Ces cinq situations sont composites — elles s'inspirent de cas réels observés dans des PME et ETI françaises, recomposés pour protéger la confidentialité. Elles ont toutes un point commun : elles auraient pu être évitées, ou considérablement atténuées, par une gouvernance SI en place. Ce ne sont pas des cas exceptionnels. Ce sont des cas représentatifs.

01
Crise 01

La panne critique un vendredi soir

L'infrastructure sans plan de continuité

Une PME industrielle de 120 salariés. Serveur ERP en production depuis 8 ans, sans redondance, sans PRA documenté. Un vendredi à 18h30, le disque principal tombe. Le lundi matin, 40 techniciens et commerciaux ne peuvent pas travailler. 72 heures d'arrêt partiel, 180 000 € de perte de production directe. Sans compter le prestataire informatique appelé en urgence, facturé en astreinte, qui n'avait jamais documenté l'architecture.

Ce qu'un DSI aurait fait
Un DSI aurait imposé depuis le premier mois un PRA (Plan de Reprise d'Activité) documenté, testé une fois par an. Il aurait identifié le serveur comme single point of failure et planifié sa modernisation. Ce n'est pas de la haute technologie — c'est de la gouvernance basique.
02
Crise 02

Le ransomware qui aurait pu être évité

La faille de sécurité non détectée

ETI de services, 200 salariés. Un collaborateur clique sur un lien dans un email. En 4 heures, 80% des fichiers partagés sont chiffrés. L'entreprise n'avait pas de sauvegardes offline testées, pas de segmentation réseau, pas de PSSI. La rançon demandée : 85 000 €. L'entreprise a payé. Puis a découvert que certaines données avaient quand même été exfiltrées avant le chiffrement.

Ce qu'un DSI aurait fait
Un DSI — ou un RSSI à temps partagé — aurait conduit un audit de sécurité annuel, mis en place des sauvegardes testées, segmenté le réseau et formé les équipes aux risques phishing. Ces mesures représentent quelques milliers d'euros par an. Le ransomware a coûté 200 000 € en incluant les pertes d'exploitation et les honoraires de la cellule de crise.
03
Crise 03

L'ERP à 400 000 € abandonné

Le projet IT sans chef d'orchestre

PME de distribution, 150 salariés. Projet ERP lancé après une présentation convaincante d'un éditeur. Contrat signé. 18 mois plus tard : le projet est à 60% de réalisation, les délais ont triplé, le périmètre a dérivé, les équipes sont épuisées. La DAF réalise que le ROI initial n'a jamais été sérieusement calculé. Le projet est finalement abandonné. Coût total : 380 000 €, dont 40% de frais de consultants non pilotés.

Ce qu'un DSI aurait fait
Un DSI à temps partagé aurait structuré la phase de cadrage : définition du périmètre fonctionnel, appel d'offres multi-éditeurs, contrat à jalons avec critères d'acceptation, gouvernance de projet mensuelle. Il aurait aussi été le premier à alerter si le projet dérivait — pas pour protéger un contrat, mais pour protéger l'entreprise.
04
Crise 04

La migration cloud qui a bloqué la production

La décision technologique sans gouvernance

Entreprise de services RH, 90 salariés. Sur recommandation d'un prestataire, migration de l'infrastructure on-premise vers un cloud public, réalisée en 6 semaines. Résultat : latence applicative multipliée par 4, incompatibilité avec le logiciel métier (non testé en préproduction), montée en charge impossible pendant les pics. Retour arrière partiel décidé 3 mois après, à coût équivalent à la migration initiale.

Ce qu'un DSI aurait fait
Un DSI aurait posé les questions préalables essentielles : les applicatifs métiers sont-ils cloud-ready ? Quels SLA pour quelle criticité ? Le contrat prévoit-il une réversibilité ? Il aurait imposé une phase de qualification en environnement de recette avant toute bascule de production. La migration cloud n'est pas un projet technique — c'est une décision stratégique qui exige un chef d'orchestre côté client.
05
Crise 05

L'amende RGPD non anticipée

La conformité réglementaire ignorée

Cabinet de conseil en recrutement, 75 salariés. Suite à une plainte d'un candidat, la CNIL diligente un contrôle. Résultat : pas de registre des traitements à jour, pas de politique de conservation des données candidats, pas de DPO désigné alors que l'activité l'exigeait, sous-traitants non encadrés par des DPA. Mise en demeure avec délai de mise en conformité de 3 mois. Coût de mise en conformité urgente : 45 000 €. La mise en demeure n'a pas conduit à une amende — mais le risque résiduel reste présent.

Ce qu'un DSI aurait fait
Le RGPD n'est pas une formalité administrative. C'est un cadre juridique avec des sanctions pouvant atteindre 4% du chiffre d'affaires mondial. Un DSI ou RSSI à temps partagé intègre la conformité comme une dimension permanente du pilotage SI — registre des traitements, analyse de risques, contrats sous-traitants, formation équipes. Ce n'est pas optionnel depuis 2018.

Conclusion

Ces cinq crises ont un dénominateur commun : elles auraient pu être anticipées. Non pas parce qu'elles étaient imprévisibles, mais parce qu'une gouvernance SI structurée les rend visibles avant qu'elles surviennent.

Un DSI à temps partagé n'est pas là pour éteindre les incendies. Il est là pour éviter qu'ils se déclarent. La différence entre une PME qui subit ses systèmes d'information et une PME qui les pilote, c'est précisément cette anticipation — et elle a un prix bien inférieur à celui d'une crise.