Évolution des systèmes d'information PDF

Évolution des systèmes dʼinformation Tous droits réservés à STUDI - Reproduction interdite Table des matières Table des matières I. Introduction 3 II. Évolution des SI, complexe et nécessaire 3 A. Diversité dʼapplications et de données.......................................................................................................................3 B. Évolution du SI et spaghettis.......................................................................................................................................3 C. Besoin de cohérence et dʼintégration.........................................................................................................................5 D. Systèmes dʼInformation Inter-Organisationnels (SIIO)..............................................................................................6 III. Exercice : Quiz 7 IV. Cartographie et cohérence du SI 8 A. Principes et intérêts de la cartographie......................................................................................................................8 B. Étapes de construction de la cartographie...............................................................................................................12 C. Urbanisation du SI......................................................................................................................................................13 V. Exercice : Quiz 17 VI. Nouvelles pratiques 18 A. Données ouvertes (Open Data)..................................................................................................................................18 B. Innovation ouverte (Open innovation)......................................................................................................................21 C. BYOD (Bring Your Own Device)..................................................................................................................................22 VII. Exercice : Quiz 24 VIII. Rôles des référentiels 25 A. Objectifs des normes et référentiels..........................................................................................................................25 B. Normes et référentiels couramment utilisés............................................................................................................26 IX. Exercice 27 X. Essentiel 27 Solutions des exercices 28 2 Tous droits réservés à STUDI - Reproduction interdite I. Introduction Sens et portée de l'étude Compétences visées Notions et contenus Prendre en compte la diversité Participer à lʼélaboration dʼune Les principes dʼévolution des SI des applications et des données cartographie applicative dʼune dans lʼorganisation. organisation. Cartographie du système dʼinformation Aborder lʼinteropérabilité et les Accompagner une démarche de Systèmes dʼInformation Inter- mise en cohérence de systèmes Open data, Open innovation, Organisationnels (SIIO). dʼinformation inter- Bring Your Own Device organisationnels. Rôles des référentiels (ITIL, COBIT, ISO) II. Évolution des SI, complexe et nécessaire A. Diversité dʼapplications et de données Les besoins des métiers et du décisionnel en solutions informatisées nécessitent lʼimplémentation dʼapplications diﬀérentes (dʼorigines diﬀérentes - modules dʼERP, développements spécifiques, etc. - et sur des supports divers : serveurs dédiés, solutions mobiles, dans le nuage, etc.). En général il existe une multitude de solutions (ou briques applicatives) dans un SI, car aucune ne couvre à elle seule la totalité des besoins fonctionnels. Certaines sont construites sur mesure (coûteuses, mais adaptées et favorisant un avantage concurrentiel), dʼautres sont des solutions commercialisées (des progiciels plus accessibles, parfois sous-exploités et paramétrables moyennant de coûteux eﬀorts). Par ailleurs, le recours à des données dans des formats hétérogènes nécessite des conversions pour que les échanges automatisés entre applications soient assurés. Fondamental L'interopérabilité est importante lorsquʼil est question dʼautomatiser les processus. Exemple Pour un processus de gestion de la paie totalement automatisé (sans intervention humaine) au sein dʼun site industriel, il faut par exemple que les données issues dʼune badgeuse (heures de travail réalisées) soient récupérables par un progiciel de paie en vue de réaliser les traitements appropriés. B. Évolution du SI et spaghettis Fruit dʼajouts et décommissionnements successifs de composants, le Legacy (ou « SI Core ») peut sʼapparenter à un certain stade de son évolution à un plat de spaghetti ou une usine à gaz. Évolution des SI, complexe et nécessaire Remarque Le syndrome du plat de spaghettis (Penny Grubb et Armstrong A. Takang) « Un système informatique désordonné c'est comme une assiette de spaghettis : il suﬀit de tirer sur un fil d'un côté de l'assiette pour que l'enchevêtrement des fils provoque des mouvements jusqu'au côté opposé. » Fonctions en doublon, fort couplage (interdépendance des solutions), données éparpillées, traitements peu ou pas documentés, composants obsolètes, etc. Le manque de visibilité et de cohérence nuit à la performance du SI. Lʼimplémentation dʼinterfaces pour lier les applications, automatiser les échanges entre ces dernières et ainsi favoriser lʼintégration du SI nʼest pas sans complexifier la gestion du parc applicatif. Remarque La notion dʼinterface (programme liant deux composants pour leur permettre dʼéchanger de manière automatisée) est développée dans le cours sur lʼarchitecture du SI. L'organisation du SI peut être fortement entremêlée au risque de paralyser les possibilités dʼévolution. Exemple Le SI dʼune organisation peut, pêle-mêle et au grand désespoir du DSI, regrouper des SI liés aux achats et approvisionnements, le SIRH (SI des Ressources Humaines : gestion des personnels, paie, recrutement, formation, etc.), les solutions de gestion des stocks, le site web de lʼorganisation, les solutions décisionnelles, un CRM (Customer Relationship Management, gestion de la relation client et des prospects), un progiciel de facturation, etc. L'interaction entre ces solutions est nécessaire, mais nʼest pas sans poser des diﬀicultés : moyens pour développer des interfaces et/ou les implémenter, rationalité limitée en lʼabsence dʼune vision et réflexion globale (cartographie), cohérence (sens des flux, périodicité et synchronicité) et multiplicité (pour 10 modules interconnectés les uns aux autres, 45 liens sont tissés) des interfaces. 