La miniature pour les réseaux :
Supervision proactive
  1. Accueil /
  2. Actualités
  3. /

Infogérance et cybersécurité : ce que votre prestataire doit vraiment garantir

La cybersécurité n'est plus un sujet réservé aux grandes entreprises. Selon le Panorama de la cybermenace 2024 de l'ANSSI, les TPE, PME et ETI représentent 37 % des victimes de rançongiciels en France, la première catégorie d'organisations touchées. Et d'après le rapport Hiscox 2024, 67 % des entreprises françaises ont subi au moins une cyberattaque en 2024, contre 53 % en 2023. Une PME de 50 salariés en Île-de-France gère des données clients, des accès Microsoft 365, des VPN ouverts sur internet, autant de portes d'entrée que les attaquants connaissent mieux que certains dirigeants. Ce que votre prestataire d'infogérance doit vous garantir en matière de sécurité, c'est précisément le sujet que nous traitons ici, avec les réponses issues de notre expérience terrain.

Infogérance et cybersécurité : deux disciplines, une seule responsabilité

Confier son système d'information à un prestataire d'infogérance, c'est lui confier bien plus que la maintenance des serveurs. C'est lui confier la continuité de votre activité. À ce titre, la cybersécurité ne peut pas être une option ou un module complémentaire tarifé à part : elle doit être intégrée dès la conception du contrat d'infogérance.

Un infogérant qui ne surveille que les pannes, CPU à 100 %, disque plein, service tombé, n'assure pas la sécurité de votre SI. Il assure sa disponibilité technique. Ce sont deux choses différentes.

 La supervision proactive : ne pas attendre que le client appelle

supervision proactive

L'une des premières questions à poser à un prestataire d'infogérance est simple : *comment apprenez-vous qu'il se passe quelque chose d'anormal sur mon SI ?

La mauvaise réponse : "quand un utilisateur appelle le support" ou "quand un équipement tombe en panne".

La bonne réponse implique une supervision proactive en continu, capable de détecter des signaux faibles, des anomalies qui, individuellement, ne déclenchent aucune alerte critique mais qui, mises bout à bout, indiquent une compromission en cours ou imminente.

C'est d'autant plus critique que l'ANSSI a observé en 2024 des campagnes massives ciblant les équipements de bordure, pare-feu, passerelles VPN, souvent attaqués dans les jours qui suivent la publication d'une vulnérabilité. Sur les quelque 29 000 nouvelles CVE publiées en 2024, des milliers ont été jugées critiques. Ces failles ne sont exploitables que si elles ne sont pas détectées et corrigées à temps. Un prestataire qui supervise en réaction, et non en anticipation, expose ses clients à une fenêtre de vulnérabilité souvent fatale.

Concrètement, cela signifie surveiller des comportements et non simplement des états. Un serveur qui répond, c'est bien. Mais un compte administrateur qui se connecte à 3h du matin depuis un pays inhabituel, c'est une anomalie qui mérite une investigation immédiate, même si aucun antivirus ne l'a signalé.C'est ici qu'intervient la notion d'EDR (Endpoint Detection and Response) : là où un antivirus cherche des signatures connues, un EDR analyse les comportements. Il détectera par exemple une connexion Microsoft 365 depuis Bordeaux à 14h, suivie 15 minutes plus tard d'une connexion depuis Montréal — un déplacement physiquement impossible. Ce n'est pas nécessairement une attaque confirmée, c'est un indicateur avant-coureur d'intrusion (IoC) qui justifie un blocage préventif immédiat. C'est exactement ce que nous avons traité chez Skaizen Group, SSII intervenant dans le secteur bancaire, où ce type de détection précoce a permis d'éviter une compromission de compte. 

Autre exemple concret : un fichier `rapport.doc` qui est renommé `rapport.doc.exe`. Aucun antivirus ne le signale forcément. Mais ce comportement peut indiquer la présence d'un attaquant qui teste ses capacités d'exécution avant de lancer une charge utile. Un EDR couplé à une analyse comportementale le détecte.

