Cybersécurité NIS2, sauvegarde, conformité RGPD, déploiement Microsoft 365, IA générative qui s’installe dans les usages : en 2026, le système d’information d’une PME n’a plus rien d’un sujet périphérique. Mais entre embaucher un RSI salarié, contractualiser avec une ESN ou opter pour un RSI en temps partagé, le bon choix n’est pas évident. Cet article remet de l’ordre dans les trois modèles, leurs coûts, leur posture — et montre pourquoi le pilotage continu redevient critique à l’ère de Copilot et ChatGPT.
CHIFFRE CLÉ
Le coût total annuel d’un DSI salarié interne en France oscille entre 100 et 170 k€ chargés (salaire brut, charges, recrutement, équipement) — soit le chiffre d’affaires mensuel moyen d’une PME industrielle de 20 salariés. Pour la grande majorité des PME de 10 à 100 personnes, c’est hors budget. Pourtant les enjeux n’ont jamais été aussi denses : 15 000 entités entrent dans le périmètre NIS2 en France à partir de 2026 (étude d’impact gouvernement), et l’IA générative est devenue un sujet IT à part entière en moins de 24 mois.
Responsable informatique en temps partagé : la solution des PME qui veulent mieux sans embaucher plus
Contrairement à un prestataire informatique classique centré sur le dépannage, le RSI externalisé PME Lyon apporte une vision stratégique continue. Il aligne la gestion IT avec les objectifs réels de l’entreprise, arbitre les chantiers et porte la conformité dans la durée — pas en mission ponctuelle.
RSI, ESN, RSI en temps partagé : trois modèles pour piloter l’IT d’une PME
RSI, ESN et RSI en temps partagé ne désignent pas la même chose. Pour une PME, choisir le bon modèle, c’est choisir une posture de gouvernance, un niveau d’engagement et une structure de coût.
MODÈLE 1 — INTERNALISÉ
RSI salarié interne
Un Responsable des Systèmes d’Information à temps plein, salarié de l’entreprise. Il porte la vision IT au quotidien et pilote infrastructure, projets, sécurité, équipes, budget.
Pertinent dès 80–100 salariés, ou plus tôt si le SI est au cœur de la valeur produite (éditeur, e-commerce, santé numérique).
Coût : 65 à 110 k€ brut/an, soit 100 à 170 k€ chargés.
MODÈLE 2 — PRESTATION
ESN (Entreprise de Services du Numérique)
Une société prestataire (ex‑SSII) qui vend du service IT : régie, forfait projet, infogérance, conseil. Met à disposition des consultants ou techniciens sur une mission cadrée.
Modèle dominant pour les ETI et grands comptes, plus rarement aligné avec les contraintes d’une PME.
Coût : 400 à 1 200 €/jour selon le profil (consultant junior à expert senior).
MODÈLE 3 — LE BON COMPROMIS
RSI en temps partagé
Un DSI senior dont l’expertise est partagée entre plusieurs PME. Il porte la même responsabilité stratégique qu’un RSI interne mais ne facture que les jours réellement utiles.
La voie médiane entre l’embauche salariée et la prestation ponctuelle. C’est le modèle Ezohiko.
Coût : 1 500 à 4 500 €/mois, soit 20 à 60 k€/an.
En un coup d’œil : tableau comparatif
| Critère | RSI salarié | ESN | RSI temps partagé |
|---|---|---|---|
| Posture | Pilotage interne permanent | Prestation cadrée | Pilotage mutualisé continu |
| Coût annuel PME | 100–170 k€ chargés | Variable, souvent > 80 k€ sur projet | 20–60 k€ |
| Vision long terme | Oui | Rarement | Oui |
| Multi‑expertise | Limitée au profil recruté | Forte (banc de consultants) | Forte (multi‑clients) |
| Gouvernance IA, RGPD, NIS2 | Pilotée en interne | Sur mission dédiée | Intégrée au mandat continu |
| Adapté à | ETI > 100 personnes, SI critique | Projets bornés, surcharge ponctuelle | PME 10–100 personnes, sujets transverses |
RÈGLE DE DÉCISION EN 3 QUESTIONS
- Le SI est-il au cœur de la valeur produite et la PME dépasse 80 salariés ? → RSI salarié interne.
- Avez-vous un projet borné avec un budget projet (migration ERP, déploiement Microsoft 365, conformité ponctuelle) ? → ESN en forfait ou régie.
