Fiche de révision DSCG UE 5 - MSI PDF
Document Details
Uploaded by BestKnownFarce
DSCG
Tags
Summary
This document is a DSCG UE 5 review sheet focused on the topics covered in Management of Information Systems, with useful advice and reminders regarding the topics to focus on for revision.
Full Transcript
UE 5 - Management des Systèmes d'Information Blog des Etudiants en Compta Sommaire Introduction à l'UE 5 du DSCG 1 Gouvernance des SI 8 Gestion de projet des SI 17 Ge...
UE 5 - Management des Systèmes d'Information Blog des Etudiants en Compta Sommaire Introduction à l'UE 5 du DSCG 1 Gouvernance des SI 8 Gestion de projet des SI 17 Gestion de la performance des SI 31 Architecture des SI 36 Sécurité des SI 50 Audit, conseil et reporting des SI 54 BEC 1 Introduction à l'UE 5 du DSCG ASTUCES ET CONSEILS POUR REUSSIR L'UE 5 Connaître certains mots clés Comme tu vas le voir, dans cette fiche, certains mots clés reviennent régulièrement. Et ce, peu importe le chapitre... Interopérabilité, efficience, scalabilité… Sont tant de mots qu'il te va falloir remettre dans ta copie le jour de l'examen. Évidemment, on ne met pas tous les mots et on ne les met pas au hasard, sinon adieu les points ! La méthode à adopter Quelle méthode adopter dans ce cas ? Celle que j'ai appliquée et qui m'a permis d'obtenir la note de 16,5 /20 en ayant révisé seulement 1 mois à l'avance... Comment obtenir ces mots clés ? Tout simplement, en lisant les corrigés des annales, eh oui ! C'est une mine d'informations sur les mots que les correcteurs aiment retrouver dans ta copie et te rapporteront donc des points. Tu as de la chance, tous ces mots sont répartis dans cette fiche, qui est en fait celle que j'avais moi le jour de l'examen (mais en mieux présentée quand même !). BEC BEC 3 1 ASTUCES ET CONSEILS POUR REUSSIR L'UE 5 Les thèmes réccurents Contrairement au droit par exemple, la MSI ne regroupe pas énormément de thématiques. Mais certaines se détachent tout de même du lot comme tu peux le constater : Le jour de l'examen Comment procéder le jour de l'examen ? Avant même de lire le sujet, tu prends ta feuille de brouillon et tu notes un maximum de mots clés susceptibles d'être casés dans ta copie ! C'est bizarre ? Oui Ça fonctionne ? Oui Maintenant, le but du jeu c'est d'en placer le plus possible, un peu comme un bingo. BEC BEC 3 2 ASTUCES ET CONSEILS POUR REUSSIR L'UE 5 Faut-il faire des fiches ? A cette question, je répondrai simplement : non. Non, il ne faut pas obligatoirement faire des fiches. Si vous en faites, je vous invite à répondre à ces quelques questions : Est-ce que je suis très en retard dans l’avancement de mes fiches ? Est-ce que je prends le temps de relire plusieurs fois (j’insiste) mes fiches plusieurs semaines avant l’examen ? Est-ce que j’ai du temps pour m’entraîner, en particulier sur les annales ? Si vos réponses sont « non », autrement dit : Si l’élaboration des fiches vous prend du temps Sans jamais vous en faire gagner (ce qui est le but à l’origine !) car vous n’avez pas le temps de les relire plusieurs fois Réduisant ainsi considérablement vos entraînements (qui sont constituent la clé pour décrocher le diplôme !) Alors ne faites pas de fiches mais préférez acheter des fiches déjà faites. BEC BEC 3 3 ASTUCES ET CONSEILS POUR REUSSIR L'UE 5 Pour aller plus loin... Voici une liste des ressources disponibles sur le blog qui peuvent t'aider à réussir l'UE 5. Articles accessibles dans la catégorie "méthodologie" : - Comment réviser une matière littéraire ? - Le secret pour réussir le DCG & DSCG - La méthode la plus efficace pour retenir son cours - Comment bien organiser ses révisions ? - 5 conseils pour travailler avec les annales Documents utiles accessibles dans les "ressources" : - Bulletin Officiel (programme) du DSCG - Rapport du jury 2021 - Répartition des thèmes en fonction des années Où me suivre ? www.blogetudiantscompta.fr blogdesetudiantsencompta Julie Laniaud BEC BEC 3 4 LES ATTENDUS DE L'EXAMEN L'importance de la mise en contexte Outre les mots clés, il va falloir s'adapter au contexte du cas et réussir à retranscrire des idées de réponses tirées de cette fiche appliquées au cas de l'examen. "Elle montre une tendance qui devrait être celle des épreuves à venir c'est-à-dire une mise en contexte du candidat et sa confrontation à des problématiques et à des décisions liées au management des systèmes d'information en cabinet et/ou en organisation." - Rapport du jury 2020 Maîtriser les concepts managériaux La MSI se veut de moins en moins techniques, et davantage managériale ! « L'épreuve de Management des systèmes d’information va évoluer avec le nouveau programme vers de moins en moins de technicité infrastructurelle et de plus en plus de management informationnel au regard des profondes mutations systémiques impactant les SI et la fonction SI» - Rapport du jury 2019 L'importance de la culture professionnelle Nos métiers évoluent sans cesse, de nouveaux outils sont créés chaque année... Intéresse-toi, fais une veille sur ces sujet pour avoir une meilleure note mais également pour être compétent sur la thématique du digital. La data, c'est le futur ! « Ainsi, les métiers du chiffre sont et seront largement impactés par les outils et pratiques numériques ce qui, en toute logique, explique l’évolution de l’UE 5 elle-même.. » Rapport du jury 2018 BEC BEC 3 5 POUR MIEUX REVISER AVEC LES ANNALES Détail de la récurrence des thèmes dans les annales de 2017 à 2020 Le détail des thèmes tombés dans les annales, année par année, est disponible sur le blog > ressources > annales DSCG > UE 5 - Management des SI. Détail de la récurrence des thèmes dans les annales de 2008 à 2020 Sur la même page, il vous est possible de télécharger le détail depuis 2008 au format excel. BEC BEC 3 6 Gouvernance des SI Alignement stratégique Alignement stratégique : exprime la démarche visant à faire correspondre les objectifs du système d’information avec ceux de l’organisation (stratégie globale et stratégie métier). L’alignement stratégique est une démarche visant à faire coïncider la stratégie SI sur le ou les stratégies d’affaires de l’entreprise. Le modèle développé par Henderson et Venkatraman en 1993 propose de travailler sur les adéquations entre stratégie(s) de l’entreprise, conception et structures organisationnelles, infrastructure technologique et stratégie. Il y a interaction entre les deux démarches (choix stratégiques, définition du SI) jusqu'à ce qu’elles soient en cohérence. D’une part cela permet d’intégrer les objectifs stratégiques et peut conduire à formuler de nouvelles exigences en termes de système d'information. D’autre part, le système d'information peut offrir de nouvelles opportunités amenant à modifier la stratégie. L’alignement stratégique doit être dynamique et en adaptation permanente. Les 4 domaines de l’alignement stratégique La stratégie de l’entreprise Stratégies génériques Objectifs stratégiques Produits, marchés Compétences distinctives La stratégie de développement technologique Domaine technologique Compétences Gouvernance BEC 7 L’infrastructure et les processus de l’entreprise Infrastructure administrative Processus d’affaire Processus managériaux L’infrastructure et les processus des SI Architecture Portefeuille d’applications Processus de développement Contrôle Principaux domaines du SI à aligner Équipements, plateforme, applications, connectivité, espaces de stockage, etc… pour répondre aux missions attendues des objets connectés Le SI doit permettre les interfaces ou relais entre Internet et les objets connectés (utilisation de réseaux cellulaires couverts par les opérateurs de téléphonie, 3G, 4G, etc., réseau dédié aux objets connectés Le SI doit permettre la réalisation de toutes les missions du système d’information comptable et commercial et donc s’assurer des interopérabilités entre les applicatifs nécessaires Le SI doit permettre la mise en relation des différents sites de l’entreprise Le SI doit permettre la connexion avec toutes les parties prenantes de l’entreprise et tous les pays avec lesquels