Le terme infogérance est souvent utilisé comme s'il décrivait une prestation homogène. En pratique, il désigne des niveaux de service très différents. Deux prestataires peuvent employer le même mot et livrer deux réalités opposées.
Cette confusion n'est pas un détail. Elle crée fréquemment un écart entre ce qui est attendu et ce qui est réellement délivré après signature. Le sujet n'est donc pas le nom de l'offre. Le sujet est le périmètre réellement opéré, la manière dont le service est mesuré et la capacité du prestataire à maintenir un niveau de qualité dans le temps.
Le problème réel
Dans beaucoup de PME, l'informatique est encore traitée principalement au moment où un incident survient. Une intervention est déclenchée, puis l'organisation revient à son état habituel jusqu'au problème suivant. Ce fonctionnement paraît simple. Il donne pourtant très peu de visibilité sur la dette technique, la qualité des sauvegardes, l'état des correctifs et le niveau réel d'exposition.
L'infogérance ne consiste pas seulement à répondre plus vite. Elle consiste à déplacer le centre de gravité du service. Un modèle réactif cherche à réparer. Un modèle d'infogérance sérieux cherche d'abord à stabiliser, à documenter et à prévenir.
Ce qu'il faut comprendre avant de comparer des offres
Selon la définition de Gartner, un Managed Service Provider prend en charge un service informatique de manière continue et selon un cadre contractuel. Le mot important n'est pas service. Le mot important est continu. Sans continuité opérationnelle, la prestation reste proche de l'assistance ponctuelle.
Le guide d'hygiène informatique de l'ANSSI et le Cybersecurity Framework du NIST reposent sur la même logique. La sécurité ne dépend pas d'une seule action. Elle dépend d'un ensemble d'activités répétées, mesurées et revues. Inventorier, corriger, sauvegarder, contrôler les accès, superviser et journaliser font partie du même système.
Une offre d'infogérance pertinente couvre donc au minimum quatre blocs.
Supervision
La supervision sert à détecter les indisponibilités, les saturations et les anomalies. Sans supervision, les incidents sont souvent découverts par les utilisateurs. Cela signifie que le problème existe déjà depuis un certain temps avant d'être traité.
Maintenance continue
La maintenance couvre les correctifs, les mises à jour, la vérification des sauvegardes, l'entretien des systèmes et la réduction de la dette technique. Sans cette couche, la supervision ne fait qu'observer des faiblesses qui ne sont jamais réellement corrigées.
Support et traitement des incidents
Le support reste nécessaire. Il ne doit simplement pas constituer l'intégralité du service. Une offre uniquement centrée sur le helpdesk reste incomplète si elle n'inclut pas le travail de fond sur les causes récurrentes.
Documentation et pilotage
Un service opéré sans documentation devient fragile au premier changement d'équipe, au premier incident majeur ou au moment de la résiliation. La documentation n'est pas un livrable secondaire. Elle conditionne la continuité réelle du service.
Un exemple de perimetre selon la taille de la structure
Dans une petite structure, l'infogerance porte souvent d'abord sur les postes, Microsoft 365, la sauvegarde et la connexion principale. Dans une structure plus mature, le perimetre s'etend au reseau, aux firewalls, aux acces distants, a l'administration des droits, au reporting et parfois a une gouvernance mensuelle. Le mot infogerance reste le meme. Le contenu reel du service, lui, change fortement.
Comment reconnaître une vraie infogérance
Un cadre simple permet de distinguer une offre mature d'une offre floue.
- Le parc est inventorié et tenu à jour.
- Les équipements critiques sont supervisés.
- Les sauvegardes sont non seulement exécutées mais vérifiées.
- Les correctifs font l'objet d'un cycle documenté.
- Les droits d'accès sont gérés selon une méthode claire.
- Un reporting périodique permet de suivre l'état réel du service.
- La réversibilité est prévue avant même le début de la relation.
Si plusieurs de ces éléments manquent, le mot infogérance décrit surtout une intention commerciale.