4 Tous droits réservés à STUDI - Reproduction interdite Évolution des SI, complexe et nécessaire C. Besoin de cohérence et dʼintégration Exemple Complexité de lʼintégration dʼun SI Source : Jean-Michel LUCAS1 « Imaginons un SI composé de 3 modules : un CRM (pour les commerciaux), une gestion commerciale permettant de faire des devis détaillés (avec catalogue de produits et services intégrés) et un système de facturation. Voici un flux simple : le commercial identifie un prospect et une opportunité, il les saisit dans le CRM. Son prospect souhaitant recevoir un devis, une première interface permet au système de gestion commerciale de recevoir les informations relatives au prospect, sans que lʼon ait à les ressaisir. Puis le devis est réalisé, et sʼil est accepté, transmis par une seconde interface au système de facturation. On voit dans cette chaîne simple deux interfaces : CRM vers gestion commerciale et gestion commerciale vers la facturation. Il est clair que le premier intérêt de la mise en place de telles interfaces réside dans le fait quʼil évite la saisie multiple dʼinformation, ainsi ici, le nom du prospect saisi en amont dans le CRM, nʼaura plus à être écrit de nouveau jusquʼà lʼémission de la facture. Se pose la question de la « vélocité » de ces interfaces. Peut-on accepter un délai dʼune journée voire dʼune heure entre la création dʼun prospect dans le CRM et sa prise en compte dans le système de gestion commerciale ? Quel(s) est(sont) par ailleurs le(s) événement(s) déclencheur(s) de la transmission dʼinformations ? » Cet exemple, parmi tant dʼautres, illustre la nécessité dʼavoir une vision complète du SI, qui est le support de réalisation de lʼactivité. Mais le pilotage du SI doit dépasser le cadre de son Maintien en Condition Opérationnelle (MCO). Comme lʼa évoqué le cours sur la stratégie SI, la démarche de gouvernance SI propose un cadre adapté à un pilotage cohérent associé à une vision long-terme des évolutions. Lʼobjectif est dʼassurer la cohérence dans la structuration et lʼévolution du SI. Fondamental Pour rester performant, le SI doit être résilient, capable dʼévoluer facilement (flexibilité) et supporter les montées en charge (scalabilité, capacité à faire face à un volume dʼactivité plus important). Pour favoriser lʼintégration du SI et son évolution, plusieurs pistes sont envisageables : Développer une Stratégie SI documentée dans un SDSI qui mettra en évidence les plans dʼactions et budgets associés (cf. cours sur la stratégie SI). Réaliser des cartographies mettant en évidence les composants, mais aussi et surtout les liens entre eux (interfaces). Déployer des solutions à large couverture fonctionnelle et très intégrées (base de données unique utilisée par diﬀérents modules paramétrables), telles que les systèmes dʼentreprise ERP. Urbaniser le SI (notion développée dans la suite du cours), en implémentant par exemple une solution EAI / ESB créant du liant entre les applications du SI existant. Explorer de nouvelles pratiques (Open innovation ou encore BYOD). Notons enfin que le recours aux référentiels et normes permet à la fois lʼévolution cohérente du SI, mais permet aussi et surtout de garantir sa pérennité. 1 https://jeanmichellucas.fr/tag/si-rh/ Tous droits réservés à STUDI - Reproduction interdite 5 Évolution des SI, complexe et nécessaire D. Systèmes dʼInformation Inter-Organisationnels (SIIO) Développement de lʼexternalisation des activités (recours à des sous-traitants), du travail collaboratif, des places de marchés, etc. autant de situations qui nécessitent de développer des SI Inter-Organisationnels (SIIO) afin de mettre en place des processus traversant les frontières de lʼorganisation. Remarque Défini en 1982, le SIIO est un « SI automatisé partagé par au moins deux organisations ». À l'origine il est confondu avec le concept d'Échange de Données Informatisées (EDI). Exemple SIIO liant une entreprise, son client et ses sous-traitants Dans lʼexemple illustré ci-dessous, lʼentreprise a mis en place un EDI : elle échange des messages au format XML (langage ouvert) avec une entreprise cliente et deux entreprises faisant oﬀice de sous-traitants. Les échanges de documents se font via des applications connectées (via Internet ou selon un réseau privatif) et les données sont structurées selon des normes techniques internationales de références. Source : A. AUBERT Benoît & DUSSART Aymeric. Systèmes DʼInformation Inter-Organisationnels. Rapport Bourgogne. 2002. Les SIIO permettent plusieurs types ou modes de collaboration, et leur déploiement sʼaccompagne de défis spécifiques. 6 Tous droits réservés à STUDI - Reproduction interdite Exercice : Quizsolution SSIO dʼinformations partagées Un Extranet ou une place de marché (marketplace permettant à des vendeurs et acheteurs de réaliser des transactions) nécessitent le développement dʼun SIIO dʼinformations partagées (en étoile). Ce SIIO centralise les informations, il met en relation des partenaires dʼaﬀaires. Il permet dʼassurer diﬀérentes fonctions : rencontre entre acheteurs et vendeurs, catalogage référençant les produits, négociation (achat immédiat ou enchères, proposition dʼoﬀres à prix négociés, etc.), logistique (de lʼordre dʼachat à la livraison), respect du cadre légal (code du commerce), etc. avec le défi dʼintégrer le SI aux processus existants, mais aussi de maitriser les coûts dʼaccès. SSIO de chaîne dʼapprovisionnement / de valeur Ce SIIO correspond à une organisation séquentielle des activités de la chaîne dʼapprovisionnement (ou supply chain, faisant intervenir successivement les fournisseurs, grossistes, etc. jusquʼaux consommateurs). Lʼobjectif est de réduire les temps de cycle, les inventaires ou encore de favoriser la flexibilité. Cela nécessite néanmoins de sʼappuyer sur des technologies ouvertes et de déployer un cadre sécurisé. SSIO réseau Le SIIO réseau permet des flux dynamiques entre collaborateurs (employés ou entreprises) en proposant la gestion des workflows, la Gestion Électronique des Documents (GED), etc. Ce déploiement, souvent nécessaire de par lʼexternalisation de certaines fonctions de lʼentreprise, requiert une gestion des formats multiples et de forts investissements initiaux. Il met en