TPE sans DSI : poser les bases d'une gouvernance IT enfin adulte

Date : Tags : , , , ,

Dans les TPE et petites PME franciliennes, l'informatique repose souvent sur un trio bancal : un dirigeant débordé, un salarié « qui s'y connaît un peu » et un prestataire qu'on appelle quand tout brûle. Pas de DSI, peu de vision, beaucoup de paris inconscients. Il est temps de parler gouvernance IT, même quand on est « trop petit » pour une DSI.

Le faux confort du « on verra avec le prestataire »

La scène est quasi universelle : on visite une entreprise de 20 à 50 postes en Île‑de‑France, et à la question « Qui s'occupe de l'informatique ? », on nous répond : « Oh, on a un prestataire » - avec parfois un regard soulagé, parfois crispé.

Le problème, ce n'est pas le recours à l'infogérance en soi (c'est même souvent la meilleure option). C'est l'abdication totale de pilotage. Sans interlocuteur interne identifié, sans objectifs, sans priorités, un prestataire finit toujours par faire ce qu'il sait faire le mieux : répondre aux tickets. Il éteint les feux, il ne dessine pas la maison.

On se retrouve alors avec des contrats IT vaguement compris, des investissements opportunistes, des choix techniques guidés par les promotions du moment. Rien de criminel, mais une somme de petites décisions qui, au bout de quelques années, forment un SI incohérent.

Actualité : entre cybersécurité et facture électronique, l'État vous impose une DSI implicite

En 2026, la fiction de la TPE « trop petite pour s'occuper sérieusement d'IT » ne tient plus. Les obligations de facturation électronique, les exigences de vos assureurs en cyberassurance, les demandes de vos clients grands comptes en audits de cybersécurité vous placent de fait dans la cour des grands.

La CNIL, l'ANSSI, Bercy n'entreront pas dans le détail de votre organigramme pour savoir si vous avez une DSI. Ce qu'ils regarderont, c'est :

  • vos sauvegardes fonctionnent‑elles réellement ?
  • vos accès sont‑ils protégés (MFA, droits maîtrisés) ?
  • vos flux de facturation sont‑ils conformes et tracés ?
  • vos contrats IT sont‑ils alignés avec ces responsabilités ?

Autrement dit : vous avez les obligations d'une DSI, sans en avoir la structure. Il va falloir inventer une gouvernance à la mesure de vos moyens, mais digne de vos enjeux.

Ce que doit faire une « DSI fantôme » dans une TPE

Nommer officiellement un pilote, même à temps partiel

Premier tabou à faire tomber : la gouvernance IT ne peut pas être diluée entre tout le monde et personne. Il faut un pilote identifié, même si ce n'est pas son job à temps plein. Quelques règles simples :

  1. Il (ou elle) a un mandat explicite de la direction sur les sujets IT.
  2. Son temps dédié est planifié, même si ce n'est que quelques heures par semaine.
  3. Il est l'interlocuteur privilégié du prestataire, mais pas son secrétaire.
  4. Il participe aux décisions d'investissement, au même titre que la finance.

Ce pilote n'a pas besoin d'être un ingénieur. Dans certaines structures, c'est le DAF. Dans d'autres, un responsable de production, un bras droit de direction. L'important, c'est sa légitimité interne et sa capacité à arbitrer.

Poser une feuille de route minimale

Une « DSI fantôme » qui ne fait que valider des achats n'est pas une DSI. Même en mode allégé, elle doit être capable de dire : « Voilà où nous allons dans les 12 à 24 mois ». Cette feuille de route, pour une TPE/PME de 10 à 100 postes, peut rester simple :

  • sécuriser les fondamentaux (sauvegarde, messagerie, postes, accès distants) ;
  • absorber la réforme de la facture électronique sans casser le SI ;
  • moderniser progressivement le parc informatique ;
  • mettre de l'ordre dans les contrats et prestataires.

Là encore, inutile d'écrire un roman. Une page A4 claire, revue une fois par an, vaut mieux que 50 slides qui dorment dans un dossier partagé.

Comment utiliser l'infogérance sans lui abandonner le volant

Clarifier les rôles : qui décide de quoi ?

Avec un prestataire d'infogérance, la tentation est forte de tout lui déléguer : choix des solutions, arbitrage des investissements, priorisation des projets. Sauf que son métier, ce n'est pas de porter vos risques business. C'est de mettre de la technique au service de vos objectifs... encore faut‑il que ces objectifs soient exprimés.

Une répartition saine pourrait ressembler à ceci :

  1. La direction définit les priorités business (croissance, réduction des risques, conformité).
  2. Le pilote IT interne traduit ces priorités en besoins SI, avec un minimum de cadrage.
  3. Le prestataire propose des scénarios techniques et financiers, avec des avantages/inconvénients.
  4. La décision est prise côté entreprise, pas côté prestataire.

Si votre prestataire décide seul des architectures, des renouvellements, des niveaux de service, il est juge et partie. Sans forcément malveillance, mais avec des angles morts.

