Maintenir son système d’information : un rêve ou une réalité ? Si vous lisez cet article, vous vous interrogez probablement sur l’intérêt et la méthode pour maintenir — ou faire maintenir — votre SI dans un état opérationnel fiable.

C’est une question légitime. Les systèmes d’information et les logiciels évoluent en permanence. Un des problèmes les plus fréquents que je rencontre en mission dans les PME est précisément un SI vieillissant — pas parce que personne ne s’en préoccupe, mais parce que personne n’a eu le mandat ni les ressources pour le maintenir de façon structurée.

Résultat : des systèmes obsolètes, des vulnérabilités non corrigées, des sauvegardes non testées — et un jour, une panne, une attaque ou une perte de données qui aurait pu être évitée. J’en ai fait l’expérience directement lors de deux incidents ransomware.

Face à un SI qui vieillit — deux stratégies possibles

Pour suivre l’évolution technologique, les systèmes d’information existants doivent souvent être modernisés ou reconstruits. Les anciens logiciels déjà déployés pèsent sur la capacité de l’entreprise à s’adapter. L’âge des infrastructures génère des vulnérabilités de sécurité croissantes. Et les réglementations — RGPD, obligations de conformité sectorielles — imposent des exigences croissantes sur la gestion et la protection des données.

Face à un SI vieillissant, deux stratégies sont possibles :

  • La modernisation progressive : conserver le SI existant en le remplaçant composant par composant, au fur et à mesure, par des technologies plus modernes. C’est l’approche la moins risquée opérationnellement — pas de rupture brutale — mais elle nécessite un pilotage rigoureux pour éviter l’accumulation de dette technique pendant la transition.
  • La construction d’un SI parallèle : créer un nouveau système d’information en laissant l’ancien continuer à fonctionner le temps de la migration. Cette approche permet de ne plus être freiné par l’héritage informatique et d’aller plus vite sur les nouvelles fonctionnalités — mais elle crée une coexistence temporaire de deux systèmes qui nécessite une gestion rigoureuse.

Dans les deux cas, la condition préalable est la même : savoir précisément où en est votre SI aujourd’hui — ce qui fonctionne, ce qui est obsolète, ce qui est exposé. C’est l’objet d’un audit informatique.

Le MCO — Maintien en Condition Opérationnelle

Le Maintien en Condition Opérationnelle (MCO) désigne l’ensemble des actions préventives et correctives mises en œuvre pour garantir la disponibilité, la performance et la sécurité de votre infrastructure et de vos applications au quotidien.

Les sources de dysfonctionnement sont multiples : cyberattaque, panne matérielle, incendie, dégâts des eaux, corruption de données, vol ou perte de supports. Il est crucial que ces risques soient qualifiés et couverts avant qu’ils se matérialisent — pas en réaction.

Un MCO efficace repose sur quatre piliers :

  1. Mettre à jour les composants du SI : systèmes d’exploitation, applications, firmwares, équipements réseau. Les mises à jour de sécurité doivent être appliquées dans les 30 jours suivant leur publication. Chaque jour de retard est une fenêtre d’exposition supplémentaire.
  2. Surveiller l’obsolescence des logiciels et matériels : tenir à jour un inventaire des versions en production et identifier proactivement les composants qui approchent de leur fin de support éditeur. Un logiciel « end of life » ne reçoit plus de correctifs de sécurité — il devient une porte d’entrée pour les attaquants.
  3. Établir une stratégie de sauvegarde et de restauration testée : sauvegardes régulières, stockées sur des supports isolés du réseau de production (règle 3-2-1), et testées en conditions réelles au minimum tous les trimestres. Une sauvegarde non testée est une sauvegarde dont vous ignorez si elle fonctionne réellement.
  4. Former et informer ses utilisateurs : le facteur humain reste le premier vecteur d’incidents informatiques — phishing, mots de passe faibles, erreurs de manipulation. La sensibilisation régulière des équipes est aussi importante que la technique.

MCO et MCS — La distinction que peu de PME font

Le MCO est souvent confondu avec le MCS — Maintien en Condition de Sécurité. Ce sont deux démarches complémentaires mais distinctes :

  • Le MCO garantit que votre SI fonctionne — disponibilité, performance, continuité de service. C’est la dimension opérationnelle.
  • Le MCS garantit que votre SI est sécurisé — correctifs de sécurité appliqués, vulnérabilités corrigées, configuration durcie. C’est la dimension sécuritaire.

Dans les PME, ces deux démarches sont souvent traitées de façon réactive — on intervient quand ça tombe en panne ou quand un incident de sécurité survient. L’approche proactive — planifier les interventions avant les incidents — est pourtant bien moins coûteuse et bien moins risquée.

