Sécuriser un parc informatique multi‑sites sans recruter une armée

Beaucoup de PME franciliennes découvrent trop tard qu'un parc informatique multi‑sites mal géré devient un cauchemar de sécurité. Réseau, sauvegarde et téléphonie éclatés, responsabilités floues, prestataires qui se marchent dessus : regardons comment reprendre la main sans recruter une armée d'informaticiens.

Le faux confort du multi‑sites bricolé

Un siège en Île‑de‑France, deux agences en grande couronne, quelques commerciaux en télétravail : sur le papier, rien d'exotique. En pratique, on se retrouve souvent avec un réseau hétéroclite, des box Internet grand public, des NAS oubliés dans un placard, des sauvegardes fantômes et une téléphonie IP montée à la va‑vite.

Le problème n'est pas la technologie en elle‑même. C'est l'absence de gouvernance. Chaque site décide, achète, branche. L'infogérance est partagée entre plusieurs prestataires, ou diluée entre un prestataire historique et un « cousin qui s'y connaît ». Résultat : personne n'est vraiment responsable quand tout tombe.

Cartographier vraiment le parc informatique multi‑sites

Avant de sécuriser, il faut regarder la bête en face. Pas avec un tableau Excel approximatif, mais avec un inventaire structuré.

Une cartographie qui inclut aussi le terrain

Pour chaque site, on doit connaître au minimum :

• Les accès Internet (fibre, xDSL, 4G), fournisseurs, débits, options de secours
• Le matériel réseau critique : routeurs, firewalls, switchs, bornes Wi‑Fi
• Les serveurs locaux (fichiers, applications métiers, contrôleurs de domaine)
• Les terminaux : PC fixes, portables, smartphones, imprimantes en réseau
• Les liens avec le Cloud : Microsoft 365, Sage en ligne, outils métiers SaaS

Si vous gérez encore cet inventaire dans un fichier maison, jetez un oeil à votre façon de suivre le parc : un outil d'inventaire informatique sérieux change réellement la donne.

Identifier les dépendances vitales

Sur un multi‑sites, tout n'a pas le même poids. Un lien VPN qui tombe entre le siège et un cabinet comptable externe, ce n'est pas la même chose que l'imprimante couleur du service marketing.

Posez‑vous trois questions brutales pour chaque site :

• Combien d'heures d'arrêt pouvons‑nous supporter avant un réel dommage business ?
• Quelles applications sont vitales localement, lesquelles peuvent être hébergées ailleurs ?
• Qui est légitimement responsable si ça casse : interne, infogérance, éditeur métier ?

Sans ces réponses, vous n'avez pas d'arbitrage possible. Juste des incendies à éteindre.

Sécuriser les interconnexions sans tout complexifier

La tentation classique consiste à empiler des VPN dans tous les sens et des firewalls surdimensionnés. On finit avec un schéma réseau que personne ne comprend et que plus personne n'ose toucher.

Standardiser les accès et les briques réseau

Sur un parc de 10 à 100 postes de travail répartis sur plusieurs sites, la bonne approche reste souvent plus pragmatique que spectaculaire :

• Choisir un socle unique de firewalls pour tous les sites, administrés de façon centralisée
• Standardiser les plans d'adressage IP pour éviter les montages exotiques
• Limiter le nombre de tunnels VPN à ce qui est réellement utile (siège - sites, site - datacenter, site - télétravail)
• Documenter systématiquement chaque changement, même le plus anodin

Une architecture claire permet de garantir la continuité de service. Quand vous avez en plus une sauvegarde de données supervisée digne de ce nom, vous commencez à dormir mieux.

Ne pas sacrifier la téléphonie IP sur l'autel du coût

Dans beaucoup de entreprises, le standard téléphonique reste le parent pauvre de la réflexion réseau. Or une coupure fibre, une QoS absente ou des switchs sous‑dimensionnés, et tout le monde hurle.