SIEM et SOC : la détection sans intervention n'est pas de la sécurité

Détecter une anomalie, c'est nécessaire. Intervenir dans les minutes qui suivent, c'est ce qui fait la différence entre un incident contenu et une catastrophe.

Un SIEM (Security Information and Event Management) centralise et corrèle les journaux d'événements de l'ensemble du SI, serveurs, équipements réseau, postes, solutions cloud. Il permet de détecter dynamiquement les vulnérabilités : une CVE critique est publiée sur un composant que vous utilisez ? Le SIEM évalue si la faille est effectivement présente dans votre environnement et déclenche une alerte de remédiation. C'est la différence entre une veille passive sur les bulletins de sécurité et une gestion active des vulnérabilités adaptée à votre infrastructure réelle.

Mais un SIEM sans capacité d'intervention reste un outil d'observation. Pour que la sécurité soit opérationnelle, il doit être complété par un **SOC (Security Operations Center)** disponible 24h/24, 7j/7, capable d'appliquer des actions bloquantes en moins de 30 minutes : isolation d'un poste, blocage d'un compte compromis, coupure d'un flux réseau suspect.

Pour les clients qui l'exigent, notamment ceux qui doivent en apporter la preuve à leurs propres clients, ce dispositif doit être auditable et documenté. Nous hébergeons par exemple des services applicatifs pour le compte d'une banque comme Barclays dans un datacenter souverain opéré par Digital Realty (anciennement Interxion), en France. Ce type de prestation fait l'objet d'audits de sécurité annuels conduits par le client bancaire lui-même, auxquels nous répondons avec succès. La traçabilité des actions, la disponibilité des journaux et la réactivité des interventions ne sont pas seulement des engagements contractuels : ce sont des preuves que nous produisons à la demande.

La certification ISO 27001 : un indicateur sérieux, pas une garantie absolue

Lorsque vous évaluez un prestataire d'infogérance, la certification ISO 27001 est l'un des rares indicateurs objectifs de maturité en sécurité. Elle atteste que le prestataire a structuré son Système de Management de la Sécurité de l'Information (SMSI), identifié ses risques, mis en place des contrôles et accepté d'être audité par un organisme tiers.

Ce n'est pas une garantie d'invulnérabilité — aucune certification ne l'est — mais c'est la preuve que la démarche de sécurité est organisée, documentée et contrôlée. Pour des clients aux exigences élevées (secteur financier, santé, industrie), c'est souvent un prérequis non négociable.

À l'inverse, un prestataire sans aucune démarche formalisée en sécurité — ni ISO 27001, ni autre référentiel — ne peut pas sérieusement vous promettre un niveau de protection adapté aux menaces actuelles.

NIS2 et RGPD : ce que votre prestataire doit faire concrètement

Plan de continuité et reprise d'activité (PCA/PRA)

La directive NIS2, entrée en vigueur au niveau européen et en cours de transposition en droit français, impose aux organisations — et à leurs prestataires de services numérique de démontrer leur capacité à maintenir et reprendre l'activité après un incident.

Le contexte réglementaire justifie pleinement cet investissement : la CNIL a enregistré 5 629 violations de données en 2024, soit une hausse de 20 % en un an. Et selon les données consolidées par Surfshark, les sanctions RGPD ont atteint 1,15 milliard d'euros en 2025 au niveau européen. Pour les dirigeants, NIS2 va plus loin encore : sa transposition française prévoit des sanctions pénales personnelles en plus des amendes pour l'entreprise.

Concrètement, votre prestataire d'infogérance doit être en mesure de vous fournir :

- Un Plan de Continuité d'Activité (PCA)  définissant les services critiques à maintenir en toute circonstance et les procédures de bascule
- Un Plan de Reprise d'Activité (PRA) avec des objectifs chiffrés : RTO (durée maximale d'interruption tolérée) et RPO (perte de données maximale acceptable)
- Une supervision continue de la bonne exécution des plans et leur adaptation régulière à l'évolution du SI

Un PRA rédigé une fois et jamais réévalué ne correspond plus à la réalité au bout de 18 moisPour une PME de 20 à 300 salariés, cela se traduit par un suivi actif des indicateurs de résilience et un engagement contractuel sur les délais de remise en service, réévalués à chaque évolution significative de l'infrastructure.