relation des organisations qui certes bénéficient de la force dʼun réseau, mais deviennent interdépendantes les unes des autres. Remarque Une démarche BPO (Business Process Outsourcing) consiste à confier la gestion dʼun processus dans sa globalité (paie par exemple) à un prestataire externe. Il faut dans ce cas déployer un SSIO réseau pour permettre les échanges de flux (heures de travail, etc.) entre les organisations partenaires. Fondamental Accompagner la mise en cohérence des SIIO Dans tous les cas les organisations liées par des SIIO doivent partager les mêmes objectifs et maintenir une confiance mutuelle (elles doivent être convaincues de lʼintérêt de la solution, mais aussi lutter contre la rétention dʼinformations). Par ailleurs, le déploiement des SIIO doit se faire dans une perspective dʼalignement stratégique. Quelles que soient les technologies employées (EDI, Extranet ou solutions propriétaire), il nécessite une refonte des processus, un accompagnement du changement et la mise en place de solutions sécurisées pour les échanges. Exercice : Quiz [solution n°1 p.29] Question 1 On souhaite lier 5 applications du SI entre elles. Combien dʼinterfaces sont nécessaires ?  Une seule  4 interfaces  5 interfaces  25 interfaces  Aucune des réponses précédentes Tous droits réservés à STUDI - Reproduction interdite 7 Cartographie et cohérence du SI Question 2 Le syndrome du plat de spaghettis :  Est lié au couplage fort des solutions du SI  Est à distinguer de la métaphore de lʼusine à gaz  Est lié à lʼabsence dʼinterfaces  Signifie que le SI est désordonné Question 3 Le fait dʼimplémenter des interfaces apporte une solution aux problèmes de cohérence du SI.  Vrai  Faux Question 4 La scalabilité du SI est sa capacité à :  Supporter la montée en charge  Recourir à de multiples supports  Supporter des cyberattaques Question 5 Exemples de SIIO :  Intranet  Marketplace  Extranet IV. Cartographie et cohérence du SI A. Principes et intérêts de la cartographie Le début de ce cours a mis en évidence les lacunes du développement dʼun SI (quʼil soit inter-organisationnel ou pas) sans vision globale de ses composants et interactions (interfaces logicielles). La cartographie du SI est nécessaire pour piloter le SI et ses évolutions dans un contexte sécurisé, elle permet aussi dʼidentifier les risques potentiels (maillons faibles dans une architecture, composants bientôt obsolètes). Elle précise les liens entre les couches (ou strates) techniques, fonctionnelles et applicatives. Elle permet par ailleurs de mettre en évidence les processus clés (liés à la satisfaction client, la continuité du business, etc.), auxquels il faudra prêter davantage attention. Notons quʼil nʼy a pas une mais des cartographies, qui sont représentées selon diﬀérentes vues : une représentation peut mettre en évidence les processus, une autre lister les composants et leurs descriptions (applications, infrastructures, etc.). 8 Tous droits réservés à STUDI - Reproduction interdite Cartographie et cohérence du SI Fondamental Lʼobjectif de la cartographie est de fournir un support lisible, compréhensible et utile à chaque instant. Il faut donc être pragmatique dans sa construction (ne pas la surcharger d'informations inutiles dans lʼimmédiat pour le lecteur) et mobiliser diﬀérents acteurs pour ce projet. Exemple Exemples de cartographies du SI dʼun tunnel routier Cet exemple fictif est tiré du guide de lʼANSSI cité précédemment. Il sʼagit du SI dʼun tunnel routier de type monotube à circulation bidirectionnelle dʼune longueur de 2 550 mètres. Le tunnel est supervisé depuis un poste de contrôle et de commande distant localisé à Millau. Un poste de contrôle et de commande secondaire utilisé en secours est localisé sur site coté Meyrueis. À lʼintérieur du tunnel, des niches sont installées tous les 200 mètres environ. On y trouve des piquages pour les divers fluides, des alimentations électriques ou des commutateurs pour les réseaux informatiques présents. Tous droits réservés à STUDI - Reproduction interdite 9 Cartographie et cohérence du SI Cette vue correspond à la strate applicative : 10 Tous droits réservés à STUDI - Reproduction interdite Cartographie et cohérence du SI Tous droits réservés à STUDI - Reproduction interdite 11 Cartographie et cohérence du SI B. Étapes de construction de la cartographie Dans son guide dʼélaboration de la cartographie du SI (ANSSI1), lʼANSSI propose une démarche en cinq étapes, qui débute comme dans tout projet dʼévaluation et dʼaudit par une définition du périmètre. Fondamental Pérenniser la cartographie nécessite de déterminer les droits dʼaccès (vues dʼinfrastructures accessibles à la DSI, vues métiers rendues publiques aux acteurs, etc.), de stocker celle-ci en dehors du SI, de la sauvegarder régulièrement et de la désigner une fonction responsable du suivi des mises à jour. Lʼillustration suivante présente ces étapes dʼélaboration de la cartographie, qui sʼinscrit dans une démarche projet et une perspective dʼamélioration continue. Comme tout projet, la communication tout au long des avancées est importante, tout comme lʼadoption dʼun langage commun (dans le cas présent, un modèle de cartographie) et le fait de définir un processus de mise à jour. 1 https://www.ssi.gouv.fr/guide/cartographie-du-systeme-dinformation/ 12 Tous droits réservés à STUDI - Reproduction interdite Cartographie et cohérence du SI C. Urbanisation du SI Inspirée du concept dʼurbanisation des villes (infrastructures de transport, architecture des quartiers, etc.) et née dans les années 80 au sein du secteur bancaire, la démarche dʼurbanisme du SI (ou urbanisation du SI) contribue à lʼalignement stratégique. Elle permet de lutter contre le syndrome du plat de spaghettis en proposant une représentation modulaire et évolutive du SI sous forme de vues (des cartographies), et permet ainsi de définir à travers un plan dʼurbanisme la cible à atteindre (SI urbanisé) et la trajectoire à suivre. Ainsi, on vise un SI cible qui sera davantage homogénéisé et évolutif (plus flexible vis-à-vis des évolutions stratégiques et technologiques). Remarque Cette démarche témoigne dʼune maturité suﬀisante dans la considération de la fonction SI. Elle nʼest pas accessible (faute de temps et de moyens) à toutes les organisations - mais est plutôt adaptée aux grosses structures avec un SI étendu. Lʼurbanisation constitue