Audit & diagnostic cloud

Audit Azure

Audit Azure : méthode, livrables, durée et budget indicatif. Intermédiaire spécialisé Azure & AWS : nous cadrons votre besoin et vous mettons en relation avec les prestataires qualifiés de notre réseau.

Durée : 2 à 5 j Budget indicatif : 3 500 à 8 000 €

Un environnement Azure laissé sans contrôle dérive sur trois fronts à la fois : la sécurité s'effrite à mesure que les droits s'accumulent, la facture gonfle sur des ressources oubliées, et l'architecture accumule une dette technique invisible jusqu'au premier incident. Un audit Azure rallume la lumière sur l'ensemble : ce qui est exposé, ce qui coûte trop cher, ce qui menace de tomber. Cette page décrit un audit Azure 360° (sécurité, coûts (FinOps), fiabilité, excellence opérationnelle et conformité), sa méthode, ses livrables, sa durée et son budget indicatif.

Qu'est-ce qu'un audit Azure et à quoi sert-il ?

Un audit Azure est un examen méthodique et indépendant d'un environnement Microsoft Azure (tenant, abonnements, ressources) destiné à mesurer son niveau réel de sécurité, de maîtrise des coûts, d'architecture, de gouvernance, de conformité et de performance, puis à le traduire en une feuille de route de remédiation priorisée.

La nuance est essentielle : un scan automatique produit une liste de findings ; un audit produit une lecture de ces findings. Ce qui est grave, ce qui est cosmétique, ce qui doit être corrigé cette semaine, ce qui peut attendre le prochain trimestre. La valeur ne réside pas dans l'outil, Microsoft Defender for Cloud génère déjà des centaines de recommandations, mais dans l'analyse, la priorisation et la mise en perspective métier.

Concrètement, un audit Azure couvre six domaines complémentaires :

  • Sécurité : identités (Microsoft Entra ID), accès (RBAC, PIM), exposition réseau, posture (Defender for Cloud), chiffrement et secrets.
  • Coûts / FinOps : gaspillage, ressources orphelines, sous-provisionnement et sur-provisionnement, engagements (réservations, Savings Plans), étiquetage.
  • Architecture : alignement sur l'Azure Well-Architected Framework et le Cloud Adoption Framework (landing zone).
  • Gouvernance : organisation des management groups, abonnements, Azure Policy, conventions de nommage et de tags.
  • Conformité : alignement sur les référentiels applicables (CIS, ISO 27001, RGPD, HDS, DORA, NIS2, SecNumCloud).
  • Performance & fiabilité : dimensionnement, supervision, sauvegardes, plan de reprise (RTO/RPO).

La plupart des pages d'audit Azure du marché se limitent à la sécurité. C'est utile, mais incomplet : un tenant parfaitement sécurisé peut être en train de brûler 40 % de budget inutile et de reposer sur une architecture qui ne survivra pas à la prochaine panne de zone. Un audit qui ne regarde qu'un front laisse les deux autres dans le noir.

L'audit Azure est une déclinaison de l'audit d'infrastructure cloud, spécialisée sur l'écosystème Microsoft : ses services managés, ses outils natifs et ses pièges propres. Si votre environnement est multi-cloud, il se combine naturellement avec un audit AWS et, le cas échéant, un audit Kubernetes pour les charges conteneurisées.

Audit Azure, audit de sécurité, Well-Architected Review : ne pas confondre

Trois termes circulent et recouvrent des périmètres différents. Les distinguer évite de payer pour un livrable qui ne répond pas au besoin.

| Type d'examen | Question centrale | Périmètre | Référentiel | |---|---|---|---| | Audit de sécurité Azure | Suis-je exposé ? | Entra ID, RBAC, réseau, données, journalisation, détection | CIS Azure Foundations, Microsoft Cloud Security Benchmark | | Azure Well-Architected Review | Mon architecture est-elle saine ? | Les 5 piliers (sécurité, coûts, fiabilité, performance, opérations) | Azure Well-Architected Framework | | Audit Azure complet (cette page) | Où en suis-je vraiment, et que corriger en priorité ? | Sécurité + FinOps + architecture + gouvernance + conformité | WAF plus CIS, ISO 27001, RGPD, HDS, DORA, NIS2 selon le secteur |

Un Well-Architected Review suit la grille officielle de Microsoft, structurée mais cadrée par le fournisseur. Un audit de sécurité cloud creuse l'exposition mais ignore les coûts et la fiabilité. L'audit Azure complet décrit ici intègre les trois, plus la dimension de conformité réglementaire française et européenne que le framework Microsoft ne couvre pas.

Pourquoi et quand auditer son environnement Azure ?

Dans nos missions, les déclencheurs d'un audit Azure sont presque toujours les mêmes :

  • Une dérive des coûts : la facture mensuelle a augmenté de 30 ou 50 % sans que personne ne sache précisément pourquoi.
  • Un incident ou une alerte : une connexion suspecte signalée par Entra ID, un secret retrouvé dans un dépôt Git, le départ d'un administrateur.
  • Une migration : avant de basculer une charge critique, ou juste après, pour valider la landing zone avant la mise en production.
  • Une mise en conformité : un client, un assureur ou un régulateur exige une preuve de maîtrise (ISO 27001, RGPD, HDS, DORA, NIS2).
  • Une reprise d'environnement : tenant hérité, départ du prestataire historique, fusion de SI, cloud non documenté dont plus personne ne connaît la logique.

