Audit cybersécurité PME : méthodologie complète

Ce que vous saurez faire

A l’issue de ce tutoriel, vous serez en mesure de mener un audit de cybersecurite complet pour une PME sénégalaise, de la phase de cadrage initial jusqu’à la production du rapport final avec plan de remediation chiffre en FCFA. Vous saurez identifier les actifs critiques d’une entreprise, cartographier les risques selon une méthodologie reconnue (inspirée d’ISO 27005 et ANSSI EBIOS RM), évaluer les vulnerabilites techniques avec des outils gratuits comme Nmap, OpenVAS et Lynis, mesurer le niveau de maturite cyber de l’organisation, et restituer les conclusions a une direction non technique. Ce guide vise concrètement les PME de Dakar, Thies, Saint-Louis ou Ziguinchor qui disposent d’un parc de 5 a 50 postes, d’un serveur local ou d’une infrastructure cloud Wave/Orange Money/Sonatel, et qui doivent se conformer a la Loi sénégalaise 2008-12 sur la protection des données personnelles. Le livrable final sera un rapport d’audit professionnel facturable entre 800 000 FCFA et 2 500 000 FCFA selon la taille du périmètre.

Étape 1 : Cadrage de la mission et signature du NDA

Avant tout acces technique, organisez une réunion de cadrage avec le dirigeant de la PME. Definissez par ecrit le périmètre exact : nombre de postes, serveurs, sites web, applications métier (Sage, Odoo, ERP local), comptes cloud (Microsoft 365, Google Workspace). Faites signer un accord de confidentialite (NDA) bilingue français-anglais et une autorisation d’audit (lettre de mission) qui vous protege légalement contre toute accusation d’intrusion. Sans ce document signe, tester un système tiers est illegal selon l’article 431-15 du Code penal sénégalais. Annexez le calendrier (typiquement 5 a 10 jours ouvres) et le tarif (par exemple 1 200 000 FCFA HT pour 30 postes).

Étape 2 : Inventaire des actifs informationnels

Construisez un tableau Excel listant chaque actif : serveurs, postes, imprimantes réseau, switchs, routeurs, NAS, téléphones VoIP, smartphones professionnels, applications SaaS, bases de données clients. Pour chaque ligne, renseignez : nom, adresse IP, OS, proprietaire, criticite (1 a 5), données traitées (RH, comptable, clients). Cet inventaire est la fondation de tout l’audit. Utilisez la commande suivante depuis votre poste audit pour découvrir les hotes actifs :

nmap -sn 192.168.1.0/24 -oN inventaire_reseau.txt

Étape 3 : Cartographie des flux de données

Tracez sur un schema (draw.io ou Lucidchart gratuit) les flux d’informations sensibles : ou sont stockées les données clients ? Comment circulent les fiches de paie ? Qui accede aux relevés bancaires ? Identifiez les points d’entree externes (site web, VPN, messagerie) et les sorties (cle USB autorisee, email vers comptable externe). Ce diagramme servira a la conformité RGPD et Loi 2008-12. Documentez chaque flux avec source, destination, protocole (HTTPS, SMB, FTP), chiffrement actif ou non.

Étape 4 : Scan de vulnerabilites externes

Depuis une connexion internet hors entreprise, lancez un scan des services exposes publiquement. Utilisez Nmap pour découvrir les ports ouverts du domaine de l’entreprise :

nmap -sV -sC -p 1-65535 -T4 audit.entreprise.sn -oA scan_externe

Vérifiez ensuite les certificats SSL avec testssl.sh et la présence de l’entreprise dans les fuites de données connues via haveibeenpwned.com. Documentez chaque service expose : version, CVE associes, criticite CVSS.

Étape 5 : Audit interne du réseau

Branchez votre poste d’audit sur le réseau interne (avec autorisation ecrite). Lancez un scan complet :

nmap -sS -sV -O --script vuln 192.168.1.0/24 -oA scan_interne

Repertoriez les machines avec OS obsolete (Windows 7, Windows Server 2008), les services SMBv1 actifs, les partages réseau accessibles sans authentification. Sur les serveurs Linux, executez Lynis : sudo lynis audit system --quiet. Sur les Windows, lancez Microsoft Baseline Security Analyzer ou la commande Get-WindowsUpdate en PowerShell.

Étape 6 : Évaluation des sauvegardes

Vérifiez physiquement la stratégie de backup. Posez ces questions au responsable IT : ou sont stockées les sauvegardes ? Sont-elles testées ? Quelle est la frequence ? Existe-t-il une copie hors site (cloud, disque externe sorti des locaux) ? Demandez une démonstration de restauration d’un fichier vieux de 30 jours. Si la restauration echoue ou prend plus de 4 heures, c’est un risque critique. Notez le RPO (Recovery Point Objective) et le RTO (Recovery Time Objective) réels.

Étape 7 : Audit des comptes utilisateurs et privileges

Sur Active Directory ou Azure AD, exportez la liste des comptes :

Get-ADUser -Filter * -Properties LastLogonDate, PasswordLastSet, Enabled |
  Select Name, SamAccountName, Enabled, LastLogonDate, PasswordLastSet |
  Export-Csv comptes_AD.csv -NoTypeInformation

Identifiez les comptes inactifs depuis 90 jours, les comptes administrateurs surnumeraires, les mots de passe non changes depuis plus d’un an, les comptes génériques (admin, test, demo). Vérifiez l’application du principe du moindre privilege.

