ITIL v5 et tendances DSI 2026 : 5 signaux que votre direction IT ne peut plus ignorer

71% des DSI de PME considèrent l'IA comme essentielle pour leur ITSM. Ce chiffre du rapport OTRS "State of SMB IT 2026" n'est pas un buzz de plus. C'est le symptôme d'une transformation profonde du rôle de la DSI, portée par ITIL v5, l'IA agentique et la convergence des plateformes.

Si vous êtes DSI ou responsable IT dans une PME ou ETI française, ces 5 tendances vont directement impacter votre quotidien dans les 12 prochains mois. Voici ce qu'il faut comprendre, et surtout, ce qu'il faut faire.

1. 🤖 L’IA agentique remplace le chatbot FAQ

Oubliez les chatbots qui répondent "avez-vous essayé de redémarrer ?". En avril 2026, l'entreprise britannique Fortem a déployé une plateforme ITSM à base d'IA agentique (Servicely) avec un objectif clair : réduire de 50% le volume de tickets et automatiser 40% des tâches manuelles du service desk.

La différence avec un chatbot classique ? L'agent IA ne se contente pas de suggérer une réponse. Il résout le problème : réinitialisation de mot de passe, provisioning d'accès, diagnostic réseau, escalade intelligente. C'est un technicien de niveau 1 virtuel, actif 24h/24.

💡 Ce que ça change pour les PME françaises

Jusqu'ici, l'IA dans l'ITSM était réservée aux grands comptes avec des budgets ServiceNow à 6 chiffres. ITIL v5 intègre nativement ces concepts d'automatisation intelligente dans ses pratiques. Les PME peuvent désormais bénéficier de ces avancées avec des outils adaptés à leur taille et leur budget.

2. 🔄 La convergence ITSM + ITAM + ITOM : la fin des silos

Le 2 avril 2026, Freshworks a annoncé l'intégration native de la discovery d'infrastructure et du dependency mapping dans Freshservice. Traduction : ITSM (gestion des services), ITAM (gestion des assets) et ITOM (opérations IT) fusionnent dans une seule plateforme.

Ce n'est pas un cas isolé. ServiceNow, Ivanti, et les nouveaux acteurs comme Servicely poussent tous dans la même direction. Les outils silotés, où l'on gère les tickets d'un côté, l'inventaire de l'autre et le monitoring ailleurs, perdent du terrain.

📊 Pourquoi c’est critique pour votre DSI

Quand un serveur tombe, combien de temps perdez-vous à croiser les infos entre votre outil de monitoring, votre CMDB et votre système de tickets ? Avec une plateforme unifiée, l'impact d'un incident sur les services métiers est visible immédiatement. C'est la promesse d'ITIL v5 : une vision holistique, pas des processus en silo.

3. 🌐 ITIL v5 : du framework IT au framework d’entreprise

ITIL v5, attendu dans sa forme finalisée courant 2026, marque un virage majeur. Le framework ne parle plus uniquement de "services IT". Il intègre pleinement l'ESM (Enterprise Service Management), c'est à dire l'extension des bonnes pratiques IT aux RH, aux services généraux, au juridique, à la finance.

Concrètement, cela signifie que les DSI ne sont plus des "centres de coûts" isolés. ITIL v5 positionne la DSI comme un fournisseur de services pour toute l'organisation. C'est un changement de posture fondamental.

🏢 L’ESM en pratique

• RH : onboarding automatisé, demandes de congés, attestations
• Services généraux : réservation de salles, demandes d’intervention, gestion du courrier
• Finance : demandes d’achat, notes de frais, validation budgétaire
• Juridique : demandes de contrats, suivi des engagements, conformité

Le rapport CXToday de cette semaine le confirme : en 2026, le service management est devenu un critère d'achat client, plus seulement un sujet d'opérations internes. Les entreprises qui gèrent encore leurs services métiers par email et tableurs Excel perdent en compétitivité chaque jour.

4. 📈 Le GigaOm Radar ITSM 2026 : les vrais critères de choix

Le GigaOm Radar ITSM 2026, publié le 31 mars, est l'une des évaluations les plus objectives du marché. Contrairement aux quadrants Gartner (souvent biaisés par la taille des éditeurs), GigaOm évalue les outils sur 3 axes concrets :

• Profondeur du support ITIL 4/v5 : pas juste les mots, les fonctions réelles
• Capacités produit mesurables : automatisation, IA, intégrations, UX
• Valeur business démontrée : ROI, time-to-value, coût total de possession

Pour un DSI de PME ou ETI, c'est un signal important : le marché récompense désormais la valeur réelle, pas la taille du commercial. Les solutions légères, rapides à déployer et à prix honnête gagnent du terrain face aux mastodontes.

🎯 Ce que ça signifie pour le choix d’outil

Si vous êtes en train de comparer des solutions ITSM, les critères qui comptent vraiment en 2026 ne sont plus "est-ce que c'est ServiceNow ?" mais plutôt :

• En combien de jours suis-je opérationnel ? (time-to-value)
• Quel est le coût réel sur 3 ans, formation et maintenance incluses ?
• Est-ce que la solution couvre mes besoins ESM sans modules additionnels ?
• Mes données restent-elles en France ? (souveraineté, NIS2)

5. 🛡️ NIS2 et cybersécurité : la DSI en première ligne

La directive NIS2, en cours de transposition en France via la loi Résilience, impose des obligations de notification d'incidents, de gestion des risques et de traçabilité à des milliers d'entreprises qui n'étaient pas concernées auparavant. PME, ETI, collectivités : si vous fournissez un service essentiel ou important, vous êtes probablement dans le périmètre.

Le lien avec l'ITSM est direct. Sans outil structuré pour tracer les incidents, gérer les changements et documenter les actions correctives, la conformité NIS2 est un cauchemar administratif. Chaque incident non tracé est un risque d'amende.

⚠️ Les 3 exigences NIS2 qui impactent votre ITSM

• Notification sous 24h : il faut un workflow d’escalade automatisé, pas un email envoyé « quand on y pense »
• Registre des incidents : chaque incident doit être documenté avec chronologie, impact, actions. Votre ITSM EST votre registre
• Gestion des changements : chaque modification d’infrastructure doit être tracée et approuvée. Un processus de change management structuré n’est plus optionnel

6. 🚀 Comment se préparer concrètement

Ces 5 tendances ne sont pas des prédictions lointaines. Elles se matérialisent maintenant. Voici un plan d'action réaliste pour un DSI de PME ou ETI :

• Court terme (Q2 2026) : auditez vos outils actuels. Combien en utilisez-vous pour gérer services, assets et incidents ? Si la réponse est « plus de 2 », vous avez un problème de convergence
• Moyen terme (S2 2026) : évaluez une plateforme ESM unifiée. Testez en conditions réelles avec un périmètre limité (IT + un service métier)
• Continu : formez vos équipes aux principes ITIL v5, notamment sur la gestion de la valeur et l’approche holistique. Le framework est gratuit, la certification un investissement rentable

KLX ESM a été conçu exactement pour répondre à ces enjeux :
➡️ Plateforme unifiée ITSM + ESM + GMAO, déploiement en jours (pas en mois),
➡️ IA intégrée accessible aux PME, sans budget enterprise,
➡️ Hébergement souverain en France, conforme aux exigences NIS2,
➡️ Un outil pensé pour les DSI qui veulent avancer vite, sans se ruiner.

👉 Découvrir KLX ESM et tester gratuitement.

ESM en 2026 : pourquoi les DSI étendent l’ITSM au-delà de l’IT

Le marché mondial du help desk pèse 1,75 milliard de dollars en 2026. Il atteindra 4,17 milliards en 2035, selon Business Research Insights. Pourtant, la majorité de cette croissance ne vient pas de l'IT.

Elle vient des RH, de la maintenance, des services généraux, de la comptabilité. Des départements qui, pendant des années, ont géré leurs demandes par email, par téléphone, ou par Post-it. En 2026, les DSI les plus avancés ont compris une chose simple : les principes qui fonctionnent pour les incidents IT fonctionnent aussi pour le reste de l'entreprise.

C'est exactement ce qu'on appelle l'Enterprise Service Management, ou ESM. Et ce n'est plus une option réservée aux grands groupes.

1. 📩 Le problème que personne ne mesure

Combien de demandes internes votre entreprise traite chaque semaine ? Pas seulement les tickets IT. Toutes les demandes.

Un collaborateur qui demande un accès VPN, c'est un ticket IT classique. Mais le même collaborateur qui demande une attestation employeur aux RH, un bureau temporaire aux services généraux, ou la réparation d'une imprimante à la maintenance, ce sont des demandes tout aussi légitimes. Sauf qu'elles n'arrivent nulle part de structuré.

Dans une PME de 200 personnes, on estime entre 150 et 300 demandes internes par semaine tous services confondus. La majorité circule par email. Personne ne sait combien sont en retard, combien sont oubliées, combien coûtent réellement en temps perdu.

2. 🔄 De l’ITSM à l’ESM : ce qui change concrètement

L'ITSM, c'est la gestion des services informatiques. Catalogue de services, gestion des incidents, base de connaissances, portail de demandes. Les DSI maîtrisent ces processus depuis 20 ans grâce à ITIL.