elle travaille afin d’optimiser les coûts tant d’approvisionnement, de stockage, de logistique et de production Le SI doit prévoir les hébergements et stockages des données échangées : confidentialité et sécurité de ces stockages, localisation… Intégration des risques SI afin d’assurer la continuité de services BEC 8 La Direction des SI (DSI) Le DSI recrutée devra être capable de développer la stratégie informatique et posséder des compétences : Technologiques Communicationnelles Managériales De gestion Les missions de la DSI Satisfaire les besoins de production d’informations de qualité et fiables Assurer la connectivité entre les interfaces Solutions : choisir une ESN (Entreprise de Services Numérique) ou embaucher une personne qui dispose de toutes les compétences adéquates. Service Level Agrement (SLA) SLA (ou convention de service) : convention qui définit les objectifs spécifiques sur lesquels les performances des services vont être jugés (préconisé par le référentiel ITIL = Information Technology Infrasturcture Library). C’est soit un contrat, soit une partie d’un contrat informatique, soit une annexe à un contrat informatique, soit une annexe à des conditions générales. Elle précise les engagements du prestataire informatique vis-à-vis de son client en termes de niveau de service. Le contenu de la convention de service La définition et la fixation des niveaux de service en termes de disponibilité, de fiabilité et de temps de réponse Une procédure de mesure de la qualité de service et de reporting est mise en place. La qualité de service (QoS, Quality of Service) est l’aptitude d'un service à répondre de façon appropriée à des exigences, exprimées ou implicites, qui visent à satisfaire ses usagers. BEC 9 Une garantie du temps de rétablissement en cas d’interruption du service Celle-ci précise le délai de rétablissement (4, 6, 8… heures) et l’amplitude de la période couverte (ex. : 24h/24, 7j/7). Un système de bonus/malus en fonction du niveau de service rendu Des éléments de prix peuvent être conditionnés à la réalisation d’objectifs définis ; inversement, des pénalités (en % du prix) peuvent être prévues en cas de non-atteinte d’objectifs. La convention de service comme un gage de réussite La convention de service a un rôle essentiel car : Elle oblige les parties à dialoguer Elle permet de poser noir sur blanc une description détaillée de la prestation en accord avec les 2 parties Elle évite les litiges puisque les modalités sont définies à l’avance Avantages Transforme l’obligation de moyens en obligation de résultats Maintient et améliore la qualité des services à travers des suivis et des rapports statistiques SSII (Société de Services et d’Ingénierie en Informatique) SSII : société experte dans le domaine des nouvelles technologies et de l'informatique. Elle peut englober plusieurs métiers (conseil, conception et réalisation d'outils, maintenance ou encore formation) et a pour objectif principal d'accompagner une société cliente dans la réalisation d'un projet. BEC 10 Les missions des SSII Exercer tout d'abord des activités d’étude et de conseil en matière de systèmes informatiques, tant en ce qui concerne le matériel, les logiciels, les progiciels et les réseaux S’impliquer dans toutes les étapes de réalisation d’un projet, en mettant à la disposition de l’entreprise client des équipes de développement Assurer le contrôle qualité Intérêt Qualité de service (contractualisation) Diminution des coûts grâce à la mutualisation des ressources Pérennité de l’entreprise client car respect des normes : capacité à résister aux aléas Urbanisation : résilience + maintenabilité Business Intelligence (BI) Business Intelligence ou Intelligence Décisionnelle : c’est l’information à l’usage des dirigeants d’entreprise. Elle représente l’ensemble des outils et méthodes informatiques permettant de collecter, consolider et restituer les données d’une entreprise à des fins d’aide à la décision. Intérêt Organiser et faciliter la collecte des différentes sources d’informations Transformer les données brutes / hétérogènes en données normalisées et homogènes Simplifier l’interrogation de la base de données Permettre l’exportation des données sous différents formats (XLS, CSV, TXT, PDF…) Générer des tableaux de bords BEC 11 Formation Ouverte A Distance (FOAD) FOAD : dispositif souple de formation organisé en fonction de besoins individuels ou collectifs (individus, entreprises, territoires). Elle comporte des apprentissages individualisés et l’accès à des ressources et compétences locales ou à distance. Elle n’est pas exécutée nécessairement sous le contrôle permanent d’un formateur. Avantages Diminution de l’impact de la vie perso salarié (moins de déplacements) Diminution du temps de formation et peut s’étaler dans le temps (pas forcément bloquer des journées) Flexibilité et personnalisation Facilité l’intégration des nouveaux Formation continue des anciens Traçage de l’avancement des élèves Limites Matériel informatique Disposer d’un accès plateforme, aide technique Utilisateurs motivés Dégager du temps pour la formation Intérêt Formation de masse Faciliter l’accès à la formation (n’importe où) Réduire le coût des formations (déplacements) Cartographie des processus Cartographie des processus : représentation graphique des activités articulées au sein d’un métier afin de délivrer in fine un produit / service créateur de service. La cartographie des processus métier peut être assimilée à une représentation graphique des activités articulées au sein d’un métier afin de délivrer in fine un produit et/ou un service créateur de valeur ajoutée. BEC 12 Diagramme d’Ishikawa Diagramme d'Ishikawa : le diagramme d’Ishikawa (du nom de son concepteur Kaoru Ishikawa, ingénieur japonais) ou en arrêtes de poisson, permet d’analyser 5 grandes catégories de causes (qui sont notées les 5M) pour parvenir à un effet envisagé. Les 5 catégories du diagramme d'Ishikawa 1) Machine(s) ou Matériel : les équipements, l’infrastructure technologiques, les réseaux informatiques... 2) Main d’œuvre : les acteurs et leurs compétences 3) Méthode(s) : les procédures, modes opératoires, méthodologies... 4) Matière(s) : tout ce qui concerne les inputs des processus, en termes tangibles et intangibles (ex : information)... 5) Milieu : l’environnement de travail et le management. L’idée est donc de pouvoir formuler et préciser l’effet recherché puis de déterminer les dispositifs requis pour chacune des 5 catégories de causes et de les faire apparaître sur un schéma qui soit le plus lisible et synthétique possible. BEC 13 Gestion de projet des SI La gestion de projet des SI Les différentes phases d’un projet SI La phase d’amorçage Étude préliminaire visant à faire un état des lieux. Cette phase correspondra à l’audit Étude de faisabilité pour rechercher les solutions possibles : de type PGI ou au contraire de type applications hétérogènes mais urbanisées Spécification du projet en termes de planification (délais), de budget (estimation des besoins en ressources et des coûts), cahier des charges fonctionnel Réalisation du projet pour la mise en place du nouveau système. Phase d’implantation Phase d'implantation : c'est la mise en œuvre de la solution autrement dit son déploiement dans l’organisation. Les principales caractéristiques de la phase d’implémentation sont les suivantes : Réalisation, implantation, intégration Paramétrage de l’outil Tests, reprise de données Écriture, processus et procédures Formation équipe d'accompagnement Initiation base de données par l'équipe d'accompagnement Formation du personnel Les contraintes Elles sont liées à un grand nombre d’exigences à respecter simultanément : Qualité du paramétrage Validité des tests Procédure d’épuration des données avant migration dans le nouveau système BEC 14 Choix de la stratégie de déploiement de la solution Compétences de l’équipe d’accompagnement Formations adaptées aux besoins et niveau des utilisateurs Disponibilité des personnes L’enjeu C’est de passer de l’ancien système au nouveau sans mettre en