C'est quoi un audit TI? Guide pour les PME

La plupart des PME nous contactent après que quelque chose a mal tourné — un incident de rançongiciel, un employé qui est parti avec des données, une lettre de mise en conformité, une panne de serveur qui a révélé qu'il n'y avait pas de sauvegarde fonctionnelle. Un audit TI avant ces événements aurait identifié le problème. Le plus souvent, corriger un problème détecté coûte une fraction de la récupération après un incident.

Mais l'audit lui-même, c'est pas juste une liste de problèmes. Le livrable qui compte, c'est un portrait documenté : une image claire de ce à quoi ressemble réellement ton infrastructure, ce qui est à risque, et un plan priorisé pour y remédier.

Ce qu'un audit TI couvre

Topologie et segmentation du réseau. Qu'est-ce qui est sur ton réseau? Les appareils des visiteurs sont-ils sur le même segment que tes serveurs? Ton pare-feu est-il configuré ou fonctionne-t-il encore avec les paramètres d'usine? On cartographie le réseau, on identifie les appareils, et on cherche les lacunes de segmentation qui permettent à un poste de travail compromis d'atteindre directement ton serveur de fichiers.

Inventaire des postes. Un nombre surprenant d'organisations n'ont pas un compte précis de leurs propres appareils. Postes de travail, portables, imprimantes, caméras IP, commutateurs réseau — tout ce qui touche à ton réseau est un point d'entrée potentiel. On catalogue tout, on vérifie les versions de système d'exploitation et l'état des mises à jour, et on signale tout ce qui est en fin de vie (le support de Windows 10 se termine en octobre 2025 — les appareils qui le font fonctionner après cette date sont une vulnérabilité non corrigée).

Licences logicielles et TI fantôme. Quels logiciels sont réellement installés sur tes postes? Ça couvre le risque de conformité (les logiciels sans licence peuvent créer des obligations) et le risque de sécurité (les applications obsolètes ou non supportées sont des vecteurs d'attaque courants). On cherche aussi le TI fantôme — les outils que les gens utilisent que le département TI ne connaît pas, souvent parce que le processus officiel était trop lent.

Contrôles d'accès et hygiène des comptes utilisateurs. Qui a des droits d'administrateur? Combien de personnes les ont? Y a-t-il des comptes d'ex-employés encore actifs dans Active Directory ou Microsoft 365? Est-ce que des mots de passe sont partagés? Y a-t-il un compte de service obsolète avec des privilèges d'administrateur de domaine que personne n'a touché depuis trois ans? Les problèmes de contrôle d'accès figurent parmi les lacunes les plus courantes et les plus facilement exploitées qu'on trouve.

Vérification des sauvegardes. Pas seulement "est-ce que t'as des sauvegardes" — mais quand a eu lieu le dernier test de restauration? Où les sauvegardes sont-elles stockées, et sont-elles accessibles depuis le même segment réseau qui serait compromis lors d'une attaque de rançongiciel? Les sauvegardes sont-elles immuables? Cette section d'un audit révèle fréquemment l'écart entre "on a des sauvegardes" (vrai) et "on peut se remettre d'un désastre" (pas toujours vrai).

Vulnérabilités de sécurité. Un scan de vulnérabilités sur ton réseau interne et tes services exposés sur internet identifie les CVE connus dans ton environnement. C'est pas un test de pénétration — c'est un scan authentifié qui te dit ce qui est exposé et à quel niveau de sévérité. Les résultats critiques et de haute sévérité sont signalés pour attention immédiate.

Lacunes de conformité. Pour les entreprises québécoises, ça veut de plus en plus dire la Loi 25 : as-tu un inventaire documenté des renseignements personnels que tu détiens, un responsable de la protection des renseignements personnels désigné, un processus d'évaluation des facteurs relatifs à la vie privée pour les nouveaux projets, et une procédure de réponse aux incidents? Beaucoup de PME n'ont pas fait ce travail, et la Commission d'accès à l'information a commencé à émettre des amendes.

Audit interne vs audit externe

Un audit interne est conduit par ton propre personnel TI ou ton département TI. Il est utile pour les revues de routine et a l'avantage que la personne qui le fait connaît ton environnement. La limite : il peut pas évaluer objectivement ce qu'il a contribué à construire, et il manque souvent de la largeur d'exposition pour voir comment ton installation se compare aux pratiques de l'industrie.

Un audit externe apporte une perspective extérieure. C'est pas une critique personnelle de ton équipe TI — c'est une évaluation structurée par quelqu'un qui a vu des centaines d'environnements et peut dire avec confiance "ça, c'est inhabituel" ou "c'est une configuration qu'on voit régulièrement exploitée." Pour les PME sans personnel TI dédié, c'est aussi la seule option réaliste pour une évaluation sérieuse.

À quoi ressemble le livrable

Un bon rapport d'audit a deux parties.

La première, c'est les constatations : un inventaire documenté de ton infrastructure, les vulnérabilités et lacunes identifiées, des cotes de sévérité pour chaque constatation, et des preuves (captures d'écran, résultats de scans, extraits de configuration) à l'appui de chaque constatation. Ça devient ton portrait de référence. Les audits futurs se comparent à lui.

La deuxième, c'est le plan de remédiation : les constatations organisées par priorité (critique, élevée, moyenne, faible), avec les actions recommandées, l'effort estimé et le coût approximatif. Pas chaque constatation a besoin d'être corrigée immédiatement. Le plan t'aide à allouer budget et effort là où la réduction de risque est la plus grande.

Un bon audit te remet pas juste une liste de problèmes — il te dit lesquels corriger en premier.

Ce que ça coûte

Pour une PME de 10 à 50 employés, une évaluation externe sérieuse de sécurité TI coûte typiquement entre 2 000 $ et 7 000 $ CAD selon la portée, la complexité de l'environnement, et si ça inclut un composant de scan de vulnérabilités.

Cette fourchette peut sembler significative pour une petite entreprise. La comparaison qui compte : le coût moyen d'une récupération après rançongiciel pour une PME en Amérique du Nord a dépassé 270 000 $ CAD en 2024 selon les rapports trimestriels de Coveware — et ça inclut les entreprises qui ont payé la rançon. Celles qui n'ont pas payé ont perdu davantage en temps d'arrêt.

Un audit TI est pas une garantie contre les incidents. Mais il ferme les lacunes connues de façon systématique, ce qui est une bien meilleure position qu'espérer que rien lâche.

Comment IPCONNEX conduit ses évaluations

Notre processus d'évaluation commence par un appel de démarrage pour délimiter la portée de l'engagement — quels systèmes comptent le plus, quelles sont tes obligations de conformité, quels incidents ou quasi-incidents as-tu eus dans la dernière année. On réalise ensuite une combinaison de scans automatisés et de revue manuelle sur les domaines mentionnés plus haut.

Le livrable est un rapport écrit avec un résumé exécutif (deux pages, lisible sans formation technique) et une section technique détaillée avec toutes les constatations et les étapes de remédiation. On passe en revue le rapport avec toi et ton équipe, on priorise le plan de remédiation ensemble, et on peut implanter les correctifs ou travailler aux côtés de ton équipe TI existante.

Si tu sais pas ce qui est dans ton environnement, tu peux pas le protéger. C'est ça, la vraie raison de commencer par un audit.