RMG Solutions
//
Guide

Audit Cybersécurité au Maroc : Guide Complet 2026

Audit cybersécurité au Maroc : méthodologie complète, coûts réels en DH, obligations loi 05-20 et DGSSI, checklist et étapes pour protéger votre PME 2026.

RMG Solutions8 avril 202616 min de lecture
← Toutes les ressources

Ce que révèle un audit de cybersécurité sur votre entreprise

En 2025, le maCERT a enregistré plus de 20,7 millions de tentatives de cyberattaques au Maroc sur le seul premier semestre. Selon une enquête de la CGEM, 62 % des entreprises marocaines ont subi au moins une tentative d'attaque. Pourtant, moins de 15 % des PME disposent d'un budget dédié à la cybersécurité, et la plupart ne savent pas précisément où se trouvent leurs failles.

C'est exactement ce que mesure un audit cybersécurité au Maroc : l'écart entre l'état réel de vos systèmes et ce qu'il devrait être. Ce guide couvre les types d'audit disponibles, les coûts en dirhams, les obligations légales issues de la loi 05-20 et de la DGSSI, et une méthode concrète pour conduire un audit de bout en bout.

Qu'est-ce qu'un audit cybersécurité ?

Un audit de cybersécurité est une évaluation structurée et documentée de la sécurité des systèmes d'information d'une organisation. Il mesure la résistance de votre infrastructure, de vos applications et de vos processus face aux risques réels : intrusions, fuites de données, ransomware, sabotage interne.

Audit, pentest, analyse de vulnérabilités : les différences

Ces trois termes sont souvent confondus. Les voici clairement distingués :

Type de prestationCe qu'elle mesureProfondeurPublic cible
Analyse de vulnérabilités (scan)Inventaire des failles connues sur vos systèmesFaible à modéréePME, première étape
Test d'intrusion (pentest)Exploitation réelle de failles par un auditeurHauteToute entreprise
Audit organisationnelPolitiques, procédures, gouvernance SSIOrganisationnelEntités publiques, IIV
Audit de conformitéÉcart par rapport à un référentiel (DNSSI, ISO 27001)VariableEntités soumises à réglementation
Audit completCombinaison des quatre dimensions ci-dessusMaximaleGrands comptes, IIV

Un pentest sans audit organisationnel donne une photographie technique sans tenir compte des failles humaines et procédurales, qui représentent 74 % des causes d'incidents selon les données DGSSI. L'idéal, pour la plupart des entreprises marocaines, est une approche combinée.

Quand déclencher un audit ?

Plusieurs situations justifient un audit immédiat :

  • Votre entreprise n'a jamais fait évaluer sa sécurité
  • Vous avez subi un incident (même mineur : tentative de phishing, accès suspect)
  • Vous intégrez un nouveau système informatique ou ERP
  • Vous préparez un appel d'offres public exigeant des garanties de sécurité
  • Votre secteur d'activité est soumis à une réglementation spécifique (finance, santé, télécom)
  • Un client stratégique vous demande une attestation de sécurité

Pour les entreprises qui travaillent avec des établissements publics ou des opérateurs d'infrastructures vitales, l'audit n'est pas simplement une précaution : il devient une condition d'accès aux marchés.

Avant de lancer un audit complet, vous pouvez utiliser notre auto-diagnostic cybersécurité pour estimer en 5 minutes le niveau de risque actuel de votre organisation et identifier les zones prioritaires.

Les obligations légales au Maroc

La loi 05-20 sur la cybersécurité

Promulguée par dahir n° 1-20-69 du 25 juillet 2020, la loi 05-20 est le texte de référence du dispositif marocain. Elle s'applique directement à trois catégories d'acteurs :

  • Les administrations de l'État, collectivités territoriales et établissements publics
  • Les infrastructures d'importance vitale (IIV) dans les secteurs de l'énergie, des télécommunications, de la finance, de la santé, du transport et de l'eau
  • Les opérateurs numériques : FAI, hébergeurs, prestataires de cybersécurité, éditeurs de plateformes Internet

Pour ces entités, la loi impose une obligation d'audit périodique : les systèmes d'information sensibles doivent être audités par des prestataires qualifiés PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) au minimum tous les trois ans. En pratique, les IIV dont les SI sont classés A ou B conduisent des audits annuels ou biannuels.

