AXE 1 : Modèle du référentiel de l'évaluation des activités de la Fonction SI

1. Présentation du finalité du modèle :

La question du pilotage est omniprésente dans les entreprises. Il ne suffit pas de faire mais de savoir si
ce que l’on fait correspond à ce qui devrait être fait dans les meilleures conditions de coûts et de
qualité. Le management actuel exige des salariés en situation de responsabilités qu’ils produisent, mais
aussi qu’ils contrôlent leur activité et pensent son évolution, tant au niveau micro que macro.

La notion de mesure est très importante en gestion. Sans mesure, la boucle du pilotage ne peut être
réalisée. La mesure peut être relative mais reste indispensable à toute action de pilotage, car elle
constitue une évaluation qui permet de voir les évolutions et d’établir les écarts par rapport à un
objectif et/ou d’autres repères dans une logique de comparaison. La mesure est une manière
d’objectiver la réalité pour procéder ensuite à un diagnostic de celle-ci et engager des actions
nécessitant des ressources.

L’évaluation une fonction support d’une entreprise :

Une fonction support d’entreprise est un ensemble de ressources réalisant différentes prestations
pour les autres services, dans le but de favoriser l’activité de ces derniers. Une fonction support est
constituée d’individus dotés de compétences, de matériel et d’une organisation ; cet ensemble a un
coût et sa performance s’analyse en rapportant ce coût à la quantité et à la qualité des prestations
réalisées. Et pour le cas de la fonction SI la DSI est la direction responsable de l’ensemble des éléments
qui constituent le Système d'Information d'une entreprise. Le travail d’une DSI se trouve aux confins
des technologies (pour faire fonctionner le SI) mais doit aussi s'envisager sous l’aspect du service rendu
aux utilisateurs du SI. Par ailleurs, l’action d’une DSI possède une connotation temporelle, certaines de
ses actions se déroulant dans le temps court mais d’autres s'inscrivent plutôt dans le temps long.

Mais le problème qui se pose dans ce cas c’est comment évaluer la performance de la fonction SI ?

La notion d’évaluation peut être définie comme l’élément déclencheur de la boucle du pilotage.
L’évaluation consiste en la réalisation de mesures qui permettent de dire si un fonctionnement est
performant ou pas et quelles sont les actions de correction et d’amélioration à mener.

Pour la mesure de la performance d’un système d’information, David Autissier nous propose un
modèle qui décompose le système d’information en cinq grands métiers complémentaires.

Pour chacune de ces cinq catégories, nous définissons les pratiques et les activités qu’une fonction
système d’information peut effectuer comme suite :

 Le pilotage du département système d’information pour définir la stratégie, la veille, les

schémas directeurs et tableaux de bord de la fonction.
 La gestion de la relation avec les utilisateurs qui s’intéresse à toutes les prestations à réaliser
pour assurer un niveau de service maximum à l’utilisateur. Cette partie peut être intégrée aux
quatre autres ou bien isolée pour être mise en avant et faire l’objet d’une attention toute
particulière. Dans cet ouvrage, nous avons pris le parti d’en faire un point à part entière à
définir et à organiser au sein de la fonction système d’information.
 Le développement applicatif pour tout ce qui concerne les projets d’informatisation.
 La maintenance applicative pour traiter de toutes les actions de suivi et de contrôle du parc
informatique existant.
  La gestion de l’infrastructure technique pour la mise à disposition de l’équipement machine
et réseau.

Pour établir le référentiel, on doit structurer chacune des cinq rubriques métiers en quatre pratiques
métiers. Chaque pratique est ensuite détaillée en quatre activités. L’ensemble de ces activités
constitue le référentiel d’activités de la fonction système d’information. Celui-ci contient quatre-vingts
activités.

Cette liste se veut exhaustive, dans la limite du possible. Ce qui doit être fait dépend des entreprises,
de leur secteur d’activité, du nombre de personnes composant la DSI et également du positionnement
de cette fonction dans l’entreprise. Cette liste est donc un référentiel d’activités à moduler en fonction
des entreprises.