À quelle fréquence ? Pour un environnement de production, nous recommandons un audit complet annuel et une revue trimestrielle ciblée sur la posture de sécurité (Secure Score) et les coûts (Cost Management). Les environnements soumis à DORA ou NIS2, ou hébergeant des données sensibles, gagnent à resserrer cette cadence. Entre deux audits, le suivi continu de la posture via Defender for Cloud évite que les écarts ne s'accumulent, c'est précisément la logique d'une démarche de remise en ordre de son cloud.

Un audit n'est pas une sanction. C'est un instantané partagé qui aligne DSI, RSSI et direction financière sur une même réalité, avec des décisions chiffrées en coûts, risques et délais, pas en jargon technique.

Le modèle de responsabilité partagée Azure : ce qui est de votre ressort

Avant de définir un périmètre, il faut clarifier qui est responsable de quoi. Azure fonctionne selon un modèle de responsabilité partagée souvent mal compris, source de fausses certitudes.

  • Microsoft est responsable de la sécurité du cloud : datacenters, matériel, hyperviseur, réseau physique, disponibilité des services managés.
  • Vous êtes responsable de la sécurité dans le cloud : vos données, le chiffrement, la configuration des identités et des accès, les règles réseau, les correctifs de vos machines virtuelles.

La frontière se déplace selon le modèle de service. Sur une machine virtuelle (IaaS), vous gérez le système d'exploitation et tout ce qui est au-dessus. Sur Azure SQL Database (PaaS), Microsoft gère le moteur et les correctifs, mais les comptes applicatifs, le chiffrement et les règles d'accès restent à votre charge. Sur Azure Functions (serverless), Microsoft gère l'exécution, mais le code, les permissions et les secrets demeurent vôtres. La gestion des identités reste, dans tous les cas, de votre responsabilité.

Conséquence sur le périmètre d'audit. Un audit Azure ne juge pas la sécurité des datacenters de Microsoft, c'est hors de votre contrôle. Il se concentre sur votre part : configuration, accès, données, code. Chaque finding correspond à un levier que vous pouvez actionner.

Cette répartition a une portée juridique. Au sens du RGPD, Microsoft agit comme sous-traitant (article 28) et vous restez responsable de traitement. L'audit vérifie que cette répartition est matérialisée : accord de traitement en place, localisation des données maîtrisée (résidence dans une région européenne le cas échéant), mesures techniques à votre charge effectivement implémentées.

Le périmètre d'un audit Azure, domaine par domaine

1. Identités et accès : Microsoft Entra ID, RBAC, Conditional Access, MFA, PIM

L'identité est le nouveau périmètre de sécurité. La majorité des compromissions cloud passent par un compte, pas par une faille d'infrastructure. L'audit examine en priorité Microsoft Entra ID (l'ancien Azure Active Directory).

  • Comptes à privilèges : combien d'administrateurs globaux ? Le principe est d'en limiter le nombre (idéalement deux à quatre) et de réserver ces rôles à des comptes dédiés, jamais nominatifs du quotidien.
  • MFA : l'authentification multifacteur est-elle imposée à tous les utilisateurs, et pas seulement aux administrateurs ? Les méthodes faibles (SMS) sont-elles en cours de remplacement par des méthodes résistantes au hameçonnage ?
  • Conditional Access : existe-t-il des politiques d'accès conditionnel cohérentes (blocage des géographies à risque, exigence d'appareil conforme, restriction des protocoles d'authentification hérités) ?
  • RBAC : les attributions de rôles respectent-elles le moindre privilège, ou trouve-t-on des rôles Owner ou Contributor distribués trop largement à la racine d'abonnements ?
  • PIM (Privileged Identity Management) : les rôles sensibles sont-ils activés à la demande, avec approbation et durée limitée, plutôt qu'attribués en permanence ?
  • Comptes invités et applications : les invités externes sont-ils revus ? Les autorisations accordées aux applications (consentement OAuth) sont-elles maîtrisées ?

C'est l'un des chapitres les plus rentables d'un audit : la réduction des accès permanents à privilèges via PIM réduit immédiatement la surface d'attaque sans coût d'infrastructure.

2. Posture de sécurité : Microsoft Defender for Cloud et Secure Score

Microsoft Defender for Cloud est la console de posture native d'Azure. L'audit s'appuie sur trois de ses composantes :

  • Secure Score : un indicateur agrégé (sur 100) de la maturité de la posture, calculé à partir de recommandations pondérées. L'audit relève le score de départ, identifie les recommandations à plus fort impact et estime le gain réaliste après remédiation.
  • Recommandations de posture : configurations à risque (stockage public, ports d'administration ouverts, chiffrement désactivé, ressources sans journalisation), classées par sévérité.
  • Regulatory compliance dashboard : la projection de votre configuration sur des référentiels (Microsoft Cloud Security Benchmark, CIS Azure Foundations, ISO 27001, PCI DSS), qui donne un état de conformité par contrôle.

L'audit ne se contente pas de relever le Secure Score : il vérifie que les plans Defender pertinents (serveurs, stockage, bases de données, conteneurs) sont activés là où ils apportent une protection réelle, sans alourdir inutilement la facture.

