DSGC

2021/2022

UE 215 
Management
des systèmes
d’information

L’audit du système d’information

Cours 4/4

Jean-Ludovic Dietz
Dominique Gatinaut
UE
215 Management des systèmes d’information COURS 4

Les auteurs :
Jean-Ludovic Dietz : agrégé d’économie-gestion, responsable de l’UE 215.
Dominique Gatinaut : expert en systèmes d’information, consultant, chargé d’ED
réseau informatiques.

[Link]

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

L’ensemble des contenus (textes, images, données, dessins, graphiques, etc.) de ce fascicule est la
propriété exclusive du Cnam-Intec.
En vertu de l’art. L. 122‑4 du Code de la propriété intellectuelle, la reproduction ou représentation
intégrale ou partielle de ces contenus, sans autorisation expresse et préalable du Cnam-Intec, est
illicite. Le Code de la propriété intellectuelle n’autorise que « les copies ou reproductions strictement
réservées à l’usage privé du copiste et non destinées à une utilisation collective » (art. L. 122‑5).
Directeur de la publication : Olivier Faron, administrateur général du Cnam.
Corlet Imprimeur – ZI rue Maximilien Vox – 14110 Condé-sur-Noireau.

2
 UE
215

Sommaire

Objectifs du cours 4 5

Partie 4 L’audit du système d’information 9

Chapitre 1. Le choix d’une architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

I. Les évolutions des IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
II. Les tendances . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
III. Les composantes de l’IT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

Chapitre 2. La sécurité du système d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

I. Les scénarios d’attaques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
II. La sécurité matérielle des systèmes d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

III. La dématérialisation des architectures client-serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

IV. La sécurité des échanges de données dans les systèmes d’information . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
V. Le plan de continuité d’activité (PCA) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

Chapitre 3. L’audit informatique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57

I. Le plan d’audit du SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58
II. Les missions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61
III. Les normes et référentiels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Chapitre 4. L’audit assisté par ordinateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

I. Le préalable à l’audit des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
II. Le traitement des données . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

Chapitre 5. L’audit des entreprises informatisées . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92

I. L’audit légal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
II. Les contrôles spécifiques au SI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

3
UE
215 Management des systèmes d’information COURS 4

Chapitre 6. Thèmes d’actualité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105

I. Thème 1 : la blockchain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
II. Thème 2 : les portails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116
III. Thème 3 : le RGPD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

Exercices autocorrigés 125

Index 133

Devoir 4 135

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

4
 UE
215

Objectifs du cours 4

Les objectifs du cours 4 sont de vous permettre d’acquérir un socle de

connaissances solide sur les choix en matière d’infrastructures technologiques
que nous avons évoquées tout au long de l’année, mais dont il faut percevoir les
enjeux. Ce cours vous apportera également les notions essentielles concernant
les choix à faire en matière de sécurité et les enjeux liés à l’audit – tant l’audit du
système d’information lui-même que l’audit assisté par ordinateur et que l’audit
des entreprises informatisées.
Ces connaissances sont indispensables afin d’avoir, par exemple, un système
d’information fiable ou encore de choisir une solution optimale pour une
externalisation.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

5
 UE
215

Introduction

Les choix en matière d’architecture et de sécurité sont devenus capitaux : dans de nom-
breuses situations, avant d’envisager d’améliorer la valeur apportée par le système d’infor-
mation (SI), il faut d’abord s’assurer de sa qualité. Cette qualité nécessite une démarche
d’audit, c’est-à-dire un examen approfondi pour en valider les caractéristiques. Elle repose
également sur un étalonnage permanent, une démarche de benchmarking qui est à l’origine
des améliorations potentielles du SI.

attention
∙∙ IT : Infrastructure technologique
∙∙ TI : Technologies de l’information
∙∙ SE : Système d’exploitation
∙∙ SI : Système d’information
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

7
 UE
215

Partie 4
L’audit du système
d’information

Chapitre 1. Le choix d’une architecture

Chapitre 2. La sécurité du système d’information

Chapitre 3. L’audit informatique

Chapitre 4. L’audit assisté par ordinateur

Chapitre 5. L’audit des entreprises informatisées

Chapitre 6. Thèmes d’actualité

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

9
 UE
COURS 4  Management des systèmes d’information 215

p i t re
ha
c

1. Le choix d’une architecture

Compétences attendues
∙∙ Caractériser l’architecture technique d’une organisation.
∙∙ Accompagner une démarche de choix et de déploiement d’une architecture
technique.

Le SI a pour but de fournir la bonne information à la bonne personne au bon moment. Il se

compose d’éléments technologiques, humains, informationnels et organisationnels. Si les
aspects techniques ne sont pas les seuls, il n’en reste pas moins qu’ils constituent un aspect
fondamental du SI. On peut les approcher au travers de trois dimensions :
∙∙ les aspects matériels ;
∙∙ les aspects logiciels ;
∙∙ les aspects réseaux.
Dans chacune de ces dimensions, des services associés peuvent être identifiés, qui consti-
tuent parfois un aspect complémentaire très significatif. Les investissements des firmes dans
leur infrastructure font l’objet de statistiques nombreuses, ce qui démontre l’importance de
cette dimension dans les pratiques d’entreprises et leur permet de se positionner dans leurs
propres projets d’investissement.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Ces études réalisées chaque année sur les dépenses des entreprises dans leur infrastructure
montrent les éléments suivants :

Les prévisions début 2020

Les dépenses informatiques mondiales sont en hausse, selon le Gartner, passant de
3,8 billions de dollars en 2019 à 3,9 billions de dollars en 2020. Une croissance stimulée
par la fin de la prise en charge de Windows 7 ainsi que par les achats de logiciels de cloud
computing pour les entreprises. […]
Le Software as a Service (SaaS) est considéré comme un facteur majeur, étant donné que
les entreprises adoptent le SaaS en masse en raison de l’utilisation accrue des services de
cloud computing et des appareils mobiles.
Selon Le Gartner, les investissements en logiciels dépasseront tous les autres investis­
sements dans le domaine de l’entreprise au cours de cette année, par rapport aux sys-
tèmes de centres de données, aux services informatiques et de communication et aux
achats d’appareils. […]

11
UE
215 Management des systèmes d’information COURS 4

« Bien que les incertitudes politiques aient poussé l’économie mondiale plus près de
la récession, celle-ci ne s’est pas produite en 2019 et n’est toujours pas le scénario le
plus probable pour 2020 et au-delà » a déclaré John-David Lovelock, vice-président de la
recherche chez Gartner. « Avec l’atténuation des incertitudes mondiales, les entreprises
redoublent d’investissements dans l’IT alors qu’elles anticipent une croissance de leurs
revenus, mais leurs habitudes de dépenses changent continuellement. »
Plus tôt cette semaine, les analystes d’IDC et de Gartner ont publié des prévisions de
ventes de PC qui estiment qu’après des années de difficultés sur le marché, les ventes de
PC sont à nouveau en hausse.
Selon le Gartner, les expéditions mondiales de PC au quatrième trimestre de 2019 ont
atteint 70,6 millions d’unités, alors qu’IDC a fixé ce chiffre à 71,8 millions d’unités, soit
un taux de croissance de 2,3 % et de 4,8 % respectivement, selon les estimations de
chaque société pour le quatrième trimestre de 2018.
source : Charlie Osborne, [Link], 15 janvier 2020.

Les prévisions fin 2020

La locomotive logicielle s’enraye – Face à la crise, les entreprises coupent dans les bud-
gets. C’était prévisible. Sur l’ensemble de l’année 2020, Gartner table ainsi sur un recul
des dépenses IT mondiales de 7,3 % à 3 500 milliards de dollars. Mais le cabinet anticipe
une reprise plus rapide, au contraire du reste de l’économie dont la reprise sera « en
dents de scie ». […]
« Il n’en reste pas moins que les entreprises ne peuvent pas revenir à des processus
antérieurs qui sont maintenant rendus obsolètes en raison de la perturbation de leur
principale source de revenus pendant la pandémie » prévient le directeur de recherche
John-David Lovelock.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Et aucun segment n’est épargné, tous en déclin. Le poste de dépenses le plus touché est
celui des terminaux avec un plongeon attendu en 2020 de 16,1 % en 2020. Le télétravail
s’est cependant accompagné d’une hausse temporaire des achats de terminaux. Mais
perspective peu réjouissante pour les fabricants : ces dépenses ne devraient pas revenir
de sitôt aux niveaux de 2019. […]
source : [Link], 17 décembre 2020.

La notion d’infrastructure technologique (IT) peut se comprendre selon deux approches :

soit comme une technologie, soit comme un service rendu. Les aspects purement tech-
niques sont finalement peu pertinents dans le cadre d’un cours de management des SI.
L’approche par les services offerts permet de définir une IT comme incluant un ensemble de
services mis à disposition de l’entreprise et incluant des ressources humaines et techniques
qui permettent le fonctionnement optimisé et sécurisé de celle-ci. Dans cette optique, les
services compris sont les suivants :
∙∙ les plateformes technologiques, qui incluent des ordinateurs centraux, locaux, portables
et des ordinateurs de bureau, des Smartphones et des applications internes et/ou
accessibles localement ou à distance via un intranet, un extranet ou Internet ;

12
 UE
COURS 4  Management des systèmes d’information 215

∙∙les services de télécommunications, qui permettent de transmettre des données, de la

voix et des images, sur de courtes comme sur de très longues distances ;
∙∙les services de gestion de données, qui permettent de stocker, de gérer et d’analyser les
données de l’entreprise par l’intermédiaire de bases de données (voir cours 1 et 3) ;
∙∙les logiciels d’application, qui offrent des possibilités de traiter en temps réel et/ou différé
les opérations et les processus métiers ;
∙∙les services de gestion de l’infrastructure technologique, qui servent à planifier et
à développer l’infrastructure en elle-même, à coordonner les services pour toutes les
unités, et à diriger des projets ;
∙∙ les normes associées à cette gestion des services de l’infrastructure technologique, qui
offrent à l’entreprise des politiques précisant les technologies de l’information (TI) à
utiliser et le mode d’utilisation.

I. Les évolutions des IT

A. les grandes phases

Dans son ouvrage Management des systèmes d’information, Jane Laudon identifie cinq
phases. Certaines de ces phases s’entremêlent, mais elles se sont globalement succédé les
unes après les autres depuis 70 ans et l’apparition des premiers ordinateurs en entreprise.

Phase 1 : ère des mini-systèmes et des ordinateurs centraux, depuis 1950

Le premier ordinateur à tubes à vide commercial entièrement électronique apparaît dans
les années 1950, avec l’arrivée des ordinateurs d’IBM. Il faut toutefois attendre la fin de l’an-
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

née 1959 pour que commence véritablement l’utilisation commerciale à une large échelle
des ordinateurs centraux. En 1965, l’ordinateur central universel s’impose finalement. Dans
un tel système, l’ordinateur central est relié à des terminaux en ligne à l’aide de protocoles
de communication et des lignes de transmission des données. Les systèmes sont dits pro-
priétaires : chaque constructeur développe ses propres protocoles, ce qui lie l’entreprise uti-
lisatrice au constructeur du matériel, tout changement étant très complexe et coûteux.
À partir de 1965, IBM domine le marché des ordinateurs centraux (et continue à le dominer
aujourd’hui). Les ordinateurs centraux existent toujours, mais ils sont dorénavant ouverts,
c’est-à-dire compatibles avec un large éventail d’ordinateurs de différentes marques qui uti-
lisent divers systèmes d’exploitation (SE) sur des réseaux serveurs/clients et des réseaux
basés sur des normes Internet. Ces équipements sont réservés à des grandes entreprises
pour des besoins très massifs.
L’ère des ordinateurs centraux s’est caractérisée par une technologie très centralisée, où la
plupart des éléments de l’infrastructure provenaient d’un unique fournisseur (le fabricant
du matériel et des logiciels). Ces ordinateurs centraux sont utilisés dans les très grandes
entreprises (banques, compagnies d’assurances, compagnies aériennes, sociétés de services,
mairies…). Par leur fiabilité d’abord (quelques secondes d’arrêt par an) et, dans une moindre
mesure, par leur puissance, ils sont parfois les seuls ordinateurs capables de répondre aux

13
UE
215 Management des systèmes d’information COURS 4

besoins de leurs utilisateurs (traitement de très grandes bases de données utilisées par des
dizaines ou des centaines de milliers d’utilisateurs). Toutefois, ils sont considérés parfois
comme onéreux et faisant courir des risques de sécurité. D’autres firmes préfèrent ainsi
recourir à des serveurs distribués, c’est-à-dire l’association de centaines ou de milliers de
serveurs distincts mais coordonnés. C’est le cas de Google ou de Amazon, par exemple.

Phase 2 : ère de la micro-informatique (1981)

On estime que l’apparition de l’ordinateur personnel (Personal Computer, PC) d’IBM en 1981
marque le début de l’ère de l’ordinateur personnel professionnel : c’est la première machine
que les entreprises adoptent massivement. À l’origine, ces machines utilisaient un SE textuel,
basé sur des lignes de commande, le DOS, puis en 1984, l’apparition du SE Windows à inter-
face graphique a facilité l’usage de ces équipements et a amplifié leur diffusion. En 2020, on
peut estimer à environ 2,5 milliards le nombre de PC dans le monde. Chaque année, environ
260 millions de nouveaux PC sont vendus – dont 90 % tournent sous une version de Windows
et 10 % sous d’autres SE –, associés à des processeurs de la marque Intel. On parle de plate-
formes Wintel pour désigner cette situation de domination de ces deux firmes. Le niveau des
ventes des PC est en baisse régulière depuis près de 7 ans et la prééminence des plateformes
Wintel est en recul face à la croissance des tablettes et Smartphone. Près de 3 milliards d’indi-
vidus possèdent en effet un Smartphone et/ou une tablette, et la plupart d’entre eux accèdent
à Internet grâce à ces appareils mobiles.
La multiplication des ordinateurs personnels pendant les années 1980 et au début des
années 1990 s’est nourrie (en même temps qu’elle l’a nourrie) de la disponibilité de logi-
ciels individuels de plus en plus nombreux, performants et conviviaux : traitement de texte,
tableur, système de présentation électronique des documents et gestionnaire des données
et d’objets multimédias. Autonomes dans un premier temps, ces ordinateurs sont devenus
des postes de travail multifonctions dès que les SE (des serveurs comme ceux des micro-
ordinateurs) ont rendu possible leur mise en réseau dans les années 1990.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Phase 3 : ère du client-serveur (1983)
Pour ce modèle, plutôt que de mettre en place un ordinateur central auquel sont reliés des
terminaux passifs, les postes de travail individuels reposant sur les micro-ordinateurs sont
couplés à de puissants serveurs qui offrent une grande variété de services. Nous verrons,
par la suite, comment le partage des tâches entre les postes clients et les serveurs a évolué,
aboutissant à parler de client lourd, puis de client léger et enfin de client Web. Il est inté-
ressant de constater que les choix actuels, reposant sur des serveurs accessibles à distance
et des postes clients minimalistes, peuvent presque s’apparenter à la situation informatique
initiale, avec une centralisation des tâches au niveau du serveur.

Phase 4 : ère d’Internet et de l’intégration (début 1990)

Le succès du modèle client-serveur a été à l’origine de multitudes de réseaux locaux au sein
des entreprises. Pour les plus grandes, cette coexistence de nombreux réseaux locaux (ou
LAN, Local Area Network) a fait ressentir le besoin de disposer d’un ensemble informatisé
cohérent, et donc d’intégrer ces différents réseaux. Les différentes applications créées par les
divers services, unités ou filiales dans des zones géographiques variées, rendaient difficiles
cette intégration, c’est-à-dire la cohérence, la communication et le partage des données.

14
 UE
COURS 4  Management des systèmes d’information 215

Dès le milieu des années 1990, au fur et à mesure qu’Internet s’est imposé comme environ-
nement de communication sur le plan mondial, les entreprises ont commencé à utiliser le
protocole de communication d’Internet, le TCP/IP pour relier leurs réseaux hétérogènes.
Il en a résulté la coexistence de solutions très différentes, au sein de multitudes de réseaux
locaux, mais rendus interdépendants par les technologies Internet, ce qui a facilité la cir­
culation de l’information, en interne comme en externe. Toujours dans ce souci d’intégration,
les grandes entreprises d’abord, puis les plus petites ensuite ont mis en place des solutions
d’interfaçage reposant sur des EAI ou sur des ERP/PGI (voir cours 2). Cette démarche d’inté-
gration des données s’est également accompagnée d’une tendance accrue à l’externalisation
de composantes de l’infrastructure, la complexité de la gestion de volumes de données tou-
jours plus élevée ayant poussé les entreprises à s’adresser à des sociétés spécialisées.
Cette tendance à l’intégration devrait se poursuivre, la combinaison de l’ensemble des tech-
nologies et des normes, notamment liées à Internet, laisse entrevoir la possibilité d’offrir
aux entreprises opérant à l’échelle mondiale un traitement de données et une plateforme de
services informatisés véritablement intégrés.

Phase 5 : ère du cloud computing (début 2000)

Depuis le début des années 2000, on a assisté à un accroissement constant de la bande pas-
sante d’Internet et donc de ses capacités à transporter un nombre toujours plus important de
signaux de tous types (voix, données, images). Ces possibilités ont permis d’aller plus loin dans
le domaine du client-serveur. L’accès de plus en plus rapide et aisé à des ressources informa-
tiques partagées (ordinateurs, stockage, applicatifs et services), via les réseaux (dont Internet),
a donné naissance aux infrastructures de type « cloud ». Il est possible d’accéder à ce « nuage »
de ressources informatiques, à partir de n’importe quel appareil et de n’importe où, à la
demande, tant que l’on dispose d’une connexion à Internet. Actuellement, les infrastructures
informatiques de type cloud sont celles dont la croissance est la plus rapide. La crise sanitaire
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

qui touche le monde depuis le début de l’année 2020 ne va qu’amplifier encore cette tendance.

La croissance du cloud computing atteindra 17 % en 2020

L’informatique dans le cloud est la norme et figure parmi les trois premiers domaines
dans lesquels les DSI augmenteront leurs investissements l’année prochaine. À en croire
Gartner, les acteurs du secteur verront croître leur chiffre d’affaires de 17 % en 2020
pour atteindre 266,4 milliards de dollars, contre 227,8 milliards de dollars en 2018.
Selon la fameuse entreprise de conseil, si le segment de marché du Software as a Service
(SaaS) reste le plus dynamique – en raison de la flexibilité offerte par les abonnements –,
celui de l’Infrastructure as a Service (IaaS) connaîtra toutefois la croissance la plus rapide,
un résultat probable de la consolidation des datacenters.
Selon le Gartner, le chiffre d’affaires du SaaS atteindra donc 116 milliards de dollars l’an
prochain, contre 99,5 milliards de dollars en 2019. Mais 2020 verra surtout la montée
en puissance de l’IaaS avec une croissance estimée à 24 %, avec au total, 50 milliards de
dollars de revenus.
source : Étude de marché Gartner 2020.

15
UE
215 Management des systèmes d’information COURS 4

B. les déterminants technologiques

Les évolutions qui ont impacté les choix en matière d’infrastructures expliquent les évo-
lutions passées et laissent présager des changements à venir. Les phénomènes de fond qui
expliquent les évolutions des IT sont les suivants :

∙ 1. La loi de Moore
Ce constat statistique, manié comme une prédiction, consiste à dire que la performance des
processeurs, par le biais de leur organe clé, la puce, va doubler tous les 18 mois, pour une
même surface de puce. Ce constat a été fait en 1959 par Gordon Moore, un ingénieur d’Intel,
en 1965. Au-delà de l’aspect de sa prévision, cette loi concrétise les formidables gains de
puissance des outils informatiques depuis plus de 50 ans, sans discontinuité. Toutefois, en
raison des limites physiques de la matière, cette loi est supposée s’interrompre durant la
décénie 2020.
La loi de Moore peut se décliner de plusieurs façons :
∙∙ elle correspond à l’élévation de la performance des équipements informatiques au fil du
temps, amélioration phénoménale et sans autre équivalent de l’ordre de 2 000 000 fois
plus ! ;
∙∙ elle correspond également à l’abaissement du coût d’une puce, qui a connu une baisse
substantielle. Ainsi, alors qu’un transistor coûtait plusieurs dollars en 1965, le coût a été
divisé par un facteur de plus de 10 000 000 à l’heure actuelle, un peu comme si un bien
coûtant 10 000 000 € en 1965 avait vu son prix baisser jusqu’à atteindre 1 € aujourd’hui !
Même si, très régulièrement, des observateurs « éclairés » annoncent à tort la fin de cette
loi, il semblerait qu’avec les limites physiques de la matière, les possibilités de miniaturisa-
tion atteignent leurs limites (voir article ci-après pour illustration).

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
La loi de Moore est morte (1965-2020)
La cadence a ralenti ces dernières années, elle n’aboutissait plus à un doublement tous
les 18 mois. Elle est aujourd’hui sur le point de s’arrêter. À force de graver des ­composants
électroniques toujours plus fins, années après années, passant du micro au nano, de
l’échelle du cheveu à celle des bactéries, l’industrie de la microélectronique a fini par
atteindre l’atome. La limite est là. La course à la miniaturisation s’achève. En 2018, seuls
trois industriels au monde étaient encore en lice pour graver des composants électro-
niques de 7 nm (nanomètres) : Intel, Samsung et TSMC, le fournisseur taïwanais d’Apple.
Seuls les deux derniers sont aujourd’hui capables de franchir l’obstacle suivant des 5 nm.
IBM, Toshiba, Sony… Tous les autres géants de l’électronique ont déclaré forfait. Et si la
prochaine étape, fixée à 3 nm, est peut-être atteignable, personne, sans doute, n’ira au-
delà. En 2021, 2022 au plus tard, il en sera fini de la loi de Moore.
Voilà donc un changement majeur de paradigme, de technologie, de stratégie indus-
trielle. Car depuis les débuts de l’informatique, cette fameuse loi scande, tel un impla-
cable métronome, l’essor fulgurant de la puissance de calcul des ordinateurs. Formulée
en 1965 par le cofondateur d’Intel, Gordon Moore, elle prédisait qu’il serait possible de

16
 UE
COURS 4  Management des systèmes d’information 215

doubler tous les deux ans la quantité de transistors que l’on peut graver sur la surface
standardisée d’une galette de silicium, à coût égal - les transistors étant les composants
de base de l’informatique, il suffit en effet de réduire leur taille pour multiplier leur
nombre sur une surface donnée et, par-là, augmenter la puissance de calcul, tout en
réduisant leur coût et leur consommation électrique. Et cette loi est vite devenue une
prophétie auto-réalisatrice, une feuille de route suivie par tous les fabricants de puces
électroniques, avec une régularité et une précision sans précédent dans l’histoire de
l’industrie : alors que le premier microprocesseur commercialisé par Intel en 1971 inté-
grait 2 300 transistors d’une finesse de gravure de 10 µm (micromètres), la génération
de microprocesseurs actuels en intègre plus de 4 300 000 000, soit 1 869 565 fois plus.
La limite est physique ! À force de réduire la taille des composants, on s’approche de
l’échelle de l’atome, où les lois quantiques de l’infiniment petit prévalent et perturbent
leur fonctionnement. Avec ses 5 nm, le plus petit des transistors actuels équivaut à seu-
lement 10 atomes de silicium mis bout à bout. En deçà, le canal de silicium qui véhicule
les électrons sera si fin qu’ils tendront à s’en échapper par un effet dit « tunnel ». Avec, à
la clé, une perte d’efficacité énergétique synonyme de ralentissement des performances
voire de dysfonctionnements.
Pour la prochaine étape, fixée à 3 nm, une parade a été trouvée. Elle offre un sursis à la
loi de Moore, mais elle implique une petite révolution : changer la géométrie du transis-
tor. Le composant était plan depuis son invention en 1959… Pour fondre encore d’une
taille, il va devoir prendre du volume. Pour limiter au maximum les fuites d’électrons par
effet tunnel au sein du transistor, l’idée est de transformer le canal qui les véhicule. Celui-ci
ne sera plus gravé sous forme de plaque, mais de nanofils, qui offrent bien moins de déper-
ditions, détaille Sylvain Barraud. [Cela reste encore hypothétique en raison des lourds
investissements que ces choix nécessitent.]
source : Hugo Leroux, extrait de Science & Vie, 30 décembre 2019.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

∙ 2. Le coût des mémoires

La baisse du coût de stockage, lié aux mémoires de masse, est le deuxième déterminant
expliquant l’évolution des IT. Nous avons vu dans le cours 3 que les données émises aug-
mentent de façon très spectaculaire, avec des unités de mesures toujours plus massives
(Go, To, Po, Eo). Mais face à cette explosion des données, les progrès des technologies de
stockage numérique ont permis une réduction rapide et régulière du coût. Ainsi, pour une
même unité monétaire, la capacité de stockage a augmenté de façon exponentielle, avec un
taux de croissance annuel passant de 25 %, dans les premières années, à plus de 60 % par
année depuis 1990.

∙ 3. La diminution des coûts de communication et d’Internet

La diminution rapide des coûts de communication et la croissance très significative du
recours à Internet constituent le troisième déterminant qui a transformé l’IT. On estime
que plus de 3,8 milliards de personnes dans le monde ont accès à Internet. Avec la diminu-
tion exponentielle du coût des communications à la fois pour Internet et pour les réseaux

17
UE
215 Management des systèmes d’information COURS 4

téléphoniques (qui utilisent de plus en plus Internet). Les coûts de communication s’appro-
chant de zéro, l’utilisation des moyens de communication et des ressources informatiques
explose. Pour tirer parti de la valeur ajoutée attribuée à l’utilisation d’Internet et des outils
liés, les entreprises doivent augmenter leur vitesse de connexion, filaire ou aérienne (WiFi,
4-5G, fibre optique), et étendre les capacités de leurs réseaux, de leurs bases de données, de
leurs ordinateurs centraux, de leurs serveurs, de leurs PC ou de leurs plateformes mobiles.

∙ 4. L’utilité des réseaux

Les éléments précédents aident à comprendre pourquoi les ressources informatiques sont
devenues si disponibles. Mais sans une demande accrue, ces outils n’auraient pas trouvé à
s’implanter. La demande des utilisateurs en la matière a, elle aussi, fortement progressé.
Parmi les facteurs explicatifs, on peut citer :
∙∙ la croissance des utilisations et des applications collectives et individuelles ;
∙∙ la numérisation d’objets informationnels multiples (images fixes et/ou animées,
documents, etc.) ;
∙∙ la croissance des échanges locaux et distants, facilitée par l’accessibilité et les faibles
coûts qui caractérisent l’utilisation d’Internet ;
∙∙ le développement du nomadisme ;
∙∙ l’attrait pour les ventes à distance, pour les objets connectés.
Le développement croissant des réseaux explique la multiplication des échanges de don-
nées et les volumes qui découlent de données amenées à circuler. Les réseaux informatiques
peuvent être considérés comme un rare domaine où les rendements sont croissants : plus il
y a de participants, plus il y a d’utilité ! Metcalf, un ingénieur d’Intel, a énoncé le principe
qui illustre cette notion : « l’utilité d’un réseau est proportionnelle au carré du nombre de
ses utilisateurs. » Toute augmentation de la taille d’un réseau implique donc une augmenta-
tion de l’utilité de celui-ci pour la collectivité.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
C. les normes réseaux et leurs effets
L’infrastructure actuelle des entreprises ainsi que l’usage d’Internet seraient impossibles
sans l’existence de normes technologiques communes entre les fabricants et sans leur
acceptation largement répandue parmi les utilisateurs. Les normes technologiques sont les
spécifications qui établissent la compatibilité des produits matériels et logiciels et la capa-
cité de communiquer au sein d’un réseau.
Une fois adoptées par les acteurs clés de l’offre, les normes technologiques permettent de
substantielles économies d’échelle et entraînent une diminution des prix, car les fabricants
concentrent leurs efforts sur les contenus des produits qui répondent aux mêmes normes.
Les principales normes qui ont façonné l’infrastructure technologique sont les suivantes :

18
 UE
COURS 4  Management des systèmes d’information 215

1958 : le code normalisé pour Ce code universel a rendu possible l’échange des données
l’échange d’information (ASCII) entre des ordinateurs de marques différentes.
1959 : Common Business Oriente Langage de programmation normalisé qui a fait gagner en productivité
Langage (Cobol) les programmeurs.
SE multitâche et multiutilisateur, il est devenu, dans les années 1980,
Unix (1969-1975)
le SE le plus utilisé en entreprise.
Protocole de transfert des données et d’adressage qui a permis à des réseaux
distincts de communiquer les uns avec les autres et de former un immense
TCP/IP (1974)
ensemble de réseaux interconnectés, Internet. Son utilisation s’est étendue
même aux réseaux locaux. Il repose initialement sur la norme IPv4.
Nouvelle norme de codification des adresses réseaux sur 128 bits
et non plus 32, permettant d’augmenter la taille potentielle d’Internet
IPv6 (2017)
en démultipliant les adresses. Son implantation se fait à l’heure actuelle
en superposition de l’adressage IPv4.
Norme de réseau qui sert à relier les ordinateurs au réseau local d’entreprise
et permettant le mécanisme du client serveur dans les réseaux locaux
Ethernet (1973) d’entreprise. Cette norme définit le câblage, les ports, les débits, les modalités
de transfert du signal électrique et tout ce qui permet finalement
le bon fonctionnement d’un réseau local.

II. Les tendances

A. l’écosystème lié à une infrastructure

On rappelle que la notion d’écosystème en économie désigne l’ensemble des entreprises qui
interagissent les unes avec les autres et par rapport auxquelles une organisation soucieuse
de constituer son architecture doit composer. On peut aussi parler de filières. En matière
d’IT, il est possible d’identifier sept composantes :

∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

1. Les plateformes matérielles

Le marché est très concentré autour des fabricants de matériel et des fabricants de transis-
tor. En ce qui concerne les PC (qui constituent le principal support utilisé), le marché est
dominé par Lenovo, HP et Dell.
% Parts de marché des constructeurs PC dans le monde
30
HP Lenovo Dell Acer Asus Apple
25

20

15

10

0
Q1 Q4 Q3 Q2 Q1 Q4 Q3 Q2 Q1 Q4 Q3 Q2
2012 2012 2013 2014 2015 2015 2016 2017 2018 2018 2019 2020

19
UE
215 Management des systèmes d’information COURS 4

Lenovo bat des records

S’il existe un groupe qui profite à plein de l’explosion du télétravail, c’est bien Lenovo.
Le géant chinois, premier fabricant mondial de PC au monde, a enregistré un bénéfice
record de l’ordre de 310 millions de dollars au troisième trimestre de l’exercice actuel, en
hausse de 53 % sur un an. « Le dernier trimestre a été ce que j’appellerais un trimestre
parfait pour Lenovo », s’est d’ailleurs réjoui son président Yang Yuanqing lors de la pré-
sentation de ces résultats.
[…]
Lenovo a renforcé sa position de leader dans le domaine des PC avec 25,7 % du marché,
devant HP Inc et Dell Technologies, qui détenaient respectivement 21,6 % et 15,2 %
des parts. Et cette bonne dynamique devrait continuer alors que le président de Lenovo
a ainsi prédit une nouvelle augmentation de 5 à 10 % du marché total des PC dans
l’ensemble du secteur l’année prochaine.
source : [Link].

En matière de puces (ou de transistors), le marché se résume à un duel entre Intel et AMD.
À l’heure actuelle, la place occupée par AMD est la plus élevée depuis 14 ans.
%

100
Intel AMD
80

60

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
40

20

0
Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1 Q1
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020

La domination d’Intel est beaucoup plus marquée sur les serveurs où il possède environ
90 % des parts de marché !

∙ 2. Le système d’exploitation (SE)

Ce point sera approfondi dans l’étude des aspects logiciels, qui va suivre, mais on peut ici
faire une synthèse de la situation : en matière de SE (ou OS : Operating System), Microsoft
– par le biais de son produit phare, Windows, et de ses différentes versions – domine très
largement le marché du PC, avec une part de marché de l’ordre de 90 %. Microsoft a tenté de
proposer une version de son SE à destination des Smartphones et des tablettes, mais il n’a
pas rencontré le succès escompté. Pour ces supports dits légers, Google a élaboré un SE qu’il
propose par le biais de son explorateur Chrome, tandis qu’existe également Android, et iOS

20
 UE
COURS 4  Management des systèmes d’information 215

proposé par Apple. Si l’on tient compte de l’importance de ces équipements, cela relativise la
domination écrasante de Microsoft dans le domaine des PC.
Concernant les serveurs d’entreprise, une grande majorité a recours à un SE libre, de type
Unix ou Linux, dont le code source est disponible. La tendance à proposer des SE de ce
type est une démarche de certains fabricants (Lenovo, HP Enterprise, Dell et Sun, chacun
offrant des versions légèrement différentes et partiellement incompatibles.) Cela permet
à ces fabricants de réduire le ticket d’entrée pour obtenir un ordinateur, sans pour autant
sacrifier leur marge. Linux et Unix sont également recherchés par les entreprises afin de dis-
poser d’un SE plus économique. Nous verrons un peu plus loin les enjeux à retenir une offre
libre, enjeux qui tendent à restreindre les démarches de migration.

∙ 3. Les ERP (Enterprise Resource Planning)

Dans le secteur des ERP, trois acteurs majeurs dominent le marché :
∙∙l’Allemand SAP, le leader, détient 19 % des parts de marché ;
∙∙l’Américain Oracle (qui avait racheté PeopleSoft, puis JD Edwards, Siebel et Hyperion)
détient 13 % des parts de marché ;
∙∙l’Américain Infor, qui s’est développé en suivant une politique de rachats soutenue,
détient 13 % des parts de marché.
Le secteur des ERP est en profonde évolution, avec le développement des offres dans le
cloud et des mouvements de concentration. Les grandes entreprises ont déjà majoritai­
rement implanté un ERP et établi des relations électroniques avec leurs partenaires
économiques (clients, fournisseurs, banquiers, etc.). Changer d’ERP est une opération dif-
ficile, longue et coûteuse, tant sur le plan technologique qu’organisationnel. De plus, les
mouvements de fusions-acquisitions ont créé de nouvelles situations : certaines grandes
­entreprises disposent ainsi d’un parc applicatif de plusieurs ERP différents. Pour obtenir une
forme d’intégration intermédiaire entre le tout-ERP et la fragmentation totale issue d’appli-
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

cations hétérogènes, il existe une solution alternative à l’aide de middleware, qui créent une
interface ou un pont entre des applications différentes via des échanges de données. Ces
solutions sont appelées Enterprise Application Integration (EAI, ou intégration d’applications
d’entreprise). L’EAI exige moins de programmation que l’intégration point à point tradition-
nelle. L’entreprise dispose d’un seul logiciel pivot et n’est plus contrainte de développer et
de maintenir une quantité innombrable d’interfaces sur mesure pour relier tout élément du
système à chacun des autres.

∙ 4. Le SGBD et le stockage des données

Il existe un choix restreint de logiciels de gestion de base de données (SGBD). Ces logiciels
sont responsables de l’organisation et de la gestion technique des données afin d’en assurer
l’accès et une utilisation efficace par les logiciels applicatifs. La principale tendance est l’arri-
vée de nouveaux logiciels disponibles dans le cloud. Les principaux fournisseurs de ce type
de logiciels sont Oracle (MySQL), Microsoft (SQL Server), IBM (DB2) et Amazon (Aurora).
Concernant le matériel nécessaire pour le stockage, le marché se scinde entre les grands sys-
tèmes et les disques durs à destination des ordinateurs personnels ou des serveurs locaux.
Les leaders sont Western Digital et Seagate.

21
UE
215 Management des systèmes d’information COURS 4

∙ 5. Les équipements de réseaux et de télécommunications

Windows Server 2008, Windows Server 2012 et Windows Server 2003 (total de 85 %), suivis
par Linux (14 % du total), représentent les principaux SE utilisés dans les réseaux locaux
d’entreprise. Les réseaux longue distance des grandes entreprises sont principalement
supportés par des variantes d’Unix. La quasi-totalité des réseaux locaux d’entreprise et des
réseaux longue distance utilisent le standard TCP/IP.
Les principaux fournisseurs de matériel pour les réseaux sont Cisco, HP Enterprise et Juniper,
et l’on peut noter l’entrée du fabricant chinois Huawei. Parmi les principaux fournisseurs de
services de télécommunications, on retrouve, dans chaque pays deux ou trois opérateurs
dominants, comme Orange en France. Ce marché, bien que stable en volume, est en pleine
mutation avec un taux d’équipement parfois à saturation et l’arrivée de fournisseurs en télé-

∙
phonie mobile, en technologie WiFi et en téléphonie sur Internet.

6. Les plateformes Internet

Un service d’hébergement Web comprend le ou les serveurs Web et offre aux membres un
espace pour entretenir leurs sites moyennant certains frais. La tendance est à une consoli-
dation des serveurs, qui se traduit par une réduction de leur nombre et une augmentation
de la taille et de la puissance de chacun. Le marché du serveur Internet se concentre de plus
en plus entre les mains de Dell EMC, HP Enterprise et Lenovo. Les principaux fournisseurs
d’outils logiciels pour le Web sont des logiciels de CMS tels que WordPress, qui est l’un des
plus utilisés. Avec le succès des Smartphones et tablettes, des logiciels permettant de réali-

∙
ser les applications à télécharger sur l’App Store ou Google Play ont également émergé.

7. Les services de conseil et d’intégration des systèmes

La préoccupation majeure en termes d’infrastructures est d’arriver à l’intégration des sys-
tèmes, c’est-à-dire de s’assurer que les éléments de l’infrastructure existante interagissent

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
correctement avec ceux nécessaires aux nouveaux projets. Le système informatique d’ori-
gine requiert généralement des technologies plus ou moins anciennes pour supporter le
traitement des transactions sur un ordinateur central et reste en service pour éviter les
coûts élevés relatifs à son remplacement ou à sa restructuration. Le remplacement de ce
type de systèmes est très coûteux et peut être évité lorsque ceux-ci sont combinables dans
une infrastructure moderne.

B. les évolutions
Malgré la baisse exponentielle des coûts des composants matériels, la part du budget que les
entreprises consacrent aux IT a augmenté. La raison est liée à la multiplication des postes de
dépenses ! Les services informatiques (conseil et intégration des systèmes) et les logiciels
coûtent très cher, et les utilisations de l’informatique et de la communication se sont inten-
sifiées parallèlement à la baisse d’autres coûts. Les employés utilisent des applications beau-
coup plus diversifiées qui nécessitent des plateformes et des postes de travail toujours plus
gourmands en ressources techniques (ordinateurs portables, de bureau, de poche, réseaux
locaux et à distance, serveurs centraux).

22
 UE
COURS 4  Management des systèmes d’information 215

Les entreprises doivent intégrer, sur diverses plateformes, des informations produites et
utilisées dans ces différentes applications. Elles doivent également mettre en œuvre des
infrastructures assez robustes pour supporter les variations et les pointes d’activité, afin de
se protéger des tentatives malveillantes (pirates, virus, etc.) et de diminuer les consomma-
tions d’énergie. Le niveau de service rendu aux entreprises par les plateformes qui leur sont
dédiées doit augmenter de façon à répondre aux demandes croissantes des clients et des
employés. Les évolutions à attendre concernent différents supports.

