Compte administrateur exposé
Un accès RDP, une console d'administration M365 ou un panel WordPress accessible depuis Internet sans MFA. Première porte d'entrée dans 4 attaques sur 10.
Coût type · CHF 25 – 80'000Cartographier l'ensemble de vos failles avant qu'un attaquant ne le fasse. En 5 à 10 jours, vous repartez avec un état des lieux complet — réseau, postes, cloud, Microsoft 365 — et un plan de remédiation chiffré, classé par priorité business.
La majorité des PME romandes découvrent leur posture de sécurité réelle au moment d'un incident — c'est-à-dire trop tard. Voici les quatre scénarios qu'un audit prévient concrètement.
Un accès RDP, une console d'administration M365 ou un panel WordPress accessible depuis Internet sans MFA. Première porte d'entrée dans 4 attaques sur 10.
Coût type · CHF 25 – 80'000« Nous avons des sauvegardes. » — phrase entendue 30 fois. Quand on demande la dernière restauration test : silence. En cas de ransomware, c'est la différence entre 48 h et 3 semaines d'arrêt.
Coût type · CHF 40'000 par semaine d'arrêtStagiaire parti il y a 18 mois, prestataire externe d'un projet terminé, ancien collaborateur. Comptes encore actifs, mots de passe inchangés, accès aux fichiers clients.
Coût type · fuite de données + sanctions nLPDUne machine Windows 10 non patchée, une imprimante 2018, un logiciel métier sur un serveur en fin de vie. Suffisant pour qu'un attaquant établisse une persistance invisible.
Coût type · compromission silencieuse 3-9 moisNotre méthode s'aligne sur les référentiels reconnus — ISO 27001, NIST CSF, CIS Controls v8, OWASP — adaptés au format PME. Aucun audit ne ressemble à un autre, mais le squelette est toujours le même.
Visio ou rencontre sur site avec la direction. Nous identifions vos actifs critiques, vos contraintes réglementaires (nLPD, secret professionnel, secret bancaire), votre tolérance opérationnelle. Signature de l'accord de confidentialité.
Inventaire des serveurs, postes de travail, équipements réseau, services cloud, applications métier, comptes administrateurs. Nous identifions ce qui est réellement exposé — pas seulement ce qui figure dans la dernière documentation IT.
Audit de configuration des pare-feu, des contrôleurs de domaine Active Directory, des règles de filtrage, des politiques de mots de passe, des partages réseau. Aucune action intrusive — uniquement de l'observation et de la lecture de configuration.
Politiques MFA et conditional access, règles de partage de fichiers externes, journalisation, applications consenties, identités fédérées, accès des sous-traitants. Le périmètre le plus négligé chez 9 PME sur 10.
Procédure d'arrivée / départ collaborateur, gestion des mots de passe, procédure d'incident, sensibilisation, plans de continuité, contrats avec sous-traitants critiques. Une PME peut avoir une infrastructure parfaite et tomber par une checklist RH manquante.
Synthèse exécutive d'une page, cartographie illustrée, constats classés par criticité (CVSS + impact business chiffré en CHF), plan de remédiation à 30 / 60 / 90 jours, effort estimé par action. Rédigé pour qu'un dirigeant non technique puisse décider sans interprète.
Présentation orale à votre direction, votre IT et vos parties prenantes. Discussion des priorités, ajustement du plan en fonction de vos contraintes budgétaires. 30 jours de suivi inclus pour accompagner les corrections.
Une page A4, sans jargon, avec les trois enseignements clés et le budget de remédiation. Conçue pour être présentée à un conseil d'administration ou à un comité de direction.
25 à 40 pages selon le périmètre. Chaque constat est documenté avec captures d'écran, références CVSS, recommandation précise et effort estimé en jours-homme.
Feuille de route sur trois mois avec actions priorisées, dépendances, jalons et indicateurs de succès. Format tableur prêt à intégrer dans votre suivi de projet existant.