une étape importante dans lʼévolution du SI (qui nʼétait peut-être pas pilotée jusquʼà présent avec un SDSI et une prise de hauteur suﬀisante). On retrouve dans le plan dʼurbanisme des principes analogues à ceux qui permettent de construire le SDSI (notion développée dans le cours sur la stratégie SI) : lʼurbanisme du SI est une méthode qui nécessite de définir la feuille de route (roadmap) pour passer du SI existant (as-is) au SI cible (as-wished / to-be). Lʼurbanisation du SI (la mise en œuvre de la démarche dʼurbanisme) peut de manière évidente correspondre à un axe stratégique du SDSI. Les 4 couches successives des cartographies de lʼurbanisation sont les suivantes : Les Processus Métiers (PM) sont représentés sous forme de diagrammes pour la cartographie métier : qui fait quoi et avec quel objectif ? La cartographie fonctionnelle met en évidence les fonctions du SI participant aux processus. La cartographie applicative décrit les applications sollicitées pour réaliser les fonctions du SI. Lʼinfrastructure supportant le SI (réseaux, serveurs, etc.) est représentée au dans la cartographie technique. Exemple Lʼillustration suivante propose des exemples de formats de modélisations associés aux trois strates supérieures : Une modélisation des processus (diagramme BPMN), représentant lʼenchaînement des activités au sein de la cartographie métier. Une représentation urbanisée, décomposition des fonctions du SI sous forme de zones, quartiers, îlots, etc., pour la cartographie fonctionnelle (cf. suite de ce cours). Un schéma illustrant les échanges de flux entre applications pour la cartographie applicative. Tous droits réservés à STUDI - Reproduction interdite 13 Cartographie et cohérence du SI Fondamental Lʼobjectif de lʼurbanisation est de réduire le couplage au sein du SI (dépendances entre les composants) et ainsi de proposer une structuration modulaire. Exemple Au sein dʼune même application, un composant doit pouvoir être modifié sans que cela entraîne des complications pour les autres composants de cette dernière. De la même manière, le SI doit être flexible au point quʼune solution doit être remplaçable sans perturber lʼactivité du SI dans sa globalité. 14 Tous droits réservés à STUDI - Reproduction interdite Cartographie et cohérence du SI On se focalise sur la cartographie fonctionnelle. Celle-ci se situe à la jonction entre la vision métiers (les processus) et les applications mises à disposition. Illustration : Frédéric Beer (VALOPOLIS12) Un Plan dʼOccupation des Sols (POS) décrit cette strate à travers un découpage aﬀiné : Un domaine fonctionnel est une zone (zone ressource & support pour les fonctions RH, comptabilité, zone décisionnelle pour le pilotage, etc.). Un quartier désigne les opérations dans les métiers. Un îlot correspond à lʼapplication (un progiciel par exemple). Pour aller plus loin, un bloc (brique) est une fonction au sein dʼune application, un programme interne. 1 https://www.valopolis.fr/ 2 https://www.valopolis.fr/urbanisation-du-si/ Tous droits réservés à STUDI - Reproduction interdite 15 Cartographie et cohérence du SI Exemple Pour le SI dʼune agence de voyages, exemple de lʼextrait dʼune cartographie du SI cible proposée par Nicolas Jozwiak (source : publicis sapient1). Nous nous arrêtons dans un premier temps sur la zone Opération, qui spécifie les activités opérationnelles dʼachat (auprès des fournisseurs), de marketing, de conception des tours, de vente de voyage, etc. Quant à la zone ressources, elle concerne les activités de support. 1 https://blog.engineering.publicissapient.fr/ 16 Tous droits réservés à STUDI - Reproduction interdite Exercice : Quizsolution Fondamental Lʼurbanisation propose une reconfiguration de la strate fonctionnelle qui renforce la modularité des composants du SI et ouvre des perspectives dʼévolution ultérieures. Remarque Un projet dʼurbanisation nécessite, comme tout projet SI, un pilotage rigoureux et un accompagnement des acteurs (communication, sensibilisation et formation). Complément Le cabinet de conseil McKinsey propose une méthode dʼurbanisation du SI, adaptée à la transformation digitale des entreprises, en trois étapes : lʼEnterprise Architecture Management (EAM). Pour en savoir plus : urbanisation- si.com1 Exercice : Quiz [solution n°2 p.30] Question 1 1 https://www.urbanisation-si.com/ Tous droits réservés à STUDI - Reproduction interdite 17 Nouvelles pratiques La cartographie du SI permet de représenter dans une vue enrichie lʼensemble des éléments du SI, il faut donc proposer un maximum de détails au sein de celle-ci.  Vrai  Faux Question 2 Tous les acteurs doivent être en mesure dʼaccéder aux cartographies existantes.  Vrai  Faux Question 3 On débute le projet de cartographie par le choix des outils à mobiliser.  Vrai  Faux Question 4 Dans une démarche dʼurbanisation du SI, quelle vue est représentée sous forme de zones / quartiers / îlots [/blocs] ?  La vue métiers / processus  La vue fonctionnelle  La vue applicative  La vue technique Question 5 Lʼurbanisation est un projet.  Développé par la DSI en toute autonomie  Qui sʼinscrit dans un cadre de gouvernance SI  Qui nécessite un accompagnement des acteurs VI. Nouvelles pratiques A. Données ouvertes (Open Data) À l'origine il sʼagit de données libres dʼaccès (sans forcément être libres de droits ou sans propriété intellectuelle), cʼest-à-dire associées à des licences permettant leur libre utilisation, et mises à disposition des citoyens par les institutions. Cette démarche favorise la transparence et la commercialisation de nouveaux services et logiciels, qui seront créés par des entreprises innovantes. Ce peut être des données culturelles, statistiques, scientifiques, financières, environnementales, météorologiques, liées aux transports et à la géolocalisation, etc. 18 Tous droits réservés à STUDI - Reproduction interdite Nouvelles pratiques Exemple Les entreprises de transport fournissent des données ouvertes sur la circulation des bus. Elles sont ensuite exploitées par une application mobile dʼoptimisation des transports des voyageurs en fonction du trafic mesuré en temps réel (CityMapper). Remarque Certaines municipalités proposent des portails dʼaccès aux données ouvertes, ce qui contribue à la qualité du service public et à lʼattractivité de la collectivité. Les données ouvertes sont mises à disposition dans un format standard, ouvert (tel que le XML ou le CSV) et réutilisable via un portail Open Data, site Internet enrichi de manière permanente. Exemple Le portail Open Data « Plateforme ouverte des données publiques françaises » data.gouv.fr1 propose en août 2022 plus de 40 000 jeux de données liées par exemple aux copropriétés, aux égalités professionnelles, aux infrastructures de recharge des véhicules électriques ou encore aux films sortis dans les salles de cinéma. Fondamental Un portail Open Data propose une (ou des) API documentée(s) et facile(s) dʼaccès (pour faciliter lʼinterrogation par dʼautres applications via un langage standardisé) ainsi quʼun moteur de recherche des sources. 