Choisir un prestataire d’infogérance : questions à poser, red flags, comparer 2 devis

Objectif de cette page : vous aider à comparer puis choisir des prestataires d’infogérance de façon pragmatique.

La comparaison et le choix se feront à l’aide d’une grille de scoring pondérée, une liste de questions qui exigent des preuves, et des red flags qui doivent vous faire ralentir (ou dire non).

Contexte visé : TPE/PME en France, souvent full cloud Microsoft 365 (identités, MFA, droits, gouvernance), parfois un petit serveur local hérité (ex. Sage/compta).

🔗 Pour aller plus loin, voir: tout savoir sur l’infogérance.

Glossaire

• MSP : prestataire d’infogérance “managée”, avec outils (tickets, supervision) et forfait récurrent.
• SLA : engagements de service mesurables (priorités, délais, horaires, reporting, pénalités).
• GTI : délai maximum avant prise en charge d’un incident (début de traitement).
• GTR : délai maximum pour rétablir le service après incident (retour à la normale).
• Ticketing : outil qui enregistre et suit les demandes (statut, échanges, délais, traçabilité).
• Supervision : surveillance continue des systèmes pour détecter pannes et dégradations.
• MFA : connexion avec un second facteur en plus du mot de passe (appli, SMS, clé).
• DPA (RGPD) : annexe contractuelle encadrant le traitement des données personnelles par le prestataire.
• Réversibilité : modalités de sortie (restitution données/accès/docs, délais, assistance, coûts) pour changer de prestataire.
• COPIL : réunion de suivi périodique (KPI, priorités, plan d’actions).

Ce que vous achetez vraiment avec une infogérance

Une infogérance, ce n’est pas “du support quand ça casse”. Vous achetez :

• un périmètre (ce qui est inclus / hors périmètre / options),
• un mode de fonctionnement (process, escalade, supervision, outillage),
• des engagements mesurables (SLA, délais, priorités),
• et… des accès à vos systèmes (donc un sujet sécurité/traçabilité majeur).

La bonne question n’est pas “qui est le moins cher ?” mais : qui est capable de piloter votre RUN avec des preuves (KPI, reporting, COPIL) et des garde-fous contractuels (SLA, RGPD art. 28, réversibilité) ?

👉Pour une vue d’ensemble, voir : infogérance : principes, risques, rentabilité

Étape 0 — Clarifiez votre périmètre

Avant de commencer, remplissez ce mini-inventaire, il servira à obtenir un premier contact efficace avec les prestataires sélectionnés :

Votre contexte

• Utilisateurs : …
• Postes : …
• Sites (bureaux / télétravail) : …
• Microsoft 365 : Exchange / Teams / SharePoint / OneDrive / Intune / Entra ID ?
• Sauvegardes : M365 ? postes ? serveur ?
• Serveur local (ex. Sage) : oui/non — rôle : … — criticité : …
• 3 scénarios business à protéger :
  1. “Plus de mail/Teams”
  2. “Ransomware sur postes”
  3. “Sage indisponible en clôture”

👉 Pour plus de détails, voir: checklist : passer de la maintenance à l’infogérance

Grille de scoring pondérée (comparaison prêt à l’emploi)

Principe : notez chaque axe de 0 à 5

• 0 = absent / flou
• 3 = correct (présent)
• 5 = excellent + prouvé (exemples, documents, reporting)

Puis appliquez les pondérations afin de comparer les prestataires.

👉 Pour aller plus loin, voir: ce que doit inclure un contrat d’infogérance

Grille de scoring (copier-coller)

Axe	Poids	Comment noter (simple)
1) Périmètre & catalogue RUN	15%	inclus/hors périmètre listés + annexes
2) Support & exploitation	15%	ticketing, escalade, onsite, astreinte
3) SLA “pilotable”	15%	délais, priorités, mesure, reporting
4) Sécurité & accès	20%	MFA, moindre privilège, traçabilité
5) Microsoft 365	10%	gouvernance, droits, MFA, runbooks
6) Sauvegarde & PRA	10%	restauration + tests + objectifs
7) Pilotage & preuves	10%	KPI, reporting, COPIL, plans d’actions
8) Juridique (RGPD + réversibilité)	5%	DPA art. 28 + plan de sortie

“No-go” (élimination immédiate)

Refusez de continuer si l’un de ces points est vrai :

1. Pas de DPA / clauses RGPD art. 28 (ou refus de formaliser les engagements).
2. Réversibilité non cadrée (délai, format, assistance, coût).
3. Accès admin / accès à distance sans MFA ni traçabilité.

Questions à poser pour comparer

Le but n’est pas d’avoir de belles réponses. Le but est d’obtenir des éléments vérifiables afin de pouvoir comparer.