L'ESM, c'est la même logique appliquée à tous les départements de l'entreprise. Un seul portail. Un seul système de suivi. Des workflows adaptés à chaque métier, mais une gouvernance unifiée.

Voici ce que ça donne en pratique :

3. 📊 Pourquoi 2026 est l’année charnière

Trois facteurs convergent cette année pour accélérer l'adoption de l'ESM dans les PME et ETI françaises.

🔒 NIS2 impose la traçabilité

La directive européenne NIS2, en cours de transposition en France via la loi Résilience, exige des entreprises une traçabilité complète de leurs processus critiques. Les demandes internes qui circulent par email ne laissent aucune piste d'audit exploitable. Un portail ESM, si. Chaque demande est horodatée, chaque action est journalisée, chaque SLA est mesurable.

🤖 L’IA rend l’ESM accessible

Jusqu'à récemment, déployer un portail multi-services demandait des mois de configuration. En 2026, l'IA intégrée aux plateformes ESM permet le routage automatique des demandes, la suggestion de réponses depuis la base de connaissances, et la classification intelligente des tickets. Le coût de déploiement a chuté. Ce qui prenait 6 mois en prend 6 semaines.

💰 Le marché mid-market explose

Vivantio vient de lever des fonds auprès d'Oakman pour accélérer sur le segment mid-market. Kissflow pousse l'ESM comme "backbone digital" des opérations. Salesforce publie un guide ITSM ciblant les ETI. Le signal est clair : l'ESM n'est plus réservé aux entreprises du CAC 40.

4. 🎯 Les 5 services à intégrer en priorité

Inutile de vouloir tout migrer d'un coup. Les entreprises qui réussissent leur transition ESM commencent par les services à fort volume et faible complexité.

Priorité 1 : IT (si ce n'est pas déjà fait)
C'est la base. Incidents, demandes, changements. Si votre helpdesk IT fonctionne déjà sur un outil structuré, vous avez la fondation.

Priorité 2 : RH
Attestations, congés exceptionnels, questions paie, onboarding des nouveaux arrivants. Les RH traitent un volume de demandes comparable à l'IT, mais avec moins d'outils.

Priorité 3 : Services généraux / Facilities
Réservation de salles, signalement de pannes, demandes de fournitures. Volume élevé, traitement souvent informel.

Priorité 4 : Maintenance / GMAO
Interventions correctives, maintenance préventive, suivi du parc équipements. Un domaine où la traçabilité apporte un ROI immédiat.

Priorité 5 : Finance / Comptabilité
Demandes de notes de frais, validation de factures, questions budgétaires. Moins de volume, mais des workflows de validation critiques.

5. 🏗️ Comment déployer un portail ESM sans exploser le budget

L'erreur classique : acheter ServiceNow ou BMC Helix en pensant que la puissance de l'outil compensera le manque de maturité interne. Résultat : 150 000€ de licence, 12 mois d'intégration, et un portail que personne n'utilise.

L'approche qui fonctionne pour une PME ou ETI :

• Commencer par l’IT + un service métier (typiquement RH ou maintenance)
• Choisir un outil natif ESM, pas un outil ITSM qu’on force à faire de l’ESM
• Privilégier le SaaS souverain : hébergement français, conformité RGPD native, support en français
• Mesurer avant d’étendre : volume de tickets, temps de résolution moyen, taux de satisfaction. Sans métriques, impossible de prouver le ROI aux directions métier
• Former les référents métier : chaque département a besoin d’un « champion » qui configure ses workflows et porte l’adoption

6. 📈 Le ROI concret d’un portail ESM unifié

Les chiffres varient selon la taille et le secteur, mais les retours terrain convergent :

• Réduction de 40% des emails internes liés aux demandes de service
• Temps de résolution divisé par 2 grâce au routage automatique et aux SLA
• Visibilité totale pour les managers : combien de demandes, quels délais, quels goulets d’étranglement
• Conformité NIS2 et RGPD intégrée sans effort supplémentaire
• Onboarding 3x plus rapide : un nouveau collaborateur fait toutes ses demandes (IT, RH, badge, bureau) depuis un seul portail

Pour une PME de 200 personnes, le gain estimé se situe entre 2 et 5 ETP (équivalents temps plein) par an en temps administratif récupéré. Soit 80 000 à 200 000€ de coûts cachés éliminés.

7. ✅ Conclusion : l’ESM, c’est maintenant

L'Enterprise Service Management n'est pas un concept théorique réservé aux grands groupes. C'est une réalité opérationnelle que les PME et ETI françaises peuvent déployer dès aujourd'hui, avec des outils adaptés à leur budget et à leur maturité.

KLX ESM a été conçu exactement pour ce besoin :
➡️ Portail unifié multi-services (IT, RH, Maintenance, Services généraux),
➡️ Hébergement 100% français, conformité RGPD et NIS2 native,
➡️ Déploiement en semaines, pas en mois,
➡️ Un prix adapté aux PME, pas aux budgets du CAC 40.

La question n'est plus "faut-il passer à l'ESM ?". C'est "combien de temps pouvez-vous encore vous permettre de gérer vos services internes par email ?"

👉 Découvrir KLX ESM et lancer votre portail unifié.

GMAO et maintenance prédictive : comment l’IA transforme la gestion des équipements en 2026

Un ascenseur tombe en panne un lundi matin dans un bâtiment de 200 personnes. Le ticket arrive à 8h47. Le technicien est disponible à 14h. Le prestataire, lui, ne peut intervenir que le lendemain. Résultat : 36 heures d'immobilisation, des collaborateurs frustrés, et un coût qui dépasse largement celui d'une révision préventive.

Ce scénario, la plupart des responsables maintenance le connaissent par cœur. Et pourtant, en 2026, il reste la norme dans beaucoup d'organisations françaises. La raison ? Une GMAO qui se contente de gérer les pannes au lieu de les anticiper.

1. 🔧 La GMAO traditionnelle a atteint ses limites

Soyons francs : la majorité des outils de GMAO utilisés aujourd'hui fonctionnent comme des gestionnaires de tickets glorifiés. Un équipement casse, quelqu'un signale le problème, un bon d'intervention est créé, un technicien intervient. Point.

Ce modèle réactif coûte cher. Selon une étude du cabinet Deloitte, la maintenance non planifiée coûte en moyenne 3 à 9 fois plus cher qu'une intervention préventive programmée. Et ce chiffre ne prend même pas en compte les coûts indirects : perte de productivité, insatisfaction des occupants, dégradation accélérée des équipements.

Le vrai problème, c'est que les GMAO classiques ne savent pas exploiter les données qu'elles collectent. Elles enregistrent des historiques d'interventions, des fréquences de pannes, des durées de résolution. Mais ces données dorment dans des tableaux Excel ou des rapports PDF que personne ne lit.

2. 🤖 L’IA prédictive change la donne pour la maintenance

La maintenance prédictive, ce n'est pas de la science-fiction réservée aux usines de l'industrie 4.0. En 2026, les algorithmes d'IA sont capables d'analyser les historiques de pannes d'un parc d'équipements et d'identifier des patterns que l'œil humain ne voit pas.

📊 Concrètement, ça donne quoi ?

• Détection de tendances : une climatisation qui génère 3 tickets en 6 mois sur le même type de panne ? L’IA le détecte et recommande une révision complète avant la prochaine défaillance.
• Priorisation intelligente : au lieu de traiter les interventions par ordre d’arrivée, l’IA évalue l’impact métier de chaque équipement et priorise en conséquence.
• Planification optimisée : les interventions préventives sont programmées automatiquement en fonction de la charge des techniciens et des périodes creuses du bâtiment.

Le marché des outils de help desk et ITSM atteint 1,75 milliard de dollars en 2026, selon Business Research Insights, avec une croissance annuelle de 10,2%. Cette explosion est directement liée à l'intégration de l'IA dans les workflows de gestion de services, y compris la maintenance.

3. 📋 GMAO dans un ESM : pourquoi la maintenance ne peut plus être isolée

Voilà un angle que peu d'éditeurs GMAO abordent : la maintenance n'est jamais un processus isolé. Quand un équipement tombe en panne, ça impacte les services généraux, l'IT (si c'est un onduleur ou un switch réseau), les RH (si le bureau est inutilisable), parfois même la direction (si c'est un équipement stratégique).

C'est là que l'approche ESM (Enterprise Service Management) prend tout son sens. Au lieu d'avoir une GMAO déconnectée du reste de l'organisation, vous intégrez la maintenance dans un portail de services unifié.

🔗 Les bénéfices concrets de l’intégration ESM + GMAO

4. 💡 Ce que l’IA agentique va changer pour les techniciens terrain

Le dernier rapport GigaOm Radar ITSM 2026, publié fin mars, évalue désormais les outils sur leur capacité d'innovation et leur maturité ESM. Ce n'est pas un hasard : le marché bascule vers des plateformes capables de piloter des agents IA autonomes.

