Fiche de révision DSCG UE 5 - MSI PDF

Summary

This document is a revision guide for DSCG UE 5 - Management des Systèmes d'Information, focusing on key terms and exam strategies. It includes tips for effective revision and strategies for mastering the course material.

Full Transcript

UE 5 - Management des
Systèmes d'Information

Blog des Etudiants en Compta
 Sommaire

Introduction à l'UE 5 du DSCG
1

Gouvernance des SI
8

Gestion de projet des SI
17

Gestion de la performance des SI
31

Architecture des SI
36

Sécurité des SI
50

Audit, conseil et reporting des SI
54

BEC 1
Introduction à l'UE 5 du DSCG

ASTUCES ET CONSEILS POUR REUSSIR L'UE 5
Connaître certains mots clés

Comme tu vas le voir, dans cette fiche, certains mots clés reviennent régulièrement.

Et ce, peu importe le chapitre...

Interopérabilité, efficience, scalabilité…

Sont tant de mots qu'il te va falloir remettre dans ta copie le jour de l'examen.

Évidemment, on ne met pas tous les mots et on ne les met pas au hasard, sinon adieu les
points !

La méthode à adopter

Quelle méthode adopter dans ce cas ?

Celle que j'ai appliquée et qui m'a permis d'obtenir la note de 16,5 /20 en ayant révisé
seulement 1 mois à l'avance...

Comment obtenir ces mots clés ?

Tout simplement, en lisant les corrigés des annales, eh oui !

C'est une mine d'informations sur les mots que les correcteurs aiment retrouver dans ta
copie et te rapporteront donc des points.

Tu as de la chance, tous ces mots sont répartis dans cette fiche, qui est en fait celle que
j'avais moi le jour de l'examen (mais en mieux présentée quand même !).

BEC
BEC
3 1
ASTUCES ET CONSEILS POUR REUSSIR L'UE 5

Les thèmes réccurents

Contrairement au droit par exemple, la MSI ne regroupe pas énormément de thématiques.

Mais certaines se détachent tout de même du lot comme tu peux le constater :

Le jour de l'examen

Comment procéder le jour de l'examen ?

Avant même de lire le sujet, tu prends ta feuille de brouillon et tu notes un maximum de
mots clés susceptibles d'être casés dans ta copie !

C'est bizarre ? Oui

Ça fonctionne ? Oui

Maintenant, le but du jeu c'est d'en placer le plus possible, un peu comme un bingo.

BEC
BEC 3 2
ASTUCES ET CONSEILS POUR REUSSIR L'UE 5
Faut-il faire des fiches ?
A cette question, je répondrai simplement : non.

Non, il ne faut pas obligatoirement faire des fiches. Si vous en faites, je vous invite à
répondre à ces quelques questions :
Est-ce que je suis très en retard dans l’avancement de mes fiches ?
Est-ce que je prends le temps de relire plusieurs fois (j’insiste) mes fiches plusieurs
semaines avant l’examen ?
Est-ce que j’ai du temps pour m’entraîner, en particulier sur les annales ?

Si vos réponses sont « non », autrement dit :

Si l’élaboration des fiches vous prend du temps
Sans jamais vous en faire gagner (ce qui est le but à l’origine !) car vous n’avez pas le
temps de les relire plusieurs fois
Réduisant ainsi considérablement vos entraînements (qui sont constituent la clé
pour décrocher le diplôme !)

Alors ne faites pas de fiches mais préférez acheter des fiches déjà faites.

BEC
BEC 3 3
ASTUCES ET CONSEILS POUR REUSSIR L'UE 5
Pour aller plus loin...

Voici une liste des ressources disponibles sur le blog qui peuvent t'aider à réussir l'UE 5.

Articles accessibles dans la catégorie "méthodologie" :

- Comment réviser une matière littéraire ?
- Le secret pour réussir le DCG & DSCG
- La méthode la plus efficace pour retenir son cours
- Comment bien organiser ses révisions ?
- 5 conseils pour travailler avec les annales

Documents utiles accessibles dans les "ressources" :

- Bulletin Officiel (programme) du DSCG
- Rapport du jury 2021
- Répartition des thèmes en fonction des années

Où me suivre ?

www.blogetudiantscompta.fr

blogdesetudiantsencompta

Julie Laniaud
BEC
BEC 3 4
LES ATTENDUS DE L'EXAMEN

L'importance de la mise en contexte

Outre les mots clés, il va falloir s'adapter au contexte du cas et réussir à retranscrire des
idées de réponses tirées de cette fiche appliquées au cas de l'examen.

"Elle montre une tendance qui devrait être celle des épreuves à venir c'est-à-dire une mise
en contexte du candidat et sa confrontation à des problématiques et à des décisions liées au
management des systèmes d'information en cabinet et/ou en organisation." - Rapport du
jury 2020

Maîtriser les concepts managériaux

La MSI se veut de moins en moins techniques, et davantage managériale !

« L'épreuve de Management des systèmes d’information va évoluer avec le nouveau
programme vers de moins en moins de technicité infrastructurelle et de plus en plus de
management informationnel au regard des profondes mutations systémiques impactant les
SI et la fonction SI» - Rapport du jury 2019

L'importance de la culture professionnelle

Nos métiers évoluent sans cesse, de nouveaux outils sont créés chaque année...

Intéresse-toi, fais une veille sur ces sujet pour avoir une meilleure note mais également
pour être compétent sur la thématique du digital.

La data, c'est le futur !

« Ainsi, les métiers du chiffre sont et seront largement impactés par les outils et pratiques
numériques ce qui, en toute logique, explique l’évolution de l’UE 5 elle-même.. » Rapport du
jury 2018

BEC
BEC 3 5
POUR MIEUX REVISER AVEC LES ANNALES

Détail de la récurrence des thèmes dans les annales de 2017 à 2020

Le détail des thèmes tombés dans les annales, année par année, est disponible sur le
blog > ressources > annales DSCG > UE 5 - Management des SI.

Détail de la récurrence des thèmes dans les annales de 2008 à 2020

Sur la même page, il vous est possible de télécharger le détail depuis 2008 au format
excel.

BEC
BEC 3 6
Gouvernance des SI
Alignement stratégique
Alignement stratégique : exprime la démarche visant à faire correspondre les objectifs du
système d’information avec ceux de l’organisation (stratégie globale et stratégie métier).

L’alignement stratégique est une démarche visant à faire coïncider la stratégie SI sur le ou
les stratégies d’affaires de l’entreprise. Le modèle développé par Henderson et
Venkatraman en 1993 propose de travailler sur les adéquations entre stratégie(s) de
l’entreprise, conception et structures organisationnelles, infrastructure technologique et
stratégie.

Il y a interaction entre les deux démarches (choix stratégiques, définition du SI) jusqu'à ce
qu’elles soient en cohérence.

D’une part cela permet d’intégrer les objectifs stratégiques et peut conduire à formuler de
nouvelles exigences en termes de système d'information. D’autre part, le système
d'information peut offrir de nouvelles opportunités amenant à modifier la stratégie.

L’alignement stratégique doit être dynamique et en adaptation permanente.