2. Etablir le Référentiel
Exemple : (Pilotage)

Dans une logique gestionnaire, toute fonction doit être pilotée, c’est-à-dire disposer d’une
organisation, d’une stratégie, de modes de contrôle et de management. La rubrique pilotage est
garante de la cohérence des actions internes ainsi que des liens avec l’externe (autres services de
l’entreprise), de la performance actuelle et future de l’organisation, et du bon fonctionnement interne.

Le pilotage regroupe l’ensemble des activités amont (veille, audit, stratégie), de management
(économique, RH) et de pilotage des prestations opérationnelles (gestion du portefeuille de projets,
urbanisme). Sa valeur ajoutée se mesure dans :

 la capacité de la DSI à anticiper les évolutions technologiques (veille, prospective) et les

besoins des métiers de l’entreprise (stratégie), et à les prendre en compte (management,
compétences, coûts) ;
 la capacité à identifier les axes de progrès internes (audit) ;
 la capacité à gérer et à piloter différents projets (gestion du portefeuille de projets) et
applications (urbanisme) ; et à les faire évoluer.
 Référentiel des activités de pilotage du DSI
Activités
1. Définir la stratégie SI et les objectifs
à atteindre
2. Décliner la stratégie de l’entreprise
dans la DSI
3. Gérer les projets informatiques
4. Assurer le pilotage stratégique
5. Établir un cahier des charges pour
un appel d’offres
6. Contractualiser avec un sous-
traitant
7. Organiser le suivi de la prestation
8. Gérer une situation
difficile avec un sous-traitant
9. Gérer la performance
10.Gérer les ressources humaines
11.Gérer les coûts
12.Gérer les risques
13.Choisir des référentiels qualité pour
le SI
14.Mettre en place un audit régulier
des SI
15.Déployer un système de veille
informationnelle sur le secteur de
l’informatique et des télécoms
16.Mettre en œuvre une démarche
de benchmarking I & T
Descriptifs
Stratégie et schéma directeur
En lien avec la stratégie de l’entreprise, définir la politique informatique et télécoms, et le schéma
directeur du SI.
Décliner la politique en objectifs à atteindre et solutions à mettre en œuvre.
Définir, choisir et mettre en œuvre les méthodes, normes et standards informatiques.
Communiquer la stratégie informatique et télécoms aux différents métiers.
Mettre en œuvre les orientations stratégiques de l’entreprise à l’intérieur de la DSI.
Faire des choix d’organisation et les conduire.
Accompagner le changement auprès des collaborateurs de la DSI.
Gérer les projets informatiques prévus en termes de coûts et de priorités pour organiser leur
déploiement dans les meilleures conditions de succès.
Constituer et gérer le portefeuille de projets.
Piloter l’atteinte des objectifs stratégiques par la DSI et la contribution de celle-ci à la réalisation
des objectifs de l’entreprise.
Gestion de la sous-traitance
Formaliser la prestation demandée dans un cahier des charges afin de bien définir les
responsabilités des uns et des autres, et structurer la prestation sous-traitée.
En relation avec le service des achats, formaliser un contrat avec toutes les notions juridiques en
termes d’obligations sous-tendues.
Organiser la vérification de la prestation sous-traitée et fixer les modalités d’échange avec le
sous-traitant pour la validation de celle-ci.
Fixer les recours légaux et les modes de négociation appropriés en cas de non-fourniture de la
prestation contractualisée.
Management de la performance des SI
Définir les critères d’appréciation de la performance de la DSI dans son fonctionnement et dans sa
relation de service à l’entreprise.
En lien avec les RH de l’entreprise, recruter des collaborateurs.
En lien avec la R & D, anticiper les évolutions technologiques, construire et faire évoluer le
référentiel métiers et le référentiel des compétences.
Assurer la montée en compétences métier et technique des collaborateurs : langages de
programmation et de modélisation (JavaScript, VBA, C ++, HTML/XML, ASP.NET, UML, etc.).
Évaluer la performance des collaborateurs.
Construire des parcours professionnels.
En lien avec le contrôle de gestion, définir les investissements à mettre en œuvre, les coûts de
réalisation et de prestation, suivre les indicateurs de coûts et arbitrer les moyens.
Identifier, pour l’entreprise dans son ensemble et par secteur applicatif, les principaux risques en
termes de gravité et de probabilité d’apparition avec les actions de couverture correspondantes.
Veille, prospective, qualité et audit
De manière choisie ou bien prescrite par des partenaires directs ou indirects, choisir les
référentiels à appliquer (les principaux sont Cobit, CMMI, ISO).
Choisir une démarche d’audit des SI, définir un processus de contrôle, un planning et une
fréquence et choisir les acteurs à faire intervenir.
Délimiter le périmètre et fixer les critères de performance à mesurer.
Produire un dossier de recommandations.
En lien avec la R & D, lire la presse spécialisée (technologies, langages, matériels hard et soft,
solutions informatiques, réseaux et télécoms).
Participer à des salons, évaluer les projets SI des concurrents.
Participer à un club de benchmarking avec des entreprises extérieures (Cigref, AFAI, etc.).
Formaliser puis rassembler les informations récoltées dans une base de capitalisation.
 3. Transformer le référentiel en questionnaire
Les activités précédentes regroupées en cinq rubriques nous donnent un périmètre de la fonction que
chaque entreprise adaptera en fonction de sa stratégie en termes de système d’information, mais
également en fonction de l’historique de construction de cette fonction, Dans tous les cas, cette liste
d’activités constitue un référentiel mobilisable pour toute action d’évaluation, de réorganisation et
d’évolution de la fonction système d’information.