difficulté l’activité de l’entreprise et la relation avec ses clients et ses fournisseurs. Cette bascule nécessite un accompagnement renforcé. La phase d’usage Phase d'usage : elle correspond à la prise en main du nouveau système par les utilisateurs et le management. Ces derniers doivent abandonner les anciennes routines et pratiques organisationnelles pour dorénavant utiliser le nouvel outil. Les contraintes Toutes les formes de résistance aux changements Le respect des exigences du nouveau système par les utilisateurs, les compétences existantes dans l’entreprise L’autonomie des utilisateurs, parfois également il faut vivre temporairement avec deux systèmes d’information le temps que le nouveau système soit totalement implémenté dans l’organisation Les différentes cultures d’organisations présentes dans l’entreprise Les enjeux La maîtrise collective du nouveau système par les utilisateurs Dégager une véritable valeur d’usage du système d’information : améliorer le processus de prise de décision Stabiliser l’organisation avec l’usage de son nouvel outil Constitution d’une petite équipe pluridisciplinaire Elle devra être constituée d’utilisateurs souhaitant en découdre avec les difficultés d’usage rencontrées avec le SI actuel. BEC 15 Les règles du jeu Partager un but commun Se fixer des objectifs atteignables Instaurer le respect mutuel et la confiance entre les parties Pouvoir s’adjoindre des expertises externes en cas de nécessité Les organes de la gestion de projet Le comité de pilotage Comité de pilotage : c’est l'organe directeur de la maîtrise d'ouvrage. Il est présidé par un directeur de projet. Il est composé : Des représentants opérationnels (responsables métiers et utilisateurs-clés) concernés Du responsable informatique D’experts internes ou externes (intégrateur) Les attributions du comité de pilotage Lancement du projet caractérisé par les objectifs, les finalités, les critères de qualité et l'arbitrage des moyens à mettre en œuvre Définition des choix stratégiques d'architecture et des orientations en matière de sécurité et de droits d'accès Accompagner la maîtrise d’ouvrage dans la conduite du changement et sa mise en œuvre intégrant notamment les plans de communication et de formation Management du projet correspondant au suivi des échéances, des risques et du contrôle qualité Le comité des utilisateurs (ou key users) Comité des utilisateurs : il est constitué de tous les utilisateurs représentatifs des domaines d'activité concernés par le projet (achats, commercial, fabrication, comptabilité, contrôle de gestion). BEC 16 Les attributions du comité des utilisateurs (ou key users) Expression détaillée des besoins et des règles de gestion Validation des solutions / maquettes présentées par l'équipe projet Participation aux tests du nouveau SI Participation aux actions de formation Réception définitive du progiciel Accompagnement du déploiement Ce comité peut devenir centre de ressources dans la phase post-projet Le chef de projet Chef de projet : le pilotage du projet est assuré par le chef de projet. Les attributions du chef de projet Présider les réunions Coordonner les différents acteurs Rendre compte de l’avancement du projet à la direction Être l’interlocuteur de la maîtrise d’ouvrage Superviser la réalisation des tests et le recettage Valider les supports de documentation et de formation Le chef de projet doit avoir l’autorité nécessaire pour mener à bien le projet, selon l’ampleur de celui-ci. Ici le projet concerne toute l’entreprise avec des implications organisationnelles. Il est donc nécessaire que le choix du chef de projet traduise un engagement fort de la direction. BEC 17 Risques de dysfonctionnements du projet Déresponsabilisation des acteurs Manque d’implication de la DG Personne n’est garant de la qualité / sécurité des données Pas de formations adaptées Mode de management trop hiérarchique (pas de processus) Les conditions de réussite du projet Participation et formation RH Tableau de bord Implication DG Choix des maîtres d’œuvre Objectifs clairement définis Équipes organisées + contrôle appropriés Animation et motivation Maîtrise des délais, des coûts et de la qualité BEC 18 Les Progiciels de Gestion Intégrée (PGI) PGI : progiciel qui permet de gérer l'ensemble des processus d'une entreprise en intégrant l'ensemble de ses fonctions, dont la gestion des ressources humaines, la gestion comptable et financière, l'aide à la décision, mais aussi la vente, la distribution, l'approvisionnement et le commerce électronique. Avantages Infogérance Licences utilisateur Logiciel d’audit assisté par ordinateur Éditeur de notoriété, expérience Expérience utilisateur Sauvegarde Éradication de l'entropie Satisfaction PP Diminution des erreurs Diminution des coûts Augmentation de la rentabilité Limites Nécessité d’adapter certains processus aux contraintes du progiciel L'entreprise doit parfois modifier son organisation afin de s'adapter aux contraintes du progiciel, notamment pour pouvoir utiliser la version et le paramétrage standard. Il faut arbitrer entre impact organisationnel et complexité des paramétrages. Le projet impacte l‘organisation dans son ensemble Cela implique des risques, au-delà de ceux inhérents à la dimension informatique du projet, en particulier si la gestion du changement est mal appréhendée. Coûts induits très importants, et souvent sous-estimés Il y a de nombreux coûts induits, en termes de temps de travail des personnels, de baisse d'efficacité des services liée à la désorganisation que peut entraîner la mise en place du PGI. BEC 19 Les enjeux du PGI Enjeux organisationnels Productivité du travail Grâce au workflow, au groupware, à l’actualisation des normes, à l’activation des systèmes d’alerte, à la check-list… Qualité du travail Incitation au respect des processus et des délais. L’idée essentielle est que ce type d’application peut permettre : D’améliorer la position concurrentielle de l’entreprise, notamment par la fidélisation des anciens clients et la captation de nouveaux clients et, plus largement Par l’élargissement à terme du champ même de l’audit grâce à un outil standard et actualisé (comptable, sûreté, environnemental, rentabilité…). Enjeux techniques Évolution des serveurs Faire évoluer le serveur de Base de Données et adjoindre un serveur Web Doter de PC portables les collaborateurs Acquérir des appareils actifs pour le réseau (switch, pare-feu …) Débit du réseau de communication en entrée et en sortie (ADSL haut débit, SDSL) Évolution du système d’exploitation Enjeux informatiques Introduction de la Gestion Électronique des Documents (GED) Généralisation de l’informatique nomade Enjeux financiers Investissement conséquent L’investissement est peu diversifié Car l’ensemble des composantes du PGI sont fournies par un concepteur unique. BEC 20 Les coûts de maintenance peuvent être très élevés Les produits commercialisés présentent parfois de nombreuses erreurs, les corrections de ces erreurs font l’objet de contrat de services supplémentaires, ou de mises à jour des versions de logiciel. Chaque modification du système nécessite de nombreux paramétrages. L’investissement est irréversible car le coût de sortie est deux à six fois plus élevé que l’investissement initial. Le périmètre Un périmètre doit être décidé (ce qui demande de cartographier l’entreprise et ses principaux processus dès le début du projet sachant que les processus de production ont été actualisés récemment) et il doit être assez large pour couvrir à la fois le « back office » (production, stock, qualité, comptabilité, contrôle, RH, informatique, etc.) et le « front office » (vente, achat, logistique, configurateur-produit, etc.). Il pourrait notamment aborder et schématiser les étapes suivantes : Contextualiser Former les équipes Planifier Cartographier Réaliser une étude de cadrage Former des utilisateurs « pilotes » Modéliser et paramétrer Former les utilisateurs finaux Recevoir et mettre en œuvre le PGI Evaluer Corriger L’analyse du périmètre d’un nouveau PGI permet de mettre en évidence des