1 https://www.data.gouv.fr/fr/ Tous droits réservés à STUDI - Reproduction interdite 19 Nouvelles pratiques Exemple LʼAPI SNCF propose une large gamme de services autour des horaires théoriques et temps réels des trains SNCF. Cette API peut être utilisée à la fois par des utilisateurs des données (sur les horaires et incidents) et des partenaires commerciaux en vue de proposer des réservations, des émissions de billets, etc. « Il est possible de calculer des itinéraires, de connaître les prochains passages en gare ou localiser les gares les plus proches. (...) De nombreuses startups ont établi un partenariat avec Digital SNCF dans le cadre de lʼAPI. Cela leur a permis de proposer aux clients de nouveaux services de mobilité et de multimodalité. » Exemples de partenaires ayant recours à lʼAPI SCNF pour développer de nouvelles solutions : SNCF1. Remarque Outre la création dʼapplications innovantes pour les usages quotidiens, les données ouvertes sont utilisées dans dʼautres domaines, tels que : La recherche scientifique pour la certification de données. Lʼoptimisation des dépenses dʼune entité via lʼanalyse des coûts dʼusage. Le croisement des données écologiques pour la mise en évidence de phénomènes environnementaux. Etc. 1 https://www.digital.sncf.com/startup/api/partenaires 20 Tous droits réservés à STUDI - Reproduction interdite Nouvelles pratiques B. Innovation ouverte (Open innovation) Dépassant le cadre classique de lʼinnovation fermée (Close innovation) en laboratoire, dont l'expérimentation en vase clos permet de se protéger du regard de la concurrence, lʼinnovation ouverte permet depuis une vingtaine dʼannées de décloisonner les activités de R&D (Recherche & Développement). Définition Open Innovation (innovation ouverte) « Utilisation dʼentrées et de sorties intentionnelles de connaissances pour, respectivement, accélérer lʼinnovation interne et élargir les marchés pour externaliser lʼutilisation de lʼinnovation. Lʼopen innovation est un paradigme supposant que les entreprises peuvent utiliser des idées externes comme des idées internes, et des voies dʼaccès internes et externes au marché, afin de faire progresser leur technologie. » (Henry CHESBROUGH, inventeur du concept et professeur / directeur du « Center for Open Innovation » de Berkeley). En ouvrant lʼaccès au savoir via Internet et en proposant le recours à des pratiques collaboratives (événements, espaces dʼéchange, etc.) par une communauté partageant des valeurs (formalisées ou pas), les entreprises sortent des sentiers battus où le modèle construit en interne ne sera testé quʼen fin de course par la mise sur le marché et lʼobservation des volumes vendus. La communauté travaillant à cette innovation peut être constituée de profils très divers : industriels, agences étatiques, consommateurs, employés, instituts scientifiques, universités, etc. Les travaux dʼinnovation ouverte sont réalisés à travers : Des événements ponctuels : concours dʼinnovation, hackathons. Des programmes de développement impliquant acteurs publics et privés - projets collaboratifs où chacun vient apporter une brique au système. Des incubateurs ou accélérateurs, lieux de développement (et structures dʼaccompagnement) de startups ayant accès à des infrastructures et finances dʼorigines privées et publiques. Des réseaux ad hoc qui correspondent à des collaborations entre partenaires. Lʼesprit dʼinitiative dʼintrapreneurs, salariés de lʼentreprise qui travaillent sur un projet innovant. Remarque Pour les entreprises entreprenant cette démarche dʼinnovation ouverte, il est possible d'accroître la visibilité, d'améliorer lʼimage de marque et de bénéficier dʼopportunités de recrutements (sourcing) et de partenariats avec de grands groupes. Il y a cependant des défis à surmonter : « Du côté des grands groupes, il leur est diﬀicile de faire confiance à des startups qui nʼont que quelques mois dʼexistence. Du côté des startups, la lenteur du processus de prise de décision est un frein majeur à lʼopen innovation. Des deux côtés, le turnover, la rotation du personnel, peut mener à lʼarrêt de la relation de collaboration. Il est important de prévoir des backups. » (Source : CCI Paris IDF1). 1 https://www.entreprises.cci-paris-idf.fr/web/pme/saisir-opportunites-business/open-innovation-france-chiﬀres-cles Tous droits réservés à STUDI - Reproduction interdite 21 Nouvelles pratiques Complément Pour aller plus loin, lʼopen innovation en France, faits et chiﬀres clés En 2021, selon plusieurs études : 30 % des PME ont une équipe innovation et R&D dans leur entreprise. 33 % des innovations portent sur les procédés. 87 % des grandes entreprises reconnaissent avoir mobilisé un budget dʼopen innovation. 70 % des grandes entreprises se sont dotées dʼéquipes dédiées à la veille, au sourcing et au suivi de leur relation avec les jeunes pousses. C. BYOD (Bring Your Own Device) Définition BYOD (Bring Your Own Device) Utilisation dʼéquipements électroniques personnels, tels que le Smartphone, dans un contexte professionnel. Le RSSI sera attentif à la mise en place dʼune politique dʼusage des équipements personnels (politique de sécurité du SI) : configuration minimale, support, pratiques tolérées, etc. Le BYOD peut favoriser la productivité dans la mesure où lʼutilisateur connaît son matériel, sera moins réfractaire à accéder au réseau social dʼentreprise avec ce dernier, où les coûts liés aux matériels peuvent être réduits. Des solutions logicielles permettent de sécuriser les usages et de séparer les profils dʼentreprise et personnels. 