215 – MANAGEMENT DES SYSTÈMES

D’INFORMATION DE GESTION

2023-2024
Application 2

Séances 13-24

Performance, Tableau de bord et SLA (13,14)

Cout budget (15 16)
KM /Big Data Externalisation (17 18 19)
Infrastructure Technologique ( 20)
Sécurité Architecture de Confiance(20 21)
Audit des SI (21 22)

RGPD (23)
Divers (24)

Auteur : Jean Ludovic Dietz

Institut National des Techniques Economiques et Comptables

292 Rue Saint Martin

75002 PARIS

http://intec.cnam.fr
Accueil pédagogique : 01.58.80.83.34 ou 01.58.80.83.5

1
 APPLICATIONS 13 : LA
PERFORMANCE/SLA/TABLEAUX DE BORD
EXERCICE 1

La société LEGLAI, composée de 123 personnes à temps plein, conçoit et fabrique des équipements pour
l’alpinisme dans la région grenobloise. Le réseau est constitué de 96 ordinateurs hétérogènes et de 3 serveurs
vieillissants (données et applications). Il y a 6 mois, un nouveau PGI a été mis en place. Le projet est dans sa
phase maintenance et suivi. Une enquête réalisée auprès des utilisateurs a révélé que 81 personnes sur les
117 réponses ont déclaré être satisfaites des fonctionnalités et de la convivialité du nouveau PGI. Cependant,
cette enquête a également mis en exergue un taux d’incidents sur les équipements beaucoup trop élevé, ce
qui génère des mécontentements et une perte de productivité. La flotte actuelle des ordinateurs a été
constituée par une acquisition de 20 postes en 2015, 46 en 2017 et 30 en 2020. Le premier serveur a été
installé en 2015, les deux autres en 2023.Le DSI, lors d’un échange avec l’équipe dirigeante, déplore que sur
les 12 derniers mois le SI a dû subir 20 jours de dysfonctionnements importants suite à des pannes réseau,
sur les 288 jours ouvrés de LEGLAI. La maintenance du réseau est sous-traitée auprès de l’ESN GRUTEN. De
plus, sur les 267 déclarations de problèmes techniques ou applicatifs, seuls 102 ont été résolus. Les dépenses
liées à la maintenance se sont élevées à 15 280,00 € pour 191 interventions.

1. Proposez trois indicateurs de performance et trois indicateurs de qualité.

2. Quelles caractéristiques doivent avoir ces indicateurs

EXERCICE 2

La société GEFFO conçoit et vend des compléments alimentaires bio pour bovins et ovins. L’entreprise est
composée de 83 personnes à temps complet disposant d’un poste client relié en réseau à 2 serveurs. Le
service SI est composé du DSI, d’un technicien réseau et d’un développeur. Il existe actuellement 27 contrats
en infogérance permettant de faire face à des missions variées, allant de la maintenance réseau jusqu’au cloud
computing
.
Voici une liste d’indicateurs suggérée par le DSI :
• nombre d’utilisateurs satisfaits / nombre total d’utilisateurs ;
• nombre de contrats d’infogérance ;
• nombre d’applications interfacées ;
• budget du SI / CA ;
• nombre de réunions post-dysfonctionnement grave du SI ;
• nombre de jours de formation liée au SI / nombre total de jours ouvrés ;
• ressources générées par un projet SI / coût du projet ;
• écart entre le délai réel de réalisation d’un projet et le délai prévu ;
• variation du budget des ENS entre N et N-1 ;
• nombre de RH SI / nombre total de RH ;
• définition des niveaux de qualité (SLA) ;
• nombre de réunions préalables à la mise en place d’un nouvel outil afin de gérer le changement
organisationnel.
2
1. Classez les indicateurs selon les perspectives du tableau de bord proposé par Kaplan et Norton.
2. Quel est l’intérêt d’un tel tableau de bord pour le DSI ?
3. Quelles sont les limites de cet outil ?

EXERCICE 3 EXTRAIT LIVRE ETUDE DE CAS MSI EDITIONS EMS

L’entreprise Mamberre est une PME de plus d’une centaine de salariés à temps plein. Elle conçoit, teste et fabrique
des machines et du matériel pour l’industrie du lait dans la région normande. Son réseau informatique se compose
d’une centaine d’ordinateurs – fixes, portables et tablettes – et de 3 serveurs assez anciens qui hébergent ses données
et ses applications.

Mamberre a fait le choix il y a environ 6 mois de changer son progiciel de gestion intégré (PGI) et de déployer un
nouveau système du même type mais plus performant pour accompagner sa croissance et sa transformation
numérique. Ce projet de nouveau PGI est toujours dans sa partie déploiement et dans sa phase de suivi mais la DSI a
pensé qu’il serait quand même utile de réaliser une enquête de satisfaction auprès des utilisateurs finaux et des
utilisateurs clés. Cette enquête a bien sûr révélé à la fois du positif et du négatif. Par exemple, 90 répondants – sur les
112 questionnaires remplis qui ont pu être collectés et exploités – ont déclaré être tout à fait satisfaits des
fonctionnalités offertes par le nouveau PGI mais aussi de sa réelle convivialité et intuitivité. Toutefois, cette même
enquête a également révélé une insatisfaction avec un taux d’incidents sur les équipements beaucoup trop élevé pour
une industrie aussi exigeante dans les processus qualités et sanitaires que celle du lait. De plus, ces incidents ont pour
conséquence une montée des mécontentements et une vraie perte de productivité au sein de Mamberre. Ceci peut
s’expliquer assez facilement quand on sait que le parc actuel des ordinateurs a été constituée il y a quinze ans déjà à
partir de l’acquisition de 15 postes en 2005. Il fut ensuite étoffé par 40 nouveaux ordinateurs arrivés en 2010 et 48
autres en 2018. Dans le même temps, le premier des trois serveurs a été installé en 2005, les deux autres sont arrivés
en 2016 et en 2017.

Le jeune DSI de Mamberre, lors d’un échange informel avec l’équipe dirigeante de la PME, a clairement déploré que,
sur la dernière année, le SI n’a pas fonctionné pendant plus de 22 journées entières. Ceci est énorme et coûteux avec
des dysfonctionnements importants et des pannes réseau calculées sur les 290 jours ouvrés de Mamberre. Enfin, la
maintenance du réseau est sous-traitée auprès de l’ESN Fromage SA, qui ne peut que constater ses failles avec, sur les
270 déclarations de problèmes techniques ou de problèmes applicatifs, seulement 99 qui ont été véritablement résolus
et repérés malgré des dépenses – réglées par Mamberre – qui se sont élevées à 16 000,00 € pour 200 interventions
identifiées l’an passé. La société Mamberre possède également une filiale – Gaperon SA. – qui conçoit et vend des
trayeuses électriques pour les exploitations de vaches laitières de la région. Gaperon SA. fonctionne avec 90 salariés à
temps complet qui tous disposent d’un poste client relié en réseau à 2 serveurs robustes. Le département SI de cette
filiale est simplement composé d’un DSI d’une trentaine d’années, d’un technicien réseau et d’un développeur, mais il
pilote quand même environ 30 contrats en infogérance qui permettent de faire face à la maintenance réseau et aux
montées en versions on demand, c’est-à-dire externalisées et sécurisées dans le cloud (informatique en
nuage).Gaperon SA. vient de décider de moderniser son parc informatique et de passer en architecture client léger.
Les 90 postes de travail des 90 salariés de Gaperon SA. sont concernés par un contrat de service qui a été passé avec
une jeune ESN locale. Elle assure l’ensemble des missions, des tarifications, des calendriers, des tâches et des phases de
mise en place dans le cadre de la maintenance relative à ce projet.

Ce parc informatique en client léger va donc modifier les habitudes et usages des utilisateurs et la localisation des
applicatifs. La DSI de Gaperon SA. aimerait bien rédiger – car elle a déjà vécu de bien délicats et laborieux partenariats
dans le cadre de ce type de contrat – proprement et sérieusement son contrat de service avec sa partenaire ESN.
1. Proposez trois indicateurs de performance et trois indicateurs de qualité pour Mamberre
2. Quelles caractéristiques doivent avoir ces indicateurs ?
3. Classez les indicateurs dans les quatre perspectives correspondantes dans le tableau de bord proposé par Kaplan
et Norton.

3
4. Quel est l’intérêt d’un tel tableau de bord pour le DSI ?

5. Quelles sont les limites de cet outil ?

6. Que doit contenir – en restant dans les grandes lignes – le contrat de service qui va piloter les relations
commerciales entre l’ESN et son client Gaperon SA. ?

EXERCICE 4 INSPIRE D’UN SUJET DSCG

Le CRD-VEGALIS/Lorval est l’un des centres de recherche-développement (R&D) du groupe VEGALIS. Installé à Lorval
(Eure), il emploie 550 personnes (chercheurs et administratifs). Le laboratoire pharmaceutique VEGALIS fait partie des
leaders mondiaux de la pharmacie avec un chiffre d'affaires 2020 de 29,7 milliards d’euros. Présent dans une centaine
de pays dans le monde, VEGALIS emploie environ 60 000 collaborateurs dont 14 200 dans le domaine de la R&D des
médicaments.
VEGALIS est positionné sur d'importants domaines thérapeutiques, tels que les maladies cardiaques, l'hypertension
artérielle, les maladies respiratoires, la neurologie. VEGALIS a lancé d'importants programmes de recherche dans le
but de développer de nouveaux traitements dans l'ensemble de ses domaines d’excellence et utilise les techniques les
plus modernes comme la biologie moléculaire, la génomique, la bio-informatique... Le groupe dispose de centres de
recherche, en particulier aux États-Unis et en France où le CRD-Lorval compte à son actif plus de 180 brevets originaux
déposés et plusieurs molécules en cours de développement.
VEGALIS dispose de l’un des premiers budgets de recherche pharmaceutique dans le monde et a consacré 3,8 milliards
d’euros à la R&D en 2011, dont 185 millions à Lorval.
La filiale française de VEGALIS est la principale filiale européenne du groupe et la deuxième dans le Monde après les
États-Unis, où se trouve le siège du groupe.
VEGALIS-France est l’un des principaux laboratoires pharmaceutiques du pays. Il emploie 1 800 personnes impliquées
à toutes les étapes de la vie du médicament : recherche, développement, production, commercialisation. Ces effectifs
représentent environ 1 250 personnes dans les activités de production et commercialisation, et près de 550 personnes
dans les activités de recherche.
Outre le siège social en région parisienne et les réseaux commerciaux présents sur l'ensemble du territoire, l'entreprise
dispose du CRD/Lorval et de deux sites industriels à Bordeaux et à Grenoble. La majeure partie de l’informatique du
CRD-VEGALIS/Lorval est infogérée dans le cadre d’un contrat qui arrive à terme au 31 décembre 2012. Une procédure
d’appel d’offres va être lancée pour choisir le futur prestataire.

Compte tenu des dysfonctionnements constatés dans le cadre de la prestation actuelle, il devra être apporté le plus
grand soin à la rédaction de l’appel d’offres qui servira de base pour la rédaction du contrat.
L’annexe 1 définit les principes qui régissent les relations entre la DSI (Direction des Systèmes d’Information) du Centre
et les Unités clientes.
L’annexe 2 présente des extraits du projet d’appel d’offres en cours d’élaboration.
Le Centre a fait le choix de l’infogérance. L’appel d’offres a pour objet de définir et d’encadrer la relation avec
l’infogérant.
L’appel d’offres doit comporter des indicateurs sur lesquels le prestataire sera évalué.

A l’aide des annexes 1 et 2 :

1°) Proposez une typologie des principales catégories d’indicateurs envisageables dans le cas étudié.

2°) Proposez les indicateurs couvrant au mieux les différentes catégories et justifiez-les.

3°) Quel lien peut-on faire entre alignement stratégique et tableau de bord ?

4
 Annexe 1 : Les relations DSI – Unités clientes

Missions
La DSI pilote les prestations informatiques en vue de constituer un Système d’Information répondant aux critères
suivants : coûts et performances optimaux, fiabilité, cohérence, respect de la politique générale et des niveaux de
sécurité édictés par le groupe.

Ses missions sont les suivantes :

• assurer la conception, la mise en œuvre, l’exploitation, l’évolution technique, la maintenance et la cohérence

d’ensemble du Système d’Information.
• mettre les outils du Système d’Information, à disposition des unités clientes pour la réalisation de leurs projets
métiers et leur bon fonctionnement, dans les délais convenus avec elles.
• assister ses clients dans la définition de solutions informatiques répondant à leurs besoins fonctionnels.
• apporter le support requis à l’utilisation de l’ensemble des moyens mis en œuvre : réseaux physiques,
infrastructures centrales, postes de travail, infrastructures métiers.
• apporter conseil et assistance à ses clients dans le choix des solutions techniques.
• apporter conseil et assistance en matière d’achat des matériels et logiciels.
• assurer le support aux utilisateurs.
Le Centre de Services constitue le point de contact unique entre les utilisateurs et la gestion des services
informatiques. Sa mission est d’assurer l’interface entre les utilisateurs et la DSI pour toutes leurs demandes
(incidents, changements, configurations).

Principes de facturation
La DSI offre un portefeuille de prestations informatiques, auxquelles correspondent d’une part des modalités de
souscription par l’Unité Cliente, d’autre part un certain niveau d’engagement de la DSI. Pour chaque besoin
fonctionnel exprimé par l’Unité Cliente, la DSI proposera successivement les solutions suivantes :

1) Solution « Générique » satisfaisant complètement le besoin, si elle existe.

A défaut :

2) Solution « Générique » s’approchant au plus près du besoin.

3) Solution « Spécifique » satisfaisant complètement le besoin.

Les solutions génériques sont par nature moins coûteuses à exploiter que les solutions spécifiques ; avec le conseil
de la DSI, il appartiendra donc à l’Unité Cliente de déterminer le point d’équilibre entre modération des coûts et
parfaite adéquation au besoin initial.

Les prestations concernant les postes de travail sont les suivantes :

• L’accès aux prestations du Centre de Services pour tout Utilisateur, 5 jours sur 7, de 8h00 à 20h00.
• La gestion de la connectivité des utilisateurs et des postes (liaisons filaires, WiFi et 3G) sur le réseau, en
conformité avec le Plan de Sécurité des Systèmes d’Informations (PSSI).
• Le maintien en conditions opérationnelles, y compris la sécurisation, des Postes de travail fixes et portables
(avec les périphériques et les logiciels associés) dont l'Unité Cliente est propriétaire.
• La gestion de l’accessibilité, de la capacité et de la disponibilité des Services Centraux :
o messagerie, avec attribution forfaitaire d'un volume d'espace disque,
o service de partage de fichiers, avec attribution forfaitaire d'un volume d'espace disque,
o impression réseau.
Les autres prestations sont les suivantes :

• La Mise en Production (mise en œuvre initiale), comprenant la gestion de la connexion appropriée au réseau.
• La gestion de la disponibilité : supervision, sauvegarde et restaurations.

5
 • La gestion du cycle de vie des biens matériels informatiques : mise en service, remplacement, déplacement et
mise à la réforme.
• La gestion des évolutions des solutions matérielles et logicielles.
• La gestion des droits d’accès au réseau.
• La gestion des utilisateurs nomades.
Les prestations de la DSI sont facturées semestriellement aux Unités clientes, à terme échu.

Annexe 2 : Extraits du projet d’appel d’offres relatif à l’infogérance du CRD-VEGALIS/Lorval

1. Objet
Le présent appel d’offres concerne l’infogérance du Centre de recherche et développement VEGALIS de Lorval.

La date de démarrage du marché d’infogérance est fixée au 1er janvier 2013. Celui-ci sera précédé d’une période de
prise en charge débutant le 1er octobre 2012.

L’infogérance, réalisée sur site, comprend l’ensemble des infrastructures du CRD-VEGALIS/Lorval : postes de travail
et périphériques, serveurs, réseau, logiciels bureautiques et certaines applications métiers. L’infogérance concerne
plusieurs centaines de postes de travail, plusieurs dizaines de serveurs et quelques dizaines d’applicatifs métiers. Les
utilisateurs, environ 550, ont des profils administratifs ou scientifiques.

Les solutions et prestations attendues couvrent notamment l’assistance et le support aux utilisateurs, la gestion des
biens informatiques (matériels, logiciels), l’exploitation et l’administration des infrastructures centrales (serveurs,
systèmes et réseaux), la gestion des changements et des mises en production, le conseil et expertise, et la tierce
maintenance applicative de certaines applications.

2. Contexte et évolutions prévisibles

2.3 Modalités de fonctionnement
Gestion des comptes utilisateurs
La gestion de la création, la modification et la suppression des comptes fait l’objet d’une procédure très stricte,
comprenant un circuit de validation par 4 signataires (le demandeur, le Correspondant Informatique, le hiérarchique,
l’ASSI).

