Comment changer de prestataire d’infogérance sans interruption — guide pour PME

Changer de prestataire d’infogérance n’est pas compliqué “techniquement”. Ce qui crée les problèmes, ce sont les accès, la documentation, les sauvegardes et un contrat mal cadré. Ce guide va à l’essentiel : une méthode en étapes + des checklists + un modèle d’email pour récupérer ce qui vous appartient.

Avant de commencer : 3 erreurs fréquentes

• Résilier avant d’avoir récupéré les accès. Sans comptes administrateurs, vous êtes dépendant (messagerie, firewall, sauvegarde, DNS…).
• Confondre “reprendre l’infogérance” et “faire des projets”. La priorité est le RUN : exploitation, support, sécurité, sauvegardes, supervision (voir le périmètre : ce qui est inclus / hors périmètre).
• Ne pas exiger de preuves. “On fait des sauvegardes” ne suffit pas : ce qui compte, c’est la preuve de restauration et le reporting.

Objectif réaliste : rendre la transition “invisible” pour vos équipes : mêmes accès, mêmes outils, mêmes services… avec plus de contrôle et de clarté.

Étape 1 — Relire le contrat et cadrer la sortie (réversibilité, SLA, préavis)

Avant même de sélectionner un nouveau prestataire, vous devez cadrer votre sortie. Les points suivants déterminent la facilité (ou la douleur) du changement :

1) Vérifier l’engagement et le préavis

• Durée d’engagement, tacite reconduction, conditions de résiliation
• Délais de préavis
• Pénalités éventuelles

2) Identifier la clause de réversibilité (ou son absence)

La clause de réversibilité définit ce que votre prestataire doit remettre (accès, docs, exports, accompagnement) et dans quel délai.

À lire : clause de réversibilité en infogérance.

3) Mettre au clair le SLA (délais mesurables)

Sans SLA, vous n’avez pas de base objective pour juger. Un SLA utile décrit : prise en charge, délais de rétablissement, disponibilité, plages de support, escalade.

À lire : SLA en infogérance : définition + pièges.

4) Vérifier ce que le contrat doit inclure

Si votre contrat est flou, vous “achetez des heures” plutôt qu’un service piloté. À lire : contrat d’infogérance : ce qu’il doit inclure et risques / pièges de contrat pour PME.

Conseil pragmatique : si la réversibilité n’est pas cadrée, traitez-la comme un mini-projet : liste de livrables + dates + responsable + validation.

Étape 2 — Reprendre le contrôle : la checklist “à récupérer”

Votre priorité est de récupérer (ou vérifier) tout ce qui permet à n’importe quel prestataire compétent de reprendre le service sans coupure. Classez les éléments en 4 catégories : Accès, Inventaire, Documentation, Preuves.

A) Accès indispensables (à sécuriser immédiatement)

• Messagerie / Microsoft 365 : compte(s) admin global, accès tenant, MFA, délégations (voir : infogérance Microsoft 365)
• Pare-feu / routeur : accès admin + sauvegarde de configuration
• DNS / domaines : registrar + DNS manager (sinon vous pouvez être bloqué pour modifier e-mail / site)
• VPN : accès admin + liste des comptes + certificats
• Sauvegardes : console admin + localisation des sauvegardes + clés/chiffrement si applicable
• Serveurs / virtualisation : vCenter/Hyper-V/console cloud + comptes admin
• Postes / MDM : Intune/MDM/outil de gestion + comptes admin
• EDR/antivirus : console + politiques + exports
• Outil tickets / support : accès + export historique (utile pour comprendre les incidents récurrents)

B) Inventaire (ce que vous possédez réellement)

• Inventaire du parc (postes, serveurs, équipements réseau) + garanties
• Inventaire des licences (Microsoft, sauvegarde, sécurité, outils) + dates de renouvellement
• Liste des prestataires “satellites” (télécom, hébergeur, cybersécurité, imprimantes, etc.)

Pour cadrer ce qui est géré ou non au titre du contrat, vous pouvez aussi lire : catalogue RUN (inclus / hors périmètre) et infogérance vs maintenance.