∙ 1. Les plateformes mobiles

L’informatique prend progressivement le pas sur le réseau, et de nouvelles plateformes
numériques mobiles ont fait leur apparition. Les outils de communication comme les
Smartphones et les tablettes ont endossé de nombreuses fonctions autrefois réservées aux
ordinateurs portables : par exemple la transmission de données, la navigation sur Internet,
l’envoi de courriels et de messages instantanés, l’affichage de contenu numérique et
l’échange de données avec les systèmes internes des entreprises. Les ultraportables appelés
« Netbook » font également partie de la nouvelle plateforme mobile. Ce sont de petits ordi-
nateurs légers et à bas prix, optimisés pour la communication sans fil et l’accès à Internet
tout en étant équipés de fonctions informatiques simples du type traitement de texte.
L’informatique d’entreprise évolue avec un passage progressif des PC et des ordinateurs de
bureau vers ces outils mobiles. Les managers les utilisent de plus en plus afin de coordonner
le travail et de communiquer avec les employés. En termes de connexion réseau, on parle
de clients Web qui permettent de réduire les investissements relatifs aux postes de travail,
toujours plus minimalistes, et qui permettent en parallèle d’augmenter les moyens engagés
au niveau des serveurs, toujours plus puissants.

∙ 2. Le Bring Your Own Device

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Le succès des Smartphones et des tablettes auprès des utilisateurs a forcé les entreprises
à examiner comment elles pouvaient permettre à leurs employés d’utiliser leurs appareils
dans l’entreprise. On appelle ce phénomène « BYOD » (Bring Your Own Device : apportez
votre propre appareil). Il s’agit de la tendance croissante des technologies venant du marché
des particuliers à entrer dans le monde de l’entreprise. Cette tendance n’est pas limitée aux
appareils tels que ceux déjà cités. Elle inclut également l’utilisation de services (moteurs
de recherche Google, Bing), les messageries (Gmail, etc.), les applications (Google Docs,
etc.), les coffres-forts numériques (Dropbox ou iCloud) et les réseaux sociaux (Facebook et
Twitter).
Cette tendance oblige les entreprises à reconsidérer la façon dont elles obtiennent et gèrent
leur parc informatique et les services qu’elles proposent à leurs utilisateurs. Par le passé, la
DSI était chargée de choisir et de gérer les technologies et services utilisés dans l’entreprise.
C’était elle qui fournissait le matériel (ordinateurs de bureau ou portable), ainsi que ses
configurations. Cela permettait ainsi aux employés d’accéder aux applications de l’entreprise
de façon sécurisée, tout en protégeant les systèmes de l’entreprise, et en s’assurant que les
outils mis à disposition des utilisateurs étaient bien employés.

23
UE
215 Management des systèmes d’information COURS 4

Aujourd’hui, les directions métier et les employés eux-mêmes ont des préférences mar-
quées pour tel appareil ou tel service et demandent à pouvoir les utiliser au bureau comme
à la maison pour travailler. Ce phénomène ne va pas sans rencontrer de la résistance de la
part des directions des SI, car ils ont plus de mal à maîtriser les parcs matériels et applica-
tifs et estiment que cela peut nuire à la sécurité et à la fiabilité du SI de l’entreprise. Face
à cette demande, les entreprises se scindent en trois groupes : celles qui interdisent ces
pratiques, celles qui les acceptent mais les ignorent, et celles qui les favorisent en équipant
leurs employés de Smartphones ou de tablettes.

∙ 3. La virtualisation
La virtualisation de serveurs est le processus qui permet de présenter un ensemble de res-
sources informatiques (capacités de calcul ou stockage) de telle façon qu’il est possible d’y
avoir accès sans contraintes de lieu ou de configuration système. Ainsi, un serveur unique
(physiquement) pourra servir à plusieurs utilisateurs comme si chacun possédait une
machine unique. Un serveur ou un ordinateur mainframe peut être configuré de façon à faire
tourner des instances multiples et donc apparaître comme plusieurs machines différentes.
De même, la virtualisation de serveurs permet également de rassembler dans une machine
unique virtuelle (ou logique) des capacités de traitement ou de stockage provenant de plu-
sieurs machines physiques différentes, qui peuvent être géographiquement disséminées.
VMware est la solution de virtualisation leader pour les serveurs Windows ou Linux.
Grâce à la virtualisation de serveurs, une entreprise peut optimiser le taux d’utilisation de ses
équipements. La plupart des serveurs tournent en effet en sous-capacité (moins de 30 %) :
la virtualisation peut faire passer ce taux d’utilisation à 70 %. Il est ainsi possible de disposer
de moins de serveurs pour accomplir les mêmes tâches. Ce procédé facilite également la
centralisation et la consolidation des activités d’administration de parc informatique.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
III. Les composantes de l’IT
Les composantes d’une IT concernent à la fois les aspects matériels, logiciels et la mise en
réseau. Les éléments matériels sont secondaires. Ils sont banals et leur coût est le plus
faible des trois rubriques. Ils doivent être retenus en dernier pour s’adapter aux contraintes
réseaux. Les tendances vont vers l’apparition de postes de travail minimalistes qui se
connectent à un service en ligne pour effectuer les tâches. La véritable valeur d’une IT tient
dans sa façon de prendre en compte les éléments logiciels et les autres éléments physiques.
Nous aborderons plus en détail les seuls aspects logiciels et réseaux.

A. la composante logicielle

∙ 1. Vue d’ensemble
Les logiciels d’une IT peuvent se comprendre comme la superposition de différentes couches.

24
 UE
COURS 4  Management des systèmes d’information 215

La structuration la plus synthétique repose sur trois couches logicielles

au sein desquelles le système d’exploitation prend une place centrale :

Utilisateurs

Logiciels applicatifs
Logiciels de base
Logiciels

& utilitaires
Utilitaires

Système d′exploitation

Matériel

Le système d’exploitation ou Operating System (OS) est le cœur de la couche logicielle. Il

constitue une brique fondamentale dans l’utilisation des applications métiers ou d’un PGI,
car il permet de faire l’interface entre la machine elle-même et les applications vérita­
blement utiles pour l’utilisateur final. Ce mode de fonctionnement très caractéristique des
technologies informatiques repose sur le principe suivant : l’utilisateur n’est pas, au sens
strict, en contact avec le matériel, mais il parvient à réaliser ses tâches par une succession de
transferts organisés.
À ce titre, le SE constitue une dimension fondamentale de la couche logicielle puisqu’il sert
souvent à caractériser une IT. On parlera d’univers Windows, Linux…
Le SE va regrouper un ensemble de programmes spécialisés permettant l’utilisation des res-
sources matérielles. Il assure ainsi le démarrage de l’ordinateur (le boot) et l’exécution des
logiciels applicatifs.
Le SE alloue les ressources matérielles nécessaires au fonctionnement des logiciels, en par-
ticulier les ressources en matière de processeur, de mémoire et de périphériques. Les princi-
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

pales missions dédiées à un SE sont les suivantes :

∙∙ gestion du processeur : grâce à un algorithme d’ordonnancement, le SE va gérer
l’allocation des tâches au processeur en fonction des différentes applications qui le
nécessitent ;
∙∙ gestion de la mémoire vive : le SE va allouer des espaces mémoires à chaque application
ou à chaque usager. Si la mémoire disponible se révèle insuffisante, il lui est possible
de créer une zone mémoire sur le disque dur, appelée mémoire virtuelle, qui permet
donc de faire fonctionner des applications nécessitant plus de mémoire que la capacité
disponible. Toutefois, cette mémoire se révèle plus lente. Il est possible de consulter
l’état d’utilisation de la mémoire grâce au moniteur de ressources ;
∙∙ gestion des entrées et sorties : ces entrées/sorties concernent les différents
périphériques (souris, clavier) et reposent sur des pilotes. Le pilote est un programme
informatique qui permet d’assurer l’interface entre le SE et le périphérique. Ces pilotes
peuvent être contenus dans une bibliothèque présente au niveau du SE, ou bien exigent
d’être installés avant toute utilisation du périphérique. Les systèmes actuels proposent
un mécanisme dit « Plug and Play » : la simple connexion du périphérique entraîne la
mise en place du pilote et permet son utilisation instantanée ;

25
UE
215 Management des systèmes d’information COURS 4

∙∙gestion de l’exécution des applications : le SE va vérifier le bon fonctionnement

permanent d’une application et la fermer si elle se révèle bloquée ou défectueuse. Pour
cela, il a recours à une procédure permettant de voir les différentes applications en
fonctionnement et leurs éventuels problèmes d’exécution ;
∙∙ gestion des droits : le SE s’assure que les ressources sont bien utilisées par des applications
disposant des droits adéquats ;
∙∙ gestion des fichiers : le SE permet de gérer la lecture et l’écriture des fichiers issus de
l’utilisation des applications.
Pour assurer l’ensemble de ces missions, le SE va reposer sur trois éléments majeurs :
∙∙le noyau (kernel) qui assure les fonctions fondamentales ;
∙∙l’interpréteur des commandes (shell) qui permet la communication avec le SE ;
∙∙un système de fichiers qui permet d’enregistrer les fichiers dans une arborescence.

À son tour le système d’exploitation peut ainsi

être vu comme un ensemble de couches !
Applications

Gestion des travaux

Gestion des fichiers

Gestion des entrées/sorties

ion
tat
loi

Gestion de la mémoire
xp
d'e

Noyau
me

(gestion
stè

des tâches,
interruptions,
Sy

sémaphores)

Matériel Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Il est possible de classer les SE selon différentes approches :

∙∙ La diffusion
Le SE le plus utilisé est Windows de l’éditeur Microsoft. Ce système a subi de nombreuses
évolutions et représente une part de marché de près de 90 % ! Dans ces contextes, les
suiveurs sont très faibles. Cette part de marché concerne le PC, mais est remise en cause
par les autres équipements susceptibles de fournir un service comparable (Smartphone,
tablette).

∙∙L’équipement
On trouvera des SE pour PC (Windows est le leader absolu), mais également des SE pour
téléphone (Android, Mac) et pour tablette. Dès lors que l’on prend en compte l’intégralité
des équipements susceptibles de se connecter, la prédominance de Windows disparaît au
profit d’Android !

26
 UE
COURS 4  Management des systèmes d’information 215

∙∙Les services rendus

On distinguera les SE multitâches des systèmes monotâches. Les systèmes multitâches
peuvent ainsi réaliser plusieurs processus simultanément. La plupart des systèmes sont
maintenant multitâches.
On distinguera par ailleurs les systèmes mono et multiutilisateurs. Comme son nom l’in-
dique, les seconds doivent gérer des accès multiples, avec des profils types et des droits
adaptés aux besoins de chacun.
Concernant la couche des logiciels applicatifs, on s’intéressera aux logiciels métiers, dont
l’essentiel a été évoqué dans le cours 2 avec le PGI. Ces progiciels permettent de couvrir
les principales fonctions des entreprises : achat, production, vente, gestion des ressources
humaines…
L’offre existante est très vaste et elle s’organise autour de deux dimensions : horizontale et
verticale.
La dimension horizontale correspond aux différentes fonctions concernées :

Achat

Logistique

Production

Gestion des stocks

Vente

Relation client

Gestion des ressources humaines

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Dans ce contexte, un tel progiciel est susceptible de satisfaire les attentes d’entreprises
situées dans des secteurs différents.
La deuxième dimension de la classification est intitulée verticale : elle correspond à des
secteurs d’activités différents ou possède des caractéristiques identiques (la taille en
particulier).

Centre
Commerce Coiffeurs Industrie TPE Indépendants …
de formation

Le choix à proprement parler d’un logiciel applicatif plutôt qu’un autre a été abordé dans
le cours 2 également : il repose sur l’établissement d’un cahier des charges permettant de
définir très précisément les attentes.

27
UE
215 Management des systèmes d’information COURS 4

∙ 2. Les choix structurants

En matière de logiciel applicatif, tout utilisateur doit être capable de répondre à trois ques-
tions fondamentales :

a. Logiciel libre ou non ?

Le créateur d’un logiciel a un droit intellectuel sur ce dernier. À ce titre, la licence sur un
­programme informatique est un contrat qui encadre la façon dont toute autre personne
pourra utiliser, diffuser ou modifier ce programme.
La licence est un contrat qui concerne l’éditeur du logiciel d’un côté et l’utilisateur de l’autre.
Les grandes catégories de licence dépendent avant tout de la nature du logiciel concerné. Un
logiciel peut être dit propriétaire.
Lorsque l’éditeur du logiciel souhaite en conserver la propriété, cela aboutit à la notion de
logiciel propriétaire. Le créateur du logiciel dispose, en tant que propriétaire, d’un droit exclu-
sif sur son œuvre et il peut ainsi l’exploiter, en cédant tout ou partie de ses droits à des tiers,
en contrepartie de la licence. La licence peut être sur site ou consister en la mise à disposition
du logiciel par le biais d’Internet, seul l’usage étant finalement accessible (type SaaS).
La licence est le contrat qui va définir les conditions d’utilisation du logiciel. Ce contrat va
régir les modalités d’installation, les conditions tarifaires à baser sur le nombre d’utilisateurs
ou globalement pour un site.
Le concepteur du programme en conserve la propriété : cela explique que l’utilisateur ne
puisse pas en faire de copie (sauf un exemplaire au titre de la sauvegarde) et ne puisse pas
disposer du code source.
Les licences peuvent faire l’objet d’un paiement unique ou sous forme d’abonnement. Les
logiciels présentent certaines spécificités par rapport aux autres œuvres de l’esprit, ce qui

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
explique les droits dont disposent les utilisateurs :
∙∙ droit de faire une copie de sauvegarde (mais seulement une) ;
∙∙ droit de corriger certaines erreurs pour rendre possible l’utilisation du logiciel, et ce sans
en informer l’éditeur ;
∙∙ droit de décompiler, c’est-à-dire de retrouver le code source pour faciliter l’intégration
avec d’autres logiciels ;
∙∙ droit d’observer et de tester le fonctionnement du logiciel pour en vérifier la sécurité.
L’éditeur du logiciel dispose d’alternatives à la licence payante, mais cela ne remet pas en
cause la qualification de logiciel propriétaire.
Il pourra ainsi adopter une solution consistant à diffuser gratuitement son logiciel pour espé-
rer une rémunération sur la base d’autres modalités (ex. : publicité). On parle de freeware ou
gratuiciel. Certains éditeurs ont adopté une stratégie dite de freemium : ils mettent à dispo-
sition du public un logiciel restreint et le client, s’il est intéressé, peut opter pour l’acquisi-
tion de la version premium payante.
Une autre approche est de proposer son logiciel sous forme de shareware, c’est-à-dire de
logiciel partagé. Le shareware est une version d’essai qui pousse le consommateur à acquérir
la version complète.

28
 UE
COURS 4  Management des systèmes d’information 215

Quel que soit le choix finalement retenu, le logiciel est considéré comme propriétaire si le
client n’a pas accès au code source. A contrario, dès qu’il y a accès, on parlera de logiciel libre :

Définition
« Un logiciel libre est un programme dont l’utilisation, l’étude, la modifi-
cation, la duplication et la diffusion sont universellement autorisées par le
créateur. » (Wikipédia)

La Free Software Fundation (FSF) a défini quatre libertés, permettant de parler de logiciel
libre :
∙∙ la liberté d’exécuter le programme, pour tous les usages ;
∙∙ la liberté d’étudier le fonctionnement du programme et de l’adapter à ses besoins ;
∙∙ la liberté de redistribuer des copies du programme (ce qui implique la possibilité aussi
bien de donner que de vendre des copies) ;
∙∙ la liberté d’améliorer le programme et de distribuer ces améliorations au public, pour en
faire profiter toute la communauté.
L’accès au code source constitue donc le critère majeur de la notion de logiciel libre.
La FSF précise quelques points. D’abord ces libertés doivent être irrévocables. Chacun doit
avoir la possibilité d’en jouir sans devoir prévenir un tiers. La redistribution du programme
doit pouvoir se faire sous toute forme, notamment compilée, à la condition éventuelle de
rendre disponible le code source correspondant. L’utilisateur doit pouvoir fusionner des
logiciels libres dont il n’est pas lui-même l’auteur. Toute licence libre doit reposer sur les
libertés ainsi décrites :
∙∙ mise à disposition du code source ;
∙∙ absence d’exclusivité ;
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

∙∙ absence de garantie de la part du créateur ;

∙∙ absence de responsabilité ;
∙∙ droit de modification.
L’utilisateur peut librement redistribuer logiciel libre sous réserve de respecter le cadre d’ori-
gine. Les droits correspondants à ces logiciels sont dits copyleft pour traduire le principe de
renoncement aux droits d’auteur (à l’opposé du copyright). Toute personne ayant utilisé un
logiciel libre accepte ensuite que ses créations suivent le même principe initial. En cas de
copyleft fort, il est impératif de respecter la licence d’origine. En revanche, il est possible de
prévoir un copyleft faible, par lequel la licence initiale n’est imposée que pour la redistribu-
tion du logiciel lui-même, les créations nouvelles pouvant être régies par d’autres types de
licence et même par des licences propriétaires.
Un logiciel libre n’est pas nécessairement gratuit ! Une rémunération – ne portant pas sur la
mise à disposition du code source, mais sur des éléments annexes (l’assistance, les fourni-
tures de services, la fourniture des supports de stockage…) – peut être mise en place.

29
UE
215 Management des systèmes d’information COURS 4

b. Progiciel ou développement spécifique ?

En informatique, nous pouvons définir un logiciel spécifique comme un logiciel développé
à la demande pour répondre à un besoin dans une organisation donnée. Le dévelo­ppement
spécifique doit prendre en compte l’activité de l’entreprise, son contexte, son environ­
nement et ses besoins spécifiques. L’objectif de ce type de développement est d’aider
­l’entreprise à mieux gérer certains aspects de son activité. De cette façon, il est possible de
développer toutes sortes de logiciels pour soutenir les grandes fonctions de l’entreprise (ges-
tion, commerciale, SCM, gestion de stocks, CRM, workflow, gestion de projets, ressources
humaines…). Le logiciel ainsi créé dispose d’une spécificité propre à l’entreprise puisqu’il a
été conçu exclusivement pour cette entreprise.
Le progiciel est un logiciel conçu par un éditeur pour répondre le mieux possible à des
besoins partagés par le plus grand nombre. C’est un logiciel « prêt à porter » et standardisé.
Un progiciel est souvent un ensemble complet composé de plusieurs modules, couvrant
chacun une fonction et communiquant entre eux. C’est un produit conçu et développé par
une entreprise, non pour elle-même, mais pour le vendre à d’autres entreprises qui l’utili-
seront. Les progiciels applicatifs automatisent les fonctions liées à l’activité de l’entreprise
liées : comptabilité, gestion du personnel, achat, commercial, GPAO, etc. Un progiciel ne
peut être utilisé qu’avec les plateformes informatiques et les bases de données qu’il sup-
porte. Un progiciel stratégique pour l’entreprise peut conduire à l’introduction ou au chan-
gement de plateforme.

➠➠ Progiciel spécifique

Les avantages

∙∙L’application métier spécifique permet d’avoir un outil de travail personnalisé. Le logiciel

est conçu selon la demande de l’entreprise. Il ne propose donc que les fonctionnalités
attendues.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
∙∙ Le logiciel personnalisé est plus performant. Il permet de traiter des projets plus
complexes que les applications standards ne peuvent pas faire. Cela permet à l’entreprise
de se démarquer et donc de devancer ses concurrents.
∙∙ Le logiciel sur mesure peut être flexible. Le client peut alors ajouter des fonctionnalités
au fur et à mesure que son entreprise se développe.
∙∙ Malgré son coût élevé au départ, le logiciel métier sur mesure revient moins cher qu’un
logiciel standard. Le client n’aura plus à payer de coût de licence. De plus, il n’aura plus à
se soucier de la limitation du nombre d’utilisateurs.

Les inconvénients

∙∙Comme tout autre outil informatique, les logiciels métiers spécifiques Web ont aussi leur
lot de risques et de dangers. Malgré les efforts constants déployés par les éditeurs, les
applications sur mesure ne sont pas à l’abri des cyberattaques. En effet, la plupart des
logiciels tiers ne répondent pas aux exigences de sécurité.
∙∙ Par ailleurs, en ce qui concerne le prix, créer une application sur mesure ne sera
probablement pas le bon choix pour les PME, car les coûts de développement initiaux
sont relativement élevés, sans parler des frais de maintenance.

30
 UE
COURS 4  Management des systèmes d’information 215

∙∙IlSelon
n’y a pas d’amélioration fonctionnelle.
∙∙développement
les choix retenus, l’entreprise va être tributaire du prestataire qui assure le
de cet outil.

➠➠ Progiciel standard

Les avantages

∙∙Lerépondre
logiciel standard est une solution qui offre une gamme de fonctionnalités afin de
aux besoins du plus grand nombre d’utilisateurs.
∙∙Les erreurs sont corrigées et les coûts mutualisés par l’éditeur.
La mise en place est rapide.
∙∙Une assistance de qualité est proposée.
∙∙La standardisation du SI obtenue facilite la coordination entre systèmes distincts.
∙∙
Les inconvénients

∙∙Des fonctionnalités non utilisées, mais payées.

∙∙Des fonctionnalités non présentes.
∙∙Des interlocuteurs pas toujours réactifs en cas de problèmes.
Pas de possibilités d’évolution suivant le besoin du client.
∙∙Des mises à jour qui ne conviennent pas forcément.
∙∙
c. Résident ou hébergé ?
Conserver le contrôle de son SI est le premier choix envisagé par une organisation. Toutefois,
dans de nombreuses situations, comme les systèmes sont toujours plus vastes et plus élabo-
rés, la complexité de cette intégration est trop élevée. Pour faciliter sa gestion, l’entreprise
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

va externaliser progressivement le contrôle de son SI. Il s’agit du choix résident, qui se révèle
toujours plus complexe à maintenir. L’entreprise peut toutefois retenir un cloud privé. Il
s’agit d’un ensemble de serveurs mis en ligne pour les besoins spécifiques de l’organisation.
Avec un cloud privé – dont elle contrôle l’intégralité – et non public, divers avantages sont
présents :
∙∙ meilleure sécurité et meilleur contrôle des données ;
∙∙ stabilité du coût sans majoration malgré un usage plus intense ;
∙∙ aucun problème de réversibilité à craindre.
En revanche, une telle solution ne permet pas de monter en puissance si le besoin augmente
fortement, contrairement aux capacités quasi illimitées offertes par des cloud publics.

31
UE
215 Management des systèmes d’information COURS 4

B. la composante réseau

∙ 1. L’intérêt d’un réseau pour une organisation

Mettre des ressources informatiques en réseau présente des avantages qui ne sont plus à
démontrer !

a. Diminution du coût grâce au partage des ressources

Le réseau permet de réaliser des économies importantes en n’achetant qu’en un seul exem-
plaire les périphériques coûteux (connexion Internet, lecteurs de cédéroms, imprimantes
de technologie laser…) et qui, connectés sur le réseau, deviennent accessibles à tous les
utilisateurs.

b. Intérêt pratique
Les ressources partageables sont gérées par le serveur ; de ce fait, l’administration s’en
trouve facilitée. Lors de l’installation d’un logiciel ou d’un progiciel, l’installation peut être
téléchargée directement du serveur. Les données sont stockées sur le serveur. Un utilisateur
peut avoir accès à ses données depuis n’importe quel poste connecté au réseau.

c. Sécurité des données

Dans le modèle réseau, l’accès aux informations du serveur est défini au niveau des groupes
d’utilisateurs. Aucune personne non autorisée ne peut donc accéder aux informations confi-
dentielles de l’entreprise. La sécurité des informations de l’entreprise passe également par
la sauvegarde des données. Grâce au réseau, les lecteurs de bandes prennent en charge la
sauvegarde programmée des informations du réseau.

d. Cohérence et disponibilité des données

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Grâce au réseau, les informations sont stockées sur un serveur. Elles sont accessibles par
tous (en fonction de leurs droits d’accès). Tout document mis à jour par un utilisateur est
mis à disposition des autres. Sans réseau, les données sont éparpillées dans l’entreprise et
sont, en général, sous la responsabilité d’une personne. Les risques de « points de rupture »
sont importants. Si les données doivent être partagées par plusieurs personnes, elles seront
recopiées en plusieurs endroits au risque d’être mises à jour sans que les autres détenteurs
en soient avertis. Dans ce cas, certaines personnes n’auront pas l’information adéquate à ce
jour. Dans le pire des cas, une même donnée initiale évoluera de façon indépendante et non
synchrone dans plusieurs endroits différents, entraînant une incohérence et une désorgani-
sation totales.

∙ 2. Les classifications possibles

La classification selon la taille est le caractère le plus apparent pour classer les réseaux. On
distingue trois niveaux de taille :
∙∙ le LAN (Local Area Network), ou RLE (réseau local d’entreprise), qui relie des ordinateurs
situés dans des bâtiments d’un même site. Les distances entre les points d’accès au réseau
sont de l’ordre des centaines de mètres ;

32
 UE
COURS 4  Management des systèmes d’information 215

∙∙leagglomération
MAN (Metropolitan Area Network), ou réseau métropolitain, qui s’étend sur une
(ou une zone d’activité économique) ;
∙∙lemême
WAN (Wide Area Network), ou réseau étendu, qui se déploie à l’échelle d’un pays ou
plus dans certains cas (ex : Internet).
Il est également possible de classer les réseaux selon leur architecture. L’architecture ou
organisation d’un réseau est fonction des objectifs définis par ses propriétaires et des choix
techniques et financiers qu’ils réalisent. Il est à noter que, dès un certain niveau de taille, le
réseau est, en fait, composé de sous-réseaux qui sont connectés entre eux. Le rôle de l’archi-
tecte du réseau consiste donc à faire fonctionner des matériels et des logiciels en réseaux
interconnectés afin de permettre des activités informatiques collectives, en centralisant ou
en répartissant les ressources et les tâches à travers le système.
C’est donc une façon d’interconnecter physiquement les différents éléments d’un réseau
et de combiner son organisation logicielle aux différents supports physiques utilisés afin
d’effectuer des opérations informatiques (transferts de fichiers, consultations de bases de
données, mises à jour de données, messagerie, diffusion de vidéos…).
Après les architectures centralisées, puis en poste à poste, l’architecture la plus répan-
due aujourd’hui est celle du client-serveur. Dans cette architecture, les données et/ou les
applications sont localisées sur des ordinateurs dédiés, les serveurs, et sont accessibles aux
postes clients. Les postes clients sont des PC connectés au réseau qui vont accéder aux ser-
vices du serveur via un logiciel client qui exige peu de ressources. Avec le développement
des intranets et extranets, le logiciel client sera tout simplement le navigateur Web que l’on
nomme alors client léger.
Ce partage des tâches entre les postes clients et le serveur a donné lieu à différentes solu-
tions et, en particulier, aux architectures n tiers.

Client-serveur middleware ou médiateur ou encore architecture trois tiers

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Constitué d’un ensemble de logiciels, le middleware permet de gérer l’interopérabilité des

applications en client-serveur :
∙∙ le poste client (qui est demandeur de ressources) est équipé d’une interface utilisateur
(généralement un client léger, c’est-à-dire un navigateur Web) chargée de la présentation ;
∙∙ le serveur d’application (appelé middleware ou médiateur) fournit la ressource et exécute
les traitements éventuels, mais en faisant appel à un autre serveur : le serveur de
données. Le plus souvent, le médiateur est un serveur Web ;
∙∙ le serveur de données fournit au serveur d’application (middleware) les données requises
afin de répondre au client.

Demande
un service Interroge
Poste
Client
Fournit Répond
Client léger le service Données
Serveur Web Serveur de base
de données

33
UE
215 Management des systèmes d’information COURS 4

Client-serveur n couches (ou n-tier en anglais)

Cette architecture est une évolution de l’architecture trois tiers. Elle consiste à ajouter des
serveurs, chaque serveur étant spécialisé dans une tâche.
Demande
Poste un service Interroge
Client
Fournit Répond
Client léger le service
Serveur Web Serveur messagerie

Interroge
Interroge

Répond
Répond Serveur
de base
de données
Serveur Application Gestion

Niveau 1 Niveau 2 Niveau 3

C’est ce principe de délégation qui permet de répartir la charge de travail sur plusieurs ser-
veurs et donc d’améliorer les performances. La séparation des données et des traitements
permet d’accroître la sécurité des données. Dans ce cadre, les tâches sont réalisées par dif-
férents serveurs.
Voici les types de serveurs les plus courants :
∙∙ serveur de données ou de fichiers : gestion des données au profit des applications ;
∙∙ serveur d’applications : hébergement des applications mises au service des usagers du réseau ;
∙∙ serveur d’impression : pilotage des moyens d’impression partagés ;
∙∙ serveur de domaine : gestion de l’authentification des utilisateurs et contrôle des accès
aux ressources (annuaire LDAP1) ;

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
∙∙ serveur DHCP (Dynamic Host Configuration Protocol) : pour l’attribution dynamique
des adresses IP et du masque de sous-réseau aux postes clients ;
∙∙ serveur DNS (Domain Name System) : permet d’établir une correspondance entre une
adresse IP et un nom de domaine ;
∙∙ serveur proxy ou mandataire : mémorisation intermédiaire entre le réseau local et
Internet qui permet une accélération de la navigation, un filtrage des données et donc
une sécurisation du réseau local (pare-feu et machines du réseau local non visibles de
l’extérieur), Journalisation des requêtes2 ;
∙∙ serveur de messagerie (gestion du courrier électronique, protocoles POP, IMAP & SMTP) ;
∙∙ serveur Web : hébergement des pages Web – site Web, extranet, intranet – de
l’organisation (logiciel serveur HTTP, MYSQL, PHP…) ;
∙∙ serveur FTP (File Transfer Protocol) : pour transférer des fichiers ;
∙∙ serveur de groupware : mise à disposition d’applications collaboratives partagées
(agenda, partage de documents, GED, visioconférence, workflow…).

1. LDAP : Lightweight Directory Access Protocol.

2. Un journal de toutes les requêtes effectuées par les utilisateurs sur Internet est établi.

34
 UE
COURS 4  Management des systèmes d’information 215

pi
h a t re

2.
c

La sécurité du système
d’information

Compétences attendues
∙∙ Présenter le fonctionnement d’une infrastructure à clé publique.
∙∙ Accompagner une démarche de mise en place d’une architecture de
confiance.
∙∙ Prendre les dispositions nécessaires pour garantir la continuité de
l’activité.
∙∙ Déployer les garanties et assurances souscrites.

La sécurité du SI est devenue au fil du temps un des enjeux clés, si ce n’est l’enjeu fon-
damental. Les exemples de piratages, de défaillances informatiques, la multiplication des
menaces et l’aspect catastrophique des conséquences ont fait évoluer les pratiques, d’une
recherche de valeur nouvelle vers une réduction des risques. La sécurité informatique peut
se ­comprendre comme l’aptitude à faire face à des menaces plus ou moins probables, et
repose sur des objectifs fondamentaux :
∙∙ la confidentialité des données ;
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

l’intégrité des données ;

∙∙ l’authenticité des intervenants ;
∙∙ la non-répudiation des transactions électroniques.
Une étude sur la sécurité repose sur le repérage des différentes menaces et des solutions
qu’il est possible de mettre en œuvre.

I. Les scénarios d’attaques

Examinons quelques cas d’attaques afin de mettre en évidence les scénarios les plus fré-
quents auxquels recourent les attaquants pour s’introduire et compromettre un SI.
Une attaque se déroule généralement selon les quatre étapes suivantes :
∙∙la compromission initiale ;
∙∙la propagation latérale, souvent jusqu’à atteindre les composants les plus privilégiés ;
∙∙la mise en place de la rémanence ;
∙∙la mise en place des canaux de contrôle depuis l’extérieur et les vecteurs d’exfiltration de
données.

35
UE
215 Management des systèmes d’information COURS 4

A. la compromission initiale
Elle peut concerner un serveur sur Internet, mais, la plupart du temps, l’attaquant
­compromet un poste de travail du réseau interne. Le volume important des postes de travail
et la vigilance aléatoire des utilisateurs lui facilitent la tâche.
Cette compromission initiale peut se faire soit par l’envoi de courriels piégés aux utilisateurs
de l’entreprise, donc au plus grand nombre, soit de manière très ciblée avec des contenus de
messages qui collent au travail de l’employé concerné. Par ailleurs, l’infection initiale peut
se faire soit avec une pièce jointe malveillante, soit en redirigeant vers un site Web qui pré-
sente des codes d’exploitation pour compromettre le navigateur Web.
L’attaquant peut, dans certains cas, remplacer l’envoi de courriels par la compromission d’un
site Web sur lequel il est prévisible que des employés de l’entreprise se connectent, par
exemple le site du comité d’entreprise, celui d’un site d’actualités spécialisé dans le domaine
d’activité… La variété de ces cibles est très large.
Dans quelques cas, la compromission initiale passe par l’infection initiale d’un produit chez
le fournisseur. Ce fut le cas pour la vague d’attaques Havex/Dragonfly, où quatre fournis-
seurs d’équipements pour le domaine de l’énergie ont été piratés. L’attaquant avait déposé
un cheval de Troie dans leur produit. Il a ensuite attendu que le produit soit installé chez
différents exploitants pour les compromettre à leur tour.

B. la propagation latérale
Son objectif est de récupérer le plus de données d’authentification possible afin de se
connecter à un maximum de systèmes pour ensuite y récupérer des données. Cette pro-
pagation latérale se fait assez simplement, en collectant sur le premier poste compromis

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
les données d’authentification des utilisateurs, de l’administrateur local, des mots de passe
conservés en mémoire de tous les utilisateurs, administrateurs ou tâches de service qui sont
utilisées sur le poste. L’attaquant peut ensuite réutiliser ces données d’authentification pour
se connecter sur d’autres postes de travail et y installer, par exemple, un cheval de Troie.
Plus l’attaquant a compromis de postes et plus il aura de chance de trouver sur l’un d’eux
des données d’authentification d’administrateur avec le plus haut niveau de privilège, par
exemple un administrateur de domaine Windows. À défaut, il peut aussi viser des postes
de travail sensibles, comme ceux des administrateurs ou des composants d’infrastructures
critiques, comme le serveur de sauvegarde, le serveur de distribution de logiciels et de mises
à jour, le serveur de supervision Ces systèmes ont souvent le droit de se connecter sur tous
les autres composants du SI, la plupart du temps avec un niveau de privilège élevé.
De plus en plus de cas prouvent qu’une attaque n’a pas forcément comme objectif le vol
de données, mais peut aller jusqu’au sabotage du SI ou d’une infrastructure industrielle !
L’exemple frappant est le cas « Stuxnet » : il s’agit de l’attaque qui a visé, jusqu’en 2010, les
centrifugeuses iraniennes destinées à enrichir de l’uranium. Le schéma d’attaque, bien que
complexe, a évolué comme le prouve la chronologie des étapes :
∙∙ renseignement humain ;
∙∙ piratage de fournisseurs ;

36
 UE
COURS 4  Management des systèmes d’information 215

∙∙infection initiale par média amovible en utilisant une vulnérabilité jusque-là inconnue ;
∙∙reprogrammation des automates qui contrôlent les cascades de centrifugeuses pour les
faire tourner à une vitesse de rotation qui les endommage.

C. les autres types d’attaques

Malheureusement, les attaques citées ne sont pas les seules existantes. De nombreux autres
cas se sont d’ailleurs produits, entraînant l’arrêt d’une usine sidérurgique en Allemagne,
la panne du réseau électrique ukrainien, l’arrêt de chaînes de production automobiles,
l’effacement de dizaines de milliers de postes de travail et serveurs d’un producteur pétrolier
du Golfe…
De nos jours, le sabotage se généralise également via des cryptolockers ou ransomware qui,
après une propagation latérale, chiffrent l’ensemble des systèmes compromis et demandent
une rançon contre la clé de déchiffrement.

∙ 1. Le déni de service
Il vise à rendre un système ou un service réseau indisponible. Il se déroule en deux étapes :
∙∙ épuiser les ressources : les premières attaques se contentent d’inonder le système visé
de requêtes pour épuiser ses ressources. Il est possible de faire cela, par exemple, en
envoyant en masse des paquets TCP sans jamais terminer l’échange. Ceci est permis par
l’exploitation des défauts d’implémentation de certains protocoles. En envoyant des
paquets mal formés, l’attaquant fait planter le service réseau ;
∙∙ rendre le système visé indisponible : cela peut s’obtenir par exemple en corrompant des
données systèmes ou encore en effaçant des applications stratégiques.
Au fur et à mesure que les défauts d’implémentation les plus courants sont corrigés, les atta-
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

quants s’adaptent pour rendre le système visé indisponible avec uniquement des connexions
similaires en tout point avec celles de clients légitimes. Or, cela oblige l’attaquant à avoir
une capacité d’envoi de messages, en particulier une bande passante, supérieure à celle du
serveur visé. Aussi, une variante du déni de service existe. Il s’agit du « déni de service distri-
bué », connu sous l’appellation DDoS (Distributed Denial of Service attack).

∙ 2. Le déni de service distribué

Pour augmenter leur capacité d’envoi, les attaquants lancent des attaques depuis des mil-
liers de systèmes compromis, ce qui donne un « déni de service distribué ». Dans ce cas, les
systèmes compromis servant à émettre les requêtes peuvent être des équipements infor-
matiques de particuliers tout comme des postes de travail en entreprise, mais aussi des
équipements connectés. Il arrive, par exemple, que des attaques soient effectuées à partir
de caméras connectées à Internet dont l’interface d’administration était restée accessible
avec un mot de passe par défaut.
Certains dénis de service se montrent plus subtils, en tirant parti du déséquilibre entre des
requêtes légères et des réponses du serveur plus lourdes, soit en taille, soit en temps de
traitement pour les construire. Ceci arrive, par exemple, sur des serveurs de jeux en ligne où

37
UE
215 Management des systèmes d’information COURS 4

le protocole sous-jacent est UDP (User Datagram Protocol). Cela facilite la falsification de la
provenance de l’attaquant, avec des requêtes très petites, mais des réponses du serveur plus
volumineuses, ce qui consomme la bande passante d’autant plus rapidement !
Ce type d’attaque peut aussi se produire tout simplement sur des serveurs Web pour les-
quels l’appel à certaines pages ou à certaines fonctions va générer des traitements impor-
tants, par exemple des requêtes lourdes sur une base de données.
Avant de terminer ce tour d’horizon des diverses attaques existantes, malheureusement
nombreuses, abordons celles ciblant spécifiquement un site Web.

∙ 3. Le défacement
Son but est de modifier le contenu d’un site Web, généralement pour afficher un message
politique, religieux ou contestataire vis-à-vis des produits de l’entreprise. Pour ce faire, l’at-
taquant peut mener différentes attaques :
∙∙ rechercher le compte et mot de passe d’accès à une interface d’administration ou à un
service d’échange de fichiers, par exemple FTP, qui permet de déposer les données du site
Web sur le serveur ;
∙∙ exploiter une vulnérabilité dans le serveur Web, le serveur d’application, le CMS utilisé
ou l’application elle-même ;
∙∙ compromettre un hébergeur pour défacer les sites de l’ensemble de ses clients.
Le défacement porte atteinte avant tout à l’image de l’entreprise et à la confiance que ses
clients lui portent.

