'attaque a réussi.

05 — MéthodeLe déroulé d'un audit, étape par étape.

  1. Phase 01 · J-7

    Cadrage et collecte

    Atelier d'une heure avec la direction et l'IT. Identification des actifs critiques, des données sensibles, des risques métier prioritaires. Liste des documents à fournir (politiques, schémas, contrats prestataires).

  2. Phase 02 · J+1 à J+3

    Revue technique

    Analyse des configurations sur site ou en remote : Active Directory, Microsoft 365, postes échantillon, pare-feu, sauvegardes. Scan d'inventaire et de vulnérabilités. Aucune action perturbante en horaires ouvrés.

  3. Phase 03 · J+4

    Entretiens organisationnels

    30 minutes avec la direction, 30 minutes avec l'IT (interne ou externe), 30 minutes avec un employé « moyen » pour observer les pratiques réelles. C'est ici que les écarts entre la politique théorique et la réalité apparaissent.

  4. Phase 04 · J+5 à J+6

    Analyse et rédaction

    Croisement des constats techniques et organisationnels. Cotation des risques par impact business — pas par CVSS technique. Rédaction du rapport en français clair, lisible par un dirigeant.

  5. Phase 05 · J+7

    Restitution et plan d'action

    Présentation orale d'1h30 à votre direction. Remise du rapport et d'un plan de remédiation à 30/60/90 jours, chiffré en heures de travail et en CHF, priorisé par ROI sécurité.

Le livrable n'est pas le rapport. Le livrable, c'est la première décision que la direction prend le lendemain matin. Méthodologie Leman · Audit PME

06 — BudgetCombien coûte un audit à Lausanne ?

Le marché vaudois est traversé par une grande hétérogénéité tarifaire. Voici les fourchettes réalistes observées en 2026 pour des PME de 10 à 80 employés :

  • Audit express « flash » — 2 à 3 jours, ciblé Microsoft 365 + postes — CHF 1'500–2'800
  • Audit PME standard — 5 jours, périmètre complet — CHF 3'500–5'500
  • Audit approfondi — 7 à 10 jours, intègre application métier ou cloud complexe — CHF 6'000–9'000
  • Audit nLPD intégré — Audit technique + mise en conformité documentaire — CHF 5'000–8'000

Au-delà de CHF 15'000 pour un périmètre PME, vous payez probablement la marque d'un grand cabinet plus que la mission elle-même. En-dessous de CHF 1'500, vous obtiendrez un scan automatisé livré avec un PDF préformaté : utile pour cocher une case, inutile pour décider quoi faire.

07 — PiègesCinq erreurs fréquentes à éviter.

!
01 — Confier l'audit à son prestataire IT historique

Conflit d'intérêt structurel. Il auditera son propre travail et ne soulignera pas ses propres lacunes — pas par malhonnêteté, mais par angle mort cognitif. L'audit doit être commandé à un acteur sans aucun lien commercial avec votre infrastructure.

!
02 — Limiter le périmètre au « technique »

80 % des incidents passent par l'humain — phishing, identifiant volé, mauvaise pratique. Un audit purement technique manque la moitié du sujet.

!
03 — Vouloir un rapport « épais »

Plus un rapport est long, moins il sera lu. Exigez une synthèse direction de 2 pages en première partie, puis l'annexe technique pour l'IT. Sinon, vous payez pour du papier.

!
04 — Ne pas budgétiser la remédiation

Un audit qui identifie 30 failles sans plan d'action chiffré est un audit à moitié fait. Le rapport doit inclure une estimation en CHF et en heures pour chaque correction, ainsi qu'une priorisation business.

!
05 — Faire un audit tous les cinq ans

Le paysage des menaces évolue chaque trimestre. Une cadence raisonnable pour une PME : un audit complet tous les 18 à 24 mois, avec une revue intermédiaire annuelle plus légère.

À retenir

Six points pour réussir votre audit

  1. 01L'audit photographie votre organisation. Le pentest démontre ce qui est exploitable. L'audit vient toujours en premier.
  2. 02Un audit PME vaudoise couvre cinq domaines : gouvernance, identités, postes/serveurs, cloud, conformité.
  3. 03Coût attendu pour une PME de 10–80 employés à Lausanne : CHF 3'500–9'000 selon profondeur.
  4. 04L'audit doit être commandé à un acteur indépendant de votre prestataire IT actuel. Pas de juge et partie.
  5. 05Exigez un plan de remédiation chiffré en CHF et en heures, priorisé par impact business — pas par CVSS technique.
  6. 06Cadence raisonnable : un audit complet tous les 18 à 24 mois, avec une revue intermédiaire annuelle.
Cabinet à Lausanne

Un audit commence par 30 minutes au téléphone.

Décrivez-nous votre activité, vos données critiques, votre infrastructure. Nous vous proposons un périmètre adapté, un devis ferme en CHF sous 48 h, et une mission menée par l'expert qui mène la restitution — pas par un junior.

Réserver un échange offert Évaluer ma maturité en 5 min
Gabriel Rossi
Gabriel Rossi Fondateur · Leman Cyber Security

Audits PME conduits dans le canton de Vaud (Lausanne, Morges, Nyon, Yverdon), Genève et Fribourg. Brevet fédéral cybersécurité, cinq ans en SOC Tier 2/3.

Sources et références

  1. OFCS — Office fédéral de la cybersécurité, rapport 2024
  2. nLPD — Loi fédérale sur la protection des données, art. 8 et 24
  3. Code des obligations, art. 716a (devoirs du conseil d'administration)
  4. Code pénal suisse, art. 321 (secret médical)
  5. Loi sur les avocats (LLCA), art. 13 (secret professionnel)
  6. Statistique Vaud — Démographie des entreprises 2024
À lire ensuite

Trois dossiers pour aller plus loin.

Dossier 01 · Pentest

Pentest pour PME en Suisse

Boîte noire, grise ou blanche ? Cadre légal, coût, déroulé, choix d'un cabinet.

Lire Dossier 03 · Conformité

Conformité nLPD pour PME vaudoises

Sanctions personnelles contre les dirigeants, obligations concrètes, plan en 10 étapes.

Lire Dossier 04 · Incident

Ransomware : que faire en urgence

Les 60 premières minutes, signalement NCSC, payer ou non, redémarrage.

Lire