ITSkillsCenter
Blog

Audit de cybersécurité pas à pas pour une PME sénégalaise

8 min de lecture

Ce que vous saurez faire

A l’issue de ce tutoriel, vous serez en mesure de mener un audit de cybersecurite complet pour une PME senegalaise, de la phase de cadrage initial jusqu’a la production du rapport final avec plan de remediation chiffre en FCFA. Vous saurez identifier les actifs critiques d’une entreprise, cartographier les risques selon une methodologie reconnue (inspiree d’ISO 27005 et ANSSI EBIOS RM), evaluer les vulnerabilites techniques avec des outils gratuits comme Nmap, OpenVAS et Lynis, mesurer le niveau de maturite cyber de l’organisation, et restituer les conclusions a une direction non technique. Ce guide vise concretement les PME de Dakar, Thies, Saint-Louis ou Ziguinchor qui disposent d’un parc de 5 a 50 postes, d’un serveur local ou d’une infrastructure cloud Wave/Orange Money/Sonatel, et qui doivent se conformer a la Loi senegalaise 2008-12 sur la protection des donnees personnelles. Le livrable final sera un rapport d’audit professionnel facturable entre 800 000 FCFA et 2 500 000 FCFA selon la taille du perimetre.

Etape 1 : Cadrage de la mission et signature du NDA

Avant tout acces technique, organisez une reunion de cadrage avec le dirigeant de la PME. Definissez par ecrit le perimetre exact : nombre de postes, serveurs, sites web, applications metier (Sage, Odoo, ERP local), comptes cloud (Microsoft 365, Google Workspace). Faites signer un accord de confidentialite (NDA) bilingue francais-anglais et une autorisation d’audit (lettre de mission) qui vous protege legalement contre toute accusation d’intrusion. Sans ce document signe, tester un systeme tiers est illegal selon l’article 431-15 du Code penal senegalais. Annexez le calendrier (typiquement 5 a 10 jours ouvres) et le tarif (par exemple 1 200 000 FCFA HT pour 30 postes).

Etape 2 : Inventaire des actifs informationnels

Construisez un tableau Excel listant chaque actif : serveurs, postes, imprimantes reseau, switchs, routeurs, NAS, telephones VoIP, smartphones professionnels, applications SaaS, bases de donnees clients. Pour chaque ligne, renseignez : nom, adresse IP, OS, proprietaire, criticite (1 a 5), donnees traitees (RH, comptable, clients). Cet inventaire est la fondation de tout l’audit. Utilisez la commande suivante depuis votre poste audit pour decouvrir les hotes actifs :

nmap -sn 192.168.1.0/24 -oN inventaire_reseau.txt

Etape 3 : Cartographie des flux de donnees

Tracez sur un schema (draw.io ou Lucidchart gratuit) les flux d’informations sensibles : ou sont stockees les donnees clients ? Comment circulent les fiches de paie ? Qui accede aux releves bancaires ? Identifiez les points d’entree externes (site web, VPN, messagerie) et les sorties (cle USB autorisee, email vers comptable externe). Ce diagramme servira a la conformite RGPD et Loi 2008-12. Documentez chaque flux avec source, destination, protocole (HTTPS, SMB, FTP), chiffrement actif ou non.

Etape 4 : Scan de vulnerabilites externes

Depuis une connexion internet hors entreprise, lancez un scan des services exposes publiquement. Utilisez Nmap pour decouvrir les ports ouverts du domaine de l’entreprise :

nmap -sV -sC -p 1-65535 -T4 audit.entreprise.sn -oA scan_externe

Verifiez ensuite les certificats SSL avec testssl.sh et la presence de l’entreprise dans les fuites de donnees connues via haveibeenpwned.com. Documentez chaque service expose : version, CVE associes, criticite CVSS.