Centre de services
Les dossiers d’incidents ou d’assistance sont saisis par le Centre de services suite à un appel téléphonique, ou par les
utilisateurs directement sur l’intranet. Les demandes de travaux sont saisies par les Correspondants Informatiques.

Les volumétries constatées sur les 12 derniers mois sont d’environ 200 appels téléphoniques par mois, entraînant
l’ouverture de 140 à 150 dossiers sous MSU (dont incidents : 60, assistance : 15, travaux : 70). Les dossiers créés par
les utilisateurs représentent 25 à 30 % du total.

L’écart entre le nombre d’appels et le nombre de dossiers saisis s’explique par le taux de rappel très élevé des
utilisateurs d’une part, et par le fait que nombre d’appels ayant une résolution très rapide peuvent ne pas être saisis
d’autre part.

2.4 Niveaux de services actuels

Les niveaux de service actuels sont principalement fonction de la classe de service associée au bien matériel sur
lequel porte la demande :

• Classe 3 : Ce niveau de service implique : l’installation d’une configuration (système d'exploitation, logiciels…)
variable selon le matériel, l’accès aux ressources communes, (les services de supervision, de dépannage, de
sauvegarde-reprise et d’archivage…).
Les postes relevant de cette classe sont considérés comme critiques et ont une très faible tolérance
d’indisponibilité (< 2 heures ouvrées) ; les serveurs doivent subir des tests très approfondis lors de l’installation. Le
6
 prestataire s’engage à tout mettre en œuvre pour un fonctionnement sans interruption des machines, sa
responsabilité à ce sujet est totale. Le respect des délais est absolument indispensable. […].
• Classe 2 : Niveau de service standard. Ce niveau de service implique les tâches décrites pour la classe 3 mais le
délai maximum d’indisponibilité admissible est de 8 heures ouvrées.
• Classe 1 : Le niveau de service est minimum et se limite à l'aide à l'insertion du matériel dans le réseau CRD-
VEGALIS/Lorval : identification et installation, adresse IP, déclaration DNS… mais pas d'installation logicielle ni
d’aide sur incident. Le délai de réalisation est de 3 jours ouvrés.
Les délais de réalisation des demandes sont les suivants :
Classe de service
Classe 3 Classe 2 Classe 1
Prestation

Installation poste de travail et logiciels 1j 4j N/A

Installation serveur et logiciels 5j 5j N/A

Installation périphérique partagé 0,5 j 2j N/A

Installation périphérique individuel 1j 4j N/A

Installation ou mise à jour de logiciels 2j 5j N/A

Ouverture de compte 2h 2h N/A

Récupération de fichier(s) sauvegardé(s) 0,5 h 4h N/A

Assistance utilisateur 0,5 j 2j N/A

J = jours ouvrés ; h = heures ouvrées ; N/A = non applicable

Exigences de qualité dans la réalisation du service

Mise en place de processus de qualité de service

Les différents modules du marché doivent s’accompagner de la mise en œuvre de meilleures pratiques de
production des services informatiques. (…)

Conformité du service

Le Prestataire fournira un tableau de bord mensuel traçant sa couverture des prestations et leur bonne fin dans les
délais impartis. Il mettra en évidence les travaux qu’il n’aura pu assumer. (…)

7
 APPLICATION 14 : PERFORMANCE/SLA

EXERCICE 1

La Cnaf homogénéise ses processus IT

Depuis dix ans, la branche famille de la Sécurité sociale s'est engagée dans une démarche d'amélioration
continue de ses services informatiques. La DSI de la Cnaf a refondu ses processus en se calquant sur le
référentiel Itil puis en se dotant d'une solution dédiée à l'ITSM.

Le nom de Caisse nationale des allocations familiales laisse à penser que la Cnaf ne gère que les allocations
familiales. En fait, la branche famille de la Sécurité sociale vient aussi en aide dans l'accès au logement, la
lutte contre la précarité ou le handicap à travers son réseau de 101 Caisses d'allocations familiales (Caf)
réparties sur tout le territoire. Les caisses versent au moins une prestation à 12,7 millions de Français. Soit,
au total, près de 31,6 millions de personnes couvertes.

Devant répondre aux attentes du pouvoir politique qui souhaite voir ses mesures le plus rapidement
appliquées, mais aussi à l'appétence des citoyens pour les services en ligne, la disponibilité et la performance
de son SI sont regardées de très près. Afin de garantir cette qualité de service au sein de ses centres de
production, la DSI de la Cnaf a initié une démarche d'amélioration continue en 2009.

« En dépit du déploiement d'architectures et de logiciels standards, ils pouvaient y avoir des pratiques
d'exploitation et de production des données différentes d'un centre à l'autre, se souvient Zahir Makdoud,
chef de projet à la DSI. Au sein du département production de services, nous pouvions constater qu'il y avait
une disparité dans les méthodes utilisées. Nous avions, par exemple, plusieurs outils de ticketing et des
démarches d'amélioration continue étaient déjà en place sans qu'il y ait eu de concertation préalable. Il
s'agissait donc d'homogénéiser nos pratiques ».

En 2010, la DSI mène différents ateliers pour formaliser cette politique qualité. Avant de parler outillage, les
réflexions portent sur la refonte des processus. Pour cette remise à plat, le référentiel Itil (Information
technology infrastructure library), qui recense les bonnes pratiques de management des SI, est rapidement
identifié comme la méthode adéquate. La DSI conçoit une arborescence des processus Itil en s'appuyant sur
la norme ISO 20000. Évolution logique de cette démarche d'amélioration continue, elle adhère ensuite à
l'approche de l'ITSM (Information technology service management ou Gestion des services informatiques).

Pour parachever le chantier, la DSI de la Cnaf s'équipe d'un logiciel structurant. Lors de son appel d'offres,
elle reçoit quatre propositions d'éditeurs de logiciels d'ITSM. C'est la solution IWS d'Isolog qui est retenue,
notamment pour son « côté modulaire et paramétrable ». Le recours aux méthodes agiles pour son
déploiement finit de convaincre l'établissement public. « En se rapprochant du demandeur, cela a permis de
répondre rapidement aux besoins. À l'époque, la DSI travaillait surtout en cycle en V. L'agilité s'est
généralisée par la suite », poursuit Zahir Makdoud qui estime avoir bénéficié d'un accompagnement
rapproché de la part d'Isilog.

La DSI de la Cnaf utilise donc IWS pour gérer les services délivrés aux Caf auprès de qui elle s'engage à
répondre dans un certain délai à une évolution fonctionnelle sur une application ou à une architecture, ou à
la correction d'un incident identifié. « IWS fournit des reportings associés, ce qui simplifie le suivi ainsi que
le pilotage », complète le chef de projet.

8
 Pour Zahir Makdoud, la mise en place d'IWS a nécessité « de redéfinir précisément le rôle de chacun et de
déterminer les différentes étapes des workflows d'avancement, mais nous avons maintenant une traçabilité
plus fine. » En revanche, pour le ticketing lié à l'informatique locale et à la gestion de parc comme une
demande d'écran ou une souris, la Cnaf a migré d'un outil maison à un outil du marché orienté client.

Depuis le déploiement de la solution, la Cnaf a suivi deux montées de version majeures, passant d'IWS 2009
à IWS studio en 2014, puis à IWS Air Design plus récemment. Le projet a aussi connu trois grosses évolutions
fonctionnelles. « Au début, la DSI a démarré sur deux processus : la gestion des incidents et la gestion de la
relation utilisateur, rappelle Zahir Makdoud. Puis, le périmètre a été étendu à la gestion des problèmes, des
configurations et des changements. Suivra, prochainement, celle des mises en production ».

Enfin, la DSI réfléchit à la possibilité d'étendre l'offre de services à d'autres entités, notamment les fonctions
support et les demandes d'achats.

1) Proposez des critères de performance du SI de la CNAF

2) Peut on parler de SLA dans le cadre du cas décrit ? Justifiez.
3) Explicitez la notion de ticketing. En quoi peut-on l’associer à une démarche d’amélioration continue ? En quoi
le changement d’outil peut-il se révéler utile ? voir la partie soulignée)
4) En quoi la refonte des processus est–elle utile dans le contexte décrit ?
5) Analysez-en quoi les pratiques décrites concourent-elles à l’alignement du SI de la CNAF.

EXERCICE 2

Un cadre d’une société informatique d’édition de logiciel a créé une société autonome qui s’est spécialisée dans la
conception de solutions logicielles comptables spécifiques.

Un client a sollicité la société pour obtenir un PGI adapté à ses besoins. Après 4 mois après la signature du contrat la
solution logicielle n’est toujours pas livrée. Le client envisage d’attaquer le prestataire pour manquements à ses
obligations contractuelles.

1) Rappelez les obligations d’une société d’édition de logiciel et montrer en quoi le prestataire a probablement
manqué certaines d’entre elles.
2) Montrez-en quoi la rédaction d’un SLA aurait pu permettre d’éviter ces problèmes.
3) Quelles devraient être les clauses techniques à y inclure dans le cadre d’une conception de logiciel ?

9
Annexe

Arrêt cour appel

10
EXERCICE 3
La DSI d'AG2R La Mondiale soigne ses clients internes
Mise en place de la solution d'ITSM de ServiceNow, portail unique pour interagir avec les équipes
informatiques, self-services, chatbots, kiosque IT... Chez AG2R La Mondiale, la DSI est aux petits soins avec
ses utilisateurs.

L e 2 février dernier, C@ssius a entamé sa troisième année d'existence. C@ssius est le portail qui sert
d'interface unique entre les 11 000 salariés d'AG2R La Mondiale-Matmut et les équipes de la DSI. À travers
lui, sont notamment gérés les incidents utilisateur et de production, les demandes de services, les
changements, les mises en production, les problèmes et les demandes de travaux.

Lancé en septembre 2016, son développement n'aura pris que 6 mois. Mais la réflexion, elle, remonte à
début 2015. AG2R La Mondiale est alors en plein rapprochement avec son homologue Réunica. « Dans cette
perspective, se posait la question de la convergence des outils entre les deux entités, ainsi que celle d'une
homogénéisation de l'interface de la DSI avec l'ensemble de ses utilisateurs », raconte Laurence Rochefort,
directrice Performance et Relations Clients Internes DSI. Plutôt que de sélectionner un des outils déjà en
place, la décision est prise de lancer un appel d'offre. Un choix qui a l'avantage de fédérer tous les acteurs.
Les grands impératifs auxquels doit répondre la nouvelle solution ? D'abord, offrir une simplicité des
interactions entre les utilisateurs et la DSI. Mais aussi proposer des processus standards et à l'état de l'art,
afin de renforcer encore l'efficacité des équipes IT. « Nous sommes un groupe de protection sociale, nous
n'avons pas besoin de process spécifiques, souligne la responsable. En restant proche des standards, nous
nous assurions de futures montées de version facilitées, tout en disposant de pro-cess optimisés. » Fin juin
2016, c'est la solu-tion d'ITSM (IT Service Management) de ServiceNow qui est retenue.

Une organisation centrée processus

Assurer l'efficience du fonctionnement transverse de la DSI est aussi au coeur de la seconde phase du projet,
qui étend, fin 2017, l'usage de ServiceNow à la gestion des demandes de travaux, des SLA/OLA, des mises en
production, des biens et configurations, etc. Au niveau de la gestion des incidents, par exemple, la DSI
s'appuie désormais sur le module de base de connaissances intégré à la solution. Auparavant, l'information
nécessaire au Service Desk était stockée à part des outils en place, sous forme de fichiers Word. « Les équipes
de support utilisateur apportent le bon service si on leur donne les bonnes informations pour le faire, relève
Laurence Rochefort. Nous enrichissons donc cette base de connaissances de manière constante, afin de
renforcer leur capacité de réponse. Dès qu'une nouveauté est mise en production, par exemple, le Service
Desk accède à sa description et à la chaîne de support la concernant ».

Côtés clients internes, le bilan de l'année 2018 montre qu'un incident sur cinq est aujourd'hui déclaré sur
C@ssius. Si la tendance à appeler le Service Desk reste majoritaire, ce taux d'adoption de 20 % se révèle
significatif. « Inciter nos utilisateurs à se tourner vers le portail pour déclarer les incidents non urgents a
notamment porté ses fruits, remarque la responsable. Cela évite de surcharger le centre d'appel. » Lors de
la déclaration d'un incident, le portail guide l'utilisateur afin qu'il apporte toutes les informations nécessaires
pour qualifier l'incident, puis celui-ci est affecté automati-quement à l'équipe capable de le prendre en
charge. Si les informations fournies ne permettent pas cette affectation automatique, le Service Desk prend
le relais pour orienter l'incident vers la bonne équipe, en s'appuyant sur des matrices d'orientation
disponibles dans la base de connaissances. Au besoin, il contacte l'utilisateur afin d'obtenir des données
complémentaires pour mieux qualifier l'incident.

Davantage d'autonomie pour l'utilisateur

Désormais, pour aller plus loin dans l'autonomie apportée à ses clients internes, la DSI entend mettre à leur
disposition des self-services pour résoudre facilement leurs problématiques eux-mêmes, sans devoir passer
11
 par le Service Desk. Dans cette optique, elle mise là encore sur la base de connaissances. « L'objectif d'un
support utilisateur n'est pas d'être capable de prendre des appels, mais de faire en sorte que leur nombre
soit le moins élevé possible, ce qui passe par la mise à disposition des utilisateurs de contenus pour s'informer
et se former », précise Laurence Rochefort. Pour faciliter la vie des utilisateurs dans cette démarche
autonome, la DSI envisage aussi le lancement d'un chatbot dans le courant de l'année. Il aura pour mission
de les assister dans la résolution de leurs problèmes ou de les aider dans la bonne formulation de leurs
demandes.

En 2017, une première expérimentation d'assistant virtuel avait déjà été lancée avec la solution de la start-
up Konverso. Menée sur un périmètre réduit, celui des demandes de services, l'essai s'était interrompu en
2018, le nombre moyen de demandes passant par ce chatbot avoisinant les 70 par semaine. Un taux
d'utilisation insuffisant pour assurer la rentabilité du dispositif. Cette première initiative a néanmoins
conforté la DSI dans l'intérêt de renouveler l'expérience, cette fois sur un périmètre plus approprié et de
manière plus intégrée à ServiceNow. « Le préalable à un chatbot, c'est cependant une bonne base de
connaissances, souligne la responsable. Notre priorité actuelle est donc d'améliorer cette dernière ».

En dépit des résultats satisfaisants obtenus en termes d'adoption de C@ssius dans la déclaration d'incidents
ou de la perspective de renforcer l'autonomie des utilisateurs à travers des self-services, l'objectif n'est
toutefois pas de tout miser sur le portail et l'automatisation. « Beaucoup de problèmes sont résolus en
proximité, en parlant », remarque Laurence Rochefort. Pour faciliter la vie de ses clients internes, la DSI porte
d'ailleurs attention à toutes leurs attentes. Lors d'une opération « vis mon job » organisé régulièrement entre
la DSI et des utilisateurs, la directrice Performance et Relations Clients Internes DSI a ainsi pu constater
l'attachement des collaborateurs à une relation directe avec les équipes support. « Ils insistaient sur
l'importance, pour eux, d'un contact avec des personnes, qui viennent à leur rencontre ou simplement au
téléphone, raconte-t-elle. Cela démontre la nécessité d'un support multicanal adapté aux attentes des
utilisateurs, en phase notamment avec leur maturité numérique. » Dans cette logique, un kiosque IT a été
mis en place en 2018, où les utilisateurs peuvent se rendre pour obtenir du matériel ou un dépannage. «
C'est une nouvelle manière de faire du support utilisateur, remarque Laurence Rochefort. Elle illustre notre
volonté de combiner des approches très back-office, comme avec le portail, et des approches novatrices de
proximité ».

1) Détailler les pratiques d’automatisation mises en place et leur impact en terme de performance
2) En quoi cela peut se révéler pertinent dans un cabinet d’expertise-comptable ?

EXERCICE 4

La société française ICELAND, dont le siège social est situé à Nantes, fabrique pour différentes sociétés réparties sur le
globe des sacs de couchage et équipements pour les destinations à climat extrême.

