Contrat MSP : 10 signaux d'alarme que chaque dirigeant de PME doit vérifier avant de signer

Contrat MSP : 10 signaux d'alarme que chaque dirigeant de PME doit vérifier avant de signer

Vous payez entre 100 et 250 € par utilisateur et par mois pour votre infogérance. Mais savez-vous réellement ce que ce montant couvre — et surtout, ce qu'il ne couvre pas ? En 2024, 1 PME sur 3 a été touchée par un incident cyber (BizTech Magazine), et dans la majorité des cas, la réponse du prestataire IT s'est révélée bien en deçà de ce que le contrat laissait supposer. Le problème n'est pas que votre MSP soit incompétent. Le problème, c'est que son contrat est conçu pour le protéger, lui — pas vous. Voici la checklist des 10 clauses à passer au crible avant de signer ou de renouveler. Si vous n'avez jamais audité votre posture de sécurité actuelle, commencez par un scan de sécurité gratuit : 45 minutes suffisent pour avoir une première photo claire.

---

1. Le SLA est-il mesurable ou simplement décoratif ?

Un « temps de réponse sous 4 heures » ne signifie pas « résolution sous 4 heures ». La plupart des contrats MSP distinguent soigneusement les deux — en misant sur le fait que vous ne lirez pas la différence. Vérifiez trois éléments : le délai de prise en charge (acknowledgment), le délai de résolution, et les pénalités en cas de non-respect. Si aucune pénalité financière n'est prévue, le SLA est une promesse marketing, pas un engagement contractuel. Demandez les rapports SLA des 12 derniers mois. Un prestataire transparent les fournira en 24 heures. Un prestataire opaque invoquera la « confidentialité opérationnelle ». Ce silence est votre premier signal d'alarme. Comme le révèle notre analyse sur les prix MSP en 2026, ce que vous payez et ce que vous obtenez sont rarement alignés.

---

2. Que se passe-t-il réellement en cas d'incident cyber ?

Le coût moyen d'un incident cyber pour une PME atteint 345 000 $ (Atlantic Digital). Votre contrat prévoit-il explicitement la réponse à incident, ou est-ce facturé en supplément « hors périmètre » ? Cherchez les mots « best effort » ou « assistance raisonnable » : ils signifient que votre MSP n'a aucune obligation de résultat. Le contrat doit préciser qui pilote la réponse, dans quel délai, avec quelles ressources, et qui prend en charge la notification réglementaire — notamment sous NIS2, où le signalement doit intervenir sous 24 heures. Si votre prestataire ne peut pas décrire son plan de réponse incident en termes concrets, consultez notre checklist réponse à incident pour savoir exactement ce que vous êtes en droit d'exiger.

---

3. La clause de renouvellement automatique vous piège-t-elle ?

C'est la clause la plus rentable pour un MSP — et la plus coûteuse pour vous. Le schéma classique : un contrat de 36 mois qui se renouvelle tacitement pour 12 mois supplémentaires si vous ne dénoncez pas par courrier recommandé 90 jours avant l'échéance. Résultat : vous êtes engagé pour une année de plus avant même de vous en apercevoir. Vérifiez la durée initiale, la fenêtre de résiliation, le mode de notification exigé, et les éventuelles pénalités de sortie anticipée. Certains contrats prévoient jusqu'à 50 % du montant restant dû en cas de résiliation. Un contrat sain propose des engagements de 12 mois maximum avec un préavis de 30 jours. Si votre MSP exige 36 mois d'engagement, demandez-vous pourquoi il a besoin de vous retenir par le contrat plutôt que par la qualité.

---

4. Vos données vous appartiennent-elles vraiment à la fin du contrat ?

La portabilité des données est rarement abordée avant la rupture — et c'est précisément le moment où elle devient critique. Votre contrat doit stipuler : le format d'export, le délai de restitution, le coût éventuel de la migration, et la durée de conservation après résiliation. Certains MSP facturent la restitution de vos propres données entre 5 000 et 15 000 €, ou imposent des formats propriétaires qui rendent la migration techniquement complexe. D'autres suppriment les données 30 jours après la fin du contrat sans notification. Si le contrat ne mentionne pas explicitement la portabilité, ajoutez une clause avant de signer. Vos données opérationnelles, vos configurations, vos journaux de sécurité : tout cela vous appartient. Un prestataire qui les retient en otage vous envoie un message clair sur la relation qu'il envisage.

---

5. Les « frais hors périmètre » sont-ils définis — ou laissés volontairement flous ?

Un contrat MSP à 150 €/utilisateur/mois peut facilement doubler si les extras s'accumulent. Parmi les frais hors périmètre les plus courants : déplacements sur site, interventions en dehors des heures ouvrées, ajout de nouveaux utilisateurs, mises à jour majeures, audit de conformité, et bien sûr — la réponse à incident. Exigez une annexe tarifaire exhaustive. Si votre MSP refuse de fixer un prix pour ces prestations, c'est qu'il considère chaque imprévu comme une opportunité de facturation. Pour estimer le coût réel de votre IT et comparer objectivement, utilisez notre calculateur de coûts IT. Vous serez probablement surpris par l'écart entre le tarif affiché et la facture réelle. Les PME les mieux gérées intègrent la conformité dans leur gestion IT quotidienne — sans surcoûts cachés. C'est le principe où votre conformité est le sous-produit naturel de votre bonne gestion IT.