Ce que je vois en mission : des PME dont le responsable informatique passe 80% de son temps à éteindre des incendies — pannes, incidents, demandes urgentes — et 20% à faire de la maintenance préventive. L’équilibre devrait être inversé. Un MCO structuré libère du temps pour le stratégique en réduisant la fréquence et l’impact des incidents.

Les signes que votre SI n’est plus correctement maintenu

Ces signaux d’alerte apparaissent souvent progressivement — si progressivement qu’on finit par les normaliser. Pourtant, chacun d’eux est un indicateur de risque croissant :

  • Des postes de travail ou des serveurs qui « tournent depuis des années sans problème » — souvent sur des versions de Windows ou d’applications abandonnées par les éditeurs.
  • Des mises à jour reportées « pour ne pas déranger les équipes » depuis plusieurs mois.
  • Des sauvegardes dont personne ne sait vraiment si elles fonctionnent — parce qu’elles n’ont jamais été testées.
  • Un inventaire du parc informatique inexistant ou obsolète — vous ne savez pas exactement ce que vous avez ni dans quel état.
  • Des prestataires qui interviennent en urgence régulièrement — signe que la maintenance préventive ne se fait pas.
  • Des applications critiques dont personne ne connaît plus le fournisseur ni le contrat de maintenance.
  • Des accès actifs d’anciens salariés — signe que les procédures de départ ne sont pas suivies d’une révision des droits IT.

Si vous reconnaissez plusieurs de ces situations dans votre entreprise, votre SI accumule de la dette technique et de l’exposition au risque. La bonne nouvelle : un audit permet de les quantifier et de définir un plan d’action réaliste en quelques semaines.

Mettre en place un MCO efficace — Par où commencer

Vous n’avez pas besoin de tout corriger d’un coup. Un MCO efficace se met en place progressivement, en priorisant selon le risque :

  1. Cartographier le SI existant — inventaire exhaustif des matériels, logiciels, versions, contrats de maintenance et dates de fin de support. Vous ne pouvez pas maintenir ce que vous ne connaissez pas.
  2. Identifier et prioriser les composants obsolètes — classés par niveau de risque (exposition à internet, données sensibles, criticité pour l’activité).
  3. Mettre en place un plan de gestion des vulnérabilités — processus clair pour appliquer les mises à jour de sécurité dans un délai défini, avec un responsable désigné.
  4. Tester les sauvegardes — restauration complète en conditions réelles sur un environnement de test. Documenter les résultats et les délais de restauration mesurés.
  5. Définir un tableau de bord MCO — indicateurs simples suivis mensuellement : taux de mise à jour, nombre de composants en fin de support, dernière date de test de restauration, incidents du mois.
  6. Piloter dans la durée — le MCO n’est pas un projet ponctuel, c’est un processus continu. Il nécessite un responsable désigné et un reporting régulier à la direction.

Vous ne savez pas où en est le MCO de votre SI ?

Un audit informatique permet de cartographier l’état réel de votre SI et de définir un plan d’action priorisé. Premier échange de 30 minutes — sans engagement.

Prendre rendez-vous — 30 min gratuits

Questions fréquentes — MCO et maintenance du SI

Quelle est la différence entre MCO et infogérance ?
L’infogérance est un contrat de prestation par lequel vous confiez la gestion opérationnelle de tout ou partie de votre SI à un prestataire externe. Le MCO est l’objectif de ce contrat — garantir la disponibilité et la sécurité du SI. Un bon contrat d’infogérance inclut des engagements MCO précis : taux de disponibilité, délais d’intervention, gestion des mises à jour, reporting mensuel.

Combien coûte la mise en place d’un MCO en PME ?
Le coût varie selon l’étendue du périmètre et le niveau de maturité de départ. Une règle simple : le budget annuel de maintenance préventive devrait représenter entre 15 et 20% de la valeur de votre parc informatique. C’est toujours moins coûteux qu’un incident majeur non couvert.

Faut-il un DSI interne pour piloter le MCO ?
Non — un responsable informatique interne bien encadré peut piloter le MCO opérationnel. Ce qui nécessite un profil DSI, c’est la définition de la stratégie de maintenance, la priorisation des investissements et la gestion des risques. C’est précisément le rôle d’un DSI à temps partagé dans les PME qui n’ont pas de DSI interne.

Le MCO couvre-t-il la cybersécurité ?
Partiellement — le MCO couvre la disponibilité et le MCS (Maintien en Condition de Sécurité) couvre spécifiquement la sécurité. Dans la pratique, les deux sont indissociables. Un système non maintenu est un système non sécurisé. Lire mon témoignage sur les conséquences d’un SI mal maintenu face à une cyberattaque.

Prendre rendez-vous