Fortalyse

Pilotage SI8 min

Publié le 19 mai 2026

Checklist diagnostic SI dirigeant : les points à vérifier dans une PME

Une checklist simple pour aider un dirigeant de PME à préparer un diagnostic SI : applications, prestataires, accès, sauvegardes, cybersécurité, continuité et projets.

Un diagnostic SI ne commence pas par une liste d’outils à acheter. Il commence par une compréhension claire de ce qui fait fonctionner l’entreprise : applications, données, utilisateurs, prestataires, sauvegardes, projets et dépendances critiques.

Cette checklist propose une grille simple pour aider un dirigeant de PME à préparer un premier échange, cadrer un audit SI ou identifier les sujets à traiter en priorité. Elle ne remplace pas une analyse complète, mais elle permet d’éviter les angles morts les plus fréquents.

1. Vision d’ensemble du système d’information

L’objectif est d’abord de comprendre ce qui compose réellement le SI, au-delà des postes, serveurs ou logiciels visibles.

  • Quelles sont les applications indispensables au fonctionnement quotidien de l’entreprise ?
  • Qui les utilise : direction, administration, production, commerce, logistique, support ?
  • Où sont hébergés les outils : localement, chez un prestataire, dans le cloud, en SaaS ?
  • Existe-t-il une cartographie simple des applications, données, prestataires et flux critiques ?
  • Y a-t-il des outils historiques dont plus personne ne maîtrise vraiment le fonctionnement ?
Approfondir la cartographie SIVoir l’audit SI PME

2. Prestataires, contrats et responsabilités

Dans beaucoup de PME, les prestataires sont présents, mais les responsabilités exactes restent floues. C’est un point majeur de pilotage.

  • Qui est responsable du support utilisateur, de l’infrastructure, des sauvegardes, de la sécurité, de la messagerie et des applications métier ?
  • Les contrats précisent-ils les engagements, les délais d’intervention, les exclusions et les limites de responsabilité ?
  • Les accès administrateurs des prestataires sont-ils connus, maîtrisés et révoqués si nécessaire ?
  • Les devis et propositions sont-ils relus avec une vision métier, budget et risque ?
  • Existe-t-il un point régulier de pilotage avec les principaux fournisseurs SI ?
Comprendre le pilotage des prestatairesVoir la DSI à temps partagé

3. Accès, comptes sensibles et données

Les droits d’accès sont souvent un révélateur de la maturité SI : départs non traités, comptes partagés, droits trop larges ou absence de revue régulière.

  • Les arrivées, départs et changements de poste déclenchent-ils une revue des accès ?
  • Les comptes administrateurs sont-ils limités, nominatifs et protégés par MFA ?
  • Les droits sur les dossiers partagés correspondent-ils encore à l’organisation réelle ?
  • Les données sensibles sont-elles identifiées : RH, paie, finance, clients, contrats, données personnelles ?
  • Les accès des prestataires, alternants, intérimaires ou anciens salariés sont-ils régulièrement vérifiés ?
Approfondir les droits d’accèsConsulter le lexique SI

4. Sauvegardes, restauration et continuité

Une sauvegarde n’est rassurante que si elle peut être restaurée dans des délais compatibles avec l’activité. Le sujet doit être vérifié concrètement.

  • Quels systèmes et données sont sauvegardés ? Les postes, serveurs, applications SaaS et fichiers critiques sont-ils couverts ?
  • À quelle fréquence les sauvegardes sont-elles réalisées ?
  • Une copie est-elle isolée ou protégée contre un ransomware ?
  • Un test de restauration a-t-il été réalisé récemment ?
  • Les activités prioritaires à redémarrer en premier sont-elles connues ?
  • Les délais de reprise acceptables sont-ils exprimés côté métier, pas seulement côté technique ?
Comprendre PRA, PCA, RTO et RPOVoir l’offre PRA/PCA PME

5. Cybersécurité opérationnelle

Pour une PME, la cybersécurité doit d’abord sécuriser les points réellement exposés : messagerie, accès distants, comptes sensibles, sauvegardes, prestataires et postes utilisateurs.

  • Le MFA est-il activé sur la messagerie, les comptes administrateurs et les applications critiques ?
  • Les accès distants, VPN, RDP ou interfaces exposées sur Internet sont-ils connus et maîtrisés ?
  • Les postes sont-ils protégés, mis à jour et surveillés ?
  • Les utilisateurs sont-ils sensibilisés au phishing, aux pièces jointes et aux fraudes au virement ?
  • Les vulnérabilités critiques sont-elles identifiées et traitées avec une priorité claire ?
  • Les outils cyber proposés par les prestataires sont-ils compris, exploités et reliés à un besoin réel ?
Prioriser la cybersécurité PMEVoir l’approche cybersécurité PME

6. Projets SI et adoption utilisateur

Un projet SI réussi n’est pas seulement livré techniquement. Il doit être compris, adopté et utile aux métiers.

