Infogérance : qui est responsable en cas d’incident ? (client, prestataire, fournisseur)

En cas d’incident, la responsabilité ne se résume pas à “qui a tort ?”. Elle dépend de 4 choses très concrètes :

• Le périmètre (ce qui est inclus / exclu du contrat)
• Les engagements (SLA, délais d’intervention et de rétablissement, astreinte)
• Les tiers (cloud, hébergeur, opérateur télécom, éditeur logiciel)
• Les preuves (tickets, journaux, rapports, horodatage)

Objectif de cet article : vous donner une grille de lecture et une checklist actionnable, y compris après un sinistre.

TL;DR

• Client : décide, valide, fournit les accès, arbitre les priorités, garde la responsabilité de gouvernance.
• Prestataire : exécute les actions prévues (support, supervision, sauvegardes, restauration…) selon SLA.
• Fournisseur (cloud/hébergeur) : responsable d’une partie (infrastructure, plateforme…) selon le modèle de responsabilité partagée.
• Si données personnelles : le prestataire (sous-traitant) doit notifier au client “dans les meilleurs délais” après en avoir eu connaissance.
• Si notification nécessaire : 72 heures “si possible”, avec possibilité de compléter ensuite.

Note : cet article est une information générale, pas un avis juridique. Pour sécuriser vos clauses contractuelles, faites valider par votre conseil.

La règle n°1 : la responsabilité suit le périmètre

Le jour où “ça tombe”, vous n’avez pas besoin d’un débat abstrait. Vous avez besoin de répondre à 3 questions, dans cet ordre :

1. C’est dans le périmètre ? (poste, serveur, réseau, sauvegarde, Microsoft 365, sécurité…)
2. Quel engagement mesurable s’applique ? (délais, plage horaire, astreinte, pénalité…)
3. Quels éléments factuels le prouvent ? (ticket, horodatage, logs, rapport d’intervention)

Point clé : si le périmètre est flou, la responsabilité devient floue. Et si aucune preuve n’est prévue (ticketing, rapports, logs), vous n’aurez rien de solide pour trancher — au pire moment.

Pour poser les bases, commencez par notre grand guide : infogérance : tout savoir

Les 3 acteurs : client, prestataire, fournisseur

Dans la vraie vie, il y a presque toujours 3 acteurs :

• Le client (vous) : l’entreprise qui subit l’impact et prend les décisions métier.
• Le prestataire d’infogérance : celui qui exécute les actions prévues (support, supervision, restauration…).
• Le fournisseur : cloud/hébergeur/opérateur/éditeur logiciel (celui qui tient une partie de l’infrastructure ou du service).

1) Le client : décisions, validation, arbitrage

Même avec une infogérance “complète”, le client reste généralement responsable de :

• Décider des priorités (facturation, production, messagerie, téléphonie…).
• Valider certains changements (coupure de service, restauration, actions “intrusives”, communication).
• Fournir les accès et les informations (inventaire, contacts, mots de passe/SSO, procédures internes).
• Assumer le niveau de risque accepté (par exemple : payer ou non un PRA/PCA, redondance, tests réguliers).

2) Le prestataire : exécuter, documenter, escalader

Le prestataire est responsable de ce qu’il s’est engagé à faire (et uniquement de cela) : détecter, intervenir, restaurer, documenter, escalader vers les tiers, produire un rapport, etc.

Si vous voulez clarifier précisément ce que couvre l’infogérance (et ce qui est hors périmètre), ce guide est utile : Ce que couvre (ou non) l’infogérance.

3) Le fournisseur (cloud/opérateur) : la “responsabilité partagée”

Si une partie de votre SI repose sur des services cloud (messagerie, stockage, ERP…), vous êtes dans un modèle de responsabilité partagée : le fournisseur sécurise une couche, et vous (ou votre prestataire) sécurisez le reste.

En pratique : même sur un SaaS, les comptes, les droits d’accès, les configurations et vos données restent un sujet côté client/prestataire (ex. MFA, gestion des rôles, sauvegardes, bonnes configurations).