22 Tous droits réservés à STUDI - Reproduction interdite Nouvelles pratiques Exemple Mobile Device Manager Plus est une solution de gestion des appareils mobiles d'entreprise conçue pour améliorer la productivité des employés sans compromettre la sécurité de l'entreprise (PG So ware1). Remarque Les périodes de confinement (à partir de 2020) ont accéléré le développement de tels usages en télétravail. Des réglementations internes sont apparues pour accompagner les usages dans les grands groupes, en mettant en évidence par exemple le droit à la déconnexion (usage des mails en dehors des horaires de travail, etc.). Pour résumer, voici un tableau des avantages et limites (liste non exhaustive) liés à ces nouveaux usages. Avantages Limites Coûts dʼinvestissement supportés par Perte ou vol du matériel lʼemployé Productivité plus importante Intrusions indésirables au sein du réseau Suppression de freins psychologiques dans Saturation de la bande passante certains usages (réseaux dʼentreprise) Nécessaire mise en place de solutions de Meilleure connaissance du matériel par un contrôle et de diﬀérenciation des sphères usage personnel quotidien personnelles et professionnelles 1 https://www.pgso ware.fr/mobile-device-manager-plus Tous droits réservés à STUDI - Reproduction interdite 23 Exercice : Quizsolution Avantages Limites Inégalités entre usagers selon leurs moyens personnels Formation nécessaire Cybersurveillance, décloisonnement des temps de travail et vie privée Nécessaire encadrement (temps de travail, horairesn etc.) Remarque CYOD et COPE (Source : 01Net1/) À côté du BYOD, on distingue : Le CYOD (Choose Your Own Device) où le collaborateur choisit son terminal mobile parmi une liste préétablie. Lʼentreprise supporte les frais dʼacquisition et dʼentretien du matériel, conserve le contrôle des mises à jour et lʼinstallation des applications. De son côté, le salarié bénéficie dʼun matériel qui lui convient. Le CYOD nʼinduit pas pour autant le droit à lʼutilisation personnelle de lʼéquipement. Cet aspect des choses doit faire lʼobjet dʼune convention entre les deux parties. Le COPE (Corporate Owned, Personally Enabled) où les entreprises choisissent, acquièrent et configurent les équipements mobiles des collaborateurs. Deux espaces sont diﬀérenciés et étanches sur le mobile, lʼun dédié aux missions professionnelles, lʼautre à lʼusage personnel sur lequel lʼentreprise nʼexerce ni droit de regard ni contrôle. Exercice : Quiz [solution n°3 p.31] Question 1 Les données ouvertes (open data) sont libres de droits.  Vrai  Faux Question 2 Les données ouvertes (open data) sont fournies au format PDF.  Vrai  Faux Question 3 1 https://www.01net.com/ 24 Tous droits réservés à STUDI - Reproduction interdite Rôles des référentiels Lʼinnovation ouverte (open innovation) est réalisée à travers des :  Tests dʼintrusion  Hackathons  Incubateurs  Salariés travaillant sur des projets innovants Question 4 Le BYOD signifie que :  Lʼemployé utilise son équipement personnel  Lʼemployé choisit son terminal mobile parmi une liste préétablie  Les entreprises choisissent, acquièrent et configurent les équipements mobiles des collaborateurs Question 5 Le CYOD signifie que :  Lʼemployé utilise son équipement personnel  Lʼemployé choisit son terminal mobile parmi une liste préétablie  Les entreprises choisissent, acquièrent et configurent les équipements mobiles des collaborateurs VIII. Rôles des référentiels A. Objectifs des normes et référentiels Les référentiels de bonnes pratiques apportent des canevas utiles au développement du SI, en mettant en évidence de bonnes pratiques, tandis que les normes sont des cadres plus contraignants. Ces dernières sont créées par des organismes de normalisation (au niveau international, par exemple, lʼISO). Quel est lʼintérêt des référentiels dans le cadre de lʼévolution du SI ? Ils permettent tout dʼabord dʼavoir une vision aﬀinée du management des SI en listant les processus à mettre en œuvre (bonnes pratiques du milieu), ce qui permet de travailler à développer une feuille de route présentant une liste dʼactions qui devront aussi se nourrir de la vision acérée des acteurs métiers. À ce titre le CIGREF rappelle que le référentiel doit s'inscrire dans les processus de lʼentreprise et de la DSI, et que sa mise en place doit se gérer comme un projet impliquant une conduite du changement (qui ne se réduit pas à la formation) et la mise en place dʼindicateurs de suivi des usages. Tous droits réservés à STUDI - Reproduction interdite 25 Rôles des référentiels B. Normes et référentiels couramment utilisés Pour éviter une forte redondance avec dʼautres parties du cours et alourdir la lecture, voici un listing des principales normes et principaux référentiels, ainsi que leurs intérêts dans le cadre de lʼévolution du SI. Norme ou Objectifs et utilités référentiel Référentiel centré sur la qualité de service pour les métiers (clients internes) dans une perspective dʼamélioration continue. Ces services sont adaptés à la stratégie (alignement stratégique). ITIL Permet, grâce à une approche par processus clairement définie et contrôlée, d'améliorer la qualité des SI et de l'assistance aux utilisateurs en créant notamment la fonction (au sens « département de l'entreprise ») de Centre de services ou « Service Desk » (extension du « help desk ») qui centralise et administre l'ensemble de la gestion des systèmes d'information. Référentiel avec une vision processus et proposant un cadre de gouvernance du SI dans une perspective dʼamélioration continue. Classe les ressources informatiques en catégories puis propose dans CobiT ses domaines diﬀérents processus liés à des domaines variés comme la continuité dʼactivité, la sécurité des systèmes, lʼidentification et lʼimputation des coûts, etc. CobiT apporte à lʼauditeur les moyens de contrôler et suivre lʼensemble des actions de la gouvernance dans les SI Norme consacrée au développement de lʼapproche processus au sein de lʼorganisation dans une perspective dʼamélioration continue. ISO 9001 Lʼobjectif est de voir non plus des services, ou des activités cloisonnées, mais des enchaînements dʼactivités faisant intervenir des ressources transversales (humaines et matérielles), avec pour finalité de créer de la valeur. Permet dʼoptimiser les processus SI. Norme de management de la sécurité de lʼinformation, définissant un Système de Management de la Sécurité de lʼInformation (SMSI) ISO 27001 Rassure quant à la présence de méthodes dʼanalyse des risques, dʼune gouvernance / de processus de mesure, de suivi et dʼamélioration / de responsabilités liées à la sécurité de lʼinformation Bonnes pratiques et méthodes à appliquer permettant de répondre ISO 27002 aux exigences de lʼISO 27001, présente une série de contrôles associés à des objectifs. 