Audit cybersécurité TPE & PME

Trois niveaux d'audit,
un même objectif.

Flash pour un premier état des lieux à distance. Opérationnel pour un site et 1 à 3 serveurs ou NAS. PME pour les environnements plus denses, multi-sites ou avec AD et M365. Chaque mission combine un socle commun, des modules activés si besoin, un périmètre clair et un plan d'action priorisé.

Demander un devis Voir les niveaux

Ce n'est pas
une question de chance

La plupart des incidents graves reposent sur des failles simples: accès mal protégés, sauvegardes non testées, segmentation absente ou visibilité trop faible sur l'existant.

Signal 01

Une TPE attaquée met en moyenne trois semaines à reprendre

Pas parce que l'attaque était sophistiquée. Parce qu'il n'y avait pas de sauvegarde testée, pas de plan de reprise. La plupart des incidents qu'on voit auraient pu être évités avec des mesures simples, en place avant.

Signal 02

La messagerie est souvent la vraie porte d'entrée

80 % des intrusions passent par des identifiants valides. Phishing, credential stuffing, RDP sans double facteur : pas besoin de faille technique quand un mot de passe réutilisé traîne depuis trois ans.

Signal 03

Une sauvegarde qui n'a pas été restaurée n'existe pas

Des clients convaincus d'être couverts, dont la dernière restauration fonctionnelle remonte à des mois. Faire tourner une sauvegarde et pouvoir repartir dessus, ce sont deux choses différentes.

Signal 04

Un seul poste infecté suffit à tout compromettre

Sans segmentation réseau, le malware parcourt librement ce qui est visible depuis la machine qu'il a prise. Serveurs, NAS, comptabilité : tout est à portée. Le problème n'est pas le virus, c'est l'absence de cloisonnement.

Ce que nous examinons

Ce que
couvre l'audit

Le périmètre varie selon le niveau, mais la logique reste la même: voir l'existant réel, qualifier le risque, puis livrer un plan d'action exploitable sans jargon inutile.

Vue d'ensemble

Ce qui tourne réellement chez vous

Voir l'existant réel: postes, serveurs, équipements, services exposés et dépendances oubliées.

Inventaire Exposition externe Services

Risque

Ce qui est exploitable, classé par urgence

Identifier les faiblesses réellement exploitables et les classer par niveau d'urgence.

Priorisation Critique / élevé / modéré

Accès

Qui accède à quoi, et depuis où

Cartographier les accès réels, les comptes sensibles et les ouvertures inutiles.

VPN RDP MFA

Continuité

Est-ce que vous pouvez vraiment reprendre ?

Vérifier que la sauvegarde existe vraiment, qu'elle se restaure et qu'elle tient vos délais de reprise.

Sauvegardes Restauration RTO/RPO

Postes critiques

Les postes critiques, pas seulement les serveurs

Contrôler les protections réellement actives sur les postes et serveurs les plus exposés.

EDR/EPP Chiffrement Patching

Restitution

Un rapport lisible, pas un PDF de 80 pages

Livrer un rapport exploitable: constats clairs, priorités et plan d'action immédiatement lisible.

Rapport Plan d'action Priorités

Réversibilité

Ce qui reste dépendant d'un prestataire ou d'une seule personne

Clarifier les accès, la documentation disponible et votre capacité à reprendre la main sans rupture.

Prestataire Documentation Réversibilité

Comment se
déroule un audit

Audit cadré, sans surprise

L'audit s'appuie sur le guide ANSSI adapté aux TPE et PME. Pas de scan sans autorisation écrite, pas de test agressif, pas de surprise pour vos équipes. On cadre d'abord, on intervient ensuite, puis on fournit un compte-rendu.

Étape 1

Échange préalable

Pour qualifier le contexte et établir le périmètre en fonction des besoins

Étape 2

Cadrage et autorisations

Questionnaire, horaires, accès et validation écrite avant toute intervention.

Étape 3

Intervention

Possibilité d'intervention sur site ou à distance, dépendant du niveau d'audit choisi.

