Conseil Mis à jour le 13 mars 2026 11 min de lecture

Audit informatique PME : la checklist en 10 points

Réseau, sauvegardes, sécurité, licences : les 10 points à vérifier pour évaluer l'état de votre infrastructure IT. Checklist gratuite par ECLAUD IT.

audit IT PME infogérance cybersécurité
Feuille quadrillée avec stylo et câble ethernet sur bureau sombre — checklist audit informatique PME

Pourquoi auditer son informatique ?

Un audit IT, c’est 2 à 4 heures sur site pour documenter l’existant, identifier les failles et définir les priorités. Pas un rapport de 200 pages — un état des lieux clair avec 5 à 10 actions concrètes.

Chez ECLAUD IT, on réalise cet audit gratuitement pour les PME en Île-de-France et à La Réunion, dans le cadre de nos services informatiques. Voici les 10 points qu’on vérifie systématiquement.

Selon l’ANSSI, 60 % des cyberattaques exploitent des vulnérabilités connues depuis plus de 2 ans — des failles que l’audit permet de détecter avant qu’elles ne soient exploitées (cyber.gouv.fr, Guide d’hygiène informatique).

Infographie : checklist audit informatique PME en 10 points — inventaire, sauvegardes, sécurité, réseau, documentation

La checklist

1. Inventaire du parc informatique

Combien de postes, serveurs, imprimantes, switches, points d’accès Wi-Fi ? Quel âge ? Quel état ? Un poste de plus de 5 ans est un risque de panne et de faille de sécurité.

Pourquoi c’est critique. Sans inventaire à jour, vous gérez l’imprévu. Un serveur non référencé qui tombe en panne un vendredi soir, personne ne sait quel prestataire appeler ni quel matériel commander. On voit ça régulièrement chez des PME de 10 à 30 postes — l’informatique a grandi au fil des années, sans jamais être documentée. Le résultat : 3 à 4 heures d’arrêt complet, parfois plus.

Ce qu’on cherche concrètement : un tableur ou un outil de gestion (Snipe-IT, OCS Inventory) avec la date d’achat, le numéro de série et la version d’OS de chaque équipement. Si vous ne l’avez pas, c’est le premier livrable de l’audit.

2. Politique de sauvegardes

Quoi est sauvegardé ? Où ? À quelle fréquence ? Et surtout : quand a eu lieu le dernier test de restauration ? La règle 3-2-1 est le minimum.

Pourquoi c’est critique. Une sauvegarde non testée n’est pas une sauvegarde — c’est une illusion. On a accompagné des PME dont le NAS de sauvegarde était tombé en panne 6 mois plus tôt sans que personne ne s’en soit aperçu. Lors d’un incident ransomware, il ne restait rien. La règle 3-2-1 (3 copies, 2 supports différents, 1 hors site) est le standard minimal ; la règle 3-2-1-1-0 y ajoute une copie immuable et zéro erreur de restauration.

Ce qu’on teste : on demande à restaurer un fichier ou un répertoire test depuis la sauvegarde. Si ça prend plus de 20 minutes ou échoue, le point est rouge.

3. Mises à jour et correctifs

Windows, Office, firmware réseau, antivirus : tout doit être à jour. Un poste non patché pendant 3 mois est une cible facile.

Pourquoi c’est critique. Le ransomware WannaCry (2017) a infecté 200 000 machines dans 150 pays en exploitant une faille Windows corrigée deux mois avant l’attaque. La majorité des victimes n’avaient simplement pas appliqué le patch. Ce type de scénario reste d’actualité : en 2024, l’ANSSI a recensé 4 386 cyberattaques traitées, dont une part significative liée à des systèmes non mis à jour.

Ce qu’on cherche : un historique de déploiement des mises à jour via WSUS, Intune ou une solution de patch management. L’absence de cet historique est en elle-même un signal d’alerte.

Écran de monitoring cybersécurité avec alertes et tableau de bord — audit protection des données PME

4. Sécurité réseau

Pare-feu en place ? Dernière mise à jour firmware ? Règles de filtrage documentées ? VPN configuré pour les accès distants ? Le pare-feu est la première ligne de défense.

Pourquoi c’est critique. Un pare-feu non mis à jour pendant 18 mois peut exposer des vulnérabilités connues et publiées — les attaquants les cherchent activement via des outils d’analyse automatisée. On a vu des PME réunionnaises dont le pare-feu était la box ADSL de l’opérateur, sans aucune règle de filtrage. Tout le réseau interne était exposé.

Ce qu’on vérifie : la version du firmware, les règles de filtrage entrantes/sortantes, les accès VPN, la segmentation réseau (Wi-Fi guest séparé du réseau de travail), et la présence d’un log d’audit des connexions.

5. Gestion des accès et mots de passe

Politique de mots de passe en place ? MFA activé ? Comptes d’anciens employés désactivés ? Les accès non révoqués sont la première cause de compromission interne.

