RC Pro Infogérance / TMA — SLA, patching, backup, NIS2 : la conformité 2026 exige un plafond 1-3M€
Syntec IDCC 1486 · ITIL 4 · ISO 27001 · NIS2 (17 oct 2024) · DORA (17 jan 2025) · RGPD art. 28 · dès 21€/mois
"Service ultra rapide et efficace ! Une RC pro réglée en à peine 20 minutes, sans prise de tête. Et pour la mutuelle familiale, les remboursements sont vraiment au top ! Je recommande les yeux fermés."
Obtenez votre devis RC Pro Infogérance / TMA
Réponse personnalisée sous 24h — gratuit et sans engagement
Mon besoin principal :
SLA non tenu, patching qui casse la prod, backup défaillant à la restauration, ransomware via chaîne d'approvisionnement : les mises en cause infogérance atteignent fréquemment 100 000€ à 1M€, plusieurs millions en banque ou opérateur NIS2.
RC Pro Infogérance / TMA : le métier le plus exposé du tech depuis l'entrée en vigueur de NIS2 et DORA
L'infogérance et la TMA (Tierce Maintenance Applicative) regroupent l'ensemble des prestations d'externalisation de la gestion d'un système d'information : supervision 24/7, gestion d'incidents et de problèmes, patching et mises à jour, sauvegardes et restauration, sécurité opérationnelle, maintenance applicative corrective / évolutive / adaptative. Le métier s'exerce sous la convention collective Syntec IDCC 1486 et s'appuie sur les standards ITIL 4 (gestion des services IT), ISO 20000-1 (gestion des services), ISO 27001 (sécurité de l'information), ISO 22301 (continuité d'activité). Le code APE généralement utilisé est le 62.03Z (gestion d'installations informatiques) ou le 62.09Z (autres activités informatiques).
Depuis le 17 octobre 2024, la transposition française de la directive NIS2 (UE 2022/2555) impose des obligations de cybersécurité à plus de 600 000 entités dans 18 secteurs critiques — dont les fournisseurs MSP, infogérants et data centers sont nommément cités. Selon votre taille (à partir de 50 salariés ou 10M€ de CA pour les entités importantes), vous êtes classé entité essentielle ou importante avec obligations strictes : registre des incidents, notification ANSSI sous 24h pour incidents significatifs, mesures techniques renforcées, formation continue. Depuis le 17 janvier 2025, le règlement DORA (UE 2022/2554) impose un cadre encore plus strict aux prestataires de services TIC critiques en banque/finance.
Les risques RC Pro principaux tiennent à quatre sources spécifiques. (1) Le manquement SLA (taux disponibilité 99.9% à 99.99%, RTO / RPO, MTTR) avec pénalités contractuelles et PINC sur l'arrêt de production. (2) Le patching et changement qui casse la production en cascade — sinistre fréquent. (3) Le backup défaillant non détecté avant tentative de restauration (sinistre catastrophique). (4) La chaîne d'approvisionnement (intrusion ransomware via votre infrastructure exposant les clients — l'attaque Kaseya 2021 ou SolarWinds 2020 reste la référence du risque systémique). Le RGPD article 28 et la chaîne de sous-traitance (CJUE C-340/21 du 14 déc 2023) renforcent encore l'exposition.
Sans RC Pro plafond 1M€+ : éliminé des appels d'offres NIS2 / DORA
Les cahiers des charges d'infogérance NIS2 (opérateurs essentiels) et DORA (banque/finance) imposent désormais des plafonds RC Pro 2-3 millions d'euros minimum, avec audit annuel et droit de regard du client. Sans cette couverture, vous êtes mécaniquement écarté du segment le plus rémunérateur du marché — et un sinistre PINC majeur expose votre patrimoine personnel à plusieurs centaines de milliers d'euros.
Ce que couvre exactement votre RC Pro d'infogérant / prestataire TMA
Tous les contrats RC Pro infogérance ne se valent pas — particulièrement sur le PINC SLA, la chaîne de sous-traitance RGPD et les conformités NIS2 / DORA. Voici les trois catégories à connaître.