Évaluation des sous-traitants et fournisseurs IT — NIS2 + RGPD

C'est l'un des angles morts les plus fréquents : la sécurité de votre SI dépend aussi de celle de votre prestataire, et de celle des outils qu'il utilise pour vous. NIS2 et RGPD s'accordent sur ce point : la chaîne de responsabilité s'étend aux sous-traitants.

Votre prestataire d'infogérance doit être en mesure de vous répondre clairement à ces questions :

- Quels outils tiers sont utilisés pour gérer votre SI (outils de supervision, de ticketing, d'accès à distance) ? Sont-ils hébergés en Europe ?

- Ces sous-traitants ont-ils signé un DPA (Data Processing Agreement) conforme RGPD ?

- Quelle est la politique d'accès à vos données par les équipes du prestataire ?

Du côté du RGPD, cela implique également que le prestataire soit capable de vous fournir un registre des sous-traitants utilisés dans le cadre de votre contrat, et qu'il s'engage contractuellement sur les conditions de traitement de vos données.

Sauvegardes : la dernière ligne de défense

Un système d'information sans sauvegardes testées est un système sans filet. La sauvegarde n'est pas qu'une mesure technique — c'est la seule garantie de reprise en cas d'attaque par ransomware.Votre prestataire doit garantir :

- Des sauvegardes locales et externalisées (règle 3-2-1 : 3 copies, 2 supports différents, 1 hors site)

- Des sauvegardes isolées du réseau de production. un ransomware qui chiffre vos serveurs ne doit pas pouvoir atteindre vos sauvegardes

- Une supervision active du bon déroulement des sauvegardes, avec alertes en cas d'échec et adaptation régulière des plans à l'évolution du SI. Une politique de sauvegarde figée finit toujours par dériver de la réalité.

Chez Openteam, nous assurons ce suivi pour l'ensemble de nos clients PME, avec des rapports de sauvegarde consolidés permettant à chaque client de vérifier en permanence l'état de protection de ses données.

Ce qu'un bon contrat d'infogérance cybersécurité doit contenir

Un SLA (Service Level Agreement) sérieux en matière de cybersécurité doit préciser :

- Les délais d'intervention sur incident de sécurité (et pas seulement sur panne)

- La périmètre de supervision : qu'est-ce qui est surveillé, à quelle fréquence, par qui

- Les obligations de reporting : rapports mensuels, alertes en temps réel, comptes rendus d'incidents

- Les conditions d'audit : le prestataire accepte-t-il d'être audité par vous ou par un tiers ?

- La localisation des données et des infrastructures utilisées pour vous gérer

Pour aller plus loin

Audit cybersécurité : comment détecter les failles invisibles de votre SI

Comment choisir le bon prestataire d'infogérance pour votre entreprise

Audit informatique : quels sont les points clés à analyser pour une PME

Openteam est un prestataire d'infogérance informatique basé à Boulogne-Billancourt, accompagnant des PME de 20 à 300 salariés en Île-de-France depuis 2008. Nos services couvrent la supervision proactive, la gestion des sauvegardes, la cybersécurité et l'hébergement en datacenter souverain.

Vous souhaitez évaluer le niveau de sécurité de votre SI ? [Contactez nos experts](/contact) pour un premier audit.

