Offre · PME et scale-up

Audit cybersécurité PME et scale-up — diagnostic, priorisation, plan d'action.

Évaluation complète de votre exposition cyber, identification des chantiers critiques, plan d'action priorisé sur 6 à 12 mois. Conduite directement par une ingénieure docteure en cybersécurité, indépendante de tout fournisseur.

Réserver une scope-call de 20 min

À qui s'adresse cet audit ?

Cet audit cybersécurité est conçu pour les PME et scale-up de 20 à 250 personnes qui font face à un déclencheur concret : un client enterprise qui exige un référentiel (SOC 2, ISO 27001, due diligence sécurité), une conformité NIS2 à atteindre avant octobre 2026, une cyber-assurance qui se renchérit, ou un incident de sécurité récent qui oblige à structurer.

Les deux profils types : un CTO ou DSI sans RSSI dédié qui doit prouver une maturité cybersécurité à un client ou un investisseur, ou un fondateur qui sait que la cybersécurité est devenue un sujet stratégique mais ne sait pas par où commencer.

Ce que nous regardons concrètement

L'audit cybersécurité couvre 8 domaines structurants, alignés sur l'Annexe A 2022 d'ISO 27001 et l'article 21 de la directive NIS2 :

  • Gouvernance et politique : politique de sécurité, charte informatique, sensibilisation, gestion des incidents.
  • Gestion des actifs et des accès : inventaire des actifs et des comptes, gestion des privilèges, MFA, comptes admin, comptes de service.
  • Sécurité réseau et endpoints : segmentation, EDR, durcissement OS, chiffrement, gestion des correctifs.
  • Sécurité applicative et DevSecOps : SAST, DAST, SCA, secret detection, gestion des dépendances, CI/CD.
  • Données et conformité : RGPD, classification, chiffrement au repos et en transit, sauvegardes immuables.
  • Cloud et tiers : configurations cloud (AWS/Azure/GCP), accès tiers, contrats fournisseurs, conformité.
  • Plan de continuité et résilience : RTO/RPO, plan d'incident, tests de restauration, BCP/DRP.
  • Conformité réglementaire : NIS2, RGPD, sectoriel (HDS, PCI DSS, DORA selon votre activité).

Méthode en 3 phases

Phase 1 — Découverte (1 semaine). Atelier de cadrage avec le CTO/DSI/CEO. Cartographie SI, accès en lecture aux principales consoles cloud, IdP, CI/CD, CRM. Revue documentaire (politiques existantes, contrats clés, incidents récents).

Phase 2 — Analyse approfondie (1 à 2 semaines). Tests techniques ciblés : scan d'exposition externe, revue des configurations cloud (CSPM ad-hoc), revue de l'IdP (Okta, Google Workspace, Entra ID), revue des secrets en circulation. Entretiens avec les équipes techniques.

Phase 3 — Restitution et plan d'action (3 jours). Rapport d'audit détaillé (40-60 pages), restitution exécutive (slides 15 pages), plan d'action priorisé sur 12 mois avec budget indicatif et indicateurs de suivi. Atelier de transfert d'1 demi-journée.

Ce que vous recevez

  • Rapport d'audit complet : cartographie des risques, scoring par domaine (Annexe A ISO 27001 / article 21 NIS2), constats détaillés avec preuves.
  • Plan d'action 12 mois : 30 à 60 actions priorisées (Quick wins, Critique, Important, Optimisation), avec effort estimé et budget indicatif.
  • Documentation socle : modèles de politiques (PSSI, gestion des accès, gestion des incidents), prêts à adapter.
  • Restitution exécutive : slides utilisables en COMEX ou auprès d'investisseurs.
  • Atelier de transfert : passage en revue avec votre équipe technique pour s'approprier le plan.

Combien ça coûte ?

Pour une PME ou scale-up de 20 à 100 personnes, le budget d'un audit cybersécurité complet est de 12 à 25 K€ HT, selon le périmètre et la complexité du SI. Inclus : 3-4 semaines d'effort consultant, rapport, plan d'action, restitution, transfert.

Pour un périmètre plus restreint (audit flash 1 semaine) : 6 à 9 K€ HT. Pour un périmètre étendu (multi-entités, présence multi-cloud, environnements régulés) : 25 à 50 K€ HT.

Certains audits sont éligibles aux dispositifs France Num, Bpifrance Cyber PME, ou aux aides régionales. Une scope-call gratuite de 20 minutes permet de cadrer le périmètre exact et de fournir un devis ferme.