∙ 4. La compromission d’un site Web

Elle utilise les mêmes vecteurs d’attaque que le défacement, mais avec d’autres buts.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
L’impact ne sera donc pas seulement un défaut d’intégrité du site Web. Parmi les actions
possibles de l’attaquant, on peut mentionner :
∙∙ le vol des données stockées sur le serveur et sur sa base de données : par exemple, les
données personnelles des utilisateurs qui pourront ensuite être revendues. Avec des
bases de comptes et mots de passe, il pourra essayer d’accéder à d’autres sites en ligne
dont les mêmes utilisateurs pourraient être clients. De manière générale, l’attaquant
pourra aussi voler sur les serveurs des données de paiement par carte bancaire ;
∙∙ l’infection initiale des pages hébergées sur le site : l’objectif est d’y ajouter un code en
vue d’exploiter une ou plusieurs vulnérabilités des navigateurs Web qui se connectent
sur le site. Cela permet à l’attaquant du site Web de compromettre un grand nombre de
postes de travail. Ainsi, il peut ensuite voler leurs données ou réaliser des dénis de service
distribués ;
∙∙ la mise en indisponibilité du site Web : le but est, par exemple, de supprimer du contenu,
d’ajouter des bugs dans le site, ou encore de rediriger un visiteur vers le site concurrent.
Après ce tour d’horizon, focalisons notre attention sur des solutions à même d’apporter des
réponses concernant tout d’abord la sécurité matérielle des SI, puis leur sécurité logicielle
et, enfin, celle des échanges de données.

38
 UE
COURS 4  Management des systèmes d’information 215

II. La sécurité matérielle

des systèmes d’information

A. les architectures RAID3

Quelle que soit l’architecture utilisée, à tout moment un disque dur, tant sur un poste client
que sur un poste serveur, est à même de connaître une défaillance technique. Si, dans le cas
d’une architecture trois tiers, une panne sur un poste client est sans conséquence impor-
tante, étant donné qu’aucune donnée ni application n’y sont hébérgées, il en est tout autre
en ce qui concerne un poste serveur. Bien sûr, il est toujours possible de recourir à un sys-
tème de sauvegarde journalière par exemple. Mais, l’idéal n’est pas d’avoir un pas d’incré-
mentation comme, par exemple, tous les jours, toutes les heures… Non, l’idéal est d’avoir
un mécanisme de sauvegarde permanent qui, à chaque écriture de la moindre information,
duplique, sauvegarde celle-ci. C’est dans cette logique que s’inscrivent les architectures
RAID. Ce concept est dû à Gibson, Katz et Patterson, de l’université de Berkeley en 1987.
L’idée de base est d’utiliser un groupe de disques redondants ainsi qu’indépendant et bon
marché. Une architecture RAID comporte une partie matérielle, assurée par les disques et
une partie logicielle. Elle permet d’accélérer, de sécuriser et de fiabiliser l’accès aux données.
Ce type d’architecture s’oppose à l’architecture SLED (Single Large Expensive Disk), qui n’uti-
lise qu’un disque unique pour l’enregistrement des données. Ce disque est de grande capa-
cité et offre une grande fiabilité. Mais, par conséquent, de tels disques sont onéreux. De
plus, dans une architecture SLED, la bonne conservation des données est directement fonc-
tion de l’état du disque et de ses conditions d’utilisation. En cas de défaillance, l’unique solu-
tion de restauration des données est de recourir à la dernière sauvegarde. Cela risque d’être
fortement chronophage, selon les volumes à restaurer et, de plus, durant tout ce temps, le
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

poste informatique concerné est inutilisable. Sur un serveur, l’ensemble des utilisateurs est
impacté ce qui pose des problèmes en termes de productivité.
Dans une architecture RAID, la défaillance d’un disque dur n’est en rien pénalisante pour les
autres et, de surcroît, aucune machine ne cesse d’être accessible, toutes restent utilisables.
Il n’y a donc aucun impact sur la productivité. La restauration des données perdues se fera
automatiquement à partir des autres disques, ce qui sera transparent pour les utilisateurs.
Ce type d’architecture offre donc une grande tolérance aux pannes. Mais, bien sûr, comme
dans toute chose, il n’y a pas que des avantages. En termes d’inconvénient, une architecture
RAID est plus complexe à mettre en place. Par ailleurs, s’il existe un réel besoin rapide de
temps de lecture et d’écriture, les disques bon marché utilisés ont, généralement, des per-
formances moyennes ce qui peut ne pas donner satisfaction.
Sans entrer dans les détails, signalons qu’il existe plusieurs déclinaisons de ces architectures
RAID. Ainsi, on trouve le RAID-0, le RAIN-1, le RAID-2…

3. Redundant Array of Independant Disks ou Redundant Array of Inexpensive Disks.

39
UE
215 Management des systèmes d’information COURS 4

B. NAS et SAN
Si les architectures RAID abordées précédemment constituent des dispositifs de stockage
en local, directement sur un poste informatique, les NAS (Network Attached Storage) et
SAN (Storage Area Network) constituent des moyens de stockage distants, en réseau. Il est
naturel de se poser la question : « Pourquoi vouloir stocker à distance » ? La réponse est
simple. Lorsque l’on centralise les données, plusieurs problèmes apparaissent. Ce qui peut
a priori être un avantage en centralisant devient finalement un piège en matière de gestion et
­d’administration. En effet, les volumes stockés ne cessent de croître nécessitant de facto une
sécurité accrue. Par ailleurs, la haute sollicitation, tant en lecture qu’en écriture, réclame une
technologie performante à tous les niveaux : CPU, mémoire, réseaux, bus… pour assurer des
temps de réponse qui ne soient pas prohibitifs. Enfin, les sauvegardes régulières deviennent
de plus en plus chronophages vu l’augmentation permanente des volumes à sauvegarder.
Il est donc naturellement apparu qu’il n’était pas envisageable de perdurer dans cette voix et
que la nécessité de trouver d’autres solutions devenait urgente. Des réponses furent appor-
tées. Parmi celles-ci deux se sont particulièrement détachées des autres et ont été massi­
vement adoptées : le NAS et le SAN.

∙ 1. La solution NAS
Derrière ce sigle, se trouve un périphérique de stockage connecté généralement au réseau
local de l’organisation via des protocoles de communication, tel que ceux mis en œuvre dans
TCP/IP. Aussi, aucune infrastructure particulière n’est à mettre en place pour recourir à une
telle solution, n’engendrant ainsi aucun coût particulier, ce qui est déjà un argument plai-
dant en sa faveur, les coûts étant bien souvent un frein dans l’utilisation d’une technologie
pour une petite entreprise.
Un serveur NAS possède son propre SE et est donc parfaitement autonome. De plus, il sup-

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
porte la cohabitation entre plusieurs systèmes de fichiers. Il permet donc le partage de
fichiers, offrant ainsi une grande souplesse d’utilisation.
La principale utilisation se trouve dans les applications voraces en termes d’appel de fichiers
comme, par exemple, pour l’hébergement de sites Web ou de messageries.

∙ 2. La solution SAN
Ce type de solution est bien plus complexe et onéreuse que la précédente. En effet, un SAN
se manifeste sous la forme d’un réseau spécialisé et dédié, offrant une possibilité de partage
de l’espace de stockage à des serveurs ainsi qu’à une librairie de sauvegarde. Un SAN pouvant
être connecté simultanément à plusieurs milliers de serveurs, il est possible de constituer
ainsi des systèmes de calcul puissants et évolutifs. On en trouve au sein de grands labora-
toires de recherche dans les domaines industriels, environnementaux, militaires, pharma-
ceutiques, financiers…
Le réseau utilisé est la fibre Channel. Il s’agit d’un protocole offrant des connexions haut
débit, pouvant atteindre plusieurs dizaines de gigabits par seconde. Il répond à un besoin très
exigeant en termes de gestion des informations. Il a été utilisé à l’origine dans le monde des
systèmes nécessitant de hautes performances et dans celui du montage et de la diffusion de

40
 UE
COURS 4  Management des systèmes d’information 215

vidéos. Sa scalabilité lui permet de grandir conjointement à la croissance du SI. Il s’agit là d’un
atout à prendre en considération compte tenu du besoin sans cesse croissant de stockage.
L’un des grands intérêts du SAN est de ne plus avoir à se soucier de l’évolution de l’espace de
stockage ou, a contrario, de surdimensionner inutilement celui-ci et donc du gâchis que cela
entraîne. Avec un SAN, l’espace disque, la capacité de stockage, devient quasiment infinie.
Elle peut, à tout moment, évoluer à volonté dans un sens comme dans un autre, simplement
par l’ajout ou le retrait de disques durs ainsi que de baies de stockage.
Cependant, son coût élevé de mise en œuvre le réserve à des grandes organisations pour
lesquelles les informations détenues représentent une réelle importance financière.

C. les pare-feu
Un pare-feu, firewall en anglais, se compose de matériel et/ou de logiciel. Il s’agit d’un équi-
pement informatique destiné à assurer la protection de données et d’équipements raccordés
directement à Internet comme, par exemple, un ordinateur personnel à son domicile ainsi
que d’équipements connectés sur un réseau d’entreprise, lui-même raccordé à Internet. La
sécurité est assurée par le pare-feu qui filtre les entrées et contrôle les sorties en respectant
des règles définies par l’administrateur.
Chaque ordinateur connecté à Internet est à même d’être victime d’une attaque d’un pirate
informatique. Généralement, pour arriver à ses fins, il scrute le réseau en envoyant aléatoi-
rement des paquets TCP/IP afin d’obtenir une réponse de machines connectées. Une fois
celles-ci identifiées, il suffit alors de trouver une faille de sécurité sur une machine pour
pouvoir s’y connecter afin de l’exploiter et d’accéder aux données s’y trouvant. Le risque
de piratage est d’autant plus fort pour une machine si elle est connectée en permanence à
Internet, et ce pour deux principales raisons :
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

la machine cible est susceptible d’être connectée sans pour autant être surveillée ;
∙∙ la machine cible ne change pas ou très peu souvent d’adresse IP.
Aussi, il est indispensable, tant pour les réseaux d’entreprises que pour les connexions de
type câble ou ADSL à son domicile de se protéger contre les risques d’intrusions réseaux en
installant un dispositif de protection.

∙ 1. Principe de fonctionnement du pare-feu

Le pare-feu est un système logiciel, reposant parfois sur un matériel dédié, permettant de
filtrer les paquets de données TCP/IP échangés avec le réseau. Il s’agit donc d’une passerelle
filtrante comportant au minimum les interfaces réseau suivante :
∙∙ une interface par réseau interne à protéger ;
∙∙ une interface pour le réseau externe.
Le filtrage s’effectue selon des règles prédéfinies permettant :
∙∙ d’autoriser la connexion ;
∙∙ de bloquer la connexion ;
∙∙ de rejeter la demande de connexion sans avertir l’émetteur.

41
UE
215 Management des systèmes d’information COURS 4

L’ensemble de ces règles permet de mettre en œuvre une méthode de filtrage dépendant
de la politique de sécurité adoptée par l’entité. On distingue habituellement deux types de
politiques de sécurité permettant :
∙∙ soit d’autoriser uniquement les communications ayant été explicitement autorisées ;
∙∙ soit d’empêcher les échanges qui ont été explicitement interdits.
La première méthode est sans nul doute la plus sûre, mais elle impose toutefois une défini-

∙
tion précise et contraignante des besoins en communication.

2. Filtrage de paquets
Un pare-feu fonctionne sur le principe du filtrage simple de paquets en analysant les en-
têtes de chaque paquet de données IP échangé entre une machine du réseau interne et une
machine extérieure.
Ainsi, les paquets de données échangés entre une machine extérieure et une machine du
réseau interne transitent systématiquement par le pare-feu et possèdent les en-têtes sui-
vants, analysés par le firewall :
∙∙ adresse IP de la machine émettrice ;
∙∙ adresse IP de la machine réceptrice ;
∙∙ type de paquet ;
∙∙ numéro de port.
Les adresses IP contenues dans les paquets permettent d’identifier la machine émettrice et
la machine cible, tandis que le type de paquet et le numéro de port donnent une indication

∙
sur le type de service utilisé.

3. Filtrage dynamique et statique

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
On distingue trois modes de filtrage : simple, dynamique et applicatif.

a. Filtrage simple
Le filtrage simple de paquets ne s’attache qu’à examiner les paquets IP indépendamment les
uns des autres, ce qui correspond au niveau 3 du modèle OSI. Or, la plupart des connexions
reposent sur le protocole TCP, qui gère la notion de session, afin d’assurer le bon dérou­
lement des échanges. D’autre part, de nombreux services lancent une connexion sur un port
ouvert aléatoirement afin d’établir une session entre la machine faisant office de serveur et
la machine cliente. Ainsi, il est impossible avec un filtrage simple de paquets de prévoir les
ports à laisser passer ou à interdire.
b. Filtrage dynamique
Pour y remédier, le système de filtrage dynamique est basé sur l’inspection des couches 3
et 4 du modèle OSI, permettant d’effectuer un suivi des transactions entre le client et le
serveur. Un dispositif pare-feu de type stateful inspection est ainsi capable d’assurer un suivi
des échanges, c’est-à-dire de tenir compte de l’état des anciens paquets pour appliquer les
règles de filtrage. De cette manière, à partir du moment où une machine autorisée lance une
connexion à une machine située de l’autre côté du pare-feu l’ensemble des paquets transi-
tant dans le cadre de cette connexion seront implicitement acceptés par le pare-feu.

42
 UE
COURS 4  Management des systèmes d’information 215

Si le filtrage dynamique est plus performant que le filtrage de paquets basique, il ne protège
pas pour autant de l’exploitation des failles applicatives liées aux vulnérabilités des applica-
tions. Or, ces vulnérabilités représentent la part la plus importante des risques en termes
de sécurité.

c. Filtrage applicatif
Le filtrage applicatif permet de filtrer les communications application par application.
Il opère donc au niveau 7 du modèle OSI ce qui suppose de facto une connaissance des
protocoles que chaque application utilise. Le filtrage applicatif permet, comme son nom
­l’indique, de filtrer les communications application par application. Il suppose donc une
bonne connaissance des applications présentes sur le réseau, et notamment de la manière
dont chacune structure ses données échangées.
Un firewall effectuant un filtrage applicatif est appelé généralement « passerelle applica-
tive » (ou proxy), car il sert de relais entre deux réseaux en s’interposant et en effectuant
une validation fine du contenu des paquets échangés. Un proxy représente donc un inter-
médiaire entre les machines du réseau interne et le réseau externe, subissant les attaques
à leur place. Il s’agit d’un dispositif performant, assurant une bonne protection du réseau,
pour peu qu’il soit correctement administré.
En contrepartie, une analyse fine des données applicatives requiert une grande puissance
de calcul et se traduit donc souvent par un ralentissement des communications, chaque
paquet devant être finement analysé. Par ailleurs, le proxy doit nécessairement être en
mesure d’interpréter une vaste gamme de protocoles et de connaître les failles afférentes
pour être efficace. Enfin, un tel système peut potentiellement comporter une vulnérabilité
dans la mesure où il interprète les requêtes qui transitent par son biais. Ainsi, il est recom-
mandé de dissocier le pare-feu du proxy, afin de limiter les risques de compromission.

d. Limites
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Bien sûr, un pare-feu n’offre pas une sécurité absolue. Il n’offre une réelle protection qu’à la
double condition sine qua non que l’intégralité des communications vers l’extérieur passe
systématiquement par lui et qu’il soit correctement configuré. Par ailleurs, il est possible
d’affaiblir significativement la politique de sécurité s’il est possible de connecter des péri-
phériques de stockage en provenance de l’extérieur sur des machines raccordées au réseau
interne ou encore des ordinateurs portables.
Afin de garantir un niveau de protection maximal, il est indispensable d’administrer correc-
tement un pare-feu et, notamment, de surveiller quotidiennement son fichier de journali-
sation d’activité afin d’être à même de détecter les tentatives d’intrusion dès qu’il y en a ainsi
que d’éventuelles anomalies. Par ailleurs, il est recommandé d’effectuer régulièrement une
veille de sécurité afin de modifier le paramétrage du pare-feu en fonction de la publication
d’alertes.
Il est évident que la mise en place d’un pare-feu doit s’intégrer dans une véritable politique
de sécurité appliquée à l’intégralité d’une organisation.

43
UE
215 Management des systèmes d’information COURS 4

III. La dématérialisation des architectures

client-serveur

A. virtualisation
Commençons par définir ce que l’on entend par le terme de virtualisation. Il s’agit de la
rupture physique, de la dématérialisation des liens physiques qui relient les différents
­composants d’un SI.
En informatique, deux mondes cohabitent en permanence et coopèrent, généralement mais
pas toujours, bien ensemble. Il s’agit du monde matériel et du monde logiciel. Le premier
fournir les équipements physiques alors que le second s’occupe des applications ainsi que
des données.
C’est pour s’affranchir au maximum des contraintes matérielles – le matériel étant rapide-
ment obsolète et loin d’être exempt de pannes – que la virtualisation a été développée. Dans
un système non virtualisé, lorsqu’une panne matérielle survient, rendant inopérable l’équi-
pement concerné, la couche logicielle n’est pas toujours migrable vers un autre équipement.
En effet, il n’est pas exceptionnel qu’il existe un très fort couplage entre le matériel et le
logiciel imposant alors de restaurer ledit matériel bien que dépassé.
On distingue la virtualisation distante, mise en œuvre au travers du cloud computing et la
virtualisation locale, mise en œuvre au travers d’une machine virtuelle. Dans ce dernier cas,
plusieurs systèmes d’exploitation, serveurs et applications fonctionnent simultanément sur
une même machine physique.
Outre cette dichotomie, distante et locale, on distingue également les situations de virtua-
lisation suivantes :

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
∙∙ virtualisation matérielle côté serveur : aussi connue sous le nom de virtualisation
complète ou d’hyperviseur, elle repose sur un SE léger dont le but est de représenter
une architecture réelle de façon que l’OS hébergé n’ait pas conscience du côté virtuel.
Cet hyperviseur peut héberger des machines virtuelles indépendantes et ayant des OS
différents. L’hyperviseur étant une couche légère, il n’y a qu’une faible surcharge, ce qui
permet une grande scalabilité des machines virtuelles ;
∙∙ virtualisation des processus : on passe par un logiciel permettant d’isoler l’exécution des
applications dans ce qui est appelé contextes, ou zones d’exécution. Cela permet d’isoler
dans un environnement virtuel l’exécution d’une application ;
∙∙ paravirtualisation : elle met en place un système optimisé pour la virtualisation et permet
aux moniteurs de machines virtuelles d’être plus simples ainsi qu’aux machines virtuelles
fonctionnant dessus d’atteindre un niveau de performance proche du matériel réel ;
∙∙ virtualisation totale : elle ne s’exécute pas sur un système modifié dédié à la virtualisation.
C’est simplement une brique de virtualisation s’ajoutant au système existant.

44
 UE
COURS 4  Management des systèmes d’information 215

Les avantages de la virtualisation sont nombreux. À titre indicatif, nous pouvons citer :
∙∙ vérification d’un SE : il est possible de tester le comportement d’un nouveau SE avant de
le déployer et ce, sans avoir à y dédier un poste informatique ;
∙∙ rapidité d’installation d’un serveur : il est possible d’installer et de mettre en œuvre un
nouveau serveur sans avoir à commander du matériel et devoir attendre qu’il soit livré ;
∙∙ rentabilité et économie : il est possible d’installer plusieurs machines virtuelles sur un
même poste. Aussi, on fait l’économie de plusieurs machines physiques tout en utilisant
de façon optimale les ressources disponibles sur le poste concerné ;
∙∙ surveillance centralisée : des solutions logicielles existent qui permettent de surveiller
simultanément tous les services de l’ensemble des machines virtuelles installées sur un
même poste ;
∙∙ retour en arrière : en cas d’une erreur fatale, recourir à l’annulation d’une machine
virtuelle offre la possibilité de revenir rapidement à la situation initiale lorsque les
modifications apportées à une machine virtuelle génèrent des dysfonctionnements ;
∙∙ virtualisation du poste de travail : un même utilisateur peut disposer simultanément sur
une unique machine de plusieurs environnements de travail. Ainsi, si besoin est, il est
possible de travailler simultanément sous Windows et sous Linux ;
∙∙ consolidation et rationalisation d’un parc de serveurs : il n’est plus obligatoire d’acquérir
plusieurs serveurs pour des applications qui s’exécutent sur différents SE ;
∙∙ rationalisation des coûts de maintenance : une même machine pouvant héberger
plusieurs serveurs, le nombre total de machines physiques est donc moindre et, moins il
y a de machines physiques, moins il y a de pannes ;
∙∙ portabilité des serveurs : une machine virtuelle peut être déplacée d’une machine
physique sur une autre lorsque, par exemple, plus de puissance et/ou de mémoire sont
nécessaires ;
∙∙ réduction de la consommation d’électricité : moins de machines physiques fonctionnent
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

et plus faible est la consommation d’électricité.

Mais, bien sûr, des inconvénients existent également. Parmi les principaux, citons :
∙∙le coût important : si l’on doit faire fonctionner convenablement une architecture
virtualisée avec de nombreuses machines virtuelles, l’investissement dans un serveur
physique bien dimensionné peut s’avérer onéreux ;
∙∙une panne généralisée : si le serveur physique connaît une défectuosité, toutes les
machines virtuelles sont également défectueuses et inutilisables ;
∙∙la vulnérabilité généralisée : si l’hyperviseur (plateforme de virtualisation permettant à
plusieurs SE de fonctionner sur une même machine) présente une faille de sécurité, la
totalité des machines virtuelles peuvent également être en danger. En augmentant les
couches logicielles, on augmente le périmètre d’attaque.
Fort de ces généralités sur la virtualisation, portons notre attention maintenant à la virtua-
lisation locale, au travers des machines virtuelles, puis à la virtualisation distante au travers
du cloud computing.

45
UE
215 Management des systèmes d’information COURS 4

B. machine virtuelle
L’hyperviseur met à disposition pour chaque machine virtuelle une architecture virtualisée
ainsi qu’un ou plusieurs réseaux réels. Par exemple, dans le cas de la virtualisation complète,
on utilise un SE hôte classique ainsi qu’un logiciel de virtualisation qui émule un matériel
virtuel. Les machines virtuelles installent des SE invités qui utilisent des pilotes pour gérer
le matériel virtuel.
On distingue plusieurs types d’hyperviseurs, selon qu’il s’agisse d’une virtualisation totale,
d’une virtualisation assistée par matériel, d’une paravirtualisation, d’une virtualisation de
processus…
Le rôle principal de l’hyperviseur est de dédier des ressources matérielles à chaque machine
virtuelle. Parmi ces ressources, nous pouvons citer :
∙∙ un nombre de processeurs ou de cœurs de processeur ;
∙∙ une quantité de mémoire RAM ;
∙∙ un disque dur virtuel ;
∙∙ un lecteur de CD/DVD ;
∙∙ une carte réseau virtuelle ;
∙∙ etc.
Dans une machine virtuelle, les données sont stockées sur un disque dur virtuel. Ce disque
dur se présente sous forme de fichier dans le système de fichiers de l’hôte : VHD chez
Microsoft, VDI chez Oracle, VMDK chez VMWare et OVF pour le format ouvert.
Les disques virtuels peuvent être statiques ou dynamiques. Dans le premier cas, si l’on crée,
par exemple, un disque virtuel de 50 Go, le fichier correspondant à ce disque virtuel fera
réellement 50 Go sur le système hôte. Avec un disque dynamique, le fichier de disque vir-
tuel se remplit au fur et à mesure qu’il est utilisé. Aussi, par exemple, un disque de 50 Go

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
dans lequel il n’y a pas de données ne pèsera, dans le système de fichiers hôte, que quelques
octets.
Les constructeurs de processeurs comme, par exemple Intel, ont intégré depuis plusieurs
années des fonctions de virtualisation directement dans l’architecture de leurs processeurs.
Cette technologie permet au processeur de faire fonctionner sur une même puce plusieurs
SE en parallèle. Les machines virtuelles peuvent utiliser le matériel directement, sans que
l’hyperviseur leur en donne l’autorisation. Les gains de performances sont très importants
avec un processeur gérant la virtualisation.

IV. La sécurité des échanges de données

dans les systèmes d’information
La garantie de l’intégrité et de l’inviolabilité des données conservées et échangées est essen-
tielle au développement d’une économie internationalisée fondée sur les TI. La confiance
indispensable au fonctionnement de l’entreprise étendue aux partenaires, aux clients et aux
prospects est indissociable de la garantie sans faille aucune d’une sécurité des données et

46
 UE
COURS 4  Management des systèmes d’information 215

des échanges. Ce sont là notamment les fondements inconditionnels d’une Supply Chain
parfaitement opérationnelle. Les données échangées entre les partenaires de la réalisation
ou de la conception d’un même produit sont non seulement confidentielles mais elles ne
doivent subir aucune altération. C’est un impératif. D’où l’importance d’établir un canal de
communication parfaitement sécurisé. Technologiquement parlant, toutes les solutions
pour répondre à cet enjeu existent. Toutes recourent au chiffrement des données c’est-à-
dire utilisent la cryptographie.
Avant d’aborder les principes de cryptographie, abordons les exigences de la sécurité des
données échangées. Pour garantir un niveau de sécurité acceptable des données, le SI
« sécurisé » se doit de garantir les trois impératifs suivants :
∙∙ confidentialité : lors d’un échange d’informations entre deux entités, celles-ci ne doivent
être lues exclusivement que par son (ou ses) destinataire(s) officiel(s) ;
∙∙ intégrité : lors de la réception d’un message, la garantie que le message reçu est bien celui
qui a été envoyé, qu’il n’a en aucune manière pu être modifié en cours de transfert, doit
être assurée ;
∙∙ authenticité : les interlocuteurs, émetteur et récepteur(s) doivent pouvoir être identifiés
sans qu’il puisse exister le moindre doute sur leur identité.
Il existe des solutions technologiques pour garantir des communications avec un niveau
de sécurité acceptable : le chiffrement des données, les certificats d’authenticité et les
signatures.
D’une façon générale, le chiffrement permet de protéger la confidentialité et l’intégrité des
données qui sont échangées, que ce soit des données métier ou des données d’authentifi-
cation, par exemple. Lorsque des systèmes communiquent entre eux, il est fréquent qu’ils
traversent une zone réseau de moindre confiance, ce qui renforce le besoin de protéger la
connexion réseau. On peut rencontrer, en particulier, les cas d’usages suivants :
∙∙ le besoin d’offrir un accès distant aux employés de l’entreprise lorsqu’ils sont connectés
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

de l’extérieur4 pour qu’ils utilisent le SI comme s’ils étaient en interne ;

∙∙ l’ouverture depuis l’extérieur de certains services de communication ou échange de
données ;
∙∙ la connexion de clients externes à une application Web, par exemple pour suivre des
commandes.
En fonction des cas d’usage, différentes solutions techniques se présentent pour chiffrer
une connexion et la protéger. On trouve, par exemple, les tunnels VPN IPsec, le chiffrement
SSL… mais, quoi qu’il en soit, toutes utilisent la cryptographie.

A. introduction à la cryptographie
Depuis les toutes premières civilisations, l’homme a senti le besoin de dissimuler certaines
données. La confidentialité en est la principale raison notamment lors de luttes tribales.

4. Par exemple, depuis un réseau WiFi public, depuis leur domicile…

47
UE
215 Management des systèmes d’information COURS 4

Au fil du temps, ce besoin n’a fait que s’amplifier pour des besoins militaires, puis diploma-
tiques et, enfin, financiers.
De nos jours, tous les secteurs, tant civils que militaires nécessitent cette sécurisation des
données principalement pour celles transitant via des réseaux informatiques ainsi que par
courriel ou résidant dans le Web.
Le milieu bancaire l’utilise massivement afin d’assurer la confidentialité de leurs opérations
avec leurs clients, les laboratoires de recherche s’en servent pour échanger des informations
entre eux lors de recherches communes, sans parler des milieux militaires et policiers pour
donner leurs ordres et échanger des informations stratégiques et/ou hautement confiden-
tielles. Bien d’autres secteurs professionnels recourent régulièrement à la cryptographie.
La cryptographie est une des nombreuses branches des mathématiques et se scinde en
deux branches : la cryptologie et la cryptanalyse. La première a pour vocation d’élaborer
des méthodes de plus en plus sécurisées permettant de transférer des données de façon
confidentielle alors que la seconde a pour vocation l’inverse, puis qu’elle cherche des
méthodes pour « casser » des codes existants, c’est-à-dire pouvoir passer outre les protec-
tions existantes.
La cryptographie a évolué selon deux axes au fil du temps :
∙∙ de l’Antiquité jusqu’à environ la fin de la Seconde Guerre mondiale, on parle de
cryptographie mécanique qui, comme son nom le laisse supposer, utilise des moyens
mécaniques pour chiffrer un message ;
∙∙ de la fin de la Seconde Guerre mondiale jusqu’à aujourd’hui, on trouve la cryptographie
mathématique. Comme son nom le laisse supposer, elle utilise les mathématiques pour
chiffrer un message ;
∙∙ depuis quelques années déjà, commence à émerger la cryptographie quantique dont les
bases reposent sur la physique quantique. Il est indiscutable que dans un avenir proche

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
elle remplacera la cryptographie mathématique.

Principe de la cryptographie

    

 
 

Deux cas doivent être distingués, selon que les deux clés K1 et K2 sont identiques ou non.
Le premier cas correspond à la cryptographie dite « symétrique » alors que le second corres-
pond à la cryptographie dite « asymétrique ».
Afin d’illustrer le principe de la cryptographie, présentons trois personnages, souvent nom-
més, par convention, Alice, Bob et Oscar. Les deux premiers sont les personnes souhaitant
s’échanger des données en toute confidentialité, tandis qu’Oscar est la personne cherchant à
prendre connaissance des données échangées, bien qu’il n’en soit aucunement destinataire.

48
 UE
COURS 4  Management des systèmes d’information 215

Supposons qu’Alice et Bob souhaitent communiquer ensemble de façon sécurisée, mais

qu’Oscar désire insidieusement prendre connaissance de ces échanges. Il va falloir à Alice et
Bob assurer quatre actions :
∙∙ la confidentialité : seul le destinataire d’un message doit pouvoir en prendre connaissance.
Par exemple, s’assurer qu’Oscar ne pourra jamais lire un des messages qu’Alice et Bob
s’expédient ;
∙∙ l’authentification : le destinataire d’un message doit avoir la certitude que celui-ci émane
bien de la source suppose. Par exemple, lorsque Bob reçoit un message normalement
expédié par Alice, c’est bien elle qui en est à l’origine ;
∙∙ l’intégrité : le destinataire d’un message doit avoir la certitude que le message qu’il lit
est intégralement celui qui lui a été adressé à l’origine et que d’aucune façon il n’a été
falsifié entre son expédition et sa réception. Par exemple, si Bob reçoit un message en
provenance d’Alice, il doit pouvoir avoir la certitude qu’Oscar n’a pas substitué son propre
message à celui envoyé par Alice ;
∙∙ la non-répudiation : l’expéditeur d’un message ne doit pas pouvoir nier qu’il est
effectivement à l’origine de ce message. Par exemple, si Bob reçoit un message en
provenance d’Alice, cette dernière ne doit pas pouvoir réfuter son envoi.
Pour assurer ces quatre actions, Alice et Bob recourront soit à la cryptographie symétrique,
soit à l’asymétrique. Dans le premier cas, comme la clé de cryptage est identique à celle
de décryptage, il est évident que celle-ci devra être échangée de façon sécurisée entre
Alice et Bob, car, si Oscar vient à en prendre connaissance, il lui sera alors aisé de décrypter
l’intégralité des messages échangés. Cet échange préliminaire de la clé commune par un
canal sécurisé est le principal point faible de ce type de cryptographie. Mais durant de nom-
breuses années, faute de mieux, on a recouru massivement à cette cryptographie, bien que,
par ailleurs, d’autres points faibles aient été mis en évidence.
Heureusement, en 1977, trois personnes – Ron Rivest, Adi Shamir et Léonard Adleman –
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

ont créé un algorithme de cryptographie très puissant, basé sur la factorisation de nombres
premiers et fonctionnant sur un autre principe que la cryptographie symétrique : le RSA5. À
l’opposé de la cryptographie symétrique, il recourt à deux clés différentes, la première pour
crypter et la seconde pour décrypter, supprimant ainsi la problématique de disposer d’un
canal sécurisé pour échanger la clé initialement. Le RSA a été breveté en 1983 par le MIT.
Ce brevet expira le 21 septembre 2000 et, depuis, RSA peut donc être utilisé librement.

B. infrastructure à clé publique

et certificat numérique
Oublions donc la cryptographie symétrique et portons notre attention sur la cryptographie
asymétrique. Pour pouvoir l’utiliser, Alice et Bob vont, chacun de leur côté, se générer un
couple de clés. Si les deux sont intimement liées, elles ne sont pas interchangeables pour
autant. L’une de ces deux clés se nomme « clé publique » et la seconde « clé privée ». Leurs
noms sont suffisamment évocateurs pour comprendre que la première est destinée à être

5. Nommé par les initiales de ses trois inventeurs.

49
UE
215 Management des systèmes d’information COURS 4

très largement communiquée à qui veut communiquer de façon sécurisée avec la personne
détentrice alors que la seconde, au contraire, a pour vocation de rester totalement secrète,
uniquement connue de la personne détentrice. Ainsi, Alice et Bob se génèrent chacun un
couple clé publique/clé privée et diffusent très largement leur clé publique. Comme il est
impossible de retrouver une clé privée à partir de la clé publique associée, il n’y a donc aucun
risque à diffuser cette dernière.

C. principe du chiffrement asymétrique

Supposons maintenant qu’Alice, qui connaît la clé publique de Bob, souhaite lui adresser un
message en toute confidentialité. Alice va coder son message avec la clé publique de Bob.
Comme une clé publique ne peut fonctionner qu’avec la clé privée qui lui a été associée lors
de leur création, seul Bob qui est en possession de sa clé privée sera en mesure de déchiffrer
le message crypté qu’il aura reçu de la part d’Alice.
Si, malheureusement, la clé privée de Bob venait à être piratée, il suffira à Bob de se géné-
rer un nouveau couple clé publique/clé privée, puis de diffuser largement sa nouvelle clé
publique en avertissant de ne plus recourir à la précédente. Nous avons donc là un moyen
efficace pour assurer l’échange d’informations en toute confidentialité. Mais, est-ce vrai-
ment efficace ?
Imaginons un cryptanalyste en herbe qui souhaite « casser » un tel codage et se procurer la
clé privée de telle personne. Il peut tenir le raisonnement suivant : « Ce message est chif-
fré avec l’algorithme AES-256, il y a 2256 clés possibles, testons-les toutes pour déchiffrer
le message. » Imaginons qu’il dispose d’une machine particulièrement puissante à même
d’effectuer 100 milliards de tentatives par seconde, il lui faudra alors 1058 secondes pour
tester toutes les clés. Ce temps de calcul nécessaire dépasse allègrement l’âge de l’univers !

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
La situation semble donc presque idyllique, mais, à y regarder de plus près, on s’aperçoit que
ce n’est pas le cas.

D. signature électronique
En effet, imaginons qu’Oscar parvienne, en cours d’acheminement, à subtiliser le message
qu’Alice a adressé à Bob pour le remplacer par son propre message. Comme Oscar connaît
également la clé publique de Bob, il n’aura aucune difficulté à le crypter comme l’avait fait
Alice avant d’expédier son message et Bob, à l’aide de sa clé privée, sera le seul à pouvoir
décrypter le message reçu, pensant qu’il émane d’Alice.
Il apparaît donc indispensable d’avoir un moyen permettant sans ambiguïté l’identification
de l’expéditeur d’un message. Tout comme dans la vie, la solution est de recourir à faire
signer son envoi par un expéditeur. Il s’agit ici simplement de la « signature électronique ».
L’objectif étant d’avoir la garantie qu’un message réceptionné émane bien de son prétendu
expéditeur, il est naturel que ce dernier utilise une donnée connue uniquement que de lui
seul. C’est avec sa clé privée qu’un expéditeur signera son message.

50
 UE
COURS 4  Management des systèmes d’information 215

Mais, la cryptographie asymétrique est très lente, environ 1 000 fois plus lente que la
cryptographie symétrique. Aussi, si crypter l’intégralité d’un message à protéger est indis-
pensable, il est inutile de perdre du temps à signer l’intégralité dudit message. Aussi, afin
d’optimiser les temps de traitements, on ne signe qu’un extrait aléatoire, une empreinte,
du message à signer. Ce résumé s’obtient en recourant à une fonction mathématique par-
ticulière dite « fonction de hachage » qui a comme propriété de compresser très significati-
vement un message qui lui est soumis et de ne jamais donner le même résumé pour deux
documents initiaux différents.
Imaginons qu’Alice souhaite envoyer un message à Bob. Outre le crypter, il va lui falloir le
signer. Détaillons le scénario correspondant à cette signature :
∙∙ tout d’abord, Alice génère le résumé du message à envoyer au moyen d’une fonction de
hachage ;
∙∙ puis, Alice crypte ce résumé à l’aide de sa clé privée ;
∙∙ elle obtient ainsi la signature de son message. Elle envoie donc à Bob le message crypté,
accompagné du résumé crypté ;
∙∙ à réception, Bob doit d’abord vérifier la validité du message reçu. Pour cela, Bob doit
commencer par déchiffrer le résumé reçu à l’aide de la clé publique d’Alice. Si cela s’avère
impossible, c’est la preuve le message reçu n’a pas été envoyé par Alice ;
∙∙ sinon, il décrypte le message reçu à l’aide de sa clé privée ;
∙∙ puis, Bob génère le résumé du message qu’il vient de décrypter, en utilisant bien sûr la
même fonction de hachage qu’Alice a utilisé ;
∙∙ Bob compare alors les deux résumés en sa possession ;
∙∙ s’il y a correspondance alors la signature est validée et Bob peut être certain que :
‒‒ c’est bien Alice qui lui a envoyé le message,
‒‒ ce message n’a pas été modifié depuis qu’Alice l’a signé ;
∙∙ sinon, cela signifie que :
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

‒‒ le message a été altéré depuis qu’Alice l’a signé,

‒‒ ce n’est donc pas ce message qu’Alice a signé.
Pour résumer :
∙∙l’émetteur chiffre le message qu’il souhaite envoyer avec la clé publique du destinataire
de façon que seul celui-ci puisse le déchiffrer avec sa clé privée ;
∙∙l’émetteur signe le message qu’il souhaite envoyé en cryptant le résumé dudit message
avec sa clé privée de façon que le destinataire puisse vérifier la signature du message avec
la clé publique de l’émetteur.
Donc, a priori, maintenant la situation semble sereine. Non seulement un message peut
être crypté afin d’en assurer sa confidentialité, mais il peut également être signé afin d’assu-
rer l’authentification de l’expéditeur. Malheureusement, il subsiste un problème. En effet,
lorsqu’Alice prend connaissance de la clé publique de Bob dans l’optique de communiquer de
façon sécurisée avec lui, elle n’a aucune garantie qu’il s’agisse bien de la clé publique de Bob.
Qui nous dit qu’Oscar n’a pas substitué la clé publique de Bob pour la remplacer par sa propre
clé publique et ainsi communiquer avec Alice en se faisant finalement passer pour Bob ?

51
UE
215 Management des systèmes d’information COURS 4

Il apparaît donc qu’il est indispensable d’avoir un mécanisme de certification garantissant

qu’une clé publique est bien la propriété de l’entité à qui elle est censée appartenir et non
celle d’un usurpateur.