Pour la maintenance, ça signifie des agents IA capables de :

• Pré-diagnostiquer une panne à partir de la description utilisateur et de l’historique de l’équipement, avant même que le technicien ne se déplace.
• Suggérer les pièces nécessaires en analysant les interventions passées sur le même modèle d’équipement.
• Rédiger automatiquement le compte-rendu d’intervention, libérant le technicien de la paperasse.
• Déclencher les commandes fournisseur quand le stock de pièces détachées passe sous un seuil critique.

ServiceNow mise tout sur cette vision "IA agentique" avec des partenariats à répétition (Zenity pour la sécurité, Vonage pour la voix, Cohesity pour la résilience données). Mais leur approche cible les grands comptes avec des budgets conséquents.

La question pour les PME et ETI françaises est simple : comment accéder à ces capacités sans exploser le budget IT ?

5. 🏗️ Mise en place concrète : les 4 étapes pour passer au prédictif

Inutile de tout révolutionner du jour au lendemain. Voici un chemin pragmatique, adapté aux organisations qui n'ont ni data scientist ni budget R&D illimité.

📌 Étape 1 : Structurer vos données existantes

Avant de parler d'IA, il faut que vos données soient propres. Ça commence par un inventaire exhaustif de vos équipements dans une CMDB, avec pour chaque actif : date d'installation, contrat de maintenance, historique d'interventions, criticité métier. Sans cette base, aucun algorithme ne pourra rien prédire.

📌 Étape 2 : Automatiser les maintenances préventives

Configurez des déclencheurs automatiques basés sur le calendrier ou l'usage. Exemple : révision climatisation tous les 6 mois, vérification onduleurs tous les trimestres, contrôle extincteurs annuel. C'est basique, mais 60% des organisations n'ont même pas ça en place de façon systématique.

📌 Étape 3 : Analyser les patterns de pannes

Après 6 à 12 mois de données structurées, les patterns deviennent visibles. Quels équipements tombent en panne le plus souvent ? À quelle période ? Y a-t-il une corrélation entre certains types de pannes ? C'est ici que l'IA commence à apporter de la valeur, en identifiant des corrélations invisibles à l'œil nu.

📌 Étape 4 : Passer à la recommandation automatique

Une fois les modèles entraînés, l'outil peut recommander des interventions avant la panne. Le technicien reçoit une alerte : "La pompe de relevage du bâtiment B montre des signes de fatigue similaires à ceux observés avant la panne de septembre 2025. Intervention recommandée dans les 15 prochains jours."

6. 💰 Le ROI d’une GMAO prédictive pour une PME

Parlons chiffres concrets. Pour une PME de 200 personnes avec un parc de 500 équipements (informatique, bâtiment, mobilier technique) :

• Réduction des pannes non planifiées : -40% en moyenne après 12 mois de maintenance prédictive (source : McKinsey).
• Baisse du coût de maintenance : -25% à -30% grâce à l’optimisation des interventions préventives (source : Deloitte).
• Durée de vie des équipements : +20% en moyenne grâce à un entretien anticipé.
• Temps de résolution : divisé par 2 quand le technicien arrive avec le bon diagnostic et les bonnes pièces.

Avec un coût moyen d'intervention d'urgence autour de 450€ (déplacement + main d'œuvre + pièces en express), réduire de 40% les pannes non planifiées sur 500 équipements, c'est potentiellement 50 000 à 80 000€ d'économies annuelles. Largement de quoi financer un outil ESM moderne.

7. 🚀 KLX ESM : la GMAO intégrée pensée pour les PME françaises

Chez KLX, la gestion de maintenance n'est pas un module ajouté après coup. Elle fait partie intégrante du portail de services unifié, aux côtés de l'IT, des RH et des services généraux.

Ce que ça change concrètement :

• Un seul portail pour signaler une panne, suivre l’intervention, et consulter l’historique de l’équipement.
• CMDB partagée entre IT et maintenance : quand un switch réseau est aussi un actif physique dans un local technique, tout est lié.
• Workflows cross-services : un déménagement déclenche automatiquement les tâches IT + maintenance + services généraux.
• Traçabilité NIS2 : chaque intervention sur un actif critique est documentée et auditable, conformément aux exigences de la directive européenne.
• Hébergement souverain : vos données de maintenance restent en France, pas sur un cloud américain soumis au Cloud Act.

KLX ESM représente cette approche pragmatique de la GMAO moderne :
➡️ pas besoin d'un data scientist pour commencer,
➡️ vos données sont structurées dès le premier jour grâce à la CMDB intégrée,
➡️ et le passage au prédictif se fait progressivement, au rythme de votre organisation.

👉 Vous gérez encore votre maintenance avec des tickets et des tableurs ? Découvrez comment KLX ESM peut transformer votre gestion d'équipements. Demandez une démo gratuite.

NIS2 et RH : pourquoi la sensibilisation cyber devient une obligation légale

82% des violations de données impliquent un facteur humain. Ce chiffre, issu du rapport Verizon DBIR 2024, ne surprend plus personne. Ce qui change en 2026, c'est que former vos collaborateurs à la cybersécurité n'est plus un "nice to have". C'est une obligation légale.

Avec la directive NIS2 et sa transposition française (loi Résilience, applicable en juillet 2026), les entreprises concernées doivent démontrer que leurs équipes sont formées, sensibilisées et évaluées sur les risques cyber. Et ça, c'est un sujet RH autant qu'un sujet IT.

1. 📋 Ce que NIS2 exige concrètement côté RH

L'article 20 de la directive NIS2 est limpide : les organes de direction des entités essentielles et importantes doivent suivre une formation en cybersécurité et veiller à ce que leurs salariés en bénéficient régulièrement.

Concrètement, cela implique trois volets pour les services RH :

• Formation obligatoire des dirigeants : les membres de la direction doivent acquérir des connaissances suffisantes pour évaluer les risques cyber et valider les politiques de sécurité. Ce n’est plus délégable au seul RSSI.
• Sensibilisation régulière des collaborateurs : pas un e-learning oublié au fond d’un LMS, mais un programme continu, traçable, avec des preuves de suivi.
• Gestion des accès et des identités : les RH doivent coordonner avec l’IT pour que chaque arrivée, départ ou changement de poste déclenche les bons workflows de droits d’accès.

2. 🎯 Le vrai problème : la traçabilité

Former les gens, beaucoup d'entreprises le font déjà. Le vrai défi NIS2, c'est de prouver que vous l'avez fait.

En cas d'audit ANSSI ou d'incident cyber, il faudra produire :

• Le registre des formations cyber suivies par chaque collaborateur
• Les dates, contenus et résultats des campagnes de sensibilisation
• La preuve que les dirigeants ont été formés personnellement
• Les logs de gestion des accès liés aux mouvements RH (arrivées, départs, mutations)
• Le plan de formation cyber avec sa fréquence et ses indicateurs

Et c'est là que les fichiers Excel et les e-mails "est-ce que tu as fait la formation ?" ne suffisent plus. Il faut un système qui trace automatiquement.

3. 🔄 Onboarding et offboarding : le maillon faible

Chaque collaborateur qui arrive est un risque potentiel s'il n'est pas formé. Chaque collaborateur qui part est une faille si ses accès ne sont pas coupés immédiatement.

Les chiffres sont éloquents :

• 36% des entreprises mettent plus de 7 jours à révoquer les accès d’un salarié parti (Osterman Research)
• 25% des ex-employés conservent encore des accès actifs un mois après leur départ (Beyond Trust)
• 45% des incidents internes impliquent des comptes d’anciens collaborateurs (Ponemon Institute)

NIS2 ne tolérera plus ce flou. Les processus RH d'arrivée et de départ doivent déclencher automatiquement des actions IT : création/suppression de comptes, attribution/révocation de droits, fourniture/récupération de matériel.

4. 🛡️ Campagnes de phishing : tester, pas punir

Les campagnes de simulation de phishing sont devenues un standard. Mais attention à la méthode. Le but n'est pas de piéger les collaborateurs pour les humilier en réunion.

Une bonne campagne de sensibilisation, conforme à l'esprit NIS2, suit ce cycle :

• Former : contenu pédagogique adapté au métier (un comptable ne fait pas face aux mêmes risques qu’un technicien terrain)
• Tester : simulation réaliste, progressive en difficulté
• Mesurer : taux de clic, taux de signalement, évolution dans le temps
• Accompagner : formation ciblée pour ceux qui échouent, pas de sanction
• Documenter : tout doit être tracé pour l’audit

Le piège classique : faire une campagne par an pour cocher la case. NIS2 attend une démarche continue, avec des indicateurs d'amélioration mesurables.

5. 📊 Les indicateurs RH à suivre pour NIS2

Pour prouver votre conformité, voici les KPI que vos RH et votre DSI doivent suivre ensemble :

6. ⚙️ Comment un ESM connecte RH et cybersécurité

Le problème de fond, c'est que dans la plupart des organisations, les RH et l'IT travaillent en silos. Les RH gèrent les contrats et la paie. L'IT gère les accès et la sécurité. Personne ne coordonne les deux en temps réel.