Les 4 domaines de l’alignement stratégique

La stratégie de l’entreprise

Stratégies génériques
Objectifs stratégiques
Produits, marchés
Compétences distinctives

La stratégie de développement technologique

Domaine technologique
Compétences
Gouvernance

BEC 7
L’infrastructure et les processus de l’entreprise

Infrastructure administrative
Processus d’affaire
Processus managériaux

L’infrastructure et les processus des SI

Architecture
Portefeuille d’applications
Processus de développement
Contrôle

Principaux domaines du SI à aligner

Équipements, plateforme, applications, connectivité, espaces de stockage, etc… pour
répondre aux missions attendues des objets connectés

Le SI doit permettre les interfaces ou relais entre Internet et les objets connectés
(utilisation de réseaux cellulaires couverts par les opérateurs de téléphonie, 3G, 4G,
etc., réseau dédié aux objets connectés

Le SI doit permettre la réalisation de toutes les missions du système d’information
comptable et commercial et donc s’assurer des interopérabilités entre les applicatifs
nécessaires

Le SI doit permettre la mise en relation des différents sites de l’entreprise

Le SI doit permettre la connexion avec toutes les parties prenantes de l’entreprise et
tous les pays avec lesquels elle travaille afin d’optimiser les coûts tant
d’approvisionnement, de stockage, de logistique et de production

Le SI doit prévoir les hébergements et stockages des données échangées :
confidentialité et sécurité de ces stockages, localisation…

Intégration des risques SI afin d’assurer la continuité de services

BEC 8
La Direction des SI (DSI)
Le DSI recrutée devra être capable de développer la stratégie informatique et posséder des
compétences :

Technologiques
Communicationnelles
Managériales
De gestion

Les missions de la DSI

Satisfaire les besoins de production d’informations de qualité et fiables
Assurer la connectivité entre les interfaces

Solutions : choisir une ESN (Entreprise de Services Numérique) ou embaucher une
personne qui dispose de toutes les compétences adéquates.

Service Level Agrement (SLA)
SLA (ou convention de service) : convention qui définit les objectifs spécifiques sur
lesquels les performances des services vont être jugés (préconisé par le référentiel ITIL =
Information Technology Infrasturcture Library).

C’est soit un contrat, soit une partie d’un contrat informatique, soit une annexe à un
contrat informatique, soit une annexe à des conditions générales. Elle précise les
engagements du prestataire informatique vis-à-vis de son client en termes de niveau de
service.

Le contenu de la convention de service

La définition et la fixation des niveaux de service en termes de disponibilité, de
fiabilité et de temps de réponse
Une procédure de mesure de la qualité de service et de reporting est mise en place. La
qualité de service (QoS, Quality of Service) est l’aptitude d'un service à répondre de façon
appropriée à des exigences, exprimées ou implicites, qui visent à satisfaire ses usagers.

BEC 9
 Une garantie du temps de rétablissement en cas d’interruption du service
Celle-ci précise le délai de rétablissement (4, 6, 8… heures) et l’amplitude de la période
couverte (ex. : 24h/24, 7j/7).

Un système de bonus/malus en fonction du niveau de service rendu
Des éléments de prix peuvent être conditionnés à la réalisation d’objectifs définis ;
inversement, des pénalités (en % du prix) peuvent être prévues en cas de non-atteinte
d’objectifs.

La convention de service comme un gage de réussite

La convention de service a un rôle essentiel car :

Elle oblige les parties à dialoguer
Elle permet de poser noir sur blanc une description détaillée de la prestation en accord
avec les 2 parties
Elle évite les litiges puisque les modalités sont définies à l’avance

Avantages

Transforme l’obligation de moyens en obligation de résultats
Maintient et améliore la qualité des services à travers des suivis et des rapports
statistiques

SSII (Société de Services et d’Ingénierie en
Informatique)
SSII : société experte dans le domaine des nouvelles technologies et de l'informatique. Elle
peut englober plusieurs métiers (conseil, conception et réalisation d'outils, maintenance
ou encore formation) et a pour objectif principal d'accompagner une société cliente dans la
réalisation d'un projet.

BEC 10
Les missions des SSII

Exercer tout d'abord des activités d’étude et de conseil en matière de systèmes
informatiques, tant en ce qui concerne le matériel, les logiciels, les progiciels et les
réseaux

S’impliquer dans toutes les étapes de réalisation d’un projet, en mettant à la
disposition de l’entreprise client des équipes de développement

Assurer le contrôle qualité

Intérêt

Qualité de service (contractualisation)
Diminution des coûts grâce à la mutualisation des ressources
Pérennité de l’entreprise client car respect des normes : capacité à résister aux aléas
Urbanisation : résilience + maintenabilité

Business Intelligence (BI)
Business Intelligence ou Intelligence Décisionnelle : c’est l’information à l’usage des
dirigeants d’entreprise. Elle représente l’ensemble des outils et méthodes informatiques
permettant de collecter, consolider et restituer les données d’une entreprise à des fins
d’aide à la décision.

Intérêt

Organiser et faciliter la collecte des différentes sources d’informations
Transformer les données brutes / hétérogènes en données normalisées et homogènes
Simplifier l’interrogation de la base de données
Permettre l’exportation des données sous différents formats (XLS, CSV, TXT, PDF…)
Générer des tableaux de bords

BEC 11
Formation Ouverte A Distance (FOAD)
FOAD : dispositif souple de formation organisé en fonction de besoins individuels ou
collectifs (individus, entreprises, territoires). Elle comporte des apprentissages
individualisés et l’accès à des ressources et compétences locales ou à distance. Elle n’est
pas exécutée nécessairement sous le contrôle permanent d’un formateur.

Avantages

Diminution de l’impact de la vie perso salarié (moins de déplacements)
Diminution du temps de formation et peut s’étaler dans le temps (pas forcément
bloquer des journées)
Flexibilité et personnalisation
Facilité l’intégration des nouveaux
Formation continue des anciens
Traçage de l’avancement des élèves

Limites

Matériel informatique
Disposer d’un accès plateforme, aide technique
Utilisateurs motivés
Dégager du temps pour la formation

Intérêt

Formation de masse
Faciliter l’accès à la formation (n’importe où)
Réduire le coût des formations (déplacements)

Cartographie des processus
Cartographie des processus : représentation graphique des activités articulées au sein d’un
métier afin de délivrer in fine un produit / service créateur de service.

La cartographie des processus métier peut être assimilée à une représentation graphique
des activités articulées au sein d’un métier afin de délivrer in fine un produit et/ou un
service créateur de valeur ajoutée.

BEC 12
Diagramme d’Ishikawa
Diagramme d'Ishikawa : le diagramme d’Ishikawa (du nom de son concepteur Kaoru
Ishikawa, ingénieur japonais) ou en arrêtes de poisson, permet d’analyser 5 grandes
catégories de causes (qui sont notées les 5M) pour parvenir à un effet envisagé.

Les 5 catégories du diagramme d'Ishikawa

1) Machine(s) ou Matériel : les équipements, l’infrastructure technologiques, les réseaux
informatiques...

2) Main d’œuvre : les acteurs et leurs compétences

3) Méthode(s) : les procédures, modes opératoires, méthodologies...

4) Matière(s) : tout ce qui concerne les inputs des processus, en termes tangibles et
intangibles (ex : information)...

5) Milieu : l’environnement de travail et le management.

L’idée est donc de pouvoir formuler et préciser l’effet recherché puis de déterminer les
dispositifs requis pour chacune des 5 catégories de causes et de les faire apparaître sur un
schéma qui soit le plus lisible et synthétique possible.

BEC 13
Gestion de projet des SI
La gestion de projet des SI
Les différentes phases d’un projet SI

La phase d’amorçage

Étude préliminaire visant à faire un état des lieux. Cette phase correspondra à l’audit
Étude de faisabilité pour rechercher les solutions possibles : de type PGI ou au
contraire de type applications hétérogènes mais urbanisées
Spécification du projet en termes de planification (délais), de budget (estimation des
besoins en ressources et des coûts), cahier des charges fonctionnel
Réalisation du projet pour la mise en place du nouveau système.

Phase d’implantation

Phase d'implantation : c'est la mise en œuvre de la solution autrement dit son
déploiement dans l’organisation.

