Vous avez des serveurs physiques dans vos locaux ? Des baies qui ronronnent dans un coin du bureau ? Après 30 ans passés à accompagner des PME, voici les 5 points que tout responsable de la sécurité IT entreprise devrait vérifier avant d’attaquer une nouvelle année. Ce ne sont pas des recommandations théoriques — ce sont les écarts qui, dans notre expérience terrain, font la différence entre une informatique PME 2026 tranquille et une année de galères.
CHIFFRE CLÉ
En 2025, l’ANSSI / CERT-FR a recensé 1 366 incidents cyber confirmés en France, dont 48 % touchant des PME, TPE et ETI (Panorama de la cybermenace 2025, publié en mars 2026). Selon le baromètre Cybermalveillance.gouv.fr 2025, 16 % des TPE-PME déclarent avoir subi au moins un incident dans les 12 derniers mois. La plupart auraient été évités par les cinq mesures que cet article détaille.
5 essentiels pour une informatique PME 2026 tranquille — quand vous avez du matériel en local
Ces cinq points ne sont pas classés par ordre d’importance : ils sont tous critiques, et ils se travaillent ensemble. C’est l’absence d’un seul qui crée le trou dans la raquette. Parcourez-les rapidement, puis revenez sur chacun pour le détail opérationnel.
ESSENTIEL 1
Tester les sauvegardes
Sauvegardes qui tournent ≠ sauvegardes qui restaurent. La règle 3-2-1-1-0 et un test réel chaque semestre.
ESSENTIEL 2
Vérifier l’alimentation
Onduleur testé, arrêt propre configuré, plan B si coupure longue. Sinon la prochaine coupure corrompra vos données.
ESSENTIEL 3
Ménage dans les accès
Comptes d’anciens collaborateurs, droits admin dispersés, process d’offboarding. La porte d’entrée oubliée.
ESSENTIEL 4
Température des serveurs
Plage ASHRAE 18-27°C, poussière, filtres, plan climatisation. Les étés caniculaires cassent les serveurs qui chauffent.
ESSENTIEL 5
Un interlocuteur IT de confiance
Le cinquième n’est pas technique — c’est celui qui tient les quatre autres ensemble. Quelqu’un que vous appelez avant de décider, pas seulement quand tout est cassé. C’est une question de charge mentale autant que de budget.
1. Testez vos sauvegardes. Vraiment.
Le problème classique : « On a des sauvegardes qui tournent tous les jours. » OK — mais est-ce qu’elles fonctionnent ? Des sauvegardes qui tournent depuis six mois sans jamais être testées, le jour où on en a besoin, ça ne marche pas. Erreur de connexion réseau, espace disque saturé, exclusion silencieuse, chiffrement propagé par un ransomware : les modes de défaillance sont nombreux et aucun journal de backup ne vous les montre tant que vous n’avez pas essayé de restaurer.
Le test simple : prenez 30 minutes. Restaurez un fichier, une base de données — n’importe quoi. Juste pour vérifier que la chaîne complète fonctionne : accès à la sauvegarde, déchiffrement, écriture sur le poste, intégrité des données. Si cette opération prend 2 heures au lieu de 30 minutes, vous venez d’apprendre quelque chose d’important sur votre RTO réel.
RÈGLE 3-2-1-1-0 — RECOMMANDATION ANSSI / NIST
3 copies de vos données — 2 supports différents (disque + bande, disque + cloud) — 1 hors site — 1 immuable (que même un admin ne peut pas supprimer) — 0 erreur lors du test de restauration. C’est la règle de référence pour la sauvegarde PME en 2026, issue du NIST Cybersecurity Framework et reprise dans le guide d’hygiène informatique de l’ANSSI.
Quelques pièges classiques à évaluer honnêtement :
- OneDrive / Google Drive ≠ sauvegarde : la rétention est de 30 jours sur la corbeille personnelle, puis 93 jours dans la corbeille SharePoint. Un fichier supprimé il y a 120 jours est perdu à jamais, sauf licence Microsoft 365 Backup ou sauvegarde tiers (Keepit, Veeam 365).
- Synchronisation ≠ sauvegarde : un ransomware qui chiffre un dossier partagé propage le chiffrement sur tous les postes synchronisés en quelques minutes. Sans versioning étendu, toutes vos copies sont corrompues en même temps.
- La vraie question : si votre serveur principal brûle cette nuit, vous récupérez combien de données ? 24 heures ? 7 jours ? Vous savez le chiffrer exactement ? Sinon, votre RPO n’est pas défini — il est subi.