C'est exactement le type de problème qu'un outil ESM (Enterprise Service Management) résout :

• Workflows automatisés : un départ saisi dans le SIRH déclenche automatiquement la révocation des accès IT, la récupération du matériel, l’archivage des données
• Portail unique : le collaborateur retrouve ses formations cyber, ses demandes RH et ses tickets IT au même endroit
• Traçabilité native : chaque action est horodatée, chaque workflow documenté, prêt pour l’audit
• Tableaux de bord conformité : les KPI NIS2 sont calculés automatiquement, pas recomposés à la main dans un tableur

🇫🇷 KLX ESM : la conformité RH/NIS2 sans usine à gaz

KLX ESM est conçu pour les PME, ETI et collectivités qui doivent se conformer sans déployer un ERP pendant 18 mois :

• Workflows onboarding/offboarding connectés entre RH et IT, avec traçabilité complète
• Suivi des formations : historique par collaborateur, rappels automatiques, preuves d’audit
• Gestion des accès liée aux mouvements RH (arrivée, mutation, départ)
• Hébergement 100% français : conformité RGPD et souveraineté des données
• Déploiement en jours, pas en mois

👉 Découvrez KLX ESM et simplifiez votre conformité NIS2 dès maintenant.

7. ✅ Checklist RH pour la conformité NIS2

Voici les actions concrètes que votre DRH peut lancer dès cette semaine :

• ☐ Vérifier si votre organisation est concernée par NIS2 (seuils : +50 salariés ou +10M€ CA)
• ☐ Planifier la formation cyber des dirigeants (obligation personnelle)
• ☐ Mettre en place un programme de sensibilisation continu (pas juste annuel)
• ☐ Auditer les délais de révocation d’accès au départ des collaborateurs
• ☐ Automatiser les workflows onboarding/offboarding avec l’IT
• ☐ Définir les KPI de suivi (taux de formation, taux de phishing, délais d’accès)
• ☐ Documenter tout dans un outil traçable (pas des e-mails)
• ☐ Désigner un référent RH/cyber pour la coordination avec le RSSI

8. 🔮 Conclusion

NIS2 transforme la cybersécurité d'un sujet technique en sujet organisationnel. Les RH ne peuvent plus se contenter de recruter et gérer les congés. Elles deviennent un maillon essentiel de la chaîne de sécurité.

KLX ESM permet de relever ce défi sans complexité inutile :
➡️ Des workflows RH/IT automatisés et traçables,
➡️ Un suivi des formations cyber prêt pour l'audit ANSSI,
➡️ Une gestion des accès liée aux mouvements de personnel,
➡️ Un déploiement rapide, hébergé en France, pensé pour les PME et collectivités.

Juillet 2026 approche. Les organisations qui auront structuré la collaboration RH/IT seront conformes. Les autres expliqueront à l'ANSSI pourquoi un ancien stagiaire avait encore accès au SI six mois après son départ.

Sources : Directive (UE) 2022/2555 (NIS2), Article 20 ; Verizon DBIR 2024 ; ANSSI, ReCyF mars 2026 ; Osterman Research 2024 ; Ponemon Institute 2023.

Tendances ITSM 2026 : de la gestion de tickets à la garantie de résultats

Pendant des années, la performance d'un service desk se mesurait au nombre de tickets traités. En 2026, ce paradigme s'effondre. Gartner, CXToday et les analystes du secteur sont unanimes : l'ITSM bascule vers une logique de résultats garantis, pas seulement de moyens déployés.

Pour les DSI de PME et ETI, c'est une opportunité. Les outils qui portaient cette révolution coûtaient des centaines de milliers d'euros. Aujourd'hui, des solutions accessibles permettent d'embarquer dans cette transformation sans exploser les budgets.

1. 🎯 Du ticket traité à l’outcome garanti

Le rapport CXToday de mars 2026 pose un constat clair : les utilisateurs ne veulent plus savoir combien de tickets ont été fermés. Ils veulent savoir si le service fonctionne.

Concrètement, cela signifie passer d'indicateurs de moyens (temps de réponse, tickets résolus) à des indicateurs de résultats (disponibilité applicative, satisfaction métier, impact business évité).

Ce que ça change pour les PME : Chaque incident non détecté coûte en moyenne 5 600€ par heure d'interruption selon Gartner. Avec une approche orientée outcomes, vous mesurez ce que vous évitez de perdre, pas seulement ce que vous traitez.

2. 🔍 La dégradation silencieuse devient le risque n°1

Les pannes franches sont de plus en plus rares. En 2026, le vrai risque, c'est la dégradation progressive : un service qui ralentit de 5% par semaine, une API qui timeout de temps en temps, un batch qui échoue une fois sur vingt.

Ces problèmes passent sous les radars des ITSM traditionnels. Quand un utilisateur ouvre un ticket, le mal est fait : la productivité a déjà chuté, la confiance s'est érodée.

💡 L’observabilité devient obligatoire

L'intégration entre monitoring et ITSM n'est plus un luxe. Les outils modernes créent automatiquement des incidents quand les métriques dérivent, avant même qu'un utilisateur ne s'en plaigne.

Pour une PME industrielle, détecter une dégradation réseau 30 minutes avant l'arrêt d'une ligne de production, c'est éviter des dizaines de milliers d'euros de pertes.

3. 🤖 L’IA agentique transforme l’ITSM

Le rapport Gartner du 27 mars 2026 introduit le concept d'"agentic operations" : des agents IA capables d'agir de manière autonome sur l'infrastructure, pas seulement de suggérer des solutions.

75% des CIO prévoient d'investir dans l'IA agentique cette année selon le rapport CIO Priorities 2026. Le mouvement est lancé.

⚙️ Ce que l’IA agentique change concrètement

• Catégorisation automatique : L’IA analyse le contenu du ticket et l’assigne au bon groupe sans intervention humaine
• Diagnostic préliminaire : Avant qu’un technicien n’intervienne, l’IA a déjà collecté les logs, vérifié la CMDB et proposé des pistes
• Résolution autonome : Pour les incidents récurrents, l’IA peut exécuter des scripts de remédiation validés
• Prédiction d’impact : En croisant CMDB et historique, l’IA évalue qui sera touché si tel composant tombe

Attention au hype : L'IA ne remplace pas les équipes IT. Elle leur permet de se concentrer sur les problèmes complexes pendant qu'elle gère le flux des demandes standards. C'est un multiplicateur de force, pas un remplacement.

4. 🔗 L’intégration ITSM + CMDB + monitoring devient standard

Fini les silos. En 2026, un ITSM qui ne dialogue pas nativement avec votre monitoring et votre CMDB est obsolète.

Le partenariat SysAid + Splashtop annoncé en mars illustre cette tendance : le support distant s'intègre directement dans le workflow ITSM. Plus besoin de jongler entre 4 outils pour traiter un incident.

📊 Ce que l’intégration apporte

• Contexte immédiat : Quand un ticket arrive, le technicien voit instantanément l’état du poste, ses derniers incidents, ses logiciels
• Impact automatique : Un serveur down ? L’ITSM sait immédiatement quels services et quels utilisateurs sont touchés
• Historique corrélé : Les patterns deviennent visibles, les problèmes récurrents identifiables

5. ⚖️ NIS2 impose une obligation de résultats

La directive NIS2 entre en application en France. Pour les entités concernées, ce n'est plus "nous avons mis en place des processus" mais "nous pouvons prouver que ça fonctionne".

Les obligations de traçabilité, de notification d'incidents et de continuité de service imposent un ITSM capable de démontrer des résultats mesurables. Un simple tableau Excel ne suffit plus.

📋 Ce que NIS2 exige de votre ITSM

• Traçabilité complète : Qui a fait quoi, quand, sur quel actif
• Notification sous 24h : Impossible sans détection automatisée
• Analyse d’impact : Savoir immédiatement ce qu’une faille peut toucher
• Preuves d’amélioration continue : Dashboards, métriques, historiques

6. 💰 Les PME peuvent enfin accéder à ces capacités

Historiquement, ces fonctionnalités étaient réservées aux grands groupes équipés de ServiceNow (budget 150 000 à 300 000€ par an) ou BMC. Les PME devaient se contenter de GLPI ou de solutions limitées.

En 2026, cette barrière tombe. Des solutions comme KLX ESM proposent l'essentiel de ces capacités, l'IA assistée, l'intégration CMDB native, l'observabilité intégrée, à des tarifs accessibles aux structures de 50 à 500 collaborateurs.

7. 🚀 Comment embarquer sans tout changer

Adopter ces tendances ne signifie pas tout révolutionner du jour au lendemain. Voici une approche progressive :

📍 Phase 1 : Poser les fondations (1-2 mois)

• Déployer un ITSM avec CMDB intégrée
• Inventorier automatiquement vos actifs
• Établir vos métriques de base (MTTR, satisfaction)

📍 Phase 2 : Connecter (2-3 mois)

• Intégrer votre monitoring existant
• Activer la création automatique d’incidents sur alertes
• Mapper les dépendances dans la CMDB

📍 Phase 3 : Automatiser (mois 4+)

• Activer l’IA pour le triage et la catégorisation
• Créer des playbooks de remédiation automatique
• Passer aux dashboards orientés outcomes

8. ✅ Conclusion : l’ITSM 2026 est accessible

Les tendances ITSM 2026 ne sont pas réservées aux grands groupes. L'évolution vers les outcomes, l'IA agentique, l'observabilité intégrée et la conformité NIS2 sont à portée des PME et ETI françaises.