Les principales caractéristiques de la phase d’implémentation sont les suivantes :

Réalisation, implantation, intégration
Paramétrage de l’outil
Tests, reprise de données
Écriture, processus et procédures
Formation équipe d'accompagnement
Initiation base de données par l'équipe d'accompagnement
Formation du personnel

Les contraintes
Elles sont liées à un grand nombre d’exigences à respecter simultanément :

Qualité du paramétrage
Validité des tests
Procédure d’épuration des données avant migration dans le nouveau système

BEC 14
 Choix de la stratégie de déploiement de la solution
Compétences de l’équipe d’accompagnement
Formations adaptées aux besoins et niveau des utilisateurs
Disponibilité des personnes

L’enjeu

C’est de passer de l’ancien système au nouveau sans mettre en difficulté l’activité de
l’entreprise et la relation avec ses clients et ses fournisseurs. Cette bascule nécessite un
accompagnement renforcé.

La phase d’usage

Phase d'usage : elle correspond à la prise en main du nouveau système par les utilisateurs
et le management. Ces derniers doivent abandonner les anciennes routines et pratiques
organisationnelles pour dorénavant utiliser le nouvel outil.

Les contraintes

Toutes les formes de résistance aux changements
Le respect des exigences du nouveau système par les utilisateurs, les compétences
existantes dans l’entreprise
L’autonomie des utilisateurs, parfois également il faut vivre temporairement avec
deux systèmes d’information le temps que le nouveau système soit totalement
implémenté dans l’organisation
Les différentes cultures d’organisations présentes dans l’entreprise

Les enjeux

La maîtrise collective du nouveau système par les utilisateurs
Dégager une véritable valeur d’usage du système d’information : améliorer le
processus de prise de décision
Stabiliser l’organisation avec l’usage de son nouvel outil

Constitution d’une petite équipe pluridisciplinaire

Elle devra être constituée d’utilisateurs souhaitant en découdre avec les difficultés
d’usage rencontrées avec le SI actuel.

BEC 15
Les règles du jeu

Partager un but commun
Se fixer des objectifs atteignables
Instaurer le respect mutuel et la confiance entre les parties
Pouvoir s’adjoindre des expertises externes en cas de nécessité

Les organes de la gestion de projet

Le comité de pilotage

Comité de pilotage : c’est l'organe directeur de la maîtrise d'ouvrage. Il est présidé par un
directeur de projet.
Il est composé :

Des représentants opérationnels (responsables métiers et utilisateurs-clés) concernés
Du responsable informatique
D’experts internes ou externes (intégrateur)

Les attributions du comité de pilotage

Lancement du projet caractérisé par les objectifs, les finalités, les critères de qualité et
l'arbitrage des moyens à mettre en œuvre

Définition des choix stratégiques d'architecture et des orientations en matière de
sécurité et de droits d'accès

Accompagner la maîtrise d’ouvrage dans la conduite du changement et sa mise en
œuvre intégrant notamment les plans de communication et de formation

Management du projet correspondant au suivi des échéances, des risques et du
contrôle qualité

Le comité des utilisateurs (ou key users)

Comité des utilisateurs : il est constitué de tous les utilisateurs représentatifs des
domaines d'activité concernés par le projet (achats, commercial, fabrication, comptabilité,
contrôle de gestion).

BEC 16
Les attributions du comité des utilisateurs (ou key users)

Expression détaillée des besoins et des règles de gestion

Validation des solutions / maquettes présentées par l'équipe projet

Participation aux tests du nouveau SI

Participation aux actions de formation

Réception définitive du progiciel

Accompagnement du déploiement
Ce comité peut devenir centre de ressources dans la phase post-projet

Le chef de projet

Chef de projet : le pilotage du projet est assuré par le chef de projet.

Les attributions du chef de projet

Présider les réunions
Coordonner les différents acteurs
Rendre compte de l’avancement du projet à la direction
Être l’interlocuteur de la maîtrise d’ouvrage
Superviser la réalisation des tests et le recettage
Valider les supports de documentation et de formation

Le chef de projet doit avoir l’autorité nécessaire pour mener à bien le projet, selon
l’ampleur de celui-ci. Ici le projet concerne toute l’entreprise avec des implications
organisationnelles.

Il est donc nécessaire que le choix du chef de projet traduise un engagement fort de la
direction.

BEC 17
Risques de dysfonctionnements du projet

Déresponsabilisation des acteurs
Manque d’implication de la DG
Personne n’est garant de la qualité / sécurité des données
Pas de formations adaptées
Mode de management trop hiérarchique (pas de processus)

Les conditions de réussite du projet

Participation et formation RH
Tableau de bord
Implication DG
Choix des maîtres d’œuvre
Objectifs clairement définis
Équipes organisées + contrôle appropriés
Animation et motivation
Maîtrise des délais, des coûts et de la qualité

BEC 18
Les Progiciels de Gestion Intégrée (PGI)
PGI : progiciel qui permet de gérer l'ensemble des processus d'une entreprise en intégrant
l'ensemble de ses fonctions, dont la gestion des ressources humaines, la gestion comptable
et financière, l'aide à la décision, mais aussi la vente, la distribution, l'approvisionnement
et le commerce électronique.

Avantages

Infogérance
Licences utilisateur
Logiciel d’audit assisté par ordinateur
Éditeur de notoriété, expérience
Expérience utilisateur
Sauvegarde
Éradication de l'entropie
Satisfaction PP
Diminution des erreurs
Diminution des coûts
Augmentation de la rentabilité

Limites

Nécessité d’adapter certains processus aux contraintes du progiciel
L'entreprise doit parfois modifier son organisation afin de s'adapter aux contraintes du
progiciel, notamment pour pouvoir utiliser la version et le paramétrage standard. Il faut
arbitrer entre impact organisationnel et complexité des paramétrages.

Le projet impacte l‘organisation dans son ensemble
Cela implique des risques, au-delà de ceux inhérents à la dimension informatique du
projet, en particulier si la gestion du changement est mal appréhendée.

Coûts induits très importants, et souvent sous-estimés
Il y a de nombreux coûts induits, en termes de temps de travail des personnels, de baisse
d'efficacité des services liée à la désorganisation que peut entraîner la mise en place du
PGI.

BEC 19
Les enjeux du PGI

Enjeux organisationnels

Productivité du travail
Grâce au workflow, au groupware, à l’actualisation des normes, à l’activation des systèmes
d’alerte, à la check-list…

Qualité du travail
Incitation au respect des processus et des délais.

L’idée essentielle est que ce type d’application peut permettre :

D’améliorer la position concurrentielle de l’entreprise, notamment par la fidélisation
des anciens clients et la captation de nouveaux clients et, plus largement
Par l’élargissement à terme du champ même de l’audit grâce à un outil standard et
actualisé (comptable, sûreté, environnemental, rentabilité…).

Enjeux techniques

Évolution des serveurs
Faire évoluer le serveur de Base de Données et adjoindre un serveur Web

Doter de PC portables les collaborateurs
Acquérir des appareils actifs pour le réseau (switch, pare-feu …)
Débit du réseau de communication en entrée et en sortie (ADSL haut débit, SDSL)
Évolution du système d’exploitation

Enjeux informatiques

Introduction de la Gestion Électronique des Documents (GED)
Généralisation de l’informatique nomade

Enjeux financiers

Investissement conséquent
L’investissement est peu diversifié
Car l’ensemble des composantes du PGI sont fournies par un concepteur unique.

BEC 20
 Les coûts de maintenance peuvent être très élevés
Les produits commercialisés présentent parfois de nombreuses erreurs, les corrections de
ces erreurs font l’objet de contrat de services supplémentaires, ou de mises à jour des
versions de logiciel. Chaque modification du système nécessite de nombreux paramétrages.

L’investissement est irréversible car le coût de sortie est deux à six fois plus élevé que
l’investissement initial.

Le périmètre

Un périmètre doit être décidé (ce qui demande de cartographier l’entreprise et ses
principaux processus dès le début du projet sachant que les processus de production ont
été actualisés récemment) et il doit être assez large pour couvrir à la fois le « back office »
(production, stock, qualité, comptabilité, contrôle, RH, informatique, etc.) et le « front office
» (vente, achat, logistique, configurateur-produit, etc.).

