Audit cybersécurité PME Dakar : checklist 30 points 2026

Une PME dakaroise sur trois a subi une cyberattaque réussie en 2025 (étude Africa Cyber Index). Coût médian d'une attaque réussie : 8,4 millions FCFA (12 800 EUR), soit l'équivalent de 6 mois de salaire d'un développeur senior. Pourtant, 80% de ces incidents auraient été évités par 10 mesures de base coûtant moins de 200 000 FCFA. Voici la checklist auditable Kolonell pour PME dakaroises en 2026.

TL;DR

- 30 points d'audit regroupés en 5 catégories

- Score cible PME : 24/30 minimum pour un risque acceptable

- Coût mise en conformité : 200 000 à 800 000 FCFA (305 à 1 220 EUR)

- Délai recommandé : 30 jours

- Audit Kolonell gratuit en ligne via /audit-gratuit

Catégorie 1 — Authentification (6 points)

• Mots de passe uniques par service : chaque outil (mail, CRM, banque) a un mot de passe différent. Gestionnaire Bitwarden ou 1Password obligatoire.
• MFA activé sur les comptes critiques : email, banque, hébergement, GitHub, admin site. Authy ou Google Authenticator, pas SMS.
• Mots de passe longs (16+ caractères) : générés aléatoirement, pas de date de naissance ou prénom enfant.
• Pas de mot de passe partagé en clair : Slack, WhatsApp, email — interdits. Partager via vault Bitwarden Send.
• Comptes admin séparés des comptes usuels : un dirigeant a 2 comptes Google Workspace, l'admin n'est utilisé que pour configurer.
• Rotation des mots de passe après départ employé : checklist offboarding obligatoire.

Catégorie 2 — Infrastructure et serveurs (6 points)

• HTTPS partout (Let's Encrypt) : pas un seul sous-domaine en HTTP pur, HSTS activé.
• OS et CMS à jour : Ubuntu LTS, WordPress core + plugins en version dernière mineure, patch < 14 jours.
• Firewall serveur configuré : ufw ou nftables, ports 22/80/443 ouverts, SSH par clé seulement.
• Fail2ban actif : ban automatique IP après 5 tentatives SSH ou WordPress failed login.
• Backups quotidiens testés : Wasabi ou OVH, chiffrement AES-256, restauration vérifiée mensuellement.
• Monitoring uptime + erreurs : UptimeRobot, Sentry, BetterStack — alerte mail + WhatsApp si downtime > 2 min.

Catégorie 3 — Application et code (6 points)

• Validation input côté serveur : pas seulement côté client, contre injection SQL et XSS.
• CSRF tokens sur les formulaires : Next.js, Laravel, Django ont ça par défaut.
• Headers sécurité HTTP : CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy.
• Dépendances scannées : npm audit, dependabot, Snyk — pas de vulnérabilité haute ou critique non corrigée.
• Secrets jamais dans Git : .env gitignored, scan git-secrets ou trufflehog avant chaque push.
• Rate limiting sur endpoints sensibles : login, reset password, API publique — 10 req/min max par IP.

Catégorie 4 — Données et conformité CDP (6 points)

• Registre des traitements à jour : tous les traitements documentés, source de vérité Notion ou Excel.
• Politique vie privée publiée : page /confidentialite accessible depuis le footer.
• Consentement cookies conforme CDP : bandeau opt-in pour Google Analytics, Meta Pixel.
• Données sensibles chiffrées au repos : IBAN, NINEA, santé — chiffrement applicatif via libsodium ou bcrypt.
• Durée de conservation définie : 3 ans prospects, 10 ans clients (obligation comptable), suppression automatisée.
• Procédure droits CDP : email dpo@exemple.sn + formulaire web pour droit d'accès, rectification, effacement.

Catégorie 5 — Humain et phishing (6 points)

• Sensibilisation phishing trimestrielle : ateliers 2h ou modules KnowBe4 / Conscio, mise en situation.
• Procédure escalade incident : qui appeler en cas de suspicion, runbook accessible hors infra principale.
• Pas de Wi-Fi guest sur réseau corporate : SSID séparé, VLAN distinct, accès limité internet uniquement.
• VPN pour télétravail : WireGuard ou OpenVPN, pas de RDP exposé sur Internet.
• Charte informatique signée : tous les salariés et freelances ont signé une charte d'usage acceptable.
• Test phishing simulé annuel : GoPhish ou outil externe — mesurer le taux de clic, former les plus vulnérables.

Scoring et interprétation

Coût et planning de mise en conformité

Pour une PME de 5 à 15 salariés partant d'un score 15/30 :

FAQ

Q : Cette checklist est-elle suffisante pour ISO 27001 ?

R : Non — elle couvre les bases pour PME. ISO 27001 demande un SMSI documenté complet (politique sécurité, analyse de risques EBIOS, plan de traitement, audit interne, revue de direction). Comptez 18 à 24 mois pour la certification.

Q : Faut-il un RSSI dédié pour une PME de 10 personnes ?

R : Non en 2026 — un RSSI externalisé (Kolonell, cabinets dakarois) à 200 000 à 400 000 FCFA/mois est suffisant. RSSI interne à partir de 50 salariés ou activité régulée.

Q : Comment tester ma sécurité sans payer un pentest ?

R : Outils gratuits : Mozilla Observatory (headers), SSL Labs (TLS), GTmetrix (perf), OWASP ZAP (scan applicatif léger). Pour un vrai pentest comptez 1,5 à 4 millions FCFA selon périmètre.

Q : Mon antivirus suffit-il pour les postes employés ?

R : Non en 2026 — antivirus seul couvre 40% des menaces. Ajouter EDR (Microsoft Defender for Business, SentinelOne) + DNS filtering (Cloudflare for Teams gratuit) + MFA sur tous les comptes pro.

Conclusion

La cybersécurité d'une PME dakaroise ne nécessite pas un budget grande entreprise — elle nécessite de la discipline et une checklist tenue. 1 000 000 FCFA et 30 jours suffisent pour passer d'un risque critique à un niveau acceptable. Kolonell propose l'audit complet 30 points en ligne, gratuit. Demandez votre audit gratuit ou écrivez sur WhatsApp +221 77 596 93 33.