DCG UE8 : Systèmes d'Information de Gestion Devoir n°3 du 15 Décembre 2008

Niveau L2

10.
11. Voir Tableur en TP
12.
13.
14.

Sécurité du système d'information

Pour le moment, le responsable informatique n'a pas véritablement défini de politique de sécurité.
Travail à faire

15.Rappeler la signification et la définition des critères DIC­PR.

(Page 246 du livre)
Disponibilité accès en temps voulu
Intégrité Information exempte d'erreurs et de falsification
Confidentialité habilitation des utilisateurs
Preuve Traçabilité, non répudiation
Réglementation respect des règles, conforme aux lois
L'application de gestion des réservations devra être accessible par Internet. Les clients potentiels
devront pouvoir consulter les disponibilités des gîtes pour une période donnée, réserver et payer
l'acompte en ligne.
Travail à faire
16.Expliquez pourquoi le responsable informatique a décidé de créer une DMZ pour héberger
le serveur web qui permettra aux clients potentiels de réserver.
La zone « démilitarisée », permet de différencier les données confidentielles et sensibles, présentes
sur le réseau local, des données « publiques » de l'entreprise.
17.Quel mécanisme de sécurité devra être mis en oeuvre pour assurer le paiement
électronique.
Chiffrement, certificat, signature électronique (p 438 – 441 du livre)

Jacques Chambon 4/12

DCG UE8 : Systèmes d'Information de Gestion Devoir n°3 du 15 Décembre 2008
Niveau L2

Les propriétaires de gîtes devront pouvoir accéder au planning de réservations et à toutes les
informations les concernant. L'ensemble des informations disponibles au sein du système
d'information devra être accessible par Intranet.
Travail à faire
18.Rappelez la définition d'un Intranet.
Ensemble des services de l'internet mis à la disposition d'un public restreint : les salariés de
l'organisation. Pour y accéder l'utilisateur doit s'authentifier par login et mot de passe.
19.Quel dispositif de sécurité devra être prévu par le responsable informatique pour assurer la
confidentialité des transmissions entre la Centrale et les adhérents? Commentez!
VPN
La centrale possède trois serveurs ( un serveur d'application supportant le progiciel de gestion des
réservations et les informations des adhérents : il fait également office de serveur DHCP, le serveur
Web permettant aux clients potentiels de faire les réservations, un double de ce serveur web), quatre
postes de travail (secrétaire, responsable réseau, comptable et direction)
Travail à faire
20.Réalisez un schéma représentant le réseau local de la centrale, le poste de travail chez un
adhérent et les moyens de transmission entre le Réseau et le poste de travail adhérent.
(p 218 – 230 du livre )

Le responsable informatique a choisi l'adresse IP 192.168.10.0/24 pour le LAN et 10.0.0.0/30 pour la

DMZ. Il a acheté le nom de domaine « landes­decouvertes.fr » et le FAI lui a attribué l'adresse
195.25.10.6
Travail à faire
21.Faites une proposition d'adressage pour les postes de travail et les serveurs du LAN et de
la DMZ. Positionnez ces adresses sur votre schéma sans oublier celles concernant le ou
les routeurs et l'adresse donnée par le FAI.

Jacques Chambon 5/12

DCG UE8 : Systèmes d'Information de Gestion Devoir n°3 du 15 Décembre 2008
Niveau L2

22.Quelle est la classe d'adressage de 195.25.10.6? décomposez!

Traduction en binaire de l'octet de gauche. Si le premier bit est 0 alorsClasse A, Sinon si les 2
premiers bits sont 10 Alors classe B sinon si les Trois premiers bits sont 110 alors Classe C.
(p 221 du livre )
23.Que devra frapper un utilisateur d'internet, dans la zone adresse de son navigateur, pour
accéder au site de la centrale de réservation.
( p 223 du livre DNS) + fiche sur DNS et URL – FQDN sur le site.
http://www. landes­decouvertes.fr
Gestion du poste de travail
Le directeur, M. FRANÇOIS, rencontre des difficultés techniques dans l’utilisation de son poste de
travail. Il a rédigé une description de ses problèmes et sollicite l'aide du responsable informatique
pour les résoudre.
Travail à faire
24.À l’aide des documents suivants, détaillez, pour chaque type de problème exposé :
• la ou les causes ;
• la ou les solutions logicielles ou matérielles à mettre en œuvre pour remédier au problème.
Urgent :
Je rencontre deux types de problèmes dans l’utilisation de mon poste informatique :
­ J’ai modifié par maladresse les paramètres de configuration de ma connexion au réseau local et je ne peux
plus y accéder (ci­joint une page écran de ma configuration actuelle et le schéma du réseau local). Je ne peux
non plus me connecter à l'internet.
­ Depuis ma dernière consultation sur Internet, mon poste fonctionne bizarrement : il s’arrête tout seul, le
fond d’écran clignote…
Pouvez­vous me venir en aide en m’expliquant l’origine de ces différents problèmes et en me proposant des
solutions ?
Configuration réseau du poste informatique du contrôleur de gestion