Étape 8 : Test de robustesse des mots de passe

Avec autorisation explicite, exportez les hashs NTDS.dit (Active Directory) ou /etc/shadow (Linux) et lancez un audit hors-ligne avec Hashcat ou John the Ripper :

hashcat -m 1000 -a 0 hashs_ntds.txt rockyou.txt --rules-file=best64.rule

L’objectif n’est pas de voler les mots de passe mais de mesurer le pourcentage de mots de passe faibles. Au-delà de 30 % de mots de passe casses en moins de 24h, recommandez une politique stricte (12 caractères minimum, MFA obligatoire).

Étape 9 : Inspection des configurations sensibles

Pour chaque équipement critique, contrôlez les configurations : routeur (mot de passe par défaut change ?), switchs (VLAN segmente ?), pare-feu (règles deny-all par défaut ?), Wi-Fi (WPA3 ou au minimum WPA2-AES, pas de WPS actif). Sur le pare-feu, exportez les règles et identifiez celles autorisant any-any, les ports administrateurs exposes (22, 3389, 8080) sans restriction d’IP source. Vérifiez les logs : sont-ils centralisés ? Conserves combien de temps ?

Étape 10 : Évaluation de la sensibilisation des utilisateurs

Realisez un test de phishing contrôle avec l’outil GoPhish (gratuit, open source). Envoyez 3 scénarios a 20 % du personnel : faux email RH, fausse facture Senelec, fausse alerte Wave. Mesurez le taux de clic et de saisie d’identifiants. Au-delà de 25 % de clics, recommandez une formation de sensibilisation. Documentez aussi la présence ou absence de charte informatique signée par les employes.

Étape 11 : Conformité Loi 2008-12 et RGPD

Vérifiez la designation d’un Delegue a la Protection des Données (DPD/DPO) si l’entreprise traite des données sensibles. Contrôlez la declaration faite a la CDP (Commission de Protection des Données Personnelles) du Sénégal. Examinez les mentions légales du site web, la politique de confidentialite, les bandeaux de cookies, le registre des traitements. L’amende pour non-conformité peut atteindre 100 millions FCFA selon l’article 431 de la Loi 2008-12.

Étape 12 : Cotation des risques

Pour chaque vulnerabilite identifiée, attribuez un score selon la matrice probabilite x impact (échelle 1 a 5). Exemple : un serveur Windows 2008 expose en RDP a une probabilite 5 et un impact 5, soit un risque critique de 25/25. Triez les risques par ordre decroissant et regroupez-les en 4 catégories : critiques (action sous 7 jours), eleves (sous 30 jours), moyens (sous 90 jours), faibles (a planifier).

Étape 13 : Rédaction du rapport exécutif

Produisez un document de 25 a 40 pages en Word avec : page de garde, sommaire, synthèse exécutive (1 page lisible par le DG), périmètre audite, méthodologie, résultats par domaine (réseau, postes, serveurs, humains, conformité), top 10 des risques, plan d’action chiffre en FCFA et en jours/homme, annexes techniques. Ajoutez systématiquement des copies d’écran anonymisees comme preuves.

Étape 14 : Restitution et plan de remediation

Organisez une réunion de restitution avec la direction. Presentez un PowerPoint synthétique de 15 slides maximum. Proposez un accompagnement post-audit (forfait 500 000 FCFA/mois) pour piloter la remediation. Planifiez un audit de suivi a 6 mois pour mesurer la progression du score de maturite. Conservez tous les livrables sur un espace chiffre pendant la durée contractuelle puis purgez les données sensibles selon le NDA.

Erreurs frequentes a éviter

• Auditer sans autorisation ecrite : même avec l’accord verbal du dirigeant, sans lettre de mission signée, vous risquez 1 a 5 ans de prison selon le Code penal sénégalais.
• Surcharger le rapport de jargon : un DG de PME ne comprend pas CVE-2023-XXXX. Traduisez chaque risque en conséquence métier (perte client, amende, arrêt de production).
• Oublier le facteur humain : 80 % des incidents commencent par un email de phishing. Un audit purement technique passe a cote du risque principal.
• Tester en heures de production : certains scans intrusifs peuvent saturer un switch ou planter un serveur fragile. Planifiez les tests intrusifs en soirée ou week-end.
• Utiliser des outils sans maitrise : Nessus mal configuré peut bloquer un serveur SCADA. Lisez la documentation avant de lancer des modules destructifs.
• Negliger la conservation des preuves : sans logs de scan dates et signes, vos conclusions ne sont pas defendables en cas de contestation.
• Promettre une sécurité a 100 % : aucun audit ne garantit l’absence totale de risque. Communiquez en termes de réduction de risque mesurable.
• Sous-tarifer la prestation : facturer 200 000 FCFA un audit de 30 postes devalorise le métier et empêche un travail sérieux. Le marche sénégalais valorise un audit complet a partir de 800 000 FCFA HT.

Checklist de fin de mission

• Lettre de mission et NDA signes par les deux parties
• Inventaire complet des actifs documente et valide par le client
• Schema des flux de données produit et annote
• Scans externes et internes réalisés et archives
• Audit des comptes Active Directory ou equivalent termine
• Test de robustesse des mots de passe effectue avec accord ecrit
• Configurations pare-feu, Wi-Fi, switchs auditees
• Test de phishing contrôle realise avec mesure du taux de clic
• Vérification de la conformité Loi 2008-12 et declaration CDP
• Matrice de cotation des risques complétée
• Rapport exécutif redige avec synthèse DG et annexes techniques
• Réunion de restitution planifiée et tenue
• Plan de remediation chiffre en FCFA et délais valides
• Données sensibles purgees ou archivees selon le NDA
• Facture émise et proposition de suivi a 6 mois envoyée