⚖️ Ces questions sont basées des données et recommandations officielles:

• Panorama de la cybermenace (incluant risques via prestataires) — ANSSI/CERT-FR (PDF)
• Pourquoi exiger le MFA (authentification multifacteur) — ANSSI (PDF)
• Recommandations MFA (côté conformité & bonnes pratiques) — CNIL
• Obligations RGPD (responsable de traitement / sous-traitant) — CNIL
• Guide pratique “Sous-traitant” (PDF) — CNIL
• Modèles de clauses contractuelles (CCT) art. 28 — CNIL
• Sous-traitants & sous-traitants ultérieurs : exigences UE (Opinion 22/2024) — EDPB

A) Périmètre : “Qu’est-ce qui est inclus, noir sur blanc ?”

Questions pour comparer

• “Pouvez-vous me fournir une annexe de périmètre : postes / users / M365 / serveur Sage / sites / applis critiques ?”
• “Qu’est-ce qui est hors périmètre et facturé en plus ? Donnez 5 exemples concrets.”
• “Que se passe-t-il si on dépasse le périmètre ? (process + tarif + validation)”

Preuves attendues

• Annexe de périmètre + “catalogue RUN” (inclus / hors périmètre / options)…

B) Support / exploitation : votre quotidien dépend de leur process

Questions pour comparer

• “Quel est votre outil de ticketing ? Ai-je un accès client (statuts, historique, SLA) ?”
• “Quel est votre process d’escalade P1/P2 ? Qui tranche ?”
• “Quelles sont vos plages (ouvrées / astreinte) ? Qui répond et sous quel délai ?”
• “Comment gérez-vous les incidents récurrents ? (analyse cause racine / plan d’actions)”

Preuves attendues

• Exemple anonymisé de portail, process écrit, organigramme d’escalade…

C) SLA : évitez les SLA “vitrine”

Un SLA utile n’est pas un slogan. Pour qu’il soit comparable, il doit être mesurable , et lié à un reporting.

Questions

• “Vos engagements portent sur quoi : prise en charge, rétablissement, résolution ?”
• “Comment sont définies les priorités P1/P2/P3 ? (exemples)”
• “Comment mesurez-vous vos délais et comment les reportez-vous ?”
• “Que se passe-t-il si le SLA n’est pas tenu ? (mécanisme contractuel)”

Preuves attendues

• Annexe SLA + exemple de reporting mensuel (même anonymisé)…

D) Sécurité & accès : le sujet qui fait la différence

Questions pour comparer

• “Vos comptes admin sont-ils nominatifs ? MFA obligatoire ?”
• “Comment gérez-vous la rotation / révocation des accès (départ d’un technicien) ?”
• “Avez-vous une traçabilité des actions admin (logs exploitables) ?”
• “Quel est votre modèle d’accès à M365 : rôles, moindre privilège, comptes break-glass ?”
• “Quel est votre plan en cas d’incident de sécurité impactant la relation (coupure des accès, communication, preuves) ?”

Preuves attendues

• Politique d’accès (même synthétique), exemples de journaux, description de l’outillage, procédures…

E) Microsoft 365 : on veut du pilotage, pas du dépannage

Questions

• “Qui est admin du tenant et selon quel modèle (partenaire / rôles) ?”
• “Avez-vous une baseline : MFA, restrictions d’accès, gestion des rôles, gouvernance des partages ?”
• “Qu’est-ce que vous documentez (runbooks) et où est-ce stocké ?”
• “Sauvegarde M365 : que restaurez-vous (mailbox, SharePoint, Teams…) et avez-vous déjà testé ?”

Preuves attendues

• Checklist tenant, runbooks, preuve de tests de restauration…

F) Sauvegarde & PRA : exigez des objectifs + des tests

Questions pour comparer

• “Quels objectifs proposez-vous : perte de données tolérée / délai de remise en service ?”
• “À quelle fréquence testez-vous des restaurations ? Qui valide ?”
• “Pour le serveur Sage : quel scénario de reprise est prévu (et testé) ?”

Preuves attendues

• Procédure + compte rendu anonymisé de test (même simple)…

G) Pilotage : KPI, reporting, COPIL (signature “preuves & pilotage”)

Questions pour comparer

• “Montrez-moi votre reporting mensuel type (1 page + KPI).”
• “COPIL : fréquence, participants, ordre du jour, décisions suivies ?”
• “Quels KPI suivez-vous : backlog tickets, délai médian, incidents récurrents, patching, couverture MFA… ?”

Preuves attendues

• Exemple de rapport, modèle de COPIL, liste KPI, plan d’actions…

H) Contrat, RGPD, réversibilité : vos ceintures de sécurité

Questions pour comparer

• “Avez-vous un DPA RGPD art. 28 ? Quelles preuves fournissez-vous ?”
• “Quels sous-traitants interviennent (si applicable) et comment sont-ils encadrés ?”
• “Réversibilité : délai, format, assistance, coût, documentation, runbooks.”