La DGSSI et le référentiel DNSSI

La Direction Générale de la Sécurité des Systèmes d'Information a publié la circulaire n° 2/2023 du 12 janvier 2023, actualisant la Directive Nationale de la Sécurité des Systèmes d'Information (DNSSI). Ce texte opérationnel traduit les exigences de la loi 05-20 en mesures techniques et organisationnelles concrètes, réparties sur onze domaines de sécurité.

Les entités concernées avaient six mois à partir de janvier 2023 pour établir leur calendrier de mise en conformité. Pour celles qui ne l'ont pas encore fait, le délai est dépassé.

Pour une analyse complète des obligations DNSSI, consultez notre guide sur la conformité DGSSI au Maroc.

Les PASSI : les auditeurs agréés

La loi 05-20 exige que les audits des IIV soient conduits par des PASSI qualifiés par la DGSSI. Cette qualification n'est pas une simple formalité administrative. Le prestataire doit :

  • Couvrir au minimum trois domaines d'audit (audit organisationnel, architecture, configuration, tests d'intrusion, code source, systèmes industriels)
  • Pour les SIS de classe A : avoir un capital majoritairement détenu par des ressortissants marocains et des auditeurs de nationalité marocaine
  • Avoir une structure dédiée exclusivement à l'audit SSI

La DGSSI publie sur son site la liste officielle des PASSI qualifiés. Faire appel à un prestataire non qualifié pour un audit obligatoire expose l'organisation à un risque de non-conformité et invalide juridiquement les résultats.

Les obligations du secteur financier : Bank Al-Maghrib

Bank Al-Maghrib a publié la circulaire n° 5/W/2021 relative à la gestion des risques informatiques pour les établissements de crédit. Elle impose :

  • Des tests de résistance (stress tests) de sécurité informatique annuels
  • Des tests d'intrusion réguliers sur les systèmes de paiement et d'authentification
  • Un plan de continuité informatique testé chaque année
  • La notification de tout incident de sécurité significatif à Bank Al-Maghrib sous 24 heures

Les établissements de crédit qui ne respectent pas ces obligations s'exposent à des mesures correctives allant jusqu'au retrait d'agrément. La mise en place et le test annuel d'un PCA/PRA conforme aux exigences de Bank Al-Maghrib et à la norme ISO 22301 sont détaillés dans notre guide PCA/PRA pour PME marocaines.

La loi 09-08 et la CNDP

La loi 09-08 relative à la protection des données personnelles concerne pratiquement toutes les entreprises marocaines. Toute organisation qui collecte des données de clients, d'employés ou de partenaires doit déclarer ses traitements à la CNDP et démontrer des mesures de sécurité adéquates.

Un audit cybersécurité qui révèle des données personnelles mal protégées (accès non restreint, absence de chiffrement, logs non conservés) crée une exposition directe aux sanctions de la loi 09-08 : amendes jusqu'à 300 000 DH pour les personnes physiques (le double pour les personnes morales) et, en cas de violation grave, jusqu'à un an d'emprisonnement.

62%

Entreprises marocaines attaquées (CGEM 2025)

2,3M DH

Coût moyen d'une attaque PME

300K DH

Amende max loi 09-08

15%

PME avec budget cybersécurité dédié

Les types d'audit cybersécurité

1. L'analyse de vulnérabilités (scan)

Il s'agit d'une évaluation automatisée de vos systèmes à la recherche de failles connues et cataloguées (CVE). Des outils comme Nessus, OpenVAS ou Qualys interrogent vos serveurs, postes de travail et équipements réseau pour dresser un inventaire des vulnérabilités, classées par sévérité (critique, haute, moyenne, faible).