Activités infogérance de base
- • Supervision et monitoring 24/7
- • Gestion d'incidents et de problèmes (ITIL)
- • Patching standard et mises à jour
- • Sauvegardes et plan de récupération
- • Help desk et support utilisateur
- • TMA correctif / évolutif standard
- • Erreur de bonne foi sur intervention
- • Préjudice client standard (retard, indisponibilité légère)
- • Manquement non-grave au SLA
- • Frais de défense civile
Activités étendues
Couvertes uniquement si mentionnées sur votre attestation.
- • PINC étendu 1M€+ (manquement SLA majeur)
- • Plafond 2-3M€ pour ETI / NIS2 / DORA
- • Sauvegarde et restauration garanties
- • Patching d'urgence et change exceptionnel
- • Migration plateforme (cloud, on-premise, hybride)
- • Hébergement et data center propres
- • Conformité NIS2 entité essentielle / importante
- • Conformité DORA banque / finance
- • Conformité HDS hébergement santé
- • Cyber-risque et incident chaîne d'approvisionnement
- • Protection juridique audit ANSSI / ACPR
Exclusions strictes
- • Faute intentionnelle ou dolosive
- • Atteinte volontaire au SI client (CP 323-1)
- • Détournement ou destruction délibérée de données
- • Mission sans contrat de service écrit signé
- • Activité sans MTO documentées (RGPD art. 32)
- • Backup sans test de restauration trimestriel
- • Patching sans environnement de pré-production
- • Vol de matériel client en mission
- • Hébergement HDS / DORA sans certification
- • Matériel, locaux propres (multirisque pro)
Un changement sans test ni rollback documenté écarte toute garantie sur le sinistre induit.
Les angles morts majeurs du métier
SLA, backup et chaîne d'approvisionnement : les trois zones où l'infogérance ETI exige une RC Pro renforcée
Les mises en cause infogérance sont quasi systématiquement déclenchées par un événement précis : panne supérieure au SLA, restauration ratée, ou intrusion via le prestataire. Trois zones concentrent l'essentiel du risque et conditionnent la prise en charge par votre RC Pro.
Manquement SLA et PINC
Un manquement au SLA (taux disponibilité 99.9%, RTO 4h, RPO 1h) déclenche pénalités contractuelles ET PINC sur perte d'exploitation. Pour un client ETI à 50 000€ / jour de CA, 4h de panne dépassant le SLA peut générer 8 000€ de pénalité + 12 000€ de PINC. Sur 24h, le préjudice cumulé atteint vite 100K€. Le PINC sous-plafonné à 50 000€ dans les contrats minimaux est insuffisant.
→ PINC étendu 1M€ + pénalités SLA couvertes explicitement
Backup défaillant à la restauration
Un backup non testé qui se révèle corrompu ou incomplet au moment de la restauration (ransomware, sinistre, erreur humaine) constitue un manquement majeur. La perte peut atteindre plusieurs mois de production. La stratégie 3-2-1 (3 copies, 2 supports différents, 1 hors-site) et les tests trimestriels de restauration sont indispensables. La défense repose sur la traçabilité documentaire de chaque test.
→ Test trimestriel de restauration documenté + 3-2-1
Chaîne d'approvisionnement et ransomware
Une intrusion dans votre infrastructure (compromission identifiant administrateur, vulnérabilité supply chain) qui se propage chez vos clients peut entraîner mise en cause collective. Les attaques Kaseya 2021 et SolarWinds 2020 restent les références — pouvant détruire un MSP en quelques mois. NIS2 art. 21 impose explicitement la sécurisation de la chaîne d'approvisionnement.
→ Cyber étendu + audit fournisseurs + MFA admin systématique
Sinistres réels en infogérance et TMA
Quatre situations qui justifient le plafond 1-3M€ avec PINC étendu
Les sinistres infogérance / TMA se déclenchent rapidement, souvent dans les heures qui suivent l'événement déclencheur (patching, panne, restauration ratée). Le préjudice est immédiatement chiffrable et les SLA contractuels rendent la défense difficile.
