Aller au contenu principal
Sébastien MAIMON
Accueil
Diagnostic Situations critiques Cas clients À propos
Contact
Publié le

Checklist : auditer le SI d'une PME en 10 points

Une checklist pratique en 10 points pour auditer le système d'information d'une PME et identifier rapidement les axes d'amélioration.

#Audit #SI #PME #Stratégie

Avant de transformer quoi que ce soit, il faut savoir d’où l’on part. Un audit du SI ne nécessite pas six mois de conseil : avec cette checklist en 10 points, un dirigeant de PME peut déjà poser un diagnostic fiable.

Les 10 points à vérifier

1. Inventaire du parc matériel

Lister tous les équipements : postes, serveurs, périphériques, équipements réseau. Noter l’âge, l’état et la date de fin de garantie de chaque élément.

2. Cartographie logicielle

Recenser toutes les applications utilisées, leur version, et leur éditeur. Identifier les logiciels obsolètes ou non maintenus.

3. Contrats fournisseurs et prestataires

Rassembler tous les contrats en cours : hébergement, maintenance, support, licences. Vérifier les dates d’échéance, les clauses de reconduction tacite et les conditions de sortie.

4. Politique de sauvegarde

Vérifier que les sauvegardes existent, qu’elles sont automatisées, externalisées et testées régulièrement. Une sauvegarde jamais testée est une sauvegarde qui n’existe pas.

5. Sécurité et accès

Contrôler la gestion des mots de passe, l’existence d’une authentification multi-facteurs ou MFA (authentification multifacteur), et la revue régulière des droits d’accès. Qui a accès à quoi, et pourquoi ?

6. Documentation existante

Y a-t-il un schéma réseau à jour ? Des procédures écrites pour les opérations critiques ? Dans la plupart des PME, la réponse est non – c’est un risque majeur.

7. Coût global du SI

Consolider tous les postes de dépense IT : matériel, licences, prestataires, télécom, cloud. Rapporter ce coût au chiffre d’affaires pour obtenir un ratio comparable.

8. Satisfaction des utilisateurs

Interroger les équipes : quels outils posent problème au quotidien ? Où perdent-elles du temps ? Ce point révèle souvent des gains rapides.

9. Conformité réglementaire

Vérifier la conformité RGPD (registre des traitements, DPO désigné, mentions légales). Contrôler les obligations sectorielles éventuelles.

10. Plan de continuité et de reprise

L’entreprise dispose-t-elle d’un PCA ou d’un PRA ? Si le serveur principal tombe demain matin, que se passe-t-il concrètement ?

En résumé

Cet audit ne remplace pas une analyse approfondie, mais il permet de révéler les failles les plus critiques en quelques heures. Le livrable attendu : un tableau synthétique avec, pour chaque point, un statut (conforme / à risque / critique) et une action corrective priorisée.