E. certificats
Il existe des établissements à même d’assurer cette garantie d’appartenance. On les nomme
« tiers de confiance ». Ils délivrent, moyennant finance, un certificat d’authenticité associé à
une clé publique. Ce certificat garantit donc l’authenticité de l’identité du détenteur. Ces certi-
ficats sont normalisés conformément à la norme X500. Chaque certificat contient les coordon-
nées de son détenteur, la date de validité du certificat et la valeur de la clé publique associée.

F. protocole SSL
Depuis les débuts d’Internet, la sécurité des communications est un enjeu majeur pour les
utilisateurs comme pour les fournisseurs de services. Le chiffrement et l’authentification des
échanges, destinés à empêcher une personne malveillante d’intercepter les communications,
sont assurés par le protocole SSL/TLS6 qui fournit le Secure correspondant au S de HTTPS.
Ce protocole SSL a été conçu par l’entreprise Nescape. Il est fondé sur un chiffrement asymé-
trique et échange de certificats. Le protocole SSL garantit l’authenticité des correspondants,
l’intégrité et la confidentialité des échanges. Il s’agit donc d’une brique fondamentale du
commerce électronique. SSL a été rebaptisé TLS depuis qu’il a été repris par un organisme de
normalisation.

G. réseaux privés virtuels (RPV)

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Ils ont pour principal objectif de contribuer à la sécurisation des échanges de données via
une infrastructure publique. Afin de mieux appréhender cette technologie, commençons
par en détailler les concepts sous-jacents :
∙∙ réseau privé : les échanges sur ce réseau sont sécurisés afin que seules les entités
identifiées soient en mesure de communiquer entre elles et que la confidentialité ainsi
que l’intégrité des données échangées soient assurées ;
∙∙ réseau privé virtuel (RPV) : la mise en place de ce type de réseau ne s’appuie pas sur
une infrastructure physique dédiée, mais est réalisée par association de moyens logiques
dans une infrastructure existante.
La technologie des RPV s’appuie sur la possibilité d’émettre des données privées sur une
infrastructure publique et de les acheminer à destination en assurant de bout en bout leur
sécurité. À l’origine, Internet n’a pas été conçu pour de telles applications. Aussi, des méca-
nismes supplémentaires ont dû être mis en œuvre pour le déploiement de cette technologie.

6. SSL pour Secure Sockets Layer et TLS pour Transport Layer Security.

52
 UE
COURS 4  Management des systèmes d’information 215

La flexibilité des technologies des RPV en permet une utilisation dans différents contextes :
∙∙ les RPV site à site : cette technologie est utilisée pour connecter des sites distants entre
eux. Elle peut se substituer partiellement comme en totalité aux PVC (Permanent Virtual
Circuits) et SVC (Switched Virtual Circuits) et, éventuellement, aux lignes louées et déjà
exploitées par une organisation ;
∙∙ les RPV client à site : cette technologie permet aux postes nomades d’accéder aux
ressources d’un SI à tout moment et en tout point, simplement à condition de disposer
d’une connexion à Internet. Ce mode d’utilisation se généralise grâce notamment à
l’avènement des connexions haut débit qui se généralisent ;
∙∙ les RPV d’extranet : cette technologie permet aux partenaires commerciaux, sous-
traitants, fournisseurs… d’accéder de façon sécurisée et à distance, à tout ou partie des
ressources disponibles dans un SI. Il est également envisageable d’y recourir, par exemple,
pour des télémaintenances à distance dans le cadre d’un contrat de maintenance ;
∙∙ les RPV serveur à serveur : cette technologie est destinée à protéger les flux entre deux
serveurs sensibles utilisant un réseau n’offrant pas de garanties suffisantes de sécurité
compte tenu de la sensibilité des données échangées ;
∙∙ les RPV client à serveur : cette technologie permet de sécuriser des échanges sensibles
entre des utilisateurs finaux et un serveur. Ce type de configuration peut être utilisé,
par exemple, pour permettre à des responsables financiers ou des ressources humaines
d’une organisation d’accéder à des données confidentielles.
Comme toute technologie, les RPV présentent des avantages et des inconvénients. Les prin-
cipaux critères à prendre en compte lors du choix d’un RPV sont :
∙∙ le coût : l’unique prérequis pour mettre en œuvre un RPV est d’avoir une connexion à
Internet, si possible à haut débit. Le prix d’une telle connexion est devenu abordable
aussi bien pour une organisation internationale que pour une de petite taille notamment
avec le déploiement massif de la fibre optique. D’ailleurs, la majorité, pour ne pas dire la
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

totalité, des organisations a déjà une connexion à Internet. Aussi les RPV peuvent donc
être mis en œuvre via la connexion existante. Les seuls coûts supplémentaires sont ceux
du matériel ou du logiciel RPV et de sa mise en œuvre. L’économie réalisée par l’utilisation
de RPV est d’autant plus substantielle que le nombre de sites est élevé ;
∙∙ le temps de mis en œuvre : les RPV offrent l’avantage de ne pas dépendre d’une
infrastructure physique supplémentaire. Lorsque la connexion Internet est présente, le
temps de mise en œuvre d’un RPV est de l’ordre de quelques jours dans un environnement
standard et de quelques semaines dans un environnement complexe ;
∙∙ la flexibilité : la connexion Internet étant utilisée pour connecter les sites entre eux,
une organisation est libre de créer et de supprimer ses RPV avec toute entité connectée
à Internet, sans aucune restriction. Les RPV offrent donc une grande flexibilité dans
l’établissement et la coupure de connexions intersites en regard, notamment, de lignes
louées qui nécessitent la mise en place d’une ligne entre chaque couple de sites. Les PVC
et SVC sont à mi-chemin entre les lignes louées et les RPV. Seule une connexion par site
au réseau d’un fournisseur est nécessaire, les liens entre sites étant créés ensuite par le
fournisseur d’accès via des mécanismes de routage assurant la création de circuits virtuels ;

53
UE
215 Management des systèmes d’information COURS 4

∙∙les performances : les RPV ont un handicap concernant cet aspect. L’utilisation d’un
support public pour les échanges n’a pas en effet que des avantages. Le lien RPV étant
construit sur un support de communication dont on n’est pas l’unique propriétaire rend
impossible de garantir un temps de réponse entre deux sites connectés. La performance
d’un RPV est uniquement fonction de celle d’Internet entre ces deux sites à chaque
instant. Il faut noter cependant que l’amélioration technique permanente des réseaux
tend à faire disparaître cette problématique ;
∙∙ la disponibilité : les RPV ont l’avantage de disposer d’un haut niveau de disponibilité des
connexions, le nombre de chemins possibles entre deux sites sur Internet étant très élevé.
Aussi, si l’un d’entre eux n’est pas disponible, une connexion sera malgré tout possible.
De plus, les RPV permettent la configuration de réseaux entièrement maillés permettant
à chaque site de communiquer avec l’intégralité des autres membres du RPV ;
∙∙ la sécurité : la technologie des RPV est la plus sensible, car elle repose exclusivement
sur des infrastructures publiques pour créer des liens totalement privés. Pour cela,
les RPV reposent sur des techniques de chiffrements très résistants. Par ailleurs, la
génération de clefs est sous le contrôle de son propriétaire, assurant ainsi un haut niveau
de confidentialité. Si les lignes louées sont souvent considérées comme plus sûres, car
non mutualisées, la sécurité offerte est toute relative, uniquement fonction que de la
confiance accordée au fournisseur d’accès. En effet, les lignes sont situées chez lui et,
techniquement parlant, rien ne lui interdit d’écouter les trames qui y transitent.

V. Le plan de continuité d’activité (PCA)

La mise en place d’un PCA est un projet majeur et structurant pour une organisation. La
démarche ne peut aboutir que si elle est dotée d’une structure et de modalités de mise en
œuvre de type projet. Il faut un sponsor au niveau hiérarchique approprié, un chef de projet,
un comité de pilotage, des instances de reporting, un suivi régulier, des délégations d’auto-

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
rité, un planning suivi et réajusté en permanence, une méthodologie de gestion de projet,
des tableaux de bord, un plan d’assurance qualité…
Le projet ne peut aboutir que s’il est perçu et traité comme un enjeu majeur. Un projet sans
sponsor est un projet mort dans l’œuf. Autant que possible, le sponsor doit être au plus haut
niveau de la hiérarchie dans l’organisation.
Bien qu’il soit possible de mettre en place un PCA quel que soit le contexte d’une organisa-
tion, certains éléments facilitent la démarche. Ceux-ci reflètent une plus grande maturité
de l’organisation vis-à-vis de la problématique du management de la continuité d’activité :
∙∙ culture de la sécurité : qu’elle soit sécurité des SI ou des biens et personnes, les approches
sécurité traduisent un souci de protection et d’approches proactives bien alignées avec
les enjeux d’un PCA ;
∙∙ management des risques : on trouve dans les démarches d’analyse et de management
des risques un état d’esprit et des outils qui forment le socle des étapes initiales de la
mise en place d’un PCA ;
∙∙ habitude de la formalisation : une bonne gestion documentaire couplée à un degré de
formalisation adapté à la nature de l’organisation favorise grandement l’élaboration, la
diffusion et la mise à jour du système documentaire du PCA.

54
 UE
COURS 4  Management des systèmes d’information 215

La méthodologie se décompose en six phases.

Phase 1 – mieux connaître son activité

Il s’agit de l’étape décisive. Elle correspond à une phase de spécifications fonctionnelles qui
délimiteront le contour des solutions de continuité d’activité possibles.
Cette phase se décompose elle-même en trois sous-phases :
∙∙ scénarios de sinistres et cartographie correspondante ;
∙∙ bilan d’impact sur l’activité ;
∙∙ analyse des risques.
C’est dans cette phase que les erreurs d’aiguillages se traduiront dans les phases ultérieures
par des écarts significatifs.

Phase 2 – orienter la stratégie de continuité d’activité

On va prédéfinir les dispositifs, méthodes et moyens alternatifs qui permettront à l’organi-
sation de continuer son activité en cas de sinistre majeur.
Cette phase se décompose également elle-même en trois sous-phases :
∙∙ stratégie globale de continuité ;
∙∙ stratégie locale de continuité ;
∙∙ choix des solutions techniques de continuité.

Phase 3 – développer le plan de continuité d’activité

Les étapes constitutives, citées ci-après, représentent les grands thèmes que doit aborder le
plan de continuité d’activité.
Cette phase se décompose elle-même en quatre sous-phases :
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

∙∙ plan de gestion de crise (PGC) ;

∙∙ plan transverses (procédures d’urgence, guide de pilotage, procédures de relocalisation) ;
∙∙ plan de continuité métiers (PCM) ;
∙∙ plan de continuité du SI (PCSI).

Phase 4 – mettre en place les solutions fonctionnelles et techniques de continuité

Si cette phase comprend la mise en place de la solution technique de continuité du SI, elle
englobe également le secours de tous les composants techniques du PCA : équipement de
production, infrastructures utilisateurs, moyens de communication…
Cette phase se décompose elle-même en quatre sous-phases :
∙∙ mettre en place des infrastructures de continuité ;
∙∙ rédiger les procédures fonctionnelles de continuités (PFC) ;
∙∙ rédiger les procédures informatiques de continuité (PIC) ;
∙∙ tester des dispositifs fonctionnels et techniques de continuité.

55
UE
215 Management des systèmes d’information COURS 4

Phase 5 – déployer et maintenir en conditions opérationnelles

La mise en œuvre d’un projet de MCA est un changement culturel pour une organisation.
À ce titre, la conduite du changement est un processus long, car il vise à instaurer une nou-
velle culture, un nouveau rapport au risque et une nouvelle façon d’appréhender l’activité.
Cette phase se décompose elle-même en quatre sous-phases :
∙∙ sensibilisation, formation et communication ;
∙∙ maintenir en conditions opérationnelles ;
∙∙ tester le PCA ;
∙∙ contrôler le PCA.

Phase 6 – piloter le management de la continuité d’activité

Cette phase n’est pas une phase chronologique par rapport aux précédentes. Au contraire,
elle s’étend tout au long d’un projet de PCA et en continu, y compris avant même le démar-
rage du projet, à proprement parler.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

56
 UE
COURS 4  Management des systèmes d’information 215

p i t re
ha
c

3. L’audit informatique

Compétences attendues
Participer à l’élaboration de la documentation d’un audit SI (lancement,
plan de travail, note de synthèse, etc.).

La démarche d’audit est connue : réaliser l’examen approfondi d’un élément pour en valider
le contenu. Cet audit peut être réalisé par des services internes à l’entreprise, ou par des
cabinets extérieurs dans un cadre contractuel, ou dans un cadre légal, par le commissaire
aux comptes (CAC).
Ce dernier peut intervenir à deux titres :
∙∙ dans le cadre l’audit légal, pour la certification des comptes (voir chapitre 4 et 5) ;
∙∙ dans le cadre de missions, qui constituent des activités complémentaires, ce qui revêt un
caractère contractuel.
Lors de ces missions contractuelles, il peut être demandé au CAC ou à un expert-comptable
d’auditer des éléments ayant un lien de près ou de loin avec le SI et ses aspects informatiques.
La loi Pacte (2019), qui a modifié les seuils à partir desquels le recours à un CAC est obliga-
toire a également donné la possibilité à ces derniers de réaliser des missions contractuelles.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

On parle de services autres que la certification comptable. Certains de ces services sont
directement associés au numérique :
∙∙ appréciation de l’efficacité des dispositifs de cybersécurité ;
∙∙ appréciation de la conformité au règlement européen de protection des données (RGPD) ;
∙∙ audit des procédure d’ICO (émission de cryptomonnaies) ;
∙∙ audit de la blockchain ;
∙∙ étude de la maturité numérique de la firme.
Dans ce contexte, le CAC ou l’expert-comptable qui réaliseraient de telles missions, doivent
adopter les démarches inspirées des organismes d’audit faisant autorité sur les thématiques
liées à l’informatique et au SI. On établira la suite de ce cours sur les fondamentaux de la
certification CISA qui font autorité en la matière. Cette certification est mise en avant par
l’ISACA, qui est une association professionnelle internationale dont l’objectif est d’améliorer
la gouvernance des SI, notamment par l’amélioration des méthodes d’audit informatique.
L’ISACA est représenté en France par le biais de l’Association française de l’audit et du conseil
informatiques (AFAI)
Nous verrons le plan de la mission d’audit, puis les missions correspondantes.

57
UE
215 Management des systèmes d’information COURS 4

I. Le plan d’audit du SI
Lorsque l’on aborde plus concrètement l’audit du SI, on dispose d’un guide mondialement
reconnu, le guide CISA (Certified Information Systems Auditor). La démarche repose sur les
quatre phases suivantes :
∙∙ prendre en compte l’activité ;
∙∙ définir l’univers des SI ;
∙∙ procéder à une évaluation des risques ;
∙∙ formaliser le pan d’audit et le programme de la mission.

A. l’activité
Les SI sont d’abord et avant tout des supports pour rendre possible une activité. Tout au
long du cours, nous avons vu à quel point le lien entre SI et activité était fort. Il est donc
indispensable de prendre connaissance des spécificités de l’activité et des fonctionnalités
attendus par les directions métiers. Cela consiste à comprendre le métier de l’entreprise,
ses clients, ses approvisionnements, sa production, ses modalités de ventes, afin de mieux
envisager l’impact des SI sur ces pratiques. Selon les cas, le SI va s’avérer plus ou moins cri-
tique : le modèle de distribution traditionnel consistant à passer par des magasins physiques
et des revendeurs, nécessite l’utilisation d’une technologie pour gérer les opérations et la
comptabilité, par exemple sans nécessiter d’autres recours plus complexes. Les entreprises
qui vendent leurs produits sur Internet, qui sont beaucoup plus numérisées, dont le degré
informationnel est plus élevé sont bien plus dépendantes à la technologie, ce qui augmente
aussi le niveau de risque lié au SI.
Après avoir acquis une compréhension d’ensemble de l’activité, il est nécessaire de

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
­comprendre de façon plus détaillée le fonctionnement des processus opérationnels, ce
qui constitue la véritable activité de l’entreprise. Dans le cours 1, nous avons abordé l’étude
des processus et l’auditeur devra identifier les processus critiques dans l’atteinte des
­objectifs de l’organisation. Après avoir identifié ces processus critiques, le lien avec le SI
pourra être fait. En effet, ces processus prennent appui sur le SI et ses infrastructures, et
c’est ce que cherchera à repérer l’audit, en identifiant les bases de données, les technologies
de ­transfert, les réseaux, les éléments physiques, les SE sollicités.
Le travail de l’auditeur va ainsi se résumer à une démarche de cartographie ciblée et repo-
sant sur le degré de risque :
∙∙ repérage du processus métier ;
∙∙ repérage des applicatifs associés ;
∙∙ repérage des éléments d’infrastructure.
Son analyse doit préalablement identifier le risque.

58
 UE
COURS 4  Management des systèmes d’information 215

B. les risques
Un risque peut être compris comme un évènement pouvant porter atteinte des objectifs.
Comme nous l’avons vu lors du chapitre précédent dans le cadre de la sécurité du SI, un
risque est lié à la combinaison de trois dimensions fondamentales :
∙∙ l’évènement qui va constituer la menace pouvant entraîner des conséquences néfastes ;
∙∙ l’impact correspondant aux dommages causés ;
∙∙ la probabilité d’apparition de l’évènement, associée à la notion de fréquence.
Les guides d’audit proposent leur liste de catégories types, une nomenclature, constituant
des menaces, afin que l’auditeur puisse, à partir de ces listes, repérer les situations relatives
à l’organisation qu’il audite.
Le CISA utilise cette nomenclature :
∙∙ qualité du dispositif de contrôle interne : des précisions seront apportées au contrôle
interne dans le chapitre 5 ;
∙∙ changements dans l’unité d’audit ;
∙∙ disponibilité ;
∙∙ confidentialité ;
∙∙ intégrité ;
∙∙ impact financier.
Cette nomenclature est alors utilisée pour analyser chaque domaine, en distinguant à la fois
la fréquence sur une note de 1 à 3 et l’impact, selon les mêmes modalités.
Cette approche permet à l’auditeur d’attribuer un score final au risque étudié, ce qui lui per-
met ensuite d’orienter sa mission.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Exemple
Un score final de risque est évalué en additionnant toutes les composantes
potentielles du risque, jusqu’à 6 possibles, ce qui peut aboutir à un score allant
jusqu’à 54 (3 × 3, et ce sur 6 critères).
Le domaine de l’ERP et des contrôles généraux présente un score de risque
de 43, qui est le plus élevé des quatre domaines évoqués dans cette grille. Cela
en fait une priorité pour l’auditeur.

59
UE
215 Management des systèmes d’information COURS 4

Contrôles Applications
Systèmes
de l’application relatives aux
Probabilité/ de transfert Applications
Nature du risque ERP avantages
Impact électronique RH/Paie
et contrôles sociaux
de fonds
généraux (externalisées)
P 3 3 3 2
Impact financier
I 3 3 3 3
Qualité du dispositif P 3 3 3 2
de contrôle interne I 3 3 2 2
Changement P 2 2 3 3
dans l’unité d’audit I 2 3 2 3
P 2 2 2 3
Disponibilité
I 3 2 2 2
P 3 3 2 2
Intégrité
I 2 2 3 2
P 3 2 2 3
Confidentialité
I 3 2 3 3
Score 43 38 37 38

L’auditeur qui a identifié les domaines prioritaires pour exercer sa mission doit alors planifier
le contenu même de cette mission.

C. la planification de la mission
Soumis à la rareté de ses ressources et à la grande variété des risques, un auditeur devra
élaborer un plan d’audit efficient. Pour cela, l’organisation de la mission d’audit consiste,

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
en fonction de l’importance du risque, à planifier des vérifications, tests plus ou moins fré-
quents et à y consacrer plus ou moins de ressources.
Les auditeurs peuvent recourir à l’une des deux stratégies suivantes pour déterminer la fré-
quence idéale des activités d’audit planifiées :
∙∙ la fréquence des audits est déterminée d’après une évaluation initiale des risques, tous
les 3 à 5 ans, et elle est proportionnée au niveau de risque. Ainsi l’auditeur se fixe un plan
de travail qui prend en compte cette fréquence planifiée sur plusieurs années ;
∙∙ le plan d’audit s’appuie sur une évaluation des risques en continu, sans qu’une fréquence
des audits ne soit prédéfinie. Cette seconde solution correspond mieux aux spécificités
des SI qui changent souvent. Toutefois, il faudra se méfier dans ce second cas de ne pas
passer à côté de vérifications qui, à chaque évaluation du risque, seraient vues comme
secondaires, et qui finiraient par ne jamais être auditées, ce qui les rendrait plus risquées.

60
 UE
COURS 4  Management des systèmes d’information 215

Le guide CISA propose une aide pour identifier une fréquence appropriée. En fonction du
risque évalué, jugé élevé, modéré ou faible, il propose de se baser sur la grille suivante.

Priorité Fréquence Allocation de ressources

Action immédiate généralement Examens annuels ou actions
Élevé Allocation substantielle
dans la première année multiples durant le cycle d’audit
Une ou plusieurs missions
Action à moyen terme durant
Modéré d’audit durant le cycle d’audit Allocation de base
le cycle d’audit
peuvent être différées
Missions généralement non Au maximum une mission
Faible Allocation limitée
planifiées durant le cycle d’audit planifiée dans le cycle d’audit

II. Les missions

A. les missions générales

Dès lors que l’ensemble de ces préalables sont connus, il est possible d’auditer réellement
un SI, en adaptant l’analyse à des domaines précis. Nous verrons, dans les chapitres 4 et 5,
deux domaines plus spécifiques au commissariat aux comptes, l’audit des entreprises tenant
leur comptabilité sous une forme informatisée, et nous verrons dans le chapitre 6 le cas de la
blockchain. Les autres grands domaines susceptibles d’être audités sont nombreux.
On peut le constater, ces différentes thématiques sont abordées à un moment ou à un autre
du référentiel de cette épreuve.
Dans un premier temps, avant d’envisager des missions d’audit plus ciblées, une approche
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

générale s’impose, qui va concerner la compréhension de la stratégie informatique, puis de

la fonction SI.

∙
1. La stratégie informatique
L’importance du SI pour la bonne réalisation de l’activité n’est plus à démontrer. L’apport de
ce système doit être mesuré à la date présente, et l’adéquation peut être parfaite, mais éga-
lement pour les périodes futures. C’est là qu’une mauvaise appréhension de la stratégie par
les dirigeants peut s’évader néfaste pour l’organisation. Le guide de la Compagnie nationale
des commissaires aux comptes (CNCC) identifie ces trois risques. L’auditeur selon l’analyse
qu’il fait de la situation décrite peut alors identifier les incidences potentielles sur la fiabilité
du SI.

61
UE
215 Management des systèmes d’information COURS 4

Incidence sur la fiabilité du SI

Faible Modérée Élevée
Stratégie La stratégie informatique Les besoins utilisateurs sont La stratégie informatique
informatique existe (formalisée ou non). considérés dans la stratégie n’est pas formalisée. Absence
élaborée Les besoins utilisateurs sont informatique. de coordination
par les entités pris en priorité pour élaborer entre la stratégie informatique
opérationnelles la stratégie informatique. et la stratégie de l’entreprise.
La direction est sensibilisée La valeur de l’informatique La direction est consciente
à la valeur ajoutée et l’exposition aux risques de la valeur et des risques
de l’informatique. sont connues par de l’informatique alors que
Sensibilisation
la direction. En revanche, les entités opérationnelles
de la direction
cette connaissance par ne le sont pas.
les niveaux hiérarchiques
inférieurs est partielle.
Les besoins utilisateurs sont Les systèmes répondent La plupart des applications
satisfaits par les technologies globalement aux besoins. ne répondent pas aux besoins
Satisfaction
utilisées actuellement. Quelques systèmes sont des utilisateurs. Des travaux
des besoins
La satisfaction des utilisateurs difficiles à maintenir. supplémentaires sont
utilisateurs
est mesurée périodiquement. nécessaires pour combler
les manques du SI.

APPLICATION Nº1
Dans l’entreprise ALPHA, le nouveau DSI, fraîchement nommé, a de grandes ambitions pour
son organisation. Il a été nommé pour apporter du changement et il se fixe une mise en
œuvre la plus rapide possible pour démontrer à qui en douterait la pertinence de sa nomi-
nation. Le DSI s’est fixé prioritairement la mise en place d’un projet d’outil collaboratif, qu’il
avait déjà implémenté dans son précédent poste et qui avait été un succès manifeste. Ce
projet a servi de carte de visite lors de son embauche, puisque le succès, a servi d’argument

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
pour convaincre la direction générale de l’embaucher. Celle-ci lui laisse toute latitude pour
mener à bien ce projet qui repose sur une technologie qu’il maîtrise bien et pour laquelle il a
acquis une grande expérience, durant ses différents postes. De fait, le DSI se sent l’âme d’un
directeur de projet, à la fois MOA et MOE. Lorsque le projet de mise en place de son outil
collaboratif est finalisé, assez vite il se sent l’envie d’aller voir ailleurs. C’est un peu ce qui a
guidé ses trois dernières affectations.
L’analyse de cette situation doit reposer sur un esprit critique : sans voir le mal partout,
l’auditeur doit identifier ce qui dans le contexte proposé est susceptible d’engendrer des
risques, c’est-à-dire la non-atteinte des objectifs pour l’organisation.
∙∙ Le DSI, pour diverses raisons, va mettre en place un projet collaboratif.
Ce projet répondra-t-il à des besoins utilisateurs, dont manifestement on n’a pas fait la
priorité ?
∙∙ La direction laisse carte blanche au nouveau DSI.
Cela ne va-t-il pas se traduire par un manque de contrôle dont on sait que c’est une cause
majeure dans l’échec des projets ?

62
 UE
COURS 4  Management des systèmes d’information 215

∙∙LeNeDSI maîtrise parfaitement les aspects techniques de ce projet.

tombe-t-il pas dans la facilité en réalisant uniquement ce qu’il maîtrise sans se soucier
de ce dont son organisation a besoin ?
∙∙ Le DSI se sent l’âme d’un MOA et MOE et est susceptible de changer d’air quand son
projet est achevé.
N’est-ce pas la preuve passée que le projet avait été finalement un échec ? Ne devrait-il
pas aussi assurer l’exploitation de l’outil avec en particulier le suivi des évolutions ?
∙∙ Les précédents projets ont été des succès.
Peut-on le démontrer sur la base de critères pertinents, comme le véritable usage par
les personnes concernées et leur satisfaction ? La réussite d’un projet n’est pas liée à son
simple achèvement.

∙ 2. La fonction informatique
La place de la fonction informatique est également un indice majeur pour appréhender sur
la durée l’adéquation entre la bonne marche de l’entreprise et le SI. Nous avons abordé la
fonction SI lors du chapitre 2 du cours 2.
Le guide de la CNCC identifie les trois risques suivants :

Incidence sur la fiabilité du SI

Faible Modérée Élevée
• Fonctions gérées par • Fonction sécurité existant • Services partageant plusieurs
des services indépendants. partiellement. fonctions (notamment
• Fonction sécurité exercée • Définition peu claire les études et l’exploitation).
par un responsable dédié. des rôles et responsabilités. • Fonction sécurité non gérée.
• Organisation adaptée • Représentation non • Pas de représentation
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Organisation aux besoins. systématique de la fonction de la fonction informatique

informatique • Représentations informatique auprès auprès de la direction.
de la fonction informatique de la direction. • Rôles et responsabilités
auprès de la direction. non définis de manière
• Informations concernant claire.
la gestion de l’informatique
fournies à la direction.
• Séparation assurée à tous • Séparation assurée mais • Les mêmes personnes
les niveaux. aucun contrôle réalisé. ont la responsabilité
Séparation • Suivi de cette séparation. • Faible implication des études
des tâches • Implication des utilisateurs. des utilisateurs. et de l’exploitation.
• Aucune implication
des utilisateurs.
• Toutes les fonctions • Quelques fonctions • Fonctions sensibles
Externalisation(1) sont assurées sont partiellement externalisées.
par l’entreprise. externalisées. • Ressources internes réduites.
1. L’appréciation du risque entraîné par l’externalisation de la fonction informatique doit également porter sur l’analyse du contrat
qui lie l’entreprise à son prestataire, ainsi que sur la maîtrise par l’entreprise des prestations sous-traitées.

63
UE
215 Management des systèmes d’information COURS 4

Par ailleurs, la fonction informatique ou DSI, repose globalement sur la présence de person-
nel compétent. Deux domaines peuvent créer des risques :
∙∙ le niveau de compétence du personnel ;
∙∙ la charge de travail ;
∙∙ la rotation du personnel.

Incidence sur la fiabilité du SI

Faible Modérée Élevée
• Personnel qualifié et motivé • Personnel inégalement • Personnel inexpérimenté
à tous les niveaux qualifié et personnel et peu formé.
de la hiérarchie. Programme nouvellement embauché. Démotivation.
de formation défini Budget de formation défini.
Niveau en accord avec la stratégie
de compétences de l’entreprise pour
l’acquisition de nouvelles
compétences
et la conservation
du personnel.
• Ressources humaines • Ressources suffisantes • Déficit en ressources.
suffisantes pour couvrir pour les besoins actuels. • Pas de mesure des besoins.
les besoins actuels. • Estimation informelle Dépendance vis-à-vis
Charge de travail • Revue des ressources des futures charges des personnes clés.
réalisée périodiquement de travail. Heures Absence de budget
pour s’assurer supplémentaires. pour augmenter
de l’adéquation les ressources.
avec les besoins.
• Rotation limitée. • Rotation régulière. • Rotation fréquente
• Toutes les activités • Mesures mises en place afin du personnel. Difficultés
Niveau de rotation sont couvertes de remplacer les personnes pour retenir le personnel.
par des personnes clés dans des délais Difficultés à remplacer

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
expérimentées. raisonnables. les personnes clés.

∙ 3. Le poids des TI dans les processus d’affaires

Le guide de la CNCC identifie différents risques selon quatre domaines majeurs :
∙∙ le degré d’automatisation ;
∙∙ la complexité du SI ;
∙∙ la dépendance de l’activité envers les outils informatiques ;
∙∙ les situations d’indisponibilité.

64
 UE
COURS 4  Management des systèmes d’information 215

Incidence sur la fiabilité du SI

Faible Modérée Élevée
• Peu de traitements • Beaucoup de traitements • La majorité des tâches
automatisés. automatisés. de l’entreprise est
• Informatique utilisée • Utilisation de la bureautique. automatisée, fortement
Degré pour conserver dépendante
d’automatisation des informations de l’informatique.
historiques. Les traitements
différés sont lancés
manuellement.
• Systèmes simples • Mélange de systèmes temps • Systèmes temps réel
pour conserver réel et de traitements générant de nombreuses
des enregistrements différés. opérations
Complexité du SI
et fonctionnant • Générations de quelques automatiquement.
par des traitements différés. opérations • Utilisation de nouvelles
automatiquement. technologies.
• Utilisation limitée • Informations importantes • Informations hautement
de l’informatique – peu (données personnelles, sensibles et confidentielles
Sensibilité
d’informations sensibles détails des produits générées par le système.
de l’informatique
stockées dans les systèmes. et services) conservées • Nombreux contrôles
dans le SI. nécessaires.
• Informatique non nécessaire • Entreprise indépendante • Entreprise hautement
à l’activité de l’entreprise. de l’informatique. dépendante
• Possibilité de revenir • Traitements clés nécessaires de l’informatique. Des pertes
à une organisation pour maintenir les ressources importantes, pouvant mettre
Indisponibilité uniquement basée de l’entreprise après en péril la survie
sur le papier. une période d’interruption. de l’entreprise, pourraient
survenir en cas
d’indisponibilité supérieure
à quelques heures.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

B. les missions spécifiques

Dans le cadre d’une parution sur ce thème, la CNCC évoque les thèmes suivants :
∙∙mesure de l’ouverture informatique (cours 1) ;
∙∙conformité des systèmes comptables (chapitre 5) ;
∙∙conduite des projets SI (cours 2) ;
∙∙contrôle des accès (chapitre 4) ;
∙∙protection des données (chapitre 6) ;
∙∙cybercriminalité (chapitre 2) ;
∙∙plan de continuité d’activité (chapitre 2) ;
∙∙services externalisés (cours 3).

65
UE
215 Management des systèmes d’information COURS 4

Le CAC a pour mission principale la certification des comptes annuels. Celle-ci peut, en
outre, conduire à exercer les diligences directement liées suivantes :

Mission Objectifs/points de contrôles

Prise de connaissance du contrôle interne informatique sur les aspects de la sécurité
RGI (revue générale physique, logique et réglementaire.
informatique) Une cartographie permet par ailleurs de comprendre la circulation de l’information
au travers du système.
Approche de contrôle interne autour d’une interface comptable permettant d’apprécier
Validation d’interface si celle-ci est susceptible de contribuer à une image fidèle (exhaustivité et exactitude
de la comptabilisation).
Évaluation du contrôle interne mis en œuvre sur un cycle (ou processus)
Audit d’application
(c’est une partie de l’audit d’application).

C. les missions plus spécifiques

Mission Objectifs/points de contrôles

• Prise de connaissance et évaluation du CI informatique sur les aspects de la sécurité.
• Physique : les infrastructures serveurs, réseau, etc.
Audit de sécurité
• Logique : contrôle d’accès aux transactions, aux données et aux postes, protection
virale, sauvegarde, procédure d’exploitation.
• Réglementaire : validation de la démarche réglementaire mise en œuvre
sur les différents domaines concernés.
• Évaluation du contrôle interne.
Audit d’application • Qualité et coût de fonctionnement.
• Pérennité, maintenabilité.
• Qualité de la démarche.
• Respect du cadrage des étapes.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Audit de projet
• Qualité des livrables.
• Respect du planning et du budget.
• Pertinence des choix de matériel et de logiciel.
• Qualité des migrations de données et des formations des utilisateurs.
• Maîtrise du sujet CFCI par les acteurs concernés.
Audit de conformité
• Existence de méthodes ou de principes sur ce sujet.
fiscale
• Existence d’une piste d’audit au sein du SI.
• Archivage des traitements, paramétrages et données détaillées.
• Accès aux documentations et programmes sources.
• Organisation de la fonction étude.
• Qualité des démarches de conception, de maintenance et de documentation.
Audit des études • Outils et normes de programmation.
• Conditions et méthodes de test.
• Qualité du suivi et du reporting.
• Organisation de la fonction.
Audit de la production
• Qualité des démarches de mise en production et de documentation.
• Outils et normes.
• Organisation et contrôle de la planification et de l’exécution des travaux.
• Organisation de la fonction.
Audit des achats • Normes et procédures de travail.
• Liaisons comptables.

66
 UE
COURS 4  Management des systèmes d’information 215

III. Les normes et référentiels

Les normes et les référentiels constituent des recueils de bonnes pratiques. Les normes sont
universellement reconnues car elles d’organismes officiels, tandis que les référentiels n’ont
d’autre valeur que la confiance que les utilisateurs veulent bien leur conférer.
La différence entre norme et référentiel repose sur différents critères.

• Document établi par consensus et approuvé par un organisme de normalisation officiel.

• Fournit des règles, ou des caractéristiques, pour des activités ou leurs résultats.
Norme • Définit un niveau d’exigence optimal à atteindre.
• S’impose auprès du public en raison de son origine officielle.
• Référentiel de bonnes pratiques.
• Document établi et approuvé par une profession.
• Contient un ensemble de recommandations, une collection de bonnes pratiques
pour un domaine spécifique.
Référentiel
• Pas de niveau d’exigence optimal à atteindre.
• S’impose auprès d’un public par sa notoriété et sa reconnaissance.

Les trois facteurs déclencheurs à la mise en place d’un référentiel ou d’une norme sont les
suivants :
∙∙ amélioration de la qualité ;
∙∙ satisfaire à des obligations réglementaires ;
∙∙ réaliser un alignement stratégique.

A. le référentiel COBIT

∙ 1.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Vue d’ensemble
COBIT (pour Control Objectives for Information and related Technology, ou « objectifs de
contrôle de l’information et des technologies associées » en français) est un référentiel
de bonnes pratiques d’audit informatique et de gouvernance des SI d’origine américaine.
Ce référentiel est devenu progressivement incontournable et tient lieu aujourd’hui de
référence.
Le référentiel COBIT cherche à auditer la qualité des choix relatifs au SI. Cette notion de qua-
lité de choix est problématique : comment s’assurer que l’on prend une bonne décision ? Il
n’est pas possible de répondre scientifiquement à cette question, puisque les conséquences
d’une décision vont apparaître dans un avenir plus ou moins proche, qui peut, par ailleurs,
reposer sur un contexte qui pourrait avoir changé. S’il n’est pas possible d’avoir la certitude
qu’une décision est de qualité, il est quand même possible de vérifier que les conditions
garantissant la qualité d’une décision sont présentes. Ces conditions sont liées au respect
d’une méthode, la présence des informations et des ressources appropriées.

67
UE
215 Management des systèmes d’information COURS 4

Ces trois éléments fondamentaux se modélisent au travers du schéma suivant :

Critères d’information

ire

é
ité

rit
cia
al

cu
du
Qu

Sé
Fi
Domaine

Données
Installations
Systèmes d’application
Technologie
Processus informatiques

Processus

Personnel
Activité

iq s
at rce
s
ue
rm u
fo so
in Res

COBIT définit des objectifs concernant la gestion des informations que doit contenir et four-
nir un SI performant.
Les critères sont les suivants :
∙∙ efficacité : la mesure par laquelle l’information contribue au résultat des processus métier
par rapport aux objectifs fixés ;
∙∙ efficience : la mesure par laquelle l’information contribue au résultat des processus
métier au meilleur coût ;

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
∙∙ confidentialité : la mesure par laquelle l’information est protégée des accès non autorisés ;
∙∙ intégrité : la mesure par laquelle l’information correspond à la réalité de la situation ;
∙∙ disponibilité : la mesure par laquelle l’information est disponible pour les destinataires
en temps voulu ;
∙∙ conformité : la mesure par laquelle les processus sont en conformité avec les lois, les
règlements et les contrats ;
∙∙ fiabilité : la mesure par laquelle l’information de pilotage est pertinente.
En tant que référentiel de la gouvernance des SI, le périmètre de COBIT dépasse celui dévolu
à la DSI pour englober toutes les parties prenantes des SI dans l’entreprise (stakeholders, voir
cours 1). Ainsi, selon COBIT :

« La gouvernance des systèmes d’information est de la responsabilité des

dirigeants et du conseil d’administration, elle est constituée des structures
et processus de commandement et de fonctionnement qui conduisent
l’informatique de l’entreprise à soutenir les stratégies et les objectifs de
l’entreprise, et à lui permettre de les élargir. »
68
 UE
COURS 4  Management des systèmes d’information 215

Actionnaires
Dirigeants
et créanciers
1 2

Entreprise
5 3 Clients
ou organisation
Référentiel COBIT®5
Directions métiers 6 4 Parties intéressées

7
Direction des systèmes
d’information

Afin de répondre à la volonté d’exercer une bonne gouvernance des SI, COBIT s’intéresse à
cinq axes fondamentaux.
∙∙ Axe 1 : l’alignement stratégique (voir cours 1)
Les activités informatiques prennent de plus en plus d’importance dans le fonctionnement
des métiers de l’entreprise. Il est donc indispensable que la réponse de l’informatique
soit celle attendue par les métiers. Par alignement stratégique, il faut donc entendre la
capacité du SI à fournir les services souhaités en temps et en heure avec le niveau de
qualité requis.