Alors on peut transformer ce référentiel en questionnaire et l’adresser aux utilisateurs afin de mesurer
le niveau de réalisation des activités.

Même Exemple (les activités liés au pilotage)

Activités pilotage
Activités Réalisation
 Activité réalisée
1. Définir la stratégie SI et les objectifs à atteindre
 Activité non réalisée
 Activité réalisée
2. Décliner la stratégie de l’entreprise dans la DSI
 Activité non réalisée
 Activité réalisée
3. Gérer les projets informatiques
 Activité non réalisée
 Activité réalisée
4. Assurer le pilotage stratégique
 Activité non réalisée
 Activité réalisée
5. Établir un cahier des charges pour un appel d’offres
 Activité non réalisée
 Activité réalisée
6. Contractualiser avec un sous-traitant
 Activité non réalisée
 Activité réalisée
7. Organiser le suivi de la prestation
 Activité non réalisée
 Activité réalisée
8. Gérer une situation difficile avec un sous-traitant
 Activité non réalisée
 Activité réalisée
9. Gérer la performance
 Activité non réalisée
 Activité réalisée
10.Gérer les ressources humaines
 Activité non réalisée
 Activité réalisée
11.Gérer les coûts
 Activité non réalisée
 Activité réalisée
12.Gérer les risques
 Activité non réalisée
 Activité réalisée
13.Choisir des référentiels qualité pour le SI
 Activité non réalisée
 Activité réalisée
14.Mettre en place un audit régulier des SI
 Activité non réalisée
15.Déployer un système de veille informationnelle sur le secteur de  Activité réalisée
l’informatique et des télécoms  Activité non réalisée
 Activité réalisée
16.Mettre en œuvre une démarche de benchmarking I & T
 Activité non réalisée

Les différentes activités définies dans le paragraphe précédent sont ensuite évaluées au regard des
pratiques réelles dans les entreprises pour déterminer, par rubrique et globalement, un taux d’activité.
Il s’agit de déterminer, sur les quatre-vingts activités types recensées, le pourcentage de celles
réalisées dans l’entreprise.
Supposant que dans ces 16 activités nous avons trouvé 10 activités qui sont réalisées alors le taux
d’activité pour cette rubrique sera : 10/16 = 62,5%

Et la même chose pour les autres rubriques métiers.