améliorations : La productivité Une meilleure intégration de l’ensemble des processus (et pas seulement les processus de production et d’administration de ventes) va permettre un gain de productivité général pour l’ensemble de l’entreprise. BEC 21 La flexibilité En effet, la capacité de l’entreprise à répondre à des demandes des clients sera améliorée. La convivialité Le nouveau système d'information d’information peut rassembler autour de lui tous les acteurs internes et notamment la direction générale, les responsables RH, les acheteurs, les responsables qualité, les partenaires extérieurs (CRM, SRM) qui étaient potentiellement exclus dans le SI précédent. L’intégration des infrastructures Le nouveau système d'information assure très probablement l’intégration applicative des infrastructures et de leur maintenance. L’homogénéité des interfaces Le problème des interfaces tend à disparaître au profit d’une interface unique et de liens facilités avec l’environnement bureautique des utilisateurs. Un meilleur partage de l’information L’utilisation d’un système centralisé en temps réel autour d’une base de données unique garantit un meilleur partage de l’information. BEC 22 Dépendance vis-à-vis d’un éditeur Retour en arrière ou changement de PGI difficiles compte tenu de l’importance du projet et de son caractère structurant pour l’entreprise. Dépendance par rapport aux intégrateurs et aux consultants L'intervention d'intégrateurs et de consultants crée des situations d’asymétrie d’information avec des risques au niveau des choix effectués, des coûts, des tensions possibles entre salariés de l’entreprise et salariés extérieurs. Complexité du paramétrage Pour être au plus près des processus de l’entreprise, l’installation nécessite une modélisation du fonctionnement de celle-ci, une définition précise des actions et des rôles. Cette étude approfondie peut entraîner un dépassement des délais et des coûts ou un risque de difficultés d’utilisation lors du déploiement. Risques d'un PGI Solution non hétérogène Taille Durée Difficulté technique Degré d'intégration Stabilité de l'équipe projet Les points d’attention dans le choix d’un PGI PGI multilingue, multidevise, multi-référentiel Coût global : installation, MAJ, maintenance… Adaptabilité : paramétrage Complexité Expérience et pérennité de l’éditeur Conditions de mise en œuvre : modes d’accès, ressources, aspects juridiques BEC 23 La conduite du changement Conduite du changement : consiste à accompagner un projet d’organisation ou de réorganisation, tout en utilisant une méthodologie de conduite de projets éprouvée. La conduite du changement implique la prise en compte de la dimension humaine, des valeurs et de la culture d’entreprise ainsi que les résistances au changement. L’objectif est de permettre la compréhension et l’acceptation par les salariés concernés des "nouvelles règles du jeu" résultant du processus de changement. Causes à l’origine des dysfonctionnements du SI / PGI actuel Déresponsabilisations intentionnelles ou pas d’acteurs-utilisateurs à l’égard du système intégré Manque d’implication des cadres et agents de maitrise dans l’utilisation du progiciel Formations non adaptées aux différents niveaux d’utilisateurs Personne n’est garant de la qualité des données : transactionnelles, de base et de paramétrage Les utilisateurs ne savent pas interpréter les données du progiciel Absence totale de remise en cause des processus physiques, informationnels et décisionnels, on conserve les anciennes pratiques Absence de rigueur dans la gestion des activités industrielles Non-implication de la direction dans le projet et la suite du projet Mode de management hiérarchique en opposition avec l’approche par les processus Manque de connaissance sur les principes de base de la gestion de production et de la Supply Chain Écart entre la vie des ateliers et le système virtuel censé la représenter Actions en cas de dysfonctionnements du SI / PGI Actions organisationnelles Remise à plat des processus physiques et informationnels Re-paramétrage du progiciel Épuration des données de base Définition du rôle de chacun Repérer et former des potentiels pour devenir des key-users à moyen terme BEC 24 Actions humaines Mise en place de formations adaptées aux niveaux des utilisateurs et de la maîtrise Mettre en place des grilles de compétences Mettre en place un processus d’évaluation des formations dispensées Mettre en place un suivi individuel des grilles de compétences Expliquer aux personnes l’intérêt d’utiliser le progiciel Encourager les micro-changements Actions managériales Responsabiliser les cadres et les agents de maitrise sur leurs données de gestion Mettre sous contrôle les données transactionnelles Analyser les dysfonctionnements d’usages individuels et collectifs Tableaux de bord des anomalies rencontrées avec le SI / service Redéfinir les rôles et responsabilités des managers Formation des managers aux concepts de gestion de production Les différentes formes de la résistance aux changements L’inertie Lorsque les utilisateurs finaux adoptent une attitude de fausse acceptation du changement dont ils repoussent au maximum la survenance, au nom de la prudence et de la recherche de consensus. L’argumentation Lorsque les utilisateurs finaux négocient sur tous les aspects du changement, de forme et de fond. Le contournement Lorsque les utilisateurs continuent à utiliser leurs anciennes solutions informatiques (par exemple leur tableur usuel) sans s’approprier les nouvelles. La révolte Elle survient comme ultime recours, afin d’empêcher que le changement soit mis en œuvre, à travers une action syndicale par exemple. BEC 25 Dispositifs pour lutter contre la résistance aux changements Les « key users » Des modules déjà à l’œuvre et les collaborateurs expérimentés des directions technique et commerciale doivent se réunir régulièrement pour penser ensemble, guidés par les consultants de l’éditeur, la codification (ou paramétrage). Appui d’un Centre de Compétences (CC) Il a pour objectif principal d’assurer une intégration réussie de l’ERP/SI dans l’entreprise tout en garantissant la qualité de son usage. Il peut ponctuellement accueillir des compétences qui ne sont pas présentes en permanence dans l’entreprise comme les consultants de l’éditeur et/ou de l’intégrateur. Les formations Afin notamment de s’assurer d’une utilisation adéquate des systèmes. La communication interne sur le changement Elle devra être renforcée, mettant en avant l’implication de la direction générale, les effets attendus du changement, la nécessité du changement. Les indispensable pour inscrire le changement sur le long-terme La qualité des données : transactionnelles, de base et de paramétrage / services Le processus de formation aux fonctionnalités du progiciel La tentation au retour des anciennes routines organisationnelles Le processus d’apprentissage Les déresponsabilisations à l’égard du progiciel L’utilisation de systèmes parallèle Le dialogue avec le management La disponibilité accordée aux key-users La gestion des grilles de compétences BEC 26 Points d’attention pour limiter les résistances aux changements Profils de poste Évolution profonde qui ne porte pas sur l’usage des outils informatiques (habitudes existantes) mais sur le mode d'appropriation des applications (évolution à la demande plus difficile en raison de la standardisation de marché). Relations humaines Risque de querelle des « anciens et des modernes » au sein des chefs de service, risque lié à la perte de pouvoir de la direction informatique qui peut contester les décisions d’externalisation. Résistance au changement Potentiellement tout acteur peut résister au changement pour divers motifs, la conduite du changement sera donc fondamentale. Enchaînement logique Les profils de poste vont changer, ce qui entraîne une redistribution des modes de communication, des habitudes de travail et donc de la répartition du pouvoir, d’où une tension dans les relations humaines qui se traduit par la résistance au changement. BEC 27 Gestion de la performance des