Besoin de conseil ?
Prendre rdv sur Teams
01 89 70 78 00 [email protected] L-V: 9:00 - 19:00 | S-D: 10:00 - 17:00
axorys 02
Contact

Infogérance co-managée (cogérance) : RACI, SLA et quand la choisir

  • Par Léo Dugué
  • Le 27-02-26
infogérance co managée (cogérance) quand la choisir + matrice raci
Table des matières

L’infogérance co-managée, ou cogérance, n’est pas une simple « infogérance légère ».

C’est un modèle de collaboration où vous conservez une part essentielle du pilotage (décisions stratégiques, priorités, validation des budgets) tandis que le prestataire se charge de l’exécution opérationnelle (support, supervision, sécurité, projets définis).

Ce modèle est particulièrement adapté aux PME qui disposent d’un référent interne, même non-expert, et qui souhaitent garder la maîtrise de leur système d’information.

La réussite d’une telle collaboration repose sur trois piliers formalisés par écrit :

  1. Un RACI clair : un tableau qui définit sans ambiguïté qui fait quoi, qui décide, qui valide et qui est simplement informé.
  2. Un SLA mesurable : des engagements de niveaux de service qui vont au-delà des promesses de « réponse rapide » pour définir des délais de rétablissement calculables.
  3. Un cadre de gouvernance avec des preuves tangibles : des rapports, des suivis de tickets, des comptes-rendus et des tests réguliers (sauvegarde, restauration, plan de reprise d’activité).

🔗 Pour aller plus loin, voir: explication complète de l’infogérance.

Définition : qu’est-ce que l’infogérance co-managée ?

En synthèse, la cogérance est une organisation où le prestataire exécute et vous pilotez les aspects que vous ne souhaitez pas déléguer (priorités, arbitrages, règles de sécurité).

Le contrat doit matérialiser cette répartition à travers un RACI, un périmètre précis et des preuves d’exécution.

Ce modèle se distingue d’autres formes de services informatiques :

  • Maintenance traditionnelle : interventions réactives, souvent au coup par coup, lorsque quelque chose est cassé.
  • Infogérance complète : délégation plus large, incluant une grande partie du pilotage, avec une gouvernance majoritairement externalisée.
  • Infogérance co-managée : un partenariat où vous gardez un rôle actif, généralement parce que vous disposez d’un référent interne ou que vous avez un besoin de contrôle sur les décisions clés.

Pour une analyse plus détaillée des différences, vous pouvez consulter notre article Infogérance vs. Maintenance : quelles différences ?.

Quand choisir la cogérance ? 7 critères concrets

Optez pour la co-gestion si…

  1. Vous avez un référent interne, même non technique, capable de prendre des décisions sur les priorités, les budgets et les exceptions.
  2. Vous voulez garder la main sur les décisions sensibles comme les accès administrateur, les règles de sécurité ou les choix technologiques (Cloud, etc.).
  3. Votre système d’information est hybride (Cloud, postes de travail, serveurs sur site) et vous visez une exploitation structurée et cohérente.
  4. Vous exigez des preuves (rapports de tickets, indicateurs de performance, comptes-rendus) plutôt que de simples promesses verbales.
  5. Votre activité a des contraintes spécifiques (horaires, pics d’activité, applications critiques) qui nécessitent une gestion fine de la criticité des incidents.
  6. Vous anticipez des changements (migration, croissance, turn-over) et avez besoin d’un partenaire opérationnel pour vous accompagner.
  7. Vous avez déjà été confronté au problème classique : “on me répond vite, mais le service n’est pas rétabli” et vous exigez désormais des SLA sérieux et mesurables.

Évitez ce modèle si…

  • Personne en interne ne peut ou ne veut prendre les décisions relatives à l’informatique.
  • Vous cherchez une solution totalement « mains libres » sans aucune implication dans le pilotage.
  • Votre SI est particulièrement fragile ou non documenté. Dans ce cas, il est préférable de commencer par une mission de cadrage (inventaire, sécurisation des accès, audit des sauvegardes) avant de définir un modèle d’exploitation.

