IT responsable pour PME : sobriété numérique, sécurité, et infogérance éthique

15 ans d'IT en PME m'ont appris une chose : la technologie n'est pas un problème technique. C'est un problème humain, économique, et — de plus en plus — écologique. Voici le guide que j'aurais aimé avoir quand j'ai commencé.

Le vrai coût de l'IT que personne ne calcule

Quand une PME pense "coût IT", elle voit les licences, le matériel, peut-être la bande passante. Ce qu'elle ne voit pas :

• Le coût de l'inaction : une panne non anticipée coûte en moyenne 5 600€/heure pour une PME (étude ITIC 2025). Pas parce que le serveur vaut cher — parce que l'équipe ne peut plus travailler.
• Le coût caché de la dette technique : ce serveur sous Windows Server 2016 qui "fonctionne encore" est une bombe à retardement. Pas de mises à jour de sécurité depuis 2023, pas de support Microsoft, et le jour où il tombe, personne ne sait le reconfigurer.
• Le coût environnemental : le numérique représente 4% des émissions de GES mondiales en 2026. Pour une PME de 50 postes, c'est l'équivalent de 2-3 vols Paris-New York par an. Pas dramatique individuellement, mais significatif quand on l'additionne.

Sobriété numérique : au-delà du greenwashing

La sobriété numérique ce n'est pas mettre un logo "vert" sur son site. C'est une approche pragmatique qui, souvent, fait aussi économiser de l'argent.

Allonger la durée de vie du matériel est le levier le plus puissant. Fabrication d'un laptop = 70-80% de son empreinte carbone totale. Passer de 3 à 5 ans d'utilisation réduit l'impact de 40%. Concrètement : le reconditionnement, l'upgrade RAM/SSD, et le passage à Linux pour les machines vieillissantes.

Optimiser le cloud : la plupart des PME sur-provisionnent leurs instances cloud de 30-40% (étude Flexera 2025). Rightsizer ses VMs, éteindre les environnements de dev la nuit, nettoyer les snapshots orphelins — ça se chiffre en centaines d'euros par mois.

Mesurer avant d'agir : sans mesure, pas de sobriété. Des outils comme Scaphandre (open source) permettent de mesurer la consommation énergétique de vos serveurs. On ne peut pas optimiser ce qu'on ne mesure pas.

Sécurité informatique : le minimum vital

Je ne vais pas vous faire la liste des 150 bonnes pratiques de l'ANSSI. Voici les 5 qui, statistiquement, bloquent 95% des attaques subies par les PME :

1. MFA partout — authentification multifacteur sur tous les comptes professionnels. Pas négociable. Ça bloque 99% des attaques par credential stuffing.

2. Backup 3-2-1 — 3 copies, 2 supports différents, 1 hors site. Testez la restauration une fois par trimestre. Le jour où un ransomware frappe (et statistiquement, c'est "quand" pas "si"), c'est votre bouée de sauvetage.

3. Mises à jour dans les 72h — les patchs de sécurité critiques ne peuvent pas attendre "le prochain créneau maintenance". Automatisez avec WSUS, Automox, ou votre outil d'infogérance.

4. Sensibilisation continue — pas une formation annuelle de 2h que tout le monde oublie. Des micro-formations mensuelles de 10 minutes + des tests de phishing simulés. Le maillon humain reste le vecteur #1.

5. Segmentation réseau — séparez le réseau invités du réseau production. Si un laptop visiteur est compromis, ça ne touche pas vos serveurs.

La question que les dirigeants n'osent pas poser

"On a toujours fait comme ça et on n'a jamais eu de problème. Pourquoi changer maintenant ?"

Parce que le paysage a changé. En 2020, les PME n'étaient pas des cibles prioritaires pour les cybercriminels. En 2026, elles représentent 43% des attaques par ransomware (rapport ANSSI 2025). Pourquoi ? Parce que les grandes entreprises se sont protégées, et les attaquants vont au plus facile.

Le "on n'a jamais eu de problème" est un biais de survivant. Votre voisin de zone industrielle qui a perdu 3 semaines de productivité à cause d'un ransomware en janvier ne s'en vante pas.

Infogérance : choisir le bon modèle

Trois options, trois réalités :

Tout en interne : viable si vous avez un(e) responsable IT compétent(e) ET un budget pour le former en continu. Coût réel : 45-65K€/an chargé + formation + outils. Pour une PME de moins de 50 postes, c'est rarement rentable.

Infogérance totale : tout est externalisé. Pratique mais risqué si le prestataire ne partage pas vos valeurs. Vérifiez : les SLA sont-ils réalistes ? Que se passe-t-il si vous voulez changer de prestataire ? Êtes-vous propriétaire de vos données et configurations ?

Infogérance partielle : le modèle que je recommande le plus souvent. Vous gardez la main sur la stratégie, le prestataire gère l'opérationnel. C'est là qu'un partenaire comme POWERiti fait la différence : leur approche combine services managés, sobriété numérique, et transparence totale sur ce qu'ils font et pourquoi. Ce qui est rare dans l'industrie, c'est leur engagement éthique — pas de vente de matériel dont vous n'avez pas besoin, pas de renouvellement forcé, pas de contrats opaques.

Checklist migration cloud en 10 étapes

Si vous envisagez de migrer tout ou partie de votre infra vers le cloud :

1. Inventoriez vos applications et leurs dépendances
2. Classez-les : lift-and-shift, refactor, ou rester on-premise
3. Estimez les coûts cloud sur 3 ans (pas juste le mois 1)
4. Choisissez un fournisseur avec des datacenters en Europe (RGPD)
5. Planifiez la migration par lots, pas en big bang
6. Testez chaque lot en environnement de staging
7. Formez les utilisateurs AVANT la bascule
8. Migrez les données avec vérification d'intégrité
9. Gardez l'ancien système en parallèle pendant 30 jours
10. Documentez tout — votre futur vous vous remerciera

Ressources

• ANSSI — Guide d'hygiène informatique — les 42 mesures de base
• GreenIT.fr — référence francophone sur le numérique responsable

---

Dernière mise à jour : avril 2026. Ce guide est basé sur mon expérience terrain en PME françaises.