∙∙Axe 2 : l’apport de valeur

Cet apport consiste à mettre en œuvre la proposition de valeur ajoutée tout au long de la
fourniture du service, à s’assurer que l’informatique apporte bien les bénéfices attendus
sur le plan stratégique, à s’attacher à optimiser les coûts et à prouver la valeur intrinsèque
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

des SI.

∙∙Axe 3 : la gestion des ressources

Elle consiste à optimiser l’investissement dans les ressources informatiques vitales et à
bien les gérer : applications, informations, infrastructures et personnes. Les questions
clés concernent l’optimisation des connaissances et de l’infrastructure.

∙∙Axe 4 : la gestion des risques

Cette gestion exige une conscience des risques de la part des cadres supérieurs, une
vision claire de l’appétence de l’entreprise pour le risque, une bonne connaissance des
exigences de conformité, de la transparence à propos des risques significatifs encourus
par l’entreprise et l’attribution des responsabilités dans la gestion des risques au sein de
l’entreprise.

∙∙Axe 5 : la mesure de la performance (voir cours 3)

Cette mesure consiste en un suivi et une surveillance de la mise en œuvre de la stratégie,
de l’aboutissement des projets, de l’utilisation des ressources, de la performance des
processus et de la fourniture des services, en utilisant, par exemple, des tableaux de
bord équilibrés qui traduisent la stratégie en actions orientées vers le succès d’objectifs
mesurables autrement que par la comptabilité conventionnelle. L’alignement stratégique

69
UE
215 Management des systèmes d’information COURS 4

consiste à s’assurer que les plans informatiques restent alignés sur les plans des métiers, à
définir, tenir à jour et valider les propositions de valeur ajoutée de l’informatique, à aligner
le fonctionnement de l’informatique sur le fonctionnement de l’entreprise. Dans le cas de
notre direction marketing, cela signifie que le projet de mise à disposition de commande
en ligne doit être identifié et priorisé dès la réflexion amont par la direction marketing, ceci
afin d’être dans les temps au moment de l’annonce du produit au marché. L’alignement
stratégique se matérialise par un plan stratégique qui devra traiter des budgets
d’investissements et de fonctionnement, des sources de financement, des stratégies de
fourniture et d’achats tout en intégrant les exigences légales et réglementaires.
Comme tous les référentiels, COBIT consiste en un recensement de situations types pour les-
quelles les enjeux sont identifiés, et pour lesquels des conseils d’organisation sont proposés.
L’approche COBIT version 5 distingue cinq domaines, qui permettent de décrire 37 ­processus.
Pour chacun de ces processus, COBIT définit les objectifs ci-après (on reconnaîtra de nom-
breux objectifs que nous avons pu aborder à un moment ou à un autre des différents sup-
ports de cours) :
∙∙ amélioration de la gestion des performances et des coûts ;
∙∙ amélioration du retour sur les investissements informatiques majeurs ;
∙∙ réduction des délais de mise sur le marché ;
∙∙ amélioration de la gestion de la qualité, de l’innovation et des risques ;
∙∙ prospection de nouveaux clients et satisfaction de la clientèle existante ;
∙∙ amélioration de la disponibilité de la bande passante, de la puissance de traitement et
des mécanismes de fournitures de services informatiques ;
∙∙ exigences et attentes du client par les processus dans le respect des délais et des coûts ;
∙∙ respect des lois, des règlements, des standards professionnels et des engagements
contractuels ;
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
transparence dans la prise de risque et respect du cadre convenu de profil de risque de
l’entreprise ;
∙∙ tests comparatifs appliqués à la maturité de la gouvernance des traitements d’information ;
∙∙ création de nouveaux canaux de distribution de services.
Les cinq domaines identifiés dans ce référentiel sont les suivants :
∙∙ Domaine 1 : Évaluer, diriger, surveiller
∙∙ Domaine 2 : Aligner, planifier organiser
∙∙ Domaine 3 : Bâtir, acquérir et implanter
∙∙ Domaine 4 : Livrer, servir et soutenir
∙∙ Domaine 5 : Surveiller, évaluer et mesurer
Le lecteur reconnaîtra qu’au travers de ces cinq domaines, on retrouve les trois dimensions
fondamentales associées à un SI : le RUN, le BUILD et la VISION, tels que les distingue le
Cigref (Club informatique des grandes entreprises françaises) (voir chapitre 1 du cours 2).
Ces cinq domaines sont sous-divisés en processus, au nombre total de 37. La liste de ces pro-
cessus n’a d’autre intérêt que de mieux comprendre les éléments couverts par le référentiel
COBIT, ce n’est en aucun cas un attendu pour l’examen.

70
 UE
COURS 4  Management des systèmes d’information 215

Liste des processus COBIT

Domaine 1 : évaluer, diriger et surveiller
EDS01 : Assurer la définition et l’entretien d’un référentiel de gouvernance
EDS02 : Assurer la livraison des bénéfices
EDS03 : Assurer l’optimisation
EDS05 : Assurer aux parties prenantes la transparence
Domaine 2 : aligner, planifier et organiser
APO01 : Gérer le cadre de gestion des TI
APO02 : Gérer la stratégie
APO03 : Gérer l’architecture d’entreprise
APO04 : Gérer l’innovation
APO05 : Gérer le portefeuille
APO06 : Gérer le budget et les coûts
APO07 : Gérer les ressources humaines
APO08 : Gérer les relations
APO09 : Gérer les accords de service
APO10 : Gérer les fournisseurs
APO11 : Gérer la qualité
APO12 : Gérer le risque
APO13 : Gérer la sécurité
Domaine 3 : bâtir, acquérir et implanter
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

BAI01 : Gérer les programmes et les projets

BAI02 : Gérer la définition des exigences
BAI03 : Gérer l’identification et la conception des solutions
BAI04 : Gérer la disponibilité et la capacité
BAI05 : Gérer le changement organisationnel
BAI06 : Gérer les changements
BAI07 : Gérer l’acceptation du changement et de la transition
BAI08 : Gérer la connaissance
BAI09 : Gérer les actifs
BAI10 : Gérer la configuration
Domaine 4 : livrer, servir et soutenir
LSS01 : Gérer les opérations
LSS02 : Gérer les demandes de service et les incidents
LSS03 : Gérer les problèmes
LSS04 : Gérer la continuité

71
UE
215 Management des systèmes d’information COURS 4

LSS05 : Gérer les services de sécurité

LSS06 : Gérer les contrôles des processus d’affaires
LSS07 : Gérer les services de sécurité
Domaine 5 : surveiller, évaluer et mesurer
SEM01 : Surveiller, évaluer et mesurer la performance et la conformité
SEM02 : Surveiller, évaluer et mesurer le système de contrôle interne
SEM03 : Surveiller, évaluer et mesurer la conformité aux exigences externes

Pour chacun de ces processus, le référentiel COBIT va proposer :

∙∙un descriptif type du processus, qui permet d’en comprendre les tâches clés ;
∙∙les ressources utilisées ;
∙∙les acteurs de l’organisation à impliquer, selon le principe d’une matrice RACI, c’est-à-dire
en distinguant les personnes chargées de l’exécution, celles qui autorisent, celles qui
contrôlent et celles qui informent.

focus
La matrice RACI (extrait guide COBIT version 5)
La matrice RACI consiste à distinguer les interventions des différents acteurs d’une organi-
sation sur la base de quatre types possibles :
∙∙ R (Responsible) : exécute
Le rôle d’exécution désigne les collaborateurs qui ont en charge la réalisation de la tâche
ou l’activité. En quelque sorte, c’est le rôle de la maîtrise d’œuvre. Ce niveau fait réfé-
rence aux rôles qui portent sur les enjeux opérationnels, la réalisation de l’activité réper-
toriée et la création du résultat attendu.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
∙∙ A (Accountable) : responsable
Il s’agit d’un rôle important puisqu’il concerne les collaborateurs qui sont les respon-
sables de la définition de la tâche ou de l’activité. En quelque sorte, c’est le rôle de la maî-
trise d’ouvrage. Les collaborateurs ont comme responsabilité globale de définir le contenu
de la tâche à accomplir (où s’arrête le financement ?). Il peut exister plusieurs niveaux de
responsabilité qui sont repris dans un workflow des activités. Il y a, bien sûr, des niveaux
plus élevés qui sont responsables. Pour permettre l’autonomisation de l’entreprise, la
responsabilité est répartie autant que possible entre les responsables. La responsabilité
n’indique pas que le rôle n’a aucune activité opérationnelle, c’est très probablement que
le rôle s’implique dans la tâche. En principe, la responsabilité ne peut pas être partagée.
∙∙ C (Consulted) : consulté
Les collaborateurs de ce rôle seront consultés avec une évolution ou un changement en
entrée. Ces rôles clés seront chargés d’évaluer et de fournir des informations. À noter
que c’est le rôle du responsable qui consulte pour obtenir des informations d’autres uni-
tés ou de partenaires externes. Cependant, les différentes actions des entrées des rôles
attribués doivent être prises en compte et, si nécessaire, des mesures appropriées défi-
nies pour l’escalade, y compris le propriétaire du processus et/ou le comité de pilotage.

72
 UE
COURS 4  Management des systèmes d’information 215

∙∙ I (Informed) : informé
Les collaborateurs de ce rôle ou les parties intéressées sont ceux qui sont informés des
changements ou auprès desquels les informations circulent. Par exemple, ceux-ci seront
informés lors des réalisations et/ou livrables sur les activités ou les tâches réalisées.

∙ 2. Illustration : audit d’un processus

Le référentiel COBIT étant une référence majeure, nous allons détailler l’étude d’un pro­
cessus selon cette approche afin de bien comprendre les rouages de ce référentiel.
Nous nous intéresserons au processus APO13 : gérer la sécurité.
Ce processus est rattaché au « Management ».
Description :
Définir, mettre en œuvre et surveiller un système de gestion de la sécurité de l’information.
Ce processus est décomposé en trois activités :
∙∙ établir et maintenir un SMSI (Security Management System Information) ;
∙∙ définir et gérer un plan de traitement des risques liés à la sécurité de l’information ;
∙∙ surveiller et adapter le SMSI.
Objectifs généraux : conserver les éléments d’impact et la fréquence des incidents de
sécurité de l’information dans les niveaux d’appétence aux risques de l’entreprise.
Le cœur de la démarche COBIT peut alors se matérialiser : le processus est mis en relation
avec les objectifs informatiques, pour lesquels des métriques constituant des indicateurs de
tableau de bord sont proposées (voir chapitre 1 du cours 3).
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Objectifs liés au SI Métriques

Conformité informatique • Coût de la non-conformité informatique, y compris les règlements
et soutien de la conformité et les pénalités et impact de la perte de réputation.
des entreprises aux lois • Nombre de problèmes de non-conformité liés à l’IT signalés.
et règlements externes • Nombre de problèmes de non-conformité liés aux accords contractuels
avec des fournisseurs de services informatiques.
Gestion des risques liés aux IT • Pourcentage des processus métiers critiques, des services informatiques
et des programmes métiers ayant fait l’objet d’une analyse des risques.
• Nombre d’incidents informatiques importants non identifiés
dans l’évaluation des risques.
• Fréquence de mise à jour des profils de risque.
Transparence des coûts, • Pourcentage d’analyse de rentabilisation présentant des coûts
avantages et risques et avantages informatiques formellement définis et approuvés.
informatiques • Pourcentage des applications informatiques ayant des coûts clairement définis.
• Enquête de satisfaction des utilisateurs sur le niveau de satisfaction
en matière de transparence et de compréhension.
Disponibilité d’informations • Niveau de satisfaction des utilisateurs envers la qualité et la disponibilité
fiables et utiles d’informations.
pour la prise de décision • Nombre d’incidents liés aux processus métiers dus à la non-disponibilité
des informations.
• Ratio et incidence des décisions commerciales erronées ou l’information
erronée ou indisponible était un facteur clé.

73
UE
215 Management des systèmes d’information COURS 4

Dans un second temps, le référentiel COBIT identifie des objectifs plus ciblés, propose des
indicateurs de pilotage et les métriques correspondantes.

Objectifs spécifiques Métriques

Un système est en place • Nombre de rôles de sécurité importants clairement définis.
qui prend en compte et traite • Nombre d’incidents liés à la sécurité.
efficacement les exigences
de sécurité de l’information
Un plan de sécurité a été établi, • Niveau de satisfaction des parties prenantes vis-à-vis du plan de sécurité
accepté et communiqué dans toute l’entreprise.
dans toute l’entreprise. • Nombre de solutions de sécurité qui se sont écartées du plan.
• Nombre de solutions de sécurité s’écartant de l’architecture de l’entreprise.
Les solutions de sécurité • Nombre de services en cohérence qui sont alignés avec le plan de sécurité.
de l’information sont mises • Nombre d’incidents de sécurité causés par le non-respect du plan de sécurité.
en œuvre et exploitées • Nombre de solutions conformes et développées qui sont alignées
de manière cohérente sur le plan de sécurité.
dans toute l’entreprise.

COBIT met en relation les activités indiquées d’autres référentiels ou normes, s’ils sont
liés. Dans notre exemple, le processus APO13 n’est pas associable à un autre référentiel ou
norme, mais le processus précédent est, lui, mis en relation avec les normes ISO 9001.

B. le référentiel ITIL
ITIL (Information Technology Infrastructure Library – Bibliothèque de l’infrastructure des
technologies de l’information) est une série de documents portant sur la gestion des services
liés aux TI, dont la totalité constitue un référentiel de meilleures pratiques (best practices).

∙ 1. Historique d’ITIL
ITIL est née en Angleterre à la fin des années 1980, à la suite de la politique de market tes-
ting – mise en concurrence systématique des prestations internes, notamment informa-
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
tiques, avec l’offre du marché – imposée par le gouvernement Thatcher aux administrations
et entreprises publiques britanniques.
Ce référentiel a été élaboré par des groupes de travail réunissant des responsables opéra-
tionnels, des experts indépendants, des consultants spécialisés et des formateurs, sous
l’égide de la Central Computer & Telecommunications Agency (CCTA), agence gouvernemen-
tale anglaise chargée d’améliorer l’efficacité et la qualité des services informatiques centraux
des ministères, devenue depuis l’Office Government of Commerce (OGC).
ITIL a connu un essor rapide en Angleterre, a été adoptée par plusieurs départements
ministériels et par de grandes entreprises publiques et privées aux Pays-Bas et a poursuivi
son développement dans de nombreux pays à travers le monde, devenant ainsi un stan-
dard de facto, sous l’impulsion de l’ITSMF (IT Service Management Forum, association des
utilisateurs d’ITIL). Ce développement est aujourd’hui assuré conjointement par l’OGC,
l’ITSMF, l’ISEB (Information Systems Examination Board, anglais) et l’EXIN (Examination

74
 UE
COURS 4  Management des systèmes d’information 215

Institute, hollandais). Ces deux derniers étant des organismes publics ayant pour principales
responsabilités :
∙∙ la définition de programmes de certification pour les professionnels ;
∙∙ l’accréditation des organismes de formation habilités à délivrer des certifications ITIL.
On retrouve ainsi les trois niveaux :
∙∙l’organisme qui fixe les normes ;
∙∙l’organisme (différent du précédent) qui est accrédité pour délivrer une certification ;
∙∙le professionnel certifié qui opère en respectant les normes.

∙ 2. Objectifs d’ITIL
La raison d’être d’ITIL est de constituer un référentiel des meilleures pratiques pour la
gestion des services fournis par les TI. Les professionnels de l’informatique peuvent ainsi
trouver une aide particulièrement intéressante pour aborder cette gestion des services. En
particulier, les directions informatiques trouveront avec ITIL une approche pour atteindre
leurs objectifs de qualité et de maîtrise des coûts puisqu’ITIL a pour objectif la définition de
la manière efficace et rentable de fournir, par les TI, des services aux métiers de l’entreprise.
La mise en place d’un projet ITIL passe par la création d’une base de données unique des
configurations (CMDB – Configuration Management Data Base) qui sera le socle commun à
tous les processus de production. Cet inventaire débouche sur la rédaction de contrats de
services (SLA – Service Level Agreement), un plan d’assurance qualité et un système de factu-
ration (voir le cours 3).
Pour répondre à cette adéquation entre le métier de l’entreprise et les services fournis par
les TI, on peut retenir cinq idées importantes qui inspirent les concepteurs d’ITIL :
∙∙ l’orientation client : l’utilisateur-client est positionné au centre des préoccupations de
la direction informatique et toutes les activités de l’informatique doivent s’inscrire dans
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

une relation client-fournisseur ;

∙∙ les services s’appréhendent à travers un cycle de vie : la gestion des services, pour être
efficace, doit être prise en considération en amont des projets informatiques, dès les
phases d’étude et de conception ;
∙∙ l’approche par les processus : la qualité de service repose sur un modèle d’activités
se déclinant dans la mise en place de processus informatiques appropriés, en étroite
corrélation avec les processus métiers ;
∙∙ la qualité de service : la qualité de service est basée, et perçue par les utilisateurs, sur
l’efficacité de la réponse face à la demande. Elle nécessite un dialogue permanent avec le
client afin de prendre en compte les évolutions de ses besoins ;
∙∙ la communication : ITIL définit un langage commun aux utilisateurs et aux membres
des services informatiques. Ce langage définit les termes utilisés dans les rapports et
contrats de service (SLA) ; ainsi, chacun parle le même langage (utilisateurs et services
informatiques).

75
UE
215 Management des systèmes d’information COURS 4

∙ 3. Domaines couverts par ITIL

ITIL définit un service lié aux TI comme un ensemble de fonctions assurées par un SI pour
répondre aux besoins d’un utilisateur dans la réalisation de ses activités propres à son
métier ; un service s’appuie en général sur plusieurs éléments :
∙∙ matériels ;
∙∙ logiciels ;
∙∙ documentation.
Le tout constituant l’infrastructure informatique.
ITIL se présente sous la forme d’un ensemble de livres, chacun couvrant un aspect particulier
de la gestion des services liés aux TI. Tout comme dans le cadre du référentiel COBIT, la suite du
descriptif n’a d’autre intérêt que de percevoir l’étendue des éléments couverts par ce référen-
tiel, mais on n’attendra pas du candidat des connaissances précises sur le contenu. Si besoin
était, un sujet mentionnerait les éléments techniques préalables à la résolution de questions.

a. Domaines généraux
➠➠ Business Perspective
Le Business Perspective est consacré aux questions d’organisation et de structure (organi-
sation de la production, relations entre les différentes fonctions, rôles et responsabilités,
relations avec les fournisseurs et prestataires externes).
Principes et besoins des organisations métier et communication avec le service informatique :
∙∙ plans de continuité métiers (Business Continuity Management) ;
∙∙ externalisations et partenariats (Surviving Change) ;
∙∙ transformation des pratiques métiers au travers de changements radicaux (Transformation
of Business Practice through radical change).

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
L’approche de la fourniture des services informatiques selon la perspective métier est basée
sur les besoins de l’entreprise. Cette approche permet d’assurer la fourniture des services au
plus près de la demande.
L’objectif de cette approche est l’alignement de l’informatique avec les besoins de l’entreprise.

➠➠ Application Management
L’Application Management est consacrée à la gestion des relations entre études et exploita-
tion (support logiciel, mise en production).
La gestion des applications permet de gérer le cycle de développement d’une application :
∙∙ définition des besoins, demandes ;
∙∙ conception ;
∙∙ développement, fabrication ;
∙∙ déploiement ;
∙∙ mise en production ;
∙∙ mise au point, optimisation.
On reconnaît ici les phases étudiées dans le cours 2 dans le cadre de la gestion de projet.

76
 UE
COURS 4  Management des systèmes d’information 215

➠➠ Infrastructure Management
L’ICT Infrastructure Management est consacré au cycle de vie de l’infrastructure et aux opéra-
tions associées (automatisation, maintenance, installation), et à la gestion des composants
techniques de l’infrastructure informatique :
∙∙ gestion des réseaux (Network Service Management) ;
∙∙ gestion des opérations (Operations Management) ;
∙∙ gestion des serveurs distants ;
∙∙ installation et validation des serveurs ;
∙∙ gestion des systèmes.

➠➠ Security Management
Le Security Management est consacré à la mise en place et au pilotage de la sécurité informa-
tique de manière générale.
La gestion de la sécurité informatique est le processus permettant de gérer un niveau défini
de sécurité des services informatiques, de l’infrastructure et de l’information qui y transite.
La gestion de la sécurité concerne l’ensemble des processus de la gestion des services.
Cet aspect est particulièrement important en France, car le dirigeant de l’entreprise est
pénalement responsable des problèmes de sécurité de l’entreprise.

➠➠ Planning to Implement
Le Planning to Implement Service Management est consacré à la mise en place d’une
« approche service » au sein de la DSI.
Ce module concerne le projet d’implantation et d’amélioration de processus ITIL dans une
entreprise.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Elle est composée de six étapes :

∙∙ définition des objectifs ;
∙∙ évaluation de la situation actuelle de l’organisation informatique (audit, benchmarking,
etc.), niveau de maturité ;
∙∙ définition des rôles et caractéristiques de la nouvelle organisation ;
∙∙ élaboration du plan du projet d’implantation ou d’amélioration ;
∙∙ évaluation des progrès ;
∙∙ évaluation des améliorations à apporter, puis retour à la première étape.

b. Domaines clés
Les domaines pour lesquels ITIL se révèle particulièrement instructif et utile pour une orga-
nisation concernent la fourniture des services et le soutien de ces services. Ce sont des
domaines pour lesquels des certifications distinctes sont établies.

77
UE
215 Management des systèmes d’information COURS 4

➠➠ Service Delivery
Le Service Delivery concerne la planification et l’amélioration, à long terme, de la fourniture
de services liés aux TI et comprend cinq disciplines :

La gestion des niveaux de service (Service Level Management)

La gestion des niveaux de service permet de valider les besoins et les exigences des clients
(SLR : Service Level Requirement). Le maintien et l’amélioration de la qualité des services
seront assurés par des accords (contractuels) de niveaux de service (SLA).

La gestion de la capacité (Capacity Management)

La gestion de la capacité est le processus permettant d’assurer que l’infrastructure du SI est
en mesure de répondre aux besoins de l’entreprise.
Les capacités de l’infrastructure du SI sont :
∙∙ les performances des traitements ;
∙∙ les volumes de stockage ;
∙∙ le débit des liens de communication.

La gestion de la disponibilité (Availability Management)

Ce processus doit assurer un niveau de disponibilité compatible avec les contrats de service
(SLA).
Pour atteindre cet objectif, il est indispensable de déterminer précisément les besoins métier
et les fonctions vitales de l’entreprise (identifiés dans le SLA). À chacun de ces besoins doit
correspondre une réponse technique et organisationnelle.

La gestion de la continuité des services aux TI (IT Continuity Management)

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Ce processus doit permettre d’assurer un niveau de service « convenu » en cas d’événement
grave.
La gestion de la continuité de service s’appuie sur des mesures d’analyses de risques, la mise
en place de systèmes redondants, un plan de sauvegarde, plan de reprise d’activité (PRA), etc.

La gestion financière des services aux TI (Financial Management for IT Services)

La gestion financière des services remplit les rôles suivants :
∙∙ elle établit les budgets annuels de fonctionnement et d’investissement ;
∙∙ elle suit et contrôle les dépenses des services ;
∙∙ elle aide à concevoir une stratégie d’investissement ;
∙∙ elle prend des décisions en fonction des investissements passés et de leurs conséquences
sur le SI.

78
 UE
COURS 4  Management des systèmes d’information 215

➠➠ Service Support
Il se concentre globalement sur les opérations au jour le jour et le support aux services liés
aux TI. Il comprend une fonction et cinq disciplines :

Le centre de services (Service Desk)

Le rôle du centre de service est de prendre en charge les incidents qui surviennent au sein du
SI afin d’en assurer un traitement rapide et de rétablir le service le plus rapidement possible.
Le centre de services est le déclencheur de changements sur le SLA.

La gestion des configurations (Configuration Management)

La gestion des configurations est un processus de documentation indispensable, son but est
de fournir une représentation la plus fidèle possible du SI en identifiant les versions de tous
les composants de l’infrastructure (Configuration Item ou CI).
Ce processus sert à constituer la base de données des configurations (Configuration
Management Database : CMDB). Cette CMDB doit au moins contenir les informations
suivantes :
∙∙ fournisseur ;
∙∙ coût ;
∙∙ date d’achat ;
∙∙ date de renouvellement de licence et de maintenance ;
∙∙ historique du CI : versions, incidents, problèmes et changements.
La constitution d’une bibliothèque logicielle de versions définitives (Definitive Software
Library : DSL) permet de stocker les versions définitives et validées de tous les composants
logiciels du SI.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

La gestion des incidents (Incident Management)

Un incident est un événement ne faisant pas partie du fonctionnement normal d’un service
ou d’un équipement et qui cause, ou peut causer, une interruption de service.
Le but principal de la gestion des incidents est de rétablir le fonctionnement normal du ser-
vice et d’en minimiser l’impact pour l’entreprise.
La gestion des incidents traite les conséquences et non les causes.

La gestion des problèmes (Problem Management)

L’objectif de la gestion des problèmes est de minimiser les conséquences des dysfonction­
nements du SI en identifiant les causes afin d’éviter qu’ils ne se reproduisent.
La gestion des incidents agit pour résoudre au plus vite ou trouver un palliatif. La gestion des
problèmes doit identifier les causes des dysfonctionnements et proposer les changements
éventuels qui permettent de les corriger.
La gestion des problèmes permet de trouver des solutions aux problèmes issus d’incidents
signalés au centre de service.

79
UE
215 Management des systèmes d’information COURS 4

La gestion des changements (Change Management)

Les SI sont soumis à des événements extérieurs et intérieurs. Les événements intérieurs
peuvent être issus d’incidents, de problèmes ou d’évolutions du SI. Les événements exté-
rieurs peuvent être des évolutions réglementaires, légales ou simplement des évolutions du
marché.
L’objectif de la gestion des changements est de maintenir un niveau de fonctionnement du
SI conforme aux engagements de niveau de service (SLA).
Le but est d’éviter une régression à la suite de la mise en place de changements.

La gestion des mises en production (Release Management)

La gestion de la mise en production permet de s’assurer que seules les versions autorisées
et testées des logiciels et matériels sont mises en production. Ce processus permet aussi
de s’assurer que tous les aspects d’une mise en production, aussi bien techniques que non
techniques sont pris en considération, et permet également la traçabilité des changements.
Ce processus intervient après la gestion des changements et la gestion des configurations.
L’indéniable succès d’ITIL, en progression constante depuis plusieurs années auprès des
entreprises et des organismes publics, en Europe, aux États-Unis et en Orient, s’explique par
plusieurs raisons :
∙∙ ITIL permet aux entreprises de tirer profit d’une expérience pratique de bientôt 20 ans
sur la gestion des services informatiques, et de gagner du temps en évitant de réinventer
la roue et en utilisant des éléments déjà testés et éprouvés (processus, règles de gestion,
descriptions de postes, etc.) ;
∙∙ ITIL offre les avantages d’une méthode publique, standard de facto dans certains pays
avec plus de 10 000 livres vendus chaque année, des groupes d’utilisateurs très actifs et
à l’écoute des DSI ;

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
∙∙ le marché se développe autour d’ITIL (formation, conseil, progiciels) permettant aux
professionnels du domaine de disposer de repères et de formalisme au-delà des frontières
de leurs propres organisations.

80
 UE
COURS 4  Management des systèmes d’information 215

p i t re
ha
c

4. L’audit assisté par ordinateur

Compétences attendues
∙∙ Identifier les étapes, les outils et les modalités d’audit et de conseils
assistés.
∙∙ Présenter les principes, risques et enjeux de l’intégration des données.
∙∙ Accompagner une démarche de visualisation, d’articulation, d’analyse et
de contrôle de différents types de données.
∙∙ Choisir et utiliser un progiciel d’aide aux missions d’audit, de commissariat
aux comptes, de révision et de conseil.

Dans le cadre de ses missions d’audit, le CAC va utiliser de nombreux outils pour réaliser sa
mission. C’est à ce titre que nous parlerons d’audit assisté par ordinateur.
Dans un premier temps, nous verrons les outils d’analyse des données, puis, dans un deu-
xième temps, les fonctionnalités des logiciels d’aide à la révision et à l’audit.
La démarche d’audit des données constitue une phase majeure de tout audit des SI. Il s’agit
des vérifications fondamentales permettant de garantir la fiabilité des données maniées par
le SI.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Avec des volumes de données toujours plus élevés, une approche par simple sondage peut
se révéler inadaptée. Au contraire, avec une volumétrie des données en hausse, il est néces-
saire d’utiliser des outils différents et de mettre en œuvre une démarche appropriée.

« L’analyse de données est l’action de mettre en relation de l’information

pour en faire ressortir des tendances, vraisemblances ou anomalies. »

I. Le préalable à l’audit des données

A. les formats de fichier

∙ 1. La notion de fichier
L’analyse des données va reposer sur l’utilisation de fichiers préalablement constitués.

81
UE
215 Management des systèmes d’information COURS 4

Définition
Un fichier est un ensemble d’informations stockées sur différents supports
et dont la méthode de stockage implique un format.

Définition
Un format est une méthode régissant l’enregistrement des informations
dans un fichier et est directement lié au logiciel qui l’a créé.

Définition
L’extension est un raccourci permettant au SE (en général Windows) de
lancer automatiquement le fichier avec le bon logiciel, ex. : *.xlsx.

Les fichiers mobilisables par l’auditeur sont très variés :

∙∙ fichiers des écritures comptables ;
∙∙ fichiers détaillés des immobilisations et de leurs caractéristiques ;
∙∙ fichiers d’états des stocks ;
∙∙ fichiers des fournisseurs ;
∙∙ fichiers des clients ;
∙∙ fichiers du personnel ;
∙∙ fichiers bancaires.
Il est également possible d’utiliser des fichiers externes en open data, afin de valider certains
fichiers permanents de l’entreprise. Parmi les fichiers open data disponibles, on peut citer
les exemples suivants :

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
∙∙ Bases SIREN sur les numéros d’identification des sociétés :
[Link]
etablissements-siren-siret/

∙∙Base nationale des adresses postales :

[Link]

∙∙Répertoire national des associations :

[Link]

∙∙Base officielle des codes postaux :

[Link]

∙∙Les données des greffes des tribunaux de commerce :

[Link]

82
 UE
COURS 4  Management des systèmes d’information 215

∙ 2. Les principaux formats

Les principaux formats susceptibles d’être maniés par l’auditeur sont définis ci-après.

a. Excel
Avant Excel 2003 (extension : xls)
Après Excel 2003 (extension : xlsx)
Les fichiers Excel vont être utilisés pour effectuer de nombreux tests, d’autant plus que ce
logiciel intègre des modules supplémentaires spécifiques à l’analyse des données (Power BI,
ODD-IT). Il reste l’interface privilégiée pour mener des analyses plus ou moins complexes.

b. PDF
Format propriétaire d’Adobe, le Portable Document Format devra être modifié par des logi-
ciels appropriés, puisque ce format est, en principe, non modifiable.

c. Texte
Il constitue le format essentiel pour de nombreux transferts de fichiers, en particulier entre
des logiciels très hétérogènes. Les possibilités de stockage des données présentent des
variétés assez nombreuses.

➠➠ Fichier texte délimité (extension : .csv)

Dans des fichiers de ce format, l’information est séparée par un caractère de référence
(ex. : « ; »), elle est de longueur variable et chaque ligne se termine par un retour chariot.
Les séparateurs déterminent les champs et les retours chariots déterminent les
enregistrements.
Par défaut, un tel fichier s’ouvre sur Excel.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

➠➠ Fichier plat à longueur fixe

L’information se répète à l’identique sur chaque ligne et est de longueur fixe. Chaque ligne
se termine par un retour chariot. C’est la position des colonnes qui détermine les champs et
les retours chariots qui déterminent les enregistrements.

83
UE
215 Management des systèmes d’information COURS 4

➠➠ Fichier continu
L’information se répète à l’identique tous les n caractères, elle est de longueur fixe et les
lignes ne se terminent pas par un retour chariot. Le nombre de caractères détermine les
champs, tandis que le nombre de caractères global détermine les enregistrements.

∙ 3. Le fichier des écritures comptables (FEC)

Le fichier des écritures comptables doit être remis en cas de contrôle fiscal. Il peut être
constitué sous forme :
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
de fichiers à plat, à organisation séquentielle et structure zonée, remplissant les critères
définis au VI de l’article A 47 A-1 du LPF ;
∙∙ ou bien de fichiers structurés, codés en XML.
Quelle que soit la forme choisie, le respect des normes prévues par les textes est essentiel.

Contenu du FEC
Le fichier doit comprendre les 18 informations suivantes :
1. Code journal de l’écriture comptable
2. Libellé journal de l’écriture comptable
3. Numéro sur une séquence continue de l’écriture comptable
4. Date de comptabilisation de l’écriture comptable
5. Numéro de compte
6. Libellé de compte
7. Numéro de compte auxiliaire (à blanc si non utilisé)
8. Libellé de compte auxiliaire (à blanc si non utilisé)
9. Référence de la pièce justificative

84
 UE
COURS 4  Management des systèmes d’information 215

10. Date de la pièce justificative

11. Libellé de l’écriture comptable (identification littérale du motif de l’écriture comptable)
12. Montant au débit
13. Montant au crédit
14. Lettrage de l’écriture comptable (à blanc si non utilisé)
15. Date de lettrage (à blanc si non utilisé)
16. Date de validation de l’écriture comptable
17. Montant en devise (à blanc si non utilisé)
18. Identifiant de la devise (à blanc si non utilisé)

Les principaux éditeurs de logiciels de comptabilité ont intégré à leurs produits un module
générant le FEC, pour que l’utilisateur n’ait pas à se préoccuper de la correspondance entre
les champs figurant dans les écritures comptables et ceux requis par les textes. Mais, là
encore, en pratique, cette génération ne se fait pas sans difficulté. Il s’agit de trouver, dans
les tables des bases de données des logiciels comptables ou des ERP, les champs dont le
contenu correspond aux 18 à 22 champs requis. Or, les tables des ERP comportent de nom-
breux champs, avec des dénominations parfois très proches, de sorte qu’il est difficile d’iden-
tifier celui à retenir pour remplir le champ requis pour le FEC. En outre, les PGI utilisent
fréquemment les informations de plusieurs tables pour constituer le livre journal.
Parmi les causes d’hétérogénéité, citons les habitudes de saisie des données, les utilisateurs
procédant parfois à de véritables « détournements » de champ, en leur conférant un usage
et une signification non prévus lors de la mise en place de l’ERP. Un champ peut, en outre,
ne pas être utilisé de façon constante dans le temps. Par ailleurs, les paramétrages propres à
chaque entreprise, qui génèrent des écritures automatiques, peuvent évoluer dans le temps,
sans que les responsables comptables ou fiscaux en soient toujours conscients.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Le processus de constitution du FEC

Recherche des champs
4. Respect des règles dans les tables
1. Mapping
de codification utilisation constante des champs
pour les saisies

Constitution du FEC

Fichier unique ou non

reprise des écritures 3. Respect des règles Accès aux données
2. Extraction
détaillées traitement de structuration tests de volumétrie
des écritures d’à-nouveaux

Le recours à Excel est une possibilité offerte pour réaliser le basculement d’un fichier FEC
vers les référentiels du logiciel comptable.

85
UE
215 Management des systèmes d’information COURS 4

B. les outils utilisables

Il existe deux séries de logiciels utilisables pour l’analyse et l’audit des données :
∙∙ les logiciels qui recourent à Excel comme base de travail préalable ;
∙∙ les logiciels autonomes.
La CNCC a effectué un travail comparatif sur les principaux logiciels disponibles sur le
marché :

Active
Logiciels/Critères ODD-IT Onward IDEA ACL Arbutus
Data
Support Excel Autonome
Investissement financier Faible Élevé
Investissement humain Faible Élevé
Grand livre
Orientation Grand livre Tout fichier Tout fichier
+
Possibilités techniques Moyenne Moyenne + Élevée

L’apport de ces logiciels n’est pas identique selon les critères d’analyse :
∙∙ l’intégration des données concerne la plus ou moins grande facilité à manier des données
de formats divers ;
∙∙ l’intangibilité des données est la garantie que les données sources ne sont pas altérées
lors du processus d’audit ;
∙∙ la trace NEP 230 correspond à la possibilité de créer des documentations permettant
d’étayer les analyses menées par l’auditeur ;
∙∙ les scripts correspondent à des petits programmes qu’il est possible ou non de créer
afin d’automatiser certaines démarches. Sur Excel, le VBA fournit une possibilité très

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
intéressante de créer des scripts, tandis que les possibilités sont directement incluses
dans les logiciels spécialisés.
La CNCC propose un tableau comparatif des différents logiciels qui met en avant les critères
précédemment évoqués :

Active
Logiciels/Critères ODD-IT Onward IDEA ACL Arbutus
Data
Intégration des données + + + ++ ++ ++
Intangibilité des données – – ++ ++ ++ ++
Trace NEP 230 + + ++ ++ ++ ++
Scripts + + + ++ ++ ++

Pour illustration, voici des retours d’expériences d’entreprises ayant recouru à l’une ou
l’autre de ces solutions.

86
 UE
COURS 4  Management des systèmes d’information 215

Retour d’expérience sur ODD-IT d’un auditeur des SI

Nous avons acheté une licence ODD-IT il y a deux mois. […] Il est maintenant partie
intégrante de nos programmes de travail. Nous soumettons les données informatiques
obtenues des entités auditées (journaux comptables, états de stocks, fichiers de paye…)
à différentes batteries de tests.
Dès les premières utilisations, nous avons relevé des anomalies potentielles dans les
données testées ; anomalies que nous n’aurions pas décelées sans outil d’analyse :
• fichiers de paye : doublons de RIB, numéros de sécurité sociale non conformes ;
• journaux d’achat et de vente : détection d’inversions HT/TVA, taux de TVA non
conformes.
La plupart des anomalies ont trouvé une explication logique, pour les autres cas, il s’est
agi d’erreurs de saisie.
ODD-IT permet de détecter des erreurs ou anomalies par rapport à des règles de contrôle
interne, d’accroître la panoplie d’outils de l’auditeur et la taille des échantillons sondés
(voire de pratiquer le full audit), de documenter les travaux sur l’approche du risque de
fraude, de justifier la bonne application des NEP (imprévisibilité des contrôles, échan-
tillonnage statistique…) tout en apportant la valeur ajoutée attendue par nos clients.
Pour conclure, notre expérience de cet outil est très positive, son utilisation très simple
(intégré à Excel), il est aisé à maîtriser, les résultats des tests apparaissent instantané-
ment. Nous apprécions la rapidité des traitements qui nous permettent d’effectuer des
tests plus variés et d’accroître le niveau de valeur ajoutée de nos missions d’audit.
[Le coût est raisonnable : 150 € par an.]
source : Benoît Rivière, [Link], 4 mars 2012.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Retour d’expérience sur IDEA par le responsable audit interne d’Air liquide

Pourquoi avez-vous décidé de vous lancer dans la Data Analytics ?

