Infogérance au Maroc : Guide Complet pour les PME en 2026
Infogérance au Maroc 2026 : coûts réels en MAD, services inclus, critères de choix d'un prestataire et cadre réglementaire. Guide pour les PME marocaines.
Un directeur financier d'une PME de distribution à Kénitra a posé la question sans détour lors d'un rendez-vous commercial l'année dernière : "Combien me coûte réellement de ne rien faire ?" Son responsable informatique venait de partir chez un grand groupe, débauché avec une proposition à 40 000 MAD par mois. Son infrastructure avait subi deux pannes en six mois. Et personne dans l'équipe ne savait où étaient stockées les sauvegardes.
Cette situation n'est pas un cas isolé. Au Maroc, les PME représentent 99,6 % du tissu économique selon l'OMTPME, et la très grande majorité d'entre elles gèrent leur informatique soit sans équipe dédiée, soit avec une ou deux personnes soumises à une pression de recrutement croissante. L'infogérance (l'externalisation de tout ou partie de la gestion informatique à un prestataire spécialisé) répond directement à ce problème.
Ce guide couvre tout ce que vous devez savoir pour prendre une décision éclairée sur l'infogérance au Maroc en 2026 : les modèles existants, les coûts réels (internes vs externalisés), les services inclus dans un contrat type, les critères pour choisir le bon prestataire, et les obligations légales qui s'appliquent à lui.
Qu'est-ce que l'infogérance et pourquoi les PME marocaines s'y tournent en 2026
Définition
L'infogérance désigne la prise en charge contractuelle, par un prestataire externe, de la gestion opérationnelle d'une partie ou de la totalité du système informatique d'une entreprise. Le terme vient du français "informatique + gérance" : gérer l'informatique comme on gère un bien immobilier confié à un mandataire.
Ce n'est pas la même chose que la maintenance informatique à la demande (interventions ponctuelles), ni que le simple support helpdesk. Un contrat d'infogérance prévoit des engagements de service (SLA), une supervision continue, et une responsabilité assumée sur le périmètre défini.
Les quatre modèles d'infogérance au Maroc
| Modèle | Ce qui est externalisé | Convient à |
|---|---|---|
| Infogérance complète | Toute l'infrastructure et le support utilisateur | PME sans équipe IT interne |
| Infogérance partielle | Certaines fonctions (réseau, sécurité, serveurs) | PME avec un technicien interne |
| Infogérance cloud | Gestion Azure, AWS, Microsoft 365, sauvegardes cloud | Entreprises en cours de migration cloud |
| Infogérance applicative | Gestion d'un ERP, CRM ou application métier spécifique | Entreprises avec un applicatif critique |
Pour l'infogérance cloud, découvrez notre offre cloud hybride qui couvre la gestion Azure, AWS et les environnements Microsoft 365. Si vous envisagez une bascule complète vers le cloud, notre guide de la migration cloud pour PME marocaines détaille les stratégies 6R, les coûts en MAD et la conformité au décret 2-24-921. Pour la couverture des risques majeurs (cyberattaque, sinistre site), notre guide PCA/PRA pour PME marocaines couvre la méthodologie ISO 22301 et les coûts de mise en place.
Ces modèles ne sont pas mutuellement exclusifs. Une PME peut, par exemple, confier la gestion de son réseau et de ses serveurs à un prestataire tout en gardant son ERP en interne, ou l'inverse.
Pourquoi 2026 marque un tournant au Maroc
Trois facteurs se combinent pour accélérer l'adoption de l'infogérance dans les PME marocaines.
La pénurie de talent IT. Le marché marocain du numérique souffre d'un déficit structurel d'ingénieurs et de techniciens qualifiés. Selon les chiffres de la stratégie Maroc Digital 2030, le Maroc ne formait que 14 000 professionnels numériques par an en 2022, un chiffre que la stratégie cherche à porter à 100 000 par an d'ici 2030. L'écart entre l'offre et la demande reste très important, et les profils qualifiés sont activement approchés par des employeurs étrangers ou des grandes entreprises capables de surenchérir. Pour une PME de 30 ou 50 employés, recruter et retenir un bon administrateur système est devenu un vrai défi.