2. Vérifiez votre alimentation électrique
Les coupures électriques sont plus fréquentes qu’il y a dix ans — RTE signale plusieurs épisodes de tension tendue chaque hiver, et les coupures locales liées aux travaux ou aux orages restent régulières. Ce qu’il faut tester concrètement, idéalement une fois par an :
- L’onduleur fonctionne-t-il vraiment ? Débranchez l’alimentation et chronométrez. Le serveur tient 5 minutes ? 20 minutes ? 1 heure ? Si la batterie a plus de 3 ans, son autonomie réelle est probablement à 60 % de sa capacité nominale — c’est le moment de la remplacer.
- L’arrêt automatique est-il configuré ? Le logiciel de gestion de l’onduleur (APC PowerChute, NUT — Network UPS Tools) doit dialoguer avec le serveur pour déclencher un shutdown propre quand la batterie passe sous 15 %. Sans ça, le serveur coupe brutalement sur batterie vide, et c’est à ce moment qu’on corrompt une base de données.
- Qui intervient si la coupure dure 24 heures ? Le week-end, en août, à 23h le 31 décembre ? Qui a la clé, qui sait relancer la baie dans le bon ordre, qui a le numéro du prestataire d’astreinte ? Si la réponse est « je ne sais pas », vous avez un PRA qui n’existe que sur le papier.
Pas de solution miracle, juste du bon sens documenté. L’objectif d’un onduleur n’est pas de maintenir la production pendant une coupure prolongée — c’est de permettre un arrêt propre et contrôlé avant que la batterie ne soit vide. Une autonomie de 10 à 20 minutes est largement suffisante à condition que l’arrêt automatique soit testé et fonctionnel.
3. Faites le ménage dans les accès
Le scénario récurrent : un collaborateur part → ses accès restent actifs pendant des mois → son OneDrive est supprimé automatiquement 30 jours après désactivation du compte → six mois plus tard : « Mince, il avait quoi dans ses fichiers personnels ? ». Pendant ce temps, son compte messagerie redirige peut-être encore vers sa boîte perso. Son poste, s’il n’a pas été rendu, contient toujours ses certificats et ses tokens. C’est la porte d’entrée préférée des attaquants en 2026 — peu spectaculaire mais redoutablement efficace.
Ce qu’il faut mettre en place une fois pour toutes :
Audit des comptes actifs
Liste complète : qui a encore un compte actif, qui est parti depuis 6+ mois, qui a des droits d’administration oubliés. Croisement avec la paie. Dans notre expérience, 10 à 20 % des comptes d’une PME moyenne ne devraient plus exister.
Process d’offboarding formalisé
Le jour du départ : récupération des données OneDrive / Teams, désactivation du compte (pas suppression immédiate : 30 jours de grâce pour récupérer), transfert des informations critiques au successeur, révocation des certificats et tokens MFA.
Droits admin documentés
Qui connaît les mots de passe critiques (switch, firewall, hyperviseur, SAN) ? Une seule personne = un risque. Tout dans un gestionnaire de mots de passe d’entreprise (Keeper, 1Password, Bitwarden) avec MFA, jamais dans un fichier Excel partagé.
4. Surveillez la température de vos serveurs
Vos serveurs chauffent. Si la ventilation est mauvaise, vous préparez une panne matérielle — et c’est une panne qui se produit souvent en juillet ou août, au moment où personne n’est au bureau pour intervenir rapidement. La référence est la norme ASHRAE TC 9.9 Thermal Guidelines for Data Processing Environments (édition 2021), qui recommande une plage de 18 à 27 °C pour les environnements de production (classe A1 à A4). Pour une PME, nous recommandons plutôt la plage plus conservatrice 18-24 °C afin de garder une marge de sécurité en cas de pic estival.
- Température de la salle : un thermomètre connecté (30 € environ) avec alerte email / SMS si dépassement. L’idéal est une sonde dans l’allée chaude derrière les serveurs et une dans l’allée froide devant. Un delta de plus de 15 °C indique un problème de circulation d’air.
- Poussière et filtres : serveur poussiéreux = ventilateurs qui forcent = chauffe anormale qui fait vieillir les composants. Un nettoyage à l’air comprimé une à deux fois par an suffit pour une PME. Si vos serveurs sont stockés dans un placard sans aération dédiée, c’est un autre problème.
- Climatisation : si elle existe, elle doit être sous contrat de maintenance. Si elle tombe en panne l’été, quel est le plan B ? Ventilateurs d’appoint, extinction des machines non critiques, location d’une clim mobile ? Un plan B improvisé un lundi de canicule coûte vite 2 000 € en location.