Il pourrait notamment aborder et schématiser les étapes suivantes :

Contextualiser
Former les équipes
Planifier
Cartographier
Réaliser une étude de cadrage
Former des utilisateurs « pilotes »
Modéliser et paramétrer
Former les utilisateurs finaux
Recevoir et mettre en œuvre le PGI
Evaluer
Corriger

L’analyse du périmètre d’un nouveau PGI permet de mettre en évidence des améliorations :

La productivité
Une meilleure intégration de l’ensemble des processus (et pas seulement les processus de
production et d’administration de ventes) va permettre un gain de productivité général
pour l’ensemble de l’entreprise.

BEC 21
 La flexibilité
En effet, la capacité de l’entreprise à répondre à des demandes des clients sera améliorée.

La convivialité
Le nouveau système d'information d’information peut rassembler autour de lui tous les
acteurs internes et notamment la direction générale, les responsables RH, les acheteurs, les
responsables qualité, les partenaires extérieurs (CRM, SRM) qui étaient potentiellement
exclus dans le SI précédent.

L’intégration des infrastructures
Le nouveau système d'information assure très probablement l’intégration applicative des
infrastructures et de leur maintenance.

L’homogénéité des interfaces
Le problème des interfaces tend à disparaître au profit d’une interface unique et de liens
facilités avec l’environnement bureautique des utilisateurs.

Un meilleur partage de l’information
L’utilisation d’un système centralisé en temps réel autour d’une base de données unique
garantit un meilleur partage de l’information.

BEC 22
 Dépendance vis-à-vis d’un éditeur
Retour en arrière ou changement de PGI difficiles compte tenu de l’importance du projet
et de son caractère structurant pour l’entreprise.

Dépendance par rapport aux intégrateurs et aux consultants
L'intervention d'intégrateurs et de consultants crée des situations d’asymétrie
d’information avec des risques au niveau des choix effectués, des coûts, des tensions
possibles entre salariés de l’entreprise et salariés extérieurs.

Complexité du paramétrage
Pour être au plus près des processus de l’entreprise, l’installation nécessite une
modélisation du fonctionnement de celle-ci, une définition précise des actions et des
rôles. Cette étude approfondie peut entraîner un dépassement des délais et des coûts ou
un risque de difficultés d’utilisation lors du déploiement.

Risques d'un PGI

Solution non hétérogène
Taille
Durée
Difficulté technique
Degré d'intégration
Stabilité de l'équipe projet

Les points d’attention dans le choix d’un PGI

PGI multilingue, multidevise, multi-référentiel
Coût global : installation, MAJ, maintenance…
Adaptabilité : paramétrage
Complexité
Expérience et pérennité de l’éditeur
Conditions de mise en œuvre : modes d’accès, ressources, aspects juridiques

BEC 23
La conduite du changement
Conduite du changement : consiste à accompagner un projet d’organisation ou de
réorganisation, tout en utilisant une méthodologie de conduite de projets éprouvée.

La conduite du changement implique la prise en compte de la dimension humaine, des
valeurs et de la culture d’entreprise ainsi que les résistances au changement. L’objectif est
de permettre la compréhension et l’acceptation par les salariés concernés des "nouvelles
règles du jeu" résultant du processus de changement.

Causes à l’origine des dysfonctionnements du SI / PGI actuel

Déresponsabilisations intentionnelles ou pas d’acteurs-utilisateurs à l’égard du
système intégré
Manque d’implication des cadres et agents de maitrise dans l’utilisation du progiciel
Formations non adaptées aux différents niveaux d’utilisateurs
Personne n’est garant de la qualité des données : transactionnelles, de base et de
paramétrage
Les utilisateurs ne savent pas interpréter les données du progiciel
Absence totale de remise en cause des processus physiques, informationnels et
décisionnels, on conserve les anciennes pratiques
Absence de rigueur dans la gestion des activités industrielles
Non-implication de la direction dans le projet et la suite du projet
Mode de management hiérarchique en opposition avec l’approche par les processus
Manque de connaissance sur les principes de base de la gestion de production et de la
Supply Chain
Écart entre la vie des ateliers et le système virtuel censé la représenter

Actions en cas de dysfonctionnements du SI / PGI

Actions organisationnelles

Remise à plat des processus physiques et informationnels
Re-paramétrage du progiciel
Épuration des données de base
Définition du rôle de chacun
Repérer et former des potentiels pour devenir des key-users à moyen terme

BEC 24
Actions humaines

Mise en place de formations adaptées aux niveaux des utilisateurs et de la maîtrise
Mettre en place des grilles de compétences
Mettre en place un processus d’évaluation des formations dispensées
Mettre en place un suivi individuel des grilles de compétences
Expliquer aux personnes l’intérêt d’utiliser le progiciel
Encourager les micro-changements

Actions managériales

Responsabiliser les cadres et les agents de maitrise sur leurs données de gestion
Mettre sous contrôle les données transactionnelles
Analyser les dysfonctionnements d’usages individuels et collectifs
Tableaux de bord des anomalies rencontrées avec le SI / service
Redéfinir les rôles et responsabilités des managers
Formation des managers aux concepts de gestion de production

Les différentes formes de la résistance aux changements

L’inertie
Lorsque les utilisateurs finaux adoptent une attitude de fausse acceptation du
changement dont ils repoussent au maximum la survenance, au nom de la prudence et de
la recherche de consensus.

L’argumentation
Lorsque les utilisateurs finaux négocient sur tous les aspects du changement, de forme et
de fond.

Le contournement
Lorsque les utilisateurs continuent à utiliser leurs anciennes solutions informatiques (par
exemple leur tableur usuel) sans s’approprier les nouvelles.

La révolte
Elle survient comme ultime recours, afin d’empêcher que le changement soit mis en
œuvre, à travers une action syndicale par exemple.

BEC 25
Dispositifs pour lutter contre la résistance aux changements

Les « key users »
Des modules déjà à l’œuvre et les collaborateurs expérimentés des directions technique et
commerciale doivent se réunir régulièrement pour penser ensemble, guidés par les
consultants de l’éditeur, la codification (ou paramétrage).

Appui d’un Centre de Compétences (CC)
Il a pour objectif principal d’assurer une intégration réussie de l’ERP/SI dans l’entreprise
tout en garantissant la qualité de son usage. Il peut ponctuellement accueillir des
compétences qui ne sont pas présentes en permanence dans l’entreprise comme les
consultants de l’éditeur et/ou de l’intégrateur.

Les formations
Afin notamment de s’assurer d’une utilisation adéquate des systèmes.

La communication interne sur le changement
Elle devra être renforcée, mettant en avant l’implication de la direction générale, les effets
attendus du changement, la nécessité du changement.

Les indispensable pour inscrire le changement sur le long-terme

La qualité des données : transactionnelles, de base et de paramétrage / services
Le processus de formation aux fonctionnalités du progiciel
La tentation au retour des anciennes routines organisationnelles
Le processus d’apprentissage
Les déresponsabilisations à l’égard du progiciel
L’utilisation de systèmes parallèle
Le dialogue avec le management
La disponibilité accordée aux key-users
La gestion des grilles de compétences

BEC 26
Points d’attention pour limiter les résistances aux changements

Profils de poste
Évolution profonde qui ne porte pas sur l’usage des outils informatiques (habitudes
existantes) mais sur le mode d'appropriation des applications (évolution à la demande
plus difficile en raison de la standardisation de marché).

Relations humaines
Risque de querelle des « anciens et des modernes » au sein des chefs de service, risque lié à
la perte de pouvoir de la direction informatique qui peut contester les décisions
d’externalisation.

Résistance au changement
Potentiellement tout acteur peut résister au changement pour divers motifs, la conduite
du changement sera donc fondamentale.

Enchaînement logique
Les profils de poste vont changer, ce qui entraîne une redistribution des modes de
communication, des habitudes de travail et donc de la répartition du pouvoir, d’où une
tension dans les relations humaines qui se traduit par la résistance au changement.