La prise de conscience cybersécurité post-CNSS. La violation des données de la Caisse Nationale de Sécurité Sociale en avril 2025, qui a exposé les informations de près de 2 millions de salariés et 500 000 entreprises, a rendu concret un risque que beaucoup de dirigeants traitaient jusqu'alors comme abstrait. Depuis cet incident, la question "qui sécurise notre informatique ?" est devenue une préoccupation de direction, pas seulement de technicien.
La pression réglementaire. La loi 05-20 sur la cybersécurité et le décret 2-24-921 sur les prestataires cloud créent des obligations nouvelles qui nécessitent une expertise que la plupart des PME n'ont pas en interne. Un prestataire d'infogérance qualifié les aide à rester conformes sans constituer une équipe juridico-technique propre.
Combien coûte l'infogérance au Maroc en 2026
C'est souvent la première question, et c'est légitime. Mais avant de parler des tarifs d'un prestataire, il faut d'abord comprendre ce que coûte réellement une équipe IT interne, parce que c'est la vraie alternative à l'infogérance.
Le coût d'une équipe IT interne
La plupart des dirigeants ne calculent que le salaire brut. Le coût employeur réel inclut les charges sociales (CNSS, AMO, CIMR selon les cas), les congés payés, la formation continue, le matériel de travail, et la couverture en cas d'absence. En règle générale, le coût employeur total représente 1,4 à 1,5 fois le salaire brut.
| Profil | Salaire brut mensuel (MAD) | Coût employeur annuel estimé (MAD) |
|---|---|---|
| Technicien informatique junior | 5 000 - 8 000 | 84 000 - 144 000 |
| Administrateur système confirmé | 15 000 - 30 000 | 252 000 - 504 000 |
| Responsable IT / DSI | 20 000 - 50 000 | 336 000 - 840 000 |
Une PME qui veut couvrir correctement son infrastructure a besoin d'au minimum deux personnes : un technicien pour le support quotidien et un administrateur pour les serveurs et la sécurité. Sans compter la couverture week-end, les astreintes, et les remplacements en cas d'arrêt maladie.
Une équipe interne minimale viable (technicien + administrateur système) revient ainsi à 336 000 à 648 000 MAD par an, avant même de parler des outils de monitoring, des licences de sécurité, ou des abonnements cloud.
Et ce chiffre n'inclut pas la capacité à gérer une crise sérieuse, comme un ransomware ou une panne serveur critique, qui nécessite souvent des compétences spécialisées qu'un ou deux techniciens ne peuvent pas couvrir seuls.
Les tarifs du marché de l'infogérance au Maroc
Le marché marocain n'est pas aussi standardisé qu'en Europe, mais les fourchettes suivantes sont représentatives des offres disponibles :
| Niveau de service | Fourchette tarifaire | Ce que cela couvre généralement |
|---|---|---|
| Entrée de gamme | 2 000 MAD/mois (jusqu'à 10 utilisateurs) + 200 MAD/utilisateur supplémentaire | Support helpdesk, maintenance de base |
| Intermédiaire | 300 - 500 MAD/utilisateur/mois | Helpdesk + supervision serveurs + sauvegardes |
| Premium | 500 - 800 MAD/utilisateur/mois | Supervision 24/7, sécurité, PRA, cloud management |
| DSI externalisée | Forfait mensuel + régie | Pilotage stratégique IT en plus des opérations |
Pour une PME de 30 utilisateurs, le coût mensuel d'une infogérance intermédiaire se situe entre 9 000 et 15 000 MAD, soit 108 000 à 180 000 MAD par an. C'est 2 à 4 fois moins qu'une équipe interne, pour un niveau de couverture souvent supérieur.
Pour estimer votre cas précis (nombre de postes, serveurs, sites, niveau de SLA), notre calculateur de coût d'infogérance compare en 30 secondes le coût d'un prestataire externe avec celui d'une équipe IT interne équivalente.
2-4x
Économie vs équipe interne
200-800 MAD
Coût par utilisateur/mois
99,6%
PME dans le tissu économique
336K+ MAD
Coût annuel équipe IT minimale
Pour les services d'infogérance de RMG Solutions, le coût varie selon le périmètre exact, le nombre d'utilisateurs et les sites couverts. Nous fournissons un devis personnalisé après un audit initial de votre infrastructure.