3. Sécurité réseau : NSG, VNet, pare-feu, exposition

Le réseau Azure est souvent là où l'exposition se cache. L'audit cartographie :

  • Network Security Groups (NSG) : règles trop permissives, ports d'administration (RDP 3389, SSH 22) ouverts sur Internet, règles Any-Any oubliées.
  • Topologie VNet : segmentation, peering, points de sortie, présence ou absence d'un modèle hub-and-spoke cohérent.
  • Azure Firewall et points d'entrée : filtrage applicatif, protection des applications exposées (Application Gateway, WAF, Front Door).
  • NSG Flow Logs et Network Watcher : la journalisation des flux est-elle active pour permettre l'analyse en cas d'incident ?
  • Points de terminaison privés : les services PaaS (stockage, bases) sont-ils accessibles via Private Endpoint plutôt que par des points de terminaison publics ?

4. Journalisation et détection : Azure Monitor, Log Analytics, Sentinel

Sans journaux, pas d'audit possible après un incident. L'audit vérifie la chaîne de traçabilité :

  • Activity Logs : journalisation des opérations sur le plan de gestion (qui a fait quoi, quand) et leur durée de conservation.
  • Resource Logs et Azure Monitor : collecte des journaux applicatifs et de plateforme dans un espace de travail Log Analytics centralisé.
  • Microsoft Sentinel : présence ou non d'un SIEM, connecteurs activés, règles de détection et capacité de réponse. À défaut de Sentinel, l'intégration des journaux Azure dans un SIEM tiers est évaluée.

L'audit relève les angles morts : ressources sans diagnostic activé, journaux conservés trop peu de temps pour respecter une obligation réglementaire, absence d'alerting sur les événements critiques.

5. Chiffrement et protection des données : Key Vault et secrets

L'audit vérifie le chiffrement au repos (activé par défaut sur la plupart des services, mais à confirmer pour les clés gérées par le client lorsque le contexte l'exige) et en transit (TLS imposé, protocoles obsolètes désactivés). Côté secrets :

  • Azure Key Vault : les secrets, clés et certificats sont-ils centralisés dans un coffre, ou dispersés dans des variables d'environnement et des fichiers de configuration ?
  • Rotation et accès : les secrets sont-ils renouvelés ? L'accès au coffre est-il restreint et journalisé ?
  • Secrets en clair : recherche de clés d'accès ou de chaînes de connexion dans le code, les dépôts et les pipelines.

6. FinOps : Cost Management, rightsizing, réservations, ressources orphelines

C'est le domaine que la quasi-totalité des concurrents ignore, et l'un des plus rentables pour le client. L'audit FinOps s'appuie sur Microsoft Cost Management et examine :

  • Ressources orphelines : disques managés non attachés, adresses IP publiques réservées et inutilisées, snapshots anciens, passerelles et load balancers sans backend. Autant de lignes de facture sans valeur.
  • Rightsizing : machines virtuelles et bases sur-dimensionnées au regard de leur utilisation réelle (CPU, mémoire, IOPS), ou au contraire sous-provisionnées et sources de lenteur.
  • Engagements : opportunités de Reserved Instances et de Savings Plans pour les charges stables, qui réduisent le coût par rapport au paiement à l'usage (PAYG), sans sur-engager.
  • Extinction hors usage : environnements de développement et de test qui tournent 24/7 alors qu'ils pourraient être éteints la nuit et le week-end.
  • Étiquetage (tagging) : sans tags cohérents, impossible d'allouer les coûts par projet, équipe ou centre de profit. L'audit évalue la couverture de tagging et son exploitation dans Cost Management.

Sur les environnements audités via notre réseau, le gaspillage constaté (orphelins, sur-dimensionnement, absence d'engagements) représente souvent une part significative de la facture mensuelle. Les économies dépendent entièrement du contexte ; aucune ne peut être promise avant analyse, mais les ressources orphelines et l'extinction hors usage sont presque toujours des quick wins sans impact sur la production.

Cet axe est développé dans notre démarche d'optimisation des coûts cloud et le service dédié d'audit FinOps.

7. Architecture : Azure Well-Architected Framework (5 piliers)

L'audit d'architecture s'appuie sur l'Azure Well-Architected Framework, qui structure l'évaluation autour de cinq piliers. Chaque pilier est noté pour donner une vision claire des forces et des faiblesses.

| Pilier | Ce qu'on évalue | Exemple de finding | |---|---|---| | Sécurité | Identités, réseau, données, détection | RBAC trop large, NSG ouverts | | Fiabilité | Redondance, sauvegardes, RTO/RPO, reprise | Pas de test de restauration, mono-zone | | Optimisation des coûts | Rightsizing, engagements, gaspillage | VM sur-dimensionnées, aucune réservation | | Excellence opérationnelle | IaC, supervision, automatisation, déploiement | Déploiements manuels, pas de monitoring | | Efficacité des performances | Dimensionnement, mise à l'échelle, latence | Absence d'autoscaling, goulots d'étranglement |

Un scoring par pilier (par exemple sur une échelle simple : faible / moyen / solide) permet à la direction de voir d'un coup d'œil où l'environnement est mûr et où il est fragile, puis de décider où investir.

8. Gouvernance : management groups, Azure Policy, landing zone

Sans gouvernance, un environnement Azure devient ingérable à l'échelle. L'audit examine :

  • Hiérarchie des management groups et organisation des abonnements (production / hors-production / sandbox séparés ?).
  • Azure Policy et initiatives : des politiques sont-elles en place pour imposer le tagging, restreindre les régions, interdire les configurations non chiffrées ? C'est le Policy as Code, qui transforme une règle écrite en contrôle automatique.
  • Conventions de nommage et cohérence des ressources.
  • Alignement sur le Cloud Adoption Framework : la landing zone (le socle d'atterrissage des charges) suit-elle les recommandations de Microsoft, ou a-t-elle été construite au fil de l'eau ?