C) Documentation minimale

• Schéma réseau (même simple), plan IP, règles principales firewall
• Procédures sauvegarde / restauration
• Procédure d’arrivée/départ utilisateur (création compte, droits, matériel)
• Liste des applications métiers + dépendances
• Runbook (quoi faire quand ça tombe, qui appeler, où regarder)

D) Preuves (ce qui protège l’entreprise)

• Rapports mensuels (incidents, changements, patching, alertes)
• Derniers tests de restauration (preuves, date, périmètre)
• Backlog incidents récurrents + actions correctives
• Compte-rendu de patch management / mises à jour

Si vous avez besoin de cadrer la sécurité “preuve à l’appui”, utile à relier : preuves/reporting en cybersécurité managée et Guide d’hygiène informatique (ANSSI).

Étape 3 — RGPD : sécuriser la sous-traitance (article 28)

Si votre prestataire traite des données personnelles (ce qui est quasi systématique : e-mails, annuaires, tickets support, sauvegardes), vous devez cadrer la relation de sous-traitance et ses preuves.

• Contrat conforme à l’article 28 du RGPD (obligations du sous-traitant, assistance, sécurité, audits…)
• Chaîne de sous-traitance : qui a accès, qui héberge, où les données sont réellement traitées
• Mesures de sécurité et traçabilité (droits, journaux, processus incident)

Ressources officielles (à citer / utiliser) :

• CNIL — Sécurité : gérer la sous-traitance
• CNIL — Guide sous-traitant (PDF)

Pour un cadrage opérationnel côté contrat et preuves : infogérance & RGPD (article 28) : preuves attendues.

Étape 4 — Plan de transition en 3 phases

Un bon changement d’infogérant ressemble à une passation : on sécurise, on observe, on bascule, puis on ferme proprement.

Phase 1 — Préparation (mise à plat + sécurisation)

• Collecter la checklist (accès, inventaire, doc, preuves)
• Mettre en place une gouvernance : 1 décideur côté PME + 1 référent opérationnel
• Définir le périmètre RUN (ce qui est pris en charge / hors périmètre)
• Prioriser 5 “risques immédiats” (ex : pas de test de restauration, accès admin détenu par un tiers…)

Phase 2 — Transition (double-pilotage contrôlé)

• Mettre en place l’outil tickets et les canaux de support
• Mettre en place la supervision + alerting (au moins sur les services critiques)
• Faire une période de “double-run” si nécessaire (ancien + nouveau, avec règles claires)
• Valider jalons : inventaire OK, sauvegardes testées, accès admin maîtrisés

Phase 3 — Sortie (fermeture propre + réduction du risque)

• Révoquer / changer les accès de l’ancien prestataire (comptes, clés, VPN, API)
• Archiver les exports et documents (tickets, configs, rapports)
• Mettre à jour le registre interne : “qui a accès à quoi”
• Mettre en place un reporting mensuel stable

Pour cadrer qui fait quoi (RACI) et éviter les zones grises : co-gérance / RACI / SLA.

Pour la continuité et les objectifs de reprise (RPO/RTO) : PRA/PCA en infogérance.

Étape 5 — Choisir le nouveau prestataire

Vous cherchez un prestataire qui sait exploiter (RUN), sécuriser (preuves), et assumer (responsabilités). Oubliez les belles promesses, demandez des éléments concrets.

Grille simple : 10 questions qui trient vite

Critère	Question concrète	Ce que vous voulez voir
Périmètre	Qu’est-ce qui est inclus / hors périmètre ?	Catalogue RUN clair + limites
SLA	Quels délais écrits (prise en charge / rétablissement) ?	SLA mesurable + escalade
Sauvegardes	À quelle fréquence testez-vous une restauration ?	Procédure + preuve de test
Accès admin	Comment gérez-vous les comptes à privilèges ?	Coffre / MFA / revue des accès
Reporting	Quel reporting mensuel fournissez-vous ?	Exemple anonymisé de rapport
Incidents	Processus incident + communication ?	Procédure + rôles + délais
RGPD	Article 28 : quelles preuves fournissez-vous ?	Annexes + sous-traitants + audits
Réversibilité	Quels livrables de sortie garantissez-vous ?	Liste livrables + formats + délais
Projets	Comment priorisez-vous les chantiers ?	Backlog + arbitrage avec vous
Responsabilité	Qui fait quoi en cas d’incident ?	Clause + périmètre + preuves