Le taux d’activité :

Activités Taux d’activité métier

Pilotage 62
Développement applicatif 55
Maintenance applicative 80
Gestion infrastructure 60
Relations utilisateurs 30
Taux d’activité 57

Taux d’activité métier

100
80
60
40
20
0
Pilotage Développement Maintenance Gestion infrastructure Relations utilisateurs
applicatif applicative

Le taux d’activité permet de positionner la fonction système d’information sur une échelle de 0 à 100
avec quatre configurations types comme suite : Baromètre du taux d’activité
La configuration exhaustive : présente une situation où la fonction
système d’information réalise entre 75 et 100 % du référentiel 100
d’activités. La fonction est qualifiée d’innovante et tend à diffuser Système d’information exhaustif
une culture d’innovation technologique et organisationnelle sur le 75
rôle des SI dans l’entreprise. Elle est force de proposition auprès des
autres services, disponible et ouverte envers les utilisateurs Système d’information développé
50
La configuration développée représente des services système
Système d’information restreint
d’information qui réalisent toutes les activités de pilotage,
développement applicatif et maintenance applicative, et qui
25
recouvrent également toute la partie infrastructure. Il convient de Système d’information minimaliste
s’interroger sur les activités non réalisées (gestion de la relation avec 0
les utilisateurs) afin de savoir si elles ne sont pas adaptées ou si elles
ne le sont pas par incapacité de l’entité système d’information. Cette
configuration a un taux d’activité compris entre 50 et 75 %.

La configuration restreinte illustre un fonctionnement orienté
essentiellement sur le pilotage avec quelques activités traitant
du développement applicatif. Les activités de maintenance sont
très peu réalisées par manque de ressources ou par choix
stratégique (recours à l’externe). Le taux d’activité est compris
entre 25 et 50 %.
La configuration minimaliste correspond à une fonction système
d’information qui se focalise sur quelques activités. Cela peut
s’expliquer par la mission de la fonction, par ses ressources, par
le recours à des prestataires externes ou par la mise en place de
progiciels nécessitant moins de développement et de
maintenance d’applications. Il faut néanmoins s’interroger sur
les besoins de gestion et le positionnement de la fonction
système d’information avec un taux d’activité inférieur à 25 %.
 AXE 2 : Schéma directeur SI

 Schéma directeur SI :
Un schéma directeur des systèmes d’information SDSI est un consensus entre la DG, la DSI et les
autres directions de l’entreprise, qui formalise les objectifs à moyen terme, leur planification, ainsi que
les ressources nécessaires à la conduite des projets d’évolution des SI de l’entreprise. Il constitue une
méthode pour préparer l’avenir en identifiant les opportunités métiers et technologiques tout en
tenant compte des contraintes existantes, c’est comme un référentiel pour les budgets opérationnel
et d’investissement ainsi que pour l’ensemble des activités de la fonction informatique, dans le but de
planifier la mission, la stratégie, les processus, les informations, les applications et enfin les
infrastructures en adéquation avec la stratégie globale de l’entreprise.

 Acteurs du schéma directeur SI :

Commentaire de la figure :
L’élaboration d’un schéma directeur concerne toutes les directions de l’entreprise.

En effet le principe de triangulation est présent dans ce cas, on peut inverser les côtés du triangle sans
pour autant impacter le projet d’élaboration du schéma directeur vu l’existence des interactions entre
les différents acteurs.
La question qui se pose : par quelle direction on doit commencer ?

1. La direction générale : est chargée d’élaborer la stratégie globale de l’entreprise et de

l’arbitrage.
2. La direction administrative et financière : qui vient pour établir tout ce qui a un impact
financier notamment l’élaboration des budgets, la détermination des retours sur
investissements…
3. La direction RH : qui se charge de former, recruter, licencier... le personnel
4. La direction qualité : qui établit les nouveaux procédures et processus de l’entreprise relatives
au système d’information.
5. La direction SI : elle joue le rôle du pivot en maintenant des interactions avec toutes les autres
directions, tout en veillant à garantir la cohésion du système d’information avec la stratégie
globale élaborée par la direction et la capacité de répondre aux besoins des utilisateurs.
6. Les directions métiers : ce sont des directions accompagnées des consultants fonctionnels,
concernées en amont car ils expriment (les directions avec les consultants fonctionnels) les
besoins et les attentes, et en aval car ils jugent la satisfaction du besoin tout en procédant par
paramétrage, tests pour finir par la validation des solutions et le fonctionnement du système
d’information.
7. Cellule stratégie : présente pour assurer la veille et pouvoir détecter les évolutions et les
tendances sur le marché.