Cet axe rejoint notre approche plus large de la gouvernance cloud et, pour les environnements Azure spécifiquement, le travail d'un architecte Azure.

9. Conformité et normes sectorielles

L'audit projette la configuration sur les référentiels applicables, et (c'est ce que personne ne fait) les relie aux obligations réelles de votre secteur :

  • CIS Azure Foundations Benchmark : le standard de durcissement de référence, directement exploitable via le regulatory compliance dashboard de Defender for Cloud.
  • ISO 27001 : l'audit alimente une démarche ISO 27001 en documentant les mesures techniques côté cloud.
  • RGPD : localisation des données, chiffrement, gestion des accès, traçabilité, contrat de sous-traitance.
  • HDS (hébergement de données de santé) : pour le secteur de la santé, les données doivent être hébergées chez un partenaire certifié HDS ; Azure propose des offres éligibles. L'audit vérifie l'éligibilité de l'architecture, sans que la certification ne porte sur votre configuration.
  • DORA : pour la finance et l'assurance, la résilience opérationnelle numérique impose tests, gestion des risques liés aux tiers et réversibilité.
  • NIS2 : la directive élargit les obligations de cybersécurité à de nombreux secteurs ; l'audit évalue l'écart avec ses exigences.
  • SecNumCloud / ANSSI et SOC 2 : selon le contexte client et les exigences contractuelles.

Cette dimension est approfondie dans notre audit de conformité cloud, à mobiliser dès que les enjeux réglementaires deviennent structurants.

Ce qu'un audit Azure n'est PAS : audit de configuration vs pentest

Une confusion fréquente mérite d'être levée. Un audit Azure tel que décrit ici est un audit de configuration en lecture seule : il examine comment l'environnement est paramétré, à partir d'accès en lecture, sans tenter d'exploiter de faille ni d'altérer quoi que ce soit.

Un test d'intrusion (pentest) est une démarche différente : il simule une attaque réelle pour vérifier si une faille est exploitable en pratique. Les deux sont complémentaires, mais ne répondent pas à la même question.

| Critère | Audit de configuration Azure | Test d'intrusion (pentest) | |---|---|---| | Question | Comment est-ce configuré ? | Une faille est-elle exploitable ? | | Accès | Lecture seule | Tentatives d'exploitation | | Périmètre | Posture globale (sécu, coûts, archi) | Surface d'attaque ciblée | | Risque pour la prod | Nul | À encadrer strictement | | Résultat | Posture + feuille de route | Preuve d'exploitabilité |

L'audit de configuration est le point de départ logique : il corrige les écarts évidents avant qu'un pentest ne vienne valider la résistance de ce qui reste. Lancer un pentest sur un environnement non audité revient souvent à payer pour faire confirmer des évidences.

Méthodologie : comment se déroule un audit Azure

Notre méthode suit cinq étapes, du cadrage à la restitution. L'objectif est de minimiser la charge de vos équipes : l'essentiel du travail repose sur des accès en lecture seule et l'analyse, pas sur des réunions à rallonge.

Étape 1 : Cadrage

Un premier échange fixe le périmètre (quels abonnements, quels domaines : sécurité seule ou audit 360°), les objectifs prioritaires (un déclencheur de conformité ne donne pas le même curseur qu'une dérive de coûts) et le contexte (secteur, obligations réglementaires, historique). Le périmètre détermine directement la durée et le budget.

Étape 2 : Accès en lecture seule

Vous attribuez un rôle Reader (et, pour certains domaines, Security Reader ou Global Reader sur Entra ID) sur le périmètre concerné. Aucun accès en écriture n'est nécessaire pour auditer. Cet accès est tracé, limité dans le temps et révoqué à la fin de la mission. Cette transparence est au cœur de notre approche : vous gardez la maîtrise complète de votre tenant.

Étape 3 : Entretiens et revue documentaire

Quelques entretiens ciblés (DSI, RSSI, responsable d'exploitation) éclairent les choix passés et les contraintes. La revue documentaire (schémas d'architecture, conventions existantes, code IaC s'il existe) complète l'analyse technique. Quand la documentation manque, le cas le plus fréquent, l'audit la reconstitue à partir de la configuration réelle.

Étape 4 : Analyse de configuration

Le cœur de la mission. Combinaison d'outils natifs (Defender for Cloud, Cost Management, Azure Policy, Azure Monitor) et de scripts d'extraction (PowerShell, Microsoft Graph) pour collecter et corréler les configurations. Les écarts sont confrontés aux référentiels (CIS, WAF) puis hiérarchisés par impact métier, pas seulement par sévérité technique.

Étape 5 : Restitution

Un rapport écrit et une restitution orale. Deux niveaux de lecture : un executive summary pour la direction (coûts, risques, délais en langage clair) et un détail technique exploitable par les équipes. La restitution n'est pas un point final : c'est le point de départ du plan d'action.

Outils mobilisés pendant l'audit

Un audit Azure crédible s'appuie sur l'outillage natif, complété par des extractions sur mesure :

  • Microsoft Defender for Cloud : posture, Secure Score, recommandations, conformité réglementaire.
  • Microsoft Cost Management : analyse des coûts, identification du gaspillage, simulation d'engagements.
  • Azure Policy : état des politiques en place et écarts de gouvernance.
  • Azure Monitor / Log Analytics : couverture de la journalisation et de la supervision.
  • Microsoft Sentinel : maturité de la détection et de la réponse, lorsqu'il est déployé.
  • PowerShell / Microsoft Graph : extraction fine des configurations Entra ID, RBAC et ressources.
  • Scanners CIS : projection automatisée sur le CIS Azure Foundations Benchmark.