Là encore, on trouve souvent trois erreurs grossières :

1. Aucune séparation logique entre la voix et les autres flux réseau
2. Aucun scénario de secours en cas de coupure Internet
3. Un mélange de matériels bas de gamme et de casques aléatoires

Une PME n'a pas à subir ça. Une architecture réseau propre, combinée à une solution de téléphonie IP maîtrisée, suffit à retrouver un standard stable.

Sauvegardes et plan de reprise : l'angle mort multi‑sites

La plupart des PME ont compris qu'un ransomware peut les mettre à genoux. Sur un multi‑sites, l'impact peut être franchement dévastateur si une même sauvegarde mal pensée agrège tout le monde.

Segmenter les risques sans exploser les coûts

Un minimum d'hygiène s'impose :

• Isoler logiquement les sauvegardes de chaque site, tout en conservant une supervision centralisée
• Mettre en place une télésauvegarde réelle, pas un simple disque USB branché quelque part
• Tester des scénarios de plan de reprise après ransomware sur un site isolé, puis sur le multi‑sites
• Vérifier systématiquement la restauration, pas seulement les journaux de sauvegarde

Les chiffres de Cybermalveillance.gouv.fr sont clairs : les PME franciliennes restent des cibles privilégiées. Sur un multi‑sites, vous démultipliez les points d'entrée.

Un cas réel : l'agence oubliée

Scénario vécu plus d'une fois : le siège à Maisons‑Alfort est correctement sauvegardé, mais une petite agence en banlieue gère encore ses fichiers client sur un vieux PC sous Windows 8, hors domaine, hors sauvegarde.

Un jour, ce PC se fait chiffrer. Pas de sauvegarde, pas de télésauvegarde, pas de Cloud. Juste des fichiers locaux, parfois critiques, parfois confidentiels. Et tout le monde découvre que personne n'avait officiellement la charge de ce poste. L'agence n'est pas « dans le scope » de la DSI. Le prestataire pensait que c'était provisoire. L'agence, elle, croyait que « tout remonte au siège ».

Ce type de non‑dit est typique des multi‑sites. Le seul vaccin raisonnable, c'est une infogérance claire, contractualisée, qui couvre chaque site et chaque machine critique.

Support utilisateur : éviter la fracture entre sites

Rien n'abîme plus vite la confiance qu'une différence de traitement entre le siège et les agences. Support instantané pour les uns, tickets oubliés pour les autres.

Industrialiser sans déshumaniser

Pour des TPE/PME d'Île‑de‑France, l'équation est délicate : il faut un support utilisateur standardisé, mais sans plaquer des process de grand groupe.

Quelques leviers simples suffisent souvent :

• Un canal de ticketing unique, accessible à tous les sites
• Des SLA clairs, partagés et expliqués, pas seulement mentionnés dans un contrat
• Une capacité d'intervention sur site en moins de 60 minutes en cas de blocage critique
• Des formations courtes et ciblées pour les référents locaux sur les logiciels métiers

Le but n'est pas d'avoir tout le monde au même niveau technique, mais d'éviter que les agences deviennent des zones de non‑droit informatique.

Vers une infogérance multi‑sites assumée

On peut bien sûr continuer à additionner les rustines, à empiler les petites solutions locales, à espérer que « tant que ça marche, on ne touche pas ». C'est une stratégie, disons, optimiste. Et franchement risquée.

L'approche plus adulte consiste à reprendre la main : cartographier, standardiser le réseau, fiabiliser les sauvegardes, organiser le support. Ce n'est pas spectaculaire, c'est du travail de fond, un peu ingrat, mais c'est là que se joue réellement la résilience de votre système d'information.

Si votre entreprise multi‑sites en Île‑de‑France a le sentiment d'être constamment à deux doigts de la panne générale, c'est probablement le bon moment pour faire auditer votre parc et votre architecture. Commencez par regarder les contours de notre infogérance pour PME, puis demandez simplement un devis sans engagement. On ne reconstruira pas l'ensemble en une semaine, mais on peut arrêter les risques les plus absurdes assez vite.