Aller au contenu principal
AuditMéthodeLivrablesTPE/PMECollectivités

Audit de sécurité : pourquoi votre rapport doit tenir en 20 pages, pas 80

Un audit de cybersécurité se juge à ses livrables. Ce qu'un bon rapport doit contenir, pourquoi les rapports interminables ne servent à rien, et comment choisir le bon prestataire.

Par Jean-Christophe Bork
Document de rapport d'audit cybersécurité sur un bureau

Vous avez commandé un audit de sécurité. Quelques semaines plus tard, le prestataire vous remet un document de 80 pages. Vous le feuillettez, vous repérez quelques points critiques en rouge, et le document finit dans un tiroir ou dans un dossier partagé que personne ne consultera plus. C’est un scénario fréquent — et un gaspillage de budget.

Un bon audit de sécurité ne se mesure pas au nombre de pages du rapport. Il se mesure à votre capacité à agir dessus.

Le problème avec les rapports volumineux

Les rapports d’audit de plusieurs dizaines de pages existent pour plusieurs raisons, souvent légitimes dans certains contextes : périmètres très larges, organisations complexes, exigences réglementaires spécifiques. Mais pour la plupart des collectivités et des PME, ils posent un problème pratique fondamental.

Qui va lire ce rapport ? Dans une mairie de 4 000 habitants ou une PME de 30 personnes, la “DSI” est souvent la même personne qui gère aussi la téléphonie, les photocopieurs et les contrats informatiques. Cette personne n’a pas le temps — ni forcément les compétences — pour digérer 80 pages de recommandations techniques.

Conséquence directe : le rapport est commandé, payé, reçu, et non implémenté. L’organisation n’est pas plus sécurisée qu’avant l’audit, elle est juste moins riche d’une facture de prestataire.

Ce qu’un rapport d’audit utile doit contenir

Une synthèse exécutive lisible par un non-technicien (1-2 pages)

C’est la section la plus importante du rapport. Elle doit répondre en langage clair à trois questions :

  1. Quelle est la situation actuelle, en une phrase ?
  2. Quels sont les 3 à 5 risques principaux que j’encours si je n’agis pas ?
  3. Que dois-je faire en priorité ?

Le maire, le directeur général des services, le dirigeant de PME doit pouvoir lire cette section en 5 minutes et comprendre clairement l’enjeu.

Une hiérarchisation par niveau de criticité

Tous les problèmes ne sont pas égaux. Un rapport utile distingue :

  • Critique : risque immédiat, à corriger dans les 48-72h
  • Élevé : à traiter dans le mois
  • Moyen : à planifier sur le trimestre
  • Faible : à intégrer dans les améliorations continues

Cette hiérarchisation permet de prioriser l’action. Si vous avez 30 constats, vous devez savoir immédiatement sur lequel concentrer vos ressources en premier.

Des recommandations concrètes, pas des généralités

“Améliorer la politique de mots de passe” — c’est une généralité. “Déployer une politique de mots de passe d’au moins 12 caractères avec complexité sur Active Directory, accessible via Paramètres > Stratégies de groupe > Configuration ordinateur, et activer le MFA sur tous les comptes avec accès aux données financières” — c’est une recommandation.

Un bon rapport dit quoi faire, comment le faire, et avec quel outil. Pour chaque constat, le lecteur doit pouvoir partir en autonomie (ou avec l’aide de son prestataire IT habituel) pour mettre en œuvre la correction.

L’effort estimé pour chaque mesure

“Corriger cette vulnérabilité prend 30 minutes et ne coûte rien” ou “Cette mesure nécessite l’achat d’une licence à 200€ et deux jours de configuration” — cette information est indispensable pour prioriser.

Une collectivité avec un budget serré va naturellement commencer par les mesures sans coût ou à faible coût. Un rapport qui ne donne pas cette information force le lecteur à revenir vers le prestataire pour chaque décision.

Un plan de remédiation priorisé

Un document distinct du rapport détaillé : le plan de remédiation. Une liste d’actions, priorisées, avec pour chaque action :

  • Ce qui doit être fait
  • Par qui (interne, prestataire IT, consultant)
  • Dans quel délai
  • Avec quel effort estimé

Ce document doit tenir en 1-2 pages et servir de feuille de route pour les semaines et mois suivants.

Ce qu’un rapport ne devrait PAS contenir en priorité

Des constats non exploitables

“Le système d’information présente des lacunes en matière de gouvernance de la sécurité de l’information.” Cette phrase peut figurer dans un rapport de conformité ISO 27001. Elle n’apporte rien à une mairie de 5 000 habitants qui cherche à savoir ce qu’elle doit faire concrètement.

Des recommandations sans contexte

Recommander un SIEM (Security Information and Event Management) à une TPE de 15 personnes, c’est hors sujet. Un bon rapport propose des solutions adaptées à la taille et aux ressources de l’organisation, pas le catalogue des meilleures pratiques théoriques.

Un jargon inaccessible

NTP, LDAP, SNMP, CVE — ces acronymes font partie du langage technique du secteur. Dans un rapport destiné à une secrétaire de mairie ou à un dirigeant de PME, ils doivent être expliqués ou remplacés par du langage clair.

Comment évaluer un rapport d’audit avant de le commander

Avant de signer un contrat d’audit, il est légitime de demander un exemple anonymisé de rapport. Quelques questions à poser :

  1. La synthèse exécutive tient-elle en une page ? Si non, c’est un signal.
  2. Chaque constat a-t-il une recommandation associée ? Un constat sans recommandation n’est pas utile.
  3. L’effort estimé est-il indiqué pour chaque mesure ? Sinon, comment prioriser ?
  4. Le vocabulaire est-il accessible à un non-technicien ? Demandez à quelqu’un hors IT de lire une page au hasard.
  5. Y a-t-il un plan de remédiation séparé ? Le rapport et le plan d’action doivent être deux documents distincts.

Ce que je propose chez DigitalSpoon

Mon approche est fondée sur l’utilisabilité du livrable. Un rapport d’audit que vous ne pouvez pas utiliser ne vaut rien — quelle que soit sa qualité technique intrinsèque.

Concrètement :

  • Rapport de 15 à 30 pages maximum pour une structure de moins de 50 personnes
  • Synthèse exécutive d’une page, lisible par un élu ou un dirigeant
  • Chaque constat classé par niveau de criticité, avec recommandation concrète et effort estimé
  • Plan de remédiation séparé, tenant en 1-2 pages, prêt à être suivi
  • Restitution orale pour s’assurer que vous comprenez chaque point

L’objectif n’est pas que vous validiez un rapport. C’est que vous puissiez agir dessus.

Vous avez déjà reçu un rapport d’audit incompréhensible ou inexploitable ? Ou vous envisagez de commander votre premier audit ? Parlons-en — le premier échange est gratuit.

Sources : ANSSI, guides méthodologiques d’audit de sécurité ; expérience terrain de consultant indépendant.