Pourquoi c’est critique. L’étude Verizon Data Breach Investigations Report 2024 indique que 68 % des brèches impliquent un facteur humain — dont une grande part via des identifiants compromis ou des accès non révoqués. Un ancien employé dont le compte Microsoft 365 n’a pas été désactivé peut accéder aux mails, aux fichiers SharePoint et aux contacts clients pendant des mois.

Ce qu’on audite : la liste des comptes actifs vs la liste du personnel en poste. Chaque compte orphelin est une vulnérabilité. On vérifie aussi si le MFA est activé — pas seulement “prévu”.

6. Antivirus et EDR

Solution de sécurité à jour sur chaque poste ? Alertes remontées et traitées ? Un antivirus sans supervision centralisée ne sert à rien.

Pourquoi c’est critique. Un antivirus installé mais dont les alertes arrivent dans une boîte mail jamais consultée, c’est comme une alarme incendie branchée dans un placard fermé. La supervision centralisée — via une console EDR ou un SIEM — permet de voir qu’un poste a bloqué 15 tentatives d’accès suspectes la nuit dernière. Sans ça, l’information est perdue.

Ce qu’on recommande : Microsoft Defender for Endpoint (inclus dans Business Premium) ou CrowdStrike Falcon pour les PME exigeant un niveau de protection élevé. L’antivirus seul ne suffit plus — l’EDR analyse les comportements, pas seulement les signatures.

7. Licences logicielles

Toutes les licences sont-elles valides ? Office perpétuel vs Microsoft 365 ? Logiciels métier à jour ? Une licence expirée = pas de mises à jour de sécurité.

Pourquoi c’est critique. Office 2016 et 2019 ne reçoivent plus de mises à jour de sécurité depuis octobre 2025. Une PME qui tourne encore sur ces versions est exposée à des vulnérabilités connues, sans correctif disponible. Sans parler du risque de conformité : utiliser un logiciel sans licence valide expose l’entreprise à des sanctions légales — la BSA (Business Software Alliance) procède à des audits réguliers en France.

Ce qu’on cartographie : licences actives, dates d’expiration, versions installées vs versions supportées. On identifie aussi les logiciels métier non maintenus — un risque souvent sous-estimé.

Baie de brassage réseau avec câbles ethernet et switches managés — audit infrastructure réseau PME

8. Réseau et connectivité

Débit internet suffisant ? Wi-Fi professionnel ou box grand public ? Switches managés ou non ? La qualité du réseau conditionne la productivité de toute l’équipe.

Pourquoi c’est critique. Une PME de 15 personnes en visio Teams, avec transferts de fichiers simultanés, a besoin d’une connexion symétrique d’au moins 100 Mbps — et non d’une offre résidentielle à 20 Mbps partagée. Le Wi-Fi grand public (box opérateur) ne supporte pas la charge, ne gère pas la QoS et ne segmente pas les réseaux. Résultat : les visios rament, les sauvegardes cloud échouent, et tout le monde perd du temps.

Ce qu’on mesure : débit réel (pas le débit contractuel), latence, taux de perte de paquets, qualité du signal Wi-Fi sur les zones de travail, et présence d’équipements managés (switches, AP Ubiquiti ou Cisco Meraki).

9. Plan de continuité

Que se passe-t-il si le serveur principal tombe ? Si le bâtiment est inaccessible ? Si un ransomware chiffre tout le réseau ? Un plan de continuité, même simple, est indispensable.

Pourquoi c’est critique. Les inondations de janvier 2025 à La Réunion ont rendu plusieurs locaux professionnels inaccessibles pendant 3 à 5 jours. Les PME sans plan de continuité ont dû improviser — certaines ont perdu des commandes, d’autres ont été dans l’impossibilité de facturer leurs clients. Un plan de continuité ne doit pas être un document de 50 pages : une procédure d’une page par scénario critique suffit pour commencer.

Ce qu’on établit : RTO (durée maximale d’interruption acceptable) et RPO (perte de données maximale tolérable) pour les systèmes critiques. Ces deux chiffres guident tout le reste — fréquence de sauvegarde, investissement en redondance, mode dégradé acceptable.

10. Documentation

L’infrastructure est-elle documentée ? Schéma réseau, mots de passe admin, procédures de restauration ? Si la personne qui « sait tout » est absente, l’entreprise est bloquée.

Pourquoi c’est critique. Le “bus factor” — le risque qu’une information critique soit dans la tête d’une seule personne — est l’une des vulnérabilités les plus répandues dans les PME. Un technicien IT interne qui change de poste, tombe malade ou part en vacances sans avoir documenté les accès admin peut paralyser une entreprise. On a vu des cas où les mots de passe admin étaient écrits sur un Post-it sous le clavier. La documentation, c’est la mémoire de votre infrastructure.

Le minimum : un schéma réseau à jour, un gestionnaire de mots de passe (Bitwarden, KeePass), et des procédures de restauration testées.

Quand faut-il faire un audit IT ?

Certaines situations rendent un audit particulièrement urgent — au-delà de la bonne pratique annuelle.

Après un incident de sécurité. Un ransomware, un phishing réussi, une boîte mail compromise : même si l’incident semble maîtrisé, un audit permet de comprendre comment l’attaquant est entré et de colmater les brèches. Sans ça, la récidive est probable.

