En Europe, le social engineering (phishing, malspam, etc.) reste le premier point d’entrée observé, autour de 60%, devant l’exploitation de vulnérabilités (21,3%), selon l’ENISA THREAT LANDSCAPE 2025. Le sujet dépasse largement l’IT : IBM estime par exemple le coût moyen mondial d’une violation de données à 4,4 M$ en 2025.
Dans ce contexte, beaucoup d’organisations veulent s’appuyer sur un socle pour reprendre la main. Le Guide d’hygiène informatique de l’ANSSI et ses 42 mesures fournit un référentiel pragmatique pour objectiver la posture et structurer une trajectoire de remédiation.
Un point fait alors en particulier la différence sur le terrain : le livrable. Un audit “réussi” ne vaut pas par le volume de pages, mais par la capacité du rapport à transformer le référentiel en décisions, puis en plan d’actions. C’est précisément ce que nous détaillons ici !
Dans cette interview, Simon Vanony, expert cybersécurité chez Inside, explique ce que doit contenir un livrable d’audit pour être réellement utile et actionnable, et comment éviter qu’un audit réussi en théorie reste sans impact en pratique.
Tu dis souvent qu’un audit de maturité cybersécurité “réussi” peut rester sans impact. Pourquoi et où se joue la différence dans la démarche et les livrables ?
Oui, tout à fait. Un audit de maturité cybersécurité Réaliser une évaluation de maturité cyber adaptée au contexte de votre PME ou ETI selon le guide d’hygiène ANSSIpeut aboutir sur le plan méthodologique et rester sans impact en pratique pour une raison simple : le livrable ne permet pas de décider, puis d’exécuter.
Une différence importante repose sur la capacité du rapport à parler à plusieurs typologies d’interlocuteurs. Entre direction générale, DSI, RSSI, directions métiers, les attentes et la granularité varient. Si le rapport d’audit est fourni au commanditaire, celui-ci doit aussi proposer un niveau de lecture adapté à tous ceux qui ont vocation à intervenir durant la présentation et contribueront à la mise en œuvre des recommandations. Je suis convaincu qu’une des valeurs de l’audit repose sur sa capacité à être un levier d’embarquement dans la démarche de cybersécurité et de mise en conformité !
Je privilégie pour cela un rapport unique, structuré en lecture pyramidale. Le premier niveau parle à tout le monde, y compris à une DG sans bagage technique : quelques slides très visuelles, avec des graphiques de maturité et de conformité ainsi qu’une vision de l’effort à fournir. C’est ce socle qui aligne les perceptions, les enjeux de l’audit, les décisions essentielles et évite les débats sur l’état actuel. C’est aussi l’occasion d’identifier comment l’organisation se situe par rapport à d’autres entreprises du même secteur d’activité et de même taille.
Ensuite, le même document descend progressivement vers les couches techniques : plus de granularité, des annexes si nécessaire, et un niveau de détail qui permet aux équipes IT de se saisir des sujets sans interpréter.
Enfin, un audit devient actionnable quand il se conclut par une roadmap réaliste sur X mois, assez synthétique pour arbitrer, assez précise pour lancer des actions. Je l’ai vécu sur un audit d’hygiène dans une entreprise de papier peint : la DG était présente, attentive, parce que la synthèse lui apportait une vision du constat, des implications et des décisions adaptées à une direction générale.
Le piège, c’est de fournir plusieurs rapports parallèles. Vous perdez de l’information, vous créez des incohérences, et vous entraînez des divisions au lieu d’aligner les différentes directions.
Dans un livrable d’audit cybersécurité actionnable, quelles sections sont impératives ? Et qu’est-ce qui relève plutôt du cosmétique ?
Un livrable devient actionnable quand il repose sur une chaîne complète et logique : preuves, écart au référentiel, impact/risque, recommandation.
La première section non négociable, ce sont donc les preuves. Un constat d’audit doit dire ce qui a été observé, sur quel périmètre, puis être comparé à un référentiel. Dans nos audits, ce référentiel s’appuie sur le Guide d’hygiène de l’ANSSI, avec ses niveaux standard et renforcé. Sur certaines règles, l’auditeur peut indiquer que le niveau standard est atteint, et indiquer les actions complémentaires à mener pour arriver au niveau renforcé. Par exemple sur la gestion des comptes à privilèges, le niveau standard requiert des comptes à privilèges distincts. Cependant, pour atteindre le niveau renforcé, il faut avoir mis en place une revue périodique de ces privilèges. Sur le terrain, c’est un cas fréquent de non-conformité : une personne change d’équipe, les nouveaux droits sont ajoutés, les anciens ne sont pas supprimés !
La deuxième, c’est la qualification de l’impact sur le Système d’Information. Un écart sans lecture d’impact reste théorique. J’utilise pour cela une gradation simple (mineur, majeur, élevé) .
Troisième brique indispensable, le niveau de risque. Une faiblesse peut permettre, par exemple, une intrusion suivie d’une élévation de privilèges. Le niveau de risque se déduit du croisement entre la vraisemblance (est-ce réellement exploitable, avec quelle probabilité) et l’impact. C’est ce qui permet d’arbitrer.