  • Durée : 2 à 3 jours
  • Coût : 8 000 à 15 000 DH
  • Limites : détecte les failles connues mais pas les failles de logique ou les menaces internes

2. Le test d'intrusion (pentest)

Un pentest va plus loin : un auditeur tente d'exploiter réellement les failles identifiées, comme le ferait un attaquant. Il existe trois modalités selon le niveau d'information fourni à l'auditeur :

Boîte noire (black box) : l'auditeur ne connaît rien de votre infrastructure. Il part des mêmes informations qu'un attaquant externe. C'est le scénario le plus réaliste pour simuler une attaque depuis Internet.

Boîte grise (grey box) : l'auditeur dispose d'informations partielles (accès utilisateur standard, plan d'adressage réseau). Ce mode est le plus utilisé pour les PME car il offre un bon compromis entre réalisme et efficacité.

Boîte blanche (white box) : l'auditeur a accès à la totalité des informations : schémas d'architecture, codes sources, configurations. Ce mode permet une couverture maximale, notamment pour les applications critiques.

Pour les entreprises marocaines qui cherchent un pentest au Maroc, le format boîte grise sur les périmètres exposés à Internet (site web, VPN, messagerie, ERP accessible en ligne) est le point de départ le plus pertinent.

3. L'audit DGSSI/DNSSI

Cet audit mesure votre niveau de conformité aux onze domaines de la DNSSI. Il combine une évaluation organisationnelle (politiques, procédures, gouvernance) et technique (contrôle des configurations, architecture, gestion des accès). Pour les entités soumises à la loi 05-20, il doit être conduit par un PASSI qualifié.

4. L'audit ISO 27001 gap analysis

La gap analysis ISO 27001 évalue l'écart entre votre SMSI actuel et les 93 contrôles de la norme ISO/IEC 27001:2022. Elle est le point d'entrée naturel avant de s'engager dans un projet de certification. Résultat : un rapport d'écart priorisé avec un plan d'action chiffré. Pour comprendre le parcours complet de certification, consultez notre guide ISO 27001 au Maroc.

5. L'audit organisationnel

Moins technique, cet audit se concentre sur la gouvernance de la sécurité : existe-t-il une politique SSI documentée ? Un RSSI est-il désigné ? Le personnel est-il formé ? Les accès sont-ils gérés selon le principe du moindre privilège ? Ce type d'audit est souvent mené en amont d'un pentest pour corriger les déficiences organisationnelles avant d'investir dans des tests techniques.

Méthodologie d'un audit complet

Un audit cybersécurité sérieux suit une méthodologie structurée en six phases. Voici comment un projet se déroule dans la pratique.

Les 6 phases d'un audit cybersécurité complet

Phase 1 : Cadrage (1 à 3 jours)

Avant de lancer les tests, l'auditeur définit précisément le périmètre : quels systèmes sont inclus, quelles adresses IP, quelles applications, quels sites géographiques. Cette phase inclut aussi la rédaction et la signature d'une lettre de mission qui autorise formellement les tests et protège légalement les deux parties.

Le cadrage fixe également les objectifs : s'agit-il de détecter des vulnérabilités techniques, de mesurer la conformité DNSSI, d'évaluer la résistance à une attaque ransomware ? Les résultats dépendent directement de la qualité de ce cadrage initial.

Phase 2 : Collecte d'informations (2 à 5 jours)

L'auditeur collecte les informations nécessaires à l'évaluation : cartographie du réseau, inventaire des serveurs et applications, documentation des politiques SSI, entretiens avec les équipes IT et les responsables métier. Pour un pentest en boîte noire, cette phase inclut la reconnaissance OSINT (informations publiquement disponibles sur votre organisation).

Phase 3 : Tests techniques (3 à 10 jours selon périmètre)

C'est la phase active de l'audit. Elle comprend :

  • Scans de vulnérabilités sur l'ensemble du périmètre
  • Tests d'exploitation des failles identifiées
  • Tentatives d'élévation de privilèges (escalade de droits)
  • Tests sur les applications web (injections SQL, XSS, CSRF, authentification)
  • Évaluation de la sécurité du réseau (segmentation, règles de pare-feu, Wi-Fi)
  • Tests d'ingénierie sociale ciblés si inclus dans le périmètre (phishing simulé)

Phase 4 : Analyse et cotation des risques (2 à 4 jours)

Les résultats bruts des tests sont analysés et cotés selon un référentiel de risque. Chaque vulnérabilité reçoit un score de criticité (généralement selon la méthodologie CVSS v3), pondéré par la probabilité d'exploitation et l'impact potentiel pour votre activité spécifique.