Elle est composée de 8 sites de production dont 3 situés en France, 1 en Islande, 1 en Chine, 1 au Chili, 1 au Canada et 1 en
Russie.
Le périmètre d’ICELAND a évolué ces dernières années au travers d’une politique de croissance externe en intégrant des
entreprises spécialisées dans un domaine d’activité (exemples : sacs de couchage, tentes, vêtements...). Chacune de ces
entreprises possédait donc ses propres applications et système informatiques. On constate aujourd’hui qu’il n’y a pas eu de
réelle urbanisation du système d’information ICELAND, qui atteint aujourd’hui les limites de cette construction empirique
du SI.
De nombreux dysfonctionnements en découlent. ICELAND vient d’acquérir le site spécialisé en matériaux composites au
Chili qui notamment doit travailler en étroite collaboration avec le service R&D situé au siège de Nantes. La sécurité des
échanges entre le service R&D et les sites de production est prépondérante pour la performance de l’entreprise afin de
préserver les secrets de conception et de fabrication qui font la renommée d’ICELAND. Par ailleurs, il faut noter que les
dossiers techniques, les logiciels de conception assistée par ordinateur, de graphisme, etc. engendrent un grand volume
de données à conserver. Pour l’instant, il n’existe pas de réelle politique globale de stockage des données. L’archivage et les
12
sauvegardes sont gérés indépendamment par chacun des 8 sites de production et du siège. On constate un manque de
compétences dans l’environnement numérique lié probablement à une culture d’entreprise plutôt dirigée vers le sport,
la technicité et la sécurité des produits. Néanmoins ICELAND dispose d’un service informatique composé de 8 personnes,
dont M. Idridasson, le directeur du système d’information. Par voie de conséquence, ICELAND doit faire appel à des
entreprises prestataires à travers des contrats de service. concernant le passage des 144 postes informatiques du siège à
un matériel client léger. Le siège fonctionne avec 2 serveurs applicatifs et 1 serveur de données.

1. Indiquez les éléments types contenus dans un contrat de service

2. Pourquoi ICELAND a-t-elle intérêt à rédiger un contrat de service le plus précis et complet possible ?

13
 APPLICATION 15 16 : COUT ET BUDGET
EXERCICE 1 Le contrôleur de gestion n'est plus un ennemi

Le terme fait encore peur, mais le rôle du contrôle de gestion est de mieux en mieux compris par les DSI.
Elles se servent de ces professionnels et de leur technicité pour nourrir transparence et dialogue avec la
direction financière. De véritables alliés que d'aucuns proposent d'ailleurs de renommer « business partners
».

S' il y a bien un débat qui semble clos aujourd'hui, c'est celui de la nécessité du contrôle de gestion et de l'intervention - voire
l'intermédiation - de ces professionnels dans le dialogue entre DSI et DAF. Car si la direction informatique a beaucoup de cartes en
mains pour un meilleur contrôle des coûts ou des investissements technologiques à fort potentiel, les contrôleurs sont capables de
mettre en évidence ces choix et de les valoriser. « Grâce à eux, les deux parties disposent de chiffres normalisés, car le contrôle de
gestion garantit leur homogénéité » , explique par exemple Stéphane Savio, associé Risk Advisory, Industrie Financière, chez
Deloitte. Certaines DSI comptent d'ailleurs certains de ces experts dans leurs effectifs, ou vont les chercher à l'extérieur. Le consultant
Sofian Bouachiri est l'un de ces sous-traitants et mesure au quotidien combien « le contrôle de gestion rééquilibre le dialogue entre
les deux directions. Il y a une plus grande bienveillance réciproque » .

Mais d'ailleurs, où faut-il positionner ces contrôleurs ? Dans son enquête sur la performance économique de la DSI menée en
2018, Deloitte avait fait émerger deux indicateurs : le nombre de contrôleurs de gestion orientés IT, rapporté au budget IT de
l'entreprise, et leur répartition entre DSI et direction financière. Si les valeurs du premier sont très étendues (de 13 M€ pour les
mutuelles et groupements de protection sociale jusqu'à 34 M€ pour les banques moyennes), la ventilation des postes de contrôle
de gestion est en revanche beaucoup plus homogène : entre 80 et 96 % d'entre eux sont rattachés à la DSI.

Dans les plus petites DSI aussi, la tendance est à renforcer les compétences de l'équipe sur ces thématiques budgétaires.. Romain
Descout, associé chez Deloitte Conseil, en charge de la transformation dans la finance, se refuse pour sa part à suggérer une
répartition idéale, si ce n'est pour constater que « les contrôleurs de la DSI sont sur l'opérationnel tandis que ceux de la direction
financière contribuent à une vision plus générale de la situation » .

L'objectif est bien d'aligner ces deux visions, ce qui produit une clarification des coûts et des activités de la direction des systèmes
d'information. « Cette rationalisation permet au DSI de mieux défendre son budget » , estime Stéphane Savio. Elle peut aussi
déboucher sur l'élaboration d'un catalogue de services, ouvrant la voie à des benchmarkings réguliers sur les coûts comme sur la
qualité de service délivrée.

Néanmoins, préviennent en coeur les experts, « il faut s'extraire d'une approche uniquement centrée sur la réduction des coûts et
vers l'optimisation budgétaire » . Preuve que le risque est bien réel, puisqu'il convient d'alerter sur ces dangers ! Et nombre de
directeurs de projets informatiques regrettent effectivement, à mots couverts, qu'une logique strictement financière puisse en arriver
à dicter des choix au détriment d'enjeux plus technologiques. Exemple classique évoqué, la mode du tout opex, validée par le
gestionnaire, peut conduire à s'engager dans une politique de cloudification...

1) Quelles sont les missions du contrôleur de gestion dans le contexte du SI

2) Quelles sont ses difficultés
3) Que peut apporter une démarche de benchmarking ?
4) En quoi une approche seulement financière de la cloudification est insuffisante ?

14
EXERCICE 2

Dans le cadre de la tenue des comptes on utilise les comptes de charges regroupés en famille.

60 achat

61/62 Autres achats et charges externe

63 Impôts et taxe

64 Personnel

65 Autres charges

66 Charges financières

68 dotations aux amortissement

1) Récapitulez les rubriques comptables susceptibles d'être concernées par des éléments relatifs au SI

La messagerie occupe à l'année un technicien qui administre les serveurs et les différents équipements. Ce technicien
est rémunéré 42 000€ par an. On estime que 30% de son temps est consacré à des problèmes de messagerie. Le cout
de la licence logiciel est de 1200€ par an. Un système de sauvegarde externe est organisé spécifiquement pour la
messagerie et il coute 1600€ à l'année.

• La messagerie utilise un des 40 serveurs de l'entreprise et occupe un espace de stockage de 1200 Go sur une
capacité de 20 To.
• Elle engendre un débit de 500 Go de données sur un total annuel de 30 T0

Pour l'entreprise on constate les frais globaux suivants :

• Les frais relatifs à l'ensemble des serveurs sont de 142 200€
• Les frais relatifs au stockage des données sont de 88 000€
• Les frais relatifs aux réseaux sont de 134 000€

Par ailleurs les frais généraux de l'entreprise sont de 540 000€. On hésite à les imputer soit proportionnellement aux
serveurs utilisés, soit proportionnellement aux données stockées, soit proportionnellement aux débit réseau.

2) Calculez le cout direct de cette prestation

3) Calculez le cout indirect selon les 3 possibilités offertes

L'entreprise compte 250 adresses de messageries et il s'effectue 1500 messages par an et par utilisateur.

4) Proposez une fourchette de cout complet. Commentez.

5) Est-il si utile de calculer un cout complet.
6) Calculez le cout pour une boite et le cout par mail.
7) 1/3 des messages est jugée inutile ou peut être assimilée à un spam. Quel en est le cout ?

15
EXERCICE 3 : APPROCHE ABC

On dispose des inducteurs suivants

Activité Nature de l’indicateur Volume de Coût annuel de

l’inducteur l’inducteur (euros)

Mettre à disposition Nombre de postes 400 2 000

les postes de travail

Gérer le support Nombre heures 6000 26€ de l'heure

Gérer le stockage des Nombre de giga-octets/application 40 000 1€ par Go

données

Gérer les imprimantes Nombre de pages imprimées ou 1000 000 0,80€ par page
éditées/application

Gérer les serveurs Nombre d’heures CPU/application 200 000 7€ par heure

Gérer le réseau Nombre de 120000000 0,002 € mégabit par

d’entreprise mégabits/minutes/application minutes

Gérer la sous-traitance Nombre de contrat de soustraitance 7 22 000

(exploitation)

COUT AJOUTEE 12 500 000 0,15€ pour 1€

1) Rappelez les différences entre une approche classique de calcul des coûts et une approche ABC
2) Indiquez en quoi consiste le COUT AJOUTEE ?

Une application métier est mise à disposition par la DSI sur 3 postes. Cette application engendre un coût de licence
de 11 200€ à l'année.

Cette application nécessite 2 heures de travail par jour par des techniciens de la DSI pour gérer le support. Elle
entraine un stockage de 1 ,5 To, et a sollicité les imprimantes pour 800 feuilles/mois

Elle utilise les capacités des serveurs à raison de 12 heures par jour, sur l'ensemble de l'année, et a occasionné un
contrat de sous traitance concernant le stockage de secours. L'application utilise le réseau non stop toute l'année à
raison d'un débit moyen de 150 Mbit/seconde

3) Calculez le coût de cette application

16
EXERCICE 4

Le TCO (Total Cost of Ownership)

Le TCO, appelé aussi coût total de possession, représente le coût global d’un actif tout au long de son cycle
de vie, en prenant non seulement en compte les aspects directs (coûts d’acquisition, de matériels et de
logiciels et des licences associées), mais également les coûts indirects tels que l’exploitation, la maintenance
et les modifications (mises à jour normales ou de sécurité, par exemple) des matériels et logiciels, les
ressources humaines (personnels d’exploitation et de développement) et les coûts de fonctionnement
(consommables, électricité...).
Il est à la base de tout calcul de rentabilité.
La valeur totale relative des actifs (matériels, logiciels...) du système d’information peut être beaucoup plus
importante que leur valeur d’acquisition. Ces coûts sont complexes à évaluer à l’origine, c’est-à-dire lors de
leur achat. Il est difficile de connaître les éléments qui vont intervenir lors de leur usage par la suite.
Par contre, il est important de pouvoir les évaluer lors de la décision d’achat, dans la planification d’un projet
ou lors des négociations des budgets du système d’information.
Selon les informations du Gartner Group, le coût total annuel d’un équipement informatique de type poste
de travail ou serveur peut être supérieur à au moins trois fois son prix d’achat. Sur trois ans, pour un poste
de travail, en tenant compte du support et des opérations de maintenance, ce coût peut monter à plus de
vingt fois son prix d’acquisition. Naturellement, ces prévisions peuvent s’appliquer à n’importe quel autre
actif utilisé dans le système d’information.
Pour chaque matériel, il faut ajouter aussi dans les coûts de fonctionnement : la formation donnée aux
utilisateurs, la maintenance matérielle et logicielle et le support technique.

1) Définir le TCO. Préciser les éléments dont il se compose.

2) Donnez des exemples de coûts cachés pouvant être incorporé dans le TCO.
3) En quoi la connaissance du TCO peut elle améliorer la gestion du SI ?
4) Quelles sont les limites de cet indicateur ?

17
EXERCICE 5 FACTURATION INTERNE

L'entreprise ALPHA comprend 1450 salariés. Elle intervient dans le domaine de l'édition de logiciel qui sont proposés
par un accès à distance de type cloud. . En 2020 son équipe dirigeante a décidé de mettre en place un système
budgétaire reposant sur la facturation interne.

Dans un premier temps, cela concerne le service maintenance/assistance.

Ce service comprend 8 personnes et engendre les charges suivantes :
Charges variables par intervention : 40€
Charges fixes 720 000€
L'activité normale du centre est de 12 000 interventions par mois. Le centre dispose d'une capacité pour gérer jusqu'à
14 400 demandes à l'année. La demande suit une loi normale de moyenne 12 000 et d'écart type annuel 800. A l'heure
actuelle l'activité normale de ce centre est également son activité réelle.
1) Rappelez les différentes notions de maintenance en matière de SI
2) Ce service est-il plutôt un centre de cout ou de CA ?
3) Calculer le coût standard de la prestation d'assistance ?

La direction souhaite mettre en place une démarche de facturation interne afin de responsabiliser les différents
services de l'entreprise quant à la consommation des services issus de la DSI
Dans un premier temps, le centre maintenance doit facturer ses prestations internes au cout standard majoré de 10%.
Le service de l'entreprise qui a le plus recours à l'assistance est le service call center qui est chargé de répondre aux
demandes des clients. Il consomme 4000 prestations dans l'année

4) Calculer à combien lui est facturé l'intervention ?

Le call center décide d'augmenter ses sollicitations du centre de maintenance et de passer à 5 000
Le centre de maintenance a donc une activité de 13 000.

5) Calculer à combien lui est facturé l'intervention ? Qu'en serait-il si le prix de la facturation reposait
sur le cout réel ? Qu'en pensez vous ?

Ce service call center est une sous division de l'entreprise ALPHA qui dispose de la possibilité d'aller voir ailleurs pour
obtenir ses prestations d'assistance. Une société extérieure est prête à facturer une intervention au cout unitaire de
80

6) Calculez l'impact pour le service call center s'il recourt à la prestation externe. Qu’en est il pour le
service acheteur ? Pour l’entreprise elle-même ? Concluez.

18
EXERCICE 6 LE TCO SELON LES CABINETS

Un comparatif du calcul du TCO selon les cabinets de consultant laisse apparaître la structure suivante :

A ces disparités dans le poids (le pourcentage) des rubriques majeures constituant le calcul d’un TCO se rajoute les
différences quant au résultat final c’est-à-dire le TCO exprimé en euros, alors les chiffres (censés recouvrirl le même
périmètre tant la méthode de calcul préconisée est détaillée et intègre une foultitude de détails pour les adeptes de
la méthode ) varient de 1 à 6 entre les experts !
Même si l’on prend le soin le plus élémentaire de préciser que les calculs de TCO ne s’appliquent qu’à l’infrastructure
technique et ne traitent pas du domaine du développement et de la maintenance d’applications. Ce constat n’est
d’ailleurs pas si étonnant, car au moins deux rubriques sont nécessairement délicates à mesurer : les coûts indirects
d’une part, le coût de production des applicatifs métiers d’autre part. Dans sa recherche légitime d’une méthode de
benchmarking des coûts informatiques de ses membres, le CIGREF ne remarquait-il pas à propos du TCO et des coûts
cachés :« Le coût total dont nous parlons est différent du TCO comme le définit le Gartner, qui inclut les coûts de la
non-qualité et les coûts cachés. Nous avons choisi de ne pas prendre en compte ces coûts indirects... car ils ne sont
pas mesurables concrètement. Dans une optique de benchmarking, il est d’autant plus difficile de se comparer sur des
bases fiables si des coûts aussi mal définis sont intégrés »
Si l’on est conscient des pièges précédents à éviter, toute comparaison sur un critère tel que le TCO avec des
entreprises pratiquant une activité similaire reste une approche intéressante, à condition de pouvoir identifier et
produire l’ensemble des données entrant dans la définition de l’indicateur, ce qui est relativement possible surl a
part des coûts directs mais beaucoup moins pour les coûts indirects, et en gardant deux points présents à l’esprit :
•le fait que le TCO ne fournit qu’un constat permettant d’agir et de réagir, et non un traitement miracle à
suivre aveuglément pour abaisser le coût des postes de travail. Il existera toujours une frontière entre le constat et
l’action ;
•le TCO n’est pas un trophée qu’une DSI brandirait devant la Direction général et la Direction financière en
leur servant la soi-disant preuve qu’ils sont décidément comblés d’avoir la DSI la moins coûteuse, la plus
performante... La réalité du métier de DSI est beaucoup plus complexe et ne saurait se résumer en un seul chiffre,
aussi flatteur soit-il.

1) Quelles sont les limites du TCO ?

2) Comment faire baisser le TCO ?

19
 APPLICATIONS 17 : LES BUDGETS/KM/

EXERCICE 1

Un cabinet d’expertise comptable souhaite comparer les offres bureautiques pour son cabinet. Les logiciels de
bureautique servent d’outils de travail complémentaires pour effectuer certaines tâches de calcul, de présentation,
de courrier. A ce titre une démarche de minimisation des coûts est recherchée. Il consulte pour cela le site Microsoft
et obtient les renseignements suivants :

Extrait 1

Extrait 2

Le cabinet comporte 40 personnes. Il est envisagé d’autoriser les collaborateurs à utiliser leur propre équipement
auquel cas une licence personnelle serait payée et déployée sur 6 postes uniquement si les collaborateurs en font la
demande, nombre d’entre eux possèdent à titre privé ces outils.
Sinon un accès individuel dans le cadre du cabinet est possible.

Enfin, le cabinet peut envisager aussi un achat définitif

1) Récapitulez les différents modes de tarification possibles que l’on peut rencontrer en général.
2) Quelle solution retenir ici. Proposez votre analyse.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 20
EXERCICE 2 BIG DATA

L'ère numérique a donné naissance aux datas, ces données digitales qui croissent à très grande vitesse.
Plus de 90 % des données disponibles auraient été produites dans les deux dernières années. A l'origine
de grandes mutations, notamment en matière d'écritures comptables et de contrôle fiscal, ce puits sans
fond qu'est le Big Data n'en est pas pour autant problématique pour les experts-comptables. Au contraire,
il leur offre l'opportunité de nouvelles missions à forte valeur ajoutée.