Ressources utiles côté Axorys :

• choisir / comparer un prestataire d’infogérance
• calculer la rentabilité de l’infogérance
• tarifs d’un contrat d’infogérance à Paris
• responsabilité en cas d’incident

Signal optionnel (à utiliser avec prudence) : certaines prestations peuvent être évaluées/qualifiées selon des référentiels de l’ANSSI (ex : PAMS). Ce n’est pas “obligatoire”, mais cela peut être un indicateur de maturité selon votre contexte :

• cyber.gouv.fr — PAMS (prestataires en cours de qualification)
• cyber.gouv.fr — Référentiels de qualification

Modèle d’email : demande de réversibilité / transfert

À adapter et envoyer à votre prestataire actuel (idéalement avec votre direction / juridique en copie si nécessaire).

Objet : Demande de réversibilité / transfert des accès et livrables (contrat d’infogérance [Référence])

Bonjour,

Dans le cadre de l’organisation de la continuité de service de [Nom de l’entreprise], nous vous demandons de nous transmettre, conformément au contrat et/ou à la coopération attendue en fin de prestation, la liste et les éléments suivants, au plus tard le [date] :

1) Accès administrateurs (avec MFA) et propriété des comptes :
- Microsoft 365 / tenant / admin global
- Pare-feu / routeur / VPN
- DNS / registrar / domaines
- Sauvegarde : console, localisation des données, clés/chiffrement le cas échéant
- Outils de supervision / sécurité (EDR/antivirus) / ticketing

2) Documentation et inventaires :
- Inventaire parc + licences + dates de renouvellement
- Schéma réseau (même simplifié) + règles firewall principales
- Procédures sauvegarde/restauration + dernier test de restauration (preuve)
- Runbook / procédures incidents / contacts escalade

3) Exports :
- Export historique tickets (12–24 mois si possible)
- Rapports mensuels (12 mois)

Merci de confirmer par retour de mail :
- le calendrier de remise,
- le format de livraison,
- le point de contact opérationnel pour la passation.

Cordialement,
[Nom / Fonction]
[Entreprise]
[Téléphone]

Réponses à vos questions

Combien de temps faut-il prévoir pour changer d’infogérant ?

Ça dépend surtout de l’état de vos accès et de votre documentation. Si tout est clair (accès admin, inventaire, sauvegardes testées), la bascule est simple. Si vous êtes dépendant (accès détenus par un tiers, docs absentes), il faut d’abord “reprendre le contrôle”.

Que faire si l’ancien prestataire ne fournit pas les accès ?

Commencez par formaliser la demande (email + liste précise de livrables). Appuyez-vous sur la clause de réversibilité si elle existe. Si la situation bloque, traitez-le comme un risque majeur : sans accès admin, vous ne pilotez pas votre SI.

Qu’est-ce qu’une clause de réversibilité, concrètement ?

C’est la partie du contrat qui liste ce que le prestataire doit remettre à la sortie (accès, exports, docs, assistance, délais). Voir : clause de réversibilité.

Quels sont les 5 accès “non négociables” ?

Microsoft 365 / messagerie, pare-feu, DNS/domaines, sauvegardes (console), VPN. Sans eux, la transition peut se bloquer.

RGPD : qu’est-ce que je dois exiger ?

Un contrat conforme à l’article 28 (sous-traitance), la transparence sur la chaîne de sous-traitance, et des preuves de mesures de sécurité. Ressource officielle : CNIL — gérer la sous-traitance.

Besoin d’aide à Paris / Île-de-France : sécuriser une transition sans rupture

Si vous êtes basé à Paris (ou en Île-de-France) et que vous voulez changer d’infogérant, vous pouvez vous consulter notre page service :

Prestataire d’infogérance à Paris

Pour aller plus loin (guides internes) :

• guide complet sur l’infogérance
• checklist : passer de maintenance à infogérance
• avantages / inconvénients

Note : ce guide est opérationnel et orienté exécution. Pour les aspects purement juridiques (interprétation de clauses), faites valider par votre conseil.