Patching qui casse la prod en cascade
Patching mensuel Windows Server appliqué sans validation préalable en pré-production. Régression sur un applicatif tiers critique chez un client ETI à 50K€/jour de CA. 18 heures de panne avant rollback effectif. Préjudice cumulé chiffré à 56 000€ par le client (PINC + pénalités SLA contractuelles).
Backup corrompu non détecté lors de restauration
Un client subit un ransomware. La restauration depuis la dernière sauvegarde révèle qu'elle est corrompue depuis 6 semaines (absence de test trimestriel). Perte irréversible de 6 semaines de données métier (commandes, comptabilité, base clients). Le client se retourne contre l'infogérant pour manquement à l'obligation de moyens renforcée.
Intrusion supply chain et propagation ransomware
Compromission d'un compte administrateur de l'infogérant via une vulnérabilité RMM (Remote Monitoring & Management). L'attaquant déploie un ransomware chez 12 clients simultanément. Mise en cause collective. Audit ANSSI au titre de NIS2, sanction administrative et action en responsabilité par tous les clients impactés.
Manquement DORA chez client banque
Un infogérant prestataire d'une banque ne respecte pas les obligations DORA (registre incidents incomplet, droit d'audit non opposable, plan de continuité non testé). Contrôle ACPR sanctionne la banque, qui se retourne contre l'infogérant au titre du contrat-cadre DORA. Résiliation immédiate et indemnisation du préjudice de mise en conformité.
Tarifs RC Pro Infogérance / TMA selon votre profil
· Mis à jour mai 2026Fourchettes indicatives 2026 basées sur les principales compagnies et les contrats partenaires (Syntec Numérique, France Cybersécurité, AFNOR). Quatre critères font varier le tarif : clientèle (PME / ETI / opérateurs essentiels), périmètre (TMA seule vs infogérance globale), conformités sectorielles (NIS2, DORA, HDS), et certifications ISO.
Prestataire débutant
1re année · TMA ou infogérance PME · plafond 500K€
à partir de 21€
par mois
soit 253,78€/an
Infogérant ETI / MSP
NIS2 entité importante · plafond 1M€ avec PINC étendu
35€ – 60€
par mois
soit 420€ – 720€/an
Infogérant NIS2 essentiel / DORA
Opérateur essentiel / banque / HDS · plafond 2-3M€ · ISO 27001
60€ – 100€
par mois
soit 720€ – 1 200€/an
Ces tarifs varient selon le plafond (passage 500K€ à 1M€ = +15-25%, 2M€ = +40-50%, 3M€ = +60-80%), les extensions (PINC étendu 1M€ = +20-25%, NIS2 essentiel = +15-25%, DORA banque = +25-35%, HDS santé = +20-30%, cyber chaîne d'approvisionnement = +15-20%), et le passif. Une certification ISO 27001 / ISO 20000 / HDS documentée peut réduire le tarif de 10-15%.
À ne pas confondre : la RC Pro ne couvre que les dommages causés à des tiers (clients, prestataires). Pour votre infrastructure propre (data center, NOC, serveurs hébergeant les clients, matériel réseau, postes de travail), une multirisque pro tech est indispensable. Pour les cyber-attaques visant votre SI, une cyber-assurance dédiée. Pour vos revenus en cas d'arrêt, la prévoyance Loi Madelin.
Infogérant résilié, sinistre majeur, opérateur essentiel NIS2 : on trouve une solution
Une RC Pro refusée ou plafond insuffisant écarte définitivement des appels d'offres ETI, banque et opérateurs essentiels. En tant que courtier indépendant, nous avons accès à des compagnies spécialisées dans les profils complexes de l'infogérance et de la TMA.
Résilié après sinistre PINC majeur
Un sinistre supérieur à 200K€ (manquement SLA, backup corrompu, patching catastrophique) a entraîné votre résiliation. Vous figurez désormais au fichier AGIRA. Plusieurs compagnies acceptent ces dossiers avec majoration et plan de remédiation (certification ISO 27001 en cours, process change management ITIL audité, tests de restauration mensuels).