L'outil ne fait pas l'audit. Il alimente l'analyse. La valeur tient à la lecture experte des résultats.

Livrables : ce que vous recevez concrètement

À l'issue d'un audit Azure, vous repartez avec un dossier complet et exploitable, pas avec un export brut :

  • Cartographie de l'environnement : tenant, abonnements, ressources, flux, dépendances, souvent la première vue d'ensemble réelle dont dispose le client.
  • Liste de risques priorisée : chaque finding qualifié par sévérité, impact métier et effort de correction.
  • Recommandations : pour chaque écart, l'action concrète à mener, pas une généralité.
  • Scoring : Secure Score de départ, scoring par pilier Well-Architected, état de conformité par référentiel.
  • Executive summary : une à deux pages pour la direction, en langage clair (coûts, risques, délais).
  • Feuille de route de remédiation sur 30/60/90 jours, des quick wins aux chantiers structurants.

Point qui nous distingue d'un revendeur : les livrables vous appartiennent. La cartographie, les recommandations et tout code d'infrastructure (Bicep, Terraform) produit en remédiation sont versionnés dans vos dépôts, sous vos comptes. Aucun enfermement, réversibilité totale.

Exemple de feuille de route de remédiation priorisée

| Horizon | Type | Exemples d'actions | |---|---|---| | 0–30 j (quick wins) | Sécurité / coûts | Imposer le MFA à tous, fermer les NSG d'administration exposés, supprimer les ressources orphelines, activer les journaux d'activité manquants | | 30–60 j | Structurant | Déployer PIM sur les rôles sensibles, centraliser les secrets dans Key Vault, mettre en place le tagging et des politiques Azure Policy, souscrire des réservations sur les charges stables | | 60–90 j et au-delà | Fondations | Aligner la landing zone sur le Cloud Adoption Framework, déployer Sentinel, formaliser le PRA (RTO/RPO), industrialiser l'IaC |

Cette logique 30/60/90 sépare ce qui réduit le risque immédiatement (sans budget) de ce qui demande un projet. Elle permet à la direction d'arbitrer en connaissance de cause.

Combien coûte un audit Azure, et combien de temps dure-t-il ?

Peu de prestataires affichent un repère de prix. Nous le faisons, avec la réserve qui s'impose : tout dépend du périmètre.

Un audit Azure représente généralement une mission de 2 à 5 jours, pour un budget indicatif de 3 500 à 8 000 € HT. Cette fourchette est une orientation, pas un tarif ferme : le devis précis dépend du périmètre réel et n'est arrêté qu'après le cadrage.

Les facteurs de variation principaux :

  • La taille du tenant : nombre d'abonnements, de ressources, d'identités.
  • Le périmètre fonctionnel : sécurité seule ou audit 360° (sécurité + FinOps + architecture + conformité).
  • Le contexte de conformité : un audit relié à DORA, HDS ou NIS2 demande une profondeur supplémentaire.
  • La complexité : environnement hybride (Active Directory on-premise relié via Entra Connect), multi-tenant, charges conteneurisées.
  • La maturité documentaire : un environnement non documenté allonge la phase de cartographie.

| Profil de mission | Durée indicative | Budget indicatif | |---|---|---| | Audit ciblé (sécurité Entra ID + posture) | 2 à 3 jours | à partir de 3 500 € HT | | Audit 360° (PME / ETI, un à quelques abonnements) | 3 à 4 jours | 4 500 à 6 500 € HT | | Audit 360° + conformité sectorielle (HDS, DORA, NIS2) | 4 à 5 jours | 6 500 à 8 000 € HT |

Ces repères valent pour un audit ponctuel. Ils excluent la phase de remédiation (la mise en œuvre des recommandations), qui fait l'objet d'un chiffrage séparé selon les chantiers retenus. L'audit éclaire la décision ; il ne facture pas de travaux non décidés.

L'indépendance de l'auditeur : pourquoi elle change tout

Tous les auditeurs Azure ne se valent pas, et la différence ne tient pas au niveau technique mais à la position. Un revendeur Azure a un intérêt à vous vendre plus de services Microsoft ; un intermédiaire indépendant n'a d'intérêt que dans la justesse de la recommandation.

  • Conseil sans parti pris : si la bonne décision est de réduire votre consommation, de désactiver un plan Defender surdimensionné ou de ne pas migrer une charge, nous le disons.
  • Transparence : coûts clairs, aucun engagement caché, aucune commission sur votre facture cloud.
  • Réversibilité : tout ce qui est construit vous appartient. Code IaC dans vos dépôts, comptes à votre nom, documentation remise.

C'est cette posture qui rend l'audit utile à la décision plutôt qu'à la vente. Elle est au fondement de notre démarche de sécurisation d'infrastructure cloud comme de notre conseil en architecture.

Cas particuliers fréquents

Audit Azure en environnement hybride et multi-tenant

Beaucoup d'organisations conservent un Active Directory on-premise synchronisé vers Entra ID via Entra Connect. L'audit examine alors la cohérence de cette synchronisation, les comptes hybrides à privilèges et les risques de propagation d'une compromission de l'un vers l'autre. En contexte multi-tenant (groupes, filiales), l'audit clarifie les frontières de confiance et les accès inter-tenants.

