Audit cybersécurité PME au Maroc : checklist et budget

Un audit cybersécurité n'est pas un test d'intrusion, et ce n'est pas un plan de reprise d'activité. C'est un état des lieux structuré de votre posture de sécurité, mesuré contre un référentiel (ISO 27001, NIST CSF, ou un mix), assorti d'une feuille de route priorisée. Pour une PME marocaine en 2026, c'est aussi le passage obligé pour répondre aux questionnaires sécurité de vos clients grands comptes, et pour anticiper un éventuel contrôle CNDP.

Ce guide est ce qu'on remet aux dirigeants qui nous appellent après un incident, ou après avoir reçu un questionnaire fournisseur de 200 lignes d'un client européen. Concret, daté, sans le jargon qui ne sert qu'à gonfler le devis.

TLDR : ce qu'un audit cybersécurité couvre vraiment

Un audit cybersécurité PME au Maroc couvre quatre livrables :

1. Inventaire des actifs (postes, serveurs, applications SaaS, données sensibles, comptes administrateurs)
2. Posture technique mesurée sur 8 domaines (identité, endpoints, réseau, données, sauvegardes, supervision, conformité, gouvernance)
3. Conformité loi 09-08 et CNDP : registre des traitements, mentions, contrats sous-traitants
4. Plan de remédiation priorisé sur 6 à 12 mois avec budget estimé

Ce que l'audit n'est pas : un pentest (simulation d'attaque), un PRA (plan de reprise d'activité), une certification ISO 27001 (qui exige un organisme accrédité). Trois prestations distinctes, trois budgets distincts, trois finalités distinctes. La confusion entre les trois est l'erreur de cadrage la plus fréquente — et celle qui fait exploser les devis.

Audit, pentest, scan : ne pas confondre

Côté budget relatif, en partant du scan comme base 1 : audit standard ×8 à ×15, pentest externe ×6 à ×12, audit ISO certifiant ×20 à ×40. Si votre prestataire vous propose un seul forfait qui couvre "tout", il en fera la moitié de chaque, mal.

Checklist d'audit en 8 domaines

Voici la grille qu'on utilise pour cadrer nos audits. Elle est ce qui se rapproche le plus d'un consensus de marché entre NIST CSF, ISO 27001 et CIS Controls v8.

1. Identité et accès

• MFA obligatoire sur tous les comptes admin, et tous les accès distants
• Comptes administrateurs séparés des comptes utilisateurs quotidiens
• Désactivation des comptes des partants sous 24h (procédure documentée et testée)
• Revue trimestrielle des droits sur les applications critiques (ERP, comptabilité, paie)
• Politique de mot de passe : 14 caractères minimum, pas de rotation forcée si MFA, gestionnaire de mots de passe d'entreprise

2. Endpoints

• EDR moderne déployé sur 100 % des postes et serveurs (pas un antivirus de 2010)
• Patch management : tous les patches critiques sous 7 jours, tous les patches importants sous 30 jours
• Chiffrement disque activé (BitLocker, FileVault) sur tous les portables
• Politique BYOD claire ou interdite. Pas de zone grise

3. Réseau

• Segmentation entre réseau bureautique, serveurs, et invités
• Pare-feu de nouvelle génération avec règles documentées et revues
• VPN d'entreprise avec MFA pour tous les accès distants
• Wifi invité isolé du réseau d'entreprise. À vérifier physiquement, c'est souvent faux

4. Données

• Classification : public, interne, confidentiel, restreint. Marquage effectif
• Chiffrement en transit (TLS 1.2 minimum) et au repos sur les bases sensibles
• DLP basique au moins sur la messagerie pour les données les plus sensibles
• Inventaire des données personnelles au sens loi 09-08

5. Sauvegardes

• Règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site et idéalement hors ligne
• Tests de restauration trimestriels documentés (et pas juste "on a essayé une fois en 2024")
• Sauvegardes immuables ou air-gapped pour résister au ransomware
• RPO et RTO formalisés par application

6. Supervision

• Journalisation centralisée des événements critiques (auth, modifs admin, sécurité)
• SIEM en propre, ou abonnement à un SOC managé. Pour une PME marocaine, le SOC managé est presque toujours le bon arbitrage économique
• Procédure de réponse à incident testée au moins une fois par an
• Liste de contacts à jour : CERT-MA, CNDP, hébergeur, assureur cyber

7. Conformité loi 09-08 et CNDP

• Registre des traitements à jour
• Déclarations CNDP faites pour les traitements concernés
• Mentions d'information sur tous les formulaires (web, papier, contrats)
• DPO ou correspondant désigné formellement

8. Gouvernance

• Politique de sécurité du système d'information (PSSI) écrite, validée par la direction
• Plan de réponse à incident (IRP) avec rôles définis nommément
• Charte informatique signée par tous les collaborateurs
• Budget cybersécurité identifié dans le plan annuel (pas dilué dans la ligne "IT")

Voir notre guide cybersécurité PME au Maroc pour le détail de chaque chantier.