Jacques Chambon 6/12

DCG UE8 : Systèmes d'Information de Gestion Devoir n°3 du 15 Décembre 2008
Niveau L2

( p 226 – adresse IP et Protocole sur le livre )

Monsieur Palmi, nouvel adhérent à la centrale a communiqué au responsable informatique de la
centrale l'état du centre de sécurité de son ordinateur personnel, dont on vous fournit la copie ci­
dessous.

Travail à faire
25.Précisez l'objectif des trois
protections proposées en
vous appuyant sur les
menaces potentielles.

( Fiche : les dispositifs de sécurité pour internet )

Sur les conseils du responsable informatique, M. Palmi a activé le pare­feu, mais il ne peut plus
accéder aux réservations de ses divers gîtes. Le SGBD utilisé par la centrale est Postgresql.
Le responsable informatique lui a demandé de lui faire parvenir les paramètres du pare­feu.

Travail à faire
26.Quelle manipulation le
responsable informatique va­t­
il demander de faire à M.
Palmi?
27.En vous appuyant sur les
notions de client serveur ,
faites un schéma explicatif des
transactions autorisées.

Jacques Chambon 7/12

DCG UE8 : Systèmes d'Information de Gestion Devoir n°3 du 15 Décembre 2008
Niveau L2

Le progiciel de gestion mis en place pour gérer les réservations et la facturation des locations
manipule un ensemble de fichiers d'un volume total de 40 Go.
La sauvegarde journalière se fera sur un lecteur/enregistreur de bande magnétique dont le taux de
transfert est de 20 Mo/s.
Travail à faire
28.Calculer le temps théorique que mettra le système pour transférer les 40 Go de données
sur le support magnétique. Vous détaillerez et expliquerez les différentes phases du calcul.
La secrétaire (chargée des commandes de fournitures) a passé commande de bandes de 80 Go à la
demande du responsable informatique
Travail à faire
29.Quel type de sauvegarde faut­il prévoir (complète, incrémentielle ou différentielle)?
Argumentez votre réponse, en rappelant la logique de chaque type de sauvegarde.
( p 253 256 du livre )
Périmètre
Type de données
Fréquence
Support
Lieux

30.Après avoir défini la « stratégie de sauvegarde », vous en préconiserez une, correspondant

au domaine de gestion des réservations et de la facturation des locations.

DISPENSE DE DÉCLARATION N° 11 RELATIVE AUX TRAITEMENTS AUTOMATISÉS DE

DONNÉES À CARACTÈRE PERSONNEL MIS EN ŒUVRE PAR LES COMMUNES POUR LA
TENUE ET LA COMMUNICATION DES LISTES DE CHAMBRES D'HÔTES

Tableau des conditions auxquelles doivent répondre les traitements mis en œuvre pour bénéficier de la dispense de déclaration
Responsable du traitement
La commune décidant de la création du fichier.

Finalités
Enregistrement des déclarations des exploitants de chambres d'hôtes et édition des récépissés de déclaration. Tenue et communication au public
de la liste des chambres d'hôtes de la commune. Le cas échéant, communication de la liste des chambres d'hôtes aux comités départementaux de
tourisme et aux offices de tourisme. Elaboration de statistiques relatives aux déclarations de chambres d'hôtes et communication de données
statistiques au préfet de région, au président du conseil régional et au président du conseil général. Envoi aux loueurs de chambres d'hôtes de
courriers d'information en lien avec leur activité, notamment concernant la collecte et le versement de la taxe de séjour lorsque la commune l'a
instituée. Le cas échéant, alimentation d'un fichier communal de gestion de la taxe de séjour.

