Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/NIS2 / Securite/Audit de sécurité informatique : méthodologie et outils
NIS2 / Securite

Audit de sécurité informatique : méthodologie et outils

Comment réaliser un audit de sécurité informatique : tests d'intrusion, analyse de vulnérabilités, audit organisationnel. Méthodologie et obligations légales.

Par Thiébaut DevergrannePublie le 15 janvier 2026Mis a jour le 15 janvier 202611 min de lecture
Sommaire
  1. Les différents types d’audits de sécurité
  2. Le cadre juridique de l’audit de sécurité
  3. La qualification PASSI de l’ANSSI
  4. Méthodologie d’un audit de sécurité
  5. Coûts et fréquence
  6. L’alignement avec ISO 27001
  7. Conclusion

L’audit de sécurité informatique est une démarche d’évaluation systématique de la sécurité d’un système d’information. Il vise à identifier les vulnérabilités, à évaluer l’efficacité des mesures de protection en place et a formuler des recommandations d’amélioration. Qu’il soit impose par une réglementation ou initié volontairement, l’audit constitue un outil indispensable de la gouvernance de la sécurité.

Les différents types d’audits de sécurité

Il n’existe pas un audit de sécurité unique, mais plusieurs types complémentaires, chacun répondant à des objectifs distincts.

Le test d’intrusion (pentest)

Le test d’intrusion consiste à simuler une attaque réelle contre le système d’information, dans des conditions contrôlées, afin d’identifier les vulnérabilités exploitables. Le pentester utilise les mêmes techniques qu’un attaquant réel : reconnaissance, énumération, exploitation de failles, élévation de privileges, mouvement lateral.

On distingué plusieurs approches selon le niveau d’information fourni à l’auditeur :

  • Test en boite noire (black box) : l’auditeur ne dispose d’aucune information préalable sur le système cible. Il simule un attaquant externe sans connaissance interne. Cette approche est la plus réaliste mais aussi la plus coûteuse en temps.

  • Test en boite grise (grey box) : l’auditeur dispose d’informations partielles (comptes utilisateurs, documentation technique partielle). Cette approche simule un attaquant ayant déjà un certain niveau d’accès, par exemple un employé malveillant ou un prestataire.

  • Test en boite blanche (white box) : l’auditeur dispose de toutes les informations techniques disponibles (architecture, code source, comptes administrateurs). Cette approche permet une couverture maximale et une identification plus exhaustive des vulnérabilités.

Le test d’intrusion peut cibler différents périmètres : infrastructure réseau, applications web, applications mobiles, réseaux sans fil, ingénierie sociale (tests de phishing), sécurité physique.

L’analyse de vulnérabilités

L’analyse de vulnérabilités (vulnerability assessment) consiste à scanner automatiquement les systèmes pour identifier les failles connues : logiciels obsolètes, configurations incorrectes, ports ouverts inutilement, certificats expirés, etc. Elle repose sur des outils automatisés qui comparent l’état du système à des bases de données de vulnérabilités connues (CVE).

Contrairement au pentest, l’analyse de vulnérabilités ne cherche pas a exploiter les failles identifiées. Elle produit un inventaire des vulnérabilités classées par sévérité, qui sert de base à un plan de remédiation priorisé.

L’analyse de vulnérabilités est complémentaire du test d’intrusion : elle offre une couverture large mais superficielle, tandis que le pentest fournit une évaluation approfondie mais sur un périmètre plus restreint.

L’audit organisationnel

L’audit organisationnel évalué la maturité de l’organisation en matière de sécurité au regard d’un référentiel (ISO 27001, guide d’hygiène informatique de l’ANSSI, etc.). Il porte sur les politiques, les procédures, la gouvernance, la sensibilisation, la gestion des risques et la conformité réglementaire.

Cet audit repose principalement sur des entretiens avec les acteurs clés (RSSI, DSI, DPO, responsables métiers), l’examen de la documentation (PSSI, procédures, registres) et l’analyse des preuves d’application des mesures déclarées.

L’audit organisationnel est essentiel pour évaluer les aspects humains et processuels de la sécurité, que les tests techniques ne couvrent pas. Une organisation peut disposer de pare-feu de dernière génération mais avoir des procédures de gestion des accès défaillantes : seul l’audit organisationnel le révèlera.

L’audit de code source

L’audit de code source (ou revue de code sécurité) consiste à analyser le code source d’une application pour y détecter des vulnérabilités : injections SQL, cross-site scripting (XSS), gestion incorrecte de l’authentification, exposition de données sensibles, failles de logique métier, etc.

L’audit de code peut être realise manuellement par des experts ou assistée par des outils d’analyse statique (SAST). L’approche manuelle est plus coûteuse mais permet d’identifier des failles de logique métier que les outils automatisés ne detectent pas. La combinaison des deux approches est recommandée.

L’audit de configuration

L’audit de configuration verifie que les systèmes (serveurs, équipements réseau, bases de données, services cloud) sont configurés conformément aux bonnes pratiques de sécurité et aux standards de l’organisation. Il s’appuie sur des référentiels de durcissement (benchmarks CIS, guides de l’ANSSI, recommandations constructeurs).