SI Les indicateurs de performance Indicateur de performance : il a pour mission de mesurer le rendement des actions impliquées dans l'atteinte des objectifs qu'une organisation s'est fixée à court, moyen et long terme. Avantages Suivre dans le temps l’évolution de la performance Analyser cette performance Mettre en place des actions pour l’améliorer davantage Limites Fiabilité des données Choix des indicateurs pertinents Choix d’un nombre réduits d’indicateurs Bonne interprétation des indicateurs Les objectifs des SI Efficience = résultats / moyens utilisés On trouvera ainsi des mesures simples de productivité directe par rapport d’un résultat aux ressources consommées. Efficacité Où l'on rapproche des résultats et des objectifs ; Satisfaction Vision de l'efficacité organisationnelle exprimée au travers des perceptions des utilisateurs. BEC 28 Les exemples d'indicateurs Les différents types d’indicateurs (en interne) Indicateurs techniques (point de vue du technicien) Volume d’activité Temps de réponse d’un serveur Temps réel d'utilisation Taux de disponibilité Nombre de logiciels ou de fonctionnalités utilisés… Indicateurs d’utilisation (point de vue de l’utilisateur) Temps d’utilisation Temps de réponse d’une application Amélioration de la performance… Indicateurs de satisfaction (point de vue de l’utilisateur) Taux de satisfaction Note donnée par l’utilisateur aux outils Nombre de bugs remontés par les utilisateurs… Indicateurs sur la performance de l'organisation (point de vue de la direction) Efficience générale Performance financière Avantage compétitif Flexibilité Création de valeur… BEC 29 Les différents types d’indicateurs pour évaluer un prestataire de service SI Indicateurs de performance Taux de disponibilité de l’environnement de travail sur une plage définie Exemple : > 99 % de 7 h à 20 h x jours sur 7, y semaines sur 52 Taux de disponibilité des applications Exemple : > 99 % Délai moyen d’accès aux applications Exemple : 30 secondes Temps de réponse de la base de données du PGI Exemple : < 1 s Indicateurs de mesure de la qualité Nombre de demandes d’intervention traitées par période Délai d´intervention Ce dernier peut être fonction d’un classement des applications selon leur criticité ou leur importance : « stratégique », « critique », « sensible » ou « faible », voire fonction du caractère bloquant ou non bloquant du dysfonctionnement. La convention de niveaux de service définit un délai d’intervention pour chaque catégorie. On peut mesurer le délai moyen ou le % d’interventions dans un délai inférieur au délai contractuel. Nombre d’interventions traitées avec résolution du problème rencontré dans les x heures rapporté au nombre d’interventions traitées Exemple : > 95 % BEC 30 Indicateurs d’évaluation de la FOAD Indicateurs de résultat Nombre de sessions organisées par an Nombre de personnes formées par an par rapport au nombre total de salariés Nombre moyen d’heures de formation par an, par salarié (par sexe, catégorie professionnelle, zone géographique) Nombre de structures utilisatrices par an par rapport au nombre total de structures du réseau Indicateurs d’impact Taux d’évolution du nombre de stagiaires par an Amélioration de la productivité Indicateurs d’évaluation de l’accès à la plate-forme FOAD Nombre d’utilisateurs simultanés Pour apprécier la scalabilité de la solution Temps de réponse moyen du serveur Pour évaluer la performance du serveur Taux de disponibilité de la plate-forme Pour évaluer la qualité du service proposé Nombre d’incidents réseau Pour évaluer les difficultés d’accès à la plate-forme Taux d’incidents réseau Pour mesurer la part des incidents réseau par rapport au nombre total d’incidents enregistrés BEC 31 Nombre d’incidents en cours d’utilisation de la plate-forme Pour évaluer la performance de l’outil Indicateur d’utilisation (point de vue de l’utilisateur) 1) Indicateurs quantitatifs Temps de connexion moyen Temps de connexion par salarié par an 2) Indicateurs qualitatifs Un suivi qualitatif peut-être effectué à l’issue des formations sur des documents papier (évaluation à chaud) ou par envoi de formulaires en ligne (évaluation à froid) pour mesurer : Le degré de satisfaction des utilisateurs Le niveau de satisfaction par rapport aux attentes de l’usage de l’outil tant sur les modalités d’accès à la plate-forme que l’utilisation de la plate-forme proprement dite La présentation des différents indicateurs Définition Justification Nombre d’incidents dus à Permet de mesurer sur une période Nombre des performances le nombre d’incidents donc la d’incidents réduites des ressources fiabilité du système et d’observer réseau informatiques l’évolution dans la durée. Part des incidents réseau Permet de mesurer l’impact des Taux d'incidents par rapport au nombre incidents réseau par rapport à réseaux total d’incidents l’ensemble des problèmes de enregistrés fonctionnement du SI BEC 32 Architecture des SI Le cloud computing Cloud computing : il s’agit d’une forme d’infogérance où on loue un droit d’usage de ressources informatique de différentes natures et où les usagers ignorent où sont stockées leurs informations et les ressources qu’ils utilisent. Les ressources sont accessibles via Internet. L’informatique en nuage ou cloud computing permet de passer d’une informatique basée sur un support matériel déterminé, appartenant à l’utilisateur ou mis à sa disposition par un prestataire, à une informatique à la demande. La ressource informatique n’est pas associée à une infrastructure matérielle spécifique, mais mise à disposition, via les réseaux. Cela permet de mettre à disposition des solutions – allant de l’infrastructure à l’application et aux services utilisateurs – sans que l’utilisateur ait à se soucier de la maintenance, des sauvegardes, de la sécurité ou du renouvellement du matériel. Avantages Optimisation des coûts Les ressources font l’objet d’une facturation en fonction de l’utilisation réelle (pay per use). Les dépenses d’investissement sont remplacées par des dépenses d’exploitation. Recentrage de l’activité Le matériel nécessaire côté utilisateur se limite à des stations de travail connectées au réseau, ce qui réduit considérablement les besoins en matériels et logiciels et, donc, simplifie la gestion du SI dans une optique de recentrage sur les métiers. Flexibilité Les ressources s’adaptent aux besoins, le prestataire ayant la possibilité de les redéployer en fonction des besoins des différents utilisateurs (mutualisation). BEC 33 Facilité de mise en œuvre Le prestataire est responsable de la disponibilité du service. Accès universel Les ressources ne sont pas liées à une localisation géographique, ce qui favorise le nomadisme des utilisateurs. Limites Risques liés au réseau Les données circulent sur les réseaux publics Cela présente des risques de sécurité et de confidentialité. Elles peuvent être interceptées, voire altérées. Indisponibilité du réseau Il y a impossibilité d’utiliser les applications, ce qui induit des risques économiques et financiers. Risques liés au prestataire Risque de dépendance et de comportement opportuniste du prestataire Risques liés à la mutualisation des ressources entre différents clients Chaque client ne doit pouvoir accéder qu’à ses propres données. Risque d’attaques par le fait que le prestataire héberge des serveurs dédiés à différents clients Même si les locaux utilisés par les prestataires sont mieux sécurisés que ceux d’une entreprise particulière contre les attaques malveillantes, ils peuvent aussi être plus attaqués et une intrusion sur les ressources d’un client peut avoir des conséquences pour d’autres, malgré le cloisonnement des espaces virtuels. Risques liés à la sécurité physique des locaux Contrôle d’accès, sécurité électrique, incendie, antisismique… Risques techniques Des sauvegardes doivent permettre de récupérer les données en cas d’incident technique. BEC 34 Difficultés de réversibilité Si le client souhaite rapatrier ses données du « data center » sur son propre système d'information, même si les contrats prévoient une