Audit interne vs audit tiers : quand l'externe est obligatoire

L'audit tiers est obligatoire dans quatre cas, et facultatif sinon.

Obligatoire si :

• Vous êtes régulé : banque, assurance, OIV au sens de la directive nationale de sécurité, opérateur télécom sous tutelle ANRT
• Un client grand compte l'exige par contrat (cas fréquent avec les donneurs d'ordre européens depuis NIS2)
• Vous sortez d'un sinistre majeur (ransomware, fuite de données déclarée à la CNDP) et votre assureur cyber le réclame
• Vous visez une certification (ISO 27001, SOC 2, HDS pour santé)

Facultatif sinon. Pour une PME marocaine de 30 à 80 personnes qui n'a jamais audité, démarrer en interne avec un référentiel public comme le CIS Controls v8 produit déjà 60 à 70 % de la valeur. L'audit tiers année 2 vient confirmer, challenger, et apporter un livrable opposable. Faire l'inverse, c'est payer cher pour découvrir qu'on n'a même pas d'inventaire des actifs.

Tiers d'audit par niveau de budget

Trois formats pertinents selon votre maturité et votre budget.

Tier 1 — Discovery (1 à 2 semaines)

Périmètre : inventaire rapide, entretiens dirigeants et IT, scan externe automatisé, revue documentaire basique.

Livrable : note de cadrage de 15-25 pages avec top 10 des risques et budget de remédiation estimé.

Pour qui : PME qui n'a jamais audité, qui veut savoir si elle a un problème grave avant d'engager un budget plus lourd. Budget à 5 chiffres.

Tier 2 — Audit standard (3 à 6 semaines)

Périmètre : grille 8 domaines complète, scan interne et externe, revue de configurations clés (Active Directory, pare-feu, messagerie), entretiens approfondis avec 6-10 collaborateurs.

Livrable : rapport 60-100 pages avec scoring par domaine, findings catégorisés (critique, élevé, moyen, faible), plan d'action 12 mois priorisé, restitution direction.

Pour qui : PME de 30-150 postes qui veut un état des lieux solide. C'est le format que nous livrons le plus souvent. Budget : milieu de fourchette 5 chiffres à bas 6 chiffres MAD HT.

Tier 3 — Audit approfondi avec pentest (6 à 12 semaines)

Périmètre : audit standard + pentest externe (boîte noire ou grise), pentest interne, test d'ingénierie sociale (phishing simulé), revue de code des applications métier critiques.

Livrable : rapports d'audit et de pentest distincts, preuves d'exploit, plan d'action 18-24 mois, accompagnement post-restitution.

Pour qui : PME régulée, PME qui prépare une certification, ou PME post-incident. Budget à 6 chiffres.

Pour comparer ces fourchettes avec d'autres types d'audits d'entreprise, voir notre guide de l'audit d'entreprise au Maroc.

Outils gratuits pour démarrer en interne

Avant d'engager un budget externe, vous pouvez couvrir une partie significative de l'audit avec des outils open source ou gratuits.

• Lynis : audit de configuration Linux et macOS. Sortie de 200-400 recommandations par machine, classées par criticité. À lancer sur tous vos serveurs Linux
• OpenSCAP : audit de conformité contre un référentiel (CIS, STIG, ANSSI). Plus lourd à mettre en place, mais le rapport est exploitable
• CIS-CAT Lite : la version gratuite couvre Windows 10/11 et quelques OS serveurs. Mesure la conformité aux benchmarks CIS, qui sont la référence de fait
• Wazuh : SIEM open source, plus un agent de surveillance posté sur chaque machine. Le ticket d'entrée pour la supervision avant d'investir dans Splunk ou Sentinel
• Microsoft Security Baseline : pour les environnements Windows et M365, c'est gratuit et c'est exactement ce que Microsoft recommande. Personne ne le déploie pourtant

Ce que ces outils ne couvrent pas : la gouvernance, la conformité 09-08, les processus humains, l'ingénierie sociale. Pour ça, il faut du temps humain — interne ou externe.

Prioriser les remédiations : matrice impact/effort

Un audit standard produit typiquement 60 à 100 findings. Personne ne les traite tous, et c'est normal. La feuille de route 12 mois doit tenir sur une page.

La méthode qu'on utilise : matrice impact / effort, 4 quadrants.