Le cadre juridique de l’audit de sécurité

L’autorisation préalable : une obligation incontournable

L’article 323-1 du Code pénal sanctionné le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données. Les peines prévues sont de trois ans d’emprisonnement et 100 000 euros d’amende, portées à cinq ans et 150 000 euros lorsque l’accès entraîne une modification ou suppression de données ou une altération du fonctionnement du système.

Cette qualification pénale s’applique même en l’absence d’intention malveillante. Un audit de sécurité, par nature, implique des tentatives d’accès non autorisés aux systèmes. Sans autorisation écrite préalable du propriétaire du système, un pentest constitue une infraction pénale.

L’autorisation doit être formalisée dans une convention d’audit ou un mandat de test d’intrusion qui precise :

  • L’identité du commanditaire et de l’auditeur
  • Le périmètre exact des tests autorisés (adressés IP, applications, plages horaires)
  • Les techniques autorisées et les limités (par exemple, interdiction des tests de déni de service en production)
  • La durée de la mission
  • Les obligations de confidentialité
  • Les modalités de restitution des résultats

Les obligations liées aux données personnelles

Lorsque l’audit porte sur des systèmes contenant des données personnelles, le RGPD s’applique. L’auditeur peut être amené a accéder à des données personnelles dans le cadre de ses tests. Le respect de l’article 32 du RGPD et les principes de minimisation doivent guider la démarche : l’auditeur ne doit accéder qu’aux données strictement nécessaires à l’évaluation de la sécurité.

Un contrat de sous-traitance au sens de l’article 28 du RGPD peut être nécessaire si l’auditeur est amené a traiter des données personnelles pour le compte du responsable de traitement.

Les exigences NIS2

La directive NIS2 impose aux entités essentielles et importantes d’évaluer régulièrement l’efficacité de leurs mesures de gestion des risques en matière de cybersécurité. L’article 21, paragraphe 2, point f, mentionné explicitement les “politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité”.

Les audits de sécurité constituent le moyen privilégié de satisfaire cette exigence. NIS2 renforce ainsi l’obligation de tester régulièrement la sécurité, au-delà du seul cadre volontaire.

Par ailleurs, les autorités compétentes peuvent, en vertu de NIS2, ordonner des audits de sécurité ciblés ou périodiques auprès des entités soumises à la directive.

La qualification PASSI de l’ANSSI

L’ANSSI a mis en place la qualification PASSI (Prestataires d’Audit de la Sécurité des Systèmes d’Information) pour garantir la compétence et la fiabilité des prestataires d’audit de sécurité.

La qualification PASSI couvre cinq portées d’audit :

  1. Audit organisationnel et physique
  2. Audit d’architecture
  3. Audit de configuration
  4. Audit de code source
  5. Tests d’intrusion

Un prestataire qualifié PASSI a démontre, auprès de l’ANSSI, qu’il dispose des compétences techniques, de l’organisation et des processus nécessaires pour réaliser des audits de sécurité dans les règles de l’art.

Le recours à un prestataire qualifié PASSI n’est obligatoire que dans certains contextes réglementaires (opérateurs d’importance vitale, certaines administrations). Néanmoins, le choix d’un prestataire qualifié constitue un gage de qualité et de sérieux appreciable pour toute organisation.

La listé des prestataires qualifiés PASSI est publiée sur le site de l’ANSSI et mise à jour régulièrement.

Méthodologie d’un audit de sécurité

Phase 1 : Cadrage et préparation

Cette phase est déterminante pour le succès de l’audit. Elle comprend :

  • La définition du périmètre : quels systèmes, quelles applications, quels sites sont couverts par l’audit ? Le périmètre doit être clairement délimité pour éviter les débordements et maîtriser les coûts.

  • La définition des objectifs : que cherche-t-on à évaluer ? La resistance aux attaques externes ? La sécurité des applications ? La conformité à un référentiel ? Les objectifs conditionnent le type d’audit a mener.

  • La planification : dates, durée, interlocuteurs, conditions d’accès, contraintes opérationnelles (périodes de gel, systèmes critiques a ne pas perturber).

  • La formalisation juridique : convention d’audit, autorisations, clauses de confidentialité.

  • La communication interne : selon l’approche retenue, les équipes internes peuvent être informées ou non de l’audit. Un pentest en conditions réelles implique souvent de ne prévenir que la direction et le RSSI.

Phase 2 : Collecte d’informations

L’auditeur recueille les informations nécessaires à la conduite de ses tests : documentation technique, architecture réseau, inventaire des actifs, politiques de sécurité, résultats des audits précédents. En mode boite noire, cette phase correspond à la reconnaissance externe.

Phase 3 : Réalisation des tests

C’est la phase technique de l’audit. L’auditeur exécute les tests prévus en respectant strictement le périmètre et les limités définis. Il documenté méthodiquement chaque test realise, chaque vulnérabilité identifiée et chaque preuve collectée.