Généralement, le schéma directeur est dynamique, il peut évoluer dans le temps, c’est un document
non statique qui peut subir des modifications en fonction des difficultés et des événements. Et son
élaboration peut prendre des années.

Lors de son élaboration, chaque direction doit donner son point de vue pour que la direction générale
puisse le valider.

AXE 4 : Les bonnes pratiques de la gouvernance des SI

1. Mise en situation (Mauvaises pratiques cas PME) :

Présentation de l’entreprise :

L’entreprise traitée dans cette étude de cas est une PME travaillant dans le secteur informatique,
ayant 40 salariés en total, elle se consacre à la production éditoriale publicitaire (PAO, brochure,
maquette, catalogue, spot, …).

Parc informatique :

Cette PME, possède un parc informatique important par rapport à sa taille.

Elle dispose de 30 PC, (micro-ordinateur), 5 PC portables utilisés, généralement, par les cadres
commerciaux dans leurs missions externes. La PME possède un réseau local avec plusieurs serveurs.
Ainsi qu’un lien ADSL permet à tous les postes d’accéder à l’internet à travers le routeur qui dispose
d’un pare-feu.

Objectif de la mission :

Notre mission consiste à identifier l’ensemble des risques relatifs à la sécurité du système
d’informations de cette PME, ainsi de donner de recommandation pour améliorer son système
d’information à travers la mise en place d’un plan d’action qui regroupes l’ensemble des mesures.

Identification et classification des risques :

 Niveau de
Opération / Pratique Risque Nature de Risque
Risque

Accès libre à tous les pc sans Interne

Perte ou fuite d’information Elevé
identifiant comportemental
Archivage non sécurisé Perte ou fuite d’information Interne Technologique Elevé
Ouverture des E-mails Interne
Piratages, Menaces, Virus, Elevé
d’expéditeurs inconnus comportemental
Connexion via des réseaux non Interne
Piratages, Menaces, Virus, Elevé
autorisés comportemental
Utilisation massive des clés USB Interne
Menaces, Virus Elevé
pour le transfert des fichiers comportemental
Absence de sensibilisation du Interne
Perte ou fuite d’information Elevé
personnel comportemental
Absence de responsable chargé Panne, perte d’information Interne
Elevé
du parc et de temps Organisationnel
Serveurs et logiciels installés non Panne, perte d’information
interne technique Elevé
contrôlés et de temps, Menaces, Virus
L’utilisation des pc portables par Perte ou fuite d’information,
Interne et externe Elevé
les commerçants avec accès libre Virus, menaces, piratages
License d’antivirus pas mise à
Piratages, Menaces, Virus, Interne technique Moyen
jour
Absence de la sécurité physique Panne de serveur, Perte des
Interne technique Moyen
des serveurs données

Tout les pc sont connectés à

Piratages, Menaces, Virus Interne technique Moyen
l’internet
Secteur d’activité : Vulnérabilité des
la production éditoriale informations, taille des Externe Bas
publicitaire données
Insuffisance et inadéquation de
diminution de taux de
Parc Informatique en termes Interne technique Bas
productivité
d’effectif

Les mesures à mettre en place :

Après avoir réussi des sessions de sensibilisation et de formations de sécurisation des informations et
d’utilisation de leur outil informatique en faveur des salariés de la PME, il convient de proposer au
dirigeant de l’entreprise le projet d’intervention suivant :

 Nécessité d’avoir un administrateur pour gérer le parc informatique soit par la formation d’un
membre de personnel ou par le recrutement d’un technicien.
 Les serveurs doivent être protégés par un accès physique
 Définition des droits d’accès à chaque pc en fonction des besoins d’utilisation en créant des
identifiants et des mots de passe pour chaque salarié.
 Les logiciels et les applications doivent être installés sur le serveur.
 Le transfert des données internes doit se faire via l’intranet au lieu des clés USB.
 Nécessité d’avoir un serveur backup (au cas ou le serveur principale tombe en panne).
 Avoir des pc isolés qui sont connecté à l’internet pour les échanges externes.
 Réserver des pc pour les stagiaires avec des droits d’accès limités.
 2. Le référentiel COBIT :
La gouvernance des Technologies de l’Information (TI) regroupe l’ensemble du système de
management (processus, procédures, organisation) permettant de piloter les TI. Cette préoccupation
est une déclinaison de la volonté d’assurer une gouvernance d’entreprise (corporate gouvernance).