Ce que l'infogérance inclut que le calcul salarial oublie
Au-delà de l'économie sur la masse salariale, un prestataire d'infogérance apporte des ressources impossibles à financer en interne pour une PME :
- Accès à une équipe pluridisciplinaire (réseau, sécurité, cloud, applicatif)
- Outils de monitoring et SIEM professionnels mutualisés sur plusieurs clients
- Astreintes et interventions en dehors des heures ouvrées
- Gestion du cycle de vie du matériel (obsolescence, remplacement planifié)
- Veille réglementaire et adaptation aux nouvelles obligations légales
Les services inclus dans un contrat d'infogérance
Tous les contrats ne se ressemblent pas. Voici ce qu'un contrat sérieux devrait couvrir, et comment distinguer l'essentiel du superflu.
Services de base (socle minimum)
| Service | Ce que cela signifie concrètement |
|---|---|
| Helpdesk / support utilisateur | Prise en charge des incidents et demandes des utilisateurs par téléphone, email ou ticketing |
| Administration serveurs on-premise (Windows/Linux) | Gestion des mises à jour, des configurations, de la santé des serveurs |
| Gestion réseau | Configuration et supervision des switches, routeurs, firewall, VPN |
| Sauvegardes automatisées | Sauvegarde des données critiques avec tests de restauration réguliers |
| Supervision continue | Surveillance 24/7 des performances et de la disponibilité avec alertes |
| Rapports mensuels | Compte-rendu d'activité, incidents, recommandations |
Services avancés (selon le niveau de contrat)
| Service | Ce que cela signifie concrètement |
|---|---|
| Cybersécurité (EDR, audit) | Protection des postes de travail, détection des menaces, audits périodiques |
| Plan de Reprise d'Activité (PRA) | Procédures et tests pour reprendre l'activité en cas d'incident majeur |
| Gestion cloud (M365, Azure, AWS) | Administration des licences, configurations, politiques de sécurité cloud |
| Gestion du parc informatique | Inventaire, renouvellement, configuration des postes et périphériques |
| DSI externalisée | Pilotage stratégique du SI, participation aux comités de direction, roadmap IT |
La DSI externalisée mérite une explication. Pour les PME de 20 à 100 employés qui n'ont pas les moyens d'embaucher un DSI à 25 000-50 000 MAD par mois, un prestataire peut assurer cette fonction à temps partiel : revue trimestrielle de la roadmap IT, gestion des relations avec les éditeurs de logiciels (Odoo, Microsoft, fournisseurs cloud), validation des choix d'architecture, et pilotage du budget informatique. Le prestataire participe aux comités de direction sur les sujets IT, comme un DSI interne le ferait, mais à une fraction du coût. Au Maroc, cette formule est encore rare, ce qui explique pourquoi peu de PME ont une stratégie IT formalisée.
La gestion des services managés de RMG Solutions couvre l'ensemble du socle minimum avec un niveau de supervision continue, plus des options cybersécurité qui peuvent être activées selon les besoins de chaque client.
Comprendre les SLA (Service Level Agreements)
Le SLA est le contrat dans le contrat : il fixe les engagements chiffrés du prestataire. Voici les indicateurs standards du marché marocain :
| Indicateur | Standard du marché | Ce à quoi vous devriez aspirer |
|---|---|---|
| Temps de réponse aux incidents critiques | 1 à 4 heures | 1 heure maximum |
| Disponibilité des systèmes (uptime) | 99,5 % | 99,9 % pour les systèmes critiques |
| Intervention sur site | J+1 (jour ouvrable suivant) | J0 ou J+1 selon la criticité |
| Résolution des incidents non critiques | 24 à 72 heures | 24 heures |
| Rapport mensuel | Mensuel | Mensuel avec revue trimestrielle |
Un SLA sans pénalités n'est qu'une déclaration d'intention. Vérifiez que le contrat prévoit des pénalités financières en cas de non-respect des délais sur les incidents critiques.
Besoin d'un accompagnement ?
Laissez vos coordonnées, un expert RMG Solutions vous recontacte sous 24h.
Comment choisir son prestataire d'infogérance au Maroc
Choisir un prestataire d'infogérance, c'est confier une partie critique de son entreprise à un tiers pour plusieurs années. Ce choix mérite une analyse rigoureuse.
