Besoin de conseil ?
Prendre rdv sur Teams
Vous comparez des devis d’infogérance ?
Le vrai sujet n’est pas “illimité” vs “premium”. Le vrai sujet, c’est : qui fait quoi, sur quel périmètre, avec quels engagements, et quelles preuves.
Cette page vous donne un catalogue RUN (exploitation récurrente) lisible en 3 colonnes — inclus / hors périmètre / options — pour éviter le flou et comparer des offres, même sans être technique.
À retenir: si ce n’est pas écrit, ce n’est pas inclus.
🔗 Pour aller plus loin, voir: explication complète de l’infogérance.
Le flou dans un devis d’infogérance crée presque toujours ces 3 effets :
La solution la plus simple : exiger un périmètre écrit en 3 colonnes — inclus / hors périmètre / options — et le relier à des preuves (KPI, reporting, runbooks, COPIL).
🔗 Pour apprendre à lire les lignes “cachées” d’un devis : comparer deux prestataires d’infogérance
Dans 90% des cas, un devis devient flou parce qu’il mélange RUN et BUILD.
Règle pratique : si ça ressemble à un projet (début/fin, ateliers, planning, migration), ce n’est presque jamais du RUN “inclus par défaut”.
➡️ Ça doit apparaître en option (forfait) ou en hors périmètre.
Ci-dessous une version “PME Microsoft 365” à adapter (nombre d’utilisateurs, postes, sites, éventuel serveur local). L’objectif est de tout classer.
Astuce comparaison devis : demandez au prestataire de reprendre ce tableau dans son devis, en cochant inclus/hors périmètre/option + en ajoutant les conditions (horaires, SLA, preuves).
| Domaine | Inclus (RUN) — ce que vous achetez | Hors périmètre (sur devis) | Options fréquentes (à chiffrer) |
|---|---|---|---|
| Support utilisateurs | Helpdesk (mail/tel/portail), prise en main à distance, gestion tickets (incidents + demandes), base de connaissances | Formation longue / adoption, conduite du changement “au long cours” | Support étendu (soir/week-end), assistance sur site, onboarding/offboarding industrialisé |
| Postes & périphériques | Inventaire parc, mises à jour OS, support logiciel standard, recommandations d’hygiène | Achat matériel, réparations hardware, imprimantes spécifiques/complexes | Intune/MDM, chiffrement, EDR, gestion avancée des correctifs applicatifs |
| Microsoft 365 — administration | Gestion tenant, comptes, rôles, licences, paramétrages standards, incidents M365 | Refonte architecture / migration lourde / restructuration tenant | Gouvernance M365, optimisation sécurité, ateliers “usage & maîtrise des coûts” |
| Identité & accès | Comptes, droits, MFA “standard”, gestion accès de base | Refonte IAM/SSO multi-apps complexe, intégrations spécifiques | Accès conditionnels avancés, durcissement progressif (périmètre défini) |
| Collaboration | Exchange / Teams / OneDrive / SharePoint : incidents, réglages, quotas, partages (selon règles) | Refonte SharePoint / architecture documentaire projet | Gouvernance (création d’équipes/sites), règles de partage, rétention, conformité (selon licences) |
| Supervision | Monitoring (santé services, alertes), suivi incidents récurrents, tableau de bord de base | SIEM / observabilité avancée sans option dédiée | Supervision 24/7, astreinte, intégration SOC/EDR (périmètre + preuves) |
| Sauvegarde & PRA | À clarifier explicitement : quoi, où, fréquence, tests, RPO/RTO | “C’est inclus” sans RPO/RTO, sans tests = à refuser | Sauvegarde M365 dédiée, sauvegarde serveur local, PRA/PCA (objectifs chiffrés) |
| Sécurité opérationnelle | Hygiène de base, correctifs, recommandations, actions récurrentes définies | Promesse “protection totale” sans périmètre/mesure/preuves | Audits réguliers, scans vulnérabilités, EDR/SOC managé, campagnes phishing (périmètre) |
| Pilotage & preuves | Reporting mensuel, backlog tickets, points de suivi, indicateurs RUN définis | COPIL direction / roadmap stratégique si non prévu | COPIL trimestriel, KPI avancés, runbooks, plan d’amélioration continue |
| Conformité / RGPD | Clauses sous-traitance si traitement rgpd, traçabilité accès, bonnes pratiques | Conseil juridique | DPA/annexe RGPD, preuves, audits, assistance DPO |
| Réversibilité | Principe + modalités minimales (ce qui est restitué) | “Sortie gratuite illimitée” non réaliste | Plan de réversibilité chiffré : livrables, délais, transfert admin, export données |
Dans un SI “typique PME”, Microsoft 365 est central (identité + messagerie + collaboration).