Etape 5 : Audit interne du reseau

Branchez votre poste d’audit sur le reseau interne (avec autorisation ecrite). Lancez un scan complet :

nmap -sS -sV -O --script vuln 192.168.1.0/24 -oA scan_interne

Repertoriez les machines avec OS obsolete (Windows 7, Windows Server 2008), les services SMBv1 actifs, les partages reseau accessibles sans authentification. Sur les serveurs Linux, executez Lynis : sudo lynis audit system --quiet. Sur les Windows, lancez Microsoft Baseline Security Analyzer ou la commande Get-WindowsUpdate en PowerShell.

Etape 6 : Evaluation des sauvegardes

Verifiez physiquement la strategie de backup. Posez ces questions au responsable IT : ou sont stockees les sauvegardes ? Sont-elles testees ? Quelle est la frequence ? Existe-t-il une copie hors site (cloud, disque externe sorti des locaux) ? Demandez une demonstration de restauration d’un fichier vieux de 30 jours. Si la restauration echoue ou prend plus de 4 heures, c’est un risque critique. Notez le RPO (Recovery Point Objective) et le RTO (Recovery Time Objective) reels.

Etape 7 : Audit des comptes utilisateurs et privileges

Sur Active Directory ou Azure AD, exportez la liste des comptes :

Get-ADUser -Filter * -Properties LastLogonDate, PasswordLastSet, Enabled |
  Select Name, SamAccountName, Enabled, LastLogonDate, PasswordLastSet |
  Export-Csv comptes_AD.csv -NoTypeInformation

Identifiez les comptes inactifs depuis 90 jours, les comptes administrateurs surnumeraires, les mots de passe non changes depuis plus d’un an, les comptes generiques (admin, test, demo). Verifiez l’application du principe du moindre privilege.

Etape 8 : Test de robustesse des mots de passe

Avec autorisation explicite, exportez les hashs NTDS.dit (Active Directory) ou /etc/shadow (Linux) et lancez un audit hors-ligne avec Hashcat ou John the Ripper :

hashcat -m 1000 -a 0 hashs_ntds.txt rockyou.txt --rules-file=best64.rule

L’objectif n’est pas de voler les mots de passe mais de mesurer le pourcentage de mots de passe faibles. Au-dela de 30 % de mots de passe casses en moins de 24h, recommandez une politique stricte (12 caracteres minimum, MFA obligatoire).

Etape 9 : Inspection des configurations sensibles

Pour chaque equipement critique, controlez les configurations : routeur (mot de passe par defaut change ?), switchs (VLAN segmente ?), pare-feu (regles deny-all par defaut ?), Wi-Fi (WPA3 ou au minimum WPA2-AES, pas de WPS actif). Sur le pare-feu, exportez les regles et identifiez celles autorisant any-any, les ports administrateurs exposes (22, 3389, 8080) sans restriction d’IP source. Verifiez les logs : sont-ils centralises ? Conserves combien de temps ?

Etape 10 : Evaluation de la sensibilisation des utilisateurs

Realisez un test de phishing controle avec l’outil GoPhish (gratuit, open source). Envoyez 3 scenarios a 20 % du personnel : faux email RH, fausse facture Senelec, fausse alerte Wave. Mesurez le taux de clic et de saisie d’identifiants. Au-dela de 25 % de clics, recommandez une formation de sensibilisation. Documentez aussi la presence ou absence de charte informatique signee par les employes.

Etape 11 : Conformite Loi 2008-12 et RGPD

Verifiez la designation d’un Delegue a la Protection des Donnees (DPD/DPO) si l’entreprise traite des donnees sensibles. Controlez la declaration faite a la CDP (Commission de Protection des Donnees Personnelles) du Senegal. Examinez les mentions legales du site web, la politique de confidentialite, les bandeaux de cookies, le registre des traitements. L’amende pour non-conformite peut atteindre 100 millions FCFA selon l’article 431 de la Loi 2008-12.