Partager sur

FAQ infogérance et sécurité


{"@type": "Question","name": "Qu'est-ce qu'un datacenter souverain et pourquoi est-ce important ?","acceptedAnswer": {"@type": "Answer","text": "Un datacenter souverain est un centre d'hébergement soumis exclusivement au droit français et européen. Contrairement aux infrastructures cloud d'opérateurs américains (soumis au Cloud Act), vos données ne peuvent pas être communiquées à des autorités étrangères sans votre consentement. Des opérateurs comme Digital Realty (anciennement Interxion), présent en France, proposent ce type d'infrastructure. C'est un prérequis fréquent dans les secteurs bancaire, santé et défense, et un critère de plus en plus demandé par les PME soucieuses de leur souveraineté numérique. "} } ,{"@type": "Question","name": "Mon prestataire utilise des outils tiers pour gérer mon SI — est-ce un risque RGPD ?","acceptedAnswer": {"@type": "Answer","text": "Oui, potentiellement. Tout outil tiers utilisé par votre prestataire pour accéder à votre SI ou traiter vos données doit faire l'objet d'un DPA (Data Processing Agreement) conforme au RGPD. Si ces outils sont hébergés hors UE, des garanties supplémentaires sont requises (clauses contractuelles types, etc.). Votre prestataire doit être en mesure de vous fournir la liste de ces sous-traitants et les garanties associées — si ce n'est pas le cas, c'est un signal d'alerte."} } ,{"@type": "Question","name": "NIS2 s'applique-t-il à ma PME ?","acceptedAnswer": {"@type": "Answer","text": "NIS2 s'applique directement aux organisations de certains secteurs critiques dépassant 50 salariés. Mais l'effet indirect est plus large : une PME qui fournit des services numériques à une entité NIS2 doit répondre à ses exigences de sécurité, sous peine de perdre le contrat. C'est le cas de nombreux prestataires, sous-traitants et fournisseurs IT en France. La situation est d'autant plus préoccupante que selon l'étude Cyber Impact 2024 d'OpinionWay pour Cybermalveillance.gouv.fr, 68 % des TPE/PME françaises consacrent moins de 2 000 € par an à leur cybersécurité — un niveau très en dessous des enjeux réels. Vérifier si vous êtes dans la chaîne de valeur NIS2 est la première étape ; évaluer votre niveau de protection réel est la seconde. "} } ,{"@type": "Question","name": "Un SOC est-il utile pour une PME ?","acceptedAnswer": {"@type": "Answer","text": "Oui, dès lors que votre activité ne peut pas se permettre plusieurs heures d'interruption ou de compromission non détectée. Un SOC n'est pas réservé aux grands groupes : c'est une capacité d'intervention rapide (moins de 30 minutes) sur des alertes qualifiées. Pour les PME qui sous-traitent pour des secteurs exigeants — banque, industrie, santé — c'est souvent une exigence imposée par leurs propres clients."} } ,{"@type": "Question","name": "Quelle est la différence entre un antivirus, un EDR et un SIEM  ?","acceptedAnswer": {"@type": "Answer","text": "Un antivirus détecte les menaces connues par signature — il est aveugle aux attaques nouvelles. Un EDR (Endpoint Detection and Response) analyse les comportements en temps réel sur les postes et serveurs : il peut détecter qu'un compte se connecte depuis deux pays en 15 minutes, ou qu'un fichier est renommé de manière suspecte, sans que ce soit un virus connu. Un SIEM corrèle les événements de tout le SI — réseau, cloud, postes — pour détecter des schémas d'attaque plus larges et alerter sur les vulnérabilités actives. Les trois sont complémentaires ; aucun ne remplace les deux autres."} } ,{"@type": "Question","name": "Mon prestataire d'infogérance est-il responsable en cas de cyberattaque ?","acceptedAnswer": {"@type": "Answer","text": "La responsabilité dépend directement de la rédaction du contrat. Un engagement de moyen oblige le prestataire à démontrer qu'il a appliqué les bonnes pratiques — surveillance, mises à jour, gestion des accès. Un engagement de résultat sur un périmètre défini va plus loin. Dans tous les cas, un SLA qui ne mentionne pas les incidents de sécurité — seulement les pannes — ne vous protège pas. À noter : selon le rapport Hiscox 2024, 60 % des PME victimes d'une attaque majeure ferment dans les 18 mois. Le contrat d'infogérance est la première ligne de protection juridique et opérationnelle."} }