Un devis sérieux doit préciser :
Avec Microsoft 365, une part significative des risques ne vient pas d’une “faille Microsoft”, mais de la configuration du tenant, de la gestion des identités (comptes admin, MFA, droits) et des usages (partages, liens, appareils).
➡️ Votre contrat d’infogérance doit dire qui pilote la sécurité opérationnelle (côté client vs prestataire) et quelles preuves sont fournies (KPI, rapports, actions récurrentes).
Vous avez Microsoft 365, et un petit serveur local (Sage, partage, appli métier). Dans ce cas, exigez que le serveur soit clairement classé :
Le SLA, c’est la “règle du jeu”.
Il fixe le périmètre couvert, les horaires, les priorités, et les délais attendus. Sans SLA, “support illimité” ne garantit ni rapidité, ni retour en service.
🔗 Pour les pièges fréquents et comment cadrer un SLA : SLA en infogérance : définition, pièges, risques.
Votre contrat doit rendre la comparaison possible : périmètre, responsabilités, niveaux de service, livrables (preuves).
🔗 À lire (très utile pour cadrer les annexes) : ce que doit contenir un contrat d’infogérance
🔗 Et côté risques : risques & pièges d’un contrat d’infogérance en PME
Dès qu’un prestataire peut accéder à des données personnelles (support, accès admin, journaux, sauvegardes…), il faut cadrer : responsabilités, sous-traitants, assistance, auditabilité, restitution/destruction.
🔗 Guide pratique : RGPD article 28 : preuves à exiger en infogérance
La réversibilité organise votre capacité à changer de prestataire : docs, inventaires, runbooks, accès admin, exports, délais et coûts.
🔗 À cadrer sans ambiguïté : clause de réversibilité : comment éviter d’être bloqué
Un bon RUN se juge aux preuves, pas aux promesses. Exemples de livrables :
Une infogérance, c’est “tout inclus” ?
Non. Sans périmètre écrit, “tout inclus” ne permet pas de comparer. Exigez un tableau RUN en 3 colonnes + conditions (horaires, SLA, preuves).
Quelle différence entre infogérance et maintenance informatique ?
La maintenance est souvent “réactive” (dépannage). L’infogérance organise un RUN complet : support + supervision + prévention + pilotage + engagements.
L’infogérance inclut-elle la cybersécurité ?
Pas automatiquement. La “sécurité” doit être décrite : périmètre, actions récurrentes, preuves (KPI), limites. Refusez les promesses vagues sans mesures.
Microsoft 365 : qui est responsable de la sécurité ?
Responsabilités partagées : Microsoft sécurise l’infrastructure, vous restez responsable des identités/configurations/usages. D’où l’importance d’écrire “qui fait quoi”.
Quand faut-il une annexe RGPD (article 28) ?
Dès qu’un prestataire traite des données personnelles pour votre compte (accès admin, support, journaux, sauvegardes…).
La réversibilité est-elle gratuite ?
Pas forcément. Elle doit être définie (livrables, délais, coûts) pour éviter d’être captif.
Quelles preuves demander à un infogéreur ?
Reporting KPI, historique tickets, COPIL, runbooks, preuves sécurité/sauvegarde (si inclus), traçabilité claire (qui a fait quoi, quand).