L'audit SI est une mission formalisée de cartographie, d'analyse et de recommandations sur un système d'information — généralement 2 à 6 semaines, livrant un rapport structuré (gap analysis, plan de remédiation, schéma directeur 3 ans) sous des cadres méthodologiques reconnus : COBIT, ITIL, ISO 27001, NIS2, EBIOS RM, ANSSI.
Mission facturée, structurée, livrable décisionnel exploitable directement par le COMEX, l'assemblée générale, l'acquéreur ou l'autorité de contrôle. À distinguer de l'audit gratuit 30 min qui est une porte d'entrée commerciale, pas un livrable décisionnel.
3 à 5 j
Audit Flash Cyber
2 à 4 sem.
Audit SI complet
4 à 6 sem.
Schéma directeur SI
NDA
Confidentialité contractuelle
Réflexion stratégique, obligation réglementaire, SI qui a dérivé — l'audit est l'outil que mobilisent dirigeants et DSI pour décider en connaissance de cause.
Acquisition d'une autre entreprise (et son SI), refonte complète, changement d'ERP, internalisation ou externalisation IT, succession à la tête de la DSI. Vous avez besoin d'une photo objective et documentée avant de décider.
NIS2 (opérateurs de services essentiels ou importants), ISO 27001 en préparation de certification, RGPD avec analyse d'impact, ANSSI pour les établissements scolaires sous contrat. Ces obligations exigent un audit structuré et des plans de remédiation documentés.
Empilement d'outils, dette technique accumulée, comptes administrateurs partagés, sauvegardes non testées, sécurité de façade. Plutôt que d'attaquer dans le désordre, un audit pose le cadre et priorise.
Chaque mission est cadrée selon votre enjeu : posture cyber isolée, cartographie SI complète, ou projection stratégique pluriannuelle.
3 à 5 jours
Audit ciblé sur la posture cybersécurité. Cartographie des expositions, revue Active Directory, revue tenant Microsoft 365, analyse des sauvegardes, scan des vulnérabilités externes, revue MFA et conditional access. Idéal pour préparer une assurance cyber, démarrer une mise en conformité NIS2, ou faire un point rapide après un incident.
2 à 4 semaines
Audit approfondi sur l'ensemble du SI : infrastructure (serveurs, réseau, cloud), applications métier, sécurité, sauvegardes, gouvernance, processus, contrats fournisseurs, coûts. Référentiels mobilisés : COBIT pour la gouvernance, ITIL pour les processus, ISO 27001/27002 pour la sécurité, EBIOS RM pour l'analyse de risques cyber.
4 à 6 semaines
Au-delà de l'audit, le schéma directeur projette le SI à 3 ou 5 ans. Stratégie business → trajectoire IT → roadmap projets → budget pluriannuel → gouvernance cible (RACI, comité IT, indicateurs de pilotage). Adapté aux PME en croissance forte, aux ETI en transformation, aux organisations à la suite d'un rachat ou d'une fusion.
Due diligence pré-rachat, mise en conformité NIS2, schéma directeur PME en croissance, audit ANSSI éducation — chaque mission s'adapte au contexte décisionnel.
Avant la signature, vous voulez savoir : leur SI tient-il la route, quelles dettes techniques cachées, quels contrats fournisseurs hérités, quelle exposition cyber, quel coût d'intégration ? Notre due diligence IT s'enchaîne avec votre due diligence financière, en 2 à 3 semaines, livrant un rapport directement intégrable au pacte d'actionnaires.
Vous êtes opérateur de services essentiels ou opérateur de services importants. NIS2 impose gouvernance documentée, gestion des risques, supervision continue, gestion d'incidents, sécurité de la chaîne logistique. Notre audit NIS2 cartographie les exigences vs votre posture actuelle, et livre un plan de remédiation avec roadmap, RACI, budget et indicateurs.
