PME et sous-traitance informatique : les questions à se poser

Ce post a été publié pour la première fois en janvier 2019, puis mis à jour en mars 2023. 
Lorsque vous avez besoin de documents légaux, vous vous adressez à un avocat. En matière de comptes et de chiffres, c’est un comptable qui assure la santé financière de votre entreprise. Alors pourquoi ne pas confier la gestion de votre parc informatique à un professionnel, et opter ainsi pour la sous-traitance informatique ?

Les arguments en faveur de la sous-traitance informatique sont nombreux. Toutefois, quel que soit votre secteur d’activité, elle peut être risquée. Une panne peut rapidement bloquer toutes vos opérations, vous coûter cher et entacher votre réputation. Pour vous épargner ces mésaventures, vous devez soigneusement évaluer vos besoins informatiques et l’intérêt de confier à une entreprise tierce la gestion de votre parc informatique.

Les priorités et le budget alloué à l’IT dépendent du fonctionnement de chaque société. Certaines entreprises veillent à disposer de structures et d’équipements informatiques solides et modernes pour maximiser leur efficacité opérationnelle, tandis que d’autres disposent d’un parc informatique à peine fonctionnel. Par ailleurs, certaines comptent sur une équipe IT en interne quand d’autres misent sur l’externalisation informatique.

Dans cet article, nous allons mettre en avant les implications de ces deux options, décoder les risques de la sous-traitance informatique et comment les réduire, et vous proposer une marche à suivre pour faire votre choix.

Création d’une équipe IT

Dans la plupart des PME, en règle générale, un seul employé gère une série de tâches informatiques comme l’installation de logiciels ou quelques dépannages occasionnels. Mais au fur et à mesure de la croissance des activités, les besoins informatiques évoluent et exigent un plus grand nombre de travailleurs de mieux en mieux formés.

Si les ressources sont suffisantes, l’idéal est de constituer une équipe solide d’informaticiens : un petit groupe de professionnels 100 % disponibles et efficaces, conscients des défis techniques auxquels l’entreprise fait face, prêts à s’adapter à ses objectifs stratégiques et motivés à l’idée de faire aboutir la vision de votre entreprise.

Malheureusement, qui dit équipe interne, dit frais fixes supplémentaires. Or, les PME disposent souvent d’un budget limité et ne peuvent pas toujours se permettre d’engager de nouveaux experts IT.

De plus, les tendances et les pratiques dans le secteur informatique changent sans cesse et les compétences nécessaires évoluent tout aussi rapidement. Cela signifie qu’il faut assurer la formation continue de son équipe pour rester compétitif.

Sous-traitance informatique

Pour réduire les coûts et rester concurrentielles, les PME font souvent appel à des prestataires de services d’infogérance.

Les petites entreprises externalisent généralement plusieurs services :

• Le support technique
• La sécurité
• Le centre de données (data center)
• La sauvegarde et la récupération des données
• Le monitoring et la maintenance du réseau

Les PME qui souhaitent confier la gestion de leur parc informatique à un sous-traitant ont généralement deux options : faire appel à un technicien ponctuellement, en cas de problème, ou bien s’offrir les services réguliers d’un prestataire en infogérance.

Contacter un technicien ponctuellement 

Cette solution, purement réactive, consiste à faire appel à un technicien uniquement en cas de problème. Elle peut convenir aux entreprises qui ne rencontrent que rarement des soucis informatiques et à celles qui n’ont pas véritablement besoin de support IT.

Cependant, les informaticiens qui interviennent dans ce genre de cas sont payés à l’heure et les coûts peuvent gonfler rapidement. De plus, il faut consigner le nombre d’heures de travail et les services fournis pour vérifier que la facture corresponde bien aux prestations. Cette solution temporaire est intéressante, mais elle ne constitue pas une réponse complète aux besoins informatiques des PME.

Passer par un prestataire d’infogérance

Les prestataires d’infogérance prennent en charge la gestion du parc informatique des entreprises de manière personnalisée contre une rétribution mensuelle ou annuelle. Ils opèrent à distance et proposent chacun leur propre éventail de services. Toutefois, parmi le grand nombre de sociétés proposant ce genre de services, il n’est pas si facile que ça de trouver le bon partenaire.

