Chaque semaine, la rédaction de L’observatoire de la tech donne la parole à un expert, un décideur ou un acteur de terrain. Pour apporter un éclairage différent sur l’actualité du marché et ses enjeux. Cette semaine, c’est Fabien Lebret, dirigeant du MSP Faciliteam, qui alerte sur la position des prestataires IT face à des systèmes connus comme vulnérables.
Dans de nombreuses PME, le prestataire IT occupe aujourd’hui une position singulière. Officiellement fournisseur de services, il devient référent technique, conseiller stratégique et parfois dernier rempart face aux incidents. En vingt ans d’expérience auprès de PME, j’ai vu cette évolution s’accélérer. Les prestataires n’interviennent plus uniquement pour résoudre des problèmes techniques : ils pilotent des infrastructures complètes dont dépend directement la continuité d’activité de l’entreprise.
Dans une PME, le prestataire IT dépasse le simple support technique
Cette transformation pose une question simple mais rarement abordée : jusqu’où va la responsabilité du prestataire IT lorsqu’il administre un système d’information pour une PME ? Dans les organisations dépourvues de DSI interne, le prestataire est l’interlocuteur principal sur les sujets critiques. Il conçoit l’architecture technique, supervise son maintien en condition opérationnelle et intervient lors des incidents. Cette proximité crée une responsabilité implicite. Le prestataire ne gère plus seulement des équipements ; il participe à la résilience opérationnelle de son client.
La difficulté apparaît lorsque certaines décisions prises par l’entreprise fragilisent cet équilibre. Dans la vie d’une PME, les arbitrages budgétaires sont constants. Une mise à niveau peut être reportée, une recommandation de sécurisation repoussée ou un investissement différé. Ces décisions relèvent du dirigeant. Elles s’inscrivent dans une gestion globale de l’entreprise et doivent être respectées.
Mais pour un prestataire IT, ces arbitrages modifient profondément le cadre d’intervention. Lorsqu’un risque technique est identifié, analysé et documenté, son acceptation change la nature de la mission. Le prestataire continue d’administrer un système dont il sait qu’il devient vulnérable. C’est dans cette zone grise que se situe le véritable dilemme.
Des décisions IT sous forte contrainte budgétaire
Un prestataire responsable doit alerter, expliquer et formaliser les risques. Cette pédagogie fait partie intégrante de son rôle. Mais lorsque l’écart entre les recommandations techniques et les décisions prises devient structurel, la question dépasse le simple cadre opérationnel. Administrer une infrastructure signifie en être, aux yeux du client comme de l’écosystème, le garant technique. En cas d’incident majeur, la distinction entre les recommandations formulées et les arbitrages budgétaires réalisés en amont disparaît. L’entreprise qui opère le système reste associée à son fonctionnement.
« Dans le quotidien d’une PME, les arbitrages budgétaires sont constants. »
Fabien Lebret, dirigeant de Faciliteam
Cette situation crée une responsabilité multiple pour le dirigeant d’un MSP. Il y a d’abord une responsabilité technique. Les choix d’architecture et d’exploitation engagent la stabilité des systèmes administrés. Il existe également une responsabilité d’image : lorsqu’un incident survient, c’est le nom du prestataire qui apparaît comme administrateur de l’infrastructure. Enfin, il y a une responsabilité interne. Les équipes techniques doivent intervenir dans des environnements maîtrisés. Les exposer à des systèmes fragilisés revient à installer une tension opérationnelle permanente. Dans ce contexte, continuer à administrer une infrastructure dont les vulnérabilités sont connues devient problématique.
Définir un cadre d’intervention clair
Un prestataire IT ne peut pas se contenter d’exécuter des décisions qui exposent le système d’information de son client. Son rôle implique de définir un cadre d’intervention et de poser certaines limites. Dans certains cas, la seule position cohérente consiste à redéfinir la relation contractuelle. Dans d’autres, elle peut aller jusqu’à mettre fin à la collaboration.
« Un prestataire IT ne peut pas se contenter d’exécuter des décisions qui exposent durablement le système d’information. »
Fabien Lebret, dirigeant de Faciliteam
Cette décision reste rare et difficile. Elle peut sembler paradoxale dans une relation commerciale. Pourtant, elle relève d’une logique de gouvernance plutôt que d’un désaccord technique. Le modèle MSP repose sur une relation de long terme. Le prestataire accompagne l’entreprise dans la durée, structure son environnement technologique et contribue à ses décisions. Cette proximité implique une responsabilité partagée et une exigence réciproque. .
À mesure que l’IT devient central dans la production, la relation client ou la facturation des PME, le rôle du prestataire évolue inévitablement. Il ne peut plus être considéré comme un simple exécutant technique. Et dans ce contexte, un prestataire IT ne doit pas administrer durablement un système dont il sait qu’il est vulnérable.
Par Fabien Lebret, dirigeant de Faciliteam
