Je suis Adrien Chaumarat, développeur Symfony depuis 2014, et j'accompagne des TPE, artisans et cabinets de services à bâtir des applications métier hébergées en France. Dès qu'on parle SaaS sur-mesure, on finit toujours par parler sécurité. Et là, je vois la même chose tous les mois : un patron de TPE, seul face à son ordinateur, qui ne sait pas par où commencer. Les grandes grilles ISO 27001 l'écrasent, les articles « top 10 conseils cybersécurité » ne l'aident pas à agir. Cet article est la checklist que je déroule avec mes clients quand on démarre une mission. Elle tient sur une page, elle coûte peu à appliquer, et elle couvre 80 % du risque réel.
Pourquoi un audit cybersécurité est devenu non-négociable pour une TPE
En 2025, selon le baromètre du CESIN, 47 % des entreprises françaises ont subi au moins une cyberattaque significative dans l'année. Chez les TPE, la statistique qui compte vraiment est ailleurs : selon une étude IBM Cost of a Data Breach 2024, une petite structure qui subit une compromission met en moyenne 277 jours à détecter et contenir l'incident.
Selon les rapports de l'ANSSI, le délai médian de détection d'une compromission de compte sur une messagerie professionnelle reste de plusieurs mois dans les TPE — faute de monitoring centralisé et d'alertes automatisées. La conséquence est rarement le vol initial : c'est l'usage prolongé du compte par l'attaquant pour envoyer de fausses factures, exfiltrer des données ou pivoter vers d'autres systèmes.
Le problème, dans la grande majorité des cas, n'est pas technique : il est organisationnel. Mot de passe identique sur la messagerie et sur un vieux forum, pas de double authentification, aucune sauvegarde exportée. Trois points qu'un audit de deux heures aurait détectés.
La checklist d'audit en 7 domaines
Voici la grille que j'utilise sur le terrain. Elle est volontairement courte et actionnable. Chaque ligne se vérifie en 5 à 15 minutes.
| Domaine | Point à vérifier | Niveau d'urgence | Coût de mise en conformité |
|---|---|---|---|
| Comptes et identités | Double authentification active sur email, banque, hébergeur, CRM | Critique | 0 € (TOTP via application) |
| Comptes et identités | Gestionnaire de mots de passe installé (Passbolt, Bitwarden, Proton Pass) | Critique | 0 à 48 €/an |
| Postes de travail | Chiffrement du disque activé (BitLocker, FileVault, LUKS) | Haute | 0 € |
| Postes de travail | Système à jour, antivirus natif actif, pare-feu actif | Haute | 0 € |
| Sauvegardes | Règle 3-2-1 respectée (3 copies, 2 supports, 1 hors-site) | Critique | 60 à 150 €/an |
| Hébergement | Données clients hébergées dans l'UE, contrat RGPD signé | Critique | Inclus dans l'offre |
| Hébergement | Certificats TLS valides, redirection HTTPS forcée | Haute | 0 € (Let's Encrypt) |
| Messagerie | Enregistrements SPF, DKIM, DMARC configurés sur le domaine | Haute | 0 € |
| Accès tiers | Liste des prestataires avec accès, revue annuelle | Moyenne | 0 € |
| Formation | Un exercice phishing réel dans l'année | Moyenne | 0 à 200 € |
| Plan de réponse | Procédure écrite en cas de compromission (qui appelle qui) | Haute | 0 € |
Comptes et identités : le chantier numéro un
D'expérience, sur 10 TPE auditées, 9 ont au moins un compte critique sans double authentification. C'est le point qui donne le meilleur retour sur investissement sécurité : activer TOTP sur la messagerie, la banque professionnelle, l'hébergeur, le CRM et la console d'administration du site. Cela prend 30 minutes. Cela bloque 99,9 % des tentatives de compromission par vol de mot de passe, selon le Microsoft Security Intelligence Report 2023.
Le gestionnaire de mots de passe est l'autre brique indispensable. Je préfère Passbolt pour les structures qui veulent rester souveraines : il s'auto-héberge sur ton infrastructure, le code est open source, et il s'intègre nativement à un écosystème Symfony. Je l'ai déployé pour deux clients SaaS dont les contraintes ne laissaient pas le choix : un éditeur de logiciel de facturation télécom (volumétrie de mots de passe techniques importante, audit régulier de qui voit quoi) et un cabinet de relecture réglementaire pour laboratoires pharmaceutiques (données ultra-sensibles, accès partagés entre relecteurs internes et experts externes). Dans les deux cas, le passage d'un partage en clair par email à un coffre Passbolt auto-hébergé a été l'investissement sécurité au meilleur ROI du projet.