Passer par un prestataire d’infogérance, pour les PME, c’est généralement l’alternative économique à engager une équipe IT interne. Un prestataire peut intervenir parfois en seconde ligne, dans les entreprises qui disposent d’un service informatique, ou pour prendre en charge des projets particuliers (intégration logicielle par exemple).

Les sous-traitants sont généralement spécialisés dans divers sous-domaines IT et sont capables de suivre les évolutions technologiques constantes et rapides du secteur. De plus, selon la croissance de l’entreprise, il est parfois plus avantageux d’élargir la gamme de services souscrits auprès d’un prestataire que de mettre à niveau une infrastructure informatique en interne.

Cependant, avant toute chose, les PME ont tout intérêt à analyser en profondeur les risques et les besoins de leur réseau. En effet, si le prestataire est chargé de définir les besoins, il recommandera sans doute son pack de services le plus complet… et le plus cher.

Pour faire le bon choix en matière d’externalisation informatique, les entreprises doivent prendre l’initiative, identifier les failles de leur système et définir les menaces les plus probables risquant de nuire à leurs activités.

Quels sont les points à prendre en compte avant d’opter pour la sous-traitance informatique ?

L’externalisation informatique d’une PME n’est pas sans risque. Voici les éléments les plus importants à prendre en compte avant de se lancer  :

La sécurité des données

C’est bien connu, la sécurité des données est un problème clé de l’externalisation informatique. Pourtant, il arrive que des entreprises ne savent pas si les politiques de sécurité de leurs fournisseurs sont suffisantes pour les protéger d’une faille de sécurité. Or, le Règlement sur la protection des données (RGPD) encadre au sein de l’Union européenne les sujets relatifs au traitement d’informations sensibles. Les entreprises doivent donc faire preuve de prudence lorsqu’elles sont amenées à traiter des données personnelles et à ouvrir  leur réseau à n’importe quel acteur tiers. À titre d’exemple, en 2022, le géant américain spécialisé dans les services de transport Uber a été victime d’une fuite de données suite au piratage informatique de l’un de ses sous-traitants. 

La conformité réglementaire

Les PME actives dans un secteur fortement réglementé, comme celui de la santé, doivent impérativement vérifier l’étendue de l’expérience de leurs fournisseurs de services gérés dans leur domaine et leur capacité à se conformer aux réglementations en vigueur. Si un prestataire peut accéder aux informations médicales protégées des clients, il doit se conformer au RGPD.

Vous devrez donc établir avec lui un contrat de sous-traitance lui imposant de respecter les conditions de protection des données réglementaires.

Malheureusement, il n’est pas toujours possible de savoir quelles données risquent d’être utilisées ou traitées par un sous-traitant informatique. Tout prestataire de services avec lequel une entreprise envisage de collaborer devrait être à jour en matière de standards de protection des données et de questions réglementaires, en particulier dans le secteur d’activité de la société. Cependant, quelles que soient les garanties fournies, lorsque des données sont dupliquées ou déplacées, elles risquent fortement d’être compromises.

Les risques de cyberattaques

Les cyberattaques sont de plus en plus nombreuses et de plus en plus sophistiquées. Selon une étude que nous avons menée l’année passée, 49 % des PME ont subi une attaque de ransomware et les sauvegardes de données ont été touchées pour 43 % d’entre elles. 

L’adoption généralisée du cloud, la prolifération des appareils mobiles et la connexion soudaine à Internet de plus de 20 milliards d’objets dans le cadre de l’IoT donnent du fil à retordre à la sécurité informatique. De nombreux sous-traitants informatiques sont à la hauteur de la tâche, mais d’autres le sont moins et sont tout aussi présents sur le marché.

L’externalisation de l’entièreté des services informatiques d’une PME ne contribue absolument pas à sa protection contre la cybercriminalité. Toutes les petites entreprises devraient s’armer contre les hackers en établissant et en assurant l’application d’une politique d’utilisation des services web et e-mail.

D’autres mesures, comme la régulation de l’utilisation des appareils personnels, l’imposition d’outils de cybersécurité, de l’authentification à double facteur et de la sensibilisation continue à la cybercriminalité, peuvent aussi réduire la vulnérabilité des entreprises face aux cyberattaques les plus communes.

