FAQ : Audits
Bexxo intervient-il dans toute la Suisse ?
Bexxo opère principalement en Suisse romande, avec des interventions à distance ou sur site dans toute la Suisse. Basé à Ins (canton de Berne), au carrefour des régions linguistiques suisses, notre équipe accompagne les PME en français, allemand et anglais.
Combien coûte un audit de sécurité réseau ?
Nos forfaits réseau vont de 2 000 CHF (Essentiel — scan de vulnérabilités, rapport simplifié) à 18 000 CHF (Premium — tests de pénétration approfondis, évaluation complète, présentation à la direction). Le forfait Standard (4 500 CHF) est le plus demandé par les PME suisses.
Combien coûte un audit de sécurité web ?
Nos forfaits vont de 1 500 CHF (Essentiel — 10 points de contrôle, scan automatisé, rapport simplifié) à 15 000 CHF (Premium — 20 points de contrôle, tests de pénétration approfondis, évaluation des API, présentation à la direction). Le forfait Standard (3 000 CHF) est le plus demandé par les PME suisses.
Combien de temps dure un audit de sécurité de site web ?
La durée varie selon le forfait et la complexité du site :
- Essentiel : 1 à 2 jours ouvrés.
- Avancé : 3 à 5 jours ouvrés.
- Premium : 1 à 2 semaines selon la taille du site et le périmètre (API, base de données, applications tierces).
Le rapport est remis dans ce délai, suivi d'une séance de présentation (forfait Premium) ou d'un échange par email.
Combien de temps dure un audit de sécurité réseau ?
La durée dépend du forfait et de la taille de l'infrastructure :
- Essentiel : 1 à 2 jours ouvrés pour un réseau de moins de 50 équipements.
- Avancé : 3 à 5 jours ouvrés selon la complexité de la topologie.
- Premium : 1 à 2 semaines pour une infrastructure multi-sites ou une architecture complexe (VPN, cloud hybride, OT/IT).
Le rapport est remis dans ce délai, avec une séance de présentation incluse pour le forfait Premium.
Combien de temps dure un audit réseau ?
De 2 à 10 jours ouvrés selon le forfait et la taille de l'infrastructure. Le forfait Essentiel prend 2 à 3 jours, le Standard 3 à 7 jours, le Premium 5 à 10 jours. Vous recevez un rapport détaillé avec un plan d'action priorisé par criticité à la fin de l'audit.
Combien de temps dure un audit web ?
De 2 à 10 jours ouvrés selon le forfait et la complexité du site. Le forfait Essentiel prend 2 à 3 jours, le Standard 3 à 7 jours, le Premium 5 à 10 jours. Vous recevez un rapport détaillé avec un plan d'action priorisé à la fin de l'audit.
L'analyse est-elle vraiment gratuite et sans engagement ?
Oui, sans condition. L'analyse initiale est offerte par Bexxo dans le cadre de notre démarche de sensibilisation à la cybersécurité des PME suisses. Aucune carte bancaire n'est demandée, aucun contrat n'est signé. À l'issue de l'analyse, si des prestations complémentaires (audit approfondi, forfait, formation) vous intéressent, vous recevez un devis détaillé — que vous êtes libre d'accepter ou non. 68 % des PME suisses n'ont jamais réalisé de bilan cybersécurité (NCSC) : cette analyse est conçue pour lever ce frein.
L'audit est-il conforme aux normes ISO 27001 et nLPD ?
Oui. Nos audits suivent les contrôles de l'ISO 27001:2022 (Annexe A — contrôles technologiques) et le NIST CSF comme cadres de référence. Le rapport d'audit peut servir de preuve de diligence en cas de contrôle du PFPDT dans le cadre de la nLPD.
L'audit inclut-il la correction des failles identifiées ?
Non — l'audit couvre l'identification, la classification et le plan d'action. La correction des failles est une prestation distincte, réalisable par vos équipes internes sur la base du rapport, ou par Bexxo sur devis. Cette séparation garantit l'objectivité de l'audit : le prestataire qui audite ne peut pas avoir intérêt à trouver plus de failles qu'il n'en existe. Tous nos forfaits incluent une assistance à la compréhension du rapport et aux premières mesures correctives.
Le rapport d'audit réseau est-il utilisable pour la certification ISO 27001 ?
Oui. Nos audits suivent les contrôles de l'ISO 27001:2022 (Annexe A — contrôles technologiques et physiques) et le NIST CSF comme cadres de référence. Le rapport d'audit constitue une preuve documentaire de diligence auprès des auditeurs ISO, du PFPDT et de vos partenaires commerciaux.
Mon réseau est-il concerné par la nLPD ?
Oui. La nLPD (nouvelle Loi sur la Protection des Données, en vigueur depuis septembre 2023) impose des mesures techniques de sécurité adaptées sur toutes les données personnelles traitées. Une intrusion réseau entraînant une fuite de données peut donner lieu à des amendes jusqu'à 250 000 CHF et à une obligation de notification du PFPDT.
Mon site WordPress a-t-il besoin d'un audit de sécurité ?
Oui. WordPress propulse 43 % des sites web dans le monde et est de loin le CMS le plus ciblé par les attaquants. Les vulnérabilités proviennent souvent des plugins tiers, des thèmes non mis à jour et des mauvaises configurations. Un audit Bexxo vérifie l'ensemble de ces points, pas uniquement le core WordPress.
Mon site web a-t-il besoin d'un audit de sécurité ?
Oui, si votre site collecte des données personnelles, traite des paiements ou est accessible depuis Internet. 73 % des sites web ont au moins une vulnérabilité critique (source : Bexxo, données internes). La nLPD (loi suisse sur la protection des données) impose aux entreprises de documenter leurs mesures de sécurité — un audit constitue cette preuve. En cas de fuite de données, l'absence de diligence peut entraîner des amendes jusqu'à 250 000 CHF.
Pourquoi mon réseau d'entreprise est-il exposé aux cyberattaques ?
Le réseau d'entreprise est la première cible des attaquants : il donne accès à l'ensemble des systèmes, données et communications internes. Trois facteurs aggravent l'exposition des PME :
- Délai de détection long — le temps moyen pour détecter une intrusion est de 204 jours (IBM Cost of a Data Breach 2024), laissant aux attaquants le temps d'exfiltrer des données.
- Configurations par défaut — pare-feu, routeurs et switches livrés avec des réglages non durcis constituent des portes d'entrée exploitables.
- Accès distants non contrôlés — VPN, télétravail et accès partenaires élargissent la surface d'attaque sans toujours être correctement sécurisés.