Un serveur FTP mal configuré dans une entreprise de logistique traitant des bons de commande fournisseurs est plus critique que la même faille dans une entité sans données commerciales sensibles. L'analyse contextualise.

Phase 5 : Rapport et plan de remédiation (2 à 3 jours)

Le rapport final est le livrable central de l'audit. Un rapport de qualité contient :

  • Un résumé exécutif accessible aux non-techniciens (pour le PDG et le DAF)
  • Le détail technique de chaque vulnérabilité : description, preuve d'exploitation, risque associé
  • Un plan de remédiation priorisé : corrections immédiates, court terme (1 à 3 mois), moyen terme (3 à 12 mois)
  • Des recommandations d'architecture et de gouvernance

Méfiez-vous des rapports générés automatiquement par des outils de scan : ils listent des centaines de CVE sans hiérarchisation ni contextualisation. La valeur ajoutée d'un audit réside dans l'analyse humaine, pas dans le volume de pages.

Phase 6 : Vérification post-remédiation (J+30 à J+90)

Un audit sans suivi est un audit à moitié utile. La phase de vérification confirme que les correctifs appliqués ont bien éliminé les vulnérabilités identifiées et n'ont pas introduit de nouvelles failles. Cette étape est obligatoire pour les entités soumises à audit PASSI, et vivement recommandée pour toutes les autres.

Besoin d'un accompagnement ?

Laissez vos coordonnées, un expert RMG Solutions vous recontacte sous 24h.

Vos données restent confidentielles

Combien coûte un audit cybersécurité au Maroc ?

Les tarifs pratiqués sur le marché marocain sont sensiblement inférieurs aux prix européens (un pentest en France coûte entre 6 000 et 25 000 euros pour un périmètre similaire). À titre de référence, voici les fourchettes observées pour des prestations réalisées par des cabinets établis au Maroc.

Type d'auditDurée estiméeFourchette de coût (DH HT)
Scan de vulnérabilités2 à 3 jours8 000 - 15 000 DH
Pentest externe (boîte noire)5 à 10 jours25 000 - 60 000 DH
Pentest interne + externe10 à 15 jours50 000 - 100 000 DH
Audit DGSSI/DNSSI10 à 20 jours40 000 - 80 000 DH
Gap analysis ISO 270015 à 10 jours30 000 - 60 000 DH
Audit complet (technique + organisationnel)15 à 25 jours60 000 - 150 000 DH

Ces tarifs varient selon trois facteurs principaux :

La taille du périmètre : nombre de serveurs, d'applications, de sites géographiques. Un périmètre de 5 serveurs et 50 postes coûte deux à trois fois moins qu'un périmètre de 30 serveurs et 200 postes.

La qualification du prestataire : un prestataire qualifié PASSI par la DGSSI facture une prime de 20 à 40 % par rapport à un prestataire non qualifié. Cette différence est justifiée pour les entités soumises à l'obligation légale.

La profondeur demandée : un audit en boîte blanche avec accès aux codes sources coûte 30 à 50 % plus cher qu'un audit en boîte noire pour le même périmètre.

Sans audit

  • Failles inconnues pendant des mois ou des années
  • Première découverte lors d'une attaque réelle
  • Aucune priorité claire pour les investissements sécurité
  • Non-conformité légale exposant à des sanctions

Après audit

  • Cartographie complète des vulnérabilités prioritaires
  • Plan de remédiation priorisé par niveau de risque
  • Budget sécurité justifié et ciblé
  • Rapport de conformité utilisable en appels d'offres

L'audit comme investissement, pas comme coût

Un audit de 40 000 DH qui identifie une faille critique exploitable depuis Internet protège contre un incident qui coûterait en moyenne 2,3 millions de DH selon les données DGSSI. Le ratio est de 1 pour 57. Aucun autre investissement IT ne présente ce rapport coût/bénéfice.

Checklist : votre entreprise a-t-elle besoin d'un audit ?