COBIT est un cadre de référence et de contrôle fourni avec de nombreux outils (indicateurs, guides…).

Pour les SI visant à déterminer « si les technologies de l’information sont en cohérence avec les
objectifs et la stratégie de l’entreprise. »

COBIT permet aux système d’information :

 De s’aligner sur le métier de l’entreprise

 Apporter un plus aux métiers
 De gérer au mieux les ressources
 De gérer les risques de façon efficace

Le COBIT peut être analysé comme une succession des étapes formant un cycle itératif et incrémental,
ces derniers sont :

 La compréhension des objectifs métiers

 Leurs traduction en objectifs informatique
 La détermination des principaux processus
 La mesure de leurs effets sur les objectifs

AXE 5 : Boite à Outils de mise en œuvre de la norme ISO 27000

La sécurité des systèmes d’information (SSI) est l’ensemble des moyens techniques, organisationnels,
juridiques et humains nécessaire et mis en place pour conserver, rétablir, et garantir la sécurité du
système d'information.

Donc , la sécurité de l’information peut être définit comme l’ensemble des mesures adoptées pour
empêcher l’utilisation non autorisée, le mauvais usage, la modification ou le refus d’utilisation d’un
ensemble de connaissances, de faits, de données ou de moyens.

La sécurité se traduit par ses trois attributs principaux à savoir : la disponibilité, l'intégrité, et la
confidentialité.

La disponibilité : Il s’agit de la capacité du système d’information à assurer la disponibilité des

informations sollicitées à chaque moment, conformément aux demandes des utilisateurs autorisés.

L’intégrité : Préserver l’intégrité de l’information est un objectif primordial de la sécurité

d’information. Il s’agit d’employer l’ensemble des techniques de sécurité pour détecter toute tentative
de modification non autorisée touchant à la vraisemblance d’une information donnée.

La confidentialité: Selon ISO « le fait de s'assurer que l'information n'est seulement accessible qu'à
ceux dont l'accès est autorisé ». La confidentialité de l’information consiste à protéger l’information
contre la divulgation non autorisée à des tiers.

L'installation d'un Système de Management de la Sécurité de l'Information ne se déroule pas en un

temps unique. Le système se doit de s'inscrire dans une démarche plus globale de progrès continu du
type roue de Deming ou PDCA.

 Plan Élaboration de la politique sécurité des SI, précision du périmètre d'intervention,

définition des objectifs, analyse et maîtrise des risques, identification et évaluation,
cartographie.
  Do Plan et déploiement des mesures de sécurité, élaboration et application des procédures
spécifiques, sensibilisation et formation, sélection des indicateurs et réalisation des tableaux
de bord de la sécurité.
 Check Audit et contrôles internes, revue.
 Act Action corrective, identification des voies d'amélioration, bouclage.

Pour exprimer auprès de ses partenaires clients et fournisseurs la conformité de son SMSI aux
exigences de la spécification, il est tout à fait possible de procéder à une démarche de certification.
Celle-ci sera délivrée par un organisme habilité après une série d'audits successifs.

Le processus de certification ce présente comme suit :

On cherche tout d’abord l’engagement de la direction à mettre en place toutes les ressources
(financières, humaines et techniques) pour le système de management de la sécurité d’information, à
travers la mise en place d’une politique de SMSI qui doit être documentée par une charte et des
procedure pédagogiques ainsi que par des PV et des comptes rendus.