26 Tous droits réservés à STUDI - Reproduction interdite Exercicesolution Norme ou Objectifs et utilités référentiel Référentiel pour le développement et la maintenance des logiciels. CMMi Met en évidence la maturité de lʼorganisation dans le développement des solutions proposées, sa capacité à améliorer celles-ci et à accompagner le changement. Bonnes pratiques liées à la gestion de projets informatiques PMBok Permet de structurer les connaissances indispensables en conduite de projet. Exercice [solution n°4 p.32] Rattacher chaque norme ou référentiel de bonnes pratiques à ses objectifs. Implémentation dʼun Système de Management de la Sécurité de lʼInformation (SMSI) Apporte à lʼauditeur les moyens de contrôler et suivre lʼensemble des actions de la gouvernance dans les SI Sʼintéresse au niveau de maturité des services informatiques proposés Regroupe lʼensemble des bonnes pratiques et méthodes à appliquer permettant de répondre aux exigences de lʼISO 27001 Optimisation des processus Approche « cycle de vie » dʼun service délivré aux utilisateurs Bonnes pratiques liées à la gestion de projets informatiques ISO 9001 ISO 27001 ISO 27002 CobiT ITIL CMMI PMBok X. Essentiel L'interopérabilité au sein du SI est importante lorsquʼil est question dʼautomatiser les processus. Fruit dʼajouts et décommissionnements successifs de composants, le Legacy (ou « SI Core ») peut sʼapparenter à un certain stade de son évolution à un plat de spaghetti ou une usine à gaz : l'organisation du SI peut être fortement entremêlée au risque de paralyser les possibilités dʼévolution. Le pilotage du SI doit dépasser le cadre de son Maintien en Condition Opérationnelle (MCO). Pour rester performant, le SI doit être résilient, capable dʼévoluer facilement (flexibilité) et supporter les montées en charge (scalabilité, capacité à faire face à un volume dʼactivité plus important). Pour favoriser lʼintégration du SI et son évolution, plusieurs pistes sont envisageables : Développer une Stratégie SI documentée dans un SDSI qui mettra en évidence les plans dʼactions et budgets associés. Réaliser des cartographies mettant en évidence les composants, mais aussi et surtout les liens entre eux (interfaces). Déployer des solutions à large couverture fonctionnelle et très intégrées (base de données unique utilisée par diﬀérents modules paramétrables), telles que les systèmes dʼentreprise ERP. Tous droits réservés à STUDI - Reproduction interdite 27 Solutions des exercices Urbaniser le SI (notion développée dans la suite du cours), en implémentant par exemple une solution EAI / ESB créant du liant entre les applications du SI existant. Sʼappuyer sur de nouvelles pratiques (Open innovation, BYOD, etc.) et recourir aux référentiels et normes. Lʼobjectif de la cartographie est de fournir un support lisible, compréhensible et utile à chaque instant. Il faut donc être pragmatique dans sa construction (ne pas la surcharger d'informations inutiles dans lʼimmédiat pour le lecteur) et mobiliser diﬀérents acteurs pour ce projet. Lʼurbanisation permet de lutter contre le syndrome du plat de spaghettis en proposant une représentation modulaire et évolutive du SI sous forme de vues (des cartographies), et permet ainsi de définir à travers un plan dʼurbanisme la cible à atteindre (SI urbanisé) et la trajectoire à suivre. Solutions des exercices 28 Tous droits réservés à STUDI - Reproduction interdite Solutions des exercices Exercice p. 7 Solution n°1 Question 1 On souhaite lier 5 applications du SI entre elles. Combien dʼinterfaces sont nécessaires ?  Une seule  4 interfaces  5 interfaces  25 interfaces  Aucune des réponses précédentes Pour lier ces 5 applications, il faut que la première application (composant A) dispose de 4 liens (vers les composants B, C, D et E), la deuxième (composant B) de 3 liens (puisque le lien précédent existe entre B et A, en supposant quʼil permette des flux bidirectionnels !), etc. soit 4 + 3 + 2 + 1 = 10 interfaces. Question 2 Le syndrome du plat de spaghettis :  Est lié au couplage fort des solutions du SI  Est à distinguer de la métaphore de lʼusine à gaz  Est lié à lʼabsence dʼinterfaces  Signifie que le SI est désordonné Fruit dʼajouts et décommissionnements successifs de composants, le Legacy (ou « SI Core ») peut sʼapparenter à un certain stade de son évolution à un plat de spaghetti (ou une usine à gaz) où la multiplication des applications et interfaces sans cohérence globale en fait un ensemble désordonné. Il suﬀit de tirer sur un fil d'un côté de l'assiette pour que l'enchevêtrement des fils provoque des mouvements jusqu'au côté opposé, etc. Question 3 Le fait dʼimplémenter des interfaces apporte une solution aux problèmes de cohérence du SI.  Vrai  Faux Lʼimplémentation des interfaces présente des défis : moyens pour développer des interfaces et/ou les implémenter, rationalité limitée en lʼabsence dʼune vision et réflexion globale (cartographie), cohérence (sens des flux, périodicité et synchronicité) et multiplicité (pour 10 modules interconnectés les uns aux autres, 45 liens sont tissés) des interfaces. Question 4 La scalabilité du SI est sa capacité à :  Supporter la montée en charge  Recourir à de multiples supports  Supporter des cyberattaques Tous droits réservés à STUDI - Reproduction interdite 29 Solutions des exercices La scalabilité du SI est fondamentale, elle désigne sa capacité à supporter les montées en charge (augmentation du volume dʼactivité). Question 5 Exemples de SIIO :  Intranet  Marketplace  Extranet Un Extranet, une marketplace, sont des SIIO dʼinformations partagées (en étoile) et qui mettent en relation des partenaires dʼaﬀaires, pour des processus traversant les frontières de lʼorganisation. Exercice p. 17 Solution n°2 Question 1 La cartographie du SI permet de représenter dans une vue enrichie lʼensemble des éléments du SI, il faut donc proposer un maximum de détails au sein de celle-ci.  