Comment réaliser un audit cybersécurité en 2026 ? 

Un audit cybersécurité est une évaluation méthodique de la sécurité d’un SI : il identifie les vulnérabilités techniques, organisationnelles et humaines, puis hiérarchise les actions correctives.

En 2026, le réaliser ne relève plus du confort : la pression réglementaire (NIS2, DORA) et un niveau de menace toujours élevé en font un prérequis de gouvernance pour tout RSSI ou DSI. 

Ce guide vous donne la méthode complète : pourquoi auditer maintenant, quels types d’audits choisir, comment dérouler la démarche étape par étape, à quel budget vous attendre et comment sélectionner le bon prestataire. 

La menace cyber en France : où en est-on en 2026 ? 

Un niveau de menace qui ne faiblit pas

La photographie de la menace en France est sans ambiguïté. Dans son Panorama de la cybermenace 2025, publié le 11 mars 2026, l’ANSSI rapporte avoir traité 3 586 événements de sécurité sur l’année, dont 1 366 incidents avérés.

Le volume global recule d’environ 18 % par rapport à 2024, mais ce repli s’explique surtout par les pics liés aux Jeux Olympiques de l’été 2024 ; le nombre d’incidents confirmés, lui, reste stable (1 361 en 2024, 1 112 en 2023, 831 en 2022). La tendance de fond ne faiblit pas. 

Rançongiciels et exfiltration : deux signaux à ne pas ignorer

Les rançongiciels restent une menace majeure

L’ANSSI a recensé 128 compromissions par rançongiciel en 2025 (contre 141 en 2024). Les souches dominantes sont Qilin (21 % des cas), Akira (9 %) et LockBit 3.0 (5 %). Surtout, les PME, TPE et ETI concentrent 48 % des victimes : la taille n’est plus un bouclier. 

L’exfiltration de données explose

Les incidents liés à des vols de données sont passés de 130 à 196 en un an. Vincent Strubel, directeur général de l’ANSSI, nuance toutefois : plus de 60 % des revendications de vol seraient infondées ou exagérées, relevant du « bluff » ou du recyclage de données déjà publiques. Chaque alerte mobilise pourtant les équipes (qualification, obligations CNIL, communication de crise). 

Les secteurs qui concentrent le plus d’incidents

Quatre secteurs absorbent à eux seuls 76 % des incidents traités :

• l’éducation et la recherche (34 %)
• les ministères et collectivités territoriales (24 %)
• la santé (10 %)
• les télécommunications (9 %)

L’ANSSI résume la situation par une formule marquante : un « brouillard technologique et organisationnel », où la frontière entre cybercriminalité et opérations étatiques s’efface. 

Quel est le coût d’une attaque ?

Côté facture, l’enjeu est financier autant que technique. IBM chiffrait le coût moyen mondial d’une violation de données à 4,88 millions de dollars en 2024. En France, la Cour des comptes estimait en juin 2025 le coût moyen d’une attaque entre 5 et 10 % du chiffre d’affaires, sans distinction de taille ni de secteur.

Un audit régulier coûte, à l’échelle de ces montants, une fraction du risque qu’il aide à éviter. 

Quelles obligations réglementaires imposent un audit en 2026 ? 

NIS2 : un périmètre multiplié par trente 

La directive NIS2 élargit massivement le nombre d’organisations concernées. Sous NIS1, environ 500 entités françaises étaient régulées. Avec NIS2, on parle de 15 000 à 18 000 entités, réparties en deux catégories : 

La transposition française passe par la loi Résilience. Adoptée au Sénat en mars 2025 puis examinée à l’Assemblée nationale, son vote final est attendu courant 2026, avec une promulgation suivie des décrets d’application.

L’ANSSI a par ailleurs publié dès le 17 mars 2026 le Référentiel Cyber France (ReCyF), qui détaille les mesures recommandées pour atteindre les objectifs de sécurité de la directive. 

Trois points méritent l’attention d’un dirigeant : 

• La responsabilité personnelle des dirigeants devient effective : en cas de manquement grave, les fonctions de direction peuvent être tenues responsables, avec interdiction temporaire d’exercer dans les cas les plus sérieux. 

• La chaîne d’approvisionnement entre dans le périmètre : même hors seuils, une PME peut être contrainte de se conformer en tant que sous-traitant d’une entité essentielle. 

• Le calendrier de contrôle est progressif. L’ANSSI a annoncé une logique en trois temps : sensibilisation en 2025-2026, audits ciblés en 2026-2027, puis sanctions à partir de 2027. La fenêtre 2026 est celle de la mise en conformité, pas du rattrapage en urgence. 

Pour aller plus loin : Sensibilisation à la cybersécurité en entreprise : quelles stratégies ?