Passez en revue les dix points suivants. Si vous répondez "non" ou "je ne sais pas" à au moins trois d'entre eux, un audit est justifié :

  1. Inventaire des actifs : avez-vous une liste exhaustive et à jour de tous vos serveurs, postes de travail, équipements réseau et applications ?

  2. Gestion des accès : chaque employé dispose-t-il uniquement des accès strictement nécessaires à sa fonction (principe du moindre privilège) ?

  3. Correctifs de sécurité : vos systèmes d'exploitation, logiciels et équipements réseau reçoivent-ils leurs mises à jour de sécurité dans un délai de 30 jours après publication ?

  4. Mots de passe et authentification : l'authentification à deux facteurs (MFA) est-elle activée sur les accès distants, la messagerie et les applications critiques ?

  5. Sauvegardes : vos sauvegardes sont-elles testées au moins une fois par trimestre ? Sont-elles stockées hors ligne ou sur un réseau séparé ?

  6. Segmentation réseau : vos réseaux de production, administratif et guest sont-ils séparés avec des règles de filtrage explicites ?

  7. Journalisation : les événements de sécurité (connexions, accès administrateurs, modifications de configuration) sont-ils enregistrés et conservés pendant au moins 12 mois ?

  8. Plan de réponse aux incidents : disposez-vous d'une procédure documentée pour réagir à un incident (ransomware, violation de données) ? A-t-elle été testée ?

  9. Formation du personnel : vos employés ont-ils reçu une formation sur le phishing et les bonnes pratiques de sécurité dans les 12 derniers mois ?

  10. Politique de sécurité : votre organisation dispose-t-elle d'une politique SSI documentée, approuvée par la direction et connue des équipes ?

Si vous travaillez avec un intégrateur pour vos systèmes (ERP, infrastructure), nos services de cybersécurité incluent une évaluation initiale de votre posture de sécurité, souvent en parallèle des projets de déploiement.

Comment choisir un prestataire d'audit en cybersécurité

Le marché marocain de la cybersécurité compte un nombre croissant de prestataires. Voici les critères pour distinguer les bons des moins bons.

Les certifications qui comptent

CertificationCe qu'elle valide
Qualification PASSI (DGSSI)Obligatoire pour les audits d'IIV et SIS sensibles. Garantie de compétence reconnue par l'État
OSCP (Offensive Security Certified Professional)Standard technique international pour les pentesters. Examen pratique de 24h sur une vraie infrastructure
CEH (Certified Ethical Hacker)Certification EC-Council, plus théorique mais reconnue au Maroc
ISO 27001 Lead AuditorPour les audits de conformité SMSI. Délivré par des organismes accrédités (BSI, Bureau Veritas, etc.)
CISM (Certified Information Security Manager)Pour les profils de gouvernance et de management de la sécurité

Une certification OSCP ou PASSI ne garantit pas la qualité de la relation client, mais elle garantit un niveau technique minimal vérifié par des tiers.

Les questions à poser avant de signer

  • Pouvez-vous fournir des exemples de rapports d'audit (anonymisés) pour évaluer la qualité des livrables ?
  • Quelle est la composition de l'équipe qui interviendra ? Quelles sont leurs certifications individuelles ?
  • L'audit inclut-il une phase de vérification post-remédiation ?
  • Comment gérez-vous la confidentialité des résultats ? Un accord de non-divulgation (NDA) est-il systématique ?
  • En cas de découverte d'une faille critique exploitable pendant les tests, quel est votre protocole de communication ?

Les signaux d'alerte

Méfiez-vous des prestataires qui :

  • Proposent un "audit cybersécurité complet" pour moins de 10 000 DH : il s'agit au mieux d'un scan automatisé, pas d'un vrai audit
  • Ne fournissent pas de lettre de mission formelle avant de commencer les tests
  • Remettent un rapport uniquement sous forme de sortie brute d'outil (Nessus, Metasploit) sans analyse ni recommandations
  • Ne mentionnent aucune référence vérifiable ni certification d'équipe

L'audit cybersécurité est une prestation de conseil à haute valeur ajoutée. La qualité de l'analyste humain derrière les outils fait toute la différence entre un rapport utilisable et un document inutilisable.