Etape 12 : Cotation des risques

Pour chaque vulnerabilite identifiee, attribuez un score selon la matrice probabilite x impact (echelle 1 a 5). Exemple : un serveur Windows 2008 expose en RDP a une probabilite 5 et un impact 5, soit un risque critique de 25/25. Triez les risques par ordre decroissant et regroupez-les en 4 categories : critiques (action sous 7 jours), eleves (sous 30 jours), moyens (sous 90 jours), faibles (a planifier).

Etape 13 : Redaction du rapport executif

Produisez un document de 25 a 40 pages en Word avec : page de garde, sommaire, synthese executive (1 page lisible par le DG), perimetre audite, methodologie, resultats par domaine (reseau, postes, serveurs, humains, conformite), top 10 des risques, plan d’action chiffre en FCFA et en jours/homme, annexes techniques. Ajoutez systematiquement des copies d’ecran anonymisees comme preuves.

Etape 14 : Restitution et plan de remediation

Organisez une reunion de restitution avec la direction. Presentez un PowerPoint synthetique de 15 slides maximum. Proposez un accompagnement post-audit (forfait 500 000 FCFA/mois) pour piloter la remediation. Planifiez un audit de suivi a 6 mois pour mesurer la progression du score de maturite. Conservez tous les livrables sur un espace chiffre pendant la duree contractuelle puis purgez les donnees sensibles selon le NDA.

Erreurs frequentes a eviter

  • Auditer sans autorisation ecrite : meme avec l’accord verbal du dirigeant, sans lettre de mission signee, vous risquez 1 a 5 ans de prison selon le Code penal senegalais.
  • Surcharger le rapport de jargon : un DG de PME ne comprend pas CVE-2023-XXXX. Traduisez chaque risque en consequence metier (perte client, amende, arret de production).
  • Oublier le facteur humain : 80 % des incidents commencent par un email de phishing. Un audit purement technique passe a cote du risque principal.
  • Tester en heures de production : certains scans intrusifs peuvent saturer un switch ou planter un serveur fragile. Planifiez les tests intrusifs en soiree ou week-end.
  • Utiliser des outils sans maitrise : Nessus mal configure peut bloquer un serveur SCADA. Lisez la documentation avant de lancer des modules destructifs.
  • Negliger la conservation des preuves : sans logs de scan dates et signes, vos conclusions ne sont pas defendables en cas de contestation.
  • Promettre une securite a 100 % : aucun audit ne garantit l’absence totale de risque. Communiquez en termes de reduction de risque mesurable.
  • Sous-tarifer la prestation : facturer 200 000 FCFA un audit de 30 postes devalorise le metier et empeche un travail serieux. Le marche senegalais valorise un audit complet a partir de 800 000 FCFA HT.

Checklist de fin de mission

  • Lettre de mission et NDA signes par les deux parties
  • Inventaire complet des actifs documente et valide par le client
  • Schema des flux de donnees produit et annote
  • Scans externes et internes realises et archives
  • Audit des comptes Active Directory ou equivalent termine
  • Test de robustesse des mots de passe effectue avec accord ecrit
  • Configurations pare-feu, Wi-Fi, switchs auditees
  • Test de phishing controle realise avec mesure du taux de clic
  • Verification de la conformite Loi 2008-12 et declaration CDP
  • Matrice de cotation des risques completee
  • Rapport executif redige avec synthese DG et annexes techniques
  • Reunion de restitution planifiee et tenue
  • Plan de remediation chiffre en FCFA et delais valides
  • Donnees sensibles purgees ou archivees selon le NDA
  • Facture emise et proposition de suivi a 6 mois envoyee
#audited
Besoin d'un site web ?

Confiez-nous la Création de Votre Site Web

Site vitrine, e-commerce ou application web — nous transformons votre vision en réalité digitale. Accompagnement personnalisé de A à Z.

À partir de 250.000 FCFA
Parlons de Votre Projet
Publicité

Articles Similaires