Besoin de conseil ?
Prendre rdv sur Teams
Vous utilisez Microsoft 365 (Outlook, Teams, OneDrive, SharePoint).
Ça “marche”… jusqu’au jour où : un compte se fait usurper, un partage part au mauvais endroit, une boîte mail se bloque, un document disparaît, ou tout le monde vous appelle parce que “Teams ne répond plus”.
L’infogérance Microsoft 365, ce n’est pas “du support quand ça casse”. C’est un pilotage continu : règles, sécurité, suivi, corrections, preuves. Et surtout : un périmètre clair et des livrables mensuels.
🔗 Pour aller plus loin, voir: tout savoir sur l’infogérance.
Vous déléguez l’administration et la sécurisation de votre environnement Microsoft 365, avec un niveau de service mesurable (délais, reporting, actions).
Concrètement, le prestataire doit être capable de :
🔗 Pour une vue détaillée, consultez notre guide cogérance et partage des rôles en infogérance (RACI).
Pourquoi ce tableau est vital : beaucoup d’offres “infogérance Microsoft 365” vendent une promesse, mais sans frontière.
Vous voulez des limites claires, sinon vous payez des “hors périmètre” à chaque sujet.
🔗 Pour une vue détaillée, consultez notre catalogue : inclus / hors périmètre.
| Sujet | Inclus (attendu) | Hors périmètre (à clarifier) |
|---|---|---|
| Comptes & accès | Entrées/sorties, réinitialisations, droits admin minimisés, revues périodiques | Gestion RH, arbitrage métier des droits |
| Sécurité connexion | MFA (“double vérification”), règles de base, comptes admin protégés | Stratégie IAM complexe non prévue, projets “zéro trust” complets (si non inclus) |
| Messagerie | Antispam, boîtes partagées, règles, restauration dans limites Microsoft | Archivage légal spécifique, migrations lourdes (si hors projet) |
| Teams | Règles de création, structure, assistance incidents | Conduite du changement “formation massive” (si non inclus) |
| SharePoint / OneDrive | Gouvernance de base, gestion du partage, récupération (quand possible) | Refondre tout l’intranet/architecture documentaire (projet) |
| Santé Microsoft 365 | Suivi incidents Microsoft, communication, actions de contournement | Pannes réseau local / opérateur Internet |
| Reporting | Rapport mensuel + plan d’actions + preuves | Reporting sur-mesure complexe (si non inclus) |
| Poste & réseau | (Optionnel selon contrat) supervision postes/serveurs, VPN | Achat matériel, câblage, travaux, opérateur |
🔗 Pour une vue détaillée, consultez notre guide management de la cybersécurité en infogérance.
Si votre prestataire vous dit “on verra plus tard”, c’est un mauvais signe. Microsoft documente la mise en place MFA et les bascules entre réglages de base (“security defaults”) et règles plus fines (“Conditional Access”).
À exiger :
Microsoft recommande explicitement d’utiliser les rôles avec le moins de permissions et de limiter les comptes admin.
À exiger :
Le centre d’administration permet de consulter l’intégrité du service (Health > Service health) et un tableau de bord “Intégrité” pour comprendre l’exécution des services dans votre organisation.
À exiger :
Microsoft Secure Score est un score numérique de posture de sécurité. Microsoft précise que ce n’est pas une mesure “absolue” de probabilité de compromission, mais un reflet du niveau d’usage des contrôles recommandés.
À exiger :
Sans règles, vous obtenez : “trop d’équipes”, liens externes mal maîtrisés, documents dupliqués. La récupération de fichiers supprimés existe, mais elle a des limites (voir section restauration).
À exiger :
Pour Exchange Online, le dossier “Recoverable Items” a une rétention par défaut de 14 jours, ajustable jusqu’à 30 jours (selon configuration).
Pour SharePoint en Microsoft 365, des éléments supprimés sont conservés 93 jours (corbeilles de site et de collection, avec exceptions de quota).
À exiger :
La CNIL rappelle l’intérêt des clauses contractuelles types et l’encadrement de la relation responsable/sous-traitant en intégrant les dispositions obligatoires de l’article 28.