Les outils utilisés varient selon le type d’audit : scanners de vulnérabilités (Nessus, Qualys, OpenVAS), outils de pentest (Burp Suite, Metasploit, Nmap), outils d’analyse de code (SonarQube, Checkmarx, Semgrep), outils d’audit de configuration (scripts CIS-CAT, Lynis).

Phase 4 : Analyse et rédaction du rapport

L’auditeur analyse les résultats, évalué la criticité de chaque vulnérabilité en fonction de son exploitabilité et de son impact potentiel, et rédigé un rapport structuré.

Un rapport d’audit de qualité comprend :

  • Un résumé exécutif : synthèse des conclusions a destination de la direction, avec une évaluation globale du niveau de sécurité.
  • La méthodologie employée : outils, techniques, conditions de réalisation.
  • Les résultats détaillés : chaque vulnérabilité identifiée avec sa description, son niveau de criticité (typiquement CVSS pour les vulnérabilités techniques), la preuve d’exploitation et les recommandations de remédiation.
  • Un plan de remédiation priorisé : les actions correctives classées par priorité (critique, haute, moyenne, faible) avec une estimation de la complexité de mise en oeuvre.

Phase 5 : Restitution

L’auditeur présente ses conclusions au commanditaire, idéalement lors d’une réunion de restitution permettant d’échanger sur les résultats et de clarifier les recommandations. Deux niveaux de restitution sont souvent nécessaires : une présentation synthétique pour la direction et une restitution technique détaillée pour les équipes opérationnelles.

Phase 6 : Suivi de la remédiation

L’audit ne se terminé pas avec la remise du rapport. Un suivi de la remédiation doit être organise pour s’assurer que les vulnérabilités identifiées sont effectivement corrigées. Un contre-audit (ou audit de vérification) peut être realise quelques mois après pour vérifier l’application des recommandations.

Coûts et fréquence

Coûts indicatifs

Les coûts d’un audit de sécurité varient considérablement selon le périmètre, le type d’audit et le prestataire :

Type d’audit Ordre de grandeur
Test d’intrusion externe (application web) 5 000 - 15 000 EUR
Test d’intrusion interne (réseau d’entreprise) 10 000 - 30 000 EUR
Analyse de vulnérabilités (infrastructure) 3 000 - 10 000 EUR
Audit organisationnel (ISO 27001) 10 000 - 40 000 EUR
Audit de code source 8 000 - 25 000 EUR

Ces fourchettes sont indicatives et dépendent fortement de la taille du périmètre et de la qualification du prestataire (un prestataire PASSI sera généralement plus coûteux mais offrira un niveau de qualité garanti).

Fréquence recommandée

La fréquence des audits doit être adaptée au niveau de risque de l’organisation :

  • Tests d’intrusion : au moins une fois par an pour les systèmes critiques, et après chaque modification majeure (mise en production d’une nouvelle application, changement d’architecture).
  • Analyses de vulnérabilités : mensuellement ou trimestriellement pour une surveillance continue.
  • Audits organisationnels : annuellement dans le cadre d’un SMSI ISO 27001, ou tous les deux à trois ans pour les autres organisations.
  • Audits de code : à chaque version majeure d’une application critique, idéalement intégrés dans le cycle de développement (DevSecOps).

L’audit RGPD est un exercice complémentaire qui porte spécifiquement sur la conformité des traitements de données personnelles. Il peut être combiné avec l’audit de sécurité pour une approche intégrée.

L’alignement avec ISO 27001

La norme ISO 27001 exigé, dans sa clause 9, la surveillance, la mesure, l’analyse et l’évaluation de la performance du système de management de la sécurité de l’information. Les audits de sécurité constituent un élément central de cette exigence.

Plus spécifiquement, la clause 9.2 impose la conduite d’audits internes a intervalles planifiés pour vérifier que le SMSI est conforme aux exigences de la norme et aux exigences de l’organisation elle-même. Les audits techniques (pentest, scans de vulnérabilités) completent les audits internes en apportant une évaluation concrète de l’efficacité des mesures de sécurité.

Conclusion

L’audit de sécurité informatique est un exercice exigeant qui requiert des compétences techniques pointues, une méthodologie rigoureuse et un cadre juridique maîtrisé. Il ne s’agit pas d’une dépense ponctuelle mais d’un investissement récurrent dans la sécurité de l’organisation. Avec les exigences croissantes de NIS2 en matière d’évaluation de l’efficacité des mesures de sécurité, les organisations soumises à cette directive doivent intégrer l’audit de sécurité dans leur cycle de gouvernance. Pour les autres, l’audit reste le meilleur moyen de passer d’une sécurité déclarative à une sécurité démontrée.

Articles lies

NIS2 / Securite

SecNumCloud : la qualification ANSSI du cloud de confiance

14 avril 2026 · 11 min
NIS2 / Securite

Notification de cyberattaque : qui prévenir, quand et comment

24 mars 2026 · 12 min
NIS2 / Securite

Pénalités NIS2 : montants des sanctions et régime d'application

23 mars 2026 · 12 min