Les 9 critères à évaluer
1. La couverture géographique réelle. Un prestataire basé à Casablanca qui promet des interventions sur site en 4 heures à Tanger ou à Laâyoune, c'est à vérifier. Demandez où sont les techniciens terrain, pas seulement les administrateurs systèmes.
2. L'équipe technique et ses certifications. Les certifications Microsoft (MCSA, Azure Administrator), Cisco (CCNA), ou les qualifications DGSSI pour les prestataires de cybersécurité sont des indicateurs tangibles de niveau technique. Une équipe de deux personnes qui gère 50 clients ne peut pas délivrer un service de qualité.
3. Les SLA contractuels et les pénalités associées. Un SLA sans pénalité n'engage que ceux qui y croient. Exigez des engagements contractuels chiffrés, avec des montants de pénalité définis par niveau de manquement.
4. Les outils de supervision utilisés. Un prestataire sérieux utilise des outils professionnels de Remote Monitoring and Management (RMM) et de ticketing. Demandez-leur de vous montrer le tableau de bord en temps réel de votre infrastructure. Si ce n'est pas possible, c'est un signal d'alerte.
5. La capacité en cybersécurité. L'infogérance sans dimension sécurité est une promesse incomplète en 2026. Vérifiez que le prestataire inclut au minimum la gestion des mises à jour de sécurité, la protection EDR sur les postes, et une procédure de gestion de crise. Nos services de cybersécurité s'intègrent nativement à l'infogérance pour couvrir cette dimension.
6. La gestion du PRA/PCA. Un Plan de Reprise d'Activité sur le papier vaut peu si les procédures ne sont jamais testées. Demandez quand a eu lieu le dernier test de restauration documenté pour un client similaire au vôtre.
7. La conformité réglementaire. Pour les entités qui traitent des données personnelles (toutes les PME qui ont des clients, des employés, des fournisseurs), le prestataire doit être capable de décrire comment il se conforme à la loi 09-08 et à la CNDP. Pour les secteurs sensibles, la conformité à la loi 05-20 est également à vérifier.
8. La transparence tarifaire. Méfiez-vous des offres où le tarif de base est attractif mais où chaque intervention supplémentaire est facturée à l'heure. Demandez un contrat forfaitaire clair avec la liste exhaustive de ce qui est inclus et de ce qui ne l'est pas.
9. Les références clients vérifiables. Demandez deux ou trois références dans votre secteur ou dans une taille d'entreprise similaire, et appelez-les réellement. Un prestataire qui hésite à fournir des références a quelque chose à cacher.
Les signaux d'alerte à repérer
- Contrat sans SLA chiffré ou sans pénalité en cas de manquement
- Équipe technique trop petite pour le nombre de clients annoncé (calculez le ratio clients/techniciens)
- Absence d'outils de monitoring professionnels (RMM, SIEM)
- Impossibilité d'expliquer comment ils géreraient une attaque ransomware sur votre réseau
- Refus de clause de réversibilité (pouvoir récupérer vos données et configurations si vous changez de prestataire)
Questions à poser avant de signer
Voici cinq questions concrètes à poser lors de l'évaluation d'un prestataire :
- "Combien de techniciens terrain avez-vous en dehors de Casablanca ?" (si vous êtes à Rabat, Fès, Agadir, etc.)
- "Quel outil RMM utilisez-vous, et pouvez-vous me montrer une démo de mon infrastructure supervisée ?"
- "Comment se passe concrètement une nuit de ransomware chez un de vos clients : qui appelle qui, et en combien de temps ?"
- "Quelle est votre procédure si votre propre équipe est indisponible un jour férié ?"
- "La clause de réversibilité est-elle incluse dans le contrat standard ?"
La mise en place d'une architecture réseau solide avant le transfert à un prestataire d'infogérance facilite aussi cette transition. Un bon prestataire commence toujours par un audit de l'existant.
Le cadre réglementaire : ce que votre prestataire doit respecter
L'infogérance n'est pas une zone de non-droit. Trois textes majeurs structurent les obligations légales applicables à votre prestataire IT au Maroc.
Loi 09-08 : protection des données personnelles
La loi 09-08, en vigueur depuis 2009 et supervisée par la CNDP, impose aux entreprises qui traitent des données personnelles de respecter des règles strictes de sécurité et de confidentialité. Dès lors qu'un prestataire d'infogérance accède à vos systèmes (et donc potentiellement aux données de vos clients, employés ou partenaires), il devient un sous-traitant au sens de la loi.