Preuves attendues

• DPA + plan de réversibilité annexé (pas une phrase dans un mail)…

👉 Pour aller plus loin avec nos guides:

• Contrat d’infogérance : que doit-il inclure ?
• Infogérance & RGPD : contrat, article 28, preuves
• Clause de réversibilité en infogérance
• Comprendre et évaluer le SLA

17 red flags (si vous en voyez 3, ralentissez)

1. “On s’adapte” = pas d’annexe de périmètre.
2. “SLA réactivité” sans métriques mesurables.
3. Pas de portail tickets / pas d’historique / pas de KPI.
4. Priorités P1/P2 floues, pas d’exemples.
5. Accès admin “partagé” (non nominatif).
6. MFA non obligatoire pour les accès prestataire.
7. Pas de traçabilité exploitable des accès/actions admin.
8. Sauvegarde “incluse” mais pas de tests documentés.
9. Réversibilité réduite à “on vous rend vos données” (sans délai / format / assistance).
10. “Tout inclus” mais aucune liste d’exclusions.
11. Sous-traitants non explicités / responsabilités floues.
12. Pas de runbooks / pas de documentation “exploitation”.
13. Support dépend d’une seule personne clé (risque de continuité).
14. Devis pas comparable : unités de facturation ambiguës, options non listées.
15. Refus de montrer un exemple (anonymisé) de reporting / COPIL.
16. “On est ISO” sans attestation, sans scope, ou scope trop “marketing” (ex : uniquement le siège / uniquement une filiale).
17. Confusion entre ISO 27001 (organisation/process du prestataire, plus de détails en FAQ) et “on utilise des outils sécurisés ISO 27001” (ça ne garanti rien de la qualité des process).

👉 Pour creuser les risques & pièges : infogérance : risques & pièges du contrat en PME

Comparer deux devis : méthode rapide

Prenez les devis A et B, et faites ce tri (en 15 minutes) :

1) Périmètre identique ?

• Même nombre d’utilisateurs/postes ?
• Même couverture M365 ?
• Serveur Sage inclus ou option ?
• Sur site inclus ou non ?

2) Inclus / hors périmètre / options : est-ce listé ?

• Demandez une liste d’exemples : “ce qui est facturé en plus”.

3) SLA : est-ce pilotable ?

• Délais + priorités + reporting + mécanisme si non tenu.

4) Sécurité : est-ce “de base” ou “en option” ?

• MFA, gestion des accès, traçabilité, baselines M365.

5) Les coûts cachés

• Déplacements, astreinte, projets, urgences, sécurité, licences/outillage.

👉 Mieux aborder le sujet du coût :

• Calculer la rentabilité d’un contrat d’infogérance
• Tarifs d’infogérance à Paris : comprendre un devis

---

---

Réponses à vos questions

ESN vs MSP : comment choisir ?

Ne vous fiez pas au label. Regardez : catalogue RUN, preuves, pilotage, garde-fous contractuels. Un bon prestataire rend son service mesurable et auditabile (KPI, reporting, COPIL, annexes).

Quels sont les documents à demander avant de signer ?

Liste complète:

1. Annexe périmètre (inclus / hors périmètre / options)
2. SLA (priorités, délais, mesure, reporting)
3. DPA RGPD art. 28
4. Plan de réversibilité
5. Exemple de reporting mensuel + liste KPI
6. Process support + escalade
7. Runbooks (au moins un exemple)
8. Procédure sauvegarde + preuve de test de restauration

Les 4 plus importants :

1. Annexe de périmètre (inclus/hors périmètre/options)
2. Annexe SLA (priorités, délais, mesure, reporting)
3. Plan de réversibilité
4. Plan RGPD

Comment comparer deux offres qui “semblent identiques” ?

En ramenant tout à des éléments vérifiables : périmètre, SLA pilotable, sécurité des accès, preuves de reporting, et conditions de sortie (réversibilité).

Qu’est-ce qu’un bon SLA pour une PME ?

Un SLA utile définit des délais par priorité (P1/P2/…), précise les horaires (ouvrés/astreinte), explique comment c’est mesuré, et comment c’est reporté. Un « bon » délais de réponse/résolution dans le cadre d’un SLA dépend entièrement de vos contraintes réelles.

Que faire si le prestataire refuse de montrer des preuves (reporting, process, annexes) ?

Considérez ça comme un signal d’alerte : sans preuve, vous ne pourrez pas piloter. Demandez au minimum un exemple anonymisé (reporting, modèle COPIL, extrait de process).

Dois-je prévoir la réversibilité dès le départ ?

Oui. La réversibilité n’est pas “pour quitter”, c’est pour éviter d’être bloqué. Elle doit être cadrée (délai, format, assistance, coût, documentation, runbooks).

Qu’est-ce que l’ISO 27001 et est-ce important ?

ISO/IEC 27001 est une norme qui encadre un système de management de la sécurité (ISMS) : gestion des risques, politiques, audits, amélioration continue.

C’est important comme signal de maturité, mais pas suffisant : vérifiez surtout les preuves opérationnelles (MFA, traçabilité, runbooks, tests) et le périmètre (scope) de la certification.

Demander un devis d’infogérance