Ensuite on doit définir le périmètre ou le domaine de définition du SMSI qui doit être claire et bien
définie (une seule filiale, un seul service…)

On passe après à l’inventaire des actifs informationnel en identifiant l’ensemble des (logiciels,
matériels, serveurs et autres actifs informationnels) en établissant une base de données à l’aide des
application (par Excel ou Access) ou par des logiciels spécialisés, ensuite on procède à une classification
et évaluation des risques liés à chaque actif informationnel.

A l’aide de ces bases de données on peut établir des rapports des risques qui vont servir à préparer les
SOA (Statements of applicability) en revenant à la norme et voir si les exigences sont appliquées (soit
partiellement soit totalement). Ce qui va nous servir à définir les point d’amélioration et ensuite
préparer le plan de travail.

Ce plan de travail est un ensemble des projets qui doivent êtres documentés à travers des procédures
pédagogiques pour faire face aux risques définies et ils construisent le projet d’implémentation du
SMSI.

Ce projet d’implémentation du SMSI va faire l’objet de suivi à travers l’audit interne pour définir les
actions correctives.
Et après l’implémentation du SMSI on va passer à l’étape d’audit à blanc qui peut être réalisée à l’aide
de plusieurs outils tel que ( l’autodiagnostique et les questionnaires d’autoévaluation)

Enfin si les résultats d’audit à blanc sont proches de 90% de conformité l’entreprise peut passer à la
certification.

La certification est renouvelable chaque 3 ans.

Commentaire de la citation Alignement, stratégie, urbanisation, gouvernance:

La stratégie de SI se base sur l'alignement stratégique, une mission claire et une bonne gouvernance. On peut
définir donc l'alignement stratégique comme une démarche de fond consistant à redessiner la stratégie générale
de l’ese et la stratégie de développement technologique afin qu’elle soit en parfait accord. Cet alignement peut
bénéficier en amont d’une réflexion sur les modè les de gouvernance. Cette derniè re peut ê tre définie comme un
rassemblement de l’ensemble du SM permettant de piloter le SI afin de contribuer aux objectifs de création de
valeur, accroître la performance de processus, maîtriser les aspects du SI et anticiper ses besoins. En aval,
l'alignement stratégique peut déboucher sur une politique d’urbanisation, qui est une démarche de conception
du SI, d’organisation de la cohabitation des applications et d’anticipation de leur évolution et qui mise à disposer
d’une vision globale du SI, définir les modes et les principes de traitement des flux d'échanges et standardiser les
format d’echanges inter-application.

Démarche d'élaboration d’une mission de diagnostic :

*Etablir un questionnaire de prise de connaissance
*Etablir un compte rendu de mission comprenant 5 axes suivants:
- Prise de connaissance générale
- Analyse de l’existant en matiè re de métiers et processus
- Structure de SI de l’Ese
- Prévisions et scénarios futurs
- Accompagnements de changement
*Élaboration d’un nouveau schéma directeur de SI.

Comparaison entre ISO 9001 et ISO27001

ISO 9001 et ISO 27001 sont deux systèmes de gestion qui suivent l'annexe SL et seconcentrent sur l'amélioration
continue
Ils peuvent être appliqués à des organisations de toutes tailles.
L'ISO 9001:2015 se concentre sur l'amélioration de la qualité au sein d'une organisationtandis que l'ISO 27001 se
concentre sur la sécurité de l'information.
La ou les normes mises en œuvre au sein d'une organisation dépendront des objectifs de l'entreprise.
Par exemple, une organisation de commerce électronique peut souhaiter mettre en œuvreISO 9001 pour aider à
améliorer la satisfaction client et mettre en œuvre ISO 27001 pour identifier et gérer les risques liés aux données
client.
I-Définition de l’alignement stratégique du système d’information
Traduit littéralement de « strategic alignment », l'expression « alignement stratégique » exprime l'idée
d'établir et de suivre un cap.
L’alignement stratégique s'applique à deux éléments : la stratégie de l'entreprise et la stratégie système
d'information. Il s’agit de mettre en cohérence la stratégie du système d’information avec la stratégie de
l’entreprise et de planifier dans une perspective pluriannuelle.
L’alignement stratégique du système d’information suppose deux conditions : Compréhension et
intégration de la stratégie de l'entreprise par la fonction système d’information dans son ensemble. La
fonction système d’information met en œuvre les structures, les organisations et les outils qui veillent à
ce qu'elle poursuive cette intégration ;
Prise en compte des contraintes et des opportunités de l'informatique dans la stratégie de l'entreprise. Il
faut considérer ces deux conditions comme nécessaires. La notion d’alignement stratégique n’est pas
propre au système d’information, tous les métiers et fonctions de l’entreprise devraient être alignés sur la
stratégie de l’entreprise.