Sauvegardes : la règle 3-2-1 qui sauve des vies
Trois copies des données, sur deux supports différents, dont une hors-site. C'est une règle ancienne mais toujours valide. Concrètement, pour une TPE : la copie vivante sur le poste, une copie synchronisée sur un NAS ou un cloud souverain (je travaille souvent avec Infomaniak kDrive ou OVH), une copie froide mensuelle sur un disque externe déconnecté.
Le disque externe déconnecté est le point qui fait la différence face à un rançongiciel : un ransomware ne peut pas chiffrer ce qui n'est pas branché.
Les erreurs que je croise dix fois par an
- Le prestataire fantôme : l'ancien développeur du site a toujours un accès SSH au serveur. Personne ne sait qui c'est. Revue annuelle des accès obligatoire.
- La sauvegarde qui n'en est pas une : la synchronisation Dropbox n'est pas une sauvegarde. Si un fichier est chiffré par un ransomware, la version chiffrée écrase la bonne. Il faut du versioning et de la rétention.
- Le certificat auto-signé toléré : « ça ne fait rien, on clique continuer ». Non. L'habitude de cliquer sur un avertissement de sécurité casse tout le réflexe défensif.
- La messagerie non authentifiée : sans SPF, DKIM et DMARC, n'importe qui peut envoyer un email au nom de ton domaine. Pour un SaaS qui envoie factures, exports ou notifications client, c'est une porte ouverte à l'usurpation : un fraudeur peut imiter le format de tes emails et substituer un RIB. Sur tous les SaaS que je maintiens, ces trois enregistrements DNS sont configurés systématiquement. Pour les volumes d'envoi importants, je passe par un routeur transactionnel comme Brevo plutôt que de saturer le serveur applicatif — ce qui permet aussi de centraliser le monitoring de délivrabilité et de réputation IP.
Quel niveau d'audit selon votre maturité ?
Je distingue trois niveaux d'audit selon la maturité de la structure.
| Niveau | Pour qui | Durée | Livrable |
|---|---|---|---|
| Autodiagnostic | Indépendant seul, démarche d'auto-formation | 2 heures | Grille ANSSI « Cybersécurité TPE/PME » remplie |
| Audit express | TPE 1 à 5 salariés, démarrage de projet SaaS | 1/2 à 1 journée | Rapport hiérarchisé + plan d'action 30 jours |
| Audit approfondi | Structures secteur sensible (santé, juridique, finance) | 3 à 5 jours | Audit technique + scan externe + plan 6 mois |
Pour la plupart de mes clients TPE, l'audit express suffit largement. Je le conduis en une journée, je remets un document court qui hiérarchise les corrections par criticité et par coût. L'erreur classique est de viser le niveau « audit approfondi » d'emblée : on consomme le budget, on ne corrige rien, et six mois plus tard rien n'a bougé.
Mes audits sont systématiquement chiffrés sur devis personnalisé. La raison est simple : un audit pertinent dépend du scope (uniquement le SaaS ? Toute l'infra ? Les postes ?), de la sensibilité des données (médical, financier, juridique) et du livrable attendu. Une grille tarifaire publique donnerait une fausse précision et m'obligerait soit à survendre, soit à brader. Si tu veux un ordre de grandeur, demande-moi un devis : je le rédige en 24 heures sur la base d'un échange de 30 minutes, sans engagement.
Et la conformité RGPD dans tout ça ?
La sécurité et le RGPD sont deux cercles qui se recouvrent mais qui ne se confondent pas. Un site peut être sécurisé et pas conforme (bannière cookies absente), et inversement, un site peut cocher tous les critères RGPD formels tout en étant une passoire. L'audit sécurité couvre le chiffrement, l'authentification, les sauvegardes, la chaîne d'hébergement. L'audit RGPD couvre les finalités, les bases légales, les durées de conservation, les droits des personnes.
Ceci dit, l'article 32 du RGPD impose une « sécurité appropriée au risque ». Concrètement, si vous manipulez des données de santé ou juridiques et que vous n'avez pas de double authentification, vous n'êtes pas conforme, même si votre politique de confidentialité est parfaite.
Ma recommandation : commencer petit, mais commencer maintenant
Sur les douze derniers mois, j'ai accompagné plusieurs artisans et cabinets sur ce type d'audit express. Le schéma qui marche est toujours le même : on coche la checklist ensemble en une après-midi, on corrige les points critiques dans la semaine, on programme une revue six mois plus tard. Aucun des clients qui a suivi ce rythme n'a eu d'incident majeur depuis.
Si tu veux une lecture critique de ton installation actuelle, je propose un audit express sur une demi-journée, axé sur les 11 points de la checklist ci-dessus. C'est la porte d'entrée la plus utile avant tout projet SaaS sur-mesure ou migration vers un hébergement souverain. Prends contact via le formulaire du site pour qu'on en discute.
