Le cahier des charges MSP : l'outil que 9 PME sur 10 oublient avant de signer

Pourquoi ce document change tout

Choisir un fournisseur de services TI gérés (MSP) sans cahier des charges, c'est comme recruter un directeur général sans description de poste. Vous obtenez quelqu'un. Pas nécessairement la bonne personne et le coût de l'erreur peut se chiffrer en dizaines de milliers de dollars, sans compter les mois perdus à corriger le tir.

Pourtant, c'est exactement ce que font la majorité des PME québécoises. On compare des prix, on lit des témoignages, on choisit le fournisseur qui « fait bonne impression » en rencontre. Et on réalise 12 à 18 mois plus tard que le contrat signé ne couvre pas ce dont on avait vraiment besoin.

Selon Devolutions, dans leur rapport State of IT Security 2024–2025 portant sur 445 professionnels TI de PME québécoises, 71% des répondants affirment être confiants de pouvoir gérer un incident majeur, mais seulement 22% indiquent avoir une posture de sécurité avancée. Un écart qui révèle une surestimation dangereuse du niveau de préparation réel. (Source : https://devolutions.net/fr/state-of-it-security-report-2025/) Ce type de déconnexion commence souvent dès la sélection du MSP : on croit avoir choisi le bon partenaire, mais on n'avait pas défini ce que « bon » voulait dire.

Ce qu'un cahier des charges MSP n'est pas

Avant de décrire ce qu'il doit contenir, clarifions ce qu'il ne doit surtout pas être.

Un cahier des charges MSP n'est pas :

• Un document technique de 50 pages rédigé par votre équipe TI interne
• Une liste de souhaits technologiques déconnectée de vos objectifs d'affaires
• Un copier-coller d'un modèle générique trouvé sur le web
• Un exercice à faire après avoir reçu les premières soumissions

C'est un document stratégique, court et opérationnel, qui traduit vos enjeux d'affaires réels en critères de sélection concrets. Il se construit avant d'approcher le marché et non pendant.



Les 3 questions fondamentales à répondre d'abord

Dans notre pratique d'accompagnement, on revient toujours aux mêmes trois questions. Elles ne sont pas techniques. Elles sont stratégiques.

1. Quels sont vos vrais enjeux TI pour les 24 prochains mois?

Pas ce que vous voulez acheter. Ce que vous devez résoudre. Est-ce que votre infrastructure vieillit et crée des risques de panne? Est-ce que vous avez des obligations de conformité (Loi 25, assurances cybersécurité, contrats clients) que votre configuration actuelle ne respecte pas? Est-ce que vous prévoyez une croissance, une acquisition ou un virage numérique qui nécessitera un MSP capable de scaler avec vous?

À noter : depuis septembre 2023, toutes les entreprises québécoises sont soumises aux obligations de la Loi 25, incluant la nomination d'un responsable de la protection des renseignements personnels et des exigences strictes en matière de gestion des incidents. (Source : https://www.secur01.com/blog/cybersecurite-2025-ce-que-les-pme-quebecoises-doivent-savoir-pour-se-proteger) Votre MSP doit comprendre ces obligations et être en mesure de vous aider à les documenter.

2. Quelles sont vos limites non négociables?

Chaque PME a des contraintes qui lui sont propres. Budget mensuel maximal par utilisateur (comptez généralement entre 80 $ et 150 $/utilisateur/mois pour un service complet au Québec). Disponibilité requise : avez-vous besoin d'un support 24/7 ou les heures ouvrables suffisent-elles? Hébergement des données : votre secteur ou vos contrats exigent-ils que les données restent au Canada? Langue de service : Le support doit-il être disponible en français?

Ces limites ne sont pas des préférences. Ce sont des critères éliminatoires. Les intégrer dès le départ vous évite de perdre du temps sur des fournisseurs qui ne peuvent pas y répondre.

3. Comment allez-vous mesurer que ça fonctionne concrètement?

C'est la question la plus souvent escamotée. On signe un contrat, on espère que tout ira bien et on attend qu'une panne survienne pour évaluer si le MSP est à la hauteur. Ce n'est pas une gouvernance, c'est de la chance.