→ Solution sur mesure
Cyber-attaque chaîne d'approvisionnement
Une intrusion via votre infrastructure a entraîné une mise en cause collective par plusieurs clients (ransomware, fuite de données massive). La quasi-totalité des assureurs refuse ces dossiers. Nous travaillons avec des compagnies qui acceptent ces profils sous condition d'audit cybersécurité externe et migration vers stack MFA / Zero Trust.
→ Réintégration possible
Opérateurs essentiels et secteurs critiques
Prestation pour opérateurs essentiels NIS2 (énergie, eau, transport, santé), banques sous DORA, hébergeurs HDS, OIV (opérateurs d'importance vitale), opérateurs souveraineté numérique SecNumCloud : ces périmètres sortent des contrats standards et nécessitent des compagnies spécialisées avec extension cyber renforcée.
→ Couverture complète
Votre RC Pro Infogérance / TMA en 24h, en 3 étapes
Vous transmettez votre situation
Code APE (62.03Z, 62.09Z), périmètre (TMA seule, infogérance partielle, infogérance globale, MSP), clientèle (PME, ETI, opérateurs NIS2, banques DORA, santé HDS), SLA contractuels typiques (taux dispo, RTO, RPO), certifications (ISO 27001, ISO 20000, HDS, SecNumCloud), volume clients sous gestion, antécédents éventuels.
On compare avec pack adapté
Nous interrogeons les compagnies spécialisées tech et cybersécurité. Nous structurons un pack RC Pro 1-3M€ + PINC étendu 1M€ minimum + sauvegarde/restauration garanties + cyber chaîne d'approvisionnement + NIS2 / DORA / HDS selon votre clientèle + RGPD article 28. Vérification de l'absence d'exclusion cachée sur les changements et restaurations.
Vous recevez votre attestation
Attestation RC Pro envoyée par email avec effet immédiat à la signature, conforme aux cahiers des charges Syntec, NIS2 et DORA (plafond clairement affiché, PINC mentionné, conformités cochées, droit d'audit possible). Contrat papier signé électroniquement sous 8 à 15 jours.
Exemple de sinistre — Cas représentatif
« Un client subit un ransomware. La restauration depuis la dernière sauvegarde révèle qu'elle est corrompue depuis 6 semaines — l'infogérant n'avait pas mis en place de test trimestriel de restauration. Perte irréversible de 6 semaines de données métier (commandes, comptabilité, base clients). Le client se retourne contre l'infogérant pour manquement à l'obligation de moyens renforcée. Sans RC Pro adaptée incluant l'extension sauvegarde et restauration garanties, l'infogérant aurait dû payer les 320 000€ d'indemnisation de sa trésorerie propre. »
Questions fréquentes — RC Pro Infogérance / TMA
Les vraies questions que nous posent les infogérants et prestataires TMA mosellans
Pas obligatoire légalement, mais exigée contractuellement dans 100% des contrats d'infogérance et de TMA sérieux. Les SLA (Service Level Agreement) des contrats Syntec imposent un plafond minimum 500 000€ chez les PME, 1 million d'euros chez les ETI, 2 à 3 millions d'euros chez les grands comptes ou opérateurs soumis NIS2 / DORA. La raison : un manquement SLA, un patching qui casse la production, ou un backup défaillant non détecté lors d'une restauration peut générer un préjudice immatériel (PINC) immédiat et chiffrable en dizaines voire centaines de milliers d'euros. Sans RC Pro, vous êtes mécaniquement écarté des appels d'offres infogérance ETI.
Quatre périmètres distincts. L'infogérance globale (ou full outsourcing) couvre l'ensemble du SI client : exploitation, supervision, gestion d'incidents, sécurité, sauvegardes, mises à jour. L'infogérance partielle se concentre sur un périmètre défini (postes de travail, serveurs, cloud, télécoms). La TMA — Tierce Maintenance Applicative — porte uniquement sur la maintenance d'applications développées par un tiers : corrections de bugs (correctif), évolutions fonctionnelles (évolutif), adaptations techniques (adaptatif). Le MSP (Managed Service Provider) désigne un prestataire de services managés multi-clients, souvent avec une plateforme propre. Le risque RC Pro varie selon le périmètre couvert : la TMA seule est moins exposée que l'infogérance globale.
