Chez Computis, nous intervenons chaque semaine dans des PME vaudoises, des communes romandes et des institutions publiques. Et depuis que nous publions Computis Insights, une question revient régulièrement de la part de nos lecteurs :
"Concrètement, comment ça se passe, un audit chez vous ?"

C'est l'objet de cette série Coulisses. Non pas pour nous vendre — mais parce que comprendre ce que nous faisons, c'est souvent comprendre pourquoi ça vaut la peine de le faire.

Chaque audit révèle au moins une vulnérabilité critique que le client ne soupçonnait pas. Pas une fois sur deux. Pas sept fois sur dix. Chaque fois. Sans exception, depuis trois ans.

Avant d'entrer : ce qu'on ne sait pas encore

Un audit Computis commence avant d'arriver dans vos locaux. La phase de préparation — généralement la veille ou le matin même — consiste à faire ce qu'un attaquant ferait depuis l'extérieur : chercher ce qui est visible sans avoir aucun accès.

Ports ouverts sur Internet. Certificats SSL expirés ou mal configurés. Sous-domaines oubliés. Adresses email exposées dans des bases de données de fuites. Présence de vos équipements dans des moteurs de recherche spécialisés comme Shodan par exemple...

Cette phase dure entre 30 et 60 minutes. Ce qu'elle révèle fixe souvent le ton du reste
de la journée. Dans plus de la moitié des cas, nous arrivons avec déjà une liste de points à vérifier de l'intérieur.

Les 4 heures sur site

Nous arrivons avec un ordinateur portable, un switch réseau portable, et une série de
questions précises. Pas de questionnaire générique à remplir ensemble — nous regardons l'infrastructure réelle, pas la documentation qui la décrit.

La première heure est consacrée à la cartographie. Scan réseau exhaustif : combien d'appareils sont connectés, quels sont-ils, dans quels segments, quelles versions de firmware, quels ports ouverts en interne. Dans la quasi-totalité des PME que nous visitons, ce scan révèle des appareils que personne ne savait qu'il existaient encore sur le réseau.

La deuxième heure se concentre sur les accès. Qui a accès à quoi, avec quels droits, avec quelle authentification. Comptes actifs d'anciens collaborateurs. Comptes administrateurs partagés entre plusieurs personnes. MFA absent sur les accès critiques. Mots de passe d'usine sur les équipements réseau. Ces situations ne sont pas rares — elles sont la norme.

La troisième heure examine les flux sortants et les configurations critiques. Ce que votre réseau envoie à l'extérieur. Vers quels pays. Via quels services. Avec quels contrôles. Et une vérification rapide de vos sauvegardes — existent-elles, sont-elles testées, sont-elles isolées du réseau principal.

La quatrième heure est une conversation. Nous vous présentons ce que nous avons trouvé, dans quel ordre vous devriez y répondre, et pourquoi. Pas un rapport de 80 pages que vous n'ouvrirez jamais — une discussion ancrée dans ce que nous avons vu ensemble ce matin-là.

Ce qu'on trouve dans la quasi-totalité des cas

10 ans d'audits dans les PME et communes romandes ont produit une liste de constantes. Pas d'exceptions — des récurrences. Voici ce que nous trouvons presque
systématiquement, indépendamment de la taille de la structure ou du secteur d'activité.

Des comptes actifs d'anciens collaborateurs.
Pas un audit sur cinq. La majorité. Des accèsà la messagerie, au VPN, aux outils cloud — de personnes qui ne travaillent plus là depuis des mois, parfois des années. Ce n'est pas de la négligence. C'est l'absence d'une procédure d'offboarding formalisée. Et c'est l'une desvulnérabilités les plus exploitées dans les incidents que nous observons.

Des appareils IoT non inventoriés sur le réseau principal.
Imprimantes, caméras, pointeuses, écrans — tous sur le même segment que les serveurs et les postes de travail. Souvent avec des firmwares qui n'ont pas été mis à jour depuis l'installation. Souvent avec le mot de passe d'usine. Toujours sans VLAN dédié.

Des sauvegardes qui ne sont pas testées.
Elles existent, dans la plupart des cas. Mais quand nous demandons "quand avez-vous testé la restauration pour la dernière fois ?", la réponse est presque toujours le silence. Une sauvegarde non testée n'est pas une sauvegarde — c'est une espérance.

Ce que l'audit change concrètement

L'audit préliminaire change quelque chose de fondamental dans la relation entre nos clients et leur infrastructure IT : il transforme une zone d'inconnu anxiogène en une liste de points documentés, priorisés, et actionnables.

La plupart des dirigeants que nous rencontrons savent intuitivement qu'ils ont des lacunes de sécurité. Ce qu'ils ne savent pas, c'est lesquelles, dans quel ordre les adresser, et ce que ça coûterait concrètement. L'audit répond à ces trois questions
en une demi-journée.

Ce n'est pas rassurant au sens où tout irait bien. C'est rassurant au sens où vous savez maintenant exactement où vous en êtes — et vous n'êtes plus seul face à un risque que vous ne pouvez pas nommer.

Chez Computis, notre audit préliminaire est payant et sérieux. Il produit un rapport documenté, des recommandations priorisées par niveau de risque réel, et une conversation honnête sur ce qui est urgent et ce qui peut attendre. Son coût est intégralement déduit de la prestation si vous décidez de travailler avec nous par la suite.

Ce qu'il faut retenir

Un audit Computis ne vous dira pas que tout va bien. Il vous dira exactement ce qui ne va pas, pourquoi, et dans quel ordre y remédier. C'est différent. Et c'est la seule façon honnête de commencer à sécuriser une organisation.

FAQ

En quoi l'audit Computis est-il différent d'un questionnaire de sécurité ?
Un questionnaire de sécurité mesure ce que vous pensez avoir mis en place. Notre audit mesure ce qui existe réellement. La différence est systématiquement significative. Nous regardons l'infrastructure — pas la documentation
qui la décrit.

4 heures, c'est suffisant pour avoir un vrai diagnostic ?
Pour les PME de 10 à 150 collaborateurs, oui. La majorité des vulnérabilités critiques se révèlent dans les deux premières heures. Ce n'est pas un audit de conformité exhaustif — c'est un diagnostic des risques réels, priorisé par niveau de gravité.

Que contient le rapport produit à l'issue de l'audit ?
Le rapport documente : l'inventaire des équipements et des accès, les vulnérabilités identifiées classées par niveau de risque, les recommandations priorisées avec estimation d'effort, et un plan de remédiation à 90 jours. Il est exploitable immédiatement — par vous, ou avec nous.

Nous n'avons pas d'équipe IT interne — Computis peut-il gérer tout cela à notre place ?
Oui. C'est précisément notre modèle pour les PME et communes sans ressource IT dédiée. Chez Computis, cybersécurité, cloud et réseau sont trois domaines de spécialisation d'une même équipe — vous avez un interlocuteur unique qui assure le déploiement, la configuration, la formation et le suivi.

Pourquoi l'audit est-il payant ?
Parce qu'il produit un travail réel — une demi-journée d'expertise, un rapport documenté, des recommandations actionnables. Un audit gratuit est un audit bâclé
ou un argumentaire commercial déguisé. Le nôtre est une prestation sérieuse. Et son coût est intégralement déduit si vous travaillez avec nous.

Abonnez-vous — chaque mardi, un éclairage concret sur l’IT, le WiFi et la cybersécurité pour les PME et institutions suisses.

Réservez 15 minutes avec notre équipe