Le vrai risque n'est pas d'investir dans ces capacités, c'est de ne pas le faire : chaque incident non détecté coûte, chaque audit NIS2 mal préparé expose, chaque heure perdue en diagnostic manuel s'accumule.

KLX ESM a été conçu exactement pour cette transition :
➡️ CMDB et observabilité natives, sans modules supplémentaires,
➡️ IA assistée pour le triage et le diagnostic,
➡️ Traçabilité complète pour NIS2,
➡️ Un budget adapté aux réalités des PME françaises.

Demander une démonstration pour voir comment ces tendances 2026 s'appliquent concrètement à votre contexte.

Conformité NIS2 : quel ROI concret pour une PME équipée d’un outil ESM ?

74% des PME françaises visées par NIS2 n'ont pas encore commencé leur mise en conformité. Et pourtant, l'ANSSI vient de publier le ReCyF, un référentiel qui rend les objectifs de sécurité beaucoup plus concrets. La question n'est plus "faut-il s'y mettre ?" mais "combien ça coûte de ne rien faire ?"

Pour beaucoup de dirigeants de PME et ETI, NIS2 ressemble encore à une contrainte réglementaire floue. Mais derrière les obligations se cache un calcul économique très simple : structurer ses processus IT maintenant coûte moins cher que de subir un incident sans préparation. Voici les chiffres, cas concrets à l'appui.

1. 🔢 Le coût réel de la non-conformité NIS2

NIS2 prévoit des sanctions significatives pour les entités qui ne respectent pas les obligations de sécurité. Pour les entités essentielles : jusqu'à 10 millions d'euros ou 2% du CA mondial. Pour les entités importantes : jusqu'à 7 millions d'euros ou 1,4% du CA.

Mais le vrai coût n'est pas l'amende. C'est l'impact opérationnel d'un incident mal géré :

• Temps d’arrêt moyen après cyberattaque : 23 jours pour une PME (source : IBM Cost of a Data Breach 2025)
• Coût moyen d’un incident : 143 000€ pour une entreprise de moins de 500 salariés (CESIN 2025)
• Perte de clients : 31% des PME victimes perdent au moins un client majeur dans les 6 mois
• Impact réputation : NIS2 impose la notification sous 24h, ce qui rend chaque incident visible publiquement

2. 📋 Ce que le ReCyF de l’ANSSI demande concrètement

Le référentiel ReCyF publié le 17 mars 2026 par l'ANSSI structure les objectifs NIS2 en catégories opérationnelles. Pour une PME, trois blocs concentrent 80% de l'effort :

🗂️ Gestion des actifs et inventaire

Connaître son parc IT, ses dépendances, ses versions logicielles. Impossible de protéger ce qu'on ne voit pas. Le ReCyF insiste sur la capacité à produire un inventaire à jour et à identifier les actifs critiques.

🚨 Gestion des incidents

Détecter, qualifier, traiter et notifier. NIS2 impose des délais stricts : alerte initiale sous 24h, notification complète sous 72h, rapport final sous 1 mois. Sans processus structuré, ces délais sont intenables.

🔄 Continuité d’activité

Avoir un plan, le tester, le documenter. Le ReCyF attend des preuves concrètes : procédures écrites, tests réguliers, traçabilité des actions. Pas juste un document Word oublié sur un serveur.

3. 🎯 Cas concret : PME industrielle de 120 salariés

Prenons un exemple réaliste. Une PME industrielle classée "entité importante" sous NIS2, avec 120 salariés, un SI de 200 postes, 15 serveurs et 3 sites.

📊 Situation sans outil ESM

• Inventaire IT : tableurs Excel éparpillés, mis à jour « quand on y pense »
• Gestion incidents : emails + téléphone, pas de ticket, pas de traçabilité
• Temps de réponse moyen : 4 à 8 heures pour qualifier un incident
• Documentation : procédures existantes mais pas à jour, non testées
• Coût annuel IT support : 2 ETP dédiés soit environ 120 000€/an

📊 Situation avec un outil ESM structuré

• CMDB centralisée : inventaire automatique, dépendances visibles, audit-ready
• Gestion incidents : tickets avec SLA, escalade automatique, notification ANSSI en 3 clics
• Temps de réponse moyen : 45 minutes (qualification automatisée)
• Documentation : workflows documentés dans l’outil, preuve de conformité intégrée
• Coût annuel : même 2 ETP mais 30% plus efficaces, soit l’équivalent de 36 000€ de productivité récupérée

4. 💰 Le calcul ROI sur 3 ans

L'économie sur 3 ans : environ 107 000€. Et ce calcul est conservateur. Il ne compte pas la valeur de la tranquillité d'esprit face à un contrôle ANSSI, ni l'avantage commercial d'afficher sa conformité NIS2 auprès de clients grands comptes.

5. ⏰ Pourquoi le report à juillet n’est pas une bonne nouvelle

La transposition de NIS2 en droit français est repoussée à juillet 2026. Certains y voient un répit. C'est une erreur de lecture.

Trois raisons de ne pas attendre :

• Le déploiement d’un outil ESM prend 2 à 4 mois : entre le choix, le paramétrage, la migration des données et la formation des équipes, il faut compter un trimestre minimum. Commencer en juillet, c’est être prêt en novembre au mieux.
• Les prestataires seront saturés : quand la loi passera, tout le monde voudra se mettre en conformité en même temps. Les prix des consultants et intégrateurs vont mécaniquement augmenter.
• Les cyberattaques n’attendent pas la loi : le risque existe aujourd’hui, pas quand le texte sera voté. Structurer ses processus maintenant protège l’entreprise immédiatement.

6. 🛠️ Comment un outil ESM répond aux exigences NIS2

7. ✅ Par où commencer : le plan en 4 étapes

Inutile de viser la perfection du premier coup. Voici un plan réaliste pour une PME qui part de zéro :

📍 Mois 1 : Inventaire et diagnostic

Déployez une CMDB, scannez votre parc, identifiez vos actifs critiques. C'est la fondation de tout le reste. Sans inventaire fiable, aucune action de sécurité n'est pertinente.

📍 Mois 2 : Processus incidents

Mettez en place un système de tickets avec SLA. Définissez les niveaux de criticité, les escalades, et préparez les templates de notification ANSSI. Testez le circuit sur un incident simulé.

📍 Mois 3 : Documentation et procédures

Formalisez vos procédures dans l'outil. Plan de continuité, politique de mots de passe, gestion des accès. L'objectif : pouvoir montrer à un auditeur que chaque processus est documenté, testé et tracé.

📍 Mois 4 : Audit interne et ajustements

Faites votre propre audit de conformité avec le ReCyF comme grille de lecture. Identifiez les écarts restants, priorisez les corrections. Vous serez en avance sur 90% des PME françaises.

8. 🏁 Conclusion

La conformité NIS2 n'est pas qu'une ligne de dépense. Pour une PME de 120 salariés, le ROI d'un outil ESM adapté dépasse les 100 000€ sur 3 ans, entre réduction du risque, gains de productivité et coûts d'audit divisés par deux.

KLX ESM a été conçu pour ce type de structure :
➡️ Déploiement rapide, sans infrastructure lourde,
➡️ CMDB, incidents, risques et conformité dans un seul outil,
➡️ Hébergement souverain en France, conforme RGPD,
➡️ Un investissement qui se rentabilise dès le premier trimestre.

Le ReCyF de l'ANSSI donne enfin une feuille de route claire. La transposition est repoussée à juillet, mais les cybermenaces, elles, n'ont pas de calendrier législatif. Les PME qui s'équipent maintenant auront un avantage décisif.

Inventaire IT et CMDB : le socle oublié de la conformité NIS2

74 % des PME françaises n'atteignent pas le niveau de sécurité recommandé par l'ANSSI. Le problème ? La plupart ne savent même pas ce qu'elles ont dans leur parc informatique.

Avec la publication du ReCyF (Référentiel Cyber France) cette semaine, l'ANSSI pose un cadre clair : impossible de protéger ce qu'on ne connaît pas. Et la première brique de toute démarche de conformité NIS2, c'est l'inventaire de ses actifs IT.

Cet article explique pourquoi la CMDB (Configuration Management Database) est la fondation que beaucoup de DSI négligent, et comment la mettre en place sans y passer six mois.

1. 🔍 Pourquoi NIS2 exige de connaître son parc

La directive NIS2, en cours de transposition en France (examen prévu en session extraordinaire de juillet 2026), impose aux entités concernées de mettre en place des mesures de gestion des risques cyber. Parmi les obligations fondamentales : identifier et cartographier ses actifs critiques.

Le ReCyF publié par l'ANSSI le 26 mars 2026 confirme cette logique. Avant de parler de détection d'incidents ou de plans de continuité, il faut savoir :

• Combien de serveurs, postes, équipements réseau composent votre SI
• Quels logiciels tournent dessus (et dans quelles versions)
• Qui est responsable de chaque actif
• Quelles dépendances existent entre les services

Sans cette visibilité, toute politique de sécurité repose sur du sable. C'est exactement ce que l'ANSSI pointe dans son approche progressive : commencer par les fondations.

