Web Crafters
Prendre rendez-vous

Audit SI PME : ce que doit produire un Diagnostic (et ce que la plupart ne livrent pas)

7 min
Portrait de Nicolas Toison
Nicolas Toison Fondateur de Web Crafters Studio — direction technique externalisée pour PME B2B 1-10 M€. LinkedIn →

Vous avez demandé un devis à un consultant en système d’information. Vous avez reçu une proposition à 650 €/jour, “mission estimée à 2-3 mois selon complexité.” Vous cherchez maintenant s’il existe quelque chose de plus cadré.

Ce post répond à cette question. L’audit SI PME n’est pas un marché uniforme — le format du Diagnostic que je propose existe précisément parce que les missions ouvertes produisent systématiquement les mêmes problèmes pour une PME de 1-10M€.

Ce que produit un audit SI PME en 3 semaines

Le Diagnostic n’est pas une méthode. C’est un livrable.

À la sortie de trois semaines de travail, vous avez quatre documents.

Une cartographie de vos actifs SI. Quels outils, quelles intégrations, quels prestataires, quelle infrastructure. Lisible par le dirigeant — pas un schéma réseau illisible pour un non-technicien. L’objectif est que vous puissiez montrer ce document à un repreneur, un investisseur ou un nouveau prestataire et qu’ils comprennent en dix minutes ce que vous avez.

Un inventaire des risques priorisés. Cyber, continuité, dépendances critiques, dette technique. Pour chaque risque identifié : un niveau de gravité, une probabilité d’occurrence, et une recommandation. Pas une liste de 80 points de même priorité — une matrice où ce qui est grave et probable est en haut.

Une feuille de route 12 mois priorisée. Les 5-7 chantiers à adresser, dans quel ordre, avec quel niveau d’urgence et quelle estimation d’effort. Pas des recommandations génériques — des chantiers nommés, avec des critères de succès.

Un compte-rendu de lecture pour le dirigeant. Une page. Les 3 décisions prioritaires à prendre dans les 90 prochains jours, avec les informations nécessaires pour les prendre.

La durée est fixée à 3 semaines. Pas “estimée à 3 semaines.” Fixée. Si le SI s’avère plus complexe que prévu, le périmètre est ajusté et documenté — le calendrier ne bouge pas.

Le prix : 4 500 € forfait. Convertible : 50% déduit du premier mois de Cadrage ou Pilotage si vous signez dans les 60 jours suivant la remise.

Pourquoi pas une mission de consulting ouverte ?

J’ai refusé de vendre des missions ouvertes. Pas par dogme — parce que j’ai vu trop de dirigeants sortir d’un audit avec un rapport de 80 pages qu’ils n’ont pas lu et sans décision prise.

Trois problèmes structurels des missions ouvertes pour une PME.

Le livrable glisse. La mission démarre en “audit + recommandations.” Trois semaines plus tard, le périmètre inclut “audit + recommandations + atelier de priorisation.” Deux semaines encore, et la mission intègre “un accompagnement pour le plan de transformation.” Chaque extension est individuellement justifiable. Collectivement, elles éloignent le dirigeant de la décision qu’il avait besoin de prendre en semaine 1.

Le consultant devient l’acteur qui se rend indispensable. Dans une mission facturée au temps passé, la complexité est un revenu. Un Diagnostic forfaitaire rémunère la clarté et la rapidité — l’incitation est inversée. Mon intérêt est de vous remettre une feuille de route en trois semaines, pas d’étendre la mission.

Le dirigeant perd le temps qu’il voulait récupérer. Trois mois de mission ouverte signifient trois mois de points hebdomadaires, de relecture de documents intermédiaires, de décisions repoussées en attendant le rapport final. Pour un dirigeant déjà surchargé sur les sujets SI, c’est l’exact opposé du résultat attendu.

Le Diagnostic existe parce que j’ai refusé de vendre des missions ouvertes. Ce n’est pas un argument marketing — c’est la raison pour laquelle le produit a été conçu de cette façon.

Pourquoi pas un atelier d’une journée ?

L’atelier d’une journée répond bien à un problème borné : quel ERP choisir, comment structurer une intégration spécifique, comment arbitrer entre deux prestataires pour un projet défini. C’est un format efficace quand le diagnostic est déjà fait.

Il répond mal à la question “qu’est-ce qui freine mon SI et dans quel ordre est-ce que j’adresse ça ?” — qui est précisément la question d’une PME qui ne sait pas par où commencer.

Le risque de l’atelier d’une journée dans ce contexte : le diagnostic n’est aussi profond que le questionnaire préparatoire. Une PME dont le SI n’est pas documenté — ce qui est la majorité — ne peut pas faire émerger ses vrais risques en une journée. Les quatre premières heures sont consacrées à cartographier ce qui aurait dû l’être en amont.

Pourquoi maintenant : deux signaux que la plupart des PME ignorent

NIS2 et l’échéance d’octobre 2026.

La directive NIS2 impose à toutes les entités concernées (et à leurs sous-traitants numériques) d’être conformes avant le 17 octobre 2026. Les dix mesures obligatoires de l’article 21 couvrent exactement les mêmes périmètres que le Diagnostic : gouvernance, gestion des risques, plan de sécurité, sécurité des prestataires, continuité d’activité.

Un Diagnostic réalisé avant l’échéance produit exactement les livrables que NIS2 requiert à la couche gouvernance et cartographie des risques. Ce n’est pas l’objectif premier du Diagnostic — mais pour une PME en scope NIS2, c’est un bénéfice direct de l’exercice. Plus d’informations sur l’échéance NIS2 sur cybermalveillance.gouv.fr.

L’investissement numérique sans cartographie préalable.

Les observatoires de l’investissement numérique PME documentent une accélération des dépenses numériques en 2026 — intégrations, migrations ERP, mise à niveau des infrastructures cloud. Le problème structurel : la plupart de ces investissements sont engagés sur un SI non documenté. L’alignement entre la dépense et le vrai goulot d’étranglement est souvent absent.

Un Diagnostic fait avant l’investissement cadre correctement la décision. Un Diagnostic fait après corrige ce qui a été mal investi.

Ce que le Diagnostic ne fait pas

Un audit SI PME en 3 semaines ne remplace pas tout. Le Diagnostic ne rédige pas de cahiers des charges pour de nouveaux outils, ne remplace pas un RSSI, ne pilote pas de migration, et ne produit pas de shortlists de prestataires avec offres scorées.

Ce que vous avez à la sortie : une photographie fiable de votre SI, une liste de risques priorisés, et une feuille de route. Ce n’est pas un plan d’exécution — c’est la base qui rend le plan d’exécution possible.

Si vous avez déjà une idée assez précise de ce qui coince et que vous avez besoin d’un interlocuteur pour piloter l’exécution sur la durée, le Cadrage est probablement plus adapté que le Diagnostic. Une conversation de 30 minutes suffit à le vérifier.

Réserver le Diagnostic

Le premier appel est gratuit et sans engagement. Trente minutes pour vérifier que le contexte se prête, répondre aux questions pratiques, et proposer un démarrage.

Vous pouvez le réserver directement depuis la page Diagnostic.

Pour voir comment le Diagnostic est structuré étape par étape, la page méthode détaille les trois phases de l’engagement.

Articles liés