- Avez-vous besoin d’une vision continue sans le coût d’un salarié plein temps (gouvernance, conformité, IA, choix d’outils, arbitrages) ? → RSI en temps partagé.
Dans 80 % des PME accompagnées à Lyon, c’est le troisième cas qui s’impose : un pilote stratégique, mais pas tous les jours.
L’IA générative en 2026 : le nouveau sujet IT que la plupart des PME n’ont pas vu venir
En moins de 24 mois, ChatGPT, Microsoft 365 Copilot, Google Gemini et Claude for Work se sont installés dans les usages des PME — souvent en marge, parfois en doublon des outils officiels, rarement avec une politique formelle. Les ESN proposent des « missions IA » cadrées, les éditeurs vendent leurs licences, mais qui s’assure au quotidien que ces outils servent l’entreprise sans la trahir ? C’est typiquement un sujet de gouvernance IT qui n’a pas de propriétaire désigné dans la plupart des PME.
SHADOW AI
Des collaborateurs qui utilisent l’IA sans le dire
Une large majorité des collaborateurs en PME utilise déjà ChatGPT, Claude ou Gemini pour leur travail, le plus souvent depuis un compte personnel, sans validation IT (Microsoft Work Trend Index 2024). Conséquence : devis, contrats, données clients, fragments RH envoyés vers des serveurs hors UE, sans clause de confidentialité ni traçabilité. C’est le shadow IT à l’ère de l’IA — invisible, généralisé, à risque RGPD direct.
GOUVERNANCE
Une politique d’usage IA, c’est obligatoire
Quels outils sont autorisés ? Quelles données peut-on y exposer (publiques, internes, sensibles, personnelles) ? Quels prompts sont interdits (négociations RH, secrets industriels, données clients identifiantes) ? Une politique d’usage IA tient en 3 à 5 pages, mais elle exige un pilote IT pour la rédiger, la diffuser et la tenir vivante. Sans ça, c’est l’article 4 du règlement IA européen qui s’invite : depuis février 2025, les employeurs doivent garantir un « niveau suffisant de maîtrise de l’IA » à leurs collaborateurs concernés.
SÉLECTION OUTILS
Copilot, ChatGPT Enterprise, Gemini : choisir bien
Le coût varie de 22 à 60 € par utilisateur/mois selon les éditeurs, avec des promesses très inégales sur la localisation des données, l’absence d’entraînement sur vos contenus, l’intégration métier réelle. Choisir le mauvais outil, c’est se retrouver bloqué 3 ans sur un contrat incompatible avec la conformité RGPD/NIS2 de demain — ou pire, avec une dépendance souveraineté (Cloud Act US, transferts hors UE) qu’une PME industrielle ne peut pas porter.
FORMATION & ROI
AI literacy et mesure de la valeur réelle
L’IA générative ne donne de valeur qu’à des équipes formées — qualité du prompt, esprit critique, limites de l’outil, vérification des sources. Sans ce socle, c’est un gadget qui produit du contenu douteux et fait perdre du temps. Mesurer le ROI réel — temps gagné, qualité produite, coût des licences vs valeur extraite — exige une démarche structurée. Pas une intuition de comité de direction.
LE PIÈGE CLASSIQUE
Activer Microsoft 365 Copilot ou ChatGPT Enterprise prend 30 minutes côté licences. Définir le périmètre, la classification des données accessibles, le rôle de chaque équipe, la procédure d’audit des prompts, le suivi des coûts : c’est 4 à 8 semaines de travail piloté. Quand on saute cette étape, on obtient deux choses garanties : des données sensibles exposées dans des index Copilot mal cloisonnés, et une explosion du budget sur des licences sous-utilisées.
Qui pilote l’IA dans une PME ? Le test sur les 3 modèles
Le sujet IA générative met les trois modèles à l’épreuve :
- RSI salarié : peut piloter, mais souvent seul face à un écosystème qui bouge chaque trimestre. Sans veille structurée, il est dépassé en 6 mois.
- ESN : vend des « missions IA » cadrées (déploiement Copilot, atelier prompt engineering, audit shadow AI), mais sans vision continue. On déploie, on facture, on s’en va.
- RSI temps partagé : voit plusieurs PME en parallèle, cumule l’expérience IA réelle, arbitre entre outils Microsoft/Google/OpenAI, transversal aux marques. C’est typiquement le sujet où le modèle mutualisé prend tout son sens.