Données traitées
Identité de l'exploitant : nom, prénoms, adresse du domicile si différente de celle où s'exerce l'activité de location de chambre d'hôte. De manière
facultative : numéro de téléphone, de télécopie, adresse électronique. Identification des chambres d'hôtes : adresse postale, maison individuelle ou
appartement, étage, nombre de chambres mises en location, nombre maximal de personnes susceptibles d'être accueillies. Périodes de location.

Durée de conservation
Le temps d'exercice de l'activité de location de chambre d'hôte par le déclarant, ou jusqu'à nouvelle déclaration de celui­ci.

Destinataires des données

Toute personne demandant communication de la liste des chambres d'hôtes en mairie. Le cas échéant, les comités départementaux de tourisme
et les offices de tourisme. Le préfet de région, le président du conseil régional et le président du conseil général, pour les données statistiques
relatives aux déclarations de chambres d'hôtes.

Information et droit d'accès

Les personnes concernées sont informées, au moment de la collecte de leurs données, et notamment par une mention sur le formulaire de
déclaration en mairie, de l'identité du responsable de traitement, des finalités de celui­ci, du caractère obligatoire ou facultatif des réponses à
apporter, des destinataires des informations, de leurs droits d'accès et de rectification et des modalités d'exercice de ces droits. Le droit
d'opposition ne s'applique pas au traitement et à la communication au public par la mairie des déclarations de chambres d'hôtes.

Norme simplifiée N°48

Délibération n°2005­112 du 7 juin 2005 portant création d’une norme simplifiée concernant les traitements automatisés de

Jacques Chambon 8/12

DCG UE8 : Systèmes d'Information de Gestion Devoir n°3 du 15 Décembre 2008
Niveau L2

données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects et portant abrogation des normes
simplifiées 11, 17 et 25 :
Article 1er
Peut bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme tout traitement automatisé relatif à la gestion des
fichiers de clients et de prospects qui répond aux conditions suivantes.

Article 2 : Finalités des traitements

Le traitement peut avoir tout ou partie des finalités suivantes :

• effectuer les opérations relatives à la gestion des clients concernant :

∙ les contrats ;
∙ les commandes ;
∙ les livraisons ;
∙ les factures ;
∙ la comptabilité et en particulier la gestion des comptes clients ;
∙ la gestion d’un programme de fidélité à l’exclusion des programmes communs à plusieurs sociétés ;

• effectuer des opérations relatives à la prospection :

∙ constitution et gestion d’un fichier de prospects (ce qui inclut notamment les opérations techniques comme la normalisation,
l’enrichissement et la déduplication) ;
∙ la sélection de clients pour réaliser des actions de prospection et de promotion ;
∙ la cession, la location ou l’échange du fichier de clients et de prospects ;
∙ l’élaboration de statistiques commerciales ;
∙ l’envoi de sollicitations.

Article 3 : Données traitées

• Les données susceptibles d’être traitées pour la réalisation des finalités décrites à l’article 2 sont :
a. l'identité : nom, prénoms, adresse, numéro de téléphone (fixe ou mobile), numéro de télécopie, adresse de courrier
électronique, date de naissance, code interne de traitement permettant l'identification du client (ce code interne de traitement est
distinct du numéro d'inscription au répertoire national d'identification des personnes physiques, du numéro de sécurité sociale et
du numéro de carte bancaire);
b. les données relatives aux moyens de paiement : relevé d'identité postale ou bancaire, numéro de la transaction, numéro
de chèque, numéro de carte bancaire ;
c. la situation familiale, économique et financière : vie maritale, nombre et âge du ou des enfant(s) au foyer, profession, domaine
d'activité, catégorie socio­professionnelle ;

d. les données relatives à la relation commerciale : demandes de documentation, demandes d’essai, produit acheté, service
ou abonnement souscrit, quantité, montant, périodicité, adresse de livraison, historique des achats, retour des produits, origine
de la vente (vendeur, représentant) ou de la commande, correspondances avec le client et service­après­vente ;

e. les données relatives aux règlements des factures : modalités de règlements, remises consenties, informations relatives
aux crédits souscrits (montant et durée, nom de l’organisme prêteur), reçus, impayés, relances, soldes.

Article 4 : L’utilisation d’un service de communication au public en ligne

La présente norme s’applique dans le cas où est utilisé un service de communication au public en ligne pour réaliser les finalités définies à l’article
2.