Vrai  Faux Il nʼy a pas une, mais des cartographies, qui sont représentées selon diﬀérentes vues : une représentation peut mettre en évidence les processus, une autre lister les composants et leurs descriptions (applications, infrastructures, etc.). Lʼobjectif de la cartographie est de fournir un support lisible, compréhensible et utile à chaque instant. Il faut donc être pragmatique dans sa construction (ne pas la surcharger d'informations inutiles dans lʼimmédiat pour le lecteur). Question 2 Tous les acteurs doivent être en mesure dʼaccéder aux cartographies existantes.  Vrai  Faux LʼANSSI précise quʼil est indispensable de prêter attention à la sensibilité voire au caractère confidentiel de certaines informations. Il est donc recommandé de limiter les accès aux diﬀérentes vues de la cartographie, pour que seules les personnes concernées puissent y accéder. Par exemple, les vues dʼinfrastructure seront accessibles à la seule DSI, alors que la vue métier pourra être partagée plus largement. Question 3 On débute le projet de cartographie par le choix des outils à mobiliser.  Vrai  Faux Le projet débute, comme dans tout projet dʼévaluation et dʼaudit, par une définition du périmètre et des objectifs de lʼaudit. La seconde étape et le choix du modèle, lʼétape de choix des outils étant la suivante. Question 4 Dans une démarche dʼurbanisation du SI, quelle vue est représentée sous forme de zones / quartiers / îlots [/blocs] ? 30 Tous droits réservés à STUDI - Reproduction interdite Solutions des exercices  La vue métiers / processus  La vue fonctionnelle  La vue applicative  La vue technique On se focalise sur la cartographie fonctionnelle pour dissocier les zones, quartiers et îlots (voire blocs). Celle-ci se situe à la jonction entre la vision métiers (les processus) et les applications mises à disposition. Question 5 Lʼurbanisation est un projet.  Développé par la DSI en toute autonomie  Qui sʼinscrit dans un cadre de gouvernance SI  Qui nécessite un accompagnement des acteurs Un projet dʼurbanisation nécessite, comme tout projet SI, un pilotage rigoureux et un accompagnement des acteurs (communication, sensibilisation et formation). Ce projet nécessite de réaliser des cartographies mobilisant les acteurs métiers pour discerner de manière précise les opérations à mettre à disposition des métiers ! Il ne peut être réalisé « en chambre » et en totale autonomie par la DSI. Exercice p. 24 Solution n°3 Question 1 Les données ouvertes (open data) sont libres de droits.  Vrai  Faux Il sʼagit de données libres dʼaccès (sans forcément être libres de droits ou sans propriété intellectuelle), cʼest-à- dire associées à des licences permettant leur libre utilisation. Question 2 Les données ouvertes (open data) sont fournies au format PDF.  Vrai  Faux Les données ouvertes sont mises à disposition dans un format standard, ouvert (tel que le XML ou le CSV) et réutilisable : le PDF est un fichier plat qui ne facilite pas les extractions de données automatisées. Question 3 Lʼinnovation ouverte (open innovation) est réalisée à travers des :  Tests dʼintrusion  Hackathons  Incubateurs  Salariés travaillant sur des projets innovants Tous droits réservés à STUDI - Reproduction interdite 31 Solutions des exercices Les travaux dʼinnovation ouverte sont réalisés à travers : Des événements ponctuels : concours dʼinnovation, hackathons. Des programmes de développement impliquant acteurs publics et privés - projets collaboratifs où chacun vient apporter une brique au système. Des incubateurs ou accélérateurs, lieux de développement (et structures dʼaccompagnement) de startups ayant accès à des infrastructures et finances dʼorigines privées et publiques. Des réseaux ad hoc qui correspondent à des collaborations entre partenaires. Lʼesprit dʼinitiative dʼintrapreneurs, salariés de lʼentreprise qui travaillent sur un projet innovant. Question 4 Le BYOD signifie que :  Lʼemployé utilise son équipement personnel  Lʼemployé choisit son terminal mobile parmi une liste préétablie  Les entreprises choisissent, acquièrent et configurent les équipements mobiles des collaborateurs Dans le BYOD, il y a utilisation dʼéquipements électroniques personnels, tels que le Smartphone, dans un contexte professionnel. Question 5 Le CYOD signifie que :  Lʼemployé utilise son équipement personnel  Lʼemployé choisit son terminal mobile parmi une liste préétablie  Les entreprises choisissent, acquièrent et configurent les équipements mobiles des collaborateurs Dans le CYOD (Choose Your Own Device), le collaborateur choisit son terminal mobile parmi une liste préétablie. À distinguer du COPE (Corporate Owned, Personally Enabled) où les entreprises choisissent, acquièrent et configurent les équipements mobiles des collaborateurs. Exercice p. 27 Solution n°4 Rattacher chaque norme ou référentiel de bonnes pratiques à ses objectifs. ISO 9001 Optimisation des processus ISO 27001 Implémentation dʼun Système de Management de la Sécurité de lʼInformation (SMSI) ISO 27002 Regroupe lʼensemble des bonnes pratiques et méthodes à appliquer permettant de répondre aux exigences de lʼISO 27001 CobiT Apporte à lʼauditeur les moyens de contrôler et suivre lʼensemble des actions de la gouvernance dans les SI ITIL Approche « cycle de vie » dʼun service délivré aux utilisateurs CMMI Sʼintéresse au niveau de maturité des services informatiques proposés PMBok Bonnes pratiques liées à la gestion de projets informatiques LʼISO 9001 sʼintéresse à lʼoptimisation des processus, et constitue la base de référence des cadres utiles à lʼaudit du SI. 32 Tous droits réservés à STUDI - Reproduction interdite Solutions des exercices Les normes ISO 27001 et 27002 sont relatives à la sécurité du SI. La norme ISO 27001 propose de mettre en place un Système de Management de la Sécurité de lʼInformation (SMSI) tandis que la norme ISO 27002, intitulée « Sécurité de l'information, cybersécurité et protection de la vie privée - Mesures de sécurité de l'information », de regrouper lʼensemble des bonnes pratiques et méthodes à appliquer permettant de répondre aux exigences de lʼISO 27001. Quant à ITIL et CMMI, ils sʼintéressent respectivement aux services délivrés aux clients internes (utilisateurs) et au niveau de maturité des services informatiques proposés (aux clients internes et externes). PMBok sʼattache aux bonnes pratiques liées à la gestion de projets informatiques. Tous droits réservés à STUDI - Reproduction interdite 33

Évolution des systèmes d'information PDF

Document Details

Tags

Related

Summary

Full Transcript