DORA : la résilience opérationnelle du secteur financier 

Pour les banques, assurances et entreprises d’investissement, le règlement DORA (UE 2022/2554) s’applique directement depuis le 17 janvier 2025, sans transposition nationale.

Il concerne plus de 22 000 entités financières en Europe et impose, entre autres : 

• des tests de résilience réguliers, avec une revue annuelle des systèmes soutenant les fonctions critiques (article 24) ; 
• un droit d’audit, d’accès et d’inspection illimité sur les prestataires tiers de services TIC critiques (article 30) ; 
• une notification des incidents majeurs en quatre heures après leur classification. 

DORA prime sur NIS2 pour le secteur financier (principe de lex specialis). Les superviseurs (ACPR, AMF) ont indiqué que 2026 marquerait l’intensification des audits de conformité. Un établissement qui n’a pas encore réalisé son gap analysis sur les cinq piliers de DORA accuse déjà du retard. 

Cela pourrait vous intéresser : Panorama 2026 des normes et obligations en cybersécurité et gouvernance des données

Quels sont les différents types d’audit cybersécurité ? 

Parler « d’un » audit est trompeur : il en existe plusieurs, complémentaires, qui n’éclairent pas les mêmes angles morts. Le référentiel PASSI de l’ANSSI (Prestataires d’Audit en Sécurité des Systèmes d’Information) en structure cinq portées. Les voici, avec leur usage concret. 

Le test d’intrusion mérite une précision méthodologique, car ses modalités changent la profondeur des résultats : 

• Boîte noire (black box) : l’auditeur attaque sans information préalable, comme un attaquant externe. 
• Boîte grise (grey box) : il dispose des droits d’un utilisateur standard, ce qui simule une menace interne ou un compte compromis. 
• Boîte blanche (white box) : il accède à la documentation et au code, pour une couverture maximale. 

Dans la pratique, une démarche solide combine plusieurs portées.

Un exemple représentatif, tiré de retours terrain 2026 : une PME multi-sites a couplé un audit organisationnel de huit jours, un pentest externe léger de quatre jours et un accompagnement à la remédiation sur soixante jours, pour un budget total de l’ordre de 22 000 € HT, avec à la clé, le déploiement du MFA et d’un EDR, et l’obtention d’une cyber-assurance à prime réduite. 

Les 6 étapes d’un audit cybersécurité réussi 

Étape 1 : Cadrer le périmètre et les objectifs 

Tout commence par une question simple : que cherche-t-on à protéger, et contre quoi ?

On définit le périmètre (applications, réseaux, sites, prestataires), les valeurs métier à protéger et les contraintes réglementaires applicables (NIS2, DORA, RGPD, homologation RGS). Un cadrage flou produit un audit flou.

C’est aussi le moment de fixer les règles d’engagement : fenêtres de test, points de contact, gestion des découvertes critiques en cours de mission. Livrable attendu : une lettre de mission précise, validée au niveau de la direction. 

Étape 2 : Cartographier et identifier les sources de risque 

Avant de tester, il faut connaître son terrain. On dresse l’inventaire des actifs (on ne protège que ce que l’on connaît), on cartographie la surface d’attaque et l’on identifie les sources de risque pertinentes : cybercriminels motivés par l’extorsion, concurrents, acteurs étatiques, négligence interne. EBIOS RM structure cette réflexion à travers des ateliers associant décideurs et équipes opérationnelles, pour partager une vision commune du risque. 

Étape 3 : Construire les scénarios de risque 

On modélise ensuite des scénarios concrets plutôt que des risques abstraits.

Exemple parlant pour un acteur financier : un courriel de hameçonnage compromet un poste, l’attaquant se propage latéralement, puis chiffre la chaîne de paiement. Cette mise en situation contextualise le risque et facilite l’arbitrage : elle montre où chaque euro de sécurité réduit le risque maximal.

C’est précisément ce que recherche un comité de direction : un langage clair, pas une liste de vulnérabilités hors-sol. 

Étape 4 : Mener les tests techniques 

Place à l’exécution. Selon les portées retenues, les auditeurs déroulent les tests d’intrusion, l’analyse des configurations, la revue de code ou l’examen d’architecture.

Chaque vulnérabilité est qualifiée selon sa criticité, sa probabilité d’exploitation et son impact métier.

Un bon auditeur ne se contente pas de lister des failles : il explique comment elles s’enchaînent, car c’est l’enchaînement qui fait le scénario d’attaque réaliste. 

Étape 5 : Restituer et prioriser le plan de remédiation 

Le rapport est le cœur de la valeur. Il doit être lisible à deux niveaux : une synthèse pour la direction (niveau de risque global, exposition, enjeux de conformité) et un détail technique exploitable pour les équipes.