Enfin, le livrable doit aboutir à des recommandations en fonction des éléments d’analyse : Sur tel risque avec tel impact, quelles sont les préconisations opérationnelles pour atténuer, supprimer ou transférer le risque ?
En opposition, le “cosmétique”, c’est tout ce qui ne renforce pas cette chaîne. Du verbiage, des pages qui reformulent le référentiel sans preuve terrain, ou des recommandations trop générales qui ne permettent pas d’arbitrer, d’identifier l’effort et de lancer une action concrète.
Comment priorises-tu les chantiers cybersécurité entre quick-wins, risque structurel et capacité réelle de la DSI ?
Prioriser évite de noyer le client sous les recommandations. C’est donc un prérequis pour que le livrable soit exploitable.
Dans les audits que nous réalisons chez Inside, nous structurons la feuille de route en P1 / P2 / P3 (court, moyen, long terme). Ensuite, à l’intérieur d’un même niveau, l’arbitrage repose sur deux axes très concrets : l’effort et la valeur de réduction du risque. Le guide ANSSI ne donne pas une grille de quick wins : cette adaptation au contexte et l’identification du retour sur investissement font partie du rôle de l’auditeur.
Cette priorisation permet ainsi de faire cohabiter :
- des quick-wins peu coûteux et très rentables en réduction d’exposition (exemple typique côté exploitation : valider réellement la capacité de restauration des sauvegardes quand le contrôle n’est pas réalisé) ;
- des chantiers structurels qui demandent plus de coordination mais qui réduisent durablement le risque.
Pour illustrer, le rapport peut mettre en évidence des sujets “structurels” comme la connaissance du SI ou un réseau “à plat” entre postes et serveurs, ainsi que des points plus immédiatement activables liés à l’administration et aux pratiques poste de travail.
Inside a des agences à Toulouse, Montpellier, Lyon, Lille, Paris, Nantes et Clermont-Ferrand. La proximité est-elle un facteur de réussite selon toi ?
Oui, clairement. Pour un audit, être sur site crée une qualité d’échange et une profondeur d’observation que je n’obtiens pas à distance. Face à face, les équipes se livrent différemment, la dynamique n’est pas la même, et cela change la qualité des constats.
Il y a aussi une raison très pragmatique : certains contrôles nécessitent une vérification réelle. Selon le contexte, je dois pouvoir constater sur un poste de travail des éléments comme l’activation d’un pare-feu, la présence d’un proxy, ou des usages hors process qui ne remontent jamais en interview. J’ai déjà vu un mot de passe sur un post-it posé sur un poste : cela paraît caricatural, mais l’impact potentiel est énorme ! Ce type de signal, je le capte parce que je suis sur place.
Ensuite, tout n’exige pas du présentiel en continu : une partie du suivi et de l’accompagnement peut se faire à distance, par exemple pour conseiller la mise en œuvre d’une règle de sécurité sur les postes afin d’interdire certains types de mots de passe.
Enfin, la proximité joue également sur la compréhension du contexte spécifique du territoire. Les enjeux cyber sont partout, mais la pondération n’est jamais identique selon les typologies d’entreprises qu’un territoire concentre. Entre une industrie pharmaceutique avec des enjeux de propriété intellectuelle, d’exigences réglementaires, de secrets de formulation ou une industrie manufacturière pour qui la continuité de production, les stocks, les contraintes OT/IT sont prioritaires, la démarche d’audit s’adapte !
Pour conclure, quels sont les autres critères pour choisir son prestataire ou cabinet de services d’audit de cybersécurité ?
Pour moi, le premier critère, c’est la maturité du cabinet dans les audits cybersécurité, ses retours d’expérience, et des auditeurs capables d’interpréter un référentiel dans la pratique.
Deuxièmement, c’est la capacité des auditeurs à comprendre le métier et le contexte interne du client. Deux organisations peuvent avoir le même référentiel et des priorités totalement différentes selon le secteur, l’exposition, l’organisation du run, ou les dépendances applicatives et infrastructures. La différence se joue dans la posture et l’expertise sur toutes les briques du SI afin de se mettre à la place du client et comprendre ses contraintes.
Comme troisième critère, je dirai la qualité des livrables et l’engagement sur ce qui sera livré. Un bon prestataire sait décrire précisément le rapport attendu, son niveau de lecture (DG/DSI/RSSI/IT), et surtout produire un document compréhensible par tous et exploitable, avec des recommandations transformables en plan d’actions.
Enfin, la proximité compte, à la fois pour la présence sur site quand c’est nécessaire, et pour la connaissance des contextes sectoriels d’un bassin, qui rend les recommandations plus justes.
Le bon prestataire, c’est celui qui sait interpréter le référentiel dans votre contexte, produire un livrable exploitable par tous, et transformer ses constats en plan d’actions réaliste avec le meilleur ROI.
Chez Inside, nos audits s’appuient sur le guide d’hygiène ANSSI et visent précisément cette exploitabilité : un livrable unique multi-lectures, des constats étayés, et une feuille de route priorisée. Nous proposons également des sensibilisations à la cybersécurité et des formations management stratégique cybersécurité.
Échangeons autour de vos enjeux cybersécurité spécifiques à votre contexte !