Exiger de la transparence, pas des miracles

Une bonne gouvernance IT ne consiste pas à exiger l'impossible, mais à refuser le flou. Votre prestataire doit être capable de vous fournir :

  • un inventaire à jour des équipements et licences ;
  • un état des risques majeurs (obsolescences, sauvegardes fragiles, failles connues) ;
  • un plan d'action priorisé, avec des chiffrages lisibles ;
  • des rapports d'intervention compréhensibles (pas seulement pour geeks).

C'est d'ailleurs ce que nous considérons comme un prérequis d'une infogérance responsable : sans visibilité, vous êtes condamné à subir. La transparence est la condition minimale d'un dialogue adulte entre votre TPE et ses partenaires IT.

Cybersécurité : l'angle mort le plus dangereux des petites structures

Les TPE pensent encore souvent que la cybersécurité est l'affaire des grands groupes. C'est une illusion dangereuse. Les chiffres relayés par Cybermalveillance.gouv.fr parlent d'eux‑mêmes : les attaques par ransomware, phishing, prise d'otage de boîtes mail visent massivement les plus petites structures, moins protégées, plus vulnérables.

Une gouvernance IT minimale devrait intégrer, noir sur blanc :

  • une politique de sauvegarde claire (fréquence, hors site, tests) ;
  • un socle de sécurité des postes et de la messagerie ;
  • un processus de gestion des incidents (qui prévient qui, qui décide quoi) ;
  • une réflexion sur la cyberassurance : prérequis, exclusions, obligations.

On ne demande pas à une TPE d'appliquer le même arsenal qu'une banque. Mais de ne plus vivre dans un déni confortable. L'État a d'ailleurs mis à disposition un kit de sensibilisation très accessible, le « Kit de sensibilisation pour les TPE/PME », qui constitue un très bon point de départ.

Cas d'usage : quand la gouvernance IT sauve un projet critique

Il y a quelques mois, une petite PME industrielle d'Île‑de‑France, 25 personnes, nous contacte en urgence : leur projet de passage à la facture électronique est en train de dérailler. L'éditeur du logiciel de gestion parle chinois, le comptable s'arrache les cheveux, le prestataire IT n'a pas été intégré en amont.

La direction, honnêtement, ne sait plus qui écoute. Nous avons proposé une chose simple : nommer une référente interne, responsable ADV, comme pilote du projet SI sur ce sujet précis. Son rôle :

  1. recueillir les besoins métiers (compta, ADV, direction) ;
  2. centraliser les échanges avec l'éditeur et le prestataire ;
  3. maintenir un plan d'action à jour ;
  4. arbitrer, avec la direction, en cas de conflit d'agenda.

Trois mois plus tard, le projet était certes imparfait (ils ont dû revoir certains processus en urgence), mais fonctionnel. Et surtout, ils avaient acquis un réflexe : sur chaque sujet IT structurant, ils désignent désormais un pilote. Petit pas pour une TPE, grande victoire pour sa maturité numérique.

Par où commencer, de manière honnête ?

Si vous vous reconnaissez dans ce portrait - pas de DSI, un prestataire historique, un salarié « geek » qui dépanne tout - inutile de vous flageller. La plupart des petites structures en Île‑de‑France sont dans ce cas. L'important est de ne pas y rester.

Un plan raisonnable, sans grand soir technologique, pourrait être :

  1. Nommer officiellement un pilote IT interne, avec un mandat clair.
  2. Organiser une réunion de cadrage annuelle avec le prestataire et la direction.
  3. Établir une feuille de route A4 sur 12 mois (sécurité, facture électronique, parc, contrats).
  4. Lancer un audit informatique léger pour objectiver les priorités.
  5. Mettre en place un suivi trimestriel, même d'une heure, pour ne pas retomber dans l'oubli.

Cette gouvernance n'a rien d'un luxe. C'est un socle de bon sens, qui évite que votre SI ne soit qu'une succession de réactions à chaud. Et cela se construit très bien sans créer une DSI formelle, à condition d'accepter de prendre ces sujets au sérieux.

Si vous voulez enclencher cette démarche sans y laisser vos soirées, commencer par un échange terrain avec un acteur qui connaît bien les réalités des TPE/PME d'Île‑de‑France peut faire gagner des mois. Notre page Zone d'intervention résume la façon dont nous intervenons dans ce type de contexte, et un simple contact depuis la page d'accueil suffit souvent à débloquer une situation qui traîne depuis des années. L'important, finalement, est d'arrêter de confier votre SI au hasard.

Besoin d'un conseil, d'une solution, d'un devis ?

Autres sujets qui pourraient vous intéresser
Date :
Dans le ballet incessant des octets et des bits, chaque entreprise, qu'elle soit une start-up naissante ou une multinationale établie, danse au rythme de la technologie. L'informatique est devenue le cœur battant de presque toutes les opérations commerciales. Mais que se passe-t-il lorsque ce cœur rencontre des problèmes ? C'est là qu'interviennent l'assistance et les services informatiques.
Lire la suite