2. 📦 CMDB : ce que c’est (et ce que ce n’est pas)

Une CMDB, c'est une base de données qui recense tous les éléments de configuration (CI, Configuration Items) de votre système d'information. Chaque CI est un actif : un serveur physique, une VM, un switch, une application, une licence, un contrat fournisseur.

Ce que la CMDB n'est PAS :

• Un tableur Excel maintenu à la main (ça ne scale pas et c’est toujours obsolète)
• Un outil de monitoring (la CMDB recense, elle ne surveille pas en temps réel)
• Un projet à 200 000 € réservé aux grands groupes (on y revient plus bas)

Une bonne CMDB répond à trois questions simples : qu'est-ce que j'ai ? où c'est ? qui s'en occupe ?

3. 🏢 La réalité des PME/ETI : le « shadow IT » invisible

Dans une PME de 200 personnes, la DSI gère souvent le parc « officiel » : les postes attribués, les serveurs principaux, l'Active Directory. Mais en parallèle, des dizaines d'actifs échappent au radar :

• Applications SaaS souscrites par les métiers sans passer par l’IT
• NAS personnels branchés par un collaborateur
• Anciens serveurs « temporaires » devenus permanents
• Comptes cloud (AWS, Azure) ouverts pour un POC jamais décommissionné

Ce shadow IT représente en moyenne 30 à 40 % des actifs réels d'une organisation (source : Gartner). Autant d'angles morts pour la sécurité, et autant de non-conformités potentielles face à NIS2.

4. 🛠️ Mettre en place une CMDB sans usine à gaz

Le piège classique : vouloir tout modéliser dès le départ. Des DSI passent des mois à définir des modèles de données parfaits, pour finalement abandonner le projet faute de temps pour alimenter la base.

L'approche pragmatique en 4 étapes :

🎯 Étape 1 : Commencer par les actifs critiques

Ne cherchez pas l'exhaustivité. Identifiez les 20 % d'actifs qui portent 80 % du risque : serveurs de production, bases de données clients, passerelles réseau, applications métier critiques. C'est exactement l'approche recommandée par le ReCyF.

🔄 Étape 2 : Automatiser la découverte

Un scan réseau automatisé fait en une heure ce qu'un technicien fait en deux semaines. Les outils ESM modernes intègrent des agents de découverte qui remontent automatiquement les postes, serveurs et équipements réseau. Plus besoin de tout saisir à la main.

📋 Étape 3 : Définir les relations (sans en faire trop)

La vraie valeur d'une CMDB, ce sont les relations entre les CI. Le serveur X héberge l'application Y, qui dépend de la base Z. Quand le serveur tombe, vous savez instantanément quels services sont impactés. Pour commencer, limitez-vous à trois types de relations : « héberge », « dépend de », « est géré par ».

✅ Étape 4 : Maintenir la base vivante

Une CMDB obsolète est pire qu'une absence de CMDB (fausse confiance). Deux règles simples : chaque changement en production doit mettre à jour la CMDB, et un audit trimestriel compare la base avec la réalité du réseau.

5. 📊 CMDB et conformité NIS2 : le lien concret

Voici comment une CMDB bien tenue répond directement aux exigences NIS2 :

6. 💡 Ce que les grands éditeurs ne vous disent pas

ServiceNow vend des CMDB à des entreprises de 5 000+ employés avec des budgets de déploiement qui dépassent souvent les 300 000 € la première année. GLPI propose une gestion d'inventaire, mais qui nécessite OCS Inventory ou FusionInventory en parallèle, plus des compétences PHP/MySQL en interne pour maintenir l'ensemble.

Pour une PME de 100 à 1 000 salariés, la réalité c'est qu'il faut un outil qui :

• Intègre la CMDB nativement (pas un module à acheter en plus)
• Découvre le parc automatiquement (sans installer 3 outils tiers)
• Se déploie en jours, pas en mois
• Coûte un prix PME (pas un prix grand groupe divisé par 10)

C'est précisément le positionnement de KLX ESM : une plateforme ESM française qui intègre la gestion d'actifs et la CMDB dès la version de base, avec découverte automatique du parc et cartographie des dépendances.

7. 🚀 Par où commencer lundi matin

Pas besoin d'attendre la transposition de NIS2 pour agir. L'ANSSI le dit clairement : les menaces n'attendent pas le calendrier législatif. Voici un plan d'action réaliste sur 30 jours :

• Semaine 1 : Listez vos 50 actifs les plus critiques (serveurs prod, BDD, firewall, AD)
• Semaine 2 : Lancez un scan réseau pour découvrir le shadow IT
• Semaine 3 : Documentez les relations de dépendance entre services critiques
• Semaine 4 : Mettez en place le processus de mise à jour (chaque changement = MAJ CMDB)

En un mois, vous aurez une visibilité que 74 % des PME françaises n'ont pas. Et quand NIS2 entrera en vigueur, vous aurez déjà coché la première case de conformité.

KLX ESM vous aide à franchir ces étapes :
➡️ Inventaire automatisé dès le déploiement,
➡️ CMDB intégrée avec cartographie des dépendances,
➡️ Solution française, hébergée en France,
➡️ Prêt pour NIS2 sans usine à gaz.

👉 Découvrir KLX ESM et commencer votre inventaire IT dès aujourd'hui.

ITIL v5 en 2026 : ce qui change vraiment pour votre DSI

Février 2026. Après des mois de rumeurs et de spéculations, ITIL Version 5 est officiellement disponible. Et cette fois, il ne s'agit pas d'un simple lifting cosmétique. Le référentiel qui structure la gestion des services IT depuis plus de 30 ans fait sa mue la plus ambitieuse depuis le passage à ITIL 4 en 2019.

Pour les DSI françaises, la question n'est plus "faut-il s'y intéresser ?" mais plutôt "comment intégrer ces changements dans notre roadmap ?". Décryptage complet des nouveautés, de leur impact concret, et des outils pour les mettre en pratique.

1. 🔄 Un changement de nom qui en dit long

Premier signal fort : ITIL ne signifie plus "IT Infrastructure Library". Le sigle existe toujours, mais il a perdu son acronyme historique. ITIL est désormais décrit comme "un cadre de référence et un guide de bonnes pratiques pour la gestion des produits et services numériques".

Ce n'est pas qu'un détail sémantique. En abandonnant le mot "Infrastructure", ITIL v5 acte une réalité que beaucoup de DSI vivent déjà au quotidien : la gestion des services ne se limite plus aux serveurs et aux réseaux. Elle englobe les produits numériques, les expériences utilisateurs, et les parcours clients dans leur globalité.

Autre marqueur : ITIL v5 se positionne explicitement dans le contexte de l'Industrie 5.0, là où ITIL 4 parlait encore de la Quatrième Révolution Industrielle. L'accent passe de l'automatisation pure à la collaboration humain-machine, un virage qui résonne fortement avec les enjeux actuels des DSI.

2. 🤖 L’IA au coeur du référentiel

C'est probablement la nouveauté la plus structurante. ITIL v5 ne se contente pas de mentionner l'intelligence artificielle en passant. Le référentiel intègre l'IA comme un pilier fondamental avec deux ajouts majeurs.

📘 Un livre dédié : ITIL AI Governance

Pour la première fois, ITIL consacre une publication entière à la gouvernance de l'IA. Ce n'est pas un annexe ou un chapitre bonus. C'est un ouvrage complet, accompagné d'une certification spécifique. Le message est clair : piloter l'IA dans les organisations nécessite un cadre structuré, et ITIL veut être ce cadre.

Pour les DSI qui subissent la pression du "mettez de l'IA partout", ce guide de gouvernance tombe à point. Il propose des repères concrets pour distinguer les cas d'usage pertinents des effets de mode.

🧠 Le modèle de capacité IA (6C)

ITIL v5 introduit le modèle 6C pour évaluer et structurer les capacités IA d'une organisation :

• Creation : générer du contenu, du code, des configurations
• Curation : trier, organiser, prioriser l’information
• Clarification : interpréter, résumer, expliquer
• Cognition : analyser, détecter des patterns, prédire
• Communication : interagir naturellement avec les utilisateurs
• Coordination : orchestrer des processus et des workflows

Ce modèle donne enfin aux DSI un vocabulaire commun pour parler d'IA avec les métiers. Au lieu de discussions vagues sur "l'IA qui va tout changer", on peut maintenant cartographier précisément quelles capacités IA sont déjà en place, lesquelles manquent, et lesquelles prioriser.

3. 🔁 Le nouveau cycle de vie des produits et services

ITIL v5 remplace la Service Value Chain d'ITIL 4 par un nouveau modèle : le Product and Service Lifecycle Model. Ce changement reflète une évolution majeure dans la façon dont les organisations créent de la valeur.

La distinction entre "produit numérique" et "service" devient centrale. Un produit numérique (une application, une plateforme, un portail) a son propre cycle de vie, qui peut générer plusieurs services. Cette approche "product-centric" rapproche ITIL des pratiques DevOps et Product Management que beaucoup d'équipes IT ont déjà adoptées.

Pour les DSI, cela signifie repenser la gouvernance. Il ne suffit plus de gérer des services dans un catalogue. Il faut piloter des produits numériques avec une vision bout en bout, de la stratégie à l'expérience utilisateur.