Audit post-migration et validation de landing zone

Juste après une migration cloud, un audit valide la landing zone avant la mise en production : la sécurité, la gouvernance et la supervision sont-elles au niveau, ou la précipitation de la migration a-t-elle laissé des dettes ? C'est un point de contrôle peu coûteux qui évite de mettre en production une fondation fragile.

Audit de gouvernance des abonnements et du tagging

Sur les environnements qui ont grossi sans cadre, l'audit peut se concentrer sur la gouvernance pure : structure des management groups, politiques Azure Policy, conventions de nommage, et surtout tagging : sans tags cohérents, l'allocation des coûts par projet ou par entité reste impossible, ce qui bloque tout pilotage FinOps sérieux.

Et après l'audit ? Du diagnostic à l'action

Un audit sans suite est un rapport qui dort dans un tiroir. La valeur se réalise dans la remédiation. Trois trajectoires possibles :

  1. Vous remédiez en interne : la feuille de route est conçue pour être exploitable par vos équipes, avec des actions concrètes et priorisées.
  2. Nous vous accompagnons sur la remédiation : mise en œuvre des chantiers, en transférant les compétences à vos équipes, avec un IaC versionné chez vous.
  3. Vous confiez le run à un prestataire : pour les organisations qui veulent un suivi continu de la posture, une infogérance cloud maintient le Secure Score, les coûts et la conformité dans le temps, plutôt que de laisser les écarts se reformer.

Quelle que soit la voie choisie, le principe reste le même : vous restez propriétaire et autonome.

Avant l'audit : ce que vous pouvez vérifier vous-même

Vous n'avez pas besoin d'attendre un audit pour commencer. Trois auto-évaluations gratuites, accessibles dans votre tenant, donnent déjà une première lecture :

  • Le Secure Score dans Microsoft Defender for Cloud : un indicateur immédiat de votre posture.
  • Le tableau de bord de Cost Management : pour repérer les abonnements et services qui pèsent le plus.
  • Le regulatory compliance dashboard : pour voir votre écart au CIS Azure Foundations Benchmark.

Ces outils ne remplacent pas l'analyse experte (ils ne hiérarchisent pas, ne lisent pas le contexte métier et ne distinguent pas le grave du cosmétique), mais ils confirment souvent qu'un audit complet est justifié.

Performance et fiabilité : les deux fronts qu'on oublie après la sécurité

La sécurité et les coûts captent l'attention, mais un audit Azure complet vérifie aussi que l'environnement tient sous charge et résiste aux pannes. Deux questions structurent cet examen.

Performance. Le dimensionnement correspond-il à la charge réelle ? L'audit confronte les métriques (CPU, mémoire, IOPS, latence) à la taille des ressources. Les services exploitent-ils la mise à l'échelle automatique (autoscaling) plutôt qu'un sur-provisionnement permanent qui coûte cher en continu ? Les bases de données et les passerelles sont-elles des goulots d'étranglement ? Un environnement performant n'est pas un environnement surdimensionné : c'est un environnement ajusté qui sait grandir quand il le faut.

Fiabilité. C'est le domaine le plus souvent négligé, jusqu'au jour de la panne. L'audit examine :

  • La redondance : les charges critiques sont-elles réparties sur plusieurs zones de disponibilité, ou reposent-elles sur une seule zone dont la défaillance arrête tout ?
  • Les sauvegardes : existent-elles, et surtout, ont-elles déjà été restaurées ? Une sauvegarde jamais testée n'est pas une sauvegarde, c'est une hypothèse.
  • Le PRA/PCA : les objectifs de temps de reprise (RTO) et de perte de données admissible (RPO) sont-ils définis, documentés et tenables ? Beaucoup d'organisations découvrent leur RTO réel le jour de l'incident, et il est rarement celui qu'elles imaginaient.

Une infrastructure qui n'a jamais testé sa restauration vit sur une hypothèse, pas sur une certitude. L'audit transforme cette hypothèse en fait mesuré, et, le cas échéant, en chantier prioritaire de la feuille de route. C'est l'un des points qui sépare un environnement réellement résilient d'un environnement qui se croit résilient. Pour aller plus loin sur ce sujet, voir notre approche de l'infrastructure cloud instable.

Comment lire le rapport d'audit : des findings à la décision

Un rapport d'audit utile ne se lit pas comme une liste de bugs. Il se lit comme un outil d'arbitrage. Trois clés de lecture que nous intégrons systématiquement :

  1. La sévérité technique n'est pas la priorité métier. Un finding « critique » au sens d'un scanner peut concerner une ressource de test sans données sensibles ; un finding « moyen » peut exposer votre base de production. La priorisation restituée croise sévérité technique et impact métier réel.
  2. Chaque risque est chiffré en effort de correction. Savoir qu'un écart existe ne suffit pas à décider : il faut savoir s'il se corrige en une heure ou en un trimestre. C'est ce qui permet de remplir intelligemment les horizons 30/60/90 jours.
  3. L'executive summary parle à la direction, le détail parle aux équipes. Une direction générale n'a pas besoin de la liste des NSG mal configurés ; elle a besoin de savoir combien coûte le risque, combien coûte la correction, et en combien de temps. Le rapport sert les deux lectures sans diluer aucune.

Cette discipline de restitution est ce qui transforme un audit en décisions, et des décisions en actions. Un rapport que personne ne comprend ne change rien ; un rapport que la direction lit en cinq minutes débloque des budgets.