Ce que le contrat doit dire noir sur blanc

La meilleure infogérance du monde ne compensera pas un contrat flou. Voici ce que vous voulez voir écrit, clairement :

1) Un périmètre détaillé (et lisible)

• Ce qui est inclus (postes, serveurs, réseau, sauvegardes, Microsoft 365…)
• Ce qui est exclu (applications spécifiques, matériel non maintenu, interventions sur site hors forfait…)
• Ce qui dépend d’un tiers (opérateur, hébergeur, éditeur)

À lire : Contrat d’infogérance : que doit-il inclure ?

2) Des engagements mesurables (SLA) + une escalade

Un SLA utile doit préciser :

• les délais (prise en charge, intervention, rétablissement/contournement)
• les horaires (heures ouvrées vs astreinte) et les niveaux de criticité
• la procédure d’escalade (qui appeler, quand, comment, et à quel niveau)
• ce qui se passe si l’engagement n’est pas tenu (pénalités, crédits, plan d’actions)

À lire: SLA en infogérance : définition, pièges et risques

3) Un “qui fait quoi” (RACI) sur les scénarios qui comptent

Le plus efficace pour éviter les zones grises : une matrice RACI (Responsable / Approbateur / Consulté / Informé) sur 8 à 12 scénarios réels : panne réseau, messagerie indisponible, ransomware, restauration de sauvegarde, départ d’un salarié, etc.

À lire : Co-gérance : RACI et partage de responsabilités

4) Des preuves et livrables obligatoires

• Ticketing (horodaté)
• Rapports d’intervention
• Journal des actions (qui a fait quoi)
• Reporting mensuel (incidents, correctifs, risques)

À lire: Cybersécurité managée : preuves et reporting

5) Réversibilité (le jour où vous changez de prestataire)

Le “changement de prestataire” n’est pas un scénario théorique. Sans clause de réversibilité (données, admin, docs, délais, coûts), vous prenez un risque.

À lire : Clause de réversibilité en infogérance

Après un incident : checklist 0–72h

Voici une méthode de gestion “PME” qui tient en une page. L’objectif : reprendre le contrôle et éviter les erreurs classiques (panique, décisions non tracées, nettoyage qui détruit des preuves).

0–60 minutes : stopper l’hémorragie + tracer

1. Isoler ce qui semble compromis (poste, compte, serveur) sans “tout effacer”.
2. Ouvrir un ticket et nommer un pilote côté client (une personne qui décide).
3. Tracer : heure, symptômes, systèmes touchés, premières actions.
4. Décider la priorité métier : qu’est-ce qui doit repartir en premier ?

1–24 heures : diagnostic, rétablissement, communication

• Qualifier le périmètre : combien de postes ? quels serveurs ? quels comptes ?
• Rétablir : contournement ou restauration (selon le plan).
• Communiquer en interne (instructions simples : mots de passe, vigilance, arrêt de certains usages).
• Produire un premier rapport (même incomplet) : faits, décisions, actions.

24–72 heures : si des données personnelles sont potentiellement touchées

Si l’incident implique des données personnelles, le sujet devient aussi RGPD : qui notifie quoi, et quand.

• Le prestataire (sous-traitant) doit alerter le client (responsable de traitement) sans délai indu dès qu’il a connaissance d’une violation.
• Le client peut devoir notifier l’autorité (CNIL) dans les 72 heures si possible après la constatation/prise de connaissance, et compléter ensuite si nécessaire.

À lire / relier (RGPD et preuves contractuelles) : Infogérance & RGPD : article 28, preuves et obligations

Cas pratiques : qui fait quoi en cas d’incident

Situation	Client (PME)	Prestataire d’infogérance	Fournisseur (cloud/opérateur/éditeur)
Messagerie / Microsoft 365 indisponible	Arbitre l’impact & la communication interne	Diagnostique, ouvre/escalade, propose contournements	Rétablit le service (plateforme)
Ransomware sur un poste	Décide (priorités, coupures, communication, assurance)	Confinement, restauration, durcissement, rapport	Variable
Suppression accidentelle de fichiers	Valide la restauration & le périmètre	Restaure selon la stratégie de sauvegarde	Variable
Panne internet (opérateur)	Gère le mode dégradé (priorités)	Coordonne et escalade, fournit preuves/rapport	Rétablit la ligne
Suspicion de fuite de données	Décide d’une notification/communication (si nécessaire)	Aide à qualifier, fournit éléments factuels	Variable