clause de réversibilité. Risque juridique : problèmes de localisation, de protection et de fiabilité des données Dans un hébergement mondialisé, les données peuvent tomber sous la juridiction des pays où se trouvent les serveurs. La prévention des risques par le prestataire Le prestataire devra veiller à la prévention des risques liés au réseau. Les réseaux publics étant utilisés, donc accessibles, par de nombreux utilisateurs, il faut mettre en place des liaisons sécurisées, réseaux privés virtuels ou VPN (virtual private network). La prévention des risques amènera le prestataire à s’assurer qu’au niveau du datacenter : L’accès au bâtiment est hautement protégé Le Network Operational Center (NOC) ou centre de contrôle du datacenter est performant Il centralise tous les systèmes de surveillance et de sécurité des installations : caméras de vidéosurveillance, détecteurs d’incendie, installations électriques et climatiques… La logique de redondance électrique est respectée Pour garantir le fonctionnement des installations en cas de panne du circuit principal Le système de refroidissement des salles d’hébergement est assuré L’intégralité des éléments du système de refroidissement est redondée Les méthodes pour limiter les risques VPN Certificats électroniques par une entité de certification Cryptage Hachage du message BEC 35 Les différents types de cloud Cloud privé Cloud privé : constitue un accès sur serveur distant, accessible via internet afin de stocker en externe, données et/ou applications, est mis à disposition d’une seule entreprise. Intérêt Garantir l’étanchéité, la sécurité des traitements et des données de l’entreprise Permettre une consommation du SI au travers de la SaaS Les ressources en question peuvent être situées au sein même des locaux de l’entreprise ou bien chez l’ESN qui va se charger du cloud La gestion du cloud peut être réalisée par des RH en interne ou confiée à un prestataire ESN Les coûts de cette modalité, plus sécurisée, plus adaptée aux besoins ou conditions spécifiques de l’entreprise, sont forcément plus élevés Cloud public Cloud public : matériel et services à distance fournis et mis à disposition par un prestataire pour plusieurs entreprises. Intérêt : le cloud public permet à l’entreprise un accès aux mêmes ressources et services applicatifs. Le coût est alors moindre. Cloud hybride Cloud hybride : cloud privé interne géré par un tiers ou cloud hébergé (cloud privé hébergé par un tiers.) Le coût se situe entre le cloud privé et le cloud privé. Cette offre permet de concilier le meilleur du cloud privé et du cloud public. Le cloud hybride met à disposition un certain nombre de ressources sur une partie publique du cloud, accessible par plusieurs entreprises et restreindre l’accès pour des ressources plus sensibles et risquées. BEC 36 Software As A Service (Saas) Saas : mode de distribution en cloud computing – informatique en nuage - d’une solution logicielle hébergée par le fournisseur (éditeur/intégrateur) qui en assure le bon fonctionnement, laissant l’entreprise utilisatrice recentrer ses moyens humains sur son cœur de métier. Avantages Virtualisation et externalisation Économies de ressources Diminution de l’investissement au profit de l’exploitation Flexibilité Mise à jour en temps réel Pas de frais d’investissement Paiement à l’utilisation et non par licence Limites Localisation et protection des données Performance, fiabilité, disponibilité Dépendance technologique : compatibilité et réversibilité Disponibilité des données Localisation des données Dépendance Réversibilité Urbanisation du SI Urbanisation du SI : approche top-down ayant pour objectifs de faciliter l’évolutivité et l’adéquation des SI vis-à-vis des processus, de mettre en évidence les fonctions transverses ou communes, les partager et de renforcer la cohérence du SI. Sous l’impulsion de la maitrise d’ouvrage, il s’agit ainsi de sauvegarder la cohérence du SI tout en améliorant son efficacité, en préservant le plus possible le patrimoine informationnel. BEC 37 Urbaniser ne consiste donc pas à se défaire du parc existant pour en constituer un nouveau, mais à le faire évoluer (conserver certaines des solutions logicielles, une partie du matériel, etc.) au regard des objectifs stratégiques poursuivis par l’entreprise. Les étapes de l’urbanisation du SI 1) Analyser le SI existant et les objectifs métiers les concernant ; 2) Concevoir un SI cible aligné sur les objectifs métiers et conformes aux règles de l’urbanisme ; 3) Elaborer des plans de convergence vers la cible (réutilisation de modules, centralisation de l’information, développement des aspects métiers). Raisons qui poussent à l’urbanisation du SI Succession de choix irrationnels Lien avec objets connectés Mauvaise gestion des interfaces Isolation de zones, quartiers et blocs Absence de participation des services métiers Intérêt : repenser et reconstruire l’ensemble de la cartographie. BEC 38 Site central d'hébergement Site central d'hébergement : le fait de mettre à disposition des créateurs de sites Web des espaces de stockage sur des serveurs sécurisés, afin que les sites internet en question puissent être accessibles sur le web. Avantages Mutualisation / rationalisation du matériel informatique Sécurité élevée Clé de sécurité, surveillance du site, redondance des équipements, système de climatisation, système anti-incendie… Sécurisation des échanges entre l’application et le site central Diminution des coûts liés aux matériels Recentrage autour du cœur de métier, car prestataires spécialisés Scalabilité du SI grâce aux ressources du data center Disponibilité accrue des ressources grâce au très haut débit Limites Temps d’accès aux données peut-être + important Vieillissement des data centers traditionnels pour gérer les applications actuelles (vieux mat, efficience énergétique, refroidissement faible) Coût du giga élevé Dépendance du prestataire de service Confidentialité des données, perte de productivité liée aux pannes réseau, interception de ⇒ la donnée piratage, perte de données (mise en place du plan de sauvegarde), réversibilité…. Risques juridiques : localisation des données... BEC 39 Virtualisation des serveurs Virtualisation des serveurs : le fait de faire fonctionner plusieurs serveurs virtuels sur un serveur physique. L’objectif est de mutualiser les capacités de chaque serveur, permettant à l’entité de réaliser des économies et de réduire les investissements en infrastructures physiques. Intérêt Impact de la virtualisation des serveurs sur le coût total de possession La réduction des coûts obtenue en virtualisant l’ensemble des serveurs physiques abritant les applications concerne notamment la consommation électrique, le nombre de serveurs physiques et la quantité de matériels associés (onduleurs, dispositifs de sauvegarde, climatisation, locaux sécurisés, etc.). Impact de la haute disponibilité des serveurs sur le coût total de possession La tolérance de panne permise par les dispositifs de haute disponibilité doit faire diminuer, voire disparaître les temps d’interruption de service et donc les coûts induits par ces interruptions (impossibilité de travailler pour les utilisateurs, ralentissements du travail etc.). Ces coûts cachés devraient donc disparaître ou fortement diminuer. Infogérance Infogérance : c'est l'externalisation du SI. On confie la responsabilité de tout ou partie du SI à un prestataire qui s'engage sur un cahier des charges pour fournir à l'entreprise des ressources matérielles, logiciels d'application et/ou le personnel nécessaire et qui facture. Le périmètre d'externalisation peut inclure des matériels (sur site ou chez le prestataire), de la maintenance, des réseaux informations et télécoms, l'architecture du SI, la maintenance des applications existantes (TMA = Tierce Maintenance Applicative), conception et développement d'applications nouvelles. BEC 40 Le périmètre de l’externalisation Il peut inclure : La gestion des matériels et leur maintenance La prise en charge des réseaux informatiques, et éventuellement de télécommunications