Vous passez de 30 à 100 collaborateurs en deux ans. Votre SI a été monté au fil de l'eau. Vous voulez un cadre qui prépare les 3 prochaines années : choix structurants (ERP, cloud, sécurité), trajectoire de désendettement technique, modèle de gouvernance, budget pluriannuel.
Vous êtes un établissement scolaire privé sous contrat. L'ANSSI et le ministère publient des référentiels de sécurité (segmentation des réseaux pédagogiques/administratifs/invités, protection des bases élèves, conformité Aplim Charlemagne, RGPD scolaire). Notre audit ANSSI éducation vérifie votre conformité et livre un plan de remédiation adapté au calendrier scolaire et à votre OGEC.
Cadrage, collecte, analyse, restitution — référent unique côté Axalys et équipe constante du début à la fin de la mission.
Échange initial avec la direction, définition du périmètre, des référentiels mobilisés, du calendrier et des livrables attendus. Convention d'audit signée.
Interviews (direction, DSI/RSSI, utilisateurs clés), accès en lecture aux environnements, revue documentaire (contrats, procédures, schémas, registres RGPD), scans techniques.
Gap analysis vs référentiels, scoring de maturité, identification des risques par criticité, chiffrage des plans de remédiation.
Présentation au COMEX ou à la direction, ajustements, livrable final remis sous 5 jours. Confidentialité contractuelle stricte.
Les deux sont complémentaires. Beaucoup de nos clients démarrent par l'audit gratuit, puis enchaînent sur un audit SI complet 6 à 12 mois plus tard.
L'audit est conduit sous engagement écrit. Le consultant qui audite n'est pas celui qui revend ensuite — pas de conflit d'intérêt. Méthodologie, sources et raisonnements documentés : un tiers peut re-challenger.
Engagements contractuels
COBIT (gouvernance), ITIL (processus), ISO 27001/27002 (sécurité), NIS2 (continuité et gouvernance cyber), EBIOS RM (analyse de risques cyber, méthode ANSSI), référentiels ministériels pour l'éducation. Le choix dépend de votre contexte et de vos objectifs.
Oui, mais nous précisons explicitement dans la convention si la mission concerne notre propre périmètre opéré. Pour les audits à enjeu (assurance cyber, certification ISO 27001), nous recommandons un tiers indépendant. Pour les audits d'amélioration continue, notre connaissance approfondie du SI est un atout.
Variable selon la taille du SI et la profondeur attendue. Audit Flash Cyber, Audit SI complet PME et Schéma directeur : sur devis personnalisé, établi après cadrage initial gratuit. Notre transparence va jusqu'au détail : jours-homme prévus, livrables, planning. Pas de mauvaise surprise.
Audit Flash Cyber : 3-5 jours d'analyse + 1 semaine de rédaction. Audit SI complet : 2-4 semaines. Schéma directeur : 4-6 semaines. Restitution incluse.
Oui, plusieurs missions de due diligence IT pré-rachat, principalement pour des PME et ETI rachetant des structures de 20 à 200 collaborateurs.
Oui, plusieurs établissements scolaires sous contrat audités selon le référentiel ANSSI éducation, avec plans de remédiation calés sur les rythmes scolaires et les contraintes OGEC.
Vous décidez. Soit vous internalisez la remédiation, soit vous nous confiez tout ou partie via un contrat d'infogérance, soit vous mettez en concurrence sur la base du plan que nous avons livré. Il n'y a pas d'obligation contractuelle de suivre avec nous.
Oui. Audit de votre posture cloud Azure / AWS / OVHcloud / Scaleway : sécurité (IAM, segmentation réseau, chiffrement), conformité (RGPD, NIS2), résilience (sauvegardes, multi-AZ) et FinOps (analyse des coûts, reserved instances, rightsizing, recommandations d'optimisation). Méthodes Microsoft CAF / AWS Well-Architected selon le périmètre.
Cadrage initial gratuit, devis audit SI sous 48 h. Convention d'audit signée avant tout démarrage. Confidentialité contractuelle stricte.