Les 3 défis informatiques des PME que le temps partagé résout
1. Complexité croissante des SI
Cloud, cybersécurité, conformité RGPD/NIS2, IA générative — les PME gèrent des infrastructures de plus en plus complexes sans toujours l’expertise interne.
2. Pénurie de compétences DSI
Trouver un DSI qualifié à temps plein est hors de portée pour la plupart des PME. Le temps partagé donne accès au profil sans les contraintes du recrutement.
3. Absence de vision stratégique
La gestion réactive (dépannage, maintenance) ne suffit plus. Il faut un pilotage proactif aligné sur la croissance de l’entreprise et l’évolution des risques.
Les 4 avantages clés du RSI en temps partagé
Flexibilité
Aucune contrainte de contrat à temps plein. Le volume de jours s’adapte au rythme des projets et à l’évolution des besoins.
Coût maîtrisé
L’expertise d’un DSI senior pour 20 à 60 k€/an au lieu de 100 à 170 k€. Sans charges fixes, sans recrutement, sans risque de turnover.
Multi‑expertise
Vision globale acquise auprès de multiples secteurs et clients : sécurité, infrastructure, cloud, IA, conformité — pas un technicien, un stratège.
Focus stratégique
Contrairement à un prestataire focalisé sur le dépannage, le RSI temps partagé aligne la stratégie informatique avec les objectifs commerciaux réels.
PSSI, PCA, PRA, RGPD : les fondations que le RSI temps partagé met en place
Au-delà de la maintenance quotidienne, le responsable informatique en temps partagé structure les fondations de votre sécurité informatique :
PSSI
Politique de sécurité des SI : règles, responsabilités et mesures de protection formalisées, revues régulièrement.
PCA
Plan de Continuité d’Activité : maintenir les opérations critiques pendant un sinistre ou une crise.
PRA
Plan de Reprise d’Activité : relancer l’activité après une interruption majeure, avec des RTO et RPO définis et testés.
RGPD & NIS2
Conformité RGPD (registre, notifications CNIL), pilotage des mesures NIS2 (article 21), gouvernance des données.
Comment Ezohiko vous accompagne : un dispositif en 3 piliers
Basée à Lyon avec plus de 30 ans d’expérience et un bureau à Dublin, Ezohiko opère dans toute la région Rhône‑Alpes. Trois piliers structurent l’accompagnement, à activer ensemble ou séparément.
RSI temps partagé
Pilotage stratégique continu : feuille de route, gouvernance, choix d’outils, conformité, gouvernance IA — l’expertise d’un DSI senior à temps partiel.
Socle technique SafeIT
Pare-feu, EDR, MFA, chiffrement, supervision — un socle mutualisé pour PME et professions libérales, aligné sur les exigences NIS2 article 21.
PRA & PCA
Plan de reprise et de continuité d’activité, testés et documentés. Engagement sur les délais de reprise. Couvre l’article 21 mesure 3 de NIS2.
RETOUR D’EXPÉRIENCE TERRAIN
Sur les PME accompagnées en RSI temps partagé chez Ezohiko, le premier semestre est presque toujours le même : cartographier l’existant (souvent fragmentaire), colmater les fuites évidentes (MFA absent, sauvegardes non testées, comptes admin partagés), puis poser une feuille de route 18 mois qui priorise NIS2, RGPD et le sujet IA. Les sujets que les ESN traitent en mission ponctuelle — un déploiement, un audit, une migration — deviennent des chantiers continus, supervisés par la même personne, avec un reporting CODIR mensuel. C’est ce continuum qui fait la différence dans la durée.
Questions fréquentes sur le RSI, l’ESN et le pilotage IT en PME
Quelle est la différence entre un RSI et une ESN ?
Le RSI (Responsable des Systèmes d’Information) est une fonction de pilotage exercée au sein d’une entreprise : il définit la stratégie IT, arbitre les budgets, garantit la sécurité et la conformité. L’ESN (Entreprise de Services du Numérique) est une société prestataire qui vend du service informatique sur mission : régie, forfait, infogérance, conseil. Un RSI peut être salarié, partagé entre plusieurs PME (RSI en temps partagé) ou — plus rarement — porté par une ESN dans le cadre d’un mandat précis. La différence essentielle : le RSI porte une vision continue, l’ESN délivre une prestation cadrée.
RSI ou ESN : que choisir pour une PME ?