Dès 2015, Air Liquide a souhaité renforcer son approche d’analyse de données au sein de
l’audit interne afin de réaliser des audits pertinents face à des volumes de données de
plus en plus importants. Cette démarche s’inscrit également dans le programme d’entre-
prise NEOS (2016-2020), dont l’un des piliers est l’excellence opérationnelle. Celle-ci
repose, entre autres, sur l’utilisation de nouveaux outils digitaux.
De façon à apporter une vision plus impactante et plus concrète à nos constats, nous
souhaitions faire évoluer notre approche qui reposait sur des échantillons vers des ana-
lyses de données sur une base exhaustive.
Initialement, nous avons fait le choix de ne pas avoir de spécialistes(s) dédié(s) à l’ana-
lyse de données au sein du département d’audit interne, comme des « Data Scientists »,
mais de mettre cet outil à disposition de l’ensemble de nos auditeurs. Ce sont eux qui
ont une bonne compréhension des processus et qui peuvent ainsi choisir les analyses
les plus pertinentes à réaliser pour les besoins de chaque mission et interpréter les

87
UE
215 Management des systèmes d’information COURS 4

données. Cette démarche s’inscrivait aussi parfaitement dans la volonté de développer

les compétences des auditeurs internes aux nouveaux enjeux numériques.
Comme point de départ, nous avons formé une équipe de « champions » sur l’outil IDEA,
qui ont utilisé l’outil sur des missions « pilote ».
Comment utilisez-vous l’analyse de données dans vos audits ?
Actuellement, nous utilisons l’analyse de données essentiellement dans la phase terrain
pour réaliser nos tests. L’objectif est d’anticiper cette analyse dès la phase de préparation
pour mieux identifier les problématiques en amont, et être plus efficace lors de la phase
terrain. Ceci repose sur un prérequis de disponibilités des données, ce qui est plus ou
moins complexe selon les cas, car nous avons plusieurs SI différents au sein du groupe.
Ainsi, pour les ERP les plus répandus dans notre groupe, nous avons développé différents
moyens (logiciel de connexion Smart Exporter avec SAP ou utilisation de tables de don-
nées Oracle) pour récupérer les données par nous-mêmes en nous affranchissant des
opérationnels ou des services informatiques.

Pourquoi avez-vous sélectionné IDEA ?

Nous avons opté pour IDEA, car l’outil est très intuitif. Nos auditeurs sont généralistes.
Nous avions donc besoin d’un outil simple à utiliser et disponible pour l’ensemble de
nos auditeurs.
Nous avons également été agréablement surpris par la rapidité d’exécution pour nos
différents tests/contrôles.
Nous avons enfin été séduits par IDEA, car il permet facilement de rapprocher des don-
nées issues de systèmes différents (ex. : fichier ressources humaines et fichier note de
frais). En outre, l’outil permet en « quelques clics » de nettoyer des données.

En quoi IDEA a impacté votre département/vos équipes ?

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
IDEA a permis d’améliorer l’efficacité sur les audits en chiffrant des informations perti-
nentes pour le management. Cette approche change donc complètement le regard du
management sur les auditeurs qui sont en mesure de détecter rapidement des dévia-
tions et de comprendre les causes racines tout en fixant des priorités.
Autrement dit IDEA permet de réaliser des analyses de données avec plus de valeur
ajoutée.

Quelles sont les fonctions que vous utilisez le plus à travers IDEA ?
Nous avons apprécié principalement 3 fonctions :
A. La jointure qui permet de rapprocher des bases de données provenant d’environ­
nements différents.
B. La fonction de stratification, notamment par rapport à des seuils d’approbation.
C. La balance âgée qui permet, par exemple, de regrouper très rapidement les créances
clients en fonction de leur échéance.
En conclusion, IDEA a permis de développer nos compétences en matière d’analyse de
données, dans le cadre de la transformation numérique de notre approche. Nos équipes
d’audit sont aujourd’hui devenues plus autonomes sur ce sujet.

88
 UE
COURS 4  Management des systèmes d’information 215

IDEA est devenu un standard pour tous nos auditeurs et fait partie du parcours d’inté-
gration d’un nouvel auditeur recruté.
source : Entretien avec Florian Lampson, 23 décembre 2019 :
[Link]

II. Le traitement des données

A. les traitements attendus

De nombreux logiciels sont disponibles pour traiter les données. Les traitements à propre-
ment parler se révèlent relativement universels. Ils doivent permettre :
∙∙de trier ;
∙∙de filtrer ;
∙∙d’extraire ;
∙∙de joindre ;
∙∙de fusionner ;
∙∙de compter ;
∙∙de totaliser ;
∙∙de stratifier.
Excel permet de réaliser la plupart de ces fonctionnalités et constitue donc l’outil de base de
l’auditeur. Cet outil est possiblement enrichi par les modules que nous avons évoqués et qui
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

pallient les limites d’Excel. Les actions les plus fondamentales se résument aux cas suivants :

Fusionner
A B C A B C

Fusionner
A B C

89
UE
215 Management des systèmes d’information COURS 4

Joindre
A B C C D E

Joindre
B C D

Totaliser
A B
1
3 A B Nb
5 Totaliser
11 4
2
10 3
1
4 1
7
2
4

B. les logiciels facilitateurs d’audit

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
De nombreux outils logiciels plus ou moins spécifiques sont à disposition des auditeurs pour
faciliter leurs interventions.

∙ 1. Gestion électronique des documents

Bien que non spécifique aux audits des SI, la gestion électronique de documents peut se
révéler très utile. Ces solutions permettent une gestion centralisée et l’archivage des papiers
de travail, l’automatisation des processus d’audit, le suivi des versions, de la clôture de ses-
sion électronique, etc. Plusieurs fournisseurs sur le marché proposent ce type d’outils. Il est
important d’étudier les fonctionnalités de ces outils. Par exemple, peut-il traiter plusieurs
audits simultanément ? Il convient de définir, avant même la mise en place de n’importe
quel outil, les impératifs fonctionnels de l’audit. Mais le contenu de l’outil lui-même est
peut-être plus important encore. Intègre-t-il des suggestions pour les procédures d’audit ou
les activités de contrôle ? Les responsables de l’audit interne devront certainement adapter
la base de connaissances incluse dans l’outil, mais cette dernière peut donner un point de
départ intéressant.

90
 UE
COURS 4  Management des systèmes d’information 215

∙ 2. Logiciel de gestion de projet

Le logiciel de gestion de projet, qui n’est pas nécessairement spécifique à l’audit, programme
le plan de travail, définit qui est responsable de quelle tâche, suit les jalons du projet et les
livrables, et peut être utilisé par la fonction d’audit des SI pour obtenir davantage de cohé-
rence et des reportings supplémentaires lors des missions. Quelque 35 % des organisations

∙
interrogées lors de l’enquête GAIN 2004 utilisent un logiciel de gestion de projet.

3. Logiciel de diagrammes de circulation

Un logiciel qui peut représenter graphiquement les flux de transactions ainsi que les princi-
pales étapes des processus, est très utile, voire nécessaire, pour l’illustration des chemine-

∙
ments, en particulier à des fins de conformité avec la loi.

4. Logiciel d’aide à la révision comptable et à l’audit (ARCA)

Un logiciel d’aide à la révision et à l’audit propose de très nombreuses fonctionnalités ayant
pour but d’assister l’auditeur dans ses tâches.
Les principales fonctionnalités de ces logiciels sont les suivantes :

La gestion du dossier permanent

Ce dossier contient toutes les informations générales et spécifiques du client. Il est composé
des rubriques nécessaires à un dossier permanent. Certaines informations sont en liaison
avec le dossier de révision (crédit-bail, locations, emprunts…). Il permet aussi de consulter
l’historique des données de vos clients et intègre un générateur de documents Word® et
Excel® : rapports, courriers, tableaux de bord…

Le dossier de contrôle interne

Ce dossier vous permet d’apprécier l’organisation interne du client au travers de quatre
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

outils pour chaque cycle : descriptif de cycle, questionnaire classé par assertion, tableau de
répartition des tâches, outil de tests de conformité. Le fonctionnement interne de l’entité
contrôlée est ainsi passé en revue.

Le dossier de révision
Le dossier de révision donne accès à des feuilles de travail préformatées, en liaison avec la
comptabilité importée et le journal comptable. Ces feuilles de travail permettent de réaliser
un contrôle dynamique et exhaustif en bénéficiant d’un réel gain de temps. En liaison directe
avec une analyse des risques, le dossier de révision permet de réaliser différents contrôles
par cycle avec l’aide d’outils pointus : outil de tirage aléatoire, outil de sélection statistique,
outil de contrôle de TVA, outil de vérification de la conformité du FEC…

L’élaboration des rapports

Une fois l’analyse des risques et les contrôles de substance terminés, un tel logiciel permet
de générer la note de synthèse finale du dossier ainsi que le rapport sur les comptes annuels.

La gestion des NEP

Le logiciel ARCA permet de lister les normes d’exercices professionnels (NEP).

91
UE
215 Management des systèmes d’information COURS 4

pi
h a t re

5.
c

L’audit des entreprises

informatisées

Compétences attendues
∙∙ Mettre en œuvre les obligations légales et réglementaires.
∙∙ Contrôler les comptes d’entités informatisées.
∙∙ Évaluer les risques d’audit.

Historiquement, les textes comptes ont distingué la tenue comptable de la tenue comptable
des comptes informatisés. De fait, cette distinction si elle conserve une signification juri-
dique n’a plus aucune pertinence véritable. La tenue de la comptabilité s’effectue toujours
par le biais de supports informatisés.

I. L’audit légal

A. les étapes d’une mission

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
L’audit légal repose sur un examen approfondi des comptes pour en valider le contenu.
Dans le cadre d’un audit légal, on sait que la mission s’organise autour de grandes phases
caractéristiques :

Étape 1 : prise de connaissance

Cette première étape permet à l’auditeur de prendre connaissance du contexte général de la
société et d’évaluer les principaux risques. Il va ensuite s’appuyer sur cette prise de connais-
sance pour planifier et orienter sa mission.
C’est au cours de cette première étape que l’auditeur met en place le dossier permanent (ou
le complète s’il existe déjà) et rédige le plan de mission.
Pour atteindre ses objectifs, il va mener des entretiens avec les personnes clés de l’entreprise
et exploiter la documentation ainsi que les comptes de l’entreprise.

Étape 2 : évaluation du contrôle interne

Au cours de cette deuxième étape, l’auditeur va rechercher les différents risques et en
apprécier les incidences possibles sur la nature et l’étendue de ses travaux. Il va pour se

92
 UE
COURS 4  Management des systèmes d’information 215

faire étudier les procédures de contrôle interne aboutissant à la production des comptes
financiers.
Cette étape lui permet de mettre en œuvre une approche par les risques, ce qui va lui éviter
de contrôler exhaustivement les comptes financiers, mais bien de se focaliser sur les points
risqués.
Pour s’assurer d’atteindre cet objectif, l’auditeur va établir un seuil de signification. Ce seuil,
un chiffre, va lui donner une limite chiffrée au-delà de laquelle une erreur, une inexacti-
tude ou une omission peut affecter la régularité, la sincérité et l’image fidèle des comptes
annuels. Ce seuil va être utilisé tout au long de sa mission pour programmer l’étendue des
sondages et apprécier la gravité des anomalies éventuellement constatées.

Étape 3 : examen approfondi des comptes

Cette troisième étape est dans la continuité des deux précédentes. En effet, une fois qu’on
a pris connaissance de l’environnement de l’entreprise, de son contrôle interne et que l’on a
ciblé les risques, il est nécessaire d’analyser les comptes de manière plus précise afin d’iden-
tifier les éventuelles anomalies significatives.
Pour contrôler les comptes, l’auditeur va chercher à valider les assertions d’audit. Il s’agit
des critères auxquels doit répondre l’information financière pour qu’elle soit régulière et
sincère. Ces assertions s’appliquent à chaque poste du bilan et du compte de résultat et aux
informations contenues dans l’annexe. Globalement il existe six assertions : exhaustivité,
réalité, propriété, correcte évaluation, séparation des exercices, correcte imputation.
Pour valider ces assertions, l’auditeur va mettre en œuvre des procédures d’audit. Il va
ensuite consigner tous ses travaux dans un dossier de travail. Ce dossier va permettre au
CAC de :
∙∙ rendre la mission plus efficace grâce au suivi de l’avancement des travaux ;
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

contrôler les travaux de ses collaborateurs ;

∙∙ justifier les conclusions tirées et apporter la preuve des diligences effectuées.

Étape 4 : établissement du rapport

Le CAC, comme la loi le prévoit, doit établir un rapport dans lequel il expose et justifie
son opinion. Cette opinion est la conclusion de tous les travaux menés au cours de la mis-
sion. Elle est communiquée à l’ensemble des associés/actionnaires au cours de l’assemblée
générale annuelle par l’intermédiaire du rapport. Ce rapport a une forme et un fond précis :
titre, paragraphes, date, signature du rapport.
L’opinion donnée par le CAC peut être, selon le cas :
∙∙ la certification sans réserve ;
∙∙ la certification avec réserve(s) ;
∙∙ le refus de certifier.
Les logiciels d’aide à la révision comptable et à l’audit apportent une aide lors de ces diffé-
rentes phases. Toutefois, c’est durant la troisième étape que des outils spécifiques d’aide à
l’audit des données peuvent être mobilisés, on parle alors d’audit assisté par ordinateur.

93
UE
215 Management des systèmes d’information COURS 4

B. les risques liés à une mission

Le mode d’intervention d’un auditeur peut limiter sa capacité d’investigation. Par ailleurs,
il est fréquent que les « travaux de terrain » soient confiés majoritairement aux plus jeunes
et donc, a priori, les moins compétents et, indiscutablement, les moins expérimentés. De
plus, le délai de plus en plus court accordé pour dresser le bilan d’un audit et remettre un
rapport circonstancié peut s’avérer être un frein pour les cabinets d’audit dans l’utilisation
des procédures adéquates pour évaluer les risques auxquels sont confrontées les entreprises
auditées. Certaines raisons peuvent s’expliquer par :
∙∙ le non-respect des normes applicables en matière d’audit ;
∙∙ la complexité des activités des entreprises auditées ;
∙∙ la mauvaise planification de la mission d’audit financier ;
∙∙ le manque de procédures d’audit adéquates aux missions d’audit.
Le problème des cabinets d’expertise de petite et moyenne taille est l’apanage de la mauvaise
organisation lors de missions et surtout l’utilisation inadéquate de certains outils d’audit
qui, de surcroît, sont généralement appliqués par les plus jeunes donc les moins expérimen-
tés, lors d’un audit. Une mauvaise organisation lors des missions, en dépit de sa taille, de
l’incompétence, de l’expérience de l’équipe d’audit, apparaît donc comme une faiblesse dans
l’application adéquate de procédures d’audit dans le but d’acquérir la connaissance de l’en-
tité auditée et de son environnement, y compris de son contrôle interne pendant les mis-
sions d’audit. Ces faiblesses peuvent générer plusieurs conséquences comme, par exemple :
∙∙ une information financière erronée ;
∙∙ la faillite des entreprises auditées ;
∙∙ des fraudes et détournements de fonds.
Pour y remédier, quelques solutions peuvent être envisagées, par exemple :
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
adapter les missions au contexte et au secteur de l’entreprise auditée ;
∙∙s’assurer de la bonne planification de la mission ;
∙∙effectuer les missions d’audit en respectant scrupuleusement les règles et réglementations
du domaine de l’audit ;
∙∙évaluer les missions d’audit afin de s’assurer que les procédures utilisées ou appliquées
sont pertinentes.
Par exemple, selon l’IFACI, le risque se définit comme étant :

« Un ensemble d’aléas susceptibles d’avoir des conséquences négatives

sur une entité et dont le contrôle interne et l’audit ont notamment pour
mission d’assurer autant que faire se peut la maîtrise. »

94
 UE
COURS 4  Management des systèmes d’information 215

On distingue dans le cadre d’une mission d’audit les trois risques suivants :
∙∙le risque inhérent : il désigne le risque auquel une organisation est exposée en l’absence
de mesures prises par le management pour modifier la probabilité d’occurrence ou
l’impact de ce risque ;
∙∙le risque lié au contrôle : il correspond à la probabilité qu’une mesure ou un mécanisme
de contrôle échoue dans la prévention ou dans la détection d’une menace que l’on veut
éviter ;
∙∙le risque de non-détection : il s’agit du risque que les procédures mises en œuvre par
l’auditeur ne lui permettent pas de détecter une inexactitude présente dans les comptes
annuels.
Concernant le risque d’audit à proprement parler, l’IFACI (Institut français de l’audit et du
contrôle interne) le définit de la façon suivante :

« Le risque d’audit est le risque qu’un auditeur puisse exprimer une opinion
inappropriée sur une information financière comportant des inexactitudes
significatives. »
Le risque d’audit est donc le risque que le CAC exprime une opinion différente de celle qu’il
aurait émise, s’il avait identifié toutes les anomalies significatives dans les comptes. Par
exemple, qu’il émette une certification sans réserve alors que les comptes comportent une
anomalie significative.
Mais le risque d’audit peut également se définir comme étant le risque que des erreurs ou
irrégularités n’aient pas été détectées après l’accomplissement de l’audit et que ces erreurs
ou irrégularités affectent de manière significative les comptes certifiés. Par exemple, l’audi-
teur peut omettre dans son plan d’audit une procédure, élément constitutif d’un ensemble,
et procéder à un nombre insuffisant de tests. Ceci pourrait conduire l’organisation à perdre
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

le contrôle et à découvrir cette erreur à la suite de la défaillance d’un système, d’une opéra-
tion après le passage des auditeurs.
En somme, le risque d’audit est le risque lié, d’une part, aux particularités de l’organisation
et, d’autre part, à l’auditeur lui-même. Il est le résultat de la conjonction de deux facteurs,
à savoir lorsque ni les moyens mis en œuvre par l’organisation, ni ceux mis en œuvre par
l’auditeur ne permettent de déceler les erreurs.
En ce sens, le risque et sa maîtrise sont le souci essentiel de l’auditeur. Cette notion de
risque d’audit apparaît comme complexe et difficilement saisissable. Cependant, le pro-
cessus d’audit l’a décomposée en plusieurs éléments susceptibles d’être appréhendés indi-
viduellement. On distingue généralement trois composantes du risque d’audit : le risque
inhérent, le risque de contrôle et le risque de non-détection.
Ainsi, le risque d’erreurs découle-t-il en premier lieu d’un facteur exogène ou incontrôlable,
le risque inhérent découle d’un facteur endogène qui dépend de la qualité des procédés mis
en œuvre par l’organisation pour prévenir ou détecter les erreurs. Le risque de non-détec-
tion, quant à lui, dépend du travail du vérificateur qui, comme on le sait, appuie son opinion
sur des sondages. À l’instar de l’organisation, celui-ci fait face à deux facteurs de risque, l’un
contrôlable et l’autre pas.

95
UE
215 Management des systèmes d’information COURS 4

Le premier relève essentiellement du jugement du vérificateur qui peut mal choisir, mal
appliquer ou mal interpréter les procédés qu’il met en œuvre pour détecter les erreurs. Il
s’agit alors du risque discrétionnaire. Le deuxième découle, quant à lui, des limites intrin-
sèques de la technique d’échantillonnage qui fait en sorte qu’il existe toujours une proba-
bilité qu’un échantillon ne reflète pas les caractéristiques de la population dont il a été tiré.
On parle alors de risque aléatoire.
Compte tenu de sa responsabilité, le risque d’audit est lié à l’émission d’une opinion erro-
née sur les comptes de l’entreprise contrôlée. Cette situation serait susceptible d’entraîner
plusieurs conséquences pour l’auditeur, notamment en termes de poursuites judiciaires ou
disciplinaires ou de dégradation de sa réputation. Cette situation peut également avoir des
conséquences sur l’entreprise auditée, notamment en termes d’influence sur les cours bour-
siers et sur la relation avec les actionnaires et les partenaires.
Il est évident que de grandes similitudes existent entre les risques liés à un audit et ceux
émanant d’une démarche de conseil. En effet, tout comme l’auditeur peur se fourvoyer dans
ses analyses, la personne prodiguant des conseils et à même de se tromper et ce, d’autant
plus, si la direction générale n’a pas fourni l’intégralité des informations. Imaginons, par
exemple, qu’une organisation implémentée depuis déjà fort longtemps dans une localité
souhaite s’agrandir. Il paraît logique qu’on lui conseille d’acquérir de nouveaux locaux pas
trop éloignés autant que possible afin d’éviter les déplacements. Mais, si la direction géné-
rale a décidé de délocaliser à l’étranger une grande partie de son activité sans jamais en avoir
fait état à qui que ce soit, le conseil prônant l’acquisition de nouveaux locaux devient caduc.
Il est donc indispensable dans une démarche de conseil que la direction générale « joue le
jeu » et ne fasse aucune rétention d’information d’autant plus celles afférentes au thème
de la démarche de conseil entreprise. L’entité qui fournira des conseils doit impérativement
être en possession de toutes les informations pouvant être à même d’orienter correctement
sa mission. Naturellement, des clauses de confidentialité figureront dans le contrat existant

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
entre les deux parties.

II. Les contrôles spécifiques au SI

A. le contrôle interne du SI

∙ 1. Les principes
À l’instar des autres métiers, la DSI doit mettre en œuvre un dispositif de contrôle interne lui
permettant de maîtriser ses risques pour atteindre ses objectifs opérationnels. Les objectifs
du contrôle interne, pour la DSI comme pour toute autre fonction, sont :
∙∙ la conformité aux instructions de la direction générale, aux lois et règlements ;
∙∙ l’efficacité des opérations, en particulier à travers l’utilisation optimale des ressources
affectées et la maîtrise des processus ;
∙∙ l’identification, l’analyse et l’évaluation des risques ;

96
 UE
COURS 4  Management des systèmes d’information 215

∙∙lala sécurité des personnes, la sauvegarde des actifs et la protection des données ;
∙∙ qualité de l’information financière, opérationnelle et de gestion.
Les spécificités de l’informatique, liées à sa technicité et à sa transversalité, donnent une
dimension particulière au contrôle interne de la DSI. Selon le cadre de référence de contrôle
interne de l’AMF, le dispositif de contrôle interne doit prévoir :
∙∙ une organisation comportant une définition claire des responsabilités et s’appuyant sur
des SI, des procédures et des pratiques appropriées ;
∙∙ la diffusion en interne d’informations pertinentes et fiables ;
∙∙ un système de recensement et d’analyse des principaux risques et des procédures de
gestion de ces risques ;
∙∙ des activités de contrôle proportionnées aux enjeux ;
∙∙ une surveillance du dispositif de contrôle interne.
Ces principes doivent être appliqués dans les DSI. Leur mise en œuvre est évaluée pour don-
ner une assurance sur l’efficacité du contrôle interne et identifier des pistes de progrès. Le
dispositif de contrôle interne de la DSI nécessite la préexistence d’un contexte favorable au
bon déploiement du dispositif et à son amélioration continue.
Un de ces préalables consiste à avoir un niveau adéquat de suivi du dispositif. À ce propos,
le cadre de référence de l’AMF préconise que la direction générale se tienne régulièrement
informée des dysfonctionnements, des insuffisances et des difficultés d’application, voire
des excès, et veille à l’engagement des actions correctives nécessaires. Ce principe général
doit être adapté en fonction des enjeux du contrôle interne dans la DSI.
Le guide AMF distingue six fonctions spécifiques concernant le SI et sa bonne marche :
∙∙ la gestion des compétentes du personnel, afin de garantir la gestion des compétences
clés, qui garantissent la réussite du SI, voire critiques, qui se révèlent rares ;
∙∙ les projets et développements, qui apportent les nécessaires évolutions indispensables
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

à l’alignement d’un SI, avec également la prise en compte de la gestion du changement ;

∙∙ la maintenance et la gestion des changements, à la fois applicatifs et techniques ;
∙∙ la gestion des incidents, susceptibles de toucher les différents composants de l’infrastructure ;
∙∙ la gestion de la sécurité logique et des accès physiques, afin de créer un environnement
favorable à la sécurité ;
∙∙ la gestion de la sous-traitance, afin de maîtriser les services fournis par les prestataires
externes.
Pour chaque fonction, une décomposition en processus a été réalisée à partir des grilles de
décomposition du COBIT ou de divers référentiels de bonnes pratiques, à savoir ITIL, normes
ISO, eSCM. Pour chacune de ces fonctions, la démarche d’analyse du contrôle interne est
classique. Le guide liste, pour chaque fonction, les activités clés susceptible de correspondre
à l’état de l’art, aux meilleures pratiques, ainsi que les acteurs correspondants. Ensuite, une
représentation schématique de ces activités est proposée, par le biais de graphiques (flow-
charts). Ce schéma offre une vision d’ensemble et permet ensuite de repérer les risques et de
proposer des points de contrôle avec indication des bonnes pratiques. L’auditeur peut alors
identifier tout écart entre la réalité de la firme qu’il audite et ces bonnes pratiques. Pour
chaque étape du processus, les acteurs concernés sont identifiés, ainsi que la nature de leur

97
UE
215 Management des systèmes d’information COURS 4

intervention, au moyen de la classification RACI, qui sert de moyen mnémotechnique utile

et qui identifie quatre rôles possibles concernant la réalisation d’un processus :
∙∙ R : responsible ou réalisateur ;
∙∙ A : accountable ou approbateur ;
∙∙ C : consulted ou consulté ;
∙∙ I : informed ou informé.
Nous allons aborder des thèmes que nous n’avons pas évoqués dans les précédents cours :
gestion des compétences et gestion de la sous-traitance. Le lecteur pourra par ailleurs
consulter le guide intégral disponible sur l’espace numérique de travail pour disposer d’une

∙
information plus complète.

2. La compétence du personnel
La gestion des compétences dans le domaine informatique est une constante depuis la
montée en puissance des SI dans tous les métiers de l’entreprise et de l’administration, et
en parallèle depuis la tension sur la disponibilité des ingénieurs et techniciens informa-
tiques. En effet, le bon fonctionnement de l’organisation implique de disposer d’un person-
nel compétent. Cette gestion compétence repose sur des pratiques connues en gestion des
ressources humaines, au travers de la gestion des compétences et des talents, qui vont se
révéler clés (indispensables au bon fonctionnement) ou critiques (à la fois indispensables
et rares). Dans ce domaine, il est fréquent de constater des difficultés à recruter, certains
métiers pouvant être en tension en raison d’une insuffisance générale des candidats poten-
tiels. L’entreprise doit donc mettre en place des procédures lui permettant d’assurer en
quelque sorte une continuité des compétences.
Pour cela, l’entreprise doit à la fois mettre en place :
∙∙une politique RH globale dans l’entreprise ;
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
un schéma directeur des SI.
La combinaison de ces deux pratiques permet ainsi de déceler les compétences possédées
et les besoins à satisfaire. Différents livrables vont découler d’une bonne mise en place de
ce processus.
Deux acteurs sont susceptibles d’intervenir dans le cadre de ces différentes étapes :
∙∙la DSI ;
∙∙la GRH.

Étape Rôle DSI Rôle DRH

Définition d’une politique RH et SI clarifiant les activités externalisées et les compétences
A R
critiques clés
Définition des emplois à compétences et d’une cartographie A R
Définition des emplois à compétences critiques et clés A R
Définition des parcours professionnels correspondant à ces emplois A R
Identification des talents et définition d’une stratégie de fidélisation A R
Définition d’une politique de recrutement A R
Organisation des remplacements et formations croisées A R

98
 UE
COURS 4  Management des systèmes d’information 215

Un suivi de ces activités peut se faire par la confection d’un tableau de bord qui va comporter
des indicateurs traduisant les éléments clés de ce processus et permettant son pilotage :
∙∙ nombre de compétences détenues ;
∙∙ nombre de recrutements ;
∙∙ nombre de formations ;
∙∙ ancienneté.

∙ 3 La gestion de la sous-traitance et de l’infogérance

La gestion de la sous-traitance est un enjeu stratégique en matière de SI. En effet, les possi-
bilités d’externaliser y sont particulièrement élevées et concernent tous les domaines de la
firme. Cette externalisation en devient d’autant plus fondamentale que l’importance du SI
pour la firme est toujours plus élevée. Ceci s’accompagne du recours à la délocalisation qui
amplifie les délais, accroît les risques et oblige à toujours plus d’analyse et de contrôle.
Les pratiques ont évolué : la sous-traitance informatique est passée d’un mode d’achat de
prestations avec obligation de moyens (jadis appelée régie) vers un mode d’achat de services
avec obligation de résultat (ex. : pour les projets d’intégration de systèmes ou d’infogérance
récurrente). C’est pourquoi la maîtrise de la sous-traitance est devenue une préoccupation
essentielle des DSI, dans l’accomplissement de l’ensemble de leur mission qui vise à conce-
voir, maintenir et exploiter des systèmes complexes, répondant aux besoins des métiers au
meilleur rapport qualité/coût.
La sous-traitance moderne s’étend donc à tous les processus de production des SI, depuis la
réalisation des projets jusqu’à la maintenance et l’exploitation des systèmes, tout en inté-
grant les aspects de sécurité et de performance.
La gestion de la sous-traitance se fonde sur quatre préalables :
∙∙ un schéma directeur des SI ;
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

∙∙ une politique RH SI ;
∙∙ une politique globale d’achats ;
∙∙ une identification des niveaux de service (performance et continuité de fonctionnement)
nécessaires aux métiers.
Les étapes clés de la gestion de la maintenance sont les suivantes :
1. réalisation d’une veille marché : offres, fournisseurs. Ce processus de veille permet d’an-
ticiper les ruptures dans tous les domaines SI pertinents au regard des enjeux métiers. Un
point de contrôle peut consister dans la mesure de la satisfaction des managers sur les résul-
tats procurés par cette veille ;
2. réalisation d’un retour d’expérience annuel des grands fournisseurs. Ces retours d’expé-
riences doivent synthétiser de façon objective les forces et les faiblesses, à partir de système
de notations ;
3. définition, mise à jour et partage d’une stratégie de recherche (stratégie de sourcing)
prestataires SI. Cette stratégie, connue de l’année de l’ensemble des acteurs concernés, doit
être mise en relation avec le schéma directeur, avec une massification des demandes, et des
conditions d’achats plus attractives ;

99
UE
215 Management des systèmes d’information COURS 4

4. signature des contrats conformément à la stratégie, au processus de sourcing et aux besoins

Métiers exprimés. Cette signature doit recourir à des contrats-cadres, ce qui permet d’optimiser
les coûts. L’auditeur doit vérifier la présence d’un contrat signé avant le démarrage du contrat ;
5. validation conjointe d’une convention de service, d’un plan de réversibilité, d’un plan de
sécurité, d’un plan d’assurance qualité et accords de confidentialité ;
6. analyse de la qualité de service fournisseur, analyse de la conformité des livrables au
contrat, analyse facturation ;
7. mise à jour, archivage et portage des contrats ;
8. gestion de la réversibilité du contrat.

∙ 4. La gestion des incidents

Processus clé du support informatique, la gestion des incidents a pour objectif le rétablisse-
ment d’un service, interrompu ou altéré par un événement qui ne fait pas partie des opérations
standards. La multiplication des technologies et l’interconnexion des systèmes et plateformes
complexifie l’identification et le traitement des incidents : en effet, les symptômes visibles
peuvent être très éloignés des causes ayant engendré un incident. De même, un incident peut
entraîner une multitude d’autres incidents, qui à leur tour vont être traités par ce processus.
Ce contexte explique que la gestion des incidents s’interface avec de nombreux autres pro-
cessus informatiques, en particulier, la gestion des changements et la gestion de la sécurité.
C’est pourquoi, ce processus doit être supporté par un traitement administratif rigoureux,
qui est modélisé de façon simplifiée en s’inspirant des référentiels COBIT et ITIL (soutien
des services/gestion des incidents). Les risques majeurs concernent le mauvais diagnostic,
la lenteur de correction de l’incident ou de retour à la situation normale, le découragement
des utilisateurs, et in fine l’image de marque de l’informatique.
La maîtrise de ces risques repose sur les points suivants, qui constituent de meilleures pratiques :
∙∙ identification et priorisation des systèmes par criticité (disponibilité et intégrité) ;

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
∙∙ existence, mise à jour et diffusion d’une documentation en adéquation avec tous les
éléments de la chaîne (systèmes et réseaux) ;
∙∙ formalisation, mise à jour et diffusion d’une procédure de gestion des incidents, précisant
les responsabilités des différents acteurs et les indicateurs de performance ;
∙∙ déploiement de dispositifs automatiques de surveillance et pilotage de tous les éléments
de la chaîne : matériels, réseaux, systèmes d’exploitation, bases de données et applicatifs.
Le processus de gestion des incidents repose sur les étapes clés ci-après :
∙∙ déclaration d’incident utilisateur, ou d’incident d’exploitation. Cette procédure doit
permettre d’enregistrer systématiquement et de documenter les incidents ;
∙∙ enregistrement et documentation des incidents. Ceci permet de constituer une base
d’incidents uniques et centralisée et des retours d’expériences correspondants ;
∙∙ diagnostic de premier niveau, basée sur une analyse d’impact, de priorisation et de
classification ;
∙∙ diagnostic basé sur l’investigation, et la résolution. Les bonnes pratiques imposent de
créer des documentations et de les diffuser aux intéressés ;
∙∙ clôture de l’incident. Il est recommandé de mettre en place des indicateurs de performance
concernant le suivi.

100
 UE
COURS 4  Management des systèmes d’information 215

B. les contrôles applicatifs

L’infrastructure technologique repose sur de nombreuses applications interdépendantes.
Dans le cadre d’un audit, l’auditeur doit donc dans un premier temps évaluer les risques de
chaque application pour déterminer celles justifiant en priorité des contrôles. Pour cela, il
peut recourir à une matrice des risques et des contrôles décrits lors du processus d’évalua-
tion des risques. Dans ce cadre, les auditeurs déterminent l’échelle qui convient au classe-
ment de chaque risque lié aux contrôles applicatifs, en envisageant des échelles qualitatives
et quantitatives, telles que :
∙∙ risque de contrôle faible, moyen ou élevé ;
∙∙ échelles numériques reposant sur des informations qualitatives (ex. : 1 = risque à faible
impact et 5 = risque à fort impact ; 1 = contrôle poussé et 5 = contrôle insuffisant) ;
∙∙ échelles numériques reposant sur des informations quantitatives (ex. : 1 = < 50 000 € et
5 = > 1 000 000 €).
La mesure des risques se fait pour l’ensemble des applications et permet d’identifier un
score pondéré permettant d’identifier les applications à auditer en priorité.

Illustration d’une matrice de calcul de score pondéré

Pondération des facteurs de risque

20 10 10 10 10 10 15 15
contrôles applicatifs
contrôles primaires

contrôles généraux
supporte plus d’un
processus critique

des changements

des changements

Score composite
Impact financier
conception des

ou développés
Efficacité de la

informatiques
Efficacité des
L’application

L’application
Prépackagés
contient des
Application

Complexité
Fréquence
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

APPA 5 1 5 5 3 3 5 2 375
APPB 1 1 2 1 1 1 4 2 170
APPC 5 2 2 1 5 5 5 2 245
APPD 5 3 5 1 5 5 5 2 395
APPE 5 1 1 1 1 1 3 2 225

Les contrôles applicatifs portent sur les différentes applications utilisées par l’entreprise et
portent sur diverses fonctionnalités, dont les éditions de données, la séparation des fonc-
tions, la balance des totaux de contrôle, la journalisation des transactions et les rapports
d’erreurs.

101
UE
215 Management des systèmes d’information COURS 4

Leur objectif est de veiller à ce que :

∙∙ les données d’entrée soient exactes, complètes, autorisées et correctes ;
∙∙ les données soient traitées conformément aux objectifs et dans un délai acceptable ;
∙∙ les données stockées soient exactes et complètes ;
∙∙ les données de sortie soient exactes et complètes ;
∙∙ un enregistrement du processus soit conservé ; il permet de suivre la progression des
données depuis leur entrée jusqu’à leur stockage et à leur sortie éventuelle.
Plusieurs types de contrôles applicatifs existent :
∙∙ les contrôles des données en entrée : ces contrôles servent principalement à vérifier
l’intégrité des données entrées dans une application, que les données aient été entrées
directement par le personnel de l’entreprise, à distance par un partenaire commercial ou
via une application ou interface Web. La vérification de la saisie des données intègre la
vérification que les limites spécifiées ne sont pas dépassées ;
∙∙ les contrôles sur le traitement : ces contrôles constituent un moyen automatisé faisant
en sorte que le traitement soit complet, exact et autorisé ;
∙∙ les contrôles des données en sortie : ces contrôles portent sur ce qu’il advient des données
et doivent rapprocher les résultats en sortie avec le résultat escompté, en confrontant les
données de sortie aux données entrées ;
∙∙ les contrôles d’intégrité : ces contrôles surveillent les données en cours de traitement et
les données stockées afin de veiller à ce qu’elles restent cohérentes et correctes ;
∙∙ la piste de contrôle de gestion : la trace des opérations réalisées, souvent appelée piste
d’audit, permet à l’encadrement d’identifier les transactions et les événements enregistrés
en suivant les transactions depuis leur entrée jusqu’à leur sortie et en sens inverse. Ces
contrôles permettent également de vérifier l’efficacité des autres contrôles et de repérer
les erreurs, au plus près possible de leur source.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
C. le contrôle des accès
Le droit d’accès à un actif, une ressource ou un SI doit, par principe, être proportionnel au
niveau de responsabilité et à la place occupée par son titulaire dans l’organisation. Il doit par
ailleurs prendre en compte l’aspect relatif à la séparation des tâches pour, quel que soit le
niveau de droit d’accès autorisé, éviter une situation d’auto-approbation, contraire aux prin-
cipes élémentaires du contrôle interne. Pour rappel, les avantages liés à une séparation des
tâches satisfaisantes résident dans la facilitation de la détection des erreurs (involontaires
ou frauduleuses). Plus l’organisation de l’entité est complexe (flux, SI, sites, etc.), plus la
matrice de séparation des tâches est complexe et plus son suivi et sa mise à jour requièrent
une volumétrie de travail élevée et régulière dans le temps. En conséquence, plus le niveau
hiérarchique est élevé/important, plus le niveau de droits d’accès est élevé. Le travail de
l’auditeur va consister pour chaque interaction avec le SI, à évaluer dans quelle mesure le
droit d’accès est critique, et dans quelle mesure il est effectivement protégé suffisamment.

