Sous-traitance informatique : services, avantages et comment bien choisir son prestataire
L'externalisation informatique (aussi appelée outsourcing IT ou infogérance) est aujourd'hui la norme dans de nombreuses entreprises françaises. Selon une étude IDC, plus de 65 % des PME françaises externalisent au moins une partie de leurs fonctions informatiques à un prestataire externe. Les raisons sont diverses : manque de compétences internes, réduction des coûts fixes, besoin de flexibilité face aux évolutions technologiques, ou volonté de se concentrer sur le coeur de métier.
Une entreprise de sous-traitance informatique (ESN, SSII ou MSP selon les terminologies) peut couvrir trois grandes catégories de services : la maintenance et l'infogérance (gestion du parc informatique, helpdesk, sécurité), le développement (création et maintenance d'applications), et le conseil (audit, architecture, transformation digitale). Ces services peuvent être cumulés ou séparés selon les besoins. Le SLA (contrat de niveau de service) est le document clé qui définit les engagements du prestataire.
Les principales catégories de services externalisables
L'informatique d'une entreprise se divise en plusieurs domaines, chacun pouvant être partiellement ou totalement externalisé selon la maturité et les ressources internes de l'entreprise.
| Service | Description | Adapté pour | Modèle de facturation typique |
|---|---|---|---|
| Helpdesk / Support utilisateurs | Assistance de niveau 1 et 2 pour les incidents utilisateurs | Entreprises sans DSI, TPE/PME | Forfait mensuel par utilisateur (15 à 50 €/mois) |
| Infogérance postes de travail | Gestion, mise à jour et sécurité des postes | Toutes tailles | Forfait mensuel par poste (20 à 80 €) |
| Infogérance serveurs / cloud | Administration, sauvegarde, monitoring | PME avec serveurs ou cloud hybride | Forfait mensuel par serveur ou à la ressource |
| Cybersécurité managée | Surveillance, EDR, gestion des vulnérabilités | Entreprises avec données sensibles | Forfait mensuel ou à l'incident |
| Développement applicatif | Création ou maintenance d'applications métier | Entreprises avec besoins spécifiques | Régie (TJM 400 à 900 €/jour) ou forfait |
Le SLA : comprendre ce que vous achetez réellement
Le SLA (Service Level Agreement) est le contrat qui définit le niveau de service garanti par le prestataire. C'est le document le plus important de la relation client-prestataire, et c'est souvent le moins lu. Comprendre ses clauses avant de signer vous protège en cas de problème.
Un SLA bien rédigé spécifie pour chaque type de service : le temps de prise en charge (le prestataire dispose de X heures pour répondre à un ticket), le temps de résolution (X heures pour résoudre un incident selon sa priorité), la disponibilité garantie des systèmes gérés (exprimée en pourcentage : 99,5 % équivaut à moins de 44 heures d'indisponibilité par an), et les pénalités en cas de non-respect des engagements.
Les tickets d'incident sont généralement classés par priorité selon l'impact sur l'activité : P1 (critique, activité bloquée), P2 (majeur, activité fortement dégradée), P3 (modéré), P4 (mineur). Chaque niveau a ses propres délais de traitement dans le SLA.
La gestion ITIL : un référentiel international reconnu
ITIL (Information Technology Infrastructure Library) est un référentiel de bonnes pratiques pour la gestion des services informatiques. Développé en Grande-Bretagne dans les années 1980, il s'est imposé comme le standard international de référence pour structurer et améliorer la gestion des services IT.
Concrètement, une ESN qui applique ITIL structure ses processus selon des cycles de vie précis : gestion des incidents (résolution rapide), gestion des problèmes (élimination des causes récurrentes), gestion des changements (déploiements maîtrisés), gestion des niveaux de service (SLA). Cette structure apporte prévisibilité et traçabilité, deux éléments particulièrement importants pour les entreprises en croissance.
- Inventariez vos besoins précis : liste des équipements à gérer, nombre d'utilisateurs, applications critiques, niveau de sécurité requis.
- Définissez vos priorités : réduction des coûts, amélioration de la disponibilité, accès à des compétences spécialisées, ou conformité réglementaire ?
- Demandez des devis comparables : assurez-vous que les périmètres sont identiques avant de comparer les prix.
- Vérifiez les certifications : ISO 27001 (sécurité), ITIL, certifications constructeurs (Microsoft, Cisco, VMware) selon votre infrastructure.
- Négociez le SLA avant de signer, pas après. Les délais de réponse, les pénalités et les exclusions doivent être explicites.
- Prévoyez une clause de réversibilité : modalités de sortie de contrat, restitution des données, plan de transition vers un autre prestataire.
Pourquoi externaliser plutôt qu'embaucher ?
La décision d'externaliser ou d'embaucher dépend de plusieurs facteurs. Pour une PME de 20 à 50 salariés, recruter un DSI ou un responsable informatique représente un coût annuel de 50 000 à 90 000 euros (salaire + charges), pour une compétence souvent limitée à une ou deux technologies maîtrisées par le candidat.
Un prestataire externe pour la même enveloppe budgétaire peut mobiliser une équipe de 3 à 5 techniciens avec des compétences complémentaires (réseau, cybersécurité, développement, bases de données). La flexibilité est aussi meilleure : si vos besoins évoluent (déploiement d'un ERP, migration cloud), le prestataire mobilise les profils adaptés sans que vous ayez à gérer un recrutement.
Le droit français encadre la sous-traitance informatique via plusieurs réglementations selon les données traitées. Si votre prestataire a accès à des données personnelles de vos clients ou salariés, il doit être désigné comme sous-traitant au sens du RGPD et signer un DPA (Data Processing Agreement). Ce document définit les obligations du prestataire en matière de traitement, de sécurité et de notification des violations de données. Sans ce document, vous exposez votre entreprise à des sanctions CNIL en cas d'incident.