---

6. Que couvre réellement la « cybersécurité incluse » ?

Quand un MSP annonce « cybersécurité incluse », posez la question suivante : incluse jusqu'où ? Un antivirus géré et un pare-feu ne constituent pas une posture de sécurité. En 2025, les cyberattaques ont augmenté de 49 % au premier semestre (Identity Week). Votre contrat couvre-t-il la détection des menaces avancées, la surveillance 24/7, les tests de pénétration réguliers, la formation anti-phishing ? Si la réponse est « en option », calculez le coût réel de votre protection. Avec 41 % des demandes de cyber-assurance refusées (MoneyGeek), les assureurs vérifient désormais que vos contrôles sont réels — pas juste mentionnés dans un contrat. Évaluez votre posture actuelle avec notre quiz cybersécurité : en 5 minutes, vous saurez si votre couverture est réelle ou cosmétique.

---

7. Le contrat vous prépare-t-il aux obligations réglementaires ?

Avec la Loi Résilience attendue mi-2026 et 15 000 à 18 000 entités concernées, 64 % des PME françaises ne savent même pas ce qu'est NIS2. Les amendes peuvent atteindre 10 M€ ou 2 % du CA mondial, avec une responsabilité personnelle des dirigeants. NIS2 s'applique probablement à votre entreprise — vérifiez en 3 minutes avec notre quiz NIS2.

---

8. Qui est responsable quand un tiers est compromis ?

67 % des vendeurs ont perdu des contrats en 2024 à cause de failles de cybersécurité (Marsh McLennan). Votre MSP utilise des sous-traitants, des outils tiers, des datacenters partagés. Que se passe-t-il si l'un d'eux est compromis ? Le contrat doit préciser la chaîne de responsabilité, les obligations de notification, et les garanties en cas de violation via un tiers. Si votre MSP ne peut pas lister ses sous-traitants critiques, vous ne pouvez pas évaluer votre risque supply chain. Notre article sur le risque cyber dans la chaîne d'approvisionnement détaille exactement les questions à poser. Un MSP mature assume la responsabilité de bout en bout — pas seulement de son propre périmètre.

---

9. Le contrat prévoit-il des revues régulières et des rapports ?

Un bon prestataire IT ne se manifeste pas uniquement quand quelque chose tombe en panne. Votre contrat doit prévoir des revues trimestrielles au minimum : état de la sécurité, incidents traités, conformité réglementaire, recommandations d'amélioration. Si votre MSP ne produit aucun rapport sauf sur demande expresse, vous pilotez votre IT à l'aveugle. Exigez un premier rapport dans les 48 heures suivant le démarrage, puis des rapports mensuels automatisés. C'est la différence entre un prestataire qui vous aide à dormir tranquille et un prestataire qui espère que vous ne poserez jamais de questions. 80 % des TPE-PME ne sont pas préparées aux menaces cyber (Cybermalveillance 2025) — ne soyez pas dans cette statistique par manque de visibilité sur votre propre infrastructure.

---

10. Pouvez-vous partir sans dommage ?

La dernière clause — et souvent la plus révélatrice. Un contrat sain prévoit une transition ordonnée : transfert de connaissances, documentation technique à jour, période de chevauchement avec le nouveau prestataire, et restitution complète des données dans un format standard. Si votre contrat actuel ne prévoit rien de tout cela, la sortie sera chaotique et coûteuse. Les MSP qui misent sur la difficulté de départ plutôt que sur la satisfaction client ont un modèle économique fondé sur l'inertie, pas sur la valeur. Avant votre prochain renouvellement, passez en revue notre checklist cybersécurité PME pour évaluer objectivement si votre prestataire actuel est à la hauteur de vos besoins réels.

---

Le vrai coût de la sérénité

Vous n'avez pas besoin d'un MSP qui vous enferme. Vous avez besoin d'un partenaire IT qui rend votre conformité le sous-produit naturel de votre bonne gestion IT — pas un projet séparé facturé en supplément. Là où un MSP traditionnel facture 100 à 250 €/user/mois sans inclure la conformité, et où des solutions comme Vanta ou Drata coûtent entre 7 500 et 50 000 €/an rien que pour la partie réglementaire, il existe désormais une approche qui combine les deux. Conforme NIS2, prêt ISO 27001, avec un premier rapport en 48 heures et une conformité complète en 30 jours. C'est exactement ce que nous construisons chez Fusion AI.

→ Lancez votre scan de sécurité gratuit — 45 minutes pour savoir exactement où vous en êtes. Aucun engagement, aucune carte bancaire, aucun commercial au téléphone. Juste de la clarté.