Les trois niveaux que l'on retrouve le plus souvent
Niveau 1
Ce premier niveau couvre généralement la supervision de base et le support utilisateur. Il peut suffire pour un petit périmètre, mais il laisse souvent de côté le traitement structurel des vulnérabilités, l'amélioration des sauvegardes et le pilotage des évolutions.
Niveau 2
Ce niveau ajoute la maintenance continue, la gestion des mises à jour, la revue des sauvegardes, la gestion des comptes et un traitement plus complet des incidents. C'est le niveau à partir duquel l'infogérance commence réellement à transformer le fonctionnement quotidien.
Niveau 3
Ce niveau ajoute une dimension de pilotage. Revues régulières, priorisation budgétaire, feuille de route, arbitrages entre risques et investissements. Pour une PME sans DSI interne, cette couche évite que la technique avance sans direction.
Les questions a poser avant de retenir une offre
- Quels actifs exacts sont couverts.
- Quels controles sont effectues chaque mois.
- Comment les sauvegardes sont verifiees.
- Quels indicateurs sont remontes.
- Quelles taches restent hors perimetre.
- Comment se prepare une sortie de contrat.
Ces questions ont une utilite simple. Elles obligent a parler du service reel, pas seulement du discours commercial.
Les erreurs les plus fréquentes lors du choix
Confondre présence et pilotage
Un prestataire très réactif n'est pas nécessairement un prestataire qui pilote bien. La disponibilité d'un interlocuteur ne remplace ni la méthode ni la qualité d'exploitation.
Confondre outil et service
La présence d'un RMM, d'un portail ou d'un ticketing moderne ne prouve pas la qualité du service. Un bon outillage facilite l'exploitation. Il ne garantit ni la rigueur ni la profondeur du suivi.
Confondre sauvegarde et capacité de reprise
Le CIS Controls v8 et les recommandations de l'ANSSI insistent sur la vérification des sauvegardes. Une sauvegarde non testée reste une hypothèse. Elle ne constitue pas encore une capacité de reprise fiable.
Confondre contrat et périmètre compris
Un contrat signé ne signifie pas forcément que les frontières du service sont claires. Réseau opérateur, firewall, Wi Fi, licences, postes distants, administration Microsoft 365 ou gestion des mobiles sont souvent sources de malentendus.
Une méthode simple pour cadrer le sujet
Un cadrage initial sérieux peut suivre cet ordre.
- Inventaire du parc et des services critiques.
- Classification des systèmes selon leur criticité.
- Revue des sauvegardes, des comptes et des accès distants.
- Définition du périmètre réellement opéré.
- Définition des indicateurs de suivi.
- Formalisation de la réversibilité.
Ce séquencement évite une erreur classique. Commencer par le prix avant d'avoir défini le périmètre rend toute comparaison trompeuse. Le coût réel de l'infogérance ne peut être évalué correctement qu'après ce travail de cadrage.
Ce que cela change concrètement
Une infogérance correctement définie réduit l'incertitude opérationnelle. L'organisation sait ce qui est surveillé, ce qui est maintenu, ce qui est documenté et ce qui ne l'est pas. Cette clarté permet de mieux arbitrer entre continuité, sécurité et budget.
Elle améliore aussi le dialogue avec la direction. Un service bien opéré produit des informations exploitables. Ce point devient central lorsqu'il faut décider d'un renforcement de sauvegarde, d'une segmentation réseau ou d'un renouvellement d'équipements. Les services d'exploitation prennent alors la forme d'un système cohérent plutôt que d'une suite d'interventions isolées.
Sources
- Gartner Glossary Managed Service Provider
- ANSSI Guide d'hygiène informatique
- CIS Controls v8 Implementation Groups and Safeguards
- NIST Cybersecurity Framework
Sources
Accompagnement disponible sur ce sujet
Initial Infrastructures intervient sur l'ensemble de ces problématiques pour les PME et ETI. Un échange court permet d'identifier les priorités et le bon niveau d'intervention.