« Chaque jour, le monde produit autant d'informations qu'il en a généré depuis l'aube de la civilisation
jusqu'en 2003 » a déclaré Éric Schmidt, alors PDG de Google, lors d'une conférence en 2010. Les experts
estiment en outre à 739 milliards les revenus générés par le traitement des données à l'horizon 2020. Le Big
Data est indéniablement non seulement inévitable mais plus encore, un tremplin.
Les structures d'exercice professionnel sont impactées par l'actuelle transition numérique. Le marché des
services comptables connaît depuis quelques temps une érosion annuelle de valeur. En parallèle de cette
dynamique peu enthousiasmante, de nombreux logiciels permettent l'enregistrement, le traitement et le
suivi des données financières et comptables des entreprises, autrefois l'apanage de la profession. Sans parler
des modules qui sont désormais capables de mener à bien des audits de plus en plus complexes et structurés.
Les services informatisés sont-ils donc en passe de prendre le travail des professionnels du chiffre ? Loin s'en
faut ! La solution réside dans l'appropriation de ces technologies. L'ère des datas constitue au contraire une
formidable opportunité pour l'expert-comptable moderne et lui offre la possibilité de se concentrer sur les
notions les plus valorisantes de son métier : l’expertise et le conseil.

Les avantages à retirer du Big Data

De nouvelles missions stratégiques et commerciales s'offrent à l'expert-comptable. Avec l'immense quantité
de données dont il dispose, il peut assister les entreprises dans l’analyse comportementale de leurs clients
actuels et potentiels, notamment sur les pratiques et les habitudes d’achats sur internet.
Le professionnel peut également mettre à profit l’accès aux données anonymisées de l’administration fiscale
afin de les exploiter dans le cadre d’une mission spécifique. Ces données issues du Big Data fiscal permettent
de comparer les informations d’un secteur d’activité et d’une zone géographique avec les données du client.
Le Conseil supérieur de l’Ordre des experts-comptables a lui-même développé un nouvel outil mobilisant le
Big Data intitulé Statexpert. Les flux d’informations sociales et fiscales télédéclarées par les experts-
comptables sont conservés dans une base. Enrichi par la confrontation et l'analyse des données, le conseil
devient ainsi plus sectoriel, plus précis, plus pointu.
En marge du conseil, d'autres tâches apparaissent, telles que l'accompagnement à la mise en place de
nouveaux outils et process, la détection des risques et la proposition d'offres ciblées.

La sécurité des systèmes d'information : un avantage concurrentiel indirect

Avec le digital sont apparues certaines dérives. Piratage, atteinte à l'intégrité des données... ces notions sont
omniprésentes et prouvent quotidiennement la vulnérabilité des systèmes d'information publics et privés,
induisant une méfiance grandissante de la part des entreprises. La sécurisation des données est un enjeu
majeur. La sécurité des systèmes d'information va devenir une notion centrale. Les cabinets d’expertise
comptable n’échapperont pas ainsi à la nécessité de sécuriser leur propre système interne mais également
de rassurer l’ensemble de leurs clients sur leur capacité à protéger leur capital informationnel. Ce n’est qu’à
cette condition que le Big Data apparaîtra véritablement comme un atout pour les professionnels du chiffre
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 21
 1) Rappelez les caractéristiques des données ayant abouti au BIG DATA.
2) Rappelez les traitements liés au Big Data
3) Quelles retombées peuvent en espérer les experts-comptables ? ?

EXERCICE 3

Vous disposez d’un schéma ci-après relatif aux transferts de connaissance

1) Explicitez les notions décrites dans ce document

2) Proposez des outils reposant sur le SI et permettant de réaliser l’une ou l’autre de ces modalités de transfert
des connaissances.

EXERCICE 4 KM chez KPMG

Tous les grands cabinets de conseil ont élaboré des référentiels de formulaires, de documents structurés et de rapports
d'intervention « type» que les consultants vont mobiliser pour une meilleure productivité. Une fois établis, les rapports
de mission sont conservés, dans de grandes bases de données utilisables ultérieurement de façon modulaire pour,
former de nouveaux conseillers selon les meilleures pratiques de l'entreprise et pour préparer de nouveaux conseillers
à rejoindre une équipe de consultants. L

Les cabinets d'expertise comptable, par exemple, ont créé de grosses bases de données sur le droit fiscal qui
contiennent de l'information sur la politique fiscale, l'application de cette politique à des entreprises clientes
particulières et les conseils des fiscalistes en interne sur le fonctionnement des lois régionales.

Le Kworld de KPMG est probablement l'un des plus gros référentiels de connaissances structurées du secteur privé.
KPMG International est un réseau mondial de cabinets qui offrent des services en vérification et en fiscalité. Il emploie
95.00 professionnels qui travaillent dans quelque 1.100 bureaux répartis dans 820 villes situées dans 150
pays(KPMG). Avec une telle base mondiale de collaborateurs et de clients, KPMG rencontrait des difficultés à partager
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 22
des connaissances, à prévenir la perte de connaissances lors des départs en retraite ou démissions des conseillers, à
diffuser les meilleures pratiques et à s'adapter à la surabondance d'informations en provenance du terrain. En 1995,
KPMG a commencé à développer un environnement de connaissances accessible via son Intranet, connu sous le nom
de « Knowledge Web », ou « Kweb ». Kweb contenait des bases de données organisées autour de domaines de
connaissances internes et externes que partageaient ses consultants. En 1999, KPMG crée une extension du Kweb
appelée « Kworld », qui comprend un ensemble intégré de contenu de savoirs et d'outils de collaboration utilisables
dans le monde entier.

Kworld est un environnement en ligne conçu pour rassembler, partager et gérer des connaissances. Même s'il s'agit
avant tout d'un référentiel de documents, il fournit aussi des fonctions de collaboration en ligne pour les consultants
de l'entreprise, ainsi qu'un système d'information comptable. Kworld stocke des livres blancs, des présentations, des
propositions de meilleures pratiques, des articles, des discussions internes, des documents marketing, des histoires de
missions, ainsi que des recherches externes au secteur. Le contenu est organisé en neuf niveaux, selon les prestations
et produits KPMG et les segments de marché. Chacun de ces domaines compte de nombreuses sous-catégories de
connaissances. Par exemple, le domaine de connaissances sur le client comprend des entrées sur les états financiers,
la dynamique du secteur industriel, la dynamique du changement, l'entreprise cliente, les produits et clients de
l'entreprise cliente et l'historique des missions de KPMG (KPMG, 2003).

Les conseillers utilisent le Kworld pour coordonner leur travail d'équipe avec le client, et ce dernier a également accès
à l'environnement de collaboration. KPMG a investi des ressources considérables pour organiser et utiliser les millions
de documents stockés dans Kworld. Il a créé une division de gestion des connaissances dirigée par un responsable de
la gestion des connaissances. Une équipe composée d'analystes et de bibliothécaires évalue la qualité de l'information
entrante, s'assure qu'on lui attribue la bonne catégorie, estime sa valeur et analyse sa pertinence.

1) Définit la notion de connaissance et ses différentes formes. Qu’apporte l’organisation de la base autour
de 9 domaines, à leur tour décomposé en sous domaines ? Peut-on parler de taxinomie ?
2) Repérez les outils relatifs au Management des connaissances évoqués dans le document.
3) Montrez les enjeux pour KPMG d’investir dans de tels outils.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 23
 APPLICATIONS 18 : EXTERNALISATION

EXERCICE 1 : L’EXTERNALISATION

L'externalisation informatique est un moyen de tirer parti des technologies numériques pour optimiser les processus
et les opérations informatiques d'une entreprise. Il peut offrir une variété d'avantages significatifs, tels que des coûts
réduits, une productivité accrue et un meilleur contrôle des risques. Dans ce guide, nous allons examiner en détail
les avantages et les inconvénients de l'externalisation informatique, comment mettre en place une stratégie
d'externalisation informatique efficace, les défis qu'il faut relever pour en tirer le meilleur parti et le rôle des
responsables informatiques et des entreprises dans le succès de cette approche.

Qu'est-ce que l'externalisation informatique ?

L’externalisation informatique est une forme de délégation de certaines fonctions informatiques à un fournisseur
de services tiers. Cela peut inclure tout, des services d'infrastructure informatique aux services logiciels et aux
services d'assistance. Les entreprises qui choisissent d'externaliser leurs fonctions informatiques bénéficient d'une
variété de bénéfices, notamment des économies de coûts, une meilleure efficacité des opérations et une meilleure
gestion des risques. En externalisant des services informatiques, les entreprises peuvent également améliorer leur
expérience client et leurs processus de développement des produits. En externalisant des fonctions informatiques,
les entreprises peuvent réduire leurs coûts et leurs dépenses d'exploitation. Cela est possible car les entreprises
peuvent payer un montant forfaitaire pour un service spécifique plutôt que de payer pour des ressources à temps
plein. Les entreprises peuvent également bénéficier de services informatiques hautement spécialisés sans avoir à
embaucher des professionnels qualifiés et à payer des salaires élevés. En outre, les entreprises qui externalisent des
fonctions informatiques peuvent se concentrer sur leurs objectifs stratégiques et ne pas être distraites par des
problèmes techniques ou des problèmes d'infrastructure.

Comment une entreprise peut-elle bénéficier d'une externalisation informatique ?

Les entreprises qui recourent à l'externalisation informatique profitent de nombreux avantages. La principale raison
pour laquelle les entreprises externalisent est la réduction des coûts. En externalisant certaines fonctions
informatiques, les entreprises peuvent réduire leurs coûts opérationnels et leurs dépenses en capital. En outre, les
entreprises peuvent également accéder à des compétences et à des technologies de niveau supérieur, telles que
l'intelligence artificielle et le cloud computing, sans avoir à investir dans les ressources humaines et matérielles
nécessaires pour les fournir. En externalisant les processus informatiques, les entreprises peuvent également
augmenter leur productivité. En externalisant des processus complexes et chronophages, les entreprises peuvent se
concentrer sur leurs activités principales et générer plus de revenus. De plus, en externalisant, les entreprises
peuvent réduire leur temps de développement et leur temps de mise sur le marché, ce qui leur permet de répondre
plus rapidement aux besoins des clients.

Quels sont les avantages et les inconvénients de l'externalisation informatique ?

L'externalisation informatique est une technique de gestion des technologies de l'information qui permet aux
entreprises de gérer leurs processus et leurs opérations informatiques de manière plus efficace. Les entreprises
peuvent bénéficier de l'externalisation informatique grâce à des gains de productivité, des coûts réduits et une
meilleure gestion des risques. Les avantages de l'externalisation informatique sont nombreux. La plus importante
est la réduction des coûts, car les entreprises peuvent réduire leurs dépenses en personnel et en matériel en
externalisant leurs processus et leurs opérations informatiques. Les entreprises peuvent également bénéficier d'une
meilleure productivité, car elles peuvent se concentrer sur leurs activités principales, en confiant le traitement des
données et des processus à des spécialistes. Enfin, l'externalisation informatique permet aux entreprises de mieux
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 24
gérer les risques, en évitant les problèmes de sécurité et les retards dans le traitement des données. D'un autre côté,
l'externalisation informatique peut également avoir des inconvénients. Les entreprises peuvent perdre le contrôle
de certains processus informatiques ou rencontrer des difficultés à trouver le bon fournisseur pour répondre à leurs
besoins. Les entreprises peuvent également être confrontées à des problèmes de sécurité et de confidentialité des
données et à des problèmes de qualité et de fiabilité des services fournis.

Comment mettre en place une stratégie d'externalisation informatique ?

Une fois que vous avez identifié les besoins et les objectifs de votre entreprise en termes d'externalisation
informatique, il est temps de mettre en place une stratégie pour réaliser ces objectifs. La première étape consiste à
analyser et à déterminer le type de services informatiques dont votre entreprise a besoin. Cela peut inclure des
services de gestion des infrastructures informatiques, des services de gestion des données, des services de sécurité
et des services de développement de logiciels. Une fois que vous avez établi quels services sont nécessaires, vous
devez ensuite déterminer qui fournira ces services. Vous devez évaluer les fournisseurs de services disponibles et
déterminer lequel correspond le mieux à vos besoins. Il est également important de prendre en compte le coût des
services et de s'assurer que votre budget est suffisant. Une fois que vous avez déterminé qui fournira les services,
vous devez établir un plan pour mettre en œuvre la stratégie d'externalisation informatique. Cela peut inclure
l'élaboration d'un calendrier de mise en œuvre, la définition des rôles et responsabilités des différents acteurs
concernés, l'identification des moyens de communication existants et des moyens à mettre en place et la définition
des processus et procédures à suivre. Une fois le plan mis en place, vous devez également mettre en place des
procédures de contrôle et d'audit pour s'assurer que la stratégie fonctionne correctement et qu'elle est correctement
suivie. La mise en œuvre et le suivi de la stratégie d'externalisation informatique peuvent aider votre entreprise à
réaliser ses objectifs et à tirer le meilleur parti des technologies numériques.

Quels sont les défis à relever pour réussir une stratégie d'externalisation informatique ?
Le développement et la mise en œuvre d'une stratégie d'externalisation informatique efficace requiert une
planification et une exécution minutieuses. Il est important que les entreprises identifient clairement leurs objectifs
en matière d'externalisation informatique et déterminent les moyens de les atteindre. Les entreprises doivent
également prendre en compte les facteurs tels que le budget, les ressources humaines, les technologies et les
processus. Une autre considération clé est la sélection d'un prestataire d'externalisation informatique qui pourra
offrir un service de qualité et répondre à leurs besoins. Les entreprises doivent également prendre en compte le
temps nécessaire pour mettre en œuvre et gérer leurs systèmes informatiques externalisés. Enfin, les entreprises
doivent être prêtes à s'adapter aux changements technologiques et aux changements de la demande des clients. Les
entreprises doivent également prendre en compte le fait que l'externalisation informatique peut être risquée et la
prise de décision doit être prise avec soin. Les entreprises doivent s'assurer que leurs systèmes sont sûrs et que leurs
données sont stockées de manière sécurisée. Il est également important que les entreprises prennent le temps de
comprendre les processus et les mécanismes de gestion de l'externalisation informatique afin de s'assurer que leurs
systèmes sont adaptés et mis à jour régulièrement. Les entreprises doivent également prendre en compte le fait que
l'externalisation informatique peut entraîner des coûts supplémentaires et doivent donc évaluer attentivement le
coût-bénéfice de leur stratégie d'externalisation informatique.

Quel est le rôle des professionnels de l'informatique et des entreprises dans le succès de l'externalisation
informatique ?
Le rôle des professionnels de l'informatique et des entreprises dans le succès de l'externalisation informatique est
crucial. Les professionnels de l'informatique doivent s'assurer que tous les systèmes informatiques sont
correctement mis en place et fonctionnellement optimisés. Ils doivent également s'assurer que les systèmes sont
sécurisés et que tous les protocoles de sécurité sont mis en œuvre. Les entreprises doivent également jouer un rôle
actif dans le processus. Elles doivent s'assurer que leurs employés sont conscients des avantages et des
inconvénients de l'externalisation informatique et qu'ils sont formés à utiliser correctement le système. Les
entreprises doivent également s'assurer qu'elles ont un partenaire d'externalisation informatique de confiance qui
peut fournir des solutions informatiques fiables et à jour. Un partenaire d'externalisation informatique de confiance
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 25
peut aider les entreprises à s'assurer que leurs systèmes sont bien gérés et qu'ils sont mis à jour en permanence. Le
partenaire d'externalisation informatique peut également fournir des conseils et des connaissances précieuses pour
aider les entreprises à rester à la pointe de la technologie et à réussir leurs objectifs.

L'externalisation informatique peut être un moyen très efficace pour les entreprises de réduire les coûts, d'améliorer
la productivité et de gérer les risques informatiques. La clé du succès réside dans le développement d'une stratégie
d'externalisation informatique bien pensée et exécutée avec une grande attention aux détails. Les professionnels de
l'informatique et les entreprises qui mettent en œuvre des stratégies d'externalisation informatique bien conçues
peuvent tirer le meilleur parti des technologies numériques et bénéficier des avantages significatifs qu'elles offrent.

Extrait site internet IT for PRO 2024

1) Rappelez les différentes formes de l’externalisation

2) Pourquoi le domaine des SI recours -t-il de façon très marquée à l’externalisation ?
3) Quelles méthodes doivent être mises en avant pour lutter contre la résistance au changement accompagnant une
externalisation ?

EXERCICE 2 : EXTERNALISATION

La société AUTODESIGN93 est installée à VERNAY-SUR-SEINE (93). Cette société anonyme La société AUTODESIGN93 est
installée à VERNAY-SUR-SEINE (93). Cette société anonyme au capital de 2 000 000au capital de 2 000 000 a réalisé en
2018 un chiffre d’affaires de 20 445 5321.