L'architecture générale du système informatique et la planification de ses développements La maintenance des applications existantes (TMA) La conception et le développement d'applications nouvelles Avantages Recentrage cœur de métier Pas ou peu de compétences (d'expertise) en interne Meilleures solutions : adaptées et mises à jour régulièrement Maîtrise des coûts : contrat de service car économies d'échelle + spécialisation Choix charges fixes ou charges variables dépend si forfait ou en régie Réduit les incompréhensions DG / DSI Limites Risque de perte de compétences Moins bonne maîtrise du SI. Dépendance vis-à-vis du prestataire Difficulté à contrôler la qualité de la prestation, réversibilité ou changement de prestataire compliqués. Méthode du calcul des coûts chez le prestataire qui peut être floue Donne accès aux données sensibles de l’entreprise BEC 41 Impacts sur le plan humain L’externalisation peut être mal perçue par les salariés de l’entité qui externalise et générer un conflit social. Certaines organisations, après avoir externalisé, adoptent parfois une position inverse : le back-sourcing. Backsourcing : consiste à reprendre en interne des activités jugées intéressantes à contrôler. Cette opération peut se faire soit par rupture du contrat d'externalisation soit à la fin normale de ce contrat. La prise en compte de la réversibilité dès le début du contrat est indispensable pour permettre la reprise éventuelle des activités externalisées, y compris pour les confier à un autre prestataire. Conditions de réussite de l’externalisation Une réflexion stratégique préalable Elle est indispensable pour bien identifier les compétences clés et les activités potentiellement externalisables. Cette étude doit évaluer la qualité, l'efficience et le coût des solutions existantes (solutions internes). Une définition précise des compétences à externaliser L’organisation peut choisir de garder en interne de certaines activités. De plus, conserver la maîtrise des activités externalisées nécessite de disposer de compétences internes. Externaliser nécessite de définir les prestations à fournir, les critères d'évaluation utilisés et rédiger un appel d'offres. Une analyse des réponses à l’appel d’offre Négociation avec le prestataire retenu sur les termes du contrat 1) Définition précise des prestations à fournir, le prestataire pouvant demander des ajustements par rapport à l’appel d’offres 2) Organiser la phase de transition (information des utilisateurs, transfert des actifs, mise en place du suivi de l'exécution des contrats...) BEC 42 3) Définition des modalités de contrôle de la prestation et des sanctions éventuelles 4) Fixation des modalités de facturation, des conditions de révision 5) Possibilités de modifications du contrat pour introduire les changements nécessaires (changement technologique et changement dans les processus métiers) 6) Définir les conditions de renouvellement, de réversibilité L’engagement doit reposer sur des responsabilités mutuelles définies et mesurables par des indicateurs. Pour développer une relation stable entre les deux parties, il faut au préalable communiquer les bonnes données et avertir de tout changement. Organiser des réunions Elles doivent permettre un transfert de compétences de façon que la capitalisation des connaissances liées à la gestion du système ne se fasse pas exclusivement chez le prestataire au risque d’une perte de compétences et d’une moindre maîtrise de la prestation (risque de comportements opportunistes du prestataire). Il est indispensable de garder la maîtrise de la relation avec le prestataire afin de préparer l’échéance du contrat pour avoir la possibilité de poursuivre, voire d'étendre le contrat avec le même partenaire, de changer de partenaire ou de réintégrer les activités externalisées. Il faut mesurer périodiquement la possibilité de réalisation, le cas échéant, de la réversibilité afin que le transfert vers un nouveau prestataire ou en interne puisse se faire sans rupture de qualité de service. Les modes de facturation En régie Facturation en régie : mise à disposition de personnel facturée en fonction du coût réel. Il y a obligation de moyens de la part du prestataire. Cela implique pour le client de vérifier l’adéquation de ces moyens et des conditions de leur mise en œuvre. Il y a obligation de moyens de la part du prestataire. Cela implique pour le client de vérifier l’adéquation de ces moyens et des conditions de leur mise en œuvre. BEC 43 Au forfait Facturation au forfait : le montant de la prestation est fixé dès le départ. Il y a obligation de résultat pour le prestataire, à charge pour lui de mobiliser les moyens nécessaires. Cela implique pour le client d’être attentif à ce qui est n’est pas compris dans le forfait. Les composantes d'un poste de travail Coûts directs Dotations aux amortissements Licences Maintenance / sauvegarde Équipe en interne ou externalisation Formation Télécommunications Autres coûts : documentation, énergies, places Coûts indirects Liés à l'utilisateur final : temps de paramétrage, bugs, mauvaise utilisation... Non-optimisation du système : pertes de temps, défaillances, indisponibilités La location des postes diminue-t-elle les coûts ? => Le loyer remplace les immos donc diminution des coûts financiers (intérêts) et des coûts d'opportunité. VLAN (Virtual Local Area Network) VLAN : subdivision du réseau local qui regroupe des machines de façon logique et non physique. Segmentation virtuelle en regroupements, ce qui limite le partage de l'information. BEC 44 Avantages Augmentation des performances La segmentation créée par les VLAN réduit la taille des domaines de broadcast et de ce fait le nombre de collisions sur ces domaines. De plus, les VLAN se basent sur la commutation (et non le routage) pour segmenter les domaines de diffusion, ce qui permet un traitement bien plus rapide. Réduction des coûts L’utilisation de VLAN permet de simplifier l’administration du réseau. A chaque fois qu’un utilisateur change de LAN, il faut modifier l’adresse du poste et certains paramètres des routeurs. Tandis que si un utilisateur change de lieu physique mais pas de VLAN, il peut ne pas y avoir de modifications à faire (sous réserve de disposer de bons outils de gestion des VLAN). De plus, l’utilisation des VLAN entraîne souvent la réduction du nombre de routeurs nécessaires, or les routeurs sont plus onéreux que les switches. Formation de groupes virtuels Il est courant de retrouver, dans les entreprises, des groupes de développement, de travail sur un projet spécifique, composés de membres qui viennent de différents départements (production, vente, etc.). Ces groupes sont souvent formés pour un temps défini et à courte durée. Dans ce cas de figure, un VLAN pourrait être implémenté (sans avoir à déplacer les individus) pour les besoins ponctuels de ce groupe, et ce, pour plusieurs groupes différents dans l’entreprise. Ce qui permet de créer des groupes de travail de manière transparente vis-à-vis de l’architecture physique du réseau. Gain de sécurité Périodiquement, des données sensibles sont envoyées en broadcast sur le réseau par les machines (et plus particulièrement les serveurs). Les VLAN permettent d’isoler les serveurs dans un même domaine de broadcast et de les isoler par service. Les VLAN apportent donc une grande flexibilité dans la gestion des réseaux ; les utilisateurs pourront être regroupés selon leur centre d’intérêt. Les VLAN sont réalisés sur une architecture commutée et le concept de VLAN est applicable dans un même bâtiment, entre plusieurs bâtiments ou sur un réseau WAN. BEC 45 Limites Complexité L’utilisation de VLAN engendre malgré une certaine complexité dans la configuration des routeurs et de commutateurs et dans la gestion d’ensemble du LAN. Il faut parfaitement connaitre les normes et les matériel, c’est donc un important effort de formation. Débit important Les échanges administratifs sur les réseaux locaux ne sont pas négligeables, au détriment du débit utile :il faut en effet que les informations de VLAN