BEC 27
Gestion de la performance des SI
Les indicateurs de performance
Indicateur de performance : il a pour mission de mesurer le rendement des actions
impliquées dans l'atteinte des objectifs qu'une organisation s'est fixée à court, moyen et
long terme.
Avantages

Suivre dans le temps l’évolution de la performance
Analyser cette performance
Mettre en place des actions pour l’améliorer davantage

Limites

Fiabilité des données
Choix des indicateurs pertinents
Choix d’un nombre réduits d’indicateurs
Bonne interprétation des indicateurs

Les objectifs des SI

Efficience = résultats / moyens utilisés

On trouvera ainsi des mesures simples de productivité directe par rapport d’un résultat
aux ressources consommées.

Efficacité

Où l'on rapproche des résultats et des objectifs ;

Satisfaction

Vision de l'efficacité organisationnelle exprimée au travers des perceptions des
utilisateurs.

BEC 28
Les exemples d'indicateurs
Les différents types d’indicateurs (en interne)

Indicateurs techniques (point de vue du technicien)

Volume d’activité
Temps de réponse d’un serveur
Temps réel d'utilisation
Taux de disponibilité
Nombre de logiciels ou de fonctionnalités utilisés…

Indicateurs d’utilisation (point de vue de l’utilisateur)

Temps d’utilisation
Temps de réponse d’une application
Amélioration de la performance…

Indicateurs de satisfaction (point de vue de l’utilisateur)

Taux de satisfaction
Note donnée par l’utilisateur aux outils
Nombre de bugs remontés par les utilisateurs…

Indicateurs sur la performance de l'organisation (point de vue de la direction)

Efficience générale
Performance financière
Avantage compétitif
Flexibilité
Création de valeur…

BEC 29
Les différents types d’indicateurs pour évaluer un prestataire de service SI

Indicateurs de performance

Taux de disponibilité de l’environnement de travail sur une plage définie
Exemple : > 99 % de 7 h à 20 h x jours sur 7, y semaines sur 52

Taux de disponibilité des applications
Exemple : > 99 %

Délai moyen d’accès aux applications
Exemple : 30 secondes

Temps de réponse de la base de données du PGI
Exemple : < 1 s

Indicateurs de mesure de la qualité

Nombre de demandes d’intervention traitées par période

Délai d´intervention

Ce dernier peut être fonction d’un classement des applications selon leur criticité ou leur
importance : « stratégique », « critique », « sensible » ou « faible », voire fonction du
caractère bloquant ou non bloquant du dysfonctionnement.

La convention de niveaux de service définit un délai d’intervention pour chaque catégorie.
On peut mesurer le délai moyen ou le % d’interventions dans un délai inférieur au délai
contractuel.

Nombre d’interventions traitées avec résolution du problème rencontré dans les x
heures rapporté au nombre d’interventions traitées
Exemple : > 95 %

BEC 30
Indicateurs d’évaluation de la FOAD

Indicateurs de résultat

Nombre de sessions organisées par an

Nombre de personnes formées par an par rapport au nombre total de salariés

Nombre moyen d’heures de formation par an, par salarié (par sexe, catégorie
professionnelle, zone géographique)

Nombre de structures utilisatrices par an par rapport au nombre total de structures
du réseau

Indicateurs d’impact

Taux d’évolution du nombre de stagiaires par an

Amélioration de la productivité

Indicateurs d’évaluation de l’accès à la plate-forme FOAD

Nombre d’utilisateurs simultanés
Pour apprécier la scalabilité de la solution

Temps de réponse moyen du serveur
Pour évaluer la performance du serveur

Taux de disponibilité de la plate-forme
Pour évaluer la qualité du service proposé

Nombre d’incidents réseau
Pour évaluer les difficultés d’accès à la plate-forme

Taux d’incidents réseau
Pour mesurer la part des incidents réseau par rapport au nombre total d’incidents
enregistrés

BEC 31
 Nombre d’incidents en cours d’utilisation de la plate-forme
Pour évaluer la performance de l’outil

Indicateur d’utilisation (point de vue de l’utilisateur)

1) Indicateurs quantitatifs

Temps de connexion moyen

Temps de connexion par salarié par an

2) Indicateurs qualitatifs

Un suivi qualitatif peut-être effectué à l’issue des formations sur des documents papier
(évaluation à chaud) ou par envoi de formulaires en ligne (évaluation à froid) pour
mesurer :

Le degré de satisfaction des utilisateurs

Le niveau de satisfaction par rapport aux attentes de l’usage de l’outil tant sur les
modalités d’accès à la plate-forme que l’utilisation de la plate-forme proprement dite

La présentation des différents indicateurs

Définition Justification

Nombre d’incidents dus à Permet de mesurer sur une période
Nombre
des performances le nombre d’incidents donc la
d’incidents
réduites des ressources fiabilité du système et d’observer
réseau informatiques l’évolution dans la durée.

Part des incidents réseau Permet de mesurer l’impact des
Taux d'incidents par rapport au nombre incidents réseau par rapport à
réseaux total d’incidents l’ensemble des problèmes de
enregistrés fonctionnement du SI

BEC 32
Architecture des SI
Le cloud computing
Cloud computing : il s’agit d’une forme d’infogérance où on loue un droit d’usage de
ressources informatique de différentes natures et où les usagers ignorent où sont stockées
leurs informations et les ressources qu’ils utilisent. Les ressources sont accessibles via
Internet.

L’informatique en nuage ou cloud computing permet de passer d’une informatique basée
sur un support matériel déterminé, appartenant à l’utilisateur ou mis à sa disposition par
un prestataire, à une informatique à la demande.

La ressource informatique n’est pas associée à une infrastructure matérielle spécifique,
mais mise à disposition, via les réseaux.

Cela permet de mettre à disposition des solutions – allant de l’infrastructure à
l’application et aux services utilisateurs – sans que l’utilisateur ait à se soucier de la
maintenance, des sauvegardes, de la sécurité ou du renouvellement du matériel.

Avantages

Optimisation des coûts
Les ressources font l’objet d’une facturation en fonction de l’utilisation réelle (pay per
use).
Les dépenses d’investissement sont remplacées par des dépenses d’exploitation.

Recentrage de l’activité
Le matériel nécessaire côté utilisateur se limite à des stations de travail connectées au
réseau, ce qui réduit considérablement les besoins en matériels et logiciels et, donc,
simplifie la gestion du SI dans une optique de recentrage sur les métiers.

Flexibilité
Les ressources s’adaptent aux besoins, le prestataire ayant la possibilité de les redéployer
en fonction des besoins des différents utilisateurs (mutualisation).

BEC 33
 Facilité de mise en œuvre
Le prestataire est responsable de la disponibilité du service.

Accès universel
Les ressources ne sont pas liées à une localisation géographique, ce qui favorise le
nomadisme des utilisateurs.

Limites

Risques liés au réseau

Les données circulent sur les réseaux publics
Cela présente des risques de sécurité et de confidentialité. Elles peuvent être interceptées,
voire altérées.

Indisponibilité du réseau
Il y a impossibilité d’utiliser les applications, ce qui induit des risques économiques et
financiers.

Risques liés au prestataire

Risque de dépendance et de comportement opportuniste du prestataire

Risques liés à la mutualisation des ressources entre différents clients
Chaque client ne doit pouvoir accéder qu’à ses propres données.

Risque d’attaques par le fait que le prestataire héberge des serveurs dédiés à
différents clients
Même si les locaux utilisés par les prestataires sont mieux sécurisés que ceux d’une
entreprise particulière contre les attaques malveillantes, ils peuvent aussi être plus
attaqués et une intrusion sur les ressources d’un client peut avoir des conséquences pour
d’autres, malgré le cloisonnement des espaces virtuels.

Risques liés à la sécurité physique des locaux
Contrôle d’accès, sécurité électrique, incendie, antisismique…

Risques techniques
Des sauvegardes doivent permettre de récupérer les données en cas d’incident technique.