L’entreprise.
L’entreprise avait un effectif de 247 salariés au 31/12/2018. L’activité principale de la société consiste dans la conception
et la fabrication de profilés L’activité principale de la société consiste dans la conception et la fabrication de profilés
extrudés. Cette technique de fabrication en continu permet d’élaborer un large éventail de extrudés. Cette technique de
fabrication en continu permet d’élaborer un large éventail de produits principalement destinés au domaine automobile
(enjoliveurs de protection, produits principalement destinés au domaine automobile (enjoliveurs de protection,
déflecteurs, spoilers, etc.).
La majeure partie du chiffre d’affaires de la société AutoDesign93 est réalisée avec des constructeurs automobiles, et des
équipementiers.Ces clients demandent de la réactivité afin de s’adapter à leurs besoins et un accès aux informations
relatives à la réalisation de leurs commandes afin de s’assurer du respect des délais de livraison.. De plus, ils imposent un
recours accru à la dématérialisation des documents techniques, commerciaux, , comptables et financiers afin d’intégrer
directement les informations dans les systèmes d’information des entités participant aux transactions..

Pour mieux répondre aux attentes de ses clients, la société a été amenée à créer des filiales dans plusieurs pays : Espagne,
République tchèque et, récemment, en Chine

La société AutoDesign93 est dirigée par un président délégué assisté de deux co-directeurs, ,ainsi que d’un responsable
système qualité, sécurité et environnement
L’entreprise est organisée en six directions :
• production ;
• achats et logistique
• recherche et développement
• commercial ;
• ressources humaines
• finance et informatique.

L’équipe informatique se compose de 3 techniciens dirigés par la responsable informatique, Mélanie Bertin, titulaire
d’un BTS informatique spécialisé dans l’administration des réseaux. Elle se trouve sous la responsabilité de Michel
Durand de formation comptable et financière peu aufait des problématiques actuelles en termes de management des
systèmes d’information.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 26
 Le système d’information (SI) a été mis en place progressivement en combinant des solutions du marché et des
applications développées spécifiquement par des externes pour répondre au plus près aux besoins de l’entreprise.

Sur le plan matériel, le SI s’appuie sur une centaine de postes de travail, un contrôleur de domaine, ,deux serveurs
d’applications, un serveur d’impression, un serveur de bases de données, deux serveurs d’applications, un serveur
d’impression, un serveur de bases de données, unentrepôt de données, un serveur proxy pour l’accès Internet, protégé
par un pare-feu.
.Le système d’information actuel présente des limites liées à la multiplicité des applications

Des développements ont été effectués pour mettre en place des interfaces permettant à ces applications de
communiquer, mais le fonctionnement du système est lourd, avec parfois des blocages.De plus l’unification des données
sur la base d’un seul référentiel a été engagée mais reste incomplète

Une solution de réorganisation complète du parc applicatif autour d’un PGI plus complet que l’actuel est à l’étude. Cette
solution est envisagée dans le cadre d’une réflexion plus large sur l’actuel est à l’étude. Cette solution est envisagée dans
le cadre d’une réflexion plus large sur l’informatique en nuage (l’informatique en nuage (cloud computing) et
l’hébergement des applications et des) et l’hébergement des applications et des données dans des Datacenters

.1.Définir l’informatique en nuage et présenter ses principaux avantages (quatre avantages sont attendus).

2.Présenter une typologie des risques associés à l’adoption d’une telle solution.

3.Quelles sont les méthodes et techniques qui devront être mises en œuvre par le prestataire pour limiter ces risques ?

EXERCICE 3 EXTERNALISATION

Le musée national de Louvinsay (inauguré en 1975) est situé dans le 12ᵉ arrondissement de Paris. Monument architectural
et attraction incontournable de la capitale par ses nombreuses manifestations culturelles, il bénéficiera d’une rénovation
importante qui s’étalera jusqu’en 2030 et ce, pour un budget de 120 millions d’euros. Parmi les grands travaux prévus,
citons le renforcement de la charpente en acier, la rénovation des murs extérieurs, la pose d’un ascenseur écologique à
hydrogène et la construction d’une salle d’exposition complémentaire au sous-sol.

La PME SEMLO (Société d’Exploitation du Musée de Louvinsay) emploie 300 salariés pour un chiffre d’affaires de 120
millions d’euros (plus de 8 millions de visiteurs hors période COVID). Elle a su rebondir durant la crise pandémique en
proposant des solutions de visites virtuelles, et souhaite à l’avenir développer cette activité via des projets en lien avec le
metaverse1.

Patrick PILLIER fut, il y a quelques années, le premier DAF nommé à la SEMLO. Il a contribué à la mise à disposition d’outils
de pilotage pour la fonction financière, puis plus récemment au chantier de modernisation du SI2 (digitalisation des
factures, migration de SAGE 100 vers un ERP financier et interfaçage des solutions de GMAO3 Mainti4 avec ce dernier).

1 Monde virtuel en activité continue, dans lequel l'interaction est possible entre utilisateurs recourant à des
équipements adaptés (casques de réalité virtuelle) et faisant usage d’avatars.
2 Cf. Cas SEMLO lié à la thématique « Cycle de vie des SE »
3 Gestion de Maintenance Assistée par Ordinateur

C’est suite au choix d’un intégrateur (après appel d’offres) que la bascule s’est faite progressivement (comptabilité pour
SAGE FRP 1000, puis module de gestion de commandes, impliquant l’interfaçage avec les systèmes de GMAO et de
facturation de la SEMLO).
Souhaitant consolider les procédures d’achats, la SEMLO mise sur la mise en production du module de suivi des marchés et
des contrats de l’ERP Sage. En outre, le module de Business Intelligence (BI) permet au DAF de s’assurer que chaque achat
répond aux attentes du code des marchés publics, avec un contrôle automatique des niveaux d’engagement, le reporting
automatisé et la présence d’un système d’alerte configurable (états des fournisseurs, créations de RIB pour faire face aux
RIB frauduleux, etc.).
Récemment, le DAF a voulu aller plus loin en initiant un projet Big Data (« Uranie ») exploitant les données issues des trois
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 27
systèmes : « Finance » (Sage FRP 1000, Mainti4 et ZOOT),« Billetterie » et « SI Ressources Humaines (SIRH) ». Ce projet
stratégique, au centre des préoccupations de la SEMLO pour les prochaines années, vise à apporter une connaissance plus
précise des attentes des visiteurs. Un appel d’offres a été lancé et les travaux initiés ont abouti au développement d’un
Data Lake.

La cartographie du SI met en évidence des besoins de disponibilité et de sécurité pour des applications métiers. L’analyse
des compétences SI présentes en interne démontre qu’il existe des manques récurrents.

Monsieur PILLIER, DAF de la SEMLO, se pose des questions quant aux opportunités de réaliser certaines activités du SI en
interne ou de les confier à des prestataires. Cela concerne le projet Big Data « Uranie », mais aussi le développement
d’une interface entre deux applications.

Un besoin de compétences pointues en Big Data est ressenti pour le projet Big Data, avec les contraintes suivantes :

● Mission à la croisée des fonctions Data Analyst/Business Analyst (cf. Annexe 1).
● Durée indéfinie à ce jour.
● Disponibilité en continu.

1.1 Faut-il recourir à l’externalisation pour cette activité ? Justifier.

On souhaite développer une interface entre deux applicatifs, dont l’un est un progiciel du marché bien connu et documenté
et l’autre une application « maison », développée par un prestataire il y a deux ans, dans un langage robuste.

Cette application construite sur mesure apporte beaucoup de satisfaction, car elle répond à des besoins métiers précis. Par
contre, il n’existe aucune documentation et le prestataire a cessé son activité. Le développement doit répondre à des
critères précis (par exemple, le respect du RGPD) et est considéré comme une priorité d’un point de vue stratégique.

Un contrat d’externalisation est établi pour le développement d’interfaces entre applicatifs du SI RH. Ceci implique une
analyse préalable de l’application construite sur mesure, car comme indiqué précédemment on ne dispose plus de
documentation ou de support en lien.

1.2 Quels sont les deux modes de facturation existants ainsi que leurs avantages/inconvénients ?
1.3 Quel mode de facturation serait adapté pour le développement de cette interface en particulier ?
1.4 Quels sont les enjeux (de manière plus globale) autour du recours à une prestation offshore ?

Des contrats de TMA (Tierce Maintenance Applicative) vont être conclus avec des prestataires experts en infogérance
pour différentes applications du SI.

1.5 Citez les avantages et inconvénients du recours à une prestation infogérée pour la SEMLO.

Monsieur PILLIER passe en revue les contrats mis en place avec les différentes ESN qui interviennent au sein du SI de la
SEMLO.

Il doit notamment contractualiser à propos de la fourniture d’une application hébergée (FAH) pour le SIRH.

2.1 Après avoir défini ce qu’est un SLA, précisez les avantages liés à la mise en place d’un tel accord de niveau de
service.
2.2 Le SLA définit-il uniquement les responsabilités du prestataire ? Justifier en illustrant vos propos.
Un des prestataires mentionne, préalablement à la construction d’un SLA, qu’il dispose d’un PCA ( Plan de continuité
d’activité) robuste, car éprouvé régulièrement.
2.3 Définir ce qu’est le PCA et en quoi il constitue un gage de confiance pour le client du service.

Un prestataire intervenant sur un contrat de maintenance de l’ERP n’a pas atteint les niveaux de qualité requis par le contrat.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 28
Il invoque le fait que les locaux des serveurs de la SEMLO ne sont pas accessibles durant les plages d’intervention.
2.4 Cet argument est-il valable ? Pourquoi ?

Monsieur PILLIER souhaite garder de la flexibilité dans la gestion du SI, en se réservant la possibilité ultérieure de
réintégrer un service confié à un prestataire.
2.5 Comment s’assurer que cela sera possible à travers la construction des SLA ?

Quelques années se sont écoulées et la fonction SI au sein de la SEMLO a pris de l’ampleur. Le DAF, Monsieur PILLIER,
n’intervient plus dans le pilotage direct du SI et une DSI a été constituée, des recrutements de profils d’experts ayant été
réalisés.

La DSI présente donc une équipe étoffée. Cependant, cette entité travaille à légitimer sa place en tant que prestataire de
service pour les autres directions, car bien souvent (de par l’explosion des investissements informatiques) elle est perçue
comme un centre de coûts.

3.1 Après avoir défini ce qu’est un contrat de service en interne, précisez les avantages d’un tel accord.

3.2 Quels avantages apporte la création d’un catalogue de services ?

3.3 Qu’apporte le référentiel de bonnes pratiques ITIL dans ce domaine ?

ANNEXE 1 – Fiche métier Business Analyst

Le business analyst (BA) est également connu sous le nom de consultant fonctionnel, analyste d’affaires ou chargé d’étude
en organisation et informatique. C’est une fonction clé, car cet expert interfère avec tous les services présents au sein de
l’entreprise. On le retrouve le plus souvent au sein de grandes sociétés possédant plusieurs filiales et/ou activités. Il peut
également jouer le rôle de consultant indépendant pour des TPI.

Sous l’égide de la direction marketing et/ou commerciale, le BA est chargé de donner de la valeur aux chiffres. Cela implique
qu’il traite le processus d’information de manière à tirer des résultats sur l’activité de l’entreprise. Le business analyst
effectue régulièrement et continuellement une étude structurelle du marché et un contrôle minutieux des mécanismes
financiers et marketing de sa société. En ce sens, il doit alors évaluer son efficacité ou dans le cas contraire, apporter les
corrections nécessaires si besoin est.

En d'autres termes, le consultant fonctionnel a pour but d’adapter et d’aligner le processus de vente, de production ou de
logistique aux contraintes extérieures. Il peut s’agir de l’implantation d’un nouveau concurrent, du lancement d’un nouveau
produit ou de nouvelles solutions informatiques.

Quel est son rôle ?

Son rôle diffère selon l’entreprise où il exerce sa fonction.

Comme son nom l’indique, le data analyst fait une analyse complète de tous les besoins de l’entreprise, à savoir ses moyens
matériels, informatiques et financiers, ses ressources humaines ainsi que les stratégies apposées. Si cette analyse des
besoins est incorrecte ou incomplète, les projets de la société peuvent échouer.

Le business analyst détermine également la politique commerciale appliquée par l’entreprise ainsi que les objectifs à
atteindre. Ces derniers sont fixés en fonction de l’évolution future souhaitée par la société. Dans cette optique, le BA se
base sur des tableaux de bord et des business plans ajustés à chaque type de projet.

(...)
Source : CEGOS. Fiche Métier : Business Analyst. Site corporate.

ANNEXE 2 – « SLA informatique et PCA : documents incontournables des contrats informatiques et offres SaaS »5
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 29
« (...) Avoir un SLA aligné avec les attentes de ses clients permet donc de les rassurer et atteste du sérieux de votre service
et de votre capacité à poursuivre votre activité dans un contexte malmené, notamment en période de crise.

Mais dans un contexte de crise, le SLA ne suffit souvent pas pour garantir la capacité de
« résilience » du prestataire. Encore faut-il être en mesure d’anticiper les éventuelles perturbations et conséquences d’une
crise (par exemple, la crise du coronavirus) dans l’organisation de votre entreprise et d’être en capacité d’en limiter les
impacts. Pour cela, il est fortement recommandé de mettre en place également un Plan de Continuité d’Activité (PCA).

L’importance d’établir un Plan de Continuité d’Activité (PCA)

Parallèlement au contrat de prestations de services informatiques et au SLA, il est également vivement recommandé de
prévoir en interne un plan de continuité d’activité, le PCA.

Le PCA énonce toutes les règles et les procédures internes à mettre en œuvre afin de permettre, en cas de situation
exceptionnelle (par exemple, une panne de réseau, un incident informatique, une crise sanitaire), la reprise et/ou la
poursuite de l’activité.

En tant que prestataire, il est indispensable d’être en mesure d’anticiper et de s’organiser en interne sur les moyens visant
à poursuivre l’exécution des prestations en cas d’affectation du service.

Le PCA permet alors de décliner rapidement une véritable stratégie technique de continuité. Par exemple, il peut prévoir
que le jour où les salariés ne pourront plus venir sur le lieu de travail, le télétravail sera appliqué. Ou encore, en cas de
panne informatique, que les données seront sauvegardées et répliquées sur un autre serveur.

De manière générale, le PCA doit contenir des mesures propres à :

❖ L’organisation de l’activité : Quelles sont les activités qui doivent être impérativement maintenues en raison de leur
criticité ? Comment les maintenir concrètement ? À quels salariés faut-il faire appel pour cela ?

❖ L’organisation du travail : mise en place et modalités d’organisation du travail en cas de crise, mise en place du
télétravail, système de rotation des équipes, etc.
❖ La mise en place des alertes et notifications : mise en place des procédures venant déclencher les alertes et
notifications en cas d’interruptions et dysfonctionnements.
❖ La mise en place des procédures de reprise : mise en place des processus de gestion de crises, des objectifs de temps
de reprise des services, de temps de récupération des systèmes et données.
❖ La prise en compte des tests et évolution : afin que le PCA reste effectif dans la durée, il conviendra également de
prévoir les procédures de test du PCA en situation opérationnelle les processus d’évolution du PCA.

Bon à savoir : le PCA facilite la mise à jour du Document Unique d’Évaluation des Risques (DUER), indispensable en période
de crise. Le DUER est une obligation légale.

Dernier point d’attention, si le PCA est bien un document incontournable, il dévoile néanmoins des informations
stratégiques et sensibles sur votre organisation. Ainsi, il est recommandé de ne pas non plus tout dévoiler de votre PCA à
votre client, au risque de vous exposer en cas de fuite de ce document au public. Un simple résumé ou une version allégée
du PCA est parfois suffisante en tant qu’annexe contractuelle.

Vous l’aurez compris, il est capital de bien définir en amont vos engagements en tant que prestataire vis-à-vis de vos clients.
Les documents annexes tels que le SLA ou le PCA ne doivent absolument pas être négligés et deviennent même
indispensables pour certains types de contrats informatiques pour lesquels la continuité des services du prestataire est
indispensable au client, notamment lorsqu’il s’agit d’une offre en SaaS. Cet arsenal vous garantit en outre une crédibilité
aux yeux de vos clients et donc une plus-value face à vos concurrents. »

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 30
 APPLICATION 19/20/21 INFRASTRUCTURE
TECHNOLOGIQUE SECURITE

EXERCICE 1 L'ECOSYSTEME DE L'INFRASTRUCTURE TECHNOLOGIQUE

1) Indiquez les principales composantes d’une architecture technologique.

2) Rappelez la notion d'écosystème. Quel est l'intérêt de cette approche ?
3) Identifiez au travers de firmes dont ils se composent les grandes composantes l'écosystème associé aux
infrastructures technologiques.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 31
EXERCICE 2

Le modèle client-serveur est une architecture d'application distribuée qui partitionne la tâche ou la charge de travail
entre les fournisseurs d'une ressource ou d'un service.