5. Ayez quelqu’un à qui parler
Le vrai problème de l’informatique PME, ce n’est pas la technologie. C’est d’être seul face aux décisions IT. « Je ne sais pas si je dois changer ce serveur. » « Je ne sais pas si mes sauvegardes sont correctes. » « Ce devis pour passer en cloud, est-ce qu’il est raisonnable ? » Et personne à qui poser la question sans se faire vendre une solution — alors on repousse, on attend. Jusqu’à ce que ça casse, ou que le fournisseur impose sa vision.
Ce qui aide vraiment : quelqu’un qui connaît votre infrastructure, que vous pouvez appeler avant de décider, qui anticipe avec vous — pas seulement en urgence quand tout est cassé. C’est le rôle d’un responsable informatique en temps partagé : présence régulière, vision pluriannuelle, conseil indépendant des fournisseurs, et quelqu’un qui vous challenge sur vos choix plutôt que de signer tout ce que vous demandez. C’est moins une question de budget qu’une question de charge mentale — et de posture.
LA RÈGLE D’OR DE L’IT PME
Anticiper coûte moins cher que réparer. Les cinq points ci-dessus, traités ensemble, représentent l’équivalent de 3 à 5 jours de RSI par an pour une PME de 20 à 50 salariés. Le coût d’un incident majeur (cryptolocker, serveur grillé, perte de sauvegardes) se mesure lui en semaines d’arrêt et de remise en état — sans compter les données perdues qui, elles, ne reviennent pas.
Comment Ezohiko vous accompagne sur ces 5 essentiels
Après 30 ans d’accompagnement terrain, nous avons industrialisé la réponse aux cinq essentiels en quatre formats complémentaires — de l’audit ponctuel au pilotage continu.
Baromètre IT PME (gratuit, 3 min)
Diagnostic express en ligne pour évaluer votre maturité IT sur les 5 essentiels et 3 autres dimensions (cybersécurité, cloud, gouvernance). Vous recevez un score sur 20 avec commentaire par email.
PRA as a Service
Pour les essentiels 1 (sauvegardes) et 2 (alimentation). Infrastructure de secours hébergée chez Ezohiko, réplication de vos VMs Proxmox, test de restauration tous les 6 mois avec rapport, RTO cible 4 heures.
RSI temps partagé
Le cinquième essentiel incarné. Un responsable informatique externalisé qui pense votre IT au quotidien : audit initial, roadmap sur 12 mois, présence régulière (2 à 5 jours par mois), consulté avant chaque décision.
SafeIT — Pack sécurité PME
Pour l’essentiel 3 (accès) et au-delà. Antivirus EDR Bitdefender, sauvegarde cloud des postes, Keeper avec MFA, supervision 24/7. 25 €/mois/poste, déploiement 30 min par poste, sans engagement.
En résumé — les 5 essentiels IT 2026
- ✅ Testez vos sauvegardes — vraiment, pas juste le journal vert
- ✅ Vérifiez votre onduleur et la procédure d’arrêt d’urgence
- ✅ Auditez et nettoyez les comptes, accès et droits admin
- ✅ Contrôlez la température de votre salle serveurs (18-27 °C ASHRAE)
- ✅ Identifiez un interlocuteur IT de confiance qui anticipe avec vous
Rien de révolutionnaire. Juste du bon sens et de l’anticipation. C’est ça qui fait la différence entre une année tranquille et une année de galères pour votre informatique PME. Si vous hésitez sur un point, c’est probablement celui qu’il faut traiter en premier.
Questions fréquentes — 5 essentiels IT PME 2026
Comment tester efficacement ses sauvegardes en PME ?
Le test minimal consiste à restaurer un fichier réel depuis la sauvegarde et à vérifier qu’il est lisible, complet et identique à l’original. Pour aller plus loin, planifiez un test de restauration complet d’un serveur ou d’une base de données au moins une fois par an — l’opération permet de mesurer votre RTO réel (temps de remise en service) et votre RPO (volume de données perdues au maximum). Documentez chaque test : durée, volume, anomalies rencontrées. Un bon prestataire en responsable informatique temps partagé déclenche ces tests sans que vous ayez à y penser, deux fois par an minimum.
Quelle est la différence entre une sauvegarde et une synchronisation cloud (OneDrive, Google Drive) ?
Une synchronisation recopie vos fichiers en temps réel mais ne conserve pas l’historique au-delà de 30 jours sur la corbeille personnelle OneDrive (93 jours sur la corbeille SharePoint). Si un ransomware chiffre vos fichiers, la synchronisation propage le chiffrement sur toutes les copies en quelques minutes. Une vraie sauvegarde conserve des versions historiques indépendantes, stockées sur un support distinct non connecté en permanence au réseau, et idéalement immuable. C’est la règle 3-2-1-1-0.