102
 UE
COURS 4  Management des systèmes d’information 215

On peut rappeler que les droits d’accès au patrimoine applicatif de l’entité sont une compo-
sante essentielle de l’environnement de contrôle interne. Outre le respect de la séparation
des fonctions des utilisateurs, une règle essentielle en matière de contrôle interne infor-
matique impose de séparer également strictement les fonctions de développement infor-
matique, de tests et de production. Le risque associé au non-respect de cette règle serait la
création et l’utilisation de fonctions secrètes, connues du concepteur des applications, qui
en est également l’utilisateur, et permettant la fraude.
Le contrôle des droits d’accès repose sur un questionnaire correspondant à la norme ISO et
repris dans le cadre des guides d’audit de la CNCC. Ces guides sont transposables à de nom-
breuses missions d’audit.
∙∙ L’organisation auditée a-t-elle documenté sa politique de contrôle d’accès et tient-elle à
jour une matrice des autorisations ?
∙∙ Qui décide de l’attribution et du retrait des droits d’accès ? Qui saisit la création et la
suppression des droits d’accès ?
∙∙ Est-ce qu’une procédure formelle d’attribution ou de retrait des droits d’accès par
utilisateur est-elle définie avec circulation des informations entre les services concernés ?
∙∙ Quelle est la règle d’attribution des droits d’accès : aucun accès sauf autorisation explicite
(Opt in) ou accès à tout sauf interdiction (Opt out) ?
∙∙ Les utilisateurs ont-ils l’interdiction de divulguer, communiquer, partager leurs mots de
passe ?
∙∙ Les mots de passe ont-ils une obligation de complexité (longueur minimale, types de
caractères) ?
∙∙ Les postes de travail se verrouillent-ils automatiquement après une certaine inactivité ?
∙∙ Tout équipement (ordinateur, tablettes, Smartphone) connecté au SI a-t-il fait l’objet
d’une approbation préalable ?
∙∙ Le réseau WiFi est-il connecté au réseau de l’entreprise ?
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

∙∙ Les points d’accès au SI (serveurs, poste de travail, imprimantes, scanners) font-ils l’objet
d’une sécurité physique appropriée ?
∙∙ Pour les connexions distantes depuis l’extérieur existe-t-il des mesures de sécurité
complémentaires pour l’authentification ?
∙∙ Les ressources en ligne de l’entreprise sont-elles l’objet de mesures de sécurités
spécifiques régulièrement auditées ?
∙∙ Les journaux de connexion sont-ils examinés régulièrement ? Les échecs de connexion
sont-ils analysés ?
∙∙ Existe-t-il une politique de chiffrement des données sensibles ?
∙∙ Comment sont supervisés les comptes administrateurs ? Comment sont-ils enregistrés
et surveillés ?
∙∙ Les fonctions de développement informatique, de test et d’exploitation sont-elles
séparées, avec du personnel différent ?

103
UE
215 Management des systèmes d’information COURS 4

L’auditeur pourra effectuer des recommandations pour améliorer les procédures de la firme
auditée, en s’inspirant pour cela des bonnes pratiques ci-après :
∙∙ bien choisir le mot de passe : longueur minimale de 8 caractères avec des caractères de
types différents (majuscules, minuscules, chiffres, caractères spéciaux) et n’ayant aucun
lien avec l’utilisateur (nom, date de naissance…) et ne figurant pas dans le dictionnaire ;
∙∙ modifier régulièrement les mots de passe (tous les 3 mois, par exemple) ;
∙∙ mettre en place une double authentification pour les accès sensibles (administrateur…) ;
∙∙ avoir une politique claire de gestion des droits d’accès (attribution/création/retrait/
suppression des droits d’accès) ;
∙∙ interdire aux collaborateurs de préenregistrer/communiquer/partager ou mettre sur un
post-it leurs mots de passe ;
∙∙ avoir une politique claire de chiffrement des données ;
∙∙ sécuriser l’accès au WiFi de l’entreprise, avec un réseau spécifique pour les invités.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

104
 UE
COURS 4  Management des systèmes d’information 215

p i t re
ha
c

6. Thèmes d’actualité

Compétences attendues
∙∙ Identifier les grandes étapes du traitement des données et des
mégadonnées.

I. Thème 1 : la blockchain
Avec l’intelligence artificielle (IA), la blockchain est certainement l’une des innovations
majeures en matière de TI et indirectement de SI. Les conséquences pour l’audit sont encore
à venir mais dès à présent il est possible d’en envisager l’ampleur.
Dans un premier temps, nous verrons très précisément en quoi consiste la blockchain, puis
nous verrons les conséquences pour un auditeur.
La blockchain est une base de données transactionnelle distribuée, dans laquelle chaque
transaction est écrite à la suite des autres, sans avoir la possibilité de modifier ou d’effacer les
précédentes. On peut l’assimiler à un registre contenant des informations. Il est nécessaire
d’approfondir très précisément la notion de blockchain pour mieux comprendre ensuite le
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

lien avec les missions d’audit.

A. la notion de blockchain

∙ 1. Principes de fonctionnement
a. Vue générale
La blockchain est une technologie de stockage et de transmission d’information qui est
sécurisée, transparente et qui fonctionne sans organe central de contrôle. Elle représente
un registre d’informations regroupées en blocs, qui est détenu par un grand nombre d’ordi-
nateurs en même temps constituant les nœuds d’un réseau. La blockchain permet de créer
de vastes bases de données sécurisées, donnant la capacité d’échanger des informations
ou de l’argent de façon autonome et sécurisée.

105
UE
215 Management des systèmes d’information COURS 4

La notion de bloc peut se comprendre au travers du schéma suivant :

Bloc 46 Bloc 47 Bloc 48 Bloc 49

Transaction 92 Transaction 96 Transaction 99 Transaction 102
Transaction 93 Transaction 97 Transaction 100 Transaction 103
Transaction 94 Transaction 98 Transaction 101 Transaction 104
Transaction 95 Transaction 95 Transaction 105

Un bloc englobe des transactions. Son contenu est rendu infalsifiable par un mécanisme
cryptographique, l’empreinte, et il est alors associé au bloc suivant. Ainsi, les éléments de
vérifications entrepris pour un bloc, le dernier, s’ils sont concluants, garantissent que l’inté-
gralité des blocs précédents est également conforme.
La blockchain peut ainsi s’assimiler à un grand livre de compte, dans lequel sont stockées,
sous forme de blocs, des informations de toute nature : transactions, contrats, titres de pro-
priété. Ce mécanisme de blocs permet de certifier les transactions entre les individus grâce
à un mécanisme de peer-to-peer, dans lequel les individus traitent directement les uns avec
les autres (de pair à pair) sans passer par un intermédiaire. Le système est ainsi décentralisé
et valide les échanges selon un mécanisme de consensus. Ce grand livre de compte ouvert
et accessible à tous en écriture et en lecture et ne nécessite pas d’organisme central (État,
Banque ou société) pour le contrôler.
Le fonctionnement est détaillé dans le schéma ci-après :
1 2
Plusieurs transactions
A effectue
sont regroupées dans
une transaction vers B
un bloc

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
3

Le bloc est validé par les nœuds du réseau

au moyen de techniques cryptographiques

4 5

Le bloc est daté et ajouté à la chaine B reçoit la transaction

de blocs (blockchain) à laquelle de A
tous les utilisateurs ont accès

La validation des transactions est liée au principe des blocs. Chaque utilisateur de la block-
chain stocke sur son poste une partie de l’information. Chaque ensemble de transaction
est validé par un nœud du réseau. Ce nœud matérialise le fait que cette information ait été
certifiée véridique par un système d’algorithmes. Les personnes qui réalisent ces tests sont
appelées les mineurs dans le cadre d’une des applications les plus célèbres de la blockchain,
le bitcoin.

106
 UE
COURS 4  Management des systèmes d’information 215

Le rôle du mineur est d’appliquer des calculs cryptographiques pour parvenir à dire si le bloc
ainsi analysé est conforme. Si tel est le cas, la transaction est alors visible par le récepteur
ainsi que pour l’ensemble du réseau.

b. Les procédés cryptographiques

Les procédés cryptographiques utilisés dans le cadre d’une blockchain sont au nombre de
deux.

➠➠ Le chiffrement à clé publique

Le chiffrement est une technique permettant de coder un message. Dans le cadre du chif­
frement symétrique, une clé est utilisée à la fois pour coder le message et pour le décoder. La
clé est un secret spécifique aux participants. Avec le chiffrement non symétrique, on utilise
deux clés, une clé publique qui est disponible pour tous et qui permet de coder le message,
et une clé privée qui est celle du seul destinataire et qui lui permet de le décoder.
Ce mécanisme peut s’utiliser en sens inverse ; l’émetteur d’un message peut le coder avec
sa clé privée et indiquer au destinataire qu’il est l’auteur du message, ce qui sera confirmé si
ce destinataire parvient à le décoder avec la clé publique. Il faut comprendre que le message
peut être lié à des informations secondaires, des métadonnées, informations sans aucune
valeur et ne nécessitant pas de confidentialité.

➠➠ Le hachage
Il s’agit d’un traitement capable d’extraire un code aléatoire d’un document long, une
empreinte. Tout document correspond à une empreinte unique, mais la connaissance de
l’empreinte ne renseigne en rien sur le contenu du document. Ainsi transmettre à son inter-
locuteur l’empreinte d’un document et le document lui-même permet de prouver que le
document n’a pas été modifié. En effet, la simple modification de ce document, d’une façon
même infime, modifie en profondeur la valeur de l’empreinte.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

La combinaison de ces deux techniques est à la base de la blockchain :

∙∙ une transaction est réalisée, puis son empreinte est calculée ;
∙∙ cette empreinte est codée avec la clé privée, ce qui en authentifie l’émetteur. L’intégralité
des données qui caractérisent un bloc fait à son tour l’objet d’un calcul d’empreinte,
qui est injecté dans le bloc suivant. Ainsi tout bloc est la garantie des blocs passés,
dont la moindre modification rendrait incohérente la valeur obtenue par le calcul des
empreintes ;
∙∙ le contenu de la blockchain est ainsi validé, tant au niveau de l’identité des personnes
ayant réalisé des transactions que concernant la nature des transactions elle-même.

c. L’écosystème de la blockchain
Un écosystème désigne l’ensemble des acteurs économiques intervenant dans l’offre de
blockchain.
Autour de la blockchain s’est créé un écosystème qui comprend quatre acteurs majeurs.

107
UE
215 Management des systèmes d’information COURS 4

➠➠ Les blockchain elles-mêmes

Elles correspondent à des livres de comptes, permettant d’enregistrer les utilisateurs et les
transactions d’un service donné. Le bitcoin correspond ainsi à la blockchain dans laquelle
sont enregistrées les transactions relatives à cette cryptomonnaie. Il existe, outre le bitcoin,
de nombreuses autres blockchain relatives à des cryptomonnaies. Par ailleurs, il existe des
blockchains, comme Ethereum, qui permettent à tout le monde de développer des applica-
tions, fonctionnant de façon sécurisée, transparente et décentralisée. Il existe également
une blockchain Muse, concernant la rémunération des droits d’auteur. NXT est une plate-
forme flexible autour de laquelle construire des applications et des services financiers.

➠➠ La couche technologique
Les entreprises concernées vont agir comme une interface technique entre la blockchain et
les services proposés. Cette interface technique est liée aux serveurs, modalités de transfert
et protocoles utilisés.

➠➠ La couche service
Cette couche accueille les applications utilisées directement par l’utilisateur final. Ce sont
ces applications qui vont constituer les innovations les plus visibles, puisque les possibilités
offertes sont sans limite. Par exemple, FACTOM, permet de certifier l’existence de docu-
ments et d’en suivre l’évolution au fil du temps. BlockVerity permet également de lutter
contre la contrefaçon touchant certains secteurs (luxe, médicament, diamants). Nous ver-
rons les applications possibles un peu plus loin.

➠➠ La couche utilisateur
Cette dernière est très vaste, puisque la blockchain peut s’adresser :
∙∙ aux États ;
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
aux acteurs privés ;
∙∙ aux associations ;
∙∙ aux particuliers.

∙ 2. Les différentes blockchains

Il est possible de distinguer trois sortes de blockchain selon le degré d’ouverture.

a. La blockchain publique
La blockchain publique est un registre ouvert à tous. Tout le monde peut y accéder et y
effectuer des transactions et participer au processus de vérification. Il n’y a aucun organisme
central, ni tiers de confiance. Son fonctionnement est basé sur les mécanismes collectifs de
vérification que chaque participant peut réaliser et pour lequel il est incité par des avantages
économiques. Pour le cas des crypto-actifs, ces avantages sont immédiats : obtenir des uni-
tés de la cryptomonnaie.

108
 UE
COURS 4  Management des systèmes d’information 215

Ce type de blockchain publique décentralisée est caractérisé par :

∙∙ un registre ouvert à tous ;
∙∙ des données consultables par tout utilisateur ;
∙∙ des données impossibles à falsifier.
Le fonctionnement d’une telle blockchain peut être schématisé de la façon suivante :
Fonctionnement d’une blockchain publique

Tous les membres du réseau détiennent une copie de la blockchain et participent au consensus de validation

Le réseau est ouvert à toute personne L’information est consultable par tous les membres
physique ou morale du réseau sans restriction
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

b. La blockchain permissionnée
Elle est contrôlée par un ensemble présélectionné de nœuds. Pour y être admis, un nouvel
entrant doit donc être validé par les nœuds. Cela peut se comparer à une place de marché
corporative dans laquelle seuls les membres de la corporation peuvent ouvrir un commerce.

109
UE
215 Management des systèmes d’information COURS 4

Le fonctionnement d’une telle blockchain peut être schématisé de la façon suivante :

Fonctionnement d’une blockchain permissionnée

Nœuds membres du consensus

Nœuds exclu du réseau par les membres du consensus
(ou de la corporation)

Nœuds autorisés à faire partie du réseau L’accessibilité à l’information contenue dans la blockchain
(personnes ayant reçu une délégation) est définie par des règles dictées par les membres du consensus

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
b. La blockchain privée
Dans ce cas l’accès en écriture est délivré par une organisation centralisée. En revanche,
les autorisations de lecture peuvent être publiques ou privées. Le réseau est accessible à
un nombre limité d’utilisateurs. Les nouveaux entrants doivent donc être autorisés par un
organisme central.
L’accessibilité aux données dépend des droits d’accès de chaque nœud.
Le mécanisme général repose sur la confiance dans les nœuds validateurs et dans celle de
l’organisme centralisateur.
On peut assimiler une blockchain privée à une base de données distribuées, qui permet-
trait de partager des données importantes et confidentielles entre les différentes entités du
groupe.
Une telle blockchain pourrait par exemple concerner la preuve des diplômes à l’origine du
droit d’exercer de certaines professions, comme les experts-comptables. Ces diplômes ali-
menteraient la base, et toute personne pourrait facilement vérifier que son interlocuteur
dispose des droits pour exercer la profession d’expert-comptable.

110
 UE
COURS 4  Management des systèmes d’information 215

Le fonctionnement d’une telle blockchain peut être schématisé de la façon suivante :

Fonctionnement d’une blockchain privée

∙ 3. L’apport
Comme nous l’avons dit, la blockchain permet de stocker et de transmettre des informations
transparentes, sécurisées et fonctionnant sans organe central de contrôle. Elle permet donc
de gérer des transactions à la fois transparentes, sécurisées et autonomes.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

a. La transparence
La blockchain procure suffisamment de confiance aux utilisateurs pour leur permettre
d’échanger sans l’intervention d’un tiers. En effet, le registre matérialisé par la blockchain est
à la fois chronologique, distribué, vérifiable et protégé contre les falsifications.
Nous avons démontré précédemment en quoi ce registre est vérifiable : c’est par le biais des
empreintes qu’il est possible de vérifier le contenu. Les données qui s’y trouvent sont donc
vraies. Il est par ailleurs impossible de les falsifier. Si une falsification était mise en place,
cela aboutirait à créer des discordances entre certains nœuds de la base. Ainsi, le nœud du
faussaire indiquerait une valeur différente du reste des membres. Ce nœud apparaîtrait donc
comme problématique et la fraude serait révélée au grand jour. Ce risque est plus élevé si la
blockchain est permissionnée.
Dans le cadre d’une blockchain publique, le risque interviendrait si un utilisateur pouvait
maîtriser plus de la moitié des nœuds, lui permettant alors de fausser les données et de
disposer d’une majorité des nœuds du réseau. Dans un tel cas, les nœuds minoritaires non
falsifiés seraient perçus comme problématiques. Ce risque est hypothétique si la base reste

111
UE
215 Management des systèmes d’information COURS 4

véritablement distribuée. En effet ce registre est distribué dans les ordinateurs de tous les
participants. Pour parvenir à coordonner une attaque sur un grand nombre de postes dis-
tincts, les ressources informatiques nécessaires à mobiliser sont démesurées.
Cette transparence se concrétise lors des transactions. Pour chaque transaction, les membres
du réseau interrogent l’historique pour s’assurer que la personne possède bien les actifs
qu’elle souhaite échanger. Si tel est le cas une transaction est créée et validée dans un bloc
associé au reste de la chaîne. Ainsi une blockchain contient l’historique de tous les échanges
effectués entre ses utilisateurs depuis sa création. Tout utilisateur peut consulter à tout
moment cet ensemble d’échange et transactions enregistrées.

b. La sécurité
La sécurité d’une blockchain repose sur trois mécanismes, qui constituent autant de
barrières.
La première barrière de sécurité est liée au recours au mécanisme de chiffrement à clé
publique/clé privée. La clé publique est donc connue de tous, comme peut l’être un RIB
correspondant à un compte bancaire. Cette clé publique n’a d’autre vocation que de recevoir
les transactions, comme un RIB peut recevoir un paiement. En revanche, pour réaliser véri-
tablement une transaction, il faut disposer de sa clé privée, unique, comme l’est le PIN ban-
caire. Ainsi, personne ne peut réaliser une transaction pour le compte d’une autre personne.
Personne ne peut retirer d’argent d’un compte bancaire sans disposer du PIN (sous réserve
bien sûr que ce code reste privé).
La deuxième barrière repose sur le processus de validation des blocs. La transaction doit être
validée par plusieurs nœuds du réseau (on parle alors de mineurs dans le contexte bitcoin)
qui vérifient la conformité de la transaction en résolvant un problème complexe, mais non
symétrique. En résolvant ce problème complexe, ils peuvent alors obtenir une information
qui permet une vérification instantanée et qui si elle est cohérente avec les informations

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
relatives au bloc permettent d’en valider le contenu.
La troisième sécurité est liée à la réplication de la base sur de nombreux nœuds. Pour falsifier
une information, il est nécessaire de la falsifier sur au moins 50 % des nœuds du réseau, ce
qui est hautement improbable dès lors que la base est suffisamment disséminée (voir point
précédent).

c. L’autonomie
Il est possible d’accéder par Internet à différents services en ligne, tels que les réseaux
sociaux, les paiements sécurisés, l’hébergement des données. Ces services sont assurés par
des plateformes qui contrôlent l’infrastructure nécessaire. Dans une blockchain la puissance
de calcul et l’hébergement sont fournis par les différents nœuds du réseau. Il n’est donc
pas nécessaire de mettre en place un serveur ou une plateforme dédiée, car chaque nœud
comporte une copie exhaustive du registre. Ce cela qui garantit l’autonomie des utilisateurs.

∙ 4. Les usages
Comme nous l’avons indiqué, les usages potentiels sont très nombreux.

112
 UE
COURS 4  Management des systèmes d’information 215

a. Les cryptomonnaies
L’usage le plus célèbre actuellement reste la notion de cryptomonnaies, et en particulier le
bitcoin.
Pour comprendre la notion de cryptomonnaie, il est nécessaire d’évoquer la notion de jeton.
Ces jetons sont définis juridiquement, par exemple dans le cadre du droit comptable.

« Constitue un jeton tout bien incorporel représentant, sous forme

numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés
ou transférés au moyen d’un dispositif d’enregistrement électronique
partagé permettant d’identifier, directement ou indirectement, le
propriétaire dudit bien. »
PCG, art. 619-1.

Ces jetons peuvent être classés dans trois grandes catégories fonctionnelles :
∙∙ les crypto-actifs comme monnaie d’échange et unité de valeur (coins), comme le bitcoin
ou la nouvelle vague de stablecoins qui ont pour ambition de maintenir une parité fixe
avec une devise traditionnelle ;
∙∙ les crypto-actifs ressemblant aux instruments financiers (security tokens), donnant droit
à une forme de participation à l’entreprise, sous forme de droits de participation à la
gouvernance ou d’intéressement aux profits futurs ;
∙∙ les crypto-actifs ayant une fonction utilitaire (utility tokens), ouvrant des droits d’accès
à des produits ou services futurs proposés par l’émetteur. Cette dernière catégorie est la
plus communément rencontrée, et peut s’apparenter à des bons d’achat virtuels valables
chez un commerçant donné.
Les cryptos actifs, comme le bitcoin, succèdent aux monnaies virtuelles, reconnues unique-
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

ment dans un contexte donné, comme des espaces de jeux en ligne entre internautes. Il
existe des mécanismes de basculement avec des monnaies réelles mais elles sont unique-
ment internes à la communauté utilisant la monnaie virtuelle. A contrario, le crypto-actif
acquiert une reconnaissance qui en fait une monnaie d’échange avec les monnaies réelles,
elle acquiert donc une valeur objective.
Dans le domaine financier ces cryptomonnaies peuvent même servir de source de finance-
ment complémentaire, au travers des ICO (Initial Coins Offering).

ICOs

Émetteur Utilisateur Bitcoin Services Compagny

Émission (= minage) Transactions directes Services intermédiés

via la blockchain – Conservation/change
(= paiement) – Conservation
– Acceptation

Sphère numérique/communautés virtuelles Économie réelle/sphère financière

113
UE
215 Management des systèmes d’information COURS 4

Ces ICO consistent à collecter des cryptomonnaies que vont amener des souscripteurs en
échanges de jetons électroniques émis par la firme et servant ensuite de contrepartie.
Que ce soient les cryptomonnaies ou les ICO, cela représente une possibilité complémen-
taire offerte à une firme, qui commence à prendre de l’importance et qui pourra justifier la
mise en place de procédures d’audit.

b. Les smart contracts

Il s’agit de programmes autonomes qui, une fois démarrés, exécutent automatique des
conditions définies au préalable et inscrites dans la blockchain. Ils consistent à choisir des
instructions conditionnelles aboutissant à satisfaire les conditions contractuelles prévues.
Ce type de contrat permet à deux acteurs de nouer une relation commerciale sans qu’ils
aient besoin de se faire confiance. Dans le cadre d’une blockchain, ces programmes sont
accessibles et consultables par toutes les parties autorisées et avec une exécution contrôlée
et vérifiable. Ils sont par exemple utilisés pour des contrats d’assurance pour les retards
d’avion. Si le retard est constaté, grâce aux données issues de la compagnie aérienne, alors le
contrat d’indemnisation se met en place sans avoir besoin de fournir d’autres pièces justifi-
catives. L’avantage d’une telle solution est de garantir que les termes du contrat ne pourront
pas être modifiés.
Dans une procédure classique, sans smart contract, les étapes sont les suivantes :
∙∙étape 1 : le client demande un devis ;
∙∙étape 2 : il souscrit au contrat ;
∙∙étape 3 : le sinistre couvert intervient ;
∙∙étape 4 : le client déclare le sinistre en fournissant les documents nécessaires ;
∙∙étape 5 : l’expert constate les dégâts ;
∙∙étape 6 : l’assureur et le client négocient les montants à indemniser ;
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
étape 7 : indemnisation du sinistre.
Le temps nécessaire peut être de plusieurs mois.
Dans le cadre d’une procédure avec smart contract, les étapes sont les suivantes :
∙∙étape 1 : devis et souscription du client, le devis peut être automatique grâce aux
informations sur le client présentes dans la blockchain ;
∙∙étape 2 : le sinistre couvert intervient ;
∙∙étape 3 : l’organisme météo envoie des données en temps réel sur l’orage à l’origine des
dommages, la position du client est repérée par GPS et un drone peut faire certaines
vérifications ;
∙∙étape 4 : l’indemnisation peut intervenir, en une semaine, grâce aux données fournies
par l’organisme météorologique, et les objets connectés experts sollicités.
Le traitement du dossier peut se faire en une semaine.

114
 UE
COURS 4  Management des systèmes d’information 215

c. Le traitement des factures

La société [Link] propose des modalités de gestion des factures à partir de la block-
chain. Cette société propose quatre services :
∙∙ automatisation des processus : dématérialisation des factures et de leur traitement ;
∙∙ stockage des informations dans une blockchain ;
∙∙ suivi en temps réel de la facture ;
∙∙ partage des données.
Dans ce contexte, [Link] permet d’utiliser les factures présentes dans la blockchain
comme un livre de compte accessible aux acteurs concernés, et basés sur des originaux !
Ainsi cette source de donnée unique pour les opérations de comptabilité et d’audit offre un
original accessible automatiquement et en temps réel. Les données ainsi proposées sont
immuables, les contrôles internes peuvent se faire en temps réel, et le partage des données
est facilité.
Le suivi des paiements proposé repose également sur le principe du smart contract et sécurise
les paiements complexes, basés sur la réalisation préalable d’un acte, et dans lesquels des
intermédiaires pouvaient intervenir, parfois à grands frais. Le recours à une blockchain
permet au contraire de gérer automatiquement le paiement à partir de conditions déclen-
chées par des objets experts.

Affacturage
Audit, taxes…
Assurance crédit

Livre de compte partagé

Entreprise A Entreprise B État en temps réel des factures
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Émission Réception Validation Paiement Comptabilité Archivage

de la facture de la facture
(écriture (écriture
de vente) d’achat)

Paiement
automatique via
smart contract

d. Les autres usages

De très nombreux projets se développent, qui touchent de très nombreux secteurs :
∙∙traçabilité des pièces détachées dans le secteur de l’automobile et de l’aéronautique ;
∙∙traçabilité des médicaments, pour en suivre le processus de fabrication permettant d’en
garantir l’intégrité et la provenance ;
∙∙traçabilité des produits de luxe, tels que les diamants, permettant de recenser les
transactions allant des mines jusqu’au joaillier.
Les potentialités sont énormes : la blockchain devrait constituer un socle à partir duquel
de nombreuses applications seront proposées, sans qu’il soit nécessaire d’en comprendre

115
UE
215 Management des systèmes d’information COURS 4

les fondamentaux. On peut comparer cette situation avec l’usage d’Internet. Internet repose
sur des technologies diverses et variées, que l’utilisateur ignore mais dont il bénéficie par le
biais de son navigateur. Au stade actuel, la blockchain correspondrait au cas d’Internet avant
l’apparition du navigateur. Quand son équivalent se rependra pour la blockchain, alors le
procédé se multipliera.

II. Thème 2 : les portails

Le modèle du portail est né avec le service MyYahoo en 1998. Différents outils se sont rapi-
dement positionnés sur ce nouveau créneau. Autour de l’année 2000, la notion de portail
sur l’Internet a connu une phase d’engouement mais la notion de portail n’est réellement
pertinente que pour une page d’accueil. Cela résulte du fait que, si un travail de classe-
ment et de référencement n’est pas réalisé en amont, il faut dépenser ensuite beaucoup plus
d’énergie pour retrouver les informations recherchées. Tandis que la frénésie se calmait côté
Internet, c’est finalement sur les intranets des entreprises que le concept de portail s’est
réellement imposé. C’est en janvier 2002 que le portail est arrivé à une phase de maturité.
Le vocabulaire du Web est très varié et technique. Il peut être difficile de faire la différence
entre les deux termes : « portail Web » et « site Web ». Cependant, les deux n’ont pas les
mêmes objectifs et ne couvrent pas les mêmes besoins.
L’objectif d’un site Web est de proposer à ses utilisateurs différents contenus. Ils sont
composés de textes et de médias et sont accessibles à tous via des adresses URL (Uniform
Resource Locator) qui dépendent d’un nom de domaine. Ils se distinguent en deux catégo-
ries : les sites statiques et les dynamiques. Les premiers ont un contenu figé, il est impos-
sible à l’internaute d’interagir avec. En revanche, les sites dynamiques ont un contenu qui
évolue continuellement en fonction des internautes qui peuvent, par exemple, donner des

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
avis, commenter des articles… Pour une entreprise, le site Internet a pour objectif de pré-
senter l’activité, ses offres et ses services.
Un portail Web est une plateforme où l’on trouve des ressources et des services pour les
internautes. Mais à la différence d’un simple site Web, il faudra dans la majorité des cas
utiliser un identifiant et un mot de passe pour accéder à ces contenus. Les sites portail sont
donc des sites Web dont la vocation première est de proposer aux internautes un large panel
de ressources et de services en rapport avec un thème, un métier, une zone géographique,
une communauté. Il s’agit donc d’un emplacement central permettant de mettre tout type
d’information à la disposition d’un large public. Les ressources offertes peuvent être de dif-
férentes natures : moteur de recherche spécialisé, messagerie électronique, outils de calcul
et de simulation, liens vers des sites tiers de référence, des forums de discussions ou des
blogs… Elles peuvent également être constituées de contenus éditoriaux propres au portail.
Un portail n’est donc pas un simple site de contenus. Au minimum, c’est un site qui inclut
des ressources applicatives, des services à valeur ajoutée qui justifient l’appellation. Un por-
tail donne aussi accès à des ressources qui ne lui appartiennent pas toutes : il propose des
services relevant d’autres sites, sa valeur ajoutée propre étant dans la sélection et la réu-
nion de ces outils. Un portail intègre également une dimension de personnalisation plus ou
moins élaborée.

116
 UE
COURS 4  Management des systèmes d’information 215

L’identification de l’internaute en amont permet de personnaliser les ressources accessibles

à chacun. De plus, dans des organisations comme les entreprises, le portail Web devient un
guichet unique vers le SI et les données de l’organisation, en fournissant, par exemple, à ses
utilisateurs :
∙∙ des contenus et des documents métiers ;
∙∙ des applications métiers et données de gestion ;
∙∙ des workflow et des applications de collaboration (planning, forum de discussion, etc.) ;
∙∙ des outils de reporting avec des indicateurs de pilotage et des tableaux de bord.
Les entreprises qui utilisent un portail Web ont pour objectif de renforcer et dynamiser la
relation avec leurs clients, partenaires, fournisseurs et/ou leurs collaborateurs. Les portails
Web permettent également de fédérer une communauté. Dans le cas d’un usage interne, à
destination des collaborateurs, le portail Web est souvent appelé « intranet ». À ce titre, le
portail devient une extension du système de gestion de l’organisation ou constitue l’ouver-
ture de ce système à l’extérieur.
Un portail Web est représenté comme un outil d’information et d’échange alors qu’un site
Web est considéré comme un outil de communication externe. Le terme de « portail » est
une bonne métaphore pour décrire ces portes d’entrée vers un « univers dédié » : les ren-
contres, la recherche de vidéos, les livres, les ventes aux enchères, la santé…

A. différents types de portails

On distingue deux catégories principales de portails : ceux d’informations d’entreprise et
ceux de gestion de contenu. Dans la plupart des cas, il est nécessaire de combiner ces deux

∙
implémentations pour répondre à tous les besoins d’une entreprise.

1.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Les portails d’informations d’entreprise

Ils visent essentiellement à regrouper une large gamme d’informations provenant de dif-
férentes sources sur un écran unique. En général, les utilisateurs de ces informations
n’effectuent pas de publication vers ce type de portail, ils sont plutôt consommateurs des
informations préparées et publiées par d’autres. Imaginons par exemple un portail d’entre-
prise proposant un accès aux éléments suivants :
∙∙ annonces des programmes et événements de l’entreprise, rapports financiers
trimestriels… ;
∙∙ rapports permettant aux utilisateurs d’obtenir des informations et/ou de prendre des
décisions ;
∙∙ actualités, cours des actions provenant du contenu syndiqué ;
∙∙ mise à disposition de messagerie, d’agenda de programmation des réunions… ;
∙∙ accès à des portails plus petits créés et gérés par des services indépendants au sein de la
société.
La présentation de ces informations peut être améliorée par des services de portail standard
comme la personnalisation du contenu d’une page et un moteur de recherche performant
permettant d’accéder rapidement aux informations essentielles.

117
UE
215 Management des systèmes d’information COURS 4

Un portail d’informations d’entreprise peut prendre en charge des milliers d’utilisateurs ou

seulement une poignée. Yahoo est un exemple de portail d’informations d’entreprise fré-
quemment utilisé : il fournit des données d’établissements financiers en temps réel, des
informations météorologiques et d’autres sources dans le monde entier. Un portail d’entre-
prise est ainsi une porte d’entrée vers des données du SI de l’entreprise pour l’ensemble du
personnel et éventuellement les partenaires. C’est le moyen le plus sûr, le plus rapide et le
plus rentable de donner aux clients, partenaires, collaborateurs et actionnaires, un accès
unique à la bonne information, au bon moment et au bon endroit. Autrement dit, un portail
d’entreprise est une fenêtre ouverte sur des informations de l’entreprise.

∙ 2. Les portails de gestion de contenu

Ils sont conçus pour améliorer l’accès aux informations et leur partage. Dans des portails de
ce type, les fonctions de publication en libre-service permettent aux utilisateurs d’envoyer
et de partager tout type de document ou de contenu Web avec d’autres utilisateurs, quelle
que soit leur situation géographique. Imaginons par exemple un groupe de développement
composé d’ingénieurs, de chefs de produit et d’ingénieurs en assurance de la qualité, dis-
persés aux quatre coins du monde. Chacun dispose de documents qu’il doit partager avec
des membres de son équipe, mais aussi avec d’autres groupes. Presque chaque utilisateur
peut ajouter des documents au portail. Certains disposent de privilèges qui leur permettent
de modifier des documents produits par d’autres utilisateurs ou groupes d’utilisateurs. À la
différence d’un portail d’informations d’entreprise, ce type de portail permet à la plupart des
utilisateurs de publier et d’extraire des informations au sein de la structure de portail.
Les utilisateurs d’un portail de gestion de contenu utilisent généralement les services
suivants :
∙∙ fonctionnalités d’extraction/de réinsertion empêchant les utilisateurs d’écraser les
modifications apportées par d’autres ;
∙∙ contrôle de version permettant de conserver ou d’écraser des versions successives d’un

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
élément donné ;
∙∙ mécanisme de sécurité protégeant le contenu de toute visualisation ou manipulation
non autorisée ;
∙∙ workflow établissant le processus régissant l’échange des documents ou des demandes
entre les utilisateurs ;
∙∙ mécanismes organisationnels permettant de créer une structure de contenu que
l’utilisateur du portail peut facilement parcourir.
Cette liste de services ne s’applique pas seulement aux portails de gestion de contenu. Les
créateurs des portails d’informations d’entreprise peuvent également tirer profit de certains
d’entre eux.

B. intérêt des portails

Alors que de plus en plus d’applications d’entreprises sont en mode Web, la page d’accueil
est plus qu’un simple pivot dans le travail de chaque collaborateur. Elle devient un véri-
table tableau de bord, grâce au portail. Au lieu de simplement donner accès aux différentes

118
 UE
COURS 4  Management des systèmes d’information 215

applications, la page portail intègre les applications, de sorte qu’en un seul coup d’œil, sans
un seul clic de souris, l’utilisateur a accès à l’essentiel.
En matière de marketing, étant un point d’accès centralisé, le site portail devient aussi une
sorte de carrefour d’audience. C’est cela qui est intéressant, car le trafic est important pour
l’e-marketing. Plusieurs avantages sont ainsi à la portée des entreprises disposant d’un site
portail :
∙∙ plus de visibilité et de partages ;
∙∙ personnalisation du site portail afin qu’il soit affiché comme page de démarrage de
navigateur ou gardé en favori ;
∙∙ les rentrées publicitaires ;
∙∙ le maintien du nombre de visiteurs sur le site portail ;
∙∙ la multiplication du nombre de pages consultées, etc.

III. Thème 3 : le RGPD

Le RGPD (de l’anglais General Data Protection Regulation) est un règlement de l’Union euro-
péenne (UE) qui constitue le texte de référence en matière de protection des données
à caractère personnel. Il renforce et unifie la protection des données pour les individus au
sein de l’UE.
Le RGPD repose sur la notion de données personnelles, c’est-à-dire toute information qui se
rapporte à une personne physique identifiée ou identifiable. Une « personne physique iden-
tifiable » est une personne physique qui peut être identifiée, directement ou indirectement,
notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des
données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

à son identité physique, physiologique, génétique, psychique, économique, culturelle ou

sociale.
Ces données peuvent porter atteinte de différentes façons aux droits des individus et le
RGPD met ainsi en avant cinq éléments clés permettant d’assurer la protection des citoyens
quant à l’utilisation de leurs données personnelles.

A. principes et notions
Le RGPD repose sur une série de principes.

∙ 1. Principe de responsabilité (accountability)

Avant le RGPD, il fallait déclarer les traitements avant de les réaliser. Le RGPD inverse le pro-
cessus et impose aux entreprises de s’autoréguler et de prouver à tout moment leur confor-
mité. Elles doivent donc mettre en place des procédures, les documenter et tenir un registre
des traitements qui recense tous les traitements effectués sur des données à caractère per-
sonnel dans l’entreprise et ceux confiés à des sous-traitants.

119
UE
215 Management des systèmes d’information COURS 4

Elles doivent aussi pouvoir justifier du respect des droits des personnes concernées. Par
exemple, il faut pouvoir prouver qu’on les informe clairement et de façon transparente sur
l’usage de leurs données.

∙ 2. Principe de données privées

La logique de conception des bases de données change : une donnée personnelle est suppo-
sée rester privée et protégée, sauf à démontrer son utilité.
On distingue à ce titre deux variantes :
∙∙privacy by design : il faut prévoir la sécurisation des données en amont du projet et tout
mettre en œuvre pour les protéger ;
∙∙privacy by default : il faut limiter la collecte de données à ce qui est strictement nécessaire,
les traiter avec précaution et limiter les personnes et organisation qui y ont accès.

∙ 3. Principe de transparence
Il faut indiquer aux personnes concernées de façon claire et intelligible quelle utilisation de
leurs données il va être fait. Il faut également leur indiquer leurs différents droits Certains
droits ont été créés par le règlement : portabilité et droit à l’oubli pour permettre de transfé-
rer facilement des données d’une organisation à une autre ou de les détruire.
Par ailleurs, toute entreprise qui serait victime d’une violation des données personnelles
qu’elle utilise doit prévenir la Cnil sous 72 heures afin d’informer les personnes concernées,
potentielles victimes de la violation. Celles-ci peuvent alors demander réparation des préju-
dices matériels et moraux subis.

∙ 4. Principe de cascade

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Avant le RGPD, seul le responsable du traitement pouvait être sanctionné. Maintenant, les
sous-traitants sont aussi tenus comme responsables en cas de manquement.
Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de
confidentialité et en matière de responsabilité. Il a notamment une obligation de conseil
auprès du responsable de traitement pour la conformité à certaines obligations du règle-
ment (failles, sécurité, destruction des données, contribution aux audits).
Il est tenu de maintenir un registre et de désigner un DPO (Data Protection Officer) dans les
mêmes conditions qu’un responsable de traitement.

∙ 5. Le DPO
Nomination d’un délégué à la protection des données (DPD ou DPO en anglais) qui servira
d’interlocuteur avec la Cnil (dans un contexte français).
La nomination d’un DPO est obligatoire :
∙∙ si l’organisation est une autorité ou un organisme public ;
∙∙ si les activités de base amènent à réaliser un suivi régulier et systématique des personnes
à grande échelle ;

120
 UE
COURS 4  Management des systèmes d’information 215

∙∙sioulesrelatives
activités de base amènent à traiter à grande échelle des données dites « sensibles »
à des condamnations pénales et infractions.
Au-delà de ces cas obligatoires, la désignation d’un délégué à la protection des données est
recommandée, car elle permet de disposer d’un expert chargé de la mise en œuvre concrète
et du pilotage de la conformité au règlement européen.