Un cas représentatif : audit 360° d'une ETI industrielle

Pour rendre concret ce qu'un audit révèle, voici un cas représentatif (persona anonymisé, chiffres illustratifs et non garantis), proche de missions que nous coordonnons régulièrement.

Une ETI industrielle, environ 400 collaborateurs, exploite un tenant Azure avec trois abonnements accumulés au fil des projets. Déclencheur : une facture mensuelle en hausse de 40 % sur un an, et un client grand compte qui exige une preuve de maîtrise de la sécurité avant de renouveler son contrat.

L'audit 360°, mené sur quatre jours, met en évidence :

  • Sécurité : MFA appliqué aux seuls administrateurs, sept comptes disposant d'un rôle Owner à la racine d'un abonnement de production, ports RDP ouverts sur Internet pour trois machines virtuelles, aucune politique de Conditional Access. Secure Score de départ bas.
  • Coûts : plusieurs disques managés orphelins, deux environnements de pré-production tournant 24/7, aucune réservation ni Savings Plan malgré des charges parfaitement stables. Le gaspillage représente une part notable de la facture.
  • Architecture : absence de landing zone structurée, pas de séparation claire production / hors-production, aucune politique Azure Policy, tagging quasi inexistant.
  • Conformité : journaux d'activité conservés trop peu de temps, aucune projection sur le CIS Azure Foundations Benchmark.

La feuille de route 30/60/90 jours hiérarchise : MFA généralisé et fermeture des ports d'administration en quick wins, déploiement de PIM et souscription de réservations à 60 jours, structuration de la landing zone et du tagging à 90 jours. Les économies FinOps identifiées financent en partie les chantiers de sécurité, un argument décisif pour la direction financière.

L'enseignement le plus fréquent de ces missions : les trois fronts sont liés. Les économies dégagées côté FinOps financent souvent les corrections de sécurité, et la mise en ordre de la gouvernance rend les deux durables. C'est exactement ce qu'un audit mono-angle, centré sur la seule sécurité, ne permet pas de voir.

Pourquoi confier votre audit Azure à Architecte Cloud

  • 12 ans d'expertise cloud et de nombreux projets accompagnés sur Azure et AWS, pour un réseau de clients établi, avec une satisfaction client élevée.
  • Prestataires et experts qualifiés disposant des certifications requises : Azure Solutions Architect Expert, Azure Security Engineer, FinOps Certified Practitioner, CISSP.
  • Microsoft Azure Partner (Solutions Partner, Infrastructure), engagement dans une démarche ISO 27001 et membre de la FinOps Foundation.
  • Indépendance : intermédiaire de conseil et de mise en relation, sans parti pris de revente.
  • Langage clair : des recommandations traduites en coûts, risques et délais, lisibles par la DSI comme par la direction générale.

Notre lecture s'adapte à votre secteur (santé, finance, industrie, SaaS), car les obligations et les enjeux d'un audit ne sont pas les mêmes selon que vous hébergez des données de santé ou que vous gérez une scale-up en hypercroissance. Pour situer l'audit dans une démarche cloud plus large, notre guide du cloud et notre page à propos donnent le contexte complet.

Lancez votre diagnostic Azure en ligne ou contactez-nous pour cadrer un audit adapté à votre environnement. Réponse sous 48 h ouvrées.

FAQ : Audit Azure

Qu'est-ce qu'un audit Azure ?

Un audit Azure est un examen méthodique et indépendant d'un environnement Microsoft Azure (tenant, abonnements, ressources) qui mesure son niveau de sécurité, de maîtrise des coûts, d'architecture, de gouvernance et de conformité, puis produit une feuille de route de remédiation priorisée. Il dépasse le simple scan : il lit et hiérarchise les findings en fonction de leur impact métier.

Comment réaliser un audit de sécurité Azure ?

Un audit de sécurité Azure s'appuie sur l'examen de Microsoft Entra ID (comptes à privilèges, MFA, Conditional Access, PIM), des attributions RBAC, de la posture mesurée par Microsoft Defender for Cloud (Secure Score), de la sécurité réseau (NSG, exposition, pare-feu) et de la journalisation (Azure Monitor, Sentinel). Le tout est confronté au CIS Azure Foundations Benchmark, puis priorisé.

Combien coûte un audit Azure ?

À titre indicatif, un audit Azure se situe dans une fourchette de 3 500 à 8 000 € HT pour une mission de 2 à 5 jours. Ce repère n'est pas un prix ferme : le devis dépend du périmètre (nombre d'abonnements, sécurité seule ou audit 360°, exigences de conformité comme HDS ou DORA) et n'est arrêté qu'après le cadrage.

Combien de temps dure un audit Azure ?

La plupart des audits Azure durent de 2 à 5 jours selon le périmètre. Un audit ciblé sur la sécurité prend 2 à 3 jours ; un audit 360° complet (sécurité, FinOps, architecture, conformité) demande 3 à 5 jours. L'essentiel du travail repose sur des accès en lecture seule et l'analyse, avec une charge limitée pour vos équipes.

Comment se déroule un audit Azure et quels sont les livrables ?

L'audit suit cinq étapes : cadrage, accès en lecture seule, entretiens et revue documentaire, analyse de configuration, restitution. Vous recevez une cartographie de l'environnement, une liste de risques priorisée, des recommandations concrètes, un scoring (Secure Score et piliers Well-Architected), un executive summary pour la direction et une feuille de route de remédiation sur 30/60/90 jours. Les livrables vous appartiennent.