Dans ce cas, pourront être exploitées des données de connexion (date, heure, adresse Internet Protocole de l’ordinateur du visiteur, page
consultée) à des seules fins statistiques d’estimation de la fréquentation du site.

Lorsque le responsable du service de communication au public en ligne utilise des procédés de collecte automatisés de données tendant à
accéder, par voie de transmission électronique, à des informations stockées dans l’équipement terminal de connexion de l’utilisateur ou à inscrire,
par la même voie, des informations dans son équipement terminal de connexion (par exemple : cookies, applets Java, active X), les utilisateurs
sont informés de la finalité de l’utilisation de ces procédés et des moyens dont ils disposent pour s’y opposer.

Article 5 : Les destinataires et les personnes habilitées à traiter les données

Peuvent seuls, dans les limites de leurs attributions respectives, avoir accès aux données à caractère personnel :

• les personnels chargés du service commercial et des services administratifs ;

• les supérieurs hiérarchiques de ces personnels ;
• les services chargés du contrôle (commissaire aux comptes, services chargés des procédures internes du contrôle ...) ;
• les entreprises extérieures liées contractuellement pour l'exécution d’un contrat. Ces personnes assurent la stricte confidentialité des
données à caractère personnel en leur possession.

Peuvent être destinataires des données, dans les limites de leurs attributions respectives :

• les organismes publics, exclusivement pour répondre aux obligations légales ;

• les auxiliaires de justice et les officiers ministériels dans le cadre de leur mission de recouvrement de créances ;
• les organismes chargés d’effectuer les recouvrements de créances.

Sous réserve des dispositions de l'article 7 de la présente délibération, les données relatives à l’identité (à l’exclusion du code interne de
traitement permettant l'identification du client) ainsi que les informations relatives à la situation familiale, économique et financière peuvent être
cédées, louées ou échangées, dès lors que les organismes destinataires s'engagent à ne les exploiter que pour s'adresser directement aux

Jacques Chambon 9/12

DCG UE8 : Systèmes d'Information de Gestion Devoir n°3 du 15 Décembre 2008
Niveau L2

intéressés, pour des finalités exclusivement commerciales.

Les données relatives à la relation commerciale susceptibles, eu égard au type de documentation demandé, à la nature du produit acheté, du
service ou de l’abonnement souscrit, de faire apparaître indirectement les origines raciales ou ethniques, les opinions politiques, philosophiques
ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la vie sexuelle de celles­ci ne peuvent être cédées, louées ou
échangées qu’après avoir recueilli le consentement exprès de la personne concernée.

Article 6 : Durée de conservation

Les données à caractère personnel relatives aux clients ne peuvent être conservées au­delà de la durée strictement nécessaire à la gestion de la
relation commerciale à l’exception de celles nécessaires à l’établissement de la preuve d’un droit ou d’un contrat qui peuvent être archivées
conformément aux dispositions du code de commerce relatives à la durée de conservation des livres et documents créés à l'occasion d'activités
commerciales et du code de la consommation relatives à la conservation des contrats conclus par voie électronique, en l’occurrence dix ans.

Les données à caractère personnel relatives aux prospects ne peuvent être conservées que pour la durée pendant laquelle elles sont nécessaires
à la réalisation des opérations de prospection. La Commission recommande que les données collectées auprès de prospects soient supprimées
au maximum un an après le dernier contact de leur part ou lorsqu’ils n’ont pas répondu à deux sollicitations successives.

Article 7 : Information des personnes concernées

Les personnes concernées sont informées, au moment de la collecte de leurs données, de l’identité du responsable du traitement, des finalités
poursuivies, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse,
des destinataires des données, et de leurs droits d’accès, de rectification et d’opposition, pour des motifs légitimes, au traitement de leurs données
sauf dans les cas où le traitement répond à une obligation légale (délibération n°2005­276 du 17 novembre 2005) et, le cas échéant, des
transferts de données à caractère personnel envisagés à destination d’un état non membre de l’Union européenne.

Lorsque les données sont utilisées à des fins de prospection, notamment commerciale, les personnes concernées sont informées qu’elles peuvent
s’y opposer sans frais et sans justification.

L’envoi de prospection commerciale par voie électronique est subordonné au recueil du consentement préalable des personnes concernées, sauf
dans les cas d’une relation client­entreprise préexistante et d’une prospection entre professionnels. Dans ces hypothèses, les personnes doivent
avoir été mises en mesure, au moment de la collecte de leurs données, de s’opposer de manière simple et dénuée d’ambiguïté à une utilisation de
leurs données à des fins commerciales.