Dans l'architecture client-serveur, lorsque l'ordinateur client envoie une demande de données au serveur via
Internet ou sur un réseau local, le serveur accepte le processus demandé et renvoie les paquets de données
demandés au client.

Les clients ne partagent aucune de leurs ressources.

Schéma du VPN

1) Définir la notion d'architecture client-serveur

2) Quel est le rôle d'un système d'exploitation.
3) Expliquez la différence entre client léger et client lourd
4) Expliquez les architectures 2 tiers, 3 tiers, 4 tiers
5) Expliquez l'expression On premise
6) Qu'apporte la virtualisation des serveurs ?
7) Qu'apporte l'hébergement ?
8) Le cloud est-il associable à une offre client serveur ?
9) Quelle est l'utilité d'un VPN

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 32
EXERCICE 3 DEVELOPPEUR et INFRASTRUCTURE

La collaboration entre les équipes de développement et les responsables de l’infrastructure technologique est une
relation fragile dans la plupart des organisations. Cette fragilité est causée par la nature différente de leurs
responsabilités. Cette différence provoque parfois une division entre les deux corps de métier qui n’arrivent pas à
comprendre les préoccupations et les contraintes de leurs collègues.

Les développeurs utilisent des technologies innovantes offrant fréquemment de nouvelles alternatives. Cette
innovation constante permet aux équipes de développement de réagir rapidement aux besoins émergents et
changeants de leur clientèle. Plusieurs développeurs ignorent les contraintes et les exigences des systèmes en
production. Certains consultants ou jeunes professionnels n’ont jamais participé à la mise en production et à l’entretien
d’un système logiciel. Il est difficile pour eux de comprendre les réalités des responsables de l’infrastructure.

Les responsables de l’infrastructure mettent à disposition des services se conformant à des critères de qualité exigeants
comme la sécurité, l’accessibilité, la tenue en charge, le temps de réponse, et tout autre critère exigé par la clientèle
de l’organisation. L’intégrité et la disponibilité des services dont ils sont imputables incitent les responsables de
l’infrastructure à être prudents quand vient le moment d’intervenir sur les systèmes. À l’exemple des développeurs
ayant besoin d’assurance pour remodeler le code en toute confiance, les responsables de l’infrastructure veulent être
certains de ne pas introduire de régression à la suite d’une intervention sur les composantes de l’infrastructure.
Lorsque l’équipe d’infrastructure n’intervient qu’à la toute fin du cycle d’un projet ,le produit leur est inconnu. Ils ont
besoin de temps pour le maîtriser et analyser l’impact de sa livraison dans les différents environnements. Le temps
nécessaire à ces travaux repousse d’autant la mise en œuvre des demandes de livraison et de changements. Leur
réticence à intervenir sur des systèmes instables, fragiles ou non maîtrisés peut paraître comme un manque de
réactivité alors qu’en fait ce sont leurs précautions qui réduisent leur vitesse d’intervention. Ces précautions irritent
souvent la clientèle et les développeurs qui aimeraient plus de réactivité de leur part.

1) Identifiez les points de conflits entre développeurs et responsables de l'infrastructure

2) En quoi le recours à des méthodes agiles dans le développement logiciel aggrave-t-il cette situation ?
3) Quelles caractéristiques pourrait présenter une structure agile ?

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 33
EXERCICE 4 L’INDUSTRIE DU LOGICIEL

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 34
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 35
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 36
 1) Identifiez les caractéristiques majeures du marché de l’édition de logiciels

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 37
EXERCICE 5 : LOGICIEL LIBRE

Les dirigeants du cabinet XERSES se demande si ils doivent recourir à des logiciels libres. Les résultats d’une étude ont
été compilé.

DOCUMENT 1

1) Quels gains et quels risques vous apparaissent comme les plus vraisemblables dans le cadre d’un cabinet
d’expertise comptable ?

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 38
EXERCICE 6 ANALYSE RESEAU

Un plan d’un réseau vous est proposé

1) Détaillez le rôle des différents éléments cités ou pour lesquels un schéma est proposé. Lorsque plusieurs
réponses sont possibles, démontrez laquelle est la plus vraisemblable.

2) Réalisez une analyse des points faibles du réseau ci-après. Proposez des solutions en faisant référence à un
niveau de sécurité optimal.

EXERCICE 7 RANCONNAGE INFORMATIQUE

En janvier 2018, l’entreprise Del Paysage a été victime d’une tentative de rançonnage informatique. Les données de
l’entreprise ont été cryptées et donc rendues inaccessibles. Claire Durand, l’assistante manager vous demande quoi
faire, et vous charge d’évaluer les conséquences de cette attaque sur l’entreprise et de déterminer les précautions à
prendre pour limiter ce risque. Un article sur ce sujet est en annexe.

En octobre 2015, l'hydrolienne de Sabella a été victime d'un ransomware. Les attaques de ces logiciels malveillants
croient à grande vitesse, touchant aussi bien particuliers et entreprises. Les experts Simon Deterre et Wilfrid Blanc, du
cabinet de conseil en cybersécurité Lexsi, estiment que ce malware n'est pas le plus dangereux pour les systèmes
industriels.

L’hydrolienne de Sabella a été attaquée par des pirates informatiques réclamant une rançon, est-ce courant que des
sites industriels soient victimes d'un tel logiciel ?
Simon Deterre et Wilfrid Blanc - Les rançongiciels (ransomwares en anglais, ndlr) n'ont pas de cibles spécifiques, ils
arrosent le plus de boîtes mails possible. Depuis quelques années, leur utilisation explose. Nous recevons deux à trois
appels par semaine de clients infectés par ce logiciel. Les systèmes informatiques de gestion (administratif,
commercial) des industriels peuvent être touchés, comme ceux de n'importe quelle entreprise. En revanche, leurs
systèmes informatiques de production sont moins exposés au ransomwares car ils ne sont en général pas connectés à
internet. A ce jour, nous n'avons pas de clients industriels dont le système informatique de production ait été attaqué
par un ransomware.

[…]
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 39
La multiplication de ces attaques informatiques a-t-elle sensibilisé les industriels à la cybersécurité ?
C'est un système à deux vitesses. D'un côté les OIV, les opérateurs d'importance vitale, des secteurs de l'énergie et des
transports notamment, sont contraints par la loi de mettre en place des mesures préventives, d’ordre technique et
organisationnel, visant à détecter et gérer les risques menaçant la sécurité de leurs réseaux et systèmes informatiques
(RSI). De l'autre, les secteurs qui ne sont pas obligés de se protéger contre les cyberattaques. Souvent, ces industriels
n'ont pas conscience du risque et se disent "tant que mon système fonctionne, je ne vais rien changer". Les sites Seveso
notamment ne sont contraints à aucune réglementation en termes de cybersécurité.

Comment réagir face à l'attaque d'un rançongiciel ?

Une fois l'ordinateur infecté, il n'y a malheureusement plus grand-chose à faire. Les ransomwares utilisent les meilleurs
standards de chiffrement, il est donc impossible de déverrouiller les fichiers cryptés. Il ne faut surtout pas payer la
rançon demandée, car on n'est pas sûr d'obtenir la clé promise par les pirates pour débloquer les fichiers. Et si vous
payez, vous sponsorisez en quelques sortes la version 2 du logiciel malveillant. Les sociétés mafieuses que sont les
pirates informatiques subventionnent leur développement grâce au paiement des rançons. La solution est donc de se
protéger en amont. Il faut combiner barrières organisationnelles et barrières techniques. […]

Propos recueillis par Marine Protais

http://www.usinenouvelle.com – 22/03/2016

1) Expliquez le lien entre chiffrement et ransomware.

2) Dans le cas proposé, pour l’entreprise DELPAYSAGE faut-il payer ou non ?
3) Quelles solutions peuvent être mises en place contre cette menace ?

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 40
 EXERCICE 8 : ETUDE SECURITE

Un audit sur la sécurité de l’entreprise a abouti aux constats suivants.

Sécurité :

Le XXXXXXX utilise « Norton Antivirus » version serveur comme logiciel anti-virus. Elle utilise le pare feu Microsoft
comme logiciel firewall et l’IOS Firewall 12.07 du routeur Cisco 800, rien comme anti-spyware.

✓ Existe-t-il une politique de sécurité : NON

✓ Existe-t-il un planning de mise à jour (MàJ) : NON
✓ Existe-t-il des tests de sécurité : NON
✓ Existe-t-il des procédures de sécurité : NON
✓ Existe-t-il des procédures de MàJ antivirus : NON
✓ Existe-t-il des procédures de MàJ antispyware : NON
Autres observations :

✓ Les 2 serveurs ne sont plus protégés par l’anti virus « Norton Antivirus ». La dernière mise à jour de la base
antivirale s’est effectué le 12/10/19
✓ Aucune station ne possède le client anti virus « Norton Antivirus ». Il existe un danger potentiel de virus sur
les postes clients.
✓ Le logiciel anti-virus est obsolète. Il ne répond plus aux demandes de protection des postes clients et serveurs.
Les licences n’ont a priori pas été renouvelées, donc, plus de mises à jour anti virales.

Politique de sauvegarde :

Le XXXXXXX utilise actuellement :

✓ Un lecteur HP C1537A 4mm DDS3 12/24GB SCSI DAT sur le serveur XXXXXX (sauvegarde fichiers et messagerie).
✓ Un lecteur IOMEGA ZIP 250 sur le poste de la secrétaire (sauvegarde de la comptabilité).
✓ Existe-t-il une politique de sauvegarde : NON
✓ Existe-t-il un planning de sauvegarde : NON
✓ Existe-t-il des tests de restaurations de données : NON
✓ Existe-t-il des procédures de sauvegarde : NON
Autres observations :

La capacité de stockage du lecteur actuel est sous dimensionnée par rapport au besoin de sauvegarde.

1) Formulez une note pour sensibiliser le dirigeant aux risques encourus et aux solutions à apporter.

EXERCICE 9 CYBER SECURITE

En octobre 2016, Singapour a connu une attaque sans précédent de son infrastructure Internet lorsque StarHub, l'une des
trois sociétés de télécommunications du pays, a été confrontée à une attaque massive par déni de service distribué (DDoS),
forçant les utilisateurs à se déconnecter. Une attaque par déni de service distribué rend un service en ligne indisponible en
le submergeant de trafic provenant d'ordinateurs ‘zombies’ compromis, infectés par des logiciels malveillants. Les
propriétaires de ces ordinateurs ne savent même pas que leurs ordinateurs sont compromis et utilisés pour de telles
attaques. Selon StarHub, l'ampleur et la complexité de ces attaques étaient sans précédent. En effet, ce sont les webcams
et les routeurs à haut débit infectés par des logiciels malveillants qui ont été impliqués dans les attaques qui ont submergé
le service haut débit de l'entreprise. Ironiquement, ces dispositifs ont tous été achetés par les clients eux-mêmes. L'attaque
contre la société de télécommunications de Singapour fait craindre des attaques DDoS de plus en plus importantes à l'avenir,
en particulier dans les centres financiers tels que Singapour et Hong Kong. En fait, l'attaque de Singapour était probablement
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 41
liée à la plus grande cyber-attaque mondiale de l'histoire d'Internet, menée avec le logiciel malveillant Mirai, qui recherche
sur Internet des dispositifs vulnérables et les détourne. Pour aggraver les choses, le code source de Mirai est publié en ligne,
ce qui rend le logiciel accessible à pratiquement tout le monde. StarHub a résolu le problème à court terme en envoyant
des techniciens chez les clients concernés pour ‘nettoyer’ leurs appareils en mettant à jour leurs logiciels. Dans le même
temps, la Cyber Security Agency of Singapore (CSA) et l'Infocom Media Development Authority (IMDA) ont conseillé aux
membres du public d'adopter de bonnes pratiques de cyber-hygiène pour sécuriser leurs appareils. A plus long terme,
Singapour a lancé une nouvelle stratégie nationale de cybersécurité qui définit un plan d'intervention à plusieurs niveaux
en matière de cybersécurité. Une nouvelle loi sur la cybersécurité est aussi en préparation.
Le ministre des Communications et de l'Information de Singapour, le Dr Yaacob Ibrahim, a exhorté les entreprises à prendre
elles aussi leurs responsabilités, ajoutant que les gouvernements ne peuvent à eux seuls résoudre le problème, et que
chacun doit faire de la cybersécurité une priorité. De même, la Malaisie a exprimé ses inquiétudes face à la montée des
cyberattaques utilisant des dispositifs intelligents. Elle a exhorté les consommateurs à changer régulièrement les mots de
passe par défaut de leurs appareils et les entreprises à se préparer en utilisant des tests de pénétration. Mirai n'est pas le
premier logiciel malveillant de ce genre, et les attaques DDoS ne sont pas non plus un phénomène nouveau, mais ensemble,
ils démontrent l'insécurité croissante de l'internet des objets (IoT). L'IoT correspond à des appareils intelligents qui se
connectent à l'internet, allant d’un grille-pain aux appareils ménagers. Le problème est que ces dispositifs IoT,
contrairement aux ordinateurs, sont peu sécurisés, et la plupart sont livrés avec des mots de passe par défaut bien connus,
sans mot de passe, ou avec des mots de passe facilement piratables. En outre, la plupart des entreprises de l'IoT n'ont pas
les ressources nécessaires pour diffuser des mises à jour de sécurité en masse, et les appareils vulnérables ne sont donc
jamais sécurisés. L'attaque de StarHub a été un moment décisif car elle a été considérée comme le début d'une nouvelle
ère de cyber-attaques orchestrées par des appareils de tous les jours. Cela change complètement le paysage de la sécurité
en raison de l'énorme défi technique que représente la sécurisation de dispositifs déjà compromis. La seule solution est de
déconnecter et de transformer en ‘brique’ les dispositifs vulnérables, rendant inutilisables des millions de webcams,
thermostats et autres dispositifs quotidiens utilisés par les consommateurs ! Il est clair que la nouvelle ère des dispositifs
connectés et intelligents va alimenter davantage d'attaques de sécurité, et la seule façon de relever ce défi est d'adopter
une approche sur plusieurs fronts, impliquant des réglementations gouvernementales, de nouvelles normes industrielles et
l'éducation des utilisateurs. Singapour s'efforce de renforcer ses infrastructures et ses processus [...]. Même si la plupart
des institutions ont installé des firewalls de pointe et mis à jour leurs logiciels pour protéger leurs systèmes organisationnels,
tels que les PC et les serveurs, elles ne prêtent pas attention aux objets de plus en plus connectés, qui ont une sécurité très
faible [...].

1. Décrivez le type d'attaque menée, son impact et le type de dispositifs exploités par les pirates
informatiques
2. Quelle sont les deux spécificités du logiciel malveillant Mirai ?
3. Qelles sont les vulnérabilités spécifiques des objets connectés (IoT) et comment peut-on expliquer ces
vulnérabilités ?
4. Malgré leurs pare-feu et antivirus, pourquoi les entreprises ne sont-elles pas à l'abri d’attaques externes
liées à l'IoT ?
5. Comment les objets connectés peuvent-ils être techniquement sécurisés/rendus sûrs ? Donnez les trois plus
importants

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 42
 APPLICATION 21 22 AUDIT ET SI
EXERCICE 1

Vous venez d’être nommé comme commissaire au compte pour une société française réalisant 200M d’Euros de CA,
située à Bourges, et fabricant et vendant du mobilier de bureau. Vous venez de réaliser un entretien avec le directeur
financier qui est également le directeur informatique de cette société.

Entretien :

Notre organisation informatique repose sur un progiciel comptable de CEGID. Nous avons acheté la version standard
en 2013, qui comprend la comptabilité, la gestion des stocks et la gestion commerciale. . Les utilisateurs y ont accès à
distance de n’importe quel ordinateur. Le logiciel est sur un serveur que nous avons acheté il y a 3 ans et qui est situé
dans une partie de l’usine non utilisée par la production. C’est moi qui me charge des mises à jour, même si je ne suis
pas informaticien de formation. Tous les mois, je lance une sauvegarde des données sur un disque dur que je conserve
dans mon bureau.

Les 35 personnes qui ont une fonction administrative ont un ordinateur avec un accès à notre réseau interne. Elles ont
la suite bureautique de Microsoft, y compris Outlook, et un accès à notre logiciel de Gestion. J’ai décidé que les
personnes étaient assez responsables pour avoir d’une part un mot de passe complexe et d’autre part, le changer
régulièrement. En outre, j’ai confiance en eux pour ne pas donner à leur collègue leur mot de passe pendant leur
absence (certains le voudraient pour pouvoir regarder les mails en suspens).

Nous avons aussi un site internet marchand qui permet de présenter toute la gamme de nos produits et de permettre
un achat facilité pour un certain nombre de nos fournisseurs. Nous avons nous-mêmes réalisé ce site en s’appuyant
sur un modèle de site marchand disponible gratuitement sur internet. C’est un commercial qui a alors monté le site et
qui reçoit les commandes reçues par Internet. Nous n’avons jamais eu de pannes importantes informatiques ni eu
connaissance d’intrusion de l’extérieur.