Ce que cela implique pour vous :
- Votre contrat d'infogérance doit inclure des clauses de confidentialité et de sécurité des données
- Le prestataire ne peut pas transférer vos données hors du Maroc sans autorisation de la CNDP
- Vous restez responsable en tant que "responsable de traitement". Vous ne transférez pas cette responsabilité au prestataire.
- Les sanctions en cas de non-conformité vont de 10 000 à 300 000 MAD d'amende selon la gravité de l'infraction, plus des peines d'emprisonnement pour les personnes physiques responsables
Loi 05-20 : cybersécurité et infrastructures critiques
La loi 05-20 du 25 juillet 2020 établit les règles de sécurité applicables aux systèmes d'information de l'État, des collectivités, des établissements publics et des infrastructures d'importance vitale (IIV). Si votre entreprise opère dans un secteur considéré comme critique (énergie, eau, télécommunications, finance, santé, transport), vous êtes potentiellement soumis à ces obligations.
L'article clé pour les PME externalisées : en cas d'externalisation des services de cybersécurité, le gestionnaire d'une infrastructure critique doit utiliser des prestataires qualifiés par la DGSSI. Ce n'est pas une recommandation, c'est une obligation légale.
Pour les entreprises non classées IIV, la loi 05-20 s'applique indirectement via vos donneurs d'ordre publics ou vos partenaires du secteur critique. Si vous leur fournissez des services, leurs exigences de sécurité se répercutent sur vous.
Décret 2-24-921 : cloud et données sensibles
Ce décret, signé le 22 octobre 2024 et publié au Bulletin Officiel le 20 février 2025, est le texte le plus récent et le plus impactant pour les prestataires cloud au Maroc.
Il impose aux entités publiques et aux opérateurs de systèmes sensibles qui externalisent leur informatique vers le cloud d'utiliser des prestataires qualifiés par la DGSSI. Les exigences de qualification sont strictes :
- Niveau 1 : entreprise constituée au Maroc, avec tous les systèmes opérationnels et commerciaux sur le territoire national
- Niveau 2 : majorité du capital détenue par des Marocains, traitement et stockage au Maroc, gestion et supervision depuis le Maroc
Le décret prévoit une période de transition de 24 mois à compter de sa publication, soit jusqu'à février 2027 pour les entités concernées. Le référentiel de qualification des prestataires cloud a été publié en août 2025 par arrêté du Chef du Gouvernement.
Pour les PME du secteur privé non classées dans les secteurs sensibles, ce décret ne s'applique pas directement. Mais il constitue un signal fort sur la direction que prend la politique numérique marocaine. Choisir un prestataire d'infogérance capable d'opérer dans ce cadre vous prépare aux exigences futures de vos clients du secteur public ou des secteurs régulés.
Pour aller plus loin sur les obligations de sécurité informatique, notre guide sur la cybersécurité des PME marocaines détaille les menaces actuelles et le plan d'action recommandé.
Ce qu'il faut mettre dans le contrat d'infogérance
Un contrat d'infogérance mal rédigé est une source de litiges. Voici les clauses à vérifier avant de signer.
Clauses obligatoires
Périmètre précis. Liste exhaustive des équipements, applications et sites couverts. Tout ce qui n'est pas listé est hors périmètre, et donc facturé en supplément.
SLA chiffrés avec pénalités. Temps de réponse, temps de résolution, disponibilité garantie pour chaque niveau d'incident, avec les pénalités financières associées.
Procédure de gestion des incidents majeurs. Qui prévient qui, dans quel délai, avec quelle chaîne d'escalade. Ce n'est pas le moment d'improviser quand les serveurs sont tombés un lundi matin.
Clause de confidentialité et protection des données. Indispensable pour la conformité loi 09-08. Le prestataire doit s'engager à ne pas transférer vos données hors du Maroc sans autorisation de la CNDP.
Clause de réversibilité. En fin de contrat, comment récupérez-vous vos données, vos configurations, vos accès ? Dans quel délai et sous quel format ? Un prestataire qui refuse cette clause cherche à vous verrouiller.