Étape 4

Rapport et restitution

Rapport complet sous 5 jours ouvrés, avec plan d'action priorisé.

Étape 5

Suite optionnelle

Correction en interne, avec votre prestataire actuel, ou accompagnement remédiation par Arthen.

Trois niveaux,
un périmètre clair

On ne vend pas la même chose à une structure de 6 postes et à une PME multi-sites. Le bon niveau donne la profondeur d'audit, puis les modules utiles sont cadrés avant devis.

Audit Flash

Pour les TPE au périmètre simple qui veulent un premier état des lieux, vite et à distance.

390 €
HT · forfait
Demander un devis

100 % à distance · demi-journée de travail effectif

  • Questionnaire structuré et cadrage du périmètre
  • Scan d'exposition externe : domaine, DNS, ports, TLS, email
  • Revue des pratiques : mots de passe, MFA, sauvegardes déclarées
  • Évaluation messagerie M365, Google ou équivalent
  • Qualification des familles de risque et modules éventuels
  • Compte-rendu, suggestions, plan d'action opérationnel
  • 5 quick wins priorisés avec budget estimé
Le plus demandé

Audit Opérationnel

Pour les TPE et PME avec un site, 1 à 3 serveurs ou NAS, et un vrai besoin de vue terrain.

890 €
HT · forfait
Demander un devis

1 site · 1 à 3 serveurs ou NAS · 1,5 à 2 jours effectifs

  • Tout le périmètre Flash
  • Inventaire réel des actifs
  • Scan réseau interne non intrusif
  • Scan de vulnérabilités interne
  • Revue des accès, des postes et des sauvegardes
  • Test d'une restauration si accessible
  • Qualification explicite des sujets cloud, web, mobilité, tiers, logs et physique
  • Rapport complet technique et opérationnel
  • Plan d'action mis en place sur 7/30/90 jours

Audit PME

Pour les environnements multi-sites, AD, M365 ou Google Workspace, et les contextes avec prestataire en place.

Sur devis
Demander un devis

25 à 100 postes · multi-sites · 4 à 6 jours effectifs

  • Tout le périmètre Opérationnel
  • Socle commun complet sur l'infrastructure réelle
  • Modules AD / Entra ID, M365 ou Google Workspace selon contexte
  • Modules cloud, web, mobilité, tiers ou détection si nécessaires
  • Analyse des accès distants et VPN multi-sites
  • Évaluation du MSP ou prestataire en place
  • Revue PRA/PCA et conformité RGPD basique
  • Rapport complet technique et opérationnel

Tarifs HT · Flash à distance · Opérationnel et PME sur site ou à distance selon le périmètre
Modules complémentaires possibles selon contexte : AD/Entra, M365/Google, cloud/SaaS, web/API/CMS, mobilité, tiers, détection, physique
Option remédiation après audit Opérationnel ou PME : 600–800 €/jour HT · Passer ensuite à l'infogérance continue

Ce que l'audit
ne fait pas

Attention

On évite le flou commercial. Arthen vend un audit opérationnel, pas un pentest, pas une réponse à incident, ni une certification. Si un sujet relève d'un module complémentaire ou d'une mission dédiée, on le dit avant de vous faire perdre du temps.

Pas de pentest intrusif Pas d'exploitation active, pas de red team, pas de casse volontaire pour voir ce qui tient
Pas de phishing ni d'ingénierie sociale Pas de faux emails, pas de vishing, pas de scénario de faux support dans le cadre standard
Pas de forensic ni de réponse à incident Si un incident est en cours, il faut basculer sur une mission dédiée, avec un autre rythme et un autre cadre
Pas de certification ni d'attestation L'audit aide à décider et à prioriser. Il ne remplace pas une démarche ISO 27001, HDS ou une attestation de conformité
Pas d'audit de code applicatif profond en standard Le périmètre standard porte sur l'infrastructure, les accès, les sauvegardes, les postes et les services exposés. Les sujets web, CMS ou API peuvent relever d'un module complémentaire cadré avant devis

Questions fréquentes