soient échangées entre commutateurs et vers les routeurs pour diffuser régulièrement les adresses MAC.... Délais Lorsqu’une station est connectée à un commutateur, ce dernier peut mettre un peu de temps avant de trouver à quel VLAN elle appartient de même lorsqu’une station est déplacée d’un commutateur à un autre, il peut y avoir des problèmes dans la reconfiguration. Normes de routage Les normes de routage cohabitent toujours avec des solutions propriétaires, ce qui peut causer des problèmes d’interopérabilité si le matériel utilisé n’est pas homogène. Il faut donc bien souvent changer tout le matériel actif déjà en place le remplacer par des commutateurs dont le coût ne cesse d’augmenter avec l’arrivée de toutes ces fonctionnalités nouvelles. BEC 46 La sécurité des SI Les risques à aborder Confidentialité Failles logicielles, possibilités d’écoutes, interceptions, piratage... Intégrité des traitements et des informations Virus, malware, SPAM, fishing... Disponibilité Saturation, déni de service... Les cyber-attaques Cyber-attaque : une atteinte à des systèmes informatiques réalisée dans un but malveillant. Les différents types de cyber-attaque L’intrusion d’un pirate Très dangereuse, l’intrusion d’un pirate peut permettre de récupérer ou supprimer des données confidentielles, d’y déposer des virus ou des logiciels malveillants dans le but de saboter le SI et le rendre inopérant. La récupération de courriel Elle est tout aussi dangereuse puisqu’elle signifie qu’un pirate peut intercepter le contenu de messages, à caractère confidentiel, circulant sur le réseau Internet entre deux personnes de la société. Pire, on pourrait imaginer que ce pirate usurpe l’identité de l’un deux et envoie des messages falsifiés ou erronés aux personnels de l’entreprise dans le but de la déstabiliser (ex : faire des demandes de virement au comptable). BEC 47 Une attaque par déni de service Elle consiste à saturer un serveur ou un site Web d’entreprise afin de le rendre non opérationnel (empêcher les utilisateurs légitimes d’un service de l’utiliser ou de perturber les connexions entre les machines). Ce type d’attaque peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès au serveur Web ou empêcher la distribution de courriels dans une entreprise. Ce type de cyberattaque peut paralyser le site Internet d’une entreprise et empêcher ses partenaires d'accéder aux ressources mises en ligne. Les conséquences d’une cyber-attaque Récupération / altération des données confidentielles Rendre inopérant le SI Usurper l’identité Paralyser l’utilisation du site partenaire Les principaux outils pour lutter contre les cyber-attaques VPN (Virtual Private Network) VPN : tunnel sécurisé établi entre deux sites lors d’un échange qui s’appuie sur le réseau Internet. Les informations sont cryptées à l’entrée et décryptées à la sortie. La sécurisation s’effectue par une clé de session (cryptage symétrique) préalablement envoyée par cryptage asymétrique. Fonctionnement du cryptage VPN 1. L’émetteur génère un coup clé identique 2. Transmission de l’une des 2 clés à l’aide d’un cryptage asymétrique 3. Le destinataire utilise la clés privée pour décrypter la clé de session reçue ⇒ 4. Les 2 sites ont la même clé l’échange peut débuter 5. Préalablement à tout transfert, chaque site génère son propre couple de clé publique/privée en vue d'un cryptage asymétrique et dépose sur un serveur de clés leur clé publique. On suppose que chaque site a donc récupéré la clé publique du site avec lequel il souhaite échanger de manière sécurisée BEC 48 La sécurité des SI 6. L'envoi via un VPN suppose une clé de session 7. L'émetteur va générer un couple de clés identiques en vue d'un chiffrage symétrique. 8. Il va transmettre une de ces deux clés à sa division au moyen d'un cryptage asymétrique. Pour cela, l'émetteur va crypter la clé de session avec la clé publique du récepteur et lui envoie 9. À réception, le destinataire utilisera sa clé privée (que lui seule possède) pour déchiffrer la clé de session reçue 10. Les 2 sites possédant la même clé de session, l'échange crypté en asymétrique peut débuter DMZ (DeMilitarised Zone) DMZ : zone tampon isolée du réseau privé de la société hébergeant des applications et des données mises à disposition du public, tous les serveurs contenant les applications importantes de l’entreprise et son site Web. Serveur tampon (cleaning center) Serveur tampon : serveur qui va filtrer et nettoyer le trafic et permettre que les requêtes malveillantes ne touchent pas le serveur visé. Les autres outils de prévention contre une cyber-attaque Adopter une architecture composée de plusieurs serveurs offrant le même service, gérés de sorte que chaque client ne soit pris en charge que par l’un d’entre eux, ce qui permet de répartir les points d’accès aux services et en cas d’attaque d’avoir un ralentissement « acceptable » Identifier et bloquer les adresses IP dont proviennent les attaques au niveau du pare-feu ou du serveur. Cependant, lorsque les attaques par déni de service sont distribuées cette méthode n’arrête pas l’attaque mais permet de la limiter Mettre en place une politique de continuité d’activité destinée à élaborer des processus d’urgence et à définir les personnes à contacter en cas de perturbation, tout en sensibilisant les utilisateurs Auditer de façon régulière le système d’information Souscrire un contrat de cyber-assurance couvrant les risques informatiques évoqués BEC 49 La sécurité des SI Recommandations et précautions à prendre Le principal problème de sécurité est assis devant le clavier ! L’ingénierie sociale s’appuie sur l’absence de méfiance des utilisateurs pour contourner les protections. L’intelligence économique permet d’obtenir des informations par l’écoute passive ou dans des situations en apparence anodines. L’intrusion des outils grand public dans l’environnement professionnel (tablettes, mobiles…) est une nouvelle menace. Le patrimoine scientifique et technique est une richesse qui doit être protégée. Les aspects juridiques et réglementaires Protection des personnes (CNIL) Infractions informatiques : intrusion, compromission … (LCEN - CP) Les droits d’auteur et le Code de la propriété intellectuelle La politique de Sécurité des Systèmes d’Information Principes et mise en œuvre de la politique de Sécurité des Systèmes d’Information Brève présentation de la charte d’utilisation des moyens informatiques et du Plan de Sécurité des Systèmes d’Information Le management de la sécurité Rôle des ASSI d’unité Description des procédures et modalités d’accès au réseau (comptes utilisateurs…) Classification des informations : confidentielle / non confidentielle. Internet/Extranet/Intranet : modalités d’utilisation, niveaux de sécurité… BEC 50 Audit, conseil et reporting des SI NPS (Net Promotor Score) NPS : c'est le pourcentage de clients qui évaluent leur probabilité de recommander une entreprise Missions de l’auditeur Sécurité physique : intrusion, incendie... Confidentialité et traçabilité RGPD Lisibilité et respect des consignes en SI Indicateurs de performance Les étapes d’un audit assisté par ordinateur (AAO) 1. Étape de démarrage, définition du périmètre et planification de la mission d’audit 2. Récupération des fichiers de données, bases de données de l’entité auditée de façon confidentielle et sécurisée 3. Vérification et contrôles de ces données en vue de rapprocher les données de l’audité et celles de l’auditeur 4. Tests sur les traitements afin de vérifier la concordance dans les productions d’informations comptables de l’audité et de l’auditeur 5. Constitution d’un dossier avec les réponses obtenues à ces tests et contrôles 6. Interprétation des résultats obtenus 7. Conclusion tant sur le contenu des écarts éventuels que sur les méthodes Les logiciels d’AAO ont pour avantage d’assurer l’intangibilité des données (une fois les données incorporées aux, les données ne sont plus modifiables), une conservation des étapes des contrôles, un caractère systématique des données contrôlées, une efficacité dans les contrôles. l BEC 51