À quelle fréquence faut-il auditer son environnement Azure ?

Pour un environnement de production, nous recommandons un audit complet annuel et une revue trimestrielle ciblée sur la posture de sécurité et les coûts. Les organisations soumises à DORA ou NIS2, ou hébergeant des données sensibles, gagnent à resserrer cette cadence et à mettre en place un suivi continu de la posture entre deux audits.

Quels outils utiliser pour auditer Azure ?

Les outils natifs clés sont Microsoft Defender for Cloud (posture, Secure Score, conformité réglementaire), Microsoft Cost Management (analyse FinOps), Azure Policy (gouvernance), Azure Monitor et Log Analytics (journalisation), et Microsoft Sentinel (détection). Ils sont complétés par des scripts PowerShell et Microsoft Graph pour extraire finement les configurations Entra ID et RBAC, et par des scanners CIS.

Qu'est-ce que le CIS Azure Foundations Benchmark ?

Le CIS Azure Foundations Benchmark est un référentiel de bonnes pratiques de durcissement publié par le Center for Internet Security. Il définit des contrôles concrets de configuration sécurisée (identités, réseau, journalisation, stockage, etc.). Il est directement exploitable via le regulatory compliance dashboard de Microsoft Defender for Cloud, qui projette votre configuration sur ses contrôles.

Qu'est-ce que le Secure Score Azure et comment l'améliorer ?

Le Secure Score est un indicateur agrégé, calculé par Microsoft Defender for Cloud, qui résume la maturité de votre posture de sécurité sur une échelle de 0 à 100. On l'améliore en traitant les recommandations à plus fort impact : imposer le MFA, restreindre les accès à privilèges, fermer les ports d'administration exposés, activer la journalisation et le chiffrement. Un audit identifie les actions au meilleur rapport effort/gain.

Comment auditer les coûts Azure et réduire la facture cloud ?

Un audit FinOps Azure s'appuie sur Microsoft Cost Management pour repérer le gaspillage : ressources orphelines (disques, IP, snapshots), machines sur-dimensionnées (rightsizing), absence d'engagements (Reserved Instances, Savings Plans) et environnements qui tournent hors usage. Il évalue aussi le tagging, sans lequel l'allocation des coûts par projet est impossible. Les économies dépendent du contexte et ne peuvent être promises avant analyse.

Qu'est-ce que l'Azure Well-Architected Review ?

L'Azure Well-Architected Review évalue une architecture selon les cinq piliers du Well-Architected Framework : sécurité, fiabilité, optimisation des coûts, excellence opérationnelle et efficacité des performances. Chaque pilier est noté pour identifier forces et faiblesses. C'est un sous-ensemble d'un audit Azure complet, qui y ajoute la gouvernance et la conformité réglementaire.

Comment auditer Microsoft Entra ID (ex-Azure Active Directory) ?

L'audit d'Entra ID examine le nombre et la nature des comptes à privilèges, l'application du MFA à tous les utilisateurs, les politiques de Conditional Access, l'usage de PIM pour l'activation des rôles sensibles à la demande, les comptes invités et les consentements d'applications. En environnement hybride, il vérifie aussi la synchronisation via Entra Connect avec l'Active Directory on-premise.

Quelle est la différence entre un audit Azure et un test d'intrusion ?

Un audit Azure est un examen de configuration en lecture seule : il regarde comment l'environnement est paramétré, sans rien exploiter. Un test d'intrusion (pentest) simule une attaque réelle pour vérifier si une faille est exploitable en pratique. Les deux sont complémentaires, mais l'audit de configuration vient logiquement en premier : il corrige les écarts évidents avant qu'un pentest ne valide la résistance résiduelle.

Comment activer et consulter les journaux d'audit dans Azure ?

Les opérations sur le plan de gestion sont enregistrées dans les Activity Logs. Les journaux de plateforme et applicatifs (Resource Logs) sont collectés via les paramètres de diagnostic vers un espace de travail Log Analytics, exploitable dans Azure Monitor. Pour la détection et la corrélation, ces journaux peuvent être intégrés à Microsoft Sentinel ou à un SIEM tiers. L'audit vérifie la couverture, la durée de conservation et l'alerting.

Un audit Azure aide-t-il à la conformité RGPD, ISO 27001 ou HDS ?

Oui. L'audit documente les mesures techniques côté cloud, ce qui alimente une démarche ISO 27001, vérifie les exigences RGPD (localisation des données, chiffrement, traçabilité, contrat de sous-traitance article 28) et, pour la santé, confirme que l'architecture est éligible à un hébergement chez un partenaire certifié HDS. La certification HDS porte sur l'hébergeur, pas sur votre configuration.

Quel est le modèle de responsabilité partagée sur Azure ?

Microsoft est responsable de la sécurité du cloud (datacenters, matériel, hyperviseur, réseau physique) ; vous êtes responsable de la sécurité dans le cloud (données, chiffrement, identités, accès, configuration réseau, correctifs de vos machines). La frontière varie selon le service (IaaS, PaaS, serverless), mais la gestion des identités reste toujours de votre ressort. L'audit se concentre sur votre part, la seule que vous pouvez actionner.

À lire aussi : Audit & diagnostic cloud

Parlons de votre audit & diagnostic cloud.

Diagnostic en ligne en 2 minutes, ou échange direct avec notre équipe pour être orienté vers des prestataires et experts qualifiés Azure & AWS. Devis cadré selon votre périmètre, réponse sous 48 h ouvrées.

Démarrer l'audit Nous contacter