Le cœur du sujet : le RACI « qui fait quoi »

Le RACI est un outil simple pour clarifier les rôles et responsabilités.

  • R (Responsible) : Celui qui fait le travail.
  • A (Accountable) : Celui qui décide et assume le résultat final.
  • C (Consulted) : Celui qui donne son avis.
  • I (Informed) : Celui qui est informé de l’avancement.

Exemple de RACI minimal pour une PME

Ne signez aucun contrat de cogérance sans un tableau de ce type, adapté à votre contexte.

Pourquoi c’est indispensable ? Parce que “co-managée” sans RACI devient une zone grise : personne ne décide, les urgences dictent tout, et vous payez pour gérer des malentendus.

SujetClient (vous)PrestataireFournisseur (éditeur/opérateur)Preuve attendue
Support utilisateurs (tickets)IRIExport des tickets + temps + catégories
Arrivées/départs (comptes & accès)ARCJournal des actions + validation
Mises à jour des postesARITaux de conformité + exceptions
Exécution des sauvegardesARCRapport succès/échec + alertes
Test de restaurationARCCompte-rendu de test + temps réel
Supervision (alertes)IRIRapport d’incidents + actions menées
Incident critique (rétablissement)ARCChronologie + temps de rétablissement
Sécurité (EDR, phishing, etc.)ARCRapport des mesures + preuves (logs)
Documentation (runbook, schémas)ARIDossier à jour + accès client
Projets (migrations, etc.)ARCPlan projet + livrables + recette

4. SLA : ce que vous achetez vraiment

Un SLA utile ne se contente pas de promettre la « réactivité ». Il définit précisément ce qui est mesuré, comment, et sur quelles plages horaires.

Il est crucial de distinguer trois délais :

  • Prise en charge : le moment où quelqu’un lit et qualifie le ticket.
  • Rétablissement : le moment où l’utilisateur peut de nouveau travailler, même si la solution est temporaire.
  • Résolution : le moment où la cause racine du problème est traitée.

Un dirigeant se soucie peu qu’on lui « réponde en 15 minutes » si son activité reste bloquée pendant des heures. L’engagement sur le temps de rétablissement (GTR) est souvent le plus important.

Pilotage et reporting

En cogérance, le prestataire doit exécuter et rendre compte, notamment pour la cybersécurité (voir guide). Le reporting n’est pas une formalité, c’est l’outil qui vous permet de garder le contrôle et de piloter l’amélioration continue.

Rituels de pilotage

  • Point mensuel : analyse des incidents majeurs, avancement des actions, points de blocage.
  • COPIL trimestriel : revue des risques, du budget, du plan d’amélioration et des projets à venir.

Indicateurs clés (KPIs) utiles pour une PME

  • Volume et catégories de tickets
  • Temps moyen de rétablissement par criticité
  • Taux de conformité des mises à jour
  • Taux de succès des sauvegardes
  • Résultats des tests de restauration (faits/non faits, temps réel constaté)
  • Incidents de sécurité et remédiations

RGPD et responsabilités

Dès que votre prestataire gère des données personnelles, il devient votre sous-traitant au sens du RGPD. Cette relation doit être encadrée par un contrat écrit (DPA) conforme à l’article 28.

Exigez la liste des sous-traitants ultérieurs (hébergeur, éditeur de logiciel de sauvegarde, etc.). La CNIL insiste sur la maîtrise de toute la chaîne de sous-traitance. Pour en savoir plus, consultez notre guide sur l’infogérance et le RGPD.

Continuité et reprise d’activité (PCA/PRA)

  • PCA (Plan de Continuité d’Activité) : comment continuer à travailler (même en mode dégradé) lors d’un incident.
  • PRA (Plan de Reprise d’Activité) : comment redémarrer après un sinistre majeur.