Pour un cas Microsoft 365 (et ce que l’infogérance peut réellement couvrir), vous pouvez aussi relier : Infogérance & Microsoft 365

Checklist “avant de signer” (10 points qui évitent 80% des disputes)

1. Périmètre détaillé : inclus / exclus / dépendances tierces
2. RACI sur 8–12 scénarios réels (incidents + sinistres)
3. SLA : délais, horaires, criticité, escalade, pénalités
4. Procédure incident : 1 page, testée (qui appelle qui, et quand)
5. Sauvegardes : fréquence, rétention, tests de restauration
6. PRA/PCA : objectifs (RPO/RTO), tests, calendrier (sinon c’est du papier)
7. Preuves/livrables : tickets, logs, rapports, reporting mensuel
8. Sous-traitants : transparence + règles (surtout si données personnelles)
9. Réversibilité : sortie propre (docs, accès, délais, coûts)
10. Responsabilité contractuelle : plafonds réalistes et cohérents (éviter les clauses “symboliques”)

Pour choisir et comparer un prestataire : Choisir/comparer un prestataire d’infogérance

Vous êtes une PME à Paris : prochaine étape utile

Si vous voulez éviter les zones grises le jour où ça casse, la bonne démarche est simple : mettre au clair “qui fait quoi” (périmètre + SLA + RACI + preuves) puis l’écrire dans le contrat.

Si vous cherchez un prestataire d’infogérance à Paris : Prestataire d’infogérance à Paris

Et si vous hésitez encore entre maintenance et infogérance (différences, implications, checklist) : Infogérance vs maintenance informatique : différences — Checklist : passer de la maintenance à l’infogérance.

Réponses à vos questions

Qui est responsable si “tout est externalisé” ?

Externaliser ne transfère pas tout. Vous transférez des tâches (exécution), mais vous gardez des responsabilités de décision, de validation et de gouvernance. Le contrat doit préciser le périmètre, les engagements et les preuves.

Le prestataire est-il responsable si un fournisseur cloud tombe ?

Le fournisseur est responsable de sa plateforme. Le prestataire peut être responsable du support, de l’escalade, de la coordination et des contournements prévus. Le client reste responsable des arbitrages métier.

Que faire si un incident touche des données personnelles ?

Il faut qualifier rapidement si une violation est probable, conserver les éléments factuels, et appliquer vos obligations RGPD : le sous-traitant alerte le responsable de traitement, et le responsable de traitement peut devoir notifier l’autorité dans les délais applicables.

Comment éviter “c’est hors périmètre” après coup ?

En listant les services “inclus/exclus”, en ajoutant une matrice RACI sur les scénarios réels, et en définissant une procédure d’escalade (y compris vers les tiers).

Les pénalités SLA suffisent-elles à couvrir le risque ?

Souvent non. Les pénalités traitent un manquement de service, mais ne remplacent pas un dispositif de résilience (sauvegardes testées, PRA/PCA, séparation des responsabilités, preuves).

Qu’est-ce que je dois exiger comme “preuves” ?

Au minimum : tickets horodatés, rapports d’intervention, journal des actions, reporting mensuel (incidents, correctifs, risques). Sans preuves, vous ne pilotez pas.

Quelle est la clause la plus sous-estimée ?

La réversibilité. Le jour où vous changez de prestataire, vous voulez récupérer vos accès, votre documentation et vos données sans blocage.

Où trouver une base pour le cahier des charges ?

Vous pouvez vous appuyer sur un modèle (périmètre, SLA, RACI, preuves, sécurité, réversibilité) : Cahier des charges infogérance : modèle.

Sources officielles

• CNIL – Quand notifier une violation de données ?
• CNIL – Service de notification (délai 72h, compléments)
• ANSSI / cyber.gouv.fr – Anticiper et gérer une crise cyber
• EUR-Lex – RGPD (texte officiel)
• Légifrance – Code civil, article 1170
• Microsoft Learn – Modèle de responsabilité partagée
• AWS – Modèle de responsabilité partagée