La négociation d’un accord de niveau de service

Les petites entreprises craignent souvent que les sous-traitants informatiques ne puissent pas tenir leurs promesses ou qu’ils soient trop absorbés par une large clientèle. Leurs inquiétudes sont justifiées. Si une petite entreprise s’engage avec un partenaire qui s’occupe déjà de nombreuses autres PME, comment peut-elle s’assurer de recevoir autant d’attention que des clients de plus grande envergure, plus rentables pour le prestataire ?

C’est pour cette raison qu’il est important de négocier un bon accord de niveau de service ou SLA (service-level agreement). Ce document établit les attentes des deux parties et les conséquences en cas de non-respect de l’accord. Le SLA devrait également définir les critères de mesure des performances et la manière dont ils sont appliqués.

Les grilles tarifaires

Avant d’engager un sous-traitant informatique, il faut étudier en détail les grilles tarifaires pour comprendre les méthodes de facturation et identifier les charges supplémentaires potentielles. Les structures de prix varient énormément : les tarifs peuvent être progressifs et les services proposés en pack, par appareil ou par utilisateur. Mieux vaut opter pour un tarif mensuel fixe qui englobe tous les services nécessaires (mais sans inclure ceux dont l’entreprise peut se passer).

Comment faire pour atténuer les risques de la sous-traitance informatique ?

Vous pouvez réduire les risques de l’externalisation informatique de votre PME en suivant ces quelques conseils :

• Assurez-vous que les deux parties ont conscience de ce qu’implique un partenariat fructueux.
• Revoyez en détail les SLA et assurez-vous qu’ils répondent bien à vos attentes.
• Demandez à votre prestataire de vous fournir le nombre et la taille des entreprises avec lesquelles il travaille actuellement.
• Exigez des références. Contactez les clients actuels de ce prestataire et demandez-leur s’il est réactif en dehors des heures de bureau.
• Demandez si certaines activités du prestataire d’infogérance sont sous-traitées.
• Déterminez comment le prestataire compte assurer la sécurité de vos données.
• Prenez en compte les données soumises à une réglementation et les facteurs qui pourraient mettre à mal la conformité du prestataire.

Posez les questions qui fâchent sur les pratiques de protection des données, les plans d’intervention en cas d’incident, les heures d’intervention et les problèmes spécifiques à votre secteur. Les échanges écrits sont intéressants, car ils peuvent être conservés, mais un petit coup de téléphone à un sous-traitant informatique vous permettra peut-être d’obtenir des informations plus précises sur ses compétences par rapport à vos besoins particuliers et de vous assurer qu’il ne vous fournira pas des prestations génériques.

Pour terminer, sachez qu’il vaut mieux renoncer à l’externalisation d’éléments stratégiques de votre infrastructure IT si vos activités dépendent de l’innovation et du développement agile de vos opérations en ligne. De plus, si vous êtes actif dans un secteur soumis à des réglementations strictes et que vous devez absolument assurer la sécurité des données et la conformité de leur traitement, réfléchissez bien avant de sous-traiter la gestion de votre parc informatique. Dans ces situations et dans de nombreux autres cas, il vaut la peine d’investir dans la création d’une équipe informatique interne.

Externalisation informatique PME : et maintenant ?

La recherche d’un partenaire IT peut être frustrante : les informaticiens les plus qualifiés sont aussi les plus difficiles à trouver et les sous-traitants informatiques ne tiennent pas toujours leurs promesses.

Mais la bonne nouvelle, c’est que les PME n’ont pas toujours besoin de personnel supplémentaire ni des services d’un sous-traitant. Des applications SaaS faciles à prendre en main et des options de stockage des données en cloud répondent déjà aux besoins des PME. Il vous suffira peut-être simplement d’investir dans des logiciels qui répondront à vos préoccupations immédiates comme l’engagement de vos clients en ligne ou l’amélioration de votre communication interne.

Ceci étant dit, en considérant objectivement vos besoins, vous vous assurez de prendre la meilleure décision possible pour la croissance de votre activité, que vous décidiez d’opter pour une externalisation informatique pour votre PME, de tout gérer en interne ou simplement de vous doter de nouveaux outils.