BEC 34
 Difficultés de réversibilité
Si le client souhaite rapatrier ses données du « data center » sur son propre système
d'information, même si les contrats prévoient une clause de réversibilité.

Risque juridique : problèmes de localisation, de protection et de fiabilité des données
Dans un hébergement mondialisé, les données peuvent tomber sous la juridiction des
pays où se trouvent les serveurs.

La prévention des risques par le prestataire

Le prestataire devra veiller à la prévention des risques liés au réseau.
Les réseaux publics étant utilisés, donc accessibles, par de nombreux utilisateurs, il faut
mettre en place des liaisons sécurisées, réseaux privés virtuels ou VPN (virtual private
network).

La prévention des risques amènera le prestataire à s’assurer qu’au niveau du datacenter :

L’accès au bâtiment est hautement protégé

Le Network Operational Center (NOC) ou centre de contrôle du datacenter est
performant
Il centralise tous les systèmes de surveillance et de sécurité des installations : caméras de
vidéosurveillance, détecteurs d’incendie, installations électriques et climatiques…

La logique de redondance électrique est respectée
Pour garantir le fonctionnement des installations en cas de panne du circuit principal

Le système de refroidissement des salles d’hébergement est assuré

L’intégralité des éléments du système de refroidissement est redondée

Les méthodes pour limiter les risques

VPN
Certificats électroniques par une entité de certification
Cryptage
Hachage du message

BEC 35
Les différents types de cloud

Cloud privé

Cloud privé : constitue un accès sur serveur distant, accessible via internet afin de stocker
en externe, données et/ou applications, est mis à disposition d’une seule entreprise.

Intérêt

Garantir l’étanchéité, la sécurité des traitements et des données de l’entreprise

Permettre une consommation du SI au travers de la SaaS

Les ressources en question peuvent être situées au sein même des locaux de
l’entreprise ou bien chez l’ESN qui va se charger du cloud

La gestion du cloud peut être réalisée par des RH en interne ou confiée à un
prestataire ESN

Les coûts de cette modalité, plus sécurisée, plus adaptée aux besoins ou conditions
spécifiques de l’entreprise, sont forcément plus élevés

Cloud public

Cloud public : matériel et services à distance fournis et mis à disposition par un prestataire
pour plusieurs entreprises.
Intérêt : le cloud public permet à l’entreprise un accès aux mêmes ressources et services
applicatifs. Le coût est alors moindre.

Cloud hybride

Cloud hybride : cloud privé interne géré par un tiers ou cloud hébergé (cloud privé
hébergé par un tiers.) Le coût se situe entre le cloud privé et le cloud privé.

Cette offre permet de concilier le meilleur du cloud privé et du cloud public.
Le cloud hybride met à disposition un certain nombre de ressources sur une partie
publique du cloud, accessible par plusieurs entreprises et restreindre l’accès pour des
ressources plus sensibles et risquées.

BEC 36
 Software As A Service (Saas)
Saas : mode de distribution en cloud computing – informatique en nuage - d’une solution
logicielle hébergée par le fournisseur (éditeur/intégrateur) qui en assure le bon
fonctionnement, laissant l’entreprise utilisatrice recentrer ses moyens humains sur son
cœur de métier.

Avantages

Virtualisation et externalisation
Économies de ressources
Diminution de l’investissement au profit de l’exploitation
Flexibilité
Mise à jour en temps réel
Pas de frais d’investissement
Paiement à l’utilisation et non par licence

Limites

Localisation et protection des données
Performance, fiabilité, disponibilité
Dépendance technologique : compatibilité et réversibilité
Disponibilité des données
Localisation des données
Dépendance
Réversibilité

Urbanisation du SI
Urbanisation du SI : approche top-down ayant pour objectifs de faciliter l’évolutivité et
l’adéquation des SI vis-à-vis des processus, de mettre en évidence les fonctions
transverses ou communes, les partager et de renforcer la cohérence du SI.

Sous l’impulsion de la maitrise d’ouvrage, il s’agit ainsi de sauvegarder la cohérence du SI
tout en améliorant son efficacité, en préservant le plus possible le patrimoine
informationnel.

BEC 37
Urbaniser ne consiste donc pas à se défaire du parc existant pour en constituer un
nouveau, mais à le faire évoluer (conserver certaines des solutions logicielles, une partie
du matériel, etc.) au regard des objectifs stratégiques poursuivis par l’entreprise.

Les étapes de l’urbanisation du SI

1) Analyser le SI existant et les objectifs métiers les concernant ;

2) Concevoir un SI cible aligné sur les objectifs métiers et conformes aux règles de
l’urbanisme ;

3) Elaborer des plans de convergence vers la cible (réutilisation de modules, centralisation
de l’information, développement des aspects métiers).

Raisons qui poussent à l’urbanisation du SI

Succession de choix irrationnels
Lien avec objets connectés
Mauvaise gestion des interfaces
Isolation de zones, quartiers et blocs
Absence de participation des services métiers

Intérêt : repenser et reconstruire l’ensemble de la cartographie.

BEC 38
 Site central d'hébergement
Site central d'hébergement : le fait de mettre à disposition des créateurs de sites Web des
espaces de stockage sur des serveurs sécurisés, afin que les sites internet en question
puissent être accessibles sur le web.

Avantages

Mutualisation / rationalisation du matériel informatique
Sécurité élevée
Clé de sécurité, surveillance du site, redondance des équipements, système de
climatisation, système anti-incendie…

Sécurisation des échanges entre l’application et le site central
Diminution des coûts liés aux matériels
Recentrage autour du cœur de métier, car prestataires spécialisés
Scalabilité du SI grâce aux ressources du data center
Disponibilité accrue des ressources grâce au très haut débit

Limites

Temps d’accès aux données peut-être + important
Vieillissement des data centers traditionnels pour gérer les applications actuelles
(vieux mat, efficience énergétique, refroidissement faible)
Coût du giga élevé
Dépendance du prestataire de service
Confidentialité des données, perte de productivité liée aux pannes réseau, interception de
⇒
la donnée piratage, perte de données (mise en place du plan de sauvegarde),
réversibilité….

Risques juridiques : localisation des données...

BEC 39
 Virtualisation des serveurs
Virtualisation des serveurs : le fait de faire fonctionner plusieurs serveurs virtuels sur un
serveur physique. L’objectif est de mutualiser les capacités de chaque serveur, permettant
à l’entité de réaliser des économies et de réduire les investissements en infrastructures
physiques.

Intérêt

Impact de la virtualisation des serveurs sur le coût total de possession

La réduction des coûts obtenue en virtualisant l’ensemble des serveurs physiques
abritant les applications concerne notamment la consommation électrique, le nombre de
serveurs physiques et la quantité de matériels associés (onduleurs, dispositifs de
sauvegarde, climatisation, locaux sécurisés, etc.).

Impact de la haute disponibilité des serveurs sur le coût total de possession

La tolérance de panne permise par les dispositifs de haute disponibilité doit faire
diminuer, voire disparaître les temps d’interruption de service et donc les coûts induits
par ces interruptions (impossibilité de travailler pour les utilisateurs, ralentissements du
travail etc.). Ces coûts cachés devraient donc disparaître ou fortement diminuer.

Infogérance
Infogérance : c'est l'externalisation du SI. On confie la responsabilité de tout ou partie du
SI à un prestataire qui s'engage sur un cahier des charges pour fournir à l'entreprise des
ressources matérielles, logiciels d'application et/ou le personnel nécessaire et qui facture.

Le périmètre d'externalisation peut inclure des matériels (sur site ou chez le prestataire),
de la maintenance, des réseaux informations et télécoms, l'architecture du SI, la
maintenance des applications existantes (TMA = Tierce Maintenance Applicative),
conception et développement d'applications nouvelles.