III- Comparaison entre une vision traditionnelle et une vision intégrée

Le tableau ci-dessous présente une comparaison entre la vision traditionnelle et
la vision intégrée d’un SI

Vision traditionnelle Vision intégrée

L’informatique est un centre de coût Le système d’information est un
élément de la chaîne de valeur
L’informatique est un moyen Le système d’information est un actif de
l’entreprise
L’informatique est une fonction Le système d’information est une
transversale de support et non fonction de transformation stratégique
stratégique
L’informatique est un bien privatif, Le système d’information est un bien
cloisonné à chaque service ou direction collectif pour l’entreprise, partagé par
tous
L’informatique est un domaine réservé Le système d’information est un
aux informaticiens domaine transversal à l’entreprise, au
service de tous

L’urbanisation

urbanisation du Système d'Information de l'entreprise est une série de concepts calqués sur ceux de
l'urbanisation de l'habitat humain (organisation des villes, du territoire), concepts qui ont été réutilisés
en informatique pour formaliser ou modéliser la réingénierie du Système d'Information (SI).
L'urbanisme définit des règles ainsi qu'un cadre cohérent, stable et modulaire, auquel les différentes
parties prenantes se réfèrent pour toute décision d'investissement relative au management du
Système d'Information.
Principe de l'urbanisation du Système d'Information
L'urbanisation répond à deux règles de bases :
 Une application doit appartenir -en cible- à un et un seul bloc.

 Les dépendances doivent respecter les notions de Cohérence Forte / Couplage Faible

o entre les applications,

o au sein d'une application : entre les différents modules,

o au sein d'un module : entre les différents composants.

La démarche d'urbanisation s'articule sur 3 axes clés qui s'alimentent mutuellement :

 la modélisation de la stratégie

 la cartographie des systèmes existants (métier, fonctionnels, applicatifs, techniques)

 la détermination des systèmes cibles (métier, fonctionnels, applicatifs, techniques)

La démarche d'urbanisation du SI consiste notamment à :

 définir un SI cible, aligné sur la stratégie de l'entreprise,

 déterminer la trajectoire à suivre pour atteindre ce SI cible.

La gouvernance des systèmes d’information

La gouvernance des systèmes d’information fait partie d’une méthode organisationnelle qui englobe
l’ensemble des éléments permettant une bonne gestion et un bon contrôle. Elle définit les objectifs au
système d’information (SI) concernant la stratégie de votre organisation et va le faire contribuer à la
création de valeur de votre entreprise. Cette démarche de management permet également de préciser
le rôle de tous les acteurs et leurs responsabilités.

Quelles sont les lignes directrices de votre proposition de projet shema direct pour
atteindre les attentes de direction/Schéma David (SI)

Pour la mesure de la performance d’un systè me d’information, David Autissier nous propose un
modè le qui décompose le systè me d’information en cinq grands mé tiers complé mentaires.
Pour chacune de ces cinq caté gories, nous définissons les pratiques et les activités qu’une
fonction systè me d’information peut effectuer comme suite :
*Le pilotage du dé partement systè me d’information pour définir la stratégie, la veille, les
schémas directeurs et tableaux de bord de la fonction.
*La gestion de la relation avec les utilisateurs qui s’intéresse à toutes les prestations à réaliser
pour assurer un niveau de service maximum à l’utilisateur.
*Le dé veloppement applicatif pour tout ce qui concerne les projets d’informatisation.
*La maintenance applicative pour traiter de toutes les actions de suivi et de contrô le du parc
informatique existant.