Pourquoi WeeSec et pas un grand cabinet ?

Trois différences concrètes par rapport à PwC, Capgemini, Wavestone ou aux cabinets équivalents :

1. Vendor-neutral et indépendance vraie. Aucun partenariat technologique, aucune commission de revente d'outils. Les recommandations sont uniquement guidées par votre intérêt. À l'inverse, beaucoup de grands cabinets sont liés à des partenariats produit (Splunk, CrowdStrike, Palo Alto, etc.) qui colorent leurs préconisations.

2. La fondatrice fait elle-même les missions. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified, 15+ ans d'expérience auprès de BNP Paribas, Société Générale, Thales, AXA, EDF, L'Oréal, Allianz. Pas un junior envoyé sur le terrain pour facturer un senior.

3. Format boutique senior, pricing transparent. Pas d'onboarding lourd, pas de commercial intermédiaire. Une scope-call, une proposition, démarrage en 2 semaines.

Cadrage direct, sans engagement.

Une scope-call de 20 minutes pour qualifier votre besoin et vous fournir un devis ferme.

Réserver un échange Calendly

Articles connexes

Cybersécurité PMECybersécurité PME : 7 priorités avant un RSSI ConformitéISO 27001 SaaS B2B : roadmap 12 mois Cybersécurité PMEGérer un incident cyber en 7 étapes Cybersécurité PMECyber-assurance 2026 : ce que les assureurs vérifient
FAQ

Questions fréquentes.

Combien coûte un audit cybersécurité pour une PME en France ?

Pour une PME de 20 à 100 personnes, comptez 12 à 25 K€ HT pour un audit complet (3-4 semaines d'effort consultant). Audit flash 1 semaine : 6 à 9 K€. Audit pour ETI ou structure régulée (HDS, PCI DSS) : 25 à 50 K€. Le devis est cadré lors d'une scope-call gratuite de 20 minutes.

Combien de temps prend un audit cybersécurité ?

Un audit complet prend 3 à 4 semaines de bout en bout : 1 semaine de découverte, 1-2 semaines d'analyse approfondie, 3 jours de restitution. Le rapport et le plan d'action sont livrés en moins d'un mois après le kick-off. Un audit flash en mode accéléré : 1 semaine.

Quel référentiel est utilisé pour l'audit ?

L'audit s'appuie sur l'Annexe A 2022 d'ISO 27001 (93 contrôles) et l'article 21 de la directive NIS2, complétés selon le contexte par le NIST CSF 2.0, le RGPD, l'AI Act pour les systèmes IA, et les référentiels sectoriels (HDS, PCI DSS, DORA). Le scoring final est aligné sur ces référentiels pour faciliter une certification ultérieure.

L'audit prépare-t-il une certification ISO 27001 ou SOC 2 ?

Oui. L'audit identifie le gap par rapport au référentiel cible (ISO 27001, SOC 2 Type II, ou les deux) et le plan d'action est structuré pour atteindre la certification en 9 à 12 mois. WeeSec accompagne ensuite la mise en œuvre opérationnelle et la préparation à l'audit de l'organisme certificateur.

Quelle différence avec un pentest ?

Un pentest teste techniquement la sécurité d'une application ou d'une infrastructure (offensive). Un audit cybersécurité couvre l'ensemble : organisation, processus, technique, conformité, gouvernance. Un audit peut intégrer un mini-pentest, mais c'est rarement le cœur. Pour un test offensif pur, un prestataire pentest spécialisé est plus adapté.

Que se passe-t-il après l'audit ?

Trois options : (1) vous opérationnalisez le plan d'action en interne avec un suivi mensuel WeeSec ; (2) WeeSec accompagne la mise en œuvre directement (RSSI externalisé, accompagnement certification, mission ad-hoc) ; (3) vous internalisez en recrutant un RSSI — l'audit lui fait gagner 4 à 8 semaines de cartographie.

À propos

Aroua Biri — fondatrice WeeSec, ingénieure docteure en cybersécurité

Aroua Biri

Fondatrice de WeeSec. Ingénieure docteure en cybersécurité (Télécom SudParis), MIT Applied AI certified. 15+ ans d'expérience auprès de BNP Paribas, Société Générale, ENEDIS, Engie, TOTAL, LVMH, Thales, AXA, EDF, L'Oréal, Allianz.

Profil complet · LinkedIn · Malt