Prestataire local ou international ?

Pour les PME marocaines, un prestataire local présente plusieurs avantages : connaissance du contexte réglementaire (loi 05-20, CNDP, Bank Al-Maghrib), interventions sur site sans frais de déplacement internationaux, et disponibilité pour le suivi post-audit. Les grandes entreprises et IIV peuvent combiner un prestataire local pour l'audit organisationnel et un cabinet international pour des pentests spécialisés (systèmes industriels, applications financières).

Pour les prestataires soumis à l'obligation de PASSI, la nationalité marocaine des auditeurs est une exigence légale pour les systèmes de classe A, ce qui tranche la question pour ces périmètres. Au-delà de l'audit ponctuel, une surveillance continue de la sécurité permet de maintenir le niveau de protection dans la durée.

Nos services d'audit de sécurité couvrent l'évaluation organisationnelle, la préparation à la conformité DNSSI et le suivi post-remédiation.

L'approche RMG Solutions pour les audits de cybersécurité

La plupart des cabinets d'audit vous remettent un rapport PDF et passent au client suivant. Vous vous retrouvez avec une liste de failles et aucune idée de qui va les corriger. Chez RMG Solutions, nous ne faisons pas que trouver les failles -- nous les corrigeons. Parce que nous sommes le seul partenaire IT au Maroc à couvrir cybersécurité, infrastructure et GRC sous un même toit, votre audit débouche directement sur un plan de remédiation que nous exécutons nous-mêmes : durcissement des serveurs, reconfiguration réseau, mise en conformité loi 05-20 et loi 09-08.

Basés à Hay Riad (Rabat), nous intervenons le jour même à Rabat et en moins d'une heure à Casablanca. Pas de consultants à distance qui ne connaissent ni votre infrastructure ni le cadre réglementaire marocain. Nos audits de sécurité couvrent le volet technique (pentest, scan de vulnérabilités, analyse de configuration) et le volet organisationnel (gouvernance SSI, conformité DNSSI). Un seul interlocuteur, du diagnostic jusqu'à la protection effective.

Découvrez l'ensemble de nos services de cybersécurité pour comprendre comment nous protégeons les PME marocaines au-delà de l'audit. Première étape : un audit initial de 30 minutes, gratuit et sans engagement, pour évaluer votre posture de sécurité et identifier les priorités. Contactez-nous pour planifier le vôtre.

Questions Fréquentes

Qu'est-ce qu'un audit cybersécurité et à quoi sert-il concrètement ?

Un audit cybersécurité est une évaluation formelle de la résistance de vos systèmes informatiques face aux menaces réelles. Il identifie les vulnérabilités exploitables, mesure votre niveau de conformité aux obligations légales (loi 05-20, DNSSI, loi 09-08) et produit un plan de remédiation priorisé. Concrètement, il permet à une direction générale de savoir où investir en sécurité plutôt que de dépenser sans visibilité sur les risques réels.

Mon entreprise est-elle obligée de faire un audit cybersécurité au Maroc ?

L'obligation légale directe concerne les infrastructures d'importance vitale (IIV), les administrations de l'État, les établissements publics, et les opérateurs numériques (FAI, hébergeurs, prestataires de cybersécurité). Pour ces entités, la loi 05-20 impose des audits périodiques par des PASSI qualifiés par la DGSSI. Les PME du secteur privé non classifiées IIV n'ont pas d'obligation d'audit formelle, mais restent soumises à la loi 09-08 qui exige des mesures de sécurité adéquates pour protéger les données personnelles. En pratique, de nombreux donneurs d'ordre publics et privés exigent des attestations de sécurité dans leurs appels d'offres.

Quelle est la différence entre un pentest et un audit cybersécurité ?

Un pentest (test d'intrusion) est une composante d'un audit cybersécurité, pas un synonyme. Le pentest évalue la résistance technique de vos systèmes en simulant les actions d'un attaquant. L'audit cybersécurité complet inclut également une dimension organisationnelle (politiques, procédures, gouvernance), une évaluation de la conformité réglementaire, et un plan de remédiation structuré. Un pentest seul sans audit organisationnel laisse de côté les failles humaines et procédurales, qui représentent la majorité des causes d'incidents réels.

