L’offre est devenue pléthorique. Le canton de Genève concentre aujourd’hui plus de 5 000 sociétés actives dans l’économie numérique, des géants internationaux aux indépendants installés dans un studio à Plainpalais. Pour le dirigeant d’une PME genevoise qui doit confier son informatique à un prestataire, ce dynamisme se traduit par une difficulté nouvelle : trier le sérieux du superficiel.
Le sujet n’est plus secondaire
Selon l’étude PME Cybersécurité 2025 menée par digitalswitzerland, La Mobilière et la FHNW, environ 8 PME suisses sur 10 confient déjà tout ou partie de leur infrastructure à un prestataire externe. Le problème n’est donc pas l’externalisation, mais la qualité du choix.
Et là, un constat fait réfléchir : plus de la moitié des dirigeants interrogés ne savent pas si leur prestataire IT dispose d’une certification de sécurité reconnue. Le décalage devient coûteux. L’Office fédéral de la cybersécurité a recensé environ 65 000 cyberincidents en Suisse en 2025.
Depuis l’entrée en vigueur de la loi révisée sur la protection des données (revDSG) en septembre 2023, puis de l’obligation de signaler les cyberattaques à l’OFCS sous 24 heures en avril 2025, le prestataire informatique n’est plus un simple exécutant technique. Il devient un partenaire de conformité, dont les manquements peuvent engager directement la responsabilité juridique de l’entreprise cliente.
Pourquoi le local pèse plus lourd qu’on ne le pense
Un prestataire genevois connaît le tissu local. Les attentes d’un client du secteur bancaire ou du négoce ne ressemblent pas à celles d’une PME industrielle de Plan-les-Ouates. C’est précisément ce que recouvre le rôle d’une entreprise informatique à Genève comme Avepto, à taille humaine, capable de combiner proximité géographique, connaissance du marché local et redondance d’équipe qu’un freelance ne peut pas garantir.
Les avantages concrets d’un prestataire local
- Intervention sur site rapide : à Genève, une intervention sous quatre heures peut représenter la différence entre une demi-journée de manque à gagner et plusieurs dizaines de milliers de francs envolés.
- Connaissance des secteurs cantonaux : banque privée, négoce, horlogerie, organisations internationales, chacun a ses propres exigences de sécurité et de disponibilité.
- Compréhension du cadre juridique suisse : revDSG, obligations OFCS, spécificités cantonales en matière de protection des données.
- Disponibilité humaine : un échange en face à face reste plus efficace qu’un ticket support à distance pour les décisions stratégiques.
Un écosystème en pleine professionnalisation
La Trust Valley, pôle de compétences en cybersécurité réunissant Genève et Vaud, regroupe les acteurs sérieux du domaine. La nouvelle stratégie économique 2035 du Conseil d’État genevois, présentée fin 2025, identifie l’économie numérique comme l’un des trois secteurs émergents prioritaires du canton. Cette dynamique accélère la montée en gamme du marché et écarte progressivement les acteurs amateurs.
Les critères qui font vraiment la différence
Cinq éléments distinguent un partenaire industrialisé d’un prestataire artisanal. Aucun n’est négociable pour une PME qui veut sécuriser son activité sur la durée.
1. La couverture du contrat
Un partenaire sérieux propose une supervision permanente, pas seulement aux heures ouvrables. Les pannes ne respectent ni les week-ends, ni les jours fériés, ni les vacances scolaires. Un contrat qui se limite à du 8h-18h en semaine laisse l’entreprise vulnérable près de 70% du temps.
2. La politique de mises à jour
Une statistique mérite qu’on s’y arrête : 9 cyberattaques réussies sur 10 exploitent des failles déjà corrigées par les éditeurs, mais que l’entreprise n’a jamais installées. Un prestataire qui ne peut pas démontrer une politique de patching automatisée et documentée laisse littéralement les portes ouvertes.
3. Les certifications à exiger
L’Alliance Sécurité Digitale Suisse recommande explicitement aux PME de vérifier ces certifications avant tout engagement contractuel :
- ISO 27001 : norme internationale sur la sécurité de l’information.
- CyberSeal : label suisse de confiance pour les prestataires informatiques.
- Certifications constructeurs : Microsoft 365, Apple via MDM, Infomaniak K Suite, selon les outils utilisés par la PME.
4. La transparence du SLA et de la sortie
Un contrat qui ne chiffre pas le taux de disponibilité garanti, le temps d’intervention maximum et les pénalités en cas de manquement révèle un service non industrialisé. Le pendant logique, c’est la clause de sortie. Que récupère le client si la collaboration s’arrête ? La documentation système est-elle remise dans un format exploitable ? Les mots de passe et les accès sont-ils restitués ? Ces points se négocient avant de signer, jamais après.
5. La taille du prestataire
Le bon équilibre se trouve généralement chez les structures à taille humaine. Une grande structure offre des moyens techniques mais peu d’attention individuelle. Un indépendant offre de la proximité mais aucune redondance en cas de maladie ou de départ. Entre les deux, des entreprises de 5 à 30 collaborateurs apportent ce qu’il faut de continuité et de connaissance fine du client.
Le piège des deux extrêmes
Beaucoup de PME genevoises tombent dans l’un des deux écueils classiques.
Le grand intégrateur international
Capgemini, Bechtle ou Merkle rassurent sur le papier. Ces structures emploient plusieurs centaines de personnes en Suisse romande, mais leur modèle cible prioritairement les grandes entreprises et les organisations internationales. Une PME de 30 collaborateurs y devient rapidement un dossier secondaire, géré au tarif standard sans connaissance fine de son métier.
Le freelance solo
Le calcul tient tant que rien ne casse. Le jour où le freelance tombe malade, part en vacances ou quitte le marché, la PME se retrouve sans documentation accessible, sans accès aux mots de passe critiques et sans plan B immédiat. Le coût apparent est faible, le coût réel se révèle au pire moment.
Ce que les prochaines années vont exiger de plus
La pression réglementaire continue de monter. Le coût d’un mauvais choix de prestataire ne se mesure plus seulement en heures de panne ou en factures de réparation, mais en risque juridique et en obligations de signalement.
Le calendrier réglementaire à connaître
- Septembre 2023 : entrée en vigueur de la loi révisée sur la protection des données (revDSG), applicable à toutes les entreprises traitant des données personnelles en Suisse.
- Avril 2025 : obligation de signaler les cyberattaques à l’OFCS sous 24 heures pour les infrastructures critiques.
- Octobre 2025 : entrée en vigueur des sanctions pour manquement à cette obligation.
- 2027 : application de la Cyber Resilience Act européenne, qui concernera les PME suisses exportant ou intégrant des composants numériques européens.
Pour le dirigeant genevois, le message est clair. L’offre informatique va continuer à monter en gamme et les acteurs amateurs vont disparaître ou se faire absorber. Choisir son entreprise informatique à Genève en 2026 n’a plus grand-chose à voir avec le réflexe de demander à un proche de venir réparer le serveur. C’est un choix stratégique qui engage la conformité, la continuité opérationnelle et la valeur de l’entreprise pour les cinq à dix prochaines années.
Le temps passé à le faire correctement reste, de très loin, le meilleur retour sur investissement informatique d’une PME romande.