4. 📚 Une nouvelle architecture de publications

ITIL v5 propose six ouvrages, dont quatre publications "coeur" :

• ITIL Strategy : alignement stratégique, gouvernance
• ITIL Product : gestion du cycle de vie des produits numériques
• ITIL Service : delivery et opérations des services
• ITIL Experience : expérience utilisateur et client

Auxquels s'ajoutent deux publications complémentaires :

• ITIL Transformation : accompagnement du changement organisationnel
• ITIL AI Governance : gouvernance de l’intelligence artificielle

L'ajout d'un livre entier consacré à l'Expérience est révélateur. ITIL v5 place l'utilisateur final au centre du jeu. Ce n'est plus seulement une question de SLA respectés ou de tickets résolus dans les temps. C'est la qualité perçue de l'expérience qui devient le vrai indicateur de succès.

5. 📊 ITIL v4 vs ITIL v5 : les changements clés en un coup d’oeil

6. 🛠️ Comment préparer votre DSI dès maintenant

Pas besoin d'attendre que tout le monde soit certifié v5 pour agir. Voici quatre chantiers concrets à lancer dès ce trimestre.

🗺️ Cartographier vos produits numériques

Commencez par identifier vos produits numériques et les services qui en découlent. La plupart des DSI raisonnent encore uniquement en "catalogue de services". ITIL v5 vous demande de remonter d'un cran et de piloter aussi les produits. Un portail RH, par exemple, est un produit qui rend possible plusieurs services (onboarding, demande de congés, accès à la paie).

🤖 Auditer vos capacités IA avec le modèle 6C

Prenez les six dimensions du modèle (Creation, Curation, Clarification, Cognition, Communication, Coordination) et évaluez où vous en êtes sur chacune. Beaucoup de DSI découvriront qu'elles ont investi massivement dans la Communication (chatbots) tout en négligeant la Coordination (automatisation de workflows complexes).

📏 Mesurer l’expérience, pas seulement la performance

ITIL v5 consacre un livre entier à l'Expérience. Si vos KPI se limitent aux taux de résolution et aux temps de réponse, il est temps d'ajouter des indicateurs centrés utilisateur : score de satisfaction (CSAT), effort perçu (CES), et Net Promoter Score interne.

Un incident résolu en 30 minutes mais qui a demandé 5 relances à l'utilisateur n'est pas un succès. ITIL v5 formalise cette distinction.

🧰 Choisir des outils alignés avec cette vision

Votre outil ITSM/ESM actuel est-il prêt pour ITIL v5 ? La question mérite d'être posée. Les solutions héritées, conçues autour du ticket et du SLA, montrent leurs limites face à une approche produit-centrée et orientée expérience.

C'est exactement la philosophie de KLX ESM : un outil construit pour la gestion des services d'entreprise dans sa globalité, pas seulement l'IT. Avec son approche low-code, son portail self-service moderne et ses capacités d'automatisation, KLX ESM s'inscrit naturellement dans la vision portée par ITIL v5.

7. 🎯 Ce qu’il faut retenir

ITIL v5 n'est pas une rupture brutale avec ITIL 4. Les 34 pratiques de gestion conservent leurs noms, les principes directeurs restent pertinents, et les certifications existantes ne deviennent pas caduques du jour au lendemain.

Mais l'orientation change profondément. Le référentiel passe d'une logique de gestion de services IT à une logique de gestion de produits et services numériques. L'IA n'est plus un sujet annexe, c'est un pilier structurant. Et l'expérience utilisateur devient un livrable à part entière, pas un bonus.

KLX ESM accompagne cette transition vers ITIL v5 :
➡️ Une approche ESM native qui dépasse le périmètre IT,
➡️ Des workflows automatisés alignés avec le nouveau cycle de vie produit,
➡️ Un portail self-service pensé pour l'expérience utilisateur,
➡️ Un outil français, souverain, prêt pour les exigences de l'Industrie 5.0.

Le portail ESM unifié : comment une seule plateforme remplace 5 outils dans votre organisation

Les organisations françaises croulent sous le poids de leurs propres outils. Selon le rapport Stonebranch 2026, 89% des entreprises utilisent trop d'outils d'automatisation, créant une fragmentation qui paralyse l'efficacité. Un constat que les DSI connaissent trop bien : l'IT a son portail, les RH leur SIRH, les services généraux leurs tableurs, et chaque département ses propres silos.

Face à cette multiplication des plateformes, le portail ESM unifié émerge comme la réponse structurelle. Non pas un outil de plus, mais une plateforme qui en remplace cinq, en centralisant IT, RH, services généraux, achats et juridique dans une interface unique.

1. 🔍 Le problème : trop d’outils, pas assez d’orchestration

Le rapport Stonebranch 2026 met en lumière un paradoxe : les entreprises investissent dans l'automatisation, mais échouent à orchestrer ces outils entre eux. Résultat ? Des silos qui bloquent la productivité au lieu de la libérer.

📊 La réalité du terrain

Dans une PME ou ETI typique, voici ce que l'on trouve :

• Un outil ITSM pour l’IT (souvent ServiceNow, Jira Service Management, ou un concurrent)
• Un SIRH pour les demandes RH (congés, notes de frais, onboarding)
• Des tableurs partagés pour les services généraux (réservation salles, demandes matériel)
• Des emails pour les achats et le juridique
• Un intranet statique qui centralise… des liens vers ces outils

Chaque outil a son propre système d'authentification, ses propres processus, sa propre interface. Le collaborateur jongle entre 5 plateformes pour accomplir des tâches simples. Le DSI gère 5 licences, 5 contrats, 5 intégrations à maintenir.

💸 Le coût caché de la fragmentation

Cette dispersion a un prix réel :

• Temps perdu : 15 à 30 minutes par jour et par collaborateur à chercher le bon outil, le bon formulaire
• Coûts de licence : multiplier les plateformes revient souvent plus cher qu’une solution unifiée
• Complexité technique : chaque outil nécessite maintenance, mises à jour, support, formation
• Données fragmentées : impossible d’avoir une vue d’ensemble sur l’activité de l’organisation

Le marché commence à en prendre conscience. ServiceNow, leader historique de l'ITSM, a perdu 5,9% en bourse récemment, notamment en raison de la crainte d'une disruption par l'IA. Les investisseurs anticipent que l'automatisation intelligente rendra obsolètes les plateformes lourdes et cloisonnées.

2. 🎯 La solution : un portail ESM unifié

Un portail ESM unifié inverse la logique. Au lieu d'ajouter un outil par besoin métier, il centralise tous les services de l'entreprise dans une seule plateforme accessible via un portail self-service.

🧩 Les 5 outils remplacés

✅ Les bénéfices concrets

Pour les collaborateurs :

• Une seule URL à retenir
• Une authentification unique (SSO)
• Une interface cohérente pour toutes les demandes
• Un suivi unifié de toutes leurs requêtes

Pour les équipes support (IT, RH, services généraux) :

• Une base de données centralisée
• Des workflows automatisés qui réduisent les tâches manuelles
• Une vision complète de la charge de travail
• Des SLA et métriques harmonisées

Pour la direction et le DSI :

• Réduction des coûts de licence (5 outils → 1 plateforme)
• Simplification de la stack technique
• Données consolidées pour piloter l’activité
• ROI mesurable sur la productivité

3. 🚀 L’automatisation agentique, nouvelle frontière de l’ESM

Les DSI français l'ont compris : selon le rapport Alliancy/CAP IT 2026, l'automatisation agentique devient une priorité stratégique. Il ne s'agit plus seulement de gérer des tickets, mais de déléguer des processus entiers à des agents intelligents qui orchestrent les actions entre services.

🤖 Comment l’IA transforme le portail ESM

Un portail ESM moderne intègre l'automatisation intelligente :

• Triage automatique : l’IA analyse la demande et la route vers le bon service
• Réponses suggérées : la base de connaissances propose des solutions avant même de créer un ticket
• Workflows adaptatifs : les processus s’ajustent en fonction du contexte (urgence, département, historique)
• Prédiction des besoins : anticiper les demandes récurrentes et proposer des actions proactives

Mais attention, le rapport Gartner 2026 nous rappelle une réalité : 50% des organisations exigeront des évaluations "AI-free" pour certains processus critiques. L'IA doit rester un assistant, pas un décideur opaque. Un bon portail ESM offre donc le choix : automatisation où elle apporte de la valeur, contrôle humain où il est nécessaire.