Oui, dans le cadre d'une obligation de moyens renforcée. Le patching (Windows Update, kernel Linux, framework applicatif, CMS WordPress / Drupal, plugins) est une activité standard de l'infogérance mais à fort risque : un patch peut introduire une régression, une incompatibilité avec un applicatif tiers, ou un comportement inattendu. La défense repose sur : (1) un environnement de pré-production miroir où le patch a été validé, (2) une fenêtre de maintenance contractuellement définie, (3) un plan de rollback documenté et testable, (4) un changement formalisé selon ITIL 4 (Change Management). Sans ces garanties, votre responsabilité civile est quasi-systématiquement retenue.
C'est l'un des sinistres les plus graves et les plus fréquents en infogérance. Un backup non testé qui se révèle corrompu ou incomplet au moment où le client en a besoin (sinistre, ransomware, erreur humaine) constitue un manquement majeur à l'obligation de moyens. La perte de données peut atteindre plusieurs mois de production. La défense repose sur les tests de restauration documentés (idéalement 1 fois par trimestre minimum, idéalement avec restauration complète sur environnement isolé), le rapport de validité de chaque sauvegarde, et la stratégie 3-2-1 (3 copies, 2 supports différents, 1 hors-site). Une extension RC Pro spécifique « sauvegarde et restauration » est recommandée.
Oui, fortement. La directive NIS2 (UE 2022/2555) — transposée en France et applicable depuis le 17 octobre 2024 — étend les obligations de cybersécurité à plus de 600 000 entités dans 18 secteurs (énergie, transport, banque, santé, eau, infrastructures numériques, dont les fournisseurs MSP, infogérants et data centers). En tant que prestataire IT, vous êtes très probablement classé entité essentielle ou importante selon votre taille, avec obligations : registre des incidents, notification ANSSI sous 24h pour les incidents significatifs, mesures techniques renforcées, formation des équipes. DORA (UE 2022/2554, applicable 17 janvier 2025) impose un cadre encore plus strict pour les prestataires de services TIC critiques en banque/finance, avec contractualisation détaillée et droit d'audit du client.
L'infogérance est presque toujours une activité de sous-traitance RGPD article 28 du fait du traitement de données personnelles pour le compte du client. Le contrat doit être formalisé en annexe avec : description du traitement, durée, mesures techniques et organisationnelles (MTO), procédures de notification de violation (72h), retour ou destruction des données en fin de contrat. Particularité : vous recourez vous-même à des sous-traitants ultérieurs (hébergeur cloud OVH / AWS / Scaleway, monitoring, antivirus, etc.) — la liste doit être communiquée au client avec mécanisme d'opposition (Art. 28-2 RGPD). Une faille dans la chaîne expose au régime de responsabilité solidaire (CJUE C-340/21 du 14 décembre 2023).
Les tarifs varient selon votre profil : 285 à 420€/an pour un prestataire débutant (1re année, TMA seule ou infogérance PME, plafond 500 000€), 420 à 720€/an pour un prestataire établi (infogérance ETI ou MSP, plafond 1M€ avec PINC étendu, NIS2 entité importante, RGPD article 28 formalisé), 720 à 1 200€/an pour un prestataire intervenant chez opérateurs essentiels NIS2 / banques DORA / hébergement santé HDS, plafond 2-3M€ avec audit ISO 27001 / ISO 20000 documenté. Une certification ISO 27001 documentée peut réduire le tarif de 10-15%.
RC Pro Infogérance / TMA — partout en Moselle
Nous accompagnons les infogérants, MSP et prestataires TMA indépendants dans tout le département
5,0 / 5
Dylan A.
Client vérifié
"Service ultra rapide et efficace ! Une RC pro réglée en à peine 20 minutes, sans prise de tête. Et pour la mutuelle familiale, les remboursements sont vraiment au top ! Je recommande les yeux fermés."