BEC 40
Le périmètre de l’externalisation

Il peut inclure :

La gestion des matériels et leur maintenance

La prise en charge des réseaux informatiques, et éventuellement de
télécommunications

L'architecture générale du système informatique et la planification de ses
développements

La maintenance des applications existantes (TMA)

La conception et le développement d'applications nouvelles

Avantages

Recentrage cœur de métier
Pas ou peu de compétences (d'expertise) en interne
Meilleures solutions : adaptées et mises à jour régulièrement
Maîtrise des coûts : contrat de service car économies d'échelle + spécialisation
Choix charges fixes ou charges variables dépend si forfait ou en régie
Réduit les incompréhensions DG / DSI

Limites

Risque de perte de compétences
Moins bonne maîtrise du SI.

Dépendance vis-à-vis du prestataire
Difficulté à contrôler la qualité de la prestation, réversibilité ou changement de
prestataire compliqués.

Méthode du calcul des coûts chez le prestataire qui peut être floue

Donne accès aux données sensibles de l’entreprise

BEC 41
Impacts sur le plan humain

L’externalisation peut être mal perçue par les salariés de l’entité qui externalise et
générer un conflit social.
Certaines organisations, après avoir externalisé, adoptent parfois une position inverse : le
back-sourcing.

Backsourcing : consiste à reprendre en interne des activités jugées intéressantes à
contrôler.

Cette opération peut se faire soit par rupture du contrat d'externalisation soit à la fin
normale de ce contrat. La prise en compte de la réversibilité dès le début du contrat est
indispensable pour permettre la reprise éventuelle des activités externalisées, y compris
pour les confier à un autre prestataire.

Conditions de réussite de l’externalisation

Une réflexion stratégique préalable
Elle est indispensable pour bien identifier les compétences clés et les activités
potentiellement externalisables. Cette étude doit évaluer la qualité, l'efficience et le coût
des solutions existantes (solutions internes).

Une définition précise des compétences à externaliser
L’organisation peut choisir de garder en interne de certaines activités. De plus, conserver
la maîtrise des activités externalisées nécessite de disposer de compétences internes.
Externaliser nécessite de définir les prestations à fournir, les critères d'évaluation utilisés
et rédiger un appel d'offres.

Une analyse des réponses à l’appel d’offre

Négociation avec le prestataire retenu sur les termes du contrat

1) Définition précise des prestations à fournir, le prestataire pouvant demander des
ajustements par rapport à l’appel d’offres

2) Organiser la phase de transition (information des utilisateurs, transfert des actifs, mise
en place du suivi de l'exécution des contrats...)

BEC 42
3) Définition des modalités de contrôle de la prestation et des sanctions éventuelles

4) Fixation des modalités de facturation, des conditions de révision

5) Possibilités de modifications du contrat pour introduire les changements nécessaires
(changement technologique et changement dans les processus métiers)

6) Définir les conditions de renouvellement, de réversibilité

L’engagement doit reposer sur des responsabilités mutuelles définies et mesurables par
des indicateurs.

Pour développer une relation stable entre les deux parties, il faut au préalable
communiquer les bonnes données et avertir de tout changement.

Organiser des réunions
Elles doivent permettre un transfert de compétences de façon que la capitalisation des
connaissances liées à la gestion du système ne se fasse pas exclusivement chez le
prestataire au risque d’une perte de compétences et d’une moindre maîtrise de la
prestation (risque de comportements opportunistes du prestataire).

Il est indispensable de garder la maîtrise de la relation avec le prestataire afin de préparer
l’échéance du contrat pour avoir la possibilité de poursuivre, voire d'étendre le contrat
avec le même partenaire, de changer de partenaire ou de réintégrer les activités
externalisées.

Il faut mesurer périodiquement la possibilité de réalisation, le cas échéant, de la
réversibilité afin que le transfert vers un nouveau prestataire ou en interne puisse se faire
sans rupture de qualité de service.

Les modes de facturation

En régie

Facturation en régie : mise à disposition de personnel facturée en fonction du coût réel.
Il y a obligation de moyens de la part du prestataire. Cela implique pour le client de
vérifier l’adéquation de ces moyens et des conditions de leur mise en œuvre.

Il y a obligation de moyens de la part du prestataire. Cela implique pour le client de
vérifier l’adéquation de ces moyens et des conditions de leur mise en œuvre.

BEC 43
Au forfait

Facturation au forfait : le montant de la prestation est fixé dès le départ.

Il y a obligation de résultat pour le prestataire, à charge pour lui de mobiliser les moyens
nécessaires. Cela implique pour le client d’être attentif à ce qui est n’est pas compris dans
le forfait.

Les composantes d'un poste de travail
Coûts directs

Dotations aux amortissements
Licences
Maintenance / sauvegarde
Équipe en interne ou externalisation
Formation
Télécommunications
Autres coûts : documentation, énergies, places

Coûts indirects

Liés à l'utilisateur final : temps de paramétrage, bugs, mauvaise utilisation...
Non-optimisation du système : pertes de temps, défaillances, indisponibilités

La location des postes diminue-t-elle les coûts ?

=> Le loyer remplace les immos donc diminution des coûts financiers (intérêts) et des
coûts d'opportunité.

VLAN (Virtual Local Area Network)
VLAN : subdivision du réseau local qui regroupe des machines de façon logique et non
physique. Segmentation virtuelle en regroupements, ce qui limite le partage de
l'information.

BEC 44
Avantages

Augmentation des performances
La segmentation créée par les VLAN réduit la taille des domaines de broadcast et de ce fait
le nombre de collisions sur ces domaines. De plus, les VLAN se basent sur la commutation
(et non le routage) pour segmenter les domaines de diffusion, ce qui permet un traitement
bien plus rapide.

Réduction des coûts
L’utilisation de VLAN permet de simplifier l’administration du réseau. A chaque fois
qu’un utilisateur change de LAN, il faut modifier l’adresse du poste et certains paramètres
des routeurs. Tandis que si un utilisateur change de lieu physique mais pas de VLAN, il
peut ne pas y avoir de modifications à faire (sous réserve de disposer de bons outils de
gestion des VLAN). De plus, l’utilisation des VLAN entraîne souvent la réduction du
nombre de routeurs nécessaires, or les routeurs sont plus onéreux que les switches.

Formation de groupes virtuels
Il est courant de retrouver, dans les entreprises, des groupes de développement, de
travail sur un projet spécifique, composés de membres qui viennent de différents
départements (production, vente, etc.).
Ces groupes sont souvent formés pour un temps défini et à courte durée. Dans ce cas de
figure, un VLAN pourrait être implémenté (sans avoir à déplacer les individus) pour les
besoins ponctuels de ce groupe, et ce, pour plusieurs groupes différents dans l’entreprise.
Ce qui permet de créer des groupes de travail de manière transparente vis-à-vis de
l’architecture physique du réseau.

Gain de sécurité
Périodiquement, des données sensibles sont envoyées en broadcast sur le réseau par les
machines (et plus particulièrement les serveurs).
Les VLAN permettent d’isoler les serveurs dans un même domaine de broadcast et de les
isoler par service.
Les VLAN apportent donc une grande flexibilité dans la gestion des réseaux ; les
utilisateurs pourront être regroupés selon leur centre d’intérêt. Les VLAN sont réalisés
sur une architecture commutée et le concept de VLAN est applicable dans un même
bâtiment, entre plusieurs bâtiments ou sur un réseau WAN.

BEC 45
Limites

Complexité
L’utilisation de VLAN engendre malgré une certaine complexité dans la configuration des
routeurs et de commutateurs et dans la gestion d’ensemble du LAN. Il faut parfaitement
connaitre les normes et les matériel, c’est donc un important effort de formation.

Débit important
Les échanges administratifs sur les réseaux locaux ne sont pas négligeables, au détriment
du débit utile :il faut en effet que les informations de VLAN soient échangées entre
commutateurs et vers les routeurs pour diffuser régulièrement les adresses MAC....