Avant une croissance ou une réorganisation. Vous recrutez 5 personnes ? Vous ouvrez un second site ? Vous externalisez une partie de votre SI ? C’est le moment d’avoir une base documentée et saine, pas de gérer la croissance sur une infrastructure fragile.

Lors d’un changement de prestataire informatique. Reprendre le parc d’un client sans audit préalable, c’est signer en aveugle. Pour vous, changer de prestataire sans audit de passation, c’est laisser partir les informations critiques avec l’ancien.

Tous les 12 à 18 mois. Même sans incident, les infrastructures évoluent — nouveaux postes, nouveaux logiciels, nouvelles pratiques de travail. Un audit annuel permet de maintenir un niveau de maîtrise sur ce qui existe réellement. Entre deux audits, un contrat de maintenance informatique ou un contrat d’infogérance assure une surveillance continue.

Que contient le rapport d’audit informatique ?

À l’issue de l’audit, vous repartez avec :

  • Un inventaire à jour de votre parc
  • Une cartographie des risques prioritaires
  • 5 à 10 actions concrètes, chiffrées, avec un calendrier

Intéressé ? Demandez votre audit gratuit — 2h sur site, sans engagement. Des PME en Île-de-France et à La Réunion nous font déjà confiance pour sécuriser leur infrastructure, comme en témoignent nos références clients.

Voir aussi : Pourquoi externaliser la maintenance informatique, les 5 signes qu’il est temps de passer à l’infogérance, notre guide sauvegarde PME, le guide télétravail sécurisé et notre guide de migration Microsoft 365.

Questions fréquentes

Combien de temps dure un audit informatique ?

Un audit IT complet prend 2 à 4 heures sur site pour une PME de 5 à 30 postes. On y consacre une heure à l’inventaire et aux tests techniques, une heure aux entretiens avec les utilisateurs clés (dirigeant, responsable administratif, référent IT si présent), et le reste à la synthèse. Le rapport est remis sous 48 à 72 heures.

Un audit informatique est-il gratuit ?

Chez ECLAUD IT, l’audit initial est gratuit pour les PME en Île-de-France et à La Réunion. Il n’y a pas d’engagement à la suite — vous recevez le rapport et décidez librement de la suite à donner. Certains prestataires facturent 500 à 1 500 € pour une prestation équivalente, ce qui reste justifié si elle inclut un rapport détaillé avec plan de remédiation chiffré.

À quelle fréquence faut-il auditer son infrastructure IT ?

La recommandation standard est un audit complet tous les 12 à 18 mois. Mais certains événements déclencheurs justifient un audit immédiat : un incident de sécurité, un changement de prestataire, une croissance rapide, ou l’intégration d’un nouveau site. Entre les audits, un suivi mensuel via votre contrat d’infogérance maintient la visibilité sur l’état du parc.

Que se passe-t-il après l’audit ?

Vous recevez un rapport structuré avec les points verts (conformes), orange (à surveiller) et rouges (à traiter en priorité). Chaque point rouge est accompagné d’une recommandation concrète et d’un chiffrage indicatif. À vous de décider quoi prioriser. Si vous souhaitez qu’on prenne en charge la remédiation, on établit un devis. Sinon, le rapport reste le vôtre — vous pouvez le remettre à un autre prestataire.

L’audit concerne-t-il aussi la cybersécurité ?

Oui, la sécurité est au cœur de l’audit : gestion des accès, mises à jour, antivirus, pare-feu, sauvegardes. On s’appuie sur le Guide d’hygiène informatique de l’ANSSI, qui définit 42 règles fondamentales pour les organisations. L’audit couvre les points les plus critiques pour une PME, sans la complexité d’un audit de conformité ISO 27001.

ECLAUD IT
DSI externalisée · La Réunion & Île-de-France
À lire aussi

Articles similaires

Serveur numérique avec flux de données — dématérialisation et stockage cloud pour PME
Conseil

Dématérialisation PME : avantages, inconvénients et plan d'action

Tout ce qu'une PME doit savoir sur la dématérialisation : obligations légales 2026-2027, avantages chiffrés, inconvénients réels et plan de migration en 5 étapes.

Lire l'article →
Équipe PME autour d'une table avec ordinateur portable — réunion de pilotage projet informatique
Conseil

Gestion de projet informatique PME : la méthode qui fonctionne vraiment

Migrer vers M365, déployer un réseau, changer d'ERP : comment piloter un projet IT en PME sans débordement de budget ni blocage utilisateurs.

Lire l'article →
Dirigeant PME analysant son budget informatique sur un tableau de bord — optimisation coûts IT 2026
Conseil

Optimiser les coûts informatiques d'une PME : méthodes et chiffres réels

Réduire le budget IT sans perdre en performance : audit licences, cloud vs local, infogérance. Exemples chiffrés pour PME 15 et 50 postes à La Réunion.

Lire l'article →

Besoin d'accompagnement ?

Un premier échange sans engagement pour évaluer votre infrastructure et répondre à vos questions.

Nous contacter Retour au blog