4. 📐 Les critères d’un portail ESM unifié efficace

Tous les portails ESM ne se valent pas. Voici les critères à vérifier avant de choisir une plateforme ESM unifiée :

🔧 Flexibilité et personnalisation

• Formulaires sur mesure : chaque service a ses propres besoins, le portail doit s’adapter
• Workflows configurables : créer des processus métier sans développement complexe
• Intégrations ouvertes : capacité à se connecter aux outils existants (annuaire LDAP, outils métier, API tierces)

⚡ Performance et simplicité

• Interface intuitive : adoption rapide sans formation lourde
• Recherche intelligente : trouver l’info ou le formulaire en quelques secondes
• Mobile-first : accessible depuis smartphone pour les collaborateurs terrain

💰 Coût maîtrisé

• Licence unifiée : un tarif qui couvre tous les services, pas de surcoût par module
• Déploiement rapide : ROI rapide grâce à une mise en place en semaines, pas en mois
• Hébergement maîtrisé : SaaS ou on-premise selon la politique de l’entreprise

5. 🇫🇷 KLX ESM : le portail unifié conçu pour les PME et ETI françaises

KLX ESM incarne cette vision du portail ESM unifié. Développée en France, la plateforme a été pensée pour répondre aux besoins spécifiques des organisations de 50 à 5000 collaborateurs qui cherchent à simplifier leur gestion multi-services sans passer par des solutions enterprise complexes et coûteuses.

🎯 Ce qui distingue KLX ESM

• Multi-services natif : IT, RH, services généraux, achats, juridique dans une seule interface
• Portail self-service intuitif : les collaborateurs trouvent ce qu’ils cherchent en moins de 10 secondes
• Workflows visuels : créez et modifiez vos processus métier sans coder
• Base de connaissances intégrée : réduisez les tickets en donnant accès aux réponses 24/7
• Tarification transparente : une licence par utilisateur, tous modules inclus
• Déploiement express : opérationnel en 2 à 4 semaines

📊 Comparaison avec l’approche traditionnelle

🎬 Conclusion : simplifier pour mieux servir

Le constat du rapport Stonebranch 2026 est sans appel : la multiplication des outils paralyse plus qu'elle n'aide. Face à cette fragmentation, le portail ESM unifié n'est pas une tendance, c'est une nécessité stratégique.

KLX ESM représente cette nouvelle génération de plateformes :
➡️ une interface unique pour tous les services de l'entreprise,
➡️ des workflows intelligents qui réduisent les frictions,
➡️ une vraie simplification opérationnelle qui libère du temps pour l'essentiel.

Plutôt que d'empiler un sixième outil, posez-vous la question : et si vous passiez à un portail ESM unifié qui en remplace cinq ?

👉 Découvrez comment KLX ESM peut unifier vos services et simplifier votre quotidien. Contactez-nous pour une démo personnalisée : klx.keolux.fr/contact

GMAO et cybersécurité : pourquoi sécuriser vos outils de maintenance est devenu critique en 2026

En mars 2026, la publication de quatre CVE critiques touchant BMC FootPrints ITSM a secoué le monde de la gestion de maintenance. Exécution de code à distance, contournement d'authentification, requêtes SSRF : des failles qui permettent à un attaquant de prendre le contrôle total d'un outil censé gérer vos équipements industriels. En parallèle, la directive européenne NIS2, pleinement applicable depuis octobre 2024, impose désormais des sanctions lourdes aux entreprises qui négligent la sécurité de leurs systèmes d'information, y compris les outils de maintenance.

Si vous utilisez une GMAO en 2026, la question n'est plus "faut-il la sécuriser ?" mais "est-ce déjà fait ?"

1. 🔓 Les failles BMC FootPrints : un signal d’alarme pour toute la filière GMAO

Le 19 mars 2026, quatre vulnérabilités ont été publiées simultanément sur BMC FootPrints ITSM, un logiciel utilisé par des milliers d'entreprises pour gérer leurs tickets de maintenance et leurs actifs :

• CVE-2025-71260 : désérialisation de données non fiables permettant l’exécution de code à distance (RCE)
• CVE-2025-71257 : absence d’authentification sur des fonctions critiques
• CVE-2025-71259 et CVE-2025-71258 : deux failles SSRF (Server-Side Request Forgery) exploitables pour scanner le réseau interne

Concrètement, un attaquant pouvait prendre le contrôle du serveur GMAO, accéder aux données de maintenance, aux schémas d'équipement, aux plannings d'intervention, et potentiellement pivoter vers les systèmes industriels (SCADA, automates). Le tout sans identifiant valide grâce à la faille d'authentification.

Ce n'est pas un cas isolé. En 2025, des failles similaires avaient touché ManageEngine ServiceDesk et Ivanti Neurons, deux autres outils de gestion IT/maintenance. Le message est clair : les logiciels de GMAO sont devenus des cibles prioritaires.

2. 🏭 Pourquoi votre GMAO est une cible de choix pour les cyberattaquants

Beaucoup d'entreprises considèrent encore leur GMAO comme un simple outil de gestion de bons de travail. En réalité, une GMAO moderne concentre des données extrêmement sensibles :

• Cartographie complète des équipements : localisation, criticité, état de fonctionnement
• Plannings d’intervention : qui intervient où, quand, avec quels accès
• Historiques techniques : fréquences de pannes, vulnérabilités connues des machines
• Connexions aux systèmes industriels : API vers les SCADA, les automates, les capteurs IoT
• Données fournisseurs : contrats, coordonnées, accès sous-traitants

Pour un attaquant, compromettre la GMAO revient à obtenir le plan complet de l'infrastructure industrielle et les moyens d'y accéder. C'est l'équivalent numérique de voler le trousseau de clés du directeur technique.

Les secteurs les plus exposés ? L'énergie, l'eau, les transports, l'agroalimentaire et la santé. Exactement les secteurs ciblés par NIS2.

3. ⚖️ NIS2 : la GMAO entre dans le périmètre réglementaire

La directive NIS2 (Network and Information Security 2), transposée en droit national dans la majorité des pays européens, élargit considérablement le périmètre des entreprises soumises à des obligations de cybersécurité. Et la GMAO est directement concernée.

📋 Ce que NIS2 exige pour vos outils de maintenance

• Analyse de risques : chaque logiciel critique (dont la GMAO) doit faire l’objet d’une évaluation formelle
• Gestion des incidents : obligation de détecter, notifier et traiter les incidents de sécurité sous 24h
• Sécurité de la chaîne d’approvisionnement : vos fournisseurs de GMAO doivent eux aussi respecter des standards
• Contrôle d’accès et chiffrement : authentification forte, journalisation, données chiffrées au repos et en transit
• Plans de continuité : que se passe-t-il si votre GMAO tombe ? Vos maintenances s’arrêtent ?

Les sanctions prévues par NIS2 vont jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités essentielles. La responsabilité personnelle des dirigeants peut également être engagée.

Autrement dit, utiliser une GMAO non sécurisée n'est plus seulement un risque technique. C'est un risque juridique et financier majeur.

4. 🔍 Les 7 critères de sécurité à exiger de votre GMAO

Que vous choisissiez une nouvelle solution ou que vous auditiez votre outil actuel, voici les critères de sécurité non négociables en 2026 :

Le choix d'un outil de maintenance sécurisé n'est plus un luxe. C'est une nécessité opérationnelle et réglementaire.

5. 🛡️ Plan d’action : sécuriser votre GMAO en 5 étapes

Vous n'avez pas besoin de tout changer du jour au lendemain. Voici un plan réaliste pour mettre votre GMAO en conformité avec les exigences de 2026 :

🔹 Étape 1 : Auditer votre GMAO actuelle

Vérifiez les versions logicielles, les CVE connues, les configurations par défaut. Un outil comme FootPrints non patché après le 19 mars 2026 est une bombe à retardement.

🔹 Étape 2 : Activer l’authentification forte

MFA obligatoire pour tous les utilisateurs, surtout les comptes administrateurs et les techniciens terrain avec accès mobile. Un mot de passe seul ne suffit plus.

🔹 Étape 3 : Segmenter les accès réseau

Votre GMAO ne devrait pas être accessible depuis n'importe quel poste du réseau. Isolez-la, limitez les flux, surveillez les connexions inhabituelles. Les failles SSRF de FootPrints montrent qu'un accès réseau non segmenté permet de rebondir vers les systèmes industriels.

🔹 Étape 4 : Documenter pour NIS2

Formalisez votre analyse de risques, vos procédures d'incident, vos plans de continuité. NIS2 exige des preuves documentées, pas des bonnes intentions.

🔹 Étape 5 : Évaluer une migration vers un outil nativement sécurisé

Si votre GMAO actuelle accumule les dettes de sécurité, la migration vers une solution conçue dès le départ pour la sécurité peut être plus rentable que le rattrapage. KLX ESM a été développé avec la sécurité comme fondation, pas comme un ajout tardif.

6. 🚀 Conclusion : la sécurité n’est plus optionnelle pour la maintenance

Les failles BMC FootPrints de mars 2026 ne sont pas un accident. Elles sont le symptôme d'une industrie qui a trop longtemps considéré la GMAO comme un outil "interne" à l'abri des menaces. Avec NIS2, les entreprises qui ne protègent pas leurs systèmes de maintenance s'exposent à des sanctions financières, des arrêts de production et des atteintes à leur réputation.

KLX ESM représente cette nouvelle génération d'outils de maintenance :
➡️ Sécurité native avec chiffrement, MFA et RBAC granulaire,
➡️ Hébergement souverain conforme aux exigences européennes,
➡️ Conformité NIS2 intégrée dès la conception,
➡️ Interface moderne qui ne sacrifie pas l'expérience utilisateur à la sécurité.

👉 Découvrez KLX ESM et passez à un outil de maintenance sécurisé, conforme et pensé pour 2026.