• Quick wins (impact élevé, effort faible) : MFA sur les comptes admin, désactivation comptes dormants, patch des serveurs exposés Internet, chiffrement disque sur les portables. À faire en 30 à 60 jours
• Chantiers stratégiques (impact élevé, effort élevé) : segmentation réseau, déploiement EDR, mise en place SIEM ou abonnement SOC, plan de réponse à incident. À planifier sur 6-12 mois avec budget validé
• À étaler (impact faible, effort faible) : durcissement configurations, formation utilisateurs, mises à jour de la PSSI. Backlog continu, sans urgence
• À questionner (impact faible, effort élevé) : certaines recommandations trop génériques de l'audit. À débattre. Souvent, on les retire après discussion

Un exemple récent. Un client industriel à Casablanca, 110 postes, nous appelle après un questionnaire sécurité reçu d'un donneur d'ordre européen. L'audit produit 78 findings. Sur les 78, 12 quick wins absorbent 70 % des points perdus dans le questionnaire client. Le client gagne le contrat avant même d'avoir traité les chantiers stratégiques. C'est la valeur réelle d'un audit bien priorisé : il ne sert pas qu'à se protéger, il sert à débloquer du commercial.

Conformité loi 09-08 : ce que la CNDP regarde en cas de contrôle

La loi 09-08 sur la protection des données personnelles est en vigueur depuis 2009, et la CNDP a clairement durci sa posture depuis 2023. En cas de contrôle, quatre documents sont systématiquement réclamés.

1. Registre des traitements. Liste exhaustive de toutes les bases qui contiennent des données personnelles (clients, salariés, prospects, candidats), avec finalité, durée de conservation, et destinataires
2. Mentions d'information. Sur tous les formulaires web (contact, newsletter, e-commerce), sur les contrats clients et salariés, sur les CGU. Texte clair, conforme à l'article 5 de la loi
3. Contrats sous-traitants. Avec votre hébergeur, votre infogérant, votre éditeur CRM, votre cabinet comptable si vous lui transmettez des données salariés. Clause de confidentialité, durée, lieu de stockage, sécurité technique
4. Mesures techniques. Chiffrement, contrôle d'accès, journalisation, sauvegarde. Pas besoin d'être ISO 27001, mais il faut documenter ce qui est en place

Pour la grille complète, voir notre checklist loi 09-08. Le défaut de déclaration ou de registre reste la non-conformité la plus fréquemment relevée. Une amende CNDP coûte plus que la mise en conformité.

Choisir son auditeur à Casablanca/Rabat

Quatre critères pour filtrer un auditeur cybersécurité au Maroc :

1. Certifications réelles des consultants sur le projet. Pas du cabinet. Demandez les noms et les certifications : ISO 27001 Lead Auditor, CEH, CISSP, OSCP pour le pentest, CISM pour la gouvernance. Vérifiez sur LinkedIn
2. Indépendance vis-à-vis des intégrateurs. Un cabinet qui revend du Microsoft, du Fortinet ou du SentinelOne aura toujours le réflexe de recommander ce qu'il vend. Préférez un auditeur qui ne touche pas de commission produit, ou alors séparez explicitement audit et intégration
3. Références PME marocaines dans votre secteur ou voisin. Pas "nous avons travaillé pour les Big 4". Demandez 3 noms de PME comparables, et appelez-les. Les vrais cabinets vous les donneront sans difficulté
4. Livrable type anonymisé. Avant de signer, demandez à voir un extrait de rapport d'un client précédent. La qualité d'un rapport d'audit se mesure en 10 minutes : structure, granularité des findings, lien explicite vers les contrôles ISO ou NIST, plan d'action priorisé

Le piège classique au Maroc reste le commercial déguisé en auditeur. Un "audit gratuit" qui se solde par un devis de (montant non précisé) de matériel n'est pas un audit, c'est un argumentaire de vente. Le vrai audit est payant, court, dur, et son rapport vous appartient.

Pour le détail des prestations cybersécurité que nous livrons, voir notre page service cybersécurité. Pour anticiper la suite logique d'un audit qui révèle un risque ransomware, voir notre guide prévention ransomware PME.

Pour aller plus loin

• Systèmes ERP, CRM et cybersécurité — la pillar du silo
• Cybersécurité PME au Maroc : le guide complet
• Loi 09-08 cybersécurité : la checklist conformité
• Ransomware PME : prévention et réaction

Conclusion

Un audit cybersécurité bien cadré coûte cinq à vingt fois moins cher que l'incident qu'il évite. Il ne remplace pas un pentest, ni un PRA, ni une certification. Il vous donne ce que ni votre IT interne ni votre intégrateur ne peuvent vous donner : un état des lieux opposable, priorisé, et lisible par votre direction comme par vos clients grands comptes.

Parlez-en avec notre équipe. On commence par un discovery de 1 à 2 semaines pour qualifier votre exposition, et on vous remet un cadrage clair avec budget de remédiation avant de proposer la suite. Pas de matériel à vendre, pas de licence à pousser. Juste l'audit.