Exemples
Les lignes directrices du G29 sur le délégué à la protection des données adoptées le 5 avril 2017
donnent deux exemples de désignation obligatoire d’un délégué par un sous-traitant :
Exemple n° 1 : une petite entreprise familiale active dans le secteur de la distribution d’appa-
reils électroménagers dans une seule ville recourt aux services d’un sous-traitant dont l’activité de
base consiste à fournir des services d’analyse de sites Internet et d’assistance à la publicité et au
marketing ciblés. Les activités de l’entreprise familiale et ses clients n’entraînent pas de traitement
de données à « grande échelle », compte tenu du faible nombre de clients et des activités relative-
ment limitées. Toutefois, prises globalement, les activités du sous-traitant, qui dispose d’un grand
nombre de clients comme cette petite entreprise, consistent en un traitement à grande échelle.
L’entreprise familiale n’est quant à elle pas soumise à l’obligation de désigner un délégué.
Exemple n° 2 : une entreprise de taille moyenne spécialisée dans la fabrication de carrelage
sous-traite ses services de médecine du travail à un sous-traitant externe, qui dispose d’un grand
nombre de clients similaires dans le département du Tarn. Le sous-traitant doit désigner un délé-
gué dans la mesure où le traitement s’effectue à grande échelle. En revanche, le fabricant n’est pas
nécessairement tenu de désigner un délégué.
Le délégué désigné par un sous-traitant supervise également les activités menées par l’organisa-
tion sous-traitante lorsqu’elle agit elle-même en qualité de responsable du traitement des don-
nées (ex. : ressources humaines, informatique, logistique).
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

B. droits des personnes

L’un des buts de la réforme européenne est d’octroyer davantage de contrôle et de visibilité
aux personnes concernées. L’article 12 du RGPD oblige le responsable de traitement à pré-
voir des procédures et des mécanismes permettant à la personne concernée d’exercer ses
droits. Il consacre le principe de transparence : toute information adressée au public ou à
la personne concernée doit être aisément accessible et facile à comprendre dans une forme
concise et transparente, et formulée en termes simples et clairs – spécialement à l’égard
d’un enfant. Par ailleurs, les informations seront fournies par écrit et sans frais. Le règlement
prévoit également des délais de réactions maximums. Ces modalités peuvent s’appliquer aux
différents droits prévus par le RGPD.
∙∙ Le droit à l’information (art. 13 et 14 du RGPD) : lorsque des données à caractère
personnel relatives à une personne concernée sont collectées auprès de cette personne,
le responsable du traitement lui fournit, au moment où les données en question sont
obtenues, toutes une série d’informations. Le responsable de traitement doit également
lui fournir des informations lorsqu’elles n’ont pas été collectées auprès de la personne
concernée.

121
UE
215 Management des systèmes d’information COURS 4

∙∙responsable
Le droit d’accès (art. 15 du RGPD) : la personne concernée a le droit d’obtenir du
du traitement la confirmation que ses données personnelles sont ou ne sont
pas traitées et, lorsqu’elles le sont, elle a le droit d’obtenir l’accès ainsi que celui d’obtenir
une copie des données qui font l’objet d’un traitement.
∙∙ Le droit de rectification (art. 16 du RGPD) : la personne concernée a le droit de demander
que ses données soient rectifiées ou complétées, et ce dans les meilleurs délais.
∙∙ Le droit d’effacement ou « droit à l’oubli » (art. 17 du RGPD) : la personne concernée a
le droit de demander l’effacement de ses données, dans les meilleurs délais, si l’un des
motifs prévus s’applique. Si les données de la personne concernée ont été transmises
à d’autres entités, le mécanisme du « droit à l’oubli » s’enclenche : le responsable de
traitement devra prendre toutes les mesures raisonnables pour informer les autres
entités que la personne concernée a demandé l’effacement de tout lien vers ses données
personnelles, ou de toute copie ou reproduction de celles-ci.
∙∙ Le droit à la limitation du traitement (art. 18 du RGPD) : la personne concernée a le droit,
dans certains cas prévus par la loi, d’obtenir du responsable du traitement la limitation
de ses données. Lorsqu’une telle limitation est demandée, le responsable de traitement
ne pourra plus que stocker les données. Aucune autre opération ne pourra, en principe,
avoir lieu sur ces données personnelles.
∙∙ L’obligation de notification du responsable (art. 19 du RGPD) : cet article met en
place une obligation de notification à charge du responsable de traitement qui l’oblige
à communiquer à chaque destinataire des données toute rectification, effacement ou
limitation du traitement.
∙∙ Le droit à la portabilité des données (art. 20 du RGPD) La personne concernée a le droit
de récupérer les données qu’elle a fournies au responsable de traitement, dans un format
structuré, couramment utilisé et lisible par machine, et a le droit de transmettre ces
données à un autre responsable du traitement, par exemple pour pouvoir changer de
fournisseur de service. Ce droit ne peut être utilisé que si le traitement des données est

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
basé sur le consentement de la personne concernée ou sur un contrat.
∙∙ Le droit d’opposition (art. 21 du RGPD) : la personne concernée a le droit de s’opposer
à tout moment, pour des raisons tenant à sa situation particulière, à un traitement
des données à caractère personnel la concernant, fondé sur l’intérêt public ou l’intérêt
légitime du responsable de traitement, y compris le profilage basé sur ces dispositions.
La personne concernée a également le droit de s’opposer à ce que ses données soient
traitées à des fins de marketing direct.
∙∙ Le droit de ne pas être soumis à une décision individuelle automatisée (art. 22 du
RGPD) : la personne concernée a le droit de ne pas être soumise à une décision résultant
exclusivement d’un traitement automatisé produisant des effets juridiques la concernant
ou l’affectant de manière significative de façon similaire. Le profilage y est expressément
inclus.
∙∙ Le droit à la communication d’une violation de données à caractère personnel (art. 34
du RGPD) : le responsable de traitement est obligé de notifier à la personne concernée les
violations de données susceptibles de l’exposer à un risque élevé à ses droits et libertés.

122
 UE
COURS 4  Management des systèmes d’information 215

Le règlement a en outre prévu une protection spécifique pour les enfants, ces derniers étant
moins conscients des risques, des conséquences et de leurs droits en matière de protection
des données.
L’article 8 du RGPD prévoit que lorsque des services de la société de l’information sont direc-
tement proposés à un enfant, le consentement au traitement des données de l’enfant doit
être donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de cet enfant.

C. RGPD et audit
L’entreprise est responsable du respect de la protection des données personnelles. Depuis
son entrée en vigueur, les entreprises établies dans l’UE, mais aussi celles en dehors de l’UE
lorsque ces dernières traitent des données relatives aux activités des entreprises et des orga-
nisations de l’UE, doivent appliquer le RGPD.
De plus, l’entreprise est chargée de démontrer qu’elle est en conformité avec les nouvelles
règles. En cas de non-respect, le montant de la sanction financière pourra atteindre 20 M€
ou 4 % du CA annuel mondial. Les risques attachés au non-respect de la réglementation
font du RGPD un axe majeur d’audit par le CAC. Celui-ci vérifiera, notamment lors de ses
contrôles, que l’entreprise auditée :
∙∙ tient un registre dans lequel sont consignées certaines informations et documente tous
les traitements de données personnelles ;
∙∙ dispose de responsables en mesure, en cas de violation des données à caractère personnel,
d’alerter la Cnil dans les meilleurs délais, si possible dans les 72 heures après en avoir pris
connaissance ;
∙∙ nomme un DPO et un CIL (correspondant informatique et libertés) lorsqu’elle est un
établissement public ou une entreprise qui effectue des traitements sur des données
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

sensibles ;
∙∙ prend en compte le respect de la vie privée dès la conception des SI « privacy by design » ;
∙∙ respecte par défaut un niveau très élevé de protection avant le lancement de tout
nouveau traitement « privacy by default » ;
∙∙ réalise et documente des analyses d’impacts en cas de risques avérés ;
∙∙ obtient un consentement positif et explicite des citoyens de l’UE afin de recueillir leurs
données ;
∙∙ fournit un délai aux particuliers de détention de leurs données personnelles.
Comme toujours, le CAC pourra organiser son travail par le biais de questionnaires lui per-
mettant de couvrir tous les aspects d’un problème et précisant en premier lieu le risque
correspondant.

123
 UE
215

Exercices autocorrigés

EXERCICE 1
ÉNONCÉ

Le modèle client-serveur est une architecture d’application distribuée qui partitionne la

tâche ou la charge de travail entre les fournisseurs d’une ressource ou d’un service. Dans
l’architecture client-serveur, lorsque l’ordinateur client envoie une demande de données au
serveur via Internet ou sur un réseau local, le serveur accepte le processus demandé et ren-
voie les paquets de données demandés au client. Les clients ne partagent aucune de leurs
ressources.

ANNEXE
Schéma du VPN
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

L’architecture client-serveur
1 - Requête

Client 1 Réseau

Serveur
2 - Réponse
Client 2

Internet

Certificat contenant Client VPN Tunnel VPN Serveur VPN Clé privée sur
la clé publique (données cryptées) le serveur VPN permettant
de cryptage de décrypter les messages

125
UE
215 Management des systèmes d’information COURS 4

TRAVAIL À FAIRE
1. Définissez la notion d’architecture client-serveur.
2. Quel est le rôle d’un système d’exploitation ?
3. Expliquez la différence entre client léger et client lourd.
4. Expliquez les architectures deux tiers, trois tiers, quatre tiers.
5. Expliquez l’expression « on premise ».
6. Qu’apporte la virtualisation des serveurs ?
7. Qu’apporte l’hébergement ?
8. Le cloud est-il associable à une offre client-serveur ?
9. Quelle est l’utilité d’un VPN ?

CORRIGÉ
Définissez la notion d’architecture client-serveur.
Il s’agit d’un réseau hiérarchisé dans lequel les ressources sont concentrées sur un poste
particulier, le serveur, qui est chargé de répondre aux demandes des autres postes, les
clients. Un tel réseau s’oppose à un réseau de pair à pair dans lequel chaque poste peut
indifféremment répondre ou faire des demandes.
2. Quel est le rôle d’un système d’exploitation ?
Il sert d’interface entre le matériel et les logiciels applicatifs. Il définit les droits, il gère la
mémoire, les fichiers, les interfaces avec le matériel. Il s’agit d’un point capital dans toute
architecture.
3. Expliquez la différence entre client léger et client lourd.
Le partage client-serveur concerne trois notions :
∙∙
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
les données ;
∙∙ les traitements ;
∙∙ l’affichage.
Client lourd : le serveur gère les données, mais le poste client fait le reste.
Client léger : le serveur gère les données et les traitements, et le client gère l’affichage.
On peut parler de client Web, car il utilise des modalités d’affichages Internet. Le bascu-
lement vers le client léger est source d’économie pour la firme.
4. Expliquez les architectures deux tiers, trois tiers, quatre tiers.
Dans l’architecture 2 tiers, on relie le client et le serveur
Dans une architecture 3 tiers, on va décomposer les serveurs, distinguant serveur appli-
cation et serveur données.
Client-serveur application serveur données
Les serveurs sont spécialisés souvent virtuellement (il n’y a qu’un serveur physique) mais
on parvient à faire coexister plusieurs serveurs logiques, assurant chacun une mission.

126
 UE
COURS 4  Management des systèmes d’information 215

Exemples :
∙∙ serveur FTP, pour le transfert de fichier ;
∙∙ serveur messagerie : mail ;
∙∙ serveur DHCP : l’attribution des adresses IP ;
∙∙ serveur authentification.
Dans une architecture 4 tiers, on décompose de la façon suivante :
client serveur Web serveur applicatif serveur données
5. Expliquez l’expression « on premise ».
Cela correspond à un choix de logiciel résident sur les serveurs de l’entreprise, et non à
distance par le biais d’une offre SAAS.
6. Qu’apporte la virtualisation des serveurs ?
La virtualisation consiste, à partir d’un serveur physique, à programmer la coexistence de
plusieurs serveurs logiques qui assurent un service. En termes de coût d’infrastructure,
de maintenance, d’occupation…, cette solution est beaucoup moins onéreuse.
Elle permet d’utiliser au mieux la puissance des serveurs en leur faisant réaliser des
tâches parallèles.
7. Qu’apporte l’hébergement ?
Cela permet de délocaliser le serveur dans des locaux spécialisés. La sécurité est plus
élevée, la consommation électrique est optimisée, la disponibilité du serveur s’en trouve
améliorée. Il est possible de se détacher encore plus de la gestion des serveurs. Ce
concept d’hébergement permet de réaliser un cloud privé.
8. Le cloud est-il associable à une offre client-serveur ?
Le cloud désigne un lien internet avec un serveur à distance. L’expression client-serveur
correspond plus à un choix interne de l’entreprise.
similitude = accès à distance ; différence = offre interne/offre externe.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

9. Quelle est l’utilité d’un VPN ?

On parle de réseau privé virtuel (en anglais virtual private network). Il s’agit de réseaux
qui utilisent les infrastructures publiques d’Internet mais qui parviennent à créer une
connexion sécurisée directe entre les postes d’un réseau privé, ce qui donne l’apparence
d’un réseau privé étendu. Cela repose sur le chiffrement et la réalisation de tunnels de
transmission.

127
UE
215 Management des systèmes d’information COURS 4

EXERCICE 2
ÉNONCÉ
Concernant l’impact, la Cnil (dans le cadre de l’application du RGPD) propose un référentiel
d’identification. Dans le cadre de ce référentiel, la Cnil distingue :
∙∙ l’impact négligeable : les personnes concernées ne seront pas impactées ou pourraient
connaître quelques désagréments qu’elles surmonteront sans difficulté.
Exemples d’impacts :
‒‒ corporels : maux de tête passagers,
‒‒ matériels : perte de temps pour réitérer des démarches ou pour attendre de les réaliser,
réutilisation des données à des fins de publicité ciblée pour des produits de consom-
mation courante, etc.,
‒‒ moraux : simple contrariété, sentiment d’atteinte à la vie privée sans préjudice réel
(intrusion commerciale), etc. ;
∙∙ l’impact limité : les personnes concernées pourraient connaître des désagréments
significatifs qu’elles pourront surmonter malgré quelques difficultés.
Exemples d’impacts :
‒‒ corporels : affection physique mineure (ex. : maladie bénigne suite au non-respect de
contre-indications), diffamation donnant lieu à des représailles physiques, etc.,
‒‒ matériels : paiements non prévus (ex. : amendes erronées), refus d’accès à des services
administratifs ou commerciaux, publicité ciblée en ligne sur un aspect de la vie privée
que la personne souhaitait garder confidentiel, etc.,
‒‒ moraux : affection psychologique mineure mais objective, sentiment d’atteinte à la vie
privée sans préjudice irrémédiable, intimidation sur les réseaux sociaux, etc. ;
∙∙ l’impact important : les personnes concernées pourraient connaître des conséquences
significatives qu’elles devraient pouvoir surmonter mais avec des difficultés réelles et

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
significatives.
Exemples d’impacts :
‒‒ corporels : affection physique grave causant un préjudice à long terme (aggravation de
l’état de santé suite à une mauvaise prise en charge ou au non-respect de contre-indi-
cations), altération de l’intégrité corporelle, etc.,
‒‒ matériels : détournements d’argent non indemnisé, opportunités ciblées, uniques
et non récurrentes, perdues (prêt immobilier, études, stages ou emploi, interdiction
d’examen), perte de logement, perte d’emploi, etc.,
‒‒ moraux : affection psychologique grave (dépression, phobie), sentiment d’atteinte à
la vie privée et de préjudice irrémédiable, victime de chantage, cyberharcèlement et
harcèlement moral, etc. ;
∙∙ l’impact maximal : les personnes concernées pourraient connaître des conséquences
significatives, voire irrémédiables, qu’elles pourraient ne pas surmonter.
Exemples d’impacts :
‒‒ corporels : affection physique de longue durée ou permanente, altération définitive de
l’intégrité physique, décès, etc.,

128
 UE
COURS 4  Management des systèmes d’information 215

‒‒ matériels : péril financier, dettes importantes, impossibilité de travailler, impossibilité

de se reloger, perte de preuves dans le cadre d’un contentieux, perte d’accès à une
infrastructure vitale (eau, électricité), etc.,
‒‒ moraux : affection psychologique de longue durée ou permanente, sanction pénale,
enlèvement, perte de lien familial, impossibilité d’ester en justice, changement de sta-
tut administratif et/ou perte d’autonomie juridique (tutelle), etc.
Les menaces envers les données personnelles sont de trois types :
∙∙ perte de disponibilité : disparition définitive ou temporaire des DCP (données à caractère
personnel) ;
∙∙ défaut de confidentialité : accès illégitime aux DCP ;
∙∙ défaut d’intégrité : modification non désirée des DCP.
La vraisemblance des menaces est fonction des mesures de sécurité qui sont en place, mais
aussi des catégories de DCP qui sont concernées. Il y a plus de risques qu’un défaut de confi-
dentialité soit exploité si les DCP sont sensibles (données bancaires, données de santé, etc.)
que pour de simples données d’identification. Pour évaluer le degré de vraisemblance, on
pourra retenir une grille permettant de graduer les situations :
∙∙ exceptionnel : difficile à imaginer ;
∙∙ peu probable : pas d’incident à ce jour ;
∙∙ probable : c’est déjà arrivé une fois ;
∙∙ quasi certain : ça arrive fréquemment.

TRAVAIL À FAIRE
1. Donnez votre évaluation des scénarios suivants :

Scénario 1
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Un salarié d’une entreprise est soudoyé par une firme concurrente pour obtenir le fichier
des adresses mails des clients de l’entreprise. Ces clients vont alors être sollicités par mail de
façon non autorisée.
Scénario 2
Un organisme de recrutement soudoie un organisme hospitalier pour avoir accès au dossier
patient informatisé.
Scénario 3
Un réseau social est piraté et des données sont diffusées dans le public.

2. Indiquez si une étude d’impact vous semble nécessaire.

Scénario 1
Une entreprise met en place un traitement publicitaire visant à collecter les données de
géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et leur
afficher de la publicité ciblée en fonction de leurs déplacements.

129
UE
215 Management des systèmes d’information COURS 4

Scénario 2
Une compagnie d’assurances souhaite mettre en place un score permettant de déterminer
le tarif des contrats, et ce à partir de renseignements de santé.
Scénario 3
Dans le cadre de Parcourssup, les étudiants indiquent leur dossier et leurs vœux. Ce méca-
nisme collecte des données sensibles à grande échelle, et dans le but de les faire bénéficier
d’un contrat.
Scénario 4
Dans le cadre de son activité, un expert-comptable constitue une base de données sur ses
clients.

CORRIGÉ
1. L’évaluation des scénarios
Scénario 1
Un salarié d’une entreprise est soudoyé par une firme concurrente pour obtenir le fichier
des adresses mails des clients de l’entreprise. Ces clients vont alors être sollicités par mail
de façon non autorisée.
Le scénario peut être considéré comme probable avec un impact négligeable, sur la
confidentialité.
Scénario 2
Un organisme de recrutement soudoie un organisme hospitalier pour avoir accès au dos-
sier patient informatisé.
Le scénario peut être considéré comme peu probable mais avec un impact important.
Scénario 3

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Un réseau social est piraté et des données sont diffusées dans le public.
Le scénario peut être considéré comme probable mais avec un impact limité.
2. La nécessité d’une étude d’impact
Scénario 1
Une entreprise met en place un traitement publicitaire visant à collecter les données de
géolocalisation de plusieurs millions d’individus pour créer des profils publicitaires et
leur afficher de la publicité ciblée en fonction de leurs déplacements.
Le traitement est réalisé à grande échelle. Basée sur la géolocalisation, une étude d’im-
pact est indispensable.
Scénario 2
Une compagnie d’assurances souhaite mettre en place un score permettant de détermi-
ner le tarif des contrats, et ce à partir de renseignements de santé.
L’application va aboutir à un score contenant des données médicales donc sensibles. Une
étude d’impact est nécessaire.

130
 UE
COURS 4  Management des systèmes d’information 215

Scénario 3
Dans le cadre de parcours sup, les étudiants indiquent leur dossier et leurs vœux. Ce
mécanisme collecte des données à grande échelle, sensibles et dans le but de faire béné-
ficier d’un contrat.
Le traitement est réalisé à grande échelle avec des enjeux de choix juridiques, une étude
d’impact est nécessaire.
Scénario 4
Dans le cadre de son activité, un expert-comptable constitue une base de données sur
ces clients.
L’impact sur la vie privée peut être évalué à limité, avec un risque peu probable de pira-
tage. Une étude d’impact n’est pas nécessaire.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

131
 UE
215

Index

Annuaire LDAP 34 COBIT 67

ARCA (logiciel d’aide à la révision comptable Composante logicielle 24
et à l’audit) 91 Composante réseau 32
Architectures RAID 39 Contrôle interne du SI 96
Audit 57 Contrôles applicatifs 101
Audit assisté par ordinateur 81 Cryptographie 47
Audit légal 92 – dite asymétrique 48
Blockchain 105 – dite symétrique 48
BYOD (Bring Your Own Device) 23 – mathématique 48
Certificats 52 – mécanique 48
Chiffrement à clé publique 107 – quantique 48
Chiffrement asymétrique 50 Cryptomonnaie 113
Clé privée 49 Défacement 38
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Clé publique 49 DPO (Data Protection Officer) 120

Client léger 33 ERP 21
Client-serveur 14, 33 Ethernet 19
– n couches 34 FEC (fichier des écritures comptables) 84
– serveur d’applications 34 Fibre Channel 40
– serveur d’impression 34 Fonction de hachage 51
– serveur de domaine 34 Formats 83
– serveur de données ou de fichiers 34 Hachage 107
– serveur de groupware 34 Internet 14
– serveur de messagerie 34 ITIL 74
– serveur DHCP 34 Journalisation d’activité 43
– serveur DNS 34 Loi de Moore 16
– serveur FTP 34 Machine virtuelle 45, 46
– serveur proxy ou mandataire 34 Matrice RACI 72
– serveur Web 34 Méthode de filtrage 42
Cloud computing 15, 44 Middleware 33

133
UE
215 Management des systèmes d’information COURS 4

Non-répudiation 49 Risques 59
Ordinateur central 13 RPV (réseau privé virtuel) 52
Pare-feu 41 Scalabilité 44
Passerelle applicative 43 Signature électronique 50
PCA (plan de continuité d’activité) 54 Smart contracts 114
Politique de sécurité 42 Solution SAN 40
Portabilité 45 TCP/IP 19
Portails 116 Virtualisation 44
Protocole SSL 52 Virtualisation du poste de travail 45
Proxy 43 Wintel 14
Référentiels 67
RGPD (Règlement général sur la protection
des données) 119

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

134
2021/2022
UE 215 Management

des systèmes
d’information

Devoir 4

À déposer pour correction : Auteur : Jean-Ludovic Dietz

[Link]

Remarques
Ce dernier devoir a pour objectif de vous tester à la fois sur le cours 4 mais également sur les points
les plus importants. Il a pour base un sujet d’examen qui aurait pu être proposé à l’épreuve d’exa-
men final de l’UE et qui constitue donc un très bon cadre pour juger de votre degré de préparation.
Il peut être réalisé en temps limité et a été prévu pour une durée de 3 heures. Il est noté sur
60 points et se compose de trois dossiers.
Après correction, la note sera ramenée sur 20 points.

EXERCICE CAS ADALBERT

Le groupe ADALBERT est issu d’une entreprise fondée en 1905, une simple pâtisserie bre-
tonne. Ce groupe a développé un savoir-faire dans la création de gâteaux secs type sablés et
les diffuse dans de nombreux circuits de distribution dont essentiellement les grandes et
moyennes surfaces. Le groupe s’est construit par le rachat progressif de pâtisseries indus-
trielles et est aujourd’hui l’un des leaders sur le marché dans le domaine des sablés. Le
groupe compte actuellement sept usines qui emploient environ1 000 personnes.
Le groupe ADALBERT envisage aujourd’hui de s’internationaliser afin de s’assurer de nou-
veaux débouchés.
Les usines sont réparties dans différentes villes de France (Quimper, Rennes, Saverne,
Montpellier, Toulouse, Bordeaux et Lyon). Celles-ci sont des filiales à 100 % de la société
holding tête de groupe contrôlée par les familles fondatrices.
Le siège de la société holding, où travaillent une trentaine de personnes, est situé à Caen
près de la première pâtisserie construite en 1905 et qui emploie aujourd’hui 225 personnes.
Les autres usines ont été acquises par croissance externe à partir des années 1980.

135
UE
215 Management des systèmes d’informationDEVOIR 4

La crise sanitaire du début de l’année 2020, même si elle n’a pas affecté les fondamentaux de
la firme, a incité l’équipe dirigeante actuelle à mettre en place de nombreux chantiers stra-
tégiques dans lesquels le système d’information tient une place centrale. C’est pour cela que
le profil du DSI actuel, à la fois technicien mais aussi très compétent pour tous les aspects
managériaux, est apprécié pour sa capacité à comprendre les priorités stratégiques et les
changements associés qu’il faut apporter à l’infrastructure actuelle.
L’équipe dirigeante réfléchit à trois axes stratégiques pour les années à venir :
∙∙ poursuivre le développement de l’activité et débuter une ouverture internationale.
Un projet qui consisterait à prendre 51 % du capital d’une entreprise allemande de
taille comparable au groupe ADALBERT est en cours de négociation. Cette acquisition
permettrait de pénétrer de nouveaux marchés et compléterait l’offre commerciale
actuelle ;
∙∙ favoriser le télétravail et les commandes numériques à distance. Au-delà des simples
fonctions supports qui sont éligibles au télétravail, le suivi même des chaînes de
fabrication pourrait se faire pour partie à distance, l’essentiel de la réalisation de l’offre
étant automatisé ;
∙∙ développer des relations de partenariat tant avec ses fournisseurs qu’avec ses clients. Afin
d’aller plus avant dans cette logique de filière, le groupe a mis en place un extranet pour
faciliter ses échanges commerciaux et techniques. Les partenaires du groupe ADALBERT
peuvent ainsi consulter et télécharger des documents de tous types (nomenclatures,
tarifs, documentations, etc.) et remplir des formulaires de demande d’informations
diverses. Il est possible à un client (soit une grande surface, soit un détaillant, pas de
particuliers) de faire réaliser des gâteaux sur mesure à partir de gâteaux individuels
représentant les lettres de l’alphabet.

Ces axes stratégiques doivent être repris dans le cadre de l’élaboration du schéma directeur
pour les 4 prochaines années.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
La direction est également très sensibilisée aux risques de cyberattaque et compte bien en
faire un autre axe stratégique du schéma directeur. L’objectif est de mettre en œuvre des
solutions de sécurisation des échanges au sein du groupe.
Les services « comptable », « commercial » et « achats » sont centralisés au siège. Le service
commercial comprend 18 personnes, dont 14 vendeurs qui ont chacun un portefeuille de
clients et une zone géographique à prospecter. Le service achats compte un effectif de trois
personnes. Le service comptable, composé d’une dizaine de personnes, est placé sous la
responsabilité d’un chef comptable, lui-même dépendant de la directrice administrative et
financière (DAF), Mme Berton.
Celle-ci supervise également le contrôle de gestion, avec un contrôleur de gestion groupe
et un contrôleur dans chaque usine. Mme Berton est l’un des cinq membres du comité de
direction du groupe.
L’informatique du groupe (50 postes de bureautique, 200 postes pour les bureaux d’études
et la gestion de production) repose sur un intranet avec des serveurs situés à Caen et des
serveurs de sauvegarde et de secours situés à Montpellier.

136
 UE
DEVOIR 4  Management des systèmes d’information 215

Vous êtes chargé(e) de préparer la migration vers le nouveau progiciel de gestion intégré
(PGI). Dans un premier temps, il vous est demandé de rappeler différentes notions relatives
aux PGI. Dans un deuxième temps, vous devez travailler sur l’ordonnancement du projet.
Enfin, vous aurez à traiter de questions relatives à la sécurité des échanges au sein du groupe
ADALBERT.

Dossier 1 : le PGI (24 points)

Le changement de PGI revêt un caractère stratégique pour le groupe ADALBERT La direc-

tion a décidé d’accorder une grande attention à la conduite de ce projet. Cet investissement
nécessite également une réflexion préalable sur la solution et sa mise en œuvre.
À l’aide de l’annexe 1 et en vous appuyant sur vos connaissances, vous répondrez aux ques-
tions suivantes.

TRAVAIL À FAIRE
1. Le système actuel est décrit comme désaligné. Définissez clairement cette notion et
démontrez en quoi peut-on parler de désalignement. (6 points)
2. Quel est l’apport d’un schéma directeur ? (2 points)
3. Au regard des solutions alternatives envisagées évoquées à l’annexe 1 (best of bred ;
middleware), quels avantages procurent le recours à un PGI ? (3 points)
4. Sur quels critères faut-il faire reposer le choix du PGI ? (3 points)
5. Quel est le rôle d’un intégrateur ? (2 points)
6. Quels sont les comités à mettre en place pour la gestion d’un tel projet ? Précisez leur
composition et leur rôle respectif. (4 points)
7. En quoi consiste une offre SaaS ? Préconisez-vous d’y recourir pour le cas du groupe
ADALBERT ? Justifiez votre position. (4 points)
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Dossier 2 : la mise en place du projet (20 points)

Afin de maîtriser le suivi de la réalisation du projet, les étapes clés et les tâches du projet ont
été définies.

8. À partir des informations de l’annexe 2, établissez le graphe de ce projet. (9 points)

9. Tirez de votre graphe toutes les informations utiles en termes de délais et de suivi des
tâches critiques ainsi que les marges de manœuvre concernant les tâches M, N et O.
(6 points)
10. Définissez en quoi consiste la recette. Peut-on considérer que le PGI est opérationnel
à cette étape ? (3 points)
11. Démontrez l’utilité du cahier des charges. (2 points)

137
UE
215 Management des systèmes d’informationDEVOIR 4

Dossier 3 : la sécurité (16 points)

Le site Web, implanté au siège à Caen, a récemment fait l’objet de cyberattaques (tentatives
d’intrusion, d’interception de courriel et déni de service). Le groupe souhaite revoir certains
points de sa politique de sécurité informatique.
En vous appuyant sur vos connaissances, vous répondrez aux questions suivantes :

12. Expliquez dans quelle mesure les menaces potentielles qui pèsent sur un SI sont
susceptibles de constituer de véritables risques. (2 points)
13. Proposez six indicateurs de suivi de la sécurité pouvant constituer les bases d’un
tableau de bord. (3 points)

Le groupe souhaite mettre en œuvre une solution d’interconnexion sécurisée de l’ensemble

de ses usines. La solution envisagée prévoit l’exploitation du réseau public Internet avec une
mise en œuvre de réseaux privés virtuels (RPV, ou Virtual Private Network, ou VPN). L’envoi
via un VPN suppose une clé de session.
L’échange va reposer sur le processus suivant :
∙∙ 1) l’émetteur (le siège) va générer un couple de clés identiques en vue d’un chiffrage
symétrique ;
∙∙ 2) il va transmettre une de ces deux clés à sa division au moyen d’un cryptage asymétrique.
Pour cela, le siège va crypter la clé de session avec la clé publique de l’usine destinataire
puis la lui envoie.

14. Expliquez les principes d’un VPN et décrivez la fin du processus d’échange garantissant
la sécurité. (2 points)
15. Présentez d’autres dispositifs permettant à la société de se protéger des attaques ou

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
de leurs conséquences. (3 points)

Une forme d’attaque inquiète particulièrement les dirigeants : les rançons logiciels.
À partir de vos connaissances et des informations fournies en annexe 3, répondez aux ques-
tions suivantes :

16. En quoi consiste le chiffrement qui est à l’origine du mécanisme d’action de ce type de
logiciel ? (3 points)
17. Quelles règles faut-il suivre pour se protéger des rançons logiciels ? (3 points)

138
 UE
DEVOIR 4  Management des systèmes d’information 215

ANNEXE 1
Contexte
Le service informatique se trouve sous l’autorité de Mme Berton, DAF. Il est dirigé par
M. Clavier, titulaire du DSCG (2012) et autodidacte en informatique. Il encadre une
équipe de trois personnes (un technicien réseaux et télécommunications, un adminis-
trateur de la base de données et un technicien chargé des aspects applicatifs). M. Clavier
possède de réelles compétences en gestion et en management qu’il met à profit dans ses
relations avec les correspondants informatiques se situant dans chacune des usines du
groupe. Ces derniers sont les relais locaux du service informatique. À côté des activités
liées à leurs postes, ils assurent la maintenance matérielle et l’assistance aux utilisateurs
sur chacun des sites.
Le système actuel est manifestement à bout de souffle, il est clairement désaligné.
Le PGI est vieillissant. Les coûts de maintenance sont très élevés et il a fallu recourir à
de nombreuses applications spécifiques pour progressivement compléter les trous fonc-
tionnels qui sont apparus. Cela oblige l’équipe actuelle à faire des transferts de données,
il y a des redondances assez nombreuses au niveau des bases utilisées et de nombreuses
erreurs ou blocages sont constatés. Une réflexion stratégique a donc été entreprise pour
acter le choix initial.
L’idée de conserver des applications hétérogènes et de les interfacer a été envisagée. Il
faudrait pour cela implémenter une application métier et deux applications comptables.
L’entreprise conserverait ainsi des applications certes hétérogènes mais qu’il suffirait
d’interfacer, selon une approche « best of bred ». Cette solution serait la moins coûteuse.
Cette idée initiale a été enrichie par une suggestion : pourquoi, tout en conservant ces
applications hétérogènes, ne pas recourir à un middleware pour faciliter les échanges et
l’intégration entre les différentes applications. L’investissement nécessaire est jugé tout
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

à fait raisonnable.
Ces pistes ont été envisagées mais, pour diverses raisons, l’argument du PGI l’a emporté.
Après avoir analysé les différentes alternatives, la direction a pris la décision d’implanter
un nouveau PGI. Le choix de l’éditeur sera mené en interne mais, pour réaliser à bien
le projet qui est considéré comme stratégique par le groupe, il est prévu ensuite d’avoir
recours à un intégrateur.
Une dernière réflexion s’est alors portée sur le mode d’accès : faut-il recourir à un mode
d’accès résident ou basculer sur une offre SaaS (Software as a Services) ?

139
UE
215 Management des systèmes d’informationDEVOIR 4

ANNEXE 2

Tableau des tâches et contraintes d’antériorité

Tâches
Tâches Durée
antérieures
A Mise en place des équipes projets 2
B Établissement et validation du budget 1 A
C Établissement du planning 2 A
Spécifications fonctionnelles générales et détaillées, et
D 8 A
cahier des charges correspondant
E Diffusion du cahier des charges et réception des propositions 10 B, C, D
F Sélection de l’éditeur 3 E
G Sélection de l’intégrateur 3 E
H Analyse des processus 5 F, G
I Paramétrages 12 H
J Développements complémentaires 5 H
K Création des interfaces 8 H
L Préparation et réalisation des tests 3 I, J, K
M Documentation utilisateurs 6 H
N Formation des utilisateurs 4 H
O Recettage 1 N

Les durées sont exprimées en semaines de travail.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
ANNEXE 3
Les rançons logiciels
Il ne se passe pas un jour sans qu’on apprenne qu’une entreprise a été touchée par
un ransomware, un code malveillant chiffrant les données. Pour les récupérer, elles
doivent payer une rançon. La rentabilité élevée de ces attaques et les faiblesses des
entreprises expliquent l’explosion du piratage.
« Alerte générale ». C’est la situation dans laquelle se trouvent de nombreuses entre-
prises et groupes internationaux. En cause, les ransomware (ou rançongiciels) qui para-
lysent plus ou moins totalement leurs activités pendant une quinzaine de jours en
moyenne selon Coveware (une entreprise américaine, spécialisée dans la récupération
de rançons).
Une fois installés dans le réseau informatique d’une entreprise, ces codes malveillants
chiffrent toutes les données. À partir de ce moment-là, ce sont les pirates qui ont la
main : ils exigent que la victime paie une rançon pour récupérer ses données. Une ran-
çon qui devient de plus en plus élevée…

140
 UE
DEVOIR 4  Management des systèmes d’information 215

Au cours du deuxième trimestre de cette année, le montant moyen des paiements s’éle-
vait à presque 178 000 dollars, soit plus de 60 % de plus que le montant indiqué par
Coveware pour le premier trimestre 2020. Au troisième trimestre de 2019, la moyenne
était de 40 000 dollars…
Cette technique d’attaque n’est pas récente mais elle a pris de l’ampleur depuis la pan-
démie. L’explosion du nombre de ces opérations malveillantes s’explique notamment
par le fait qu’elles sont « extrêmement rentables ; la rentabilité peut atteindre les 500 % !
Résultat, il y a une aspiration vers cette pratique avec tout un écosystème », explique un
expert qui préfère rester anonyme.
« Certains gangs se sont spécialisés dans les attaques contre les grands groupes, car l’at-
taque peut rapporter très gros, mais en contrepartie elle nécessite des compétences et plus
de temps (quelques mois) pour percer la muraille de l’entreprise. D’autres groupes préfèrent
s’attaquer à des entreprises un peu plus petites ; ça rapporte moins, mais plus souvent.
D’autres groupes ont monté des plateformes pour vendre leurs services clés en main et pré-
lever 30 % sur les rançons récupérées. Enfin, il y a des groupes spécialisés dans la revente
d’accès (pour quelques dizaines de milliers d’euros) aux réseaux informatiques des entre-
prises », explique Gérôme Billois, Associé cybersécurité et confiance numérique chez
Wavestone.
Les entreprises victimes sont de plus en plus nombreuses. Selon le site français LeMagIT,
« les cyberdélinquants ont revendiqué près de 700 victimes à travers le monde depuis le
début de l’année (dont) plusieurs dizaines de cas en France ». Rien qu’en octobre, il y a eu
un peu plus de 200 cyberattaques de ransomware connues à travers le monde…
Au cours de l’année 2019, l’ANSSI a traité 69 incidents relatifs à des attaques impor-
tantes par rançongiciels touchant Altran, Fleury-Michon, Ramsay Générale de Santé ou
encore le CHU de Caen.
Contrairement à une idée reçue, ce ne sont donc pas nécessairement des petites entre-
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

prises qui sont touchées. Mais la mise à disposition par des gangs d’outils de piratage
de type RaaS (ransomware-as-a-service) bon marché ou gratuits incite des pirates moins
« chevronnés » à se lancer dans ce « business ». Ces attaquants demandent générale-
ment des rançons moins élevées, car ils ciblent les petites entreprises qui n’ont pas les
ressources nécessaires pour défendre leurs données de manière adéquate.
La disponibilité de kits RaaS gratuits « a fait tomber la barrière à l’entrée à un niveau extrê-
mement bas. Une expertise technique approfondie n’est plus nécessaire pour participer à
l’économie de la cybercriminalité », note Coveware.
Il y a un terreau très fertile pour les pirates. « Premièrement, on souffre depuis 15-20 ans
d’un sous-investissement en cybersécurité. Deuxièmement, la plupart des solutions métier
et progiciels sont vendues en n’étant pas assez sécurisées par défaut. Heureusement, la
situation s’améliore et la sécurité est de plus en plus prise en compte. Enfin, il y a encore
trop d’entreprises qui ne déploient pas rapidement des correctifs de sécurité de Windows
ou de leurs logiciels. Ce type d’opération devrait être automatisé pour limiter les risques »,
insiste Gérôme Billois.

141
UE
215 Management des systèmes d’informationDEVOIR 4

Comment fonctionne une attaque ransomware

source : MagIT, février 2020.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite