Un audit cybersécurité est une évaluation méthodique de la sécurité d’un SI : il identifie les vulnérabilités techniques, organisationnelles et humaines, puis hiérarchise les actions correctives.
En 2026, le réaliser ne relève plus du confort : la pression réglementaire (NIS2, DORA) et un niveau de menace toujours élevé en font un prérequis de gouvernance pour tout RSSI ou DSI.
Ce guide vous donne la méthode complète : pourquoi auditer maintenant, quels types d’audits choisir, comment dérouler la démarche étape par étape, à quel budget vous attendre et comment sélectionner le bon prestataire.
La photographie de la menace en France est sans ambiguïté. Dans son Panorama de la cybermenace 2025, publié le 11 mars 2026, l’ANSSI rapporte avoir traité 3 586 événements de sécurité sur l’année, dont 1 366 incidents avérés.
Le volume global recule d’environ 18 % par rapport à 2024, mais ce repli s’explique surtout par les pics liés aux Jeux Olympiques de l’été 2024 ; le nombre d’incidents confirmés, lui, reste stable (1 361 en 2024, 1 112 en 2023, 831 en 2022). La tendance de fond ne faiblit pas.
L’ANSSI a recensé 128 compromissions par rançongiciel en 2025 (contre 141 en 2024). Les souches dominantes sont Qilin (21 % des cas), Akira (9 %) et LockBit 3.0 (5 %). Surtout, les PME, TPE et ETI concentrent 48 % des victimes : la taille n’est plus un bouclier.
Les incidents liés à des vols de données sont passés de 130 à 196 en un an. Vincent Strubel, directeur général de l’ANSSI, nuance toutefois : plus de 60 % des revendications de vol seraient infondées ou exagérées, relevant du « bluff » ou du recyclage de données déjà publiques. Chaque alerte mobilise pourtant les équipes (qualification, obligations CNIL, communication de crise).
Quatre secteurs absorbent à eux seuls 76 % des incidents traités :
L’ANSSI résume la situation par une formule marquante : un « brouillard technologique et organisationnel », où la frontière entre cybercriminalité et opérations étatiques s’efface.
Côté facture, l’enjeu est financier autant que technique. IBM chiffrait le coût moyen mondial d’une violation de données à 4,88 millions de dollars en 2024. En France, la Cour des comptes estimait en juin 2025 le coût moyen d’une attaque entre 5 et 10 % du chiffre d’affaires, sans distinction de taille ni de secteur.
Un audit régulier coûte, à l’échelle de ces montants, une fraction du risque qu’il aide à éviter.
La directive NIS2 élargit massivement le nombre d’organisations concernées. Sous NIS1, environ 500 entités françaises étaient régulées. Avec NIS2, on parle de 15 000 à 18 000 entités, réparties en deux catégories :
La transposition française passe par la loi Résilience. Adoptée au Sénat en mars 2025 puis examinée à l’Assemblée nationale, son vote final est attendu courant 2026, avec une promulgation suivie des décrets d’application.
L’ANSSI a par ailleurs publié dès le 17 mars 2026 le Référentiel Cyber France (ReCyF), qui détaille les mesures recommandées pour atteindre les objectifs de sécurité de la directive.
Trois points méritent l’attention d’un dirigeant :
Pour aller plus loin : Sensibilisation à la cybersécurité en entreprise : quelles stratégies ?
Pour les banques, assurances et entreprises d’investissement, le règlement DORA (UE 2022/2554) s’applique directement depuis le 17 janvier 2025, sans transposition nationale.
Il concerne plus de 22 000 entités financières en Europe et impose, entre autres :
DORA prime sur NIS2 pour le secteur financier (principe de lex specialis). Les superviseurs (ACPR, AMF) ont indiqué que 2026 marquerait l’intensification des audits de conformité. Un établissement qui n’a pas encore réalisé son gap analysis sur les cinq piliers de DORA accuse déjà du retard.
Cela pourrait vous intéresser : Panorama 2026 des normes et obligations en cybersécurité et gouvernance des données
Parler « d’un » audit est trompeur : il en existe plusieurs, complémentaires, qui n’éclairent pas les mêmes angles morts. Le référentiel PASSI de l’ANSSI (Prestataires d’Audit en Sécurité des Systèmes d’Information) en structure cinq portées. Les voici, avec leur usage concret.
Le test d’intrusion mérite une précision méthodologique, car ses modalités changent la profondeur des résultats :
Dans la pratique, une démarche solide combine plusieurs portées.
Un exemple représentatif, tiré de retours terrain 2026 : une PME multi-sites a couplé un audit organisationnel de huit jours, un pentest externe léger de quatre jours et un accompagnement à la remédiation sur soixante jours, pour un budget total de l’ordre de 22 000 € HT, avec à la clé, le déploiement du MFA et d’un EDR, et l’obtention d’une cyber-assurance à prime réduite.
Tout commence par une question simple : que cherche-t-on à protéger, et contre quoi ?
On définit le périmètre (applications, réseaux, sites, prestataires), les valeurs métier à protéger et les contraintes réglementaires applicables (NIS2, DORA, RGPD, homologation RGS). Un cadrage flou produit un audit flou.
C’est aussi le moment de fixer les règles d’engagement : fenêtres de test, points de contact, gestion des découvertes critiques en cours de mission. Livrable attendu : une lettre de mission précise, validée au niveau de la direction.
Avant de tester, il faut connaître son terrain. On dresse l’inventaire des actifs (on ne protège que ce que l’on connaît), on cartographie la surface d’attaque et l’on identifie les sources de risque pertinentes : cybercriminels motivés par l’extorsion, concurrents, acteurs étatiques, négligence interne. EBIOS RM structure cette réflexion à travers des ateliers associant décideurs et équipes opérationnelles, pour partager une vision commune du risque.
On modélise ensuite des scénarios concrets plutôt que des risques abstraits.
Exemple parlant pour un acteur financier : un courriel de hameçonnage compromet un poste, l’attaquant se propage latéralement, puis chiffre la chaîne de paiement. Cette mise en situation contextualise le risque et facilite l’arbitrage : elle montre où chaque euro de sécurité réduit le risque maximal.
C’est précisément ce que recherche un comité de direction : un langage clair, pas une liste de vulnérabilités hors-sol.
Place à l’exécution. Selon les portées retenues, les auditeurs déroulent les tests d’intrusion, l’analyse des configurations, la revue de code ou l’examen d’architecture.
Chaque vulnérabilité est qualifiée selon sa criticité, sa probabilité d’exploitation et son impact métier.
Un bon auditeur ne se contente pas de lister des failles : il explique comment elles s’enchaînent, car c’est l’enchaînement qui fait le scénario d’attaque réaliste.
Le rapport est le cœur de la valeur. Il doit être lisible à deux niveaux : une synthèse pour la direction (niveau de risque global, exposition, enjeux de conformité) et un détail technique exploitable pour les équipes.
Surtout, il hiérarchise les actions correctives selon le rapport effort/impact. Méfiez-vous de « l’usine à slides » : un rapport de 200 pages sans priorisation n’a jamais corrigé une faille. Ce qui compte, c’est un plan d’actions ordonné, chiffré et assorti d’échéances.
Un audit n’est pas une fin, c’est un point de départ. On corrige, on documente, puis on vérifie que les correctifs sont effectifs (contre-audit ou re-test ciblé).
La sécurité étant un processus continu, l’audit s’inscrit dans un cycle d’amélioration : on réévalue régulièrement, à mesure que le SI évolue et que la menace se transforme. Pour une entité soumise à NIS2 ou DORA, cette boucle devient une obligation documentée, pas une option.
En 2026, l’IA s’invite des deux côtés du front. Les attaquants l’utilisent pour des campagnes plus adaptatives ; les équipes de sécurité l’exploitent pour réduire le volume d’alertes, repérer les expositions et accélérer la détection.
Un audit moderne intègre désormais cette dimension : il évalue aussi la robustesse des usages d’IA internes (fuite de données via des outils génératifs, accès non maîtrisés) et la capacité de l’organisation à détecter des attaques assistées par IA.
La qualification PASSI, délivrée sous l’égide de l’ANSSI, atteste qu’un prestataire répond aux exigences techniques, méthodologiques et de confidentialité de l’agence, jusqu’au niveau Diffusion Restreinte. Elle couvre les cinq portées vues plus haut, et un cabinet peut être qualifié sur une, plusieurs ou toutes. La qualification est valable trois ans, avec un audit de surveillance à 18 mois.
Le PASSI est-il obligatoire ? Pas partout. Il l’est pour les opérateurs d’importance vitale (cadre LPM), pour certaines entités soumises à NIS2 selon leur secteur, et pour toute organisation visant une homologation ANSSI. Ailleurs, il reste un gage de confiance, devenu la référence implicite des marchés publics sensibles.
Quelques critères concrets pour trancher :
Au minimum une fois par an pour les systèmes critiques, et systématiquement après une évolution majeure du SI (migration, fusion, nouvelle application exposée) ou un incident. DORA impose d’ailleurs des tests annuels sur les fonctions critiques du secteur financier.
Le test d’intrusion est l’une des composantes de l’audit. L’audit cybersécurité est la démarche globale (architecture, configuration, code, organisation), tandis que le pentest se concentre sur la simulation d’attaques réelles pour valider la résistance effective du système.
Si vous dépassez 50 salariés ou 10 M€ de chiffre d’affaires dans l’un des 18 secteurs visés, probablement. Mais vous pouvez aussi être concerné indirectement, comme sous-traitant d’une entité essentielle. Le test d’éligibilité est disponible sur la plateforme MonEspaceNIS2 de l’ANSSI.
De quelques jours pour un périmètre ciblé (pentest d’une application, audit de configuration) à plusieurs mois pour un programme de mise en conformité complet. Une analyse EBIOS RM sur un périmètre restreint tient en quelques ateliers étalés sur deux à trois semaines.
Uniquement dans certains cas : opérateurs d’importance vitale, homologation ANSSI, ou exigence réglementaire sectorielle. Pour la plupart des PME et ETI, le PASSI n’est pas imposé, mais il garantit un niveau de méthode et de confidentialité reconnu par l’État.