Délais
Lorsqu’une station est connectée à un commutateur, ce dernier peut mettre un peu de
temps avant de trouver à quel VLAN elle appartient de même lorsqu’une station est
déplacée d’un commutateur à un autre, il peut y avoir des problèmes dans la
reconfiguration.

Normes de routage
Les normes de routage cohabitent toujours avec des solutions propriétaires, ce qui peut
causer des problèmes d’interopérabilité si le matériel utilisé n’est pas homogène. Il faut
donc bien souvent changer tout le matériel actif déjà en place le remplacer par des
commutateurs dont le coût ne cesse d’augmenter avec l’arrivée de toutes ces
fonctionnalités nouvelles.

BEC 46
La sécurité des SI
Les risques à aborder
Confidentialité

Failles logicielles, possibilités d’écoutes, interceptions, piratage...

Intégrité des traitements et des informations

Virus, malware, SPAM, fishing...

Disponibilité

Saturation, déni de service...

Les cyber-attaques
Cyber-attaque : une atteinte à des systèmes informatiques réalisée dans un but
malveillant.

Les différents types de cyber-attaque

L’intrusion d’un pirate

Très dangereuse, l’intrusion d’un pirate peut permettre de récupérer ou supprimer des
données confidentielles, d’y déposer des virus ou des logiciels malveillants dans le but de
saboter le SI et le rendre inopérant.

La récupération de courriel

Elle est tout aussi dangereuse puisqu’elle signifie qu’un pirate peut intercepter le contenu de
messages, à caractère confidentiel, circulant sur le réseau Internet entre deux personnes de
la société. Pire, on pourrait imaginer que ce pirate usurpe l’identité de l’un deux et envoie
des messages falsifiés ou erronés aux personnels de l’entreprise dans le but de la déstabiliser
(ex : faire des demandes de virement au comptable).

BEC 47
 Une attaque par déni de service

Elle consiste à saturer un serveur ou un site Web d’entreprise afin de le rendre non
opérationnel (empêcher les utilisateurs légitimes d’un service de l’utiliser ou de perturber
les connexions entre les machines).

Ce type d’attaque peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès au
serveur Web ou empêcher la distribution de courriels dans une entreprise. Ce type de
cyberattaque peut paralyser le site Internet d’une entreprise et empêcher ses partenaires
d'accéder aux ressources mises en ligne.

Les conséquences d’une cyber-attaque

Récupération / altération des données confidentielles
Rendre inopérant le SI
Usurper l’identité
Paralyser l’utilisation du site partenaire

Les principaux outils pour lutter contre les cyber-attaques

VPN (Virtual Private Network)

VPN : tunnel sécurisé établi entre deux sites lors d’un échange qui s’appuie sur le réseau
Internet. Les informations sont cryptées à l’entrée et décryptées à la sortie. La sécurisation
s’effectue par une clé de session (cryptage symétrique) préalablement envoyée par
cryptage asymétrique.

Fonctionnement du cryptage VPN

1. L’émetteur génère un coup clé identique
2. Transmission de l’une des 2 clés à l’aide d’un cryptage asymétrique
3. Le destinataire utilise la clés privée pour décrypter la clé de session reçue
⇒
4. Les 2 sites ont la même clé l’échange peut débuter
5. Préalablement à tout transfert, chaque site génère son propre couple de clé
publique/privée en vue d'un cryptage asymétrique et dépose sur un serveur de clés leur clé
publique. On suppose que chaque site a donc récupéré la clé publique du site avec lequel il
souhaite échanger de manière sécurisée

BEC 48
La sécurité des SI
6. L'envoi via un VPN suppose une clé de session
7. L'émetteur va générer un couple de clés identiques en vue d'un chiffrage symétrique.
8. Il va transmettre une de ces deux clés à sa division au moyen d'un cryptage asymétrique.
Pour cela, l'émetteur va crypter la clé de session avec la clé publique du récepteur et lui
envoie
9. À réception, le destinataire utilisera sa clé privée (que lui seule possède) pour déchiffrer la
clé de session reçue
10. Les 2 sites possédant la même clé de session, l'échange crypté en asymétrique peut
débuter

DMZ (DeMilitarised Zone)

DMZ : zone tampon isolée du réseau privé de la société hébergeant des applications et des
données mises à disposition du public, tous les serveurs contenant les applications
importantes de l’entreprise et son site Web.

Serveur tampon (cleaning center)

Serveur tampon : serveur qui va filtrer et nettoyer le trafic et permettre que les requêtes
malveillantes ne touchent pas le serveur visé.

Les autres outils de prévention contre une cyber-attaque

Adopter une architecture composée de plusieurs serveurs offrant le même service, gérés
de sorte que chaque client ne soit pris en charge que par l’un d’entre eux, ce qui permet
de répartir les points d’accès aux services et en cas d’attaque d’avoir un ralentissement «
acceptable »

Identifier et bloquer les adresses IP dont proviennent les attaques au niveau du pare-feu
ou du serveur. Cependant, lorsque les attaques par déni de service sont distribuées cette
méthode n’arrête pas l’attaque mais permet de la limiter

Mettre en place une politique de continuité d’activité destinée à élaborer des processus
d’urgence et à définir les personnes à contacter en cas de perturbation, tout en
sensibilisant les utilisateurs

Auditer de façon régulière le système d’information

Souscrire un contrat de cyber-assurance couvrant les risques informatiques évoqués

BEC 49
La sécurité des SI
Recommandations et précautions à prendre

Le principal problème de sécurité est assis devant le clavier !

L’ingénierie sociale s’appuie sur l’absence de méfiance des utilisateurs pour contourner les
protections.

L’intelligence économique permet d’obtenir des informations par l’écoute passive ou dans
des situations en apparence anodines.

L’intrusion des outils grand public dans l’environnement professionnel (tablettes, mobiles…)
est une nouvelle menace.

Le patrimoine scientifique et technique est une richesse qui doit être protégée.

Les aspects juridiques et réglementaires

Protection des personnes (CNIL)
Infractions informatiques : intrusion, compromission … (LCEN - CP)
Les droits d’auteur et le Code de la propriété intellectuelle

La politique de Sécurité des Systèmes d’Information

Principes et mise en œuvre de la politique de Sécurité des Systèmes d’Information
Brève présentation de la charte d’utilisation des moyens informatiques et du Plan de
Sécurité des Systèmes d’Information

Le management de la sécurité

Rôle des ASSI d’unité
Description des procédures et modalités d’accès au réseau (comptes utilisateurs…)
Classification des informations : confidentielle / non confidentielle.
Internet/Extranet/Intranet : modalités d’utilisation, niveaux de sécurité…

BEC 50
Audit, conseil et reporting des SI
NPS (Net Promotor Score)

NPS : c'est le pourcentage de clients qui évaluent leur probabilité de recommander une
entreprise

Missions de l’auditeur

Sécurité physique : intrusion, incendie...
Confidentialité et traçabilité
RGPD
Lisibilité et respect des consignes en SI
Indicateurs de performance

Les étapes d’un audit assisté par ordinateur (AAO)

1. Étape de démarrage, définition du périmètre et planification de la mission d’audit
2. Récupération des fichiers de données, bases de données de l’entité auditée de façon
confidentielle et sécurisée
3. Vérification et contrôles de ces données en vue de rapprocher les données de l’audité
et celles de l’auditeur
4. Tests sur les traitements afin de vérifier la concordance dans les productions
d’informations comptables de l’audité et de l’auditeur
5. Constitution d’un dossier avec les réponses obtenues à ces tests et contrôles
6. Interprétation des résultats obtenus
7. Conclusion tant sur le contenu des écarts éventuels que sur les méthodes

Les logiciels d’AAO ont pour avantage d’assurer l’intangibilité des données (une fois les
données incorporées aux, les données ne sont plus modifiables), une conservation des
étapes des contrôles, un caractère systématique des données contrôlées, une efficacité
dans les contrôles.

l
BEC 51