Combien coûte un audit cybersécurité pour une PME au Maroc ?

Pour une PME de 20 à 100 employés, un audit adapté coûte entre 15 000 et 50 000 DH selon le périmètre et le type d'audit. Un scan de vulnérabilités de base se situe entre 8 000 et 15 000 DH. Un pentest externe sur les systèmes exposés à Internet représente 25 000 à 60 000 DH. Un audit complet combinant tests techniques et évaluation organisationnelle pour un périmètre de taille moyenne dépasse généralement les 60 000 DH. Ces montants sont à comparer au coût moyen d'une cyberattaque, estimé à 2,3 millions de DH par la DGSSI.

Qu'est-ce qu'un PASSI et dois-je choisir un prestataire qualifié PASSI ?

Un PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) est un cabinet d'audit qualifié par la DGSSI. Cette qualification est obligatoire pour les entités soumises aux audits prévus par la loi 05-20, notamment les IIV et les organismes publics avec des systèmes sensibles. Pour les PME privées non soumises à cette obligation, un PASSI n'est pas requis légalement, mais son intervention apporte une garantie de compétence vérifiée par l'autorité nationale. Si votre entreprise prépare des appels d'offres publics ou travaille avec des IIV, un rapport d'audit signé par un PASSI a une valeur documentaire plus forte qu'un rapport d'un prestataire non qualifié.

Combien de temps dure un audit cybersécurité ?

La durée varie selon le type d'audit et la taille du périmètre. Un scan de vulnérabilités prend 2 à 3 jours. Un pentest externe ciblé sur les systèmes exposés à Internet dure 5 à 10 jours. Un audit complet combinant volets techniques et organisationnels pour une entreprise de taille intermédiaire (50 à 200 employés) demande 15 à 25 jours ouvrés. À cela s'ajoutent 2 à 4 semaines pour la rédaction du rapport et, si incluse, une phase de vérification post-remédiation à J+30 ou J+90.

Que se passe-t-il si l'audit découvre une faille critique ?

Un auditeur sérieux dispose d'un protocole de communication d'urgence pour signaler immédiatement toute faille critique exploitable, sans attendre la remise du rapport final. Selon la nature de la faille (exposition de données personnelles, accès administrateur non sécurisé sur un système de production), votre équipe doit pouvoir la corriger ou la mitiger dans les heures qui suivent. Si la faille implique une violation de données personnelles, la loi 09-08 impose une notification à la CNDP. Cette procédure d'escalade doit être explicitement décrite dans la lettre de mission avant le démarrage des tests.

Par RMG Solutions

Intégrateur Odoo Certifié | Cybersécurité | Infrastructure | GRC

Dernière mise à jour : 30 avril 2026

Articles similaires

Guide
PCA et PRA au Maroc : Guide Complet pour PME 2026
Quand votre serveur tombe un lundi matin, combien de temps votre entreprise peut-elle survivre sans accès à ses données ? Une heure ? Une journée ? Une semaine ? Pour la plupart des PME marocaines, la réponse honnête est : pas longtemps. Et pourtant, moins de
8 avril 202616 min de lecture
Article
Prix Odoo Maroc 2026 : Tarifs & TCO sur 3 ans
Vous cherchez "prix Odoo Maroc" et vous tombez sur des articles qui parlent de "fourchettes" et de "variables à considérer". Personne ne vous donne un chiffre concret. Cet article corrige ce problème. Vous trouverez ici le tarif officiel Odoo 2026 en dirhams,
28 avril 202610 min de lecture
Guide
Développement d'Applications Métier au Maroc 2026
Votre logiciel standard ne couvre plus vos besoins réels Un distributeur de matériaux de construction à Tanger gère ses bons de livraison sur un tableau Excel partagé par WhatsApp. Une PME BTP à Casablanca utilise trois logiciels différents qui ne se parlent p
15 avril 202617 min de lecture

Protégez votre entreprise

Audit de sécurité, SOC, protection endpoint — nos experts sécurisent votre système d'information.