Surtout, il hiérarchise les actions correctives selon le rapport effort/impact. Méfiez-vous de « l’usine à slides » : un rapport de 200 pages sans priorisation n’a jamais corrigé une faille. Ce qui compte, c’est un plan d’actions ordonné, chiffré et assorti d’échéances. 

Étape 6 : Remédier, vérifier, recommencer 

Un audit n’est pas une fin, c’est un point de départ. On corrige, on documente, puis on vérifie que les correctifs sont effectifs (contre-audit ou re-test ciblé).

La sécurité étant un processus continu, l’audit s’inscrit dans un cycle d’amélioration : on réévalue régulièrement, à mesure que le SI évolue et que la menace se transforme. Pour une entité soumise à NIS2 ou DORA, cette boucle devient une obligation documentée, pas une option. 

Le rôle croissant de l’IA dans l’audit 

En 2026, l’IA s’invite des deux côtés du front. Les attaquants l’utilisent pour des campagnes plus adaptatives ; les équipes de sécurité l’exploitent pour réduire le volume d’alertes, repérer les expositions et accélérer la détection.

Un audit moderne intègre désormais cette dimension : il évalue aussi la robustesse des usages d’IA internes (fuite de données via des outils génératifs, accès non maîtrisés) et la capacité de l’organisation à détecter des attaques assistées par IA. 

Comment choisir son prestataire d’audit (et faut-il un PASSI) ? 

La qualification PASSI, délivrée sous l’égide de l’ANSSI, atteste qu’un prestataire répond aux exigences techniques, méthodologiques et de confidentialité de l’agence, jusqu’au niveau Diffusion Restreinte. Elle couvre les cinq portées vues plus haut, et un cabinet peut être qualifié sur une, plusieurs ou toutes. La qualification est valable trois ans, avec un audit de surveillance à 18 mois. 

Le PASSI est-il obligatoire ? Pas partout. Il l’est pour les opérateurs d’importance vitale (cadre LPM), pour certaines entités soumises à NIS2 selon leur secteur, et pour toute organisation visant une homologation ANSSI. Ailleurs, il reste un gage de confiance, devenu la référence implicite des marchés publics sensibles. 

Quelques critères concrets pour trancher : 

• La qualification correspond à votre besoin. Vérifiez les portées effectivement qualifiées dans l’annuaire officiel publié par l’ANSSI, pas seulement le logo « PASSI ». 
• L’indépendance et l’impartialité du prestataire vis-à-vis de vos solutions en place. 
• La qualité du livrable : exigez un exemple de rapport anonymisé. Vous cherchez un plan d’actions priorisé, pas une liste brute de vulnérabilités. 
• L’accompagnement à la remédiation, et pas seulement le constat. Un audit sans suivi laisse les failles ouvertes. 
• La connaissance de votre secteur (santé, finance, industrie, collectivités), car les contraintes réglementaires diffèrent fortement. 

FAQ : Audit cybersécurité 2026 

À quelle fréquence faut-il réaliser un audit cybersécurité ? 

Au minimum une fois par an pour les systèmes critiques, et systématiquement après une évolution majeure du SI (migration, fusion, nouvelle application exposée) ou un incident. DORA impose d’ailleurs des tests annuels sur les fonctions critiques du secteur financier. 

Quelle différence entre un audit de sécurité et un test d’intrusion ? 

Le test d’intrusion est l’une des composantes de l’audit. L’audit cybersécurité est la démarche globale (architecture, configuration, code, organisation), tandis que le pentest se concentre sur la simulation d’attaques réelles pour valider la résistance effective du système. 

Mon entreprise est-elle concernée par NIS2 ? 

Si vous dépassez 50 salariés ou 10 M€ de chiffre d’affaires dans l’un des 18 secteurs visés, probablement. Mais vous pouvez aussi être concerné indirectement, comme sous-traitant d’une entité essentielle. Le test d’éligibilité est disponible sur la plateforme MonEspaceNIS2 de l’ANSSI. 

Combien de temps dure un audit cybersécurité ? 

De quelques jours pour un périmètre ciblé (pentest d’une application, audit de configuration) à plusieurs mois pour un programme de mise en conformité complet. Une analyse EBIOS RM sur un périmètre restreint tient en quelques ateliers étalés sur deux à trois semaines. 

Faut-il obligatoirement un prestataire qualifié PASSI ? 

Uniquement dans certains cas : opérateurs d’importance vitale, homologation ANSSI, ou exigence réglementaire sectorielle. Pour la plupart des PME et ETI, le PASSI n’est pas imposé, mais il garantit un niveau de méthode et de confidentialité reconnu par l’État.