Nous sommes satisfaits de la qualité de notre informatique et sommes certains de sa fiabilité.

1) Indiquez les forces et les faiblesses du SI de cette organisation, tels qui ressortent de cet entretien

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 43
EXERCICE 2

La société AUDITIA est spécialisée dans la fabrication et la commercialisation de matériel sportif. Les parts de
marché de cette société sont en recul depuis plusieurs années maintenant, et les concurrents font peser une
pression forte sur les prix. Les clients de Auditia sont nombreux et sont pour la plupart associations et clubs sportifs.

La procédure de commande est la suivante : Les différents services de l’entreprise transmettent un bon de
commande au service achat indiquant les éléments dont ils ont besoin. En théorie cette demande est établie par le
responsable de bureau, mais dans la pratique l’envoi s’effectue sous forme de mail, souvent sans mention
particulière. Pour faciliter le travail du service achat, la demande d’achat est souvent accompagnée d’un lien vers la
page du site internet permettant de réaliser une vente à distance.

Jusqu’à 200€ n’importe membre de l’équipe du service achat peut saisir la facture et réaliser l’achat, et à partir de
200€ une vérification par le responsable achat doit être réalisée. De fait cette vérification est le plus souvent
aléatoire car le responsable a confiance dans la pertinence des achats, et il vérifie donc à partir d’une demande tirée
au sort si l’achat est justifié. Il recommence de temps ces vérifications, quand il en a le temps. Quand une anomalie
est décelée, un appel téléphonique est fait au service de l’entreprise concerné et en général la situation est rectifiée,
le plus souvent l’achat est annulé. Bien évidemment, la procédure de vérification ne s’applique pas aux services de la
direction, dont personne au sein de l’entreprise n’ignore l’implication pour la bonne marche de l’entreprise.

1) Analysez ce processus et identifiez en les risques

2) Proposez des analyses de données à mener pour identifier les éventuels problèmes
3) Proposez des améliorations de ce processus.

EXERCICE 3 AUDIT ET BLOCK CHAIN

1) Définissez la notion de blockchain

2) En quoi la blockchain peut-elle bouleverser le métier d’auditeur ?
3) Peut-on envisager des audits en temps réel ?
4) Expliquez la notion de smart contract
5) En Dans quelle mesure la présence d’une block Chain privée au sein de l’entreprise peut être compatible
avec le RGPD ?
6) Explicitez le schéma proposé par la société POSTME.IO, spécialisée dans l’offre de block Chain pour la gestion
des factures.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 44
EXERCICE 4 : ETUDE DE CAS TYPE DEVOIR

TACHE1 : GESTION DES RISQUES

A partir de l’annexe 1.

1) Définir la notion de risque

2) A partir des éléments décrits à l’annexe 1, réalisez une évaluation des risques en montrant les enjeux pour
l’entreprise.
3) L’associé entend « Sous-traiter, Sous-traiter, Sous-traiter ». Présenter les dispositifs de contrôle interne à
mettre en place dans ce cas.

TACHE 2 CONTROLE INTERNE

Un descriptif vous est proposé en annexe 2.

1) Décrivez les principaux choix envisageables en matière de constitution du SI pour cette entreprise.
2) Proposez 6 dispositifs de contrôle interne à mettre en œuvre dans cette PME

Le principe de séparation des tâches est un élément incontournable dans toute procédure de contrôle interne. Or il
est fréquent de constater qu’il n’est pas toujours respecté.

3) Après avoir défini ce principe de séparation des tâches, montrez comment une firme peut mettre en place
des dispositifs compensatoires.
4) Quelle conséquence vont résulter d’un contexte dans lequel la séparation des fonctions n’est pas respectée ?

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 45
ANNEXE 1

Vous êtes auditeur de l’entreprise ASERT. Cette société est spécialisée dans la commercialisation de produits
capillaires. Une rencontre avec le PDG et le directeur financier a été organisée et vous en avez retiré les éléments ci-
après.

Le PDG, Mr POIU, passionné de chimie, a créé il y a 7 ans une boutique de vente de produits capillaires médicinaux. En
quelques années, le succès de sa boutique lui a permis de s’associer avec M. AlMER, professionnel de la finance et à
ses heures perdues spécialiste des plantes d’Amérique du sud, et de créer la société CAPITRO disposant d’une gamme
de produits élargie (cosmétiques, capillaires, livres ..) et d’un site de ventes sur Internet.

Suite à d’importantes campagnes marketing, les ventes ont connu une forte augmentation au cours des deux derniers
exercices. La société regroupe aujourd’hui plus de 50 personnes et vend en France et à l’étranger.

Après une première rencontre avec le P-DG, M. POIU, qui vous a décrit l’activité, vous avez pu rencontrer M. AIMER,
directeur financier de la société, également en charge de l’informatique, afin de mieux appréhender le système
d’information qui sous-tend les processus de l’entreprise. Au cours de ces entretiens, vous avez pris les notes suivantes
:

• Il y a deux mois, suite à un désaccord personnel avec M. PIOU, M. GIN responsable de l’informatique
et présent depuis la création de l’entreprise, a quitté brusquement la société sans laisser de
recommandations spécifiques et sans former de successeur. M. PIOU n’étant pas spécialiste en
informatique, le directeur financier, a accepté de reprendre la fonction en attendant l’embauche d’une
personne plus qualifiée. Mr AIMER a en la matière une seule religion : « sous traiter, sous traiter, sous
traiter ». Le PDG est en adéquation avec cette vision, mais en tout état de cause il n’est pas dans ses
intentions de superviser le travail dans le domaine informatique : il a trop de choses à faire au niveau
de la gestion des ventes pour se disperser, et il a confiance dans son associé, (il n’avait d’ailleurs jamais
suivi le travail de M. GIN).
•
• Le schéma directeur informatique date de 7 ans et le plan d’évolution n’a pas été mis à jour depuis 4
ans. M. GIN avait l’habitude de gérer seul le parc informatique, mais il est parti sans laisser ses
documents de travail. Il portait sur lui toute l’informatique de l’entreprise, avec il faut le lui reconnaitre
un grand talent. La démarche de Mr GIN ayant toujours consisté à valoriser l’existant, il s’est attelé à
préserver les infrastructures logicielles autant que possible, après avoir initialement investi dans une
réalisation sur mesure auprès d’un éditeur, INDIGO.

• Le logiciel de comptabilité utilisé est le même qu’au lancement de la société. La gestion des stocks de
produits devient difficile compte tenu du nombre de références à traiter mais les responsables des
approvisionnements ont trouvé un artifice, pour le moins efficace : ils dupliquent les données sur des
fichiers Excel et ils gèrent ainsi les stocks les moins critiques, ce qui soulage le logiciel. En outre, la
situation financière de la société florissante, ils ont pu gonfler les stocks pour éviter tout risque de
rupture. La gestion des stocks s’en trouve donc moins critique puisque le niveau du stock de sécurité
couvre toujours plusieurs semaines d’activité. Grâce au recours aux applications Excel, le temps de
réponse à chaque enregistrement dans le logiciel est certes plus élevé qu’à l’origine mais reste
supportable, les responsables réalisant des transferts durant la nuit (parfois plusieurs minutes pour
l’enregistrement en brouillard de quelques factures). En outre, comme la société ferme une semaine
en fin d’année, le directeur financier met à profit ce temps pour rattraper tous ses retards, de façon à
permettre une clôture des comptes satisfaisante.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 46
 • Avant le départ de Mr GIN, un projet de migration informatique sur un nouveau progiciel de gestion
commerciale et comptabilité était en cours. Certains modules du progiciel sont en phase de test : ils
sont accessibles depuis tous les postes de travail afin de permettre des tests en grandeur nature. C’est
ce point qui est l’origine du départ de Mr GIN, qui voulait valoriser une solution techniquement
élégante, mais que les responsables métiers jugeaient peu fonctionnelle. Le conflit avait porté sur le
choix d’un progiciel, c’est-à-dire d’un logiciel disponible dans le commerce, et qui équipait les
principaux acteurs du secteur, et le recours, comme cela s’était toujours fait jusqu’à présent, à un
éditeur spécifique INDIGO, qui se proposait de réaliser le logiciel sur mesure. Mr GIN, partisan de la
solution sur mesure n’avait pas supporté les demandes du service commercial, qui souhaitait un
progiciel, et il n’avait pas supporté l’arbitrage en faveur des commerciaux. Il v avait peu après donné
sa démission, il y a 8 mois, tant et si bien qu’avec le délai de préavis, son départ a été effectif il y a 2
mois. Ce sont les commerciaux qui se sont occupés des modalités d’acquisition du progiciel qui est
donc à ce stade en phase de test pour certains des modules.

• Le projet a été budgété dès son début, à l’acceptation du cahier des charges il y a un an : suite à de
nombreux dysfonctionnements, le projet a pris du retard : le budget a été largement dépassé : aucun
chiffrage des frais restant à engager n’a été effectué mais Mr AIMER a décidé de se plonger dans la
question..

• Le service comptabilité regroupe un chef comptable, une personne à mi-temps et des intérimaires lors
de la clôture. Lors de la dernière clôture, les trois intérimaires intégrés en urgence n’ont pu être
formés, ce qui a entraîné de nombreuses erreurs de traitements. L’un d’entre eux a même été renvoyé
car le volume des fichiers et programmes téléchargés par cette personne ont saturé le réseau
informatique. A l’avenir Mr AIMER se fait fort d’éviter ces inconvénients en insistant bien auprès de
l’institut de formation pour disposer d’un candidat sérieux.

• Cet incident avait été détecté car M. GIN qui revoyait les logs de connexion et d’anomalies. C’est ainsi
qu’il avait signalé le comportement de l’apprenti qui avait fait l’objet d’une sanction. Depuis son
départ, les logs ne sont plus suivis.

• Pour faire une commande, les coordonnées postales et bancaires du client doivent être saisies dans
un fichier. Le PDG, qui intervient quasi exclusivement dans le suivi des ventes a estimé que l’urgence
et l’importance c’était de se constituer une base client, et que le reste suivrait, et il n’avait pas
spécialement prêté attention aux remarques de Mr GIN sur le respect des procédures RGPD. Ce fichier
est prévu pour être e accessible à tout le personnel de la société (y compris les intérimaires) via le
logiciel de gestion commerciale, afin de permettre à chacun de promouvoir la qualité de la relation
client (dixit Mr PIOU le PDG) . L’objectif, souhaité par Mr PIOU est de permettre à chaque personne
susceptible d’être en contact avec un client, de consulter l’historique des relations avec ce client pour
pouvoir ensuite proposer une réponse personnalisée et créer un contact privilégié.

• Concernant la sécurité, seuls quelques messages sont envoyés à l’ensemble du personnel pour les
mettre en garde contre de nouveaux virus. Le personnel ne dispose pas d’autre formation ou
sensibilisation à l’usage du système d’information et à la sécurité informatique. L’antivirus n’est mis à
jour qu’une fois tous les trois mois. Toutefois il avait été estimé qu’aujourd’hui plus personne ne peut
ignorer les règles de base de la sécurité informatique, et que « les gens n’étaient pas idiots » dixit Mr
PIOU

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 47
 • La maintenance est assurée par une société extérieure, Indigo qui est partenaire historique de la
société, ayant participé à l’élaboration du SI à sa création. Le contrat est celui d’origine, avec une clause
de modification du prix, mais mêmes si les délais d’intervention ne sont pas mentionnés dans le contrat
et les informations délivrées par téléphone sont souvent ressenties comme peu satisfaisantes, le quasi
partenariat avec la société INDIGO est vu comme une force. En effet (la société INDIGO par ailleurs
développé tous les logiciels utilisés par la société ASERT : elle est propriétaire des programmes sources
qu’elle a écrites). LA seule exception concernait donc le progiciel commercial, ce qui avait été à l’origine
du départ de Mr GIN. Mr GIN n’était pas pour rien dans le lien très fort entretenu avec la société
INDIGO : Mr GIN était un ami intime du PDG d’INDIGO : Ils étaient camarades de promotions.

• Les habilitations et mots de passe ne sont plus suivis depuis le départ de M. GIN. Son mot de passe
n’a pas été désactivé et les nouveaux entrants (pour l’instant des stagiaires) utilisent provisoirement
un identifiant et un mot de passe commun et connu de tous : « ASERT ».
• Les locaux informatiques, bureaux et stocks communiquent avec la boutique de ventes au public par
une porte non fermée à clé : il arrive que la boutique puisse être sans surveillance à certains moments
de la journée. La nuit, l’entreprise est surveillée et les locaux sont sous alarme.

ANNEXE 2

Madame Josiane vient de reprendre la PME familiale. Son père est obligé d’abandonner son poste de gérant, et il lui a
demandé de reprendre en totalité la direction de la société familiale.

LA société est spécialisée dans les prestations de formation. Le père de Madame Josiane lui avait déjà proposé de
reprendre l’entreprise quelques années auparavant, mais à cette époque M. Josiane avait préféré conserver son poste
de cadre. Aujourd’hui, un refus n’est plus possible. Le départ forcé du père met en péril tout son projet patrimonial, à
savoir vendre son entreprise pour financer sa retraite. Les choses devaient être mises en place progressivement, mais
avec son accident, il a fallu tout accélérer. Malheureusement, rien n’est prêt, et le départ du gérant historique s’il n’est
pas compensé peut porter gravement atteinte à l’activité de la société. Les choix passés qui avaient été sans doute à
l’origine des succès de la société se retournent maintenant contre elle : L’intervention omniprésente de son dirigeant-
fondateur, charismatique leader, avec de nombreuses relations commerciales, a permis à la société de gagner des
contrats. Mais aucun remplaçant n’a été formé, et personne au sein de la société FORMA n’est capable de réussir à le
remplacer.

Josiane va s’y atteler mais souhaite remodeler en profondeur les procédures de la société FORMA. Comme tout passait
par le dirigeant, les procédures de contrôle interne ne sont pas définies. Madame Josiane prévoit de déléguer
beaucoup plus et de reprendre le flambeau de la prospection commerciale, en utilisant le carnet d’adresse de son père,
tout en déléguant au maximum les autres aspects de l’entreprise. Elle souhaite se créer à la fois un système
d’information très robuste, et adopter des procédures comptables et administratives lui permettant de se consacrer
sans risque à la prospection commerciale. Elle avait pu constater, grâce à l’exemple de certains de ses amis qui avaient
créé leurs entreprises ou repris des sociétés familiales, qu’une bonne organisation administrative était indispensable
si l’on voulait se consacrer à la direction commerciale de son affaire. Pour Madame Josiane, obtenir rapidement des
informations fiables était primordial pour bien gérer une société. Parallèlement, elle désirait que les systèmes au sein
de son entreprise permettent d’amoindrir le risque d’erreurs ou d’éventuelles fraudes.

Le souhait de la future dirigeante est de disposer d’un système d’information de grande qualité, reposant sur une
architecture à la pointe. L’objectif est de favoriser des interventions distantes et de créer des opportunités de revente.
Ne souhaitant pas gérer elle-même la gestion de son SI, et par rapport à une expérience passée très favorable, Madame
Josiane souhaite externaliser au maximum et utiliser toutes les possibilités disponibles à l’heure actuelle sur le marché

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 48
EXERCICE 5 : SUJET 2008 MODIFIE SUR UN LOGICIEL ARCA

Le cabinet « Expert SA » est un important cabinet d’expertise comptable d’une grande région de l’ouest de la France.
Son chiffre d’affaire pour l'exercice 2020 est d’environ 6 millions d’euros. Il compte, au 1er janvier 2020, quelques 33
collaborateurs dont les 4 associés fondateurs (diplômés en 2004), le directeur du personnel (de formation Master RH
en IAE) et le responsable du parc et de la maintenance informatique recruté récemment (de formation Master
MIAGE). Le cabinet a été créé en 2006 et est situé, depuis l’origine, dans un hôtel particulier (propriété de la société)
du centre ville de la capitale régionale.

Sa clientèle est relativement fidèle et est composée en majeure partie de petites et moyennes entreprises
commerciales locales et régionales. Les collaborateurs de « Expert SA » sont particulièrement appréciés pour leur
connaissance des dossiers, pour leur grande compétence technique, pour leur intégrité et discrétion mais également
pour leur nomadisme, c'est-à-dire leur aptitude au travail d’expertise et de révision comptable au sein même de
l’entreprise cliente.

L’activité du cabinet, depuis 2006, a connu une augmentation annuelle d’environ 3% par an. Toutefois, depuis 2014, le
taux de croissance s’établit à environ 8% par an. Cette croissance s’explique la fois grâce à l’attractivité de la région
ouest et à l’implantation de nouvelles activités commerciales, grâce au développement de la demande de missions de
conseil et grâce à la notoriété du cabinet et à sa capacité à capter de nouveaux clients, notamment ceux intervenant
dans le secteur « hôtellerie-restauration ». La clientèle est segmentée de façon à peu près équivalente entre « métiers
de bouches », « métiers du tourisme », « métiers de l’hôtellerie » et « autres ».