À exiger :
But du reporting : vous permettre de décider (“on accepte ce risque” / “on corrige”), pas de lire 15 pages.
| Ce que vous devez voir chaque mois | Exemple concret | Où le prestataire le trouve |
|---|---|---|
| Incidents & demandes | “12 tickets, 2 incidents majeurs, délai moyen 1h20” | Outil ticketing + historique |
| Changements réalisés | “MFA généralisée, 3 admins supprimés, règles de partage ajustées” | Journal de changements interne |
| Santé Microsoft 365 | “Incident Exchange le 12/02 : impact 30 min, message envoyé à 9h12” | Centre d’administration > Service health [1] |
| Secure Score + évolution | “Score 52→61, 5 actions terminées, 2 planifiées” | Microsoft Defender > Secure Score [7] |
| Risques / écarts | “2 comptes sans MFA (exception validée), 1 partage externe non conforme corrigé” | Centre d’administration + Defender / règles internes [2] |
| Plan d’actions (30 jours) | “3 actions : réduire admins, durcir partages, nettoyer Teams” | Plan prestataire + validation direction |
| Sujet | Prestataire | Votre entreprise (direction) | Référent interne (si vous en avez) |
|---|---|---|---|
| Configuration sécurité | Met en place, documente, propose priorités | Valide exceptions / arbitrages | Relais, suit les changements |
| Incidents | Prend en charge, communique, résout | Décide des impacts métier (ex : arrêt d’accès externe) | Centralise besoins utilisateurs |
| Partage externe | Propose règles, applique, contrôle | Valide politique (clients/partenaires) | Applique au quotidien |
| RGPD (clauses, sous-traitants) | Fournit engagements + preuves | Responsable de traitement : valide et conserve | Peut aider à collecter preuves |
Microsoft 365 fournit des mécanismes de récupération et de rétention (ex. mails supprimés via Recoverable Items, corbeilles SharePoint/OneDrive). Mais ces mécanismes ont des délais et des conditions.
Question à poser :
“Si un utilisateur supprime un dossier OneDrive et s’en rend compte 40 jours après, qu’est-ce qu’on peut récupérer, comment, et qui fait l’action ?”
Vous voulez une réponse précise, pas “on verra”.
🔗 Pour creuser: les pièges et erreurs à éviter en infogérance.
Non. Le support réagit aux tickets. L’infogérance ajoute prévention + règles + preuves + pilotage (ex. Secure Score, réduction des admins, reporting mensuel). C’est la différence entre infogérance et maintenance informatique.
Non. Microsoft précise que Secure Score n’est pas une mesure absolue du risque de compromission. C’est un indicateur d’adoption de contrôles recommandés.
Souvent oui, mais pas indéfiniment. Exchange Online a une rétention par défaut de 14 jours pour les éléments supprimés (jusqu’à 30 jours selon configuration), et il existe des procédures de récupération.
Dans SharePoint en Microsoft 365, les éléments supprimés sont conservés 93 jours (avec fonctionnement en corbeille de site puis de collection, et contraintes de quota).
Le SLA Microsoft décrit les engagements de disponibilité/connectivité des services en ligne.
Votre prestataire sert à : traduire l’incident en impact chez vous, appliquer des contournements, gérer vos comptes/droits/sécurité, et fournir un reporting et un plan d’action.
Vous restez responsable des décisions et du cadre (notamment RGPD). Le prestataire est responsable de l’exécution des mesures prévues au contrat. D’où l’importance d’un contrat qui encadre la sous-traitance (article 28) et les responsabilités.
Utile si vous avez un référent interne (même non technique) pour valider les règles et arbitrer rapidement. Sans référent, la co-gestion devient souvent un “entre-deux” où personne n’est vraiment décisionnaire (et les sujets traînent).
Si vous cherchez un prestataire d’infogérance à Paris, l’important est d’avoir un périmètre clair (inclus/hors périmètre), un reporting mensuel (preuves), et un contrat qui couvre responsabilités, SLA et réversibilité.
Pour vous aider à structurer votre démarche, vous pouvez consulter notre modèle de cahier des charges pour l’infogérance ou notre guide pour choisir et comparer un prestataire d’infogérance.