Pour une PME de 10 à 100 salariés, le choix dépend du besoin. Si l’enjeu est une vision IT continue (gouvernance, conformité, sécurité, arbitrages, pilotage IA), un RSI en temps partagé est presque toujours plus pertinent qu’une ESN classique. Si l’enjeu est un projet borné (migration, refonte, conformité ponctuelle), une ESN — ou la coordination d’une ESN par un RSI temps partagé — peut convenir. Beaucoup de PME combinent les deux : un RSI temps partagé qui pilote, une ou plusieurs ESN qui exécutent les chantiers techniques.
Qu’est-ce qu’une ESN exactement ?
Une ESN (Entreprise de Services du Numérique), anciennement appelée SSII, est une société dont le métier est de vendre des services informatiques à d’autres entreprises. Elle propose typiquement de la régie (mise à disposition de consultants), du forfait projet (livrable cadré), de l’infogérance (gestion de tout ou partie du SI) et du conseil. Les ESN françaises emploient majoritairement des ingénieurs et consultants facturés à la journée. Le terme a été officialisé en 2013 par le Syntec Numérique pour remplacer SSII et mieux refléter la nature de l’activité.
Combien coûte un RSI en temps partagé pour une PME à Lyon ?
Le coût varie selon le volume de jours d’intervention mensuel. Comptez généralement entre 1 500 et 4 500 € par mois, soit 20 à 60 k€/an — très inférieur au coût total d’un DSI interne (salaire + charges + recrutement + équipement), tout en offrant un niveau d’expertise équivalent voire supérieur grâce à l’expérience cumulée multi-clients. Chez Ezohiko, les formules sont adaptées à chaque profil de PME lyonnaise.
Qui doit piloter l’IA générative (Copilot, ChatGPT) dans une PME ?
L’IA générative en entreprise touche à la gouvernance des données (RGPD), à la cybersécurité (shadow AI, exfiltration), au budget (licences, contrats), à la conformité (article 4 du règlement IA européen sur la maîtrise de l’IA) et aux process métiers. C’est typiquement un sujet IT transverse qui doit relever d’un pilote stratégique : un RSI salarié si la PME en a un, un RSI en temps partagé sinon. Une ESN peut intervenir sur un déploiement Copilot ou un atelier prompt, mais la politique d’usage et son pilotage continu doivent rester côté entreprise.
Quand faut-il préférer une ESN à un RSI en temps partagé ?
L’ESN reste pertinente quand le besoin est technique, ponctuel et borné : déploiement d’un ERP, refonte d’infrastructure, mission d’audit cybersécurité, développement applicatif spécifique. L’ESN apporte alors une capacité d’exécution à grande échelle. L’idéal : un RSI temps partagé qui rédige le cahier des charges, sélectionne l’ESN, pilote la mission et garantit que le livrable est conforme aux besoins métiers. Sans pilote, une mission d’ESN dérape souvent en coût et en périmètre.
Mon entreprise est-elle concernée par NIS2 et le RGPD ?
Toute entreprise traitant des données personnelles est soumise au RGPD, quelle que soit sa taille. La directive NIS2 concerne en priorité les entreprises de secteurs essentiels et importants de plus de 50 salariés ou réalisant plus de 10 millions d’euros de chiffre d’affaires. Mais l’effet chaîne d’approvisionnement (article 21) embarque aussi les sous-traitants de ces entités. Le RSI temps partagé Ezohiko évalue votre exposition réelle et met en place les mesures adaptées.
Quels sont les premiers livrables d’une mission RSI externalisé ?
La mission démarre par un audit complet du SI : équipements, logiciels, accès, sécurité, conformité, usages IA. Cet audit donne lieu à une feuille de route priorisée qui sert de base au plan d’action IT sur 12 à 18 mois. Les premiers mois sont consacrés à corriger les points critiques (MFA, sauvegardes testées, comptes admin) et à structurer la gouvernance IT (PSSI, politique d’usage IA, comité IT mensuel).
Ezohiko intervient-il uniquement à Lyon ?
Ezohiko est basé à Lyon et opère dans toute la région Rhône‑Alpes, avec un bureau à Dublin pour les PME franco‑irlandaises. Selon les besoins, des missions en distanciel peuvent être organisées pour des entreprises hors région.
Parlons de votre situation.
30 minutes, sans engagement.
On regarde ensemble ce qu’il faudrait pour libérer votre charge mentale IT. Pas de pitch. Juste un état des lieux honnête.
Architecte de votre informatique. Artisan de votre confiance.