Procédure de sortie. Comment se passe la transition vers un autre prestataire si vous souhaitez changer ? Y a-t-il un accompagnement prévu, et à quel coût ?
Reporting. Fréquence, format et contenu des rapports d'activité. Exigez au minimum un rapport mensuel avec les indicateurs SLA, les incidents traités, et les recommandations.
L'approche RMG Solutions
Votre DSI externalise, base a Rabat. Les prestataires d'infogerance classiques gerent vos serveurs et repondent aux tickets. RMG Solutions va plus loin : nous assurons la fonction complete de direction informatique pour les PME qui n'ont pas les moyens ou le besoin d'un DSI a temps plein. Serveurs on-premise et cloud hybride, architecture reseau, securite des postes et du perimetre, support utilisateurs, gestion des licences Microsoft et Odoo, et pilotage strategique du SI avec participation a vos comites de direction -- un seul contrat, un seul SLA, un seul interlocuteur. Ce qui nous differencie sur le marche marocain : la securite n'est pas un supplement facture a part. Nos services d'infrastructure integrent nativement la couche cybersecurite (EDR, monitoring, reponse aux incidents), parce que gerer une infrastructure sans la securiser n'a pas de sens en 2026. Bases a Hay Riad (Rabat), nos techniciens interviennent le jour meme sur site et en une heure a Casablanca. Nos tarifs sont publies en dirhams, sans surprise.
Contactez-nous pour un audit gratuit de 30 minutes de votre infrastructure.
Questions Fréquentes
Quelle est la différence entre l'infogérance et la maintenance informatique classique ?
La maintenance informatique classique est réactive : vous appelez un technicien quand quelque chose ne fonctionne pas, vous payez l'intervention, et le prestataire n'a aucun engagement sur la disponibilité de votre système. L'infogérance est proactive et contractuelle : le prestataire surveille votre infrastructure en continu, anticipe les problèmes, et s'engage sur des délais de réponse et de résolution via un SLA. C'est fondamentalement différent dans la philosophie et dans la relation commerciale.
L'infogérance est-elle adaptée aux PME marocaines de moins de 20 employés ?
Oui, à condition de choisir une formule adaptée à cette taille. Pour une PME de 10 à 20 personnes, une infogérance de base (helpdesk, sauvegardes, supervision des postes) peut commencer à des tarifs accessibles. L'économie par rapport à un technicien interne à temps plein reste significative, même à cette taille. L'essentiel est de ne pas payer pour des services dont vous n'avez pas besoin. Un bon prestataire propose des formules modulables.
Que se passe-t-il si je veux changer de prestataire d'infogérance en cours de route ?
C'est précisément pour cela que la clause de réversibilité est indispensable dans le contrat. Un prestataire sérieux s'engage à documenter votre infrastructure, à vous remettre toutes les configurations, tous les accès et toutes les données dans un délai défini, et à assurer une période de transition vers le nouveau prestataire. Si cette clause n'est pas dans le contrat, négociez-la avant de signer ou changez de prestataire.
Mon prestataire d'infogérance est-il soumis à la loi 09-08 sur les données personnelles ?
Indirectement, oui. Vous restez responsable de traitement au sens de la loi 09-08, et votre prestataire est un sous-traitant qui accède à vos données. Le contrat doit inclure des clauses de confidentialité, de sécurité des données et d'interdiction de transfert hors du Maroc sans autorisation de la CNDP. En cas de violation de données chez votre prestataire, c'est votre entreprise qui peut être sanctionnée, d'où l'importance de choisir un prestataire qui comprend ces obligations.
Comment évaluer si un prestataire d'infogérance est techniquement compétent ?
Trois indicateurs concrets : les certifications de l'équipe (Microsoft, Cisco, DGSSI), les outils utilisés (demandez à voir le tableau de bord de supervision en temps réel), et les références clients dans votre secteur ou votre taille d'entreprise. Demandez également comment ils gèrent concrètement un incident de sécurité. Une réponse précise et structurée indique un vrai process ; une réponse vague indique qu'ils improviseraient. Enfin, vérifiez le ratio clients/techniciens : une équipe de trois personnes qui gère 100 clients ne peut pas délivrer des SLA sérieux.
Par RMG Solutions
Intégrateur Odoo Certifié | Cybersécurité | Infrastructure | GRC
Dernière mise à jour : 30 avril 2026