  • Le besoin métier est-il clairement formulé avant le choix de l’outil ?
  • Les utilisateurs concernés sont-ils associés au cadrage, aux tests et à la recette ?
  • Les impacts sur les processus, les données et les habitudes de travail sont-ils anticipés ?
  • Les responsabilités MOA / MOE / prestataires sont-elles explicites ?
  • Le projet dispose-t-il d’un sponsor métier, d’un planning réaliste et d’indicateurs simples ?
Lire l’article sur l’adoption utilisateurVoir la méthode Fortalyse

7. Gouvernance, budget et arbitrages

La gouvernance SI permet de transformer les constats techniques en décisions de direction : priorités, risques acceptés, budget, calendrier et responsabilités.

  • Existe-t-il une feuille de route SI simple à 3, 6 ou 12 mois ?
  • Les dépenses SI sont-elles rattachées à des enjeux métier ou seulement à des urgences techniques ?
  • Les risques connus sont-ils arbitrés par la direction ?
  • Les sujets SI sont-ils régulièrement portés en CODIR ou en réunion de pilotage ?
  • Une personne est-elle clairement responsable de suivre les actions décidées ?
Voir les offres FortalyseDemander un premier diagnostic

À lire selon votre situation

Prolonger la lecture vers une action concrète

Ces liens permettent de relier le sujet de l’article à une page plus opérationnelle : offre, cas d’usage, lexique ou prise de contact.

Premier diagnostic SI PME

Transformer cette checklist en priorités concrètes : risques, prestataires, sauvegardes, projets et gouvernance.

Clarifier mon besoin SI

Lexique SI pour dirigeants de PME

Comprendre les termes utilisés dans la checklist : PRA, PCA, RTO, RPO, MFA, SIEM, EDR, XDR, DSI externalisée.

Consulter le lexique

Audit SI PME

Obtenir une vision structurée du SI, des dépendances, des prestataires, des risques et des priorités.

Voir l’audit SI

Questions fréquentes

Les points à clarifier

Ces réponses permettent de replacer le sujet dans un contexte PME, avec une lecture orientée décision, risques et actions concrètes.

Cette checklist suffit-elle pour auditer un SI ?

Non. Elle sert à préparer le diagnostic et à identifier les premiers angles morts. Un audit SI complet nécessite des entretiens, des documents, des vérifications et une priorisation adaptée au contexte.

Qui doit remplir cette checklist ?

Elle peut être parcourue par le dirigeant, le responsable administratif, un référent SI interne ou toute personne qui coordonne les prestataires et les projets informatiques.

Faut-il répondre à toutes les questions avant un premier échange ?

Non. Les questions non résolues sont souvent les plus utiles, car elles indiquent justement les zones à clarifier.

Quel est le lien avec un PRA ou un diagnostic cyber ?

La checklist permet de repérer les sujets qui méritent un approfondissement : sauvegardes, reprise d’activité, accès, exposition Internet, prestataires ou gouvernance.

Ressources liées

Pour aller plus loin

Ces contenus permettent d’approfondir le sujet, de comparer les angles d’approche et de relier la réflexion à des actions concrètes.

Continuité d’activité9 min

PRA, PCA, RTO, RPO : comprendre les différences pour une PME

Une sauvegarde ne suffit pas à garantir la reprise d’activité. Pour décider correctement, une PME doit comprendre la différence entre PCA, PRA, RTO et RPO, puis relier ces notions aux métiers, aux données et aux priorités réelles.

Lire la ressource
Cybersécurité10 min

EDR, XDR, SIEM, SOC, MDR : que faut-il vraiment comprendre pour une PME ?

Les solutions cyber avancées ne sont utiles que si elles répondent à un besoin clair, avec des alertes traitées, des responsabilités définies et une capacité réelle d’intervention.

Lire la ressource
Pilotage SI8 min

DSI externalisée : dans quels cas est-ce utile pour une PME ?

Entre prestataire informatique, éditeurs, projets métier, cybersécurité, budget et continuité d’activité, une PME peut avoir besoin d’un pilotage SI sans disposer d’une DSI interne à temps plein.

Lire la ressource

Premier échange

Vous souhaitez transformer cette checklist en priorités concrètes ?

Un premier diagnostic permet de relier ces points de contrôle à votre contexte réel : risques, prestataires, sauvegardes, projets, budget et gouvernance SI.

Clarifier mon besoin SIPrendre contact