Un bon cahier des charges définit à l'avance les indicateurs de performance (KPI) qui encadreront la relation : temps de réponse garanti selon la criticité des incidents, taux de disponibilité des systèmes, fréquence des rapports de performance, mécanisme de révision annuelle. Ces éléments doivent se retrouver dans l'accord de niveau de service (SLA), et votre MSP doit accepter d'être évalué dessus.

Les 5 sections essentielles d'un cahier des charges MSP

Une fois ces trois questions bien répondues, le document se structure naturellement autour de cinq sections.

Section 1 — Portrait de l'organisation

Taille de l'entreprise, secteur d'activité, nombre de sites, profil des utilisateurs (bureau, terrain, télétravail), systèmes critiques en place (ERP, CRM, outils métier). Plus votre MSP comprend votre réalité, plus son offre sera pertinente.

Section 2 — Enjeux et priorités d'affaire

Les 2 à 4 enjeux TI prioritaires pour les 24 prochains mois, avec le contexte d'affaires derrière chacun. Exemple : « Nous avons subi deux pannes majeures en 2024 qui ont interrompu la production pendant plus de 4 heures. La résilience opérationnelle est notre priorité numéro un. »

Section 3 — Périmètre de services attendus

Qu'est-ce que vous souhaitez confier au MSP? Gestion des postes de travail, des serveurs, de la cybersécurité, des sauvegardes, du réseau, du cloud? Quel est le niveau de support attendu, réactif seulement ou proactif avec surveillance continue? Précisez ce qui est inclus et ce qui reste à l'interne ou chez d'autres fournisseurs.

Section 4 — Critères de sélection et limites non négociables

Budget, disponibilité, langue, localisation des données, certifications requises (ex. ISO 27001, SOC 2, partenariats Microsoft/Cisco), références dans votre secteur. C'est ici que vous traduisez vos contraintes en critères objectifs et mesurables.

Section 5 — Indicateurs de succès et gouvernance

Les KPI qui encadreront la relation. Temps de réponse cibles selon la criticité. Fréquence et format des rencontres de bilan. Mécanisme d'escalade. Processus de révision contractuelle. Ce n'est pas de la bureaucratie, c'est ce qui vous permet de maintenir le contrôle de votre TI même quand tout est externalisé.

Le rôle de l'accompagnement dans la construction du cahier des charges

Construire ce document seul, c'est possible. Mais c'est aussi là que la plupart des PME laissent des angles morts.

On ne sait pas toujours ce qu'on ne sait pas. Un dirigeant qui n'a jamais géré une migration cloud ou une refonte de cybersécurité ne sait pas nécessairement quelles questions poser à un MSP — ni quelles clauses surveiller dans un contrat de services gérés.

C'est précisément ce que nous faisons chez Référence TI inc. : travailler avec vous en amont pour traduire vos enjeux d'affaires en critères de sélection structurés, puis vous accompagner dans l'interprétation des offres reçues via la plateforme Référence B2B. Pas pour choisir à votre place, mais pour vous donner la clarté nécessaire pour choisir vous-même, en toute confiance.

Selon Genatec, près de 60% des dirigeants de PME canadiennes déclarent avoir de la difficulté à adopter de nouvelles technologies. Une donnée qui illustre bien pourquoi l'accompagnement humain reste essentiel, même avec les meilleures plateformes de jumelage sur le marché. (Source : https://www.genatec.com/fr/blog/pme-defis-technologiques-en-2025-et-comment-les-surmonter)

Par où commencer ? C'est maintenant !

Vous n'avez pas besoin de 3 semaines pour construire un premier cahier des charges fonctionnel. Dans notre pratique, on peut en bâtir un solide en moins de deux heures avec un dirigeant qui connaît bien son organisation. Il faut, toutefois, avoir les bonnes questions en main.

Si vous préparez un processus de sélection MSP dans les prochains mois ou si vous vous demandez si votre MSP actuel répond vraiment à vos besoins, c'est le bon moment pour avoir cette conversation.

Contactez-nous. Nous prendons 30 minutes pour regarder votre situation avec vous, sans engagement.

Référence TI inc. accompagne les dirigeants de PME québécoises dans leurs décisions TI — de la sélection du MSP à la gouvernance des opérations, en passant par l'IA et le développement des talents. Référence B2B inc., sa plateforme de jumelage, identifie jusqu'à trois fournisseurs MSP certifiés alignés sur vos besoins en moins de 48 heures.