Les deux concepts clés à définir sont :

  • RTO (Recovery Time Objective) : la durée d’interruption maximale admissible.
  • RPO (Recovery Point Objective) : la quantité de données maximale que vous acceptez de perdre.

Le point non négociable reste les tests réguliers de restauration. Sans eux, votre plan de reprise n’est qu’un document théorique.

En cogérance, mettez noir sur blanc :

  • Qui déclenche les tests
  • À quelle fréquence
  • Quels scénarios (fichier, VM, appli critique)
  • Comment on mesure (temps réel vs objectif)
  • Qui décide des corrections

Pour aller plus loin: guide PRA officiel

Fin de contrat et réversibilité

La réversibilité ne consiste pas seulement à « récupérer vos données ». C’est la capacité à repartir avec un autre prestataire ou en interne sans blocage ni perte d’information. Pour cela, une clause de réversibilité (guide dédié) est indispensable.

Votre checklist de sortie doit inclure au minimum : les accès administrateur, la documentation complète (schémas, inventaire, procédures), l’historique des tickets et les rapports.

Checklist avant de signer

  1. Le périmètre est-il clairement défini (inclus/exclus) ?
  2. Le RACI est-il complet et validé ?
  3. Le SLA distingue-t-il prise en charge, rétablissement et résolution ?
  4. Les criticités et plages horaires sont-elles contractualisées ?
  5. Aurez-vous accès aux preuves (KPIs, tickets) ?
  6. Les tests de restauration sont-ils prévus et à quelle fréquence ?
  7. Le contrat est-il conforme au RGPD (article 28) ?
  8. La gestion des accès est-elle sécurisée (MFA, coffre-fort) ?
  9. La production de documentation est-elle incluse ?
  10. La clause de réversibilité est-elle détaillée ?

Pour une trame complète, vous pouvez utiliser notre modèle de cahier des charges pour l’infogérance.

Réponses à vos questions

Quelle différence entre infogérance co-managée et infogérance complète ?

En co-managée, vous gardez une partie du pilotage (décisions, priorités, validations). En infogérance complète, le prestataire porte davantage le pilotage. Dans les deux cas, c’est le contrat (périmètre, RACI, SLA, preuves) qui fait la différence.

Qui est responsable en cas d’incident ?

Opérationnellement, le prestataire est responsable de ce qu’il exécute (selon le RACI). Mais la responsabilité “globale” dépend du contrat, des obligations RGPD, et de la chaîne de fournisseurs.

Un RACI, c’est vraiment utile ?

Oui : c’est ce qui empêche les zones grises (“je pensais que c’était vous”). C’est particulièrement critique sur les accès, les sauvegardes, les incidents et la sécurité.

Un SLA “prise en charge 15 min” suffit ?

Non. Il faut au minimum un engagement sur le rétablissement sur incidents critiques, pas seulement sur la lecture du ticket.

Quels KPI demander chaque mois ?

Tickets (volumes/catégories), délais de rétablissement, backlog, patching, sauvegardes, tests de restauration, incidents sécurité, documentation.

RGPD : que doit prévoir l’article 28 ?

Un contrat écrit encadrant le traitement : nature/finalité/durée, types de données, mesures de sécurité, sous-traitance ultérieure, assistance, restitution/suppression en fin de prestation, etc.

PCA/PRA : par quoi commencer ?

Commencez par identifier 3–5 processus critiques, définir des objectifs RTO/RPO réalistes, puis mettre en place des sauvegardes et tester la restauration (sinon vous ne savez pas si vous pouvez repartir).

Comment changer de prestataire sans blocage ?

En prévoyant la réversibilité dès le départ : liste des livrables, accès, documentation, exports, délais, assistance de passation.

Prêt à structurer votre informatique ?

Si vous êtes une PME à Paris ou en Île-de-France, la démarche la plus efficace est de commencer par un cadrage court pour définir vos besoins (périmètre, RACI, SLA) avant de comparer les offres.

Cela vous permet de choisir un prestataire d’infogérance à Paris sur des bases factuelles et non sur de simples promesses.