Combien de temps doit tenir un onduleur en cas de coupure électrique ?
L’objectif d’un onduleur n’est pas de faire fonctionner vos serveurs indéfiniment — c’est de permettre un arrêt propre et contrôlé avant épuisement de la batterie. Comptez en général 10 à 20 minutes d’autonomie en charge nominale, ce qui est suffisant pour déclencher l’arrêt automatique du serveur via NUT (Network UPS Tools sur Linux) ou APC PowerChute (sur Windows) sans corruption de données. Vérifiez une fois par an que l’arrêt automatique se déclenche réellement. Au-delà de 3 à 5 ans, les batteries perdent significativement de leur capacité et doivent être remplacées.
Quels risques représentent les comptes utilisateurs non désactivés après un départ ?
Un compte actif d’un ancien employé est une porte d’entrée potentielle dans votre système d’information — et c’est une porte que personne ne surveille. Si ses identifiants ont été compromis par le passé (phishing, fuite de données), un attaquant peut accéder à vos outils métier sans que personne ne le détecte. En matière de RGPD, vous êtes également responsable des accès aux données personnelles effectués via ces comptes, même après le départ. Pour une PME, l’audit annuel des comptes actifs avec croisement paie est une mesure « zéro effort » qui élimine l’essentiel du risque.
Quelle est la température idéale pour une salle serveurs en PME ?
La norme de référence est ASHRAE TC 9.9 Thermal Guidelines for Data Processing Environments qui recommande une plage de 18 à 27 °C pour les environnements informatiques de production. Pour une PME sans salle serveurs dédiée, nous conseillons de viser 18-24 °C afin de garder une marge en cas de pic estival. Au-delà de 27 °C de manière régulière, les composants électroniques vieillissent prématurément — l’espérance de vie d’un disque dur chute d’environ 50 % par tranche de 10 °C au-delà de la plage recommandée. Un thermomètre connecté à 30 € avec alerte email est l’investissement le plus rentable qu’une PME puisse faire côté infrastructure.
Comment choisir un prestataire informatique de confiance pour accompagner sa PME ?
Un bon prestataire IT pour PME doit connaître votre infrastructure en détail, être joignable avant les urgences (pas seulement après), et accepter d’être challengé sur ses choix techniques et commerciaux. Privilégiez un prestataire qui réalise un audit initial documenté de votre environnement, qui vous remet une cartographie et une roadmap sur 12 mois, qui explique pourquoi il recommande telle ou telle solution, et qui vous donne les clés pour reprendre la main si vous changez un jour de prestataire. Évitez ceux qui ne peuvent pas répondre rapidement à la question : « Si notre serveur principal tombe ce soir, quelle est la procédure exacte ? »
Un serveur physique en local est-il plus sécurisé qu’une solution cloud en 2026 ?
Ni l’un ni l’autre n’est intrinsèquement plus sécurisé. Un serveur local bien maintenu offre un contrôle total mais exige des compétences en interne (ou chez le prestataire), des mises à jour régulières, un PRA testé et des procédures documentées. Une solution cloud délègue la maintenance de l’infrastructure au fournisseur mais introduit une dépendance à internet, au fournisseur, et des obligations RGPD spécifiques (Clauses Contractuelles Types, localisation des données, transferts hors UE). Pour la plupart des PME en 2026, la solution optimale est hybride : cloud pour les données collaboratives, serveur local pour les applications métier spécifiques, avec sauvegarde externalisée dans tous les cas.
Quel budget IT prévoir pour une PME de 20 salariés en 2026 ?
Un budget IT PME raisonnable représente typiquement 2 à 4 % du chiffre d’affaires selon le secteur. Pour une PME de 20 personnes, il se décompose grossièrement en : licences Microsoft 365 ou Google Workspace (60 à 120 €/mois/utilisateur selon le pack), matériel et renouvellement postes (amortissement sur 4 ans), infrastructure serveur et sauvegarde, connectivité et téléphonie, solution antivirus et sécurité, et accompagnement externalisé (prestataire ou RSI temps partagé). Un budget prévisible et piloté — forfait mensuel stable plutôt que factures surprises — reste l’une des grandes différences entre une PME qui subit son IT et une PME qui la pilote.
Parlons de votre situation.
30 minutes, sans engagement.
On regarde ensemble ce qu’il faudrait pour libérer votre charge mentale IT. Pas de pitch. Juste un état des lieux honnête.
Architecte de votre informatique. Artisan de votre confiance.