Dans le cas d’une collecte via un formulaire, le droit d’opposition ou le recueil du consentement préalable doit s’exprimer par un moyen simple tel
que l’apposition d’une case à cocher.

Article 8 : Sécurités
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données visées à l’article 3 et, notamment, empêcher
qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.

Dans le cas de l’utilisation d’un service de communication au public en ligne, le responsable de traitement prend les mesures nécessaires pour se
prémunir contre tout accès non autorisé au système de traitement automatisé de données.

Lorsqu’un moyen de paiement à distance est utilisé, le responsable de traitement doit prendre les mesures organisationnelles et techniques
appropriées afin de préserver la sécurité, l'intégrité et la confidentialité des numéros de cartes bancaires contre tout accès, utilisation,
détournement, communication ou modification non autorisés en recourant à des systèmes de paiement sécurisés conformes à l’état de l’art et à la
réglementation applicable.

Article 9 : Transfert de données vers l’étranger

(délibération n°2005­276 du 17 novembre 2005)

Certains transferts de données à caractère personnel peuvent être réalisés vers des pays tiers à l’Union européenne qui ne sont pas membres de
l’Espace économique européen et qui n’ont pas été reconnus par une décision de la Commission européenne comme assurant un niveau de
protection adéquat, dès lors que :

• le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes,
notamment par la mise en œuvre des clauses contractuelles types émises par la Commission européenne dans ses décisions du 15
juin 2001 (décision n°2001/497/CE), du 27 décembre 2001 (décision n°2002/16/CE) ou du 27 décembre 2004 (décision n
°2004/915/CE) ou par l’adoption de règles internes d’entreprise ayant fait l’objet d’une décision favorable de la Commission nationale
de l'informatique et des libertés ;
• le responsable de traitement a clairement informé les personnes de l’existence d’un transfert de données vers des pays tiers
conformément aux dispositions de l’article 32 de la loi informatique et libertés et de l’article 7 de la présente norme;
• le responsable de traitement s’engage, sur simple demande de la personnes concernée, à apporter une information complète sur : la
finalité du transfert, les données transférées, les destinataires exacts des informations et les moyens mis en œuvre pour encadrer ce
transfert.

Les données à caractère personnel susceptibles de faire l’objet d’un transfert vers certains pays situés en dehors de l’Union européenne sont
celles prévues à l’article 3 uniquement dans le cadre :

• de la gestion d’un fichier client ;

• de la gestion d’opérations de prospection commerciale réalisées par un sous­traitant établi dans un pays tiers .

Article 10 : Exclusion du bénéfice de la norme simplifiée

Tout traitement non conforme aux dispositions des articles 2 à 9 de la présente décision ne peut faire l’objet d’une déclaration simplifiée auprès de
la CNIL en référence à la présente norme.

Les traitements qui du fait de leur nature, de leur portée ou de leurs finalités, sont susceptibles d’exclure des personnes du bénéfice d’un droit,
d’une prestation ou d’un contrat ne peuvent faire l’objet d’une déclaration simplifiée en référence à la présente norme conformément aux
dispositions de l’article 25, I, 4° de la loi du 6 janvier 1978 modifiée.

Les dispositions de la présente norme ne sont pas applicables aux secteurs d'activités suivants : établissements bancaires ou assimilés,
entreprises d'assurances, santé et éducation.

Jacques Chambon 10/12

DCG UE8 : Systèmes d'Information de Gestion Devoir n°3 du 15 Décembre 2008
Niveau L2

Travail à faire
31.Quelle démarche, la centrale doit­elle faire auprès de la Cnil? ( p 264 ­ 268)
32.Quelle est la différence entre archivage et sauvegarde?
La Sauvegarde est l’opération qui consiste à transférer des fichiers du disque de l’ordinateur vers un
support externe en vue de reconstituer l'état du disque de l'ordinateur en cas de soucis technique. .
L’opération inverse est appelée Restauration.
L'Archivage est l'opération qui consiste à transférer des fichiers non utilisés, du disque
sur un support externe, en vue de reconstituer un historique en cas de besoin.
33.Proposez une politique d'archivage des données mémorisées sur le système d'information
de la Centrale.

Jacques Chambon 11/12