Audit IT d'été : la checklist en 10 points avant la rentrée
Labblog
9 Min

L'été est la fenêtre idéale pour auditer son SI avant la rentrée. Checklist opérationnelle en 10 points : sécurité, sauvegardes, conformité, performance.
Pour beaucoup de DSI et de responsables IT en PME, l'été est la seule période de l'année où la pression opérationnelle baisse suffisamment pour faire un vrai bilan. Pas un audit formel à 15 000 euros, mais une revue structurée du SI, des risques et des chantiers prioritaires de la rentrée.
En 2026, cette revue prend une importance particulière. Les renouvellements de licences VMware tombent souvent en septembre ou octobre, la pénurie de RAM pèse sur les arbitrages d'achat, et les groupes de ransomware restent très actifs sur le segment PME. Profiter de juillet et août pour cadrer permet d'arriver en septembre avec un plan, pas avec une liste de pompiers à éteindre.
Voici la checklist en 10 points que nous proposons à nos clients pour cet été. Comptez deux à trois jours répartis sur quatre à six semaines.
Pourquoi l'été est la bonne fenêtre
Trois raisons.
D'abord, la baisse d'activité réelle. Les équipes métier sont en congés par roulement, les projets stratégiques sont en pause, le support quotidien baisse de 30 à 50 % en moyenne. C'est mathématiquement le moment où la marge cognitive interne est la plus disponible.
Ensuite, le calendrier d'exploitation. La rentrée concentre les reprises de projets, les renouvellements de contrats et les pics de charge. Arriver en septembre avec un état des lieux et une feuille de route évite de subir ces échéances et de décider dans l'urgence.
Enfin, le calendrier budgétaire. La plupart des PME bouclent leur budget IT de l'année suivante en octobre-novembre. Un audit fait en juillet-août permet d'arriver à cette discussion avec des chiffres, pas des intuitions.
Les 10 points à auditer cet été
Point 1 · l'inventaire des actifs
Combien de serveurs, de postes, d'équipements réseau, de licences logicielles actives. Combien de VM, sur quels hyperviseurs, avec quelle redondance. Combien d'utilisateurs, avec quels droits, dans quels groupes. Sans inventaire à jour, rien d'autre n'a de sens. Outils utilisables gratuitement : OCS Inventory, GLPI, ou même un export Active Directory et vSphere croisé dans un fichier Excel propre.
Point 2 · l'état de la sauvegarde
Dernier test de restauration complet et date. Rétention réelle, par catégorie de données. Présence d'une copie immuable ou hors ligne. Conformité avec la règle 3-2-1-1-0. Si la dernière restauration complète remonte à plus de six mois, faire un test maintenant pendant la fenêtre calme. C'est l'occasion de vérifier que les sauvegardes sont vraiment exploitables, pas juste enregistrées.
Point 3 · le périmètre cyber exposé
Quels services sont exposés sur Internet (VPN, RDP, ports ouverts, applications web, outils SaaS). Versions logicielles et dates de dernière mise à jour. CVE applicables. Outils gratuits utilisables : Shodan pour voir ce qui est exposé depuis l'extérieur, OpenVAS ou Nessus Essentials pour scanner les vulnérabilités, l'outil MonServiceCyber de l'ANSSI pour un diagnostic global.
Point 4 · les identités et les accès
Comptes administrateurs (combien, qui, depuis quand). Comptes dormants ou orphelins. MFA activé sur quels services. Politique de mot de passe actuelle. Présence d'un coffre-fort de mots de passe pour les comptes techniques. C'est le point où les écarts de sécurité sont les plus fréquents et les plus simples à corriger.
Point 5 · les contrats et les renouvellements
Liste des contrats fournisseurs (infogérance, hébergement, licences logicielles, télécoms, sauvegarde, cyber-assurance). Date de prochaine échéance. Niveaux de service. Clauses de réversibilité. Volumétrie réelle contre volumétrie facturée. C'est là qu'on trouve typiquement 5 à 15 % d'économies possibles, juste par revue rigoureuse.
Point 6 · la supervision et la journalisation
Que supervisez-vous réellement aujourd'hui ? Disposez-vous d'alertes sur la disponibilité des services critiques, l'espace disque, l'échec des jobs de sauvegarde, les authentifications anormales sur le VPN ? Les journaux des accès et des opérations administratives sont-ils centralisés et conservés ? Sans supervision ni journaux, une panne comme une intrusion se découvrent trop tard. C'est souvent le chantier au meilleur rapport effort/bénéfice d'un audit d'été.
Point 7 · la documentation à jour
Plan d'infrastructure réseau, schéma d'architecture, procédures de gestion d'incident, plan de continuité, registre de traitement des données personnelles. Les documents existent souvent, ils sont rarement à jour. Profiter de l'été pour les actualiser, sans viser la perfection : un schéma à jour vaut mieux qu'un schéma parfait obsolète.
Point 8 · l'état du matériel
Ages des serveurs, des postes, des équipements réseau. Garanties en cours. Capacités utilisées contre capacités maximales. Plan de renouvellement. Dans le contexte 2026 de pénurie de RAM (hausse de 90 à 95 % au premier trimestre), anticiper les renouvellements peut faire économiser 20 à 40 % par rapport à des achats en urgence à l'automne.
Point 9 · la performance applicative
Quels sont les services métier les plus utilisés. Sont-ils performants ou les utilisateurs se plaignent-ils. Les goulots d'étranglement sont-ils côté réseau, stockage, CPU, RAM, ou côté code applicatif. Sans ce diagnostic, on investit souvent au mauvais endroit.
Point 10 · les compétences et la couverture humaine
Qui sait faire quoi dans l'équipe. Quelles connaissances reposent sur une seule personne. Quelles compétences manquent et seront nécessaires à la rentrée. Plan de formation envisagé. Si une compétence critique repose sur une personne unique, c'est un risque opérationnel à documenter.
Comment structurer le travail
Approche pragmatique en quatre temps sur six semaines.
Semaine 1, lancement. Désignation d'un référent de l'audit en interne, planification des entretiens nécessaires avec les responsables métier, demande des documents existants aux fournisseurs (contrats, rapports d'audit antérieurs, schémas d'architecture).
Semaines 2 à 4, collecte et observation. Inventaires automatisés, tests de sauvegarde, scans de vulnérabilités, entretiens internes. Pas de production de rapport à ce stade, juste de l'observation et de la prise de notes.
Semaine 5, synthèse. Cartographie des écarts, identification des chantiers prioritaires, estimation des coûts et des délais. Le rapport interne fait typiquement 15 à 25 pages pour une PME, avec un résumé exécutif d'une page pour la direction.
Semaine 6, validation et plan de rentrée. Présentation à la direction, arbitrage des priorités, calendrier de mise en œuvre pour septembre-décembre. C'est ce document qui devient la feuille de route opérationnelle de la rentrée.
Si vous voulez un audit externe
Pour les PME qui n'ont pas la marge interne ou qui préfèrent un regard neuf, un audit externe coûte typiquement entre 3 000 et 8 000 euros pour une structure de 50 à 100 salariés. Le délai standard est de deux à quatre semaines pour la collecte, plus une semaine de synthèse. Demander un livrable structuré (cartographie, écarts de sécurité, chantiers priorisés, chiffrage) plutôt qu'un rapport générique.
Chez SPMDIGITAL, nous proposons des audits IT d'été calibrés pour les PME et ETI, centrés sur l'infrastructure, les sauvegardes et la sécurité d'exploitation. Si vous voulez profiter de cette fenêtre, contactez-nous avant fin juillet pour que l'intervention puisse se caler avant la rentrée.
Similar Topic