Vue d'ensemble des données personnelles traitées par votre PME, des flux entre systèmes, des transferts vers l'étranger. Brique de départ d'un registre nLPD complet.
Présentation d'1 h 30 à 2 h avec votre direction, votre IT et vos sous-traitants critiques. Questions/réponses, ajustements du plan, alignement sur les priorités. Sur site ou en visio.
Un mois d'accompagnement par email et téléphone après la livraison. Nous restons disponibles pour clarifier, accompagner vos correctifs, et valider l'efficacité des actions déployées.
La transparence du périmètre, c'est notre première garantie contre les mauvaises surprises. Voici exactement ce que couvre la prestation Audit — et ce qui relève d'une autre mission.
L'équipe a trouvé en deux jours des failles que notre service IT n'avait pas vues en trois ans. Le rapport est clair, court, et nous a permis d'agir tout de suite.Directeur Général Fiduciaire · Lausanne · 28 employés
Tous nos audits incluent le rapport en français, le plan de remédiation 30/60/90 et 30 jours de suivi. La différence porte sur l'étendue du périmètre technique couvert.
Entre 5 et 10 jours ouvrables pour une PME de 10 à 80 personnes, selon la complexité du périmètre. La phase d'analyse technique prend 3 à 6 jours, la rédaction du rapport 2 à 3 jours, et la restitution orale une demi-journée. Pour une PME de plus de 100 personnes ou un environnement multi-sites, nous prévoyons 10 à 15 jours.
Non. L'audit est principalement passif : nous observons, nous interrogeons votre configuration, nous n'attaquons rien. Les opérations actives (scans, tests d'authentification) sont planifiées hors heures critiques et toujours annoncées à votre IT. Aucun de nos audits n'a jamais provoqué d'interruption de service.
L'audit cartographie l'ensemble de votre posture de sécurité — configuration, processus, sauvegardes, comptes, accès. Le pentest se concentre sur l'exploitation effective d'une faille pour en démontrer l'impact. Les deux sont complémentaires : on audite pour voir large, on pentest pour aller en profondeur. La plupart des PME commencent par un audit avant d'engager un pentest.
Oui. Nous incluons systématiquement votre tenant cloud — politiques MFA, partage de fichiers, règles de transport, journalisation, identités externes — c'est aujourd'hui le périmètre le plus exposé chez 9 PME sur 10. Notre revue s'aligne sur le référentiel CIS Microsoft 365 Benchmark.
Une synthèse exécutive d'une page pour la direction, une cartographie des actifs critiques, une liste de constats classés par criticité (CVSS + impact business chiffré en CHF), et un plan de remédiation à 30 / 60 / 90 jours avec effort estimé par action. Rédigé en français, sans jargon, conçu pour être lu par un dirigeant non technique.
Au contraire. Nous travaillons main dans la main avec votre prestataire IT existant. L'audit est externe et neutre — il valide ou challenge leur travail. La plupart des prestataires apprécient ce regard extérieur, car il les protège aussi en cas d'incident. Nous ne sommes pas concurrents — nous sommes complémentaires.
Absolument. NDA bilatéral signé avant toute mission, données chiffrées, aucun nom client publié sans accord écrit. Les exemples sur ce site sont volontairement génériques. Aucune partie de votre rapport n'est jamais réutilisée pour un autre client.
Vous pouvez rester avec votre prestataire IT habituel pour le déploiement des correctifs, ou souscrire à notre maintenance mensuelle (Security Care) pour un suivi continu. Aucune obligation, aucun renouvellement automatique. Beaucoup de clients reviennent pour un audit annuel — c'est la cadence que nous recommandons.
Un appel direct avec l'expert qui mènerait votre audit — pas un commercial. Nous analysons vos risques et vous repartez avec trois actions concrètes, que vous décidiez ou non de travailler avec nous.
« Le rapport est clair, court, et nous a permis d’agir tout de suite. »