Les exigences réglementaires sur la traçabilité, l’intégrité et la conformité des documents de contrôle, l’évolution du
métier vers le conseil et, enfin, l’obsolescence manifeste de son système d’information nécessitent une profonde
mutation que les 4 associés dirigeants ont bien l’intention de piloter rapidement. En effet, le système d'information
(SI) est composé d’applications standards (CCMX) et d'applications « sur mesure» (gestion de projet, gestion de
clientèle, paie, gestion des temps et activités, informatique, etc.). Ces applications sont non intégrées, non
interopérables et difficilement évolutives. Elles utilisent des bases de données hétérogènes. La vingtaine de postes
clients, sous Windows 7, ne bénéficient pas d'une connexion internet réellement sécurisée.

Influencée par les choix technologiques récents de ses principaux concurrents régionaux et par les informations de
consultants sollicités en vue de la modernisation du matériel, la direction opterait a priori, pour une solution
informatique standard. Cette solution consisterait en l’acquisition et en l'implantation d’une application d’Aide à la
Révision Comptable et à l’Audit (ARCA) et imposerait enfin – selon la direction - à tous les collaborateurs l’abandon
du « tout papier ». Elle améliorerait, de plus selon les consultants, la qualité de la prestation auprès des clients et
leur contribution à la performance globale.

Vous terminez actuellement votre stage au sein du cabinet « EXPERT SA » et vous bénéficiez de la confiance des
quatre associés qui apprécient votre efficacité, votre discrétion et votre approche moderne du métier basée tout
autant sur le conseil et l’écoute que sur l’expertise. Vous êtes chargé, par les quatre associés et via un « contrat de
mission » de 3 mois, de les conseiller sur ce projet ARCA (d’Aide à la Révision Comptable et à l’Audit).

1) Préciser le périmètre du projet en spécifiant les modalités d'utilisation d'une telle application et les
impacts organisationnels et stratégiques pour le cabinet.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite 49
2) Préciser les risques et opportunités pour le cabinet en soulignant les éventuels problèmes de
compétences et de ressources humaines.

3) Préciser les enjeux techniques et informatiques, les pré-requis (matériel, réseaux, systèmes
d'exploitation…), les solutions envisageables en termes d'architectures et d'outils logiciel.

4) Préciser les fonctionnalités offertes par les progiciels de type ARCA disponibles sur ce marché, en mettant
en lumière la nature des enjeux pour le cabinet et leur impact sur les pratiques des collaborateurs.
 APPLICATION 23 RGPD

EXERCICE 1 : ETUDE IMPACT RGPD

Exemple 1 :

Scénario : Un salarié d’une entreprise est soudoyé par une firme concurrente pour obtenir le fichier des adresses
mails des clients de l’entreprise. Ces clients vont alors être sollicités par mail de façon non autorisée.

Probabilité : Elevée, un tel scénario ou son équivalent apparait comme hautement vraisemblable

Impact : Très faible, en raison du caractère limité d’atteinte à la vie privée.

Exemple 2 :

Un organisme de recrutement soudoie un organisme hospitalier pour avoir accès au dossier patient informatisé.

Exemple 3 :

Un réseau social est piraté et des données sont diffusées dans le public

1) Donnez votre évaluation de ces scénarios

Exemple 1 : une entreprise met en place un traitement publicitaire visant à collecter les données de géolocalisation
de plusieurs millions d’individus pour créer des profils publicitaires et leur afficher de la publicité ciblée en fonction
de leurs déplacements

Exemple 2 :
Une compagnie d’assurance souhaite mettre en place un score permettant de déterminer le tarif des contrats, et ce à
partir de renseignements de santé.
Exemple 3 :
Dans le cadre de parcours sup, les étudiants indiquent leur dossier et leurs vœux. Ce mécanisme collecte des
données à grande échelle, sensibles et dans le but de faire bénéficier d’un contrat.

Exemple 4 :
Dans le cadre de son activité, un expert-comptable constitue une base de donnée sur ces clients.

2) Indiquez si une étude d’impact vous semble nécessaire ?

EXERCICE2: ANALYSE D’UNE ETUDE D’IMPACT

L’étude d’impact va se structure autour de 3 parties :

PARTIE 1 : DESCRIPTIF DU TRAITEMENT

Présentation du traitement

Captoo permet de mesurer différents éléments (données collectées pendant la nuit à l’aide de différents capteurs)
pour connaître et comprendre l’environnement de l’utilisateur. On remet à l’utilisateur un capteur qu’il pose près de
son lit, et un socle qui lui permet d’enregistrer différentes données. Ces données osnt alors maniées et synthétisées
sur une application disponible sur le smartphone de l’utilisateur.

La finalité du traitement est de mesurer les paramètres du sommeil de l’utilisateur et vise à l’amélioration de la qualité
du sommeil de l’utilisateur.

L’enjeu du traitement est la création d’un nouveau service permettant l’identification des causes de trouble du
sommeil et l’amélioration de la qualité de sommeil de l’utilisateur au cours du temps.

Le traitement est assuré par DREAMLAND, sur un serveur BETA

Les données traitées sont les suivantes :

Données fournies par l’utilisateur :

• Adresse électronique,
• numéro de téléphone,
• date de naissance,
• genre,
• taille,
• poids
Données Provenant d’applications tierces (Twitter, Facebook) obtenues par lien avec le compte
DREAMLAND

Données relevées :
• Température,
• humidité,
• taux de particules,
• luminosité,
• son/bruit,
• heure de réveil,
• données d’accéléromètre

Données calculées :

• Quantification de la qualité du sommeil,

• évaluation de la qualité de l’environnement de la chambre à coucher (niveau de bruit, température,
humidité, air, etc.)
 Données déduites :

• Vie sexuelle,
• Données philosophiques,
• Politiques, syndicales,
• Relatives à la religion,
• Relatives à la santé

Les données sont conservées jusqu’à la demande de suppression de son compte par l’utilisateur.

Le traitement repose sur les supports ci après , qui vont permettre la réalisation de processus, c’est-à-dire des
traitements de données:

1) Identifiez les principaux processus associés à l’application CAPTOO.

Suite descriptif

PARTIE 2 : Évaluation des mesures protectrices des droits des personnes

Justification des finalités

Les données sont collectées pour fournir le service demandé par l’utilisateur, à savoir observer son sommeil, l’aider à
identifier les causes de troubles et le réveiller au meilleur moment de son cycle

Des informations de connexion collectées par divers canaux (cookies, informations de fournisseurs internet, etc.)
permettent aussi d’effectuer des statistiques d’usage sur le traitement Captoo.

Ces données sont susceptibles d’être conservées afin d’alimenter des bases de données possédées et maintenues
par DREAMLAND, ses affiliés et ses fournisseurs de service.
Justification de la licéité

Le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de
mesures précontractuelles prises à la demande de celle-ci.

Justification de la minimisation

Détail des données Justification du besoin et de la Mesure de minimisation

Température, humidité, taux
de particules, luminosité, son,
bruit, heure de réveil
Quantification de la qualité du
sommeil, évaluation de la
qualité de l’environnement de
la chambre à coucher (niveau
de bruit, température,
humidité, air, etc.)
Adresse électronique, numéro
de téléphone, date de
naissance, genre, taille, poids
pertinence des données
Les données sont minimisées Les données de bruit
avant leur transmission au provenant des captations
serveur cloud de BETA et audio ne sont pas enregistrées
seules ces données, par défaut. Celles-ci sont
nécessaires à la fourniture du collectées par tranches de 5
service, sont conservées. secondes et traitées dans la
base Captoo pour détection de
bruits caractéristiques tels que
les ronflements.
Ce sont les données Seules les données prévues au
indicatrices de la qualité de contrat sont calculées.
sommeil du client livrables
prévus par le contrat de
service.
Données utilisées pour
identifier le client et pour
paramétrer les calculs de
qualité de sommeil.

L’exactitude des données et conservation

Les utilisateurs peuvent modifier leurs données directement identifiants à tous moment (adresse email, taille, poids,
date de naissance, etc.). Les données sont conservées tant que la personne concernée n’en demande pas la
suppression.

2) Rappelez les droits des personnes et quelles mesures faudrait-il mettre en œuvre ?

3) Identifiez des risques d’atteintes à la vie privée.

Evaluation des mesures en terme des droits de la personne

Mesures pour le droit à l’information Modalités de mise en œuvre

Présentation à l’utilisateur des conditons Dans les conditions générales d’utilisation
d’utilisation et de confidentialité (CGU)
Conditions lisibles et compréhensibles OUI
Existence de clauses spécifiques NON
Présentation détailler des finalités, des OUI
traitements de données
Présentation des données personnelles OUI
collectées
Présentation des droits de la personne OUI
concernée : effacement, suppression
Suite Etude IMPACT
PARTIE 3 : Evaluation des mesures contribuant à en assurer la sécurité
Sécurité des données
Mesure portant sur les
données
Chiffrement
Cloisonnement
Contrôle des accès logique
Journalisation
Contrôle d’intégrité
Archivage
4) Explicitez les mesures de sécurité repérées dans le document.
5) Jugez si les mesures d’archivages paraissent suffisantes ?
Sécurité des infrastructures
Mesure de sécurité
Sécurité de l’exploitation
Lutte contre les logiciels
malveillants
Gestion des postes de travail
Sécurité des sites Web
Maintenance
Sécurité des canaux
informatiques
Sauvegarde
Contrôle d’accès physique
Protection contre les sources
non humaines
Modalités de mise en œuvre
Toutes les connexions, entre la base Captoo, la pastille Captoo,
le serveur cloud de BETA et le smartphone de l’utilisateur, se
font en SSL via le protocole https.
La solution cloud de BETA choisie par Dreamland offre un
cloisonnement vis-à-vis des données des autres clients du
service.
Par identifiant et mot de passe. Le mot de passe doit comporter
6 caractères sans limitation de tentatives
Tous les accès aux données à caractère personnel font l’objet
d’une journalisation et les journaux sont audités
Toutes les connexions, entre la base Captoo, la pastille Captoo,
le serveur cloud de BETA et le smartphone de l’utilisateur, se
font en SSL via le protocole https.
Les données sont conservées sur un serveur de sauvegarde, tant
que la personne concernée n’en demande pas la suppression.
Modalité de mise en œuvre
La maintenance des serveurs est couverte par le contrat avec
BETA. La maintenance des logiciels et des terminaux est réalisée
par Dreamland.
La sécurité des serveurs est couverte par le contrat avec BETA
La sécurité des postes de travail est garantie par la politique de
sécurité de Dreamland.
Les mesures de sécurité mises en œuvre lors de l’utilisation d’un
serveur cloud de BETA sont décrites dans sa politique de sécurité
La maintenance des serveurs est couverte par le contrat avec
BETA. La maintenance des logiciels et des terminaux est réalisée
par Dreamland. La base Captoo et la pastille Captoo font l’objet
d’une garantie d’un an.
Les réseaux suivants sont mis en œuvre :
- réseau privé du client ; -
Internet ;
- réseau privé BETA
Effectuée dans le serveur de BETA.
Les mesures de contrôle d’accès mises en œuvre par BETA pour
l’accès à leurs infrastructures sont décrites dans sa politique de
sécurité.
Les mesures de sécurité physique mises en œuvre lors de
l’utilisation d’un serveur cloud de BETA sont décrites dans sa
politique de sécurité (détection d’incendies, alimentation
électrique, surveillance de la température, maintenance
préventive, déstockage matériel, etc.)
 Surveillance
Sécurité des matériels
6) Proposez pour chaque item une mesure de protection concrète.
Risque d’atteinte à la vie privée
Risque
Accès illégitime à des données
par un employé
Modification non désirée de
données
Disparition de données
7) Pourquoi Un auditeur peut être amené à vérifier une étude d’impact ? Quels pourraient être les tests à mettre
en œuvre ?
les mesures de sécurité mises en œuvre lors de l’utilisation d’un
serveur cloud de BETA sont décrites dans sa politique de
sécurité.
Les mesures de sécurité physique mises en œuvre lors de
l’utilisation d’un serveur cloud de BETA sont décrites dans sa
politique de sécurité.
Impact Impact
Conséquences d’une communication La gravité est
d’informations potentiellement sensibles forte, et la
(discrimination, menaces, agressions, perte vraisemblance
d’emploi, perte d’accès à des services, etc.) est maximale
Phishing Publicité ciblée
Sauvegarde du serveur cloud Chiffrement de flux La gravitée est
(SSL) Sécurité de l’exploitation (authentification limitée et la
des équipements) vraisemblance
Surveillance (cloud privé) Contrôle d’accès est limitée.
logique des utilisateurs Organisation (habilitation
des employés) Traçabilité (journalisation des
accès) Supervision (audits) Notification de la
violation aux personnes concernées et
prescription de mesures préventives adaptées
Surveillance (cloud privé) Sécurité des matériels Gravité limitée
(protection physique des serveurs cloud) et
Maintenance (garantie pour la base et la pastille vraisemblance
Captoo) Sauvegarde du serveur cloud Archivage limitée
(conservation locale et temporaire des données)
Contrôle d’accès logique des utilisateurs
Organisation (habilitation des employés) Limitée
Limitée
Gestion des postes de travail (authentification
forte des employés) Traçabilité (journalisation
des accès)
EXERCICE 3 : INSPIRE DU SUJET 2020

Ce cas relate vos dix premières semaines d’expérience professionnelle au sein du cabinet « CECL20 ». Chacune de ces
dix semaines – dont certaines furent impactées voire perturbées par la crise de la COVID19, le confinement et le
télétravail – vous confronte à une activité ou à une thématique particulière qui est en lien avec les métiers, tâches et
responsabilités exercés dans une direction des systèmes d’information.

Le cabinet d’expertise comptable ligérien (CECL20) est une structure assez emblématique de la profession en France
avec ses 27 collaborateurs et salariés à temps plein répartis sur ses trois sites (Nantes (15), La Roche-sur-Yon (8) et La
Baule (4)). Ce cabinet fonctionne plutôt bien, son turn-over est faible, sa clientèle est fidèle et ses résultats sont bons.
Les responsables du cabinet voient toutefois une tendance lourde se profiler, celle du glissement vers les activités de
conseil. Pour accompagner cette tendance, et améliorer sa réactivité, le cabinet a modernisé récemment son système
d’information. De plus, comme toute la profession, le cabinet se trouve confronté, depuis mai 2018, au déploiement,
à la mise en conformité et au respect du Règlement Général sur la Protection des Données à caractère personnel
(RGPD). Il se retrouve néanmoins relativement désarmé face à la diversité des aspects qu’il doit aborder et maîtriser à
la fois pour lui-même et pour ses clients car – pour rappel - l’article 2 du Règlement général européen sur la protection
des données prévoit qu'il s'applique « au traitement de données à caractère personnel, automatisé en tout ou en
partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans
un fichier »

Ce cabinet vous a donc recruté au regard de vos compétences sur le RGPD et de votre expérience récente de « data
contrôler ». Cela fait désormais dix semaines que vous évoluez sur son site nantais pour assurer notamment au sein du
cabinet la fonction de Délégué à la Protection des Données (DPO) pour accompagner le cabinet vers une protection
optimale des données personnelles que « CECL20 » traite à la fois en interne (cabinet) et en externe (clientèle). Vos
dix premières semaines comme « DPO » vous ont confronté à de nombreuses thématiques et situations liées au
système d’information, aux technologies de l’information, aux données personnelles et au RGPD, aux bonnes pratiques
à déployer et à faire respecter parfois au sein même de votre entreprise « CECL20 ». Ces dix semaines sont détaillées
ci-après et elles donnent lieu à chaque fois à une ou plusieurs questions.

Semaine 1
Comme vous le savez, pour les cabinets d'expertise comptable, la nomination d’un « DPO » est obligatoire mais, dans
certains cas, il peut être mutualisé.

2. Pourquoi la nomination d’un « DPO » pour un cabinet d'expertise comptable est-elle obligatoire ?
3. Pourquoi le législateur donne-t-il la possibilité de mutualiser la fonction de « DPO » entre plusieurs
entreprises ?
4. Quel est le rôle du « DPO » vis-à-vis de la direction ?

Semaine 2
Après avoir pris connaissance des spécificités du cabinet, et de ses trois sites distants, en matière de collecte, de
stockage, de traitement et d’accès visant les données personnelles, mais aussi de la diversité des secteurs d’activité de
ses clients répartis sur la région ligérienne, il vous semble que le niveau d’exposition au risque de non-conformité au
RGPD n’est pas négligeable et donc qu'une analyse d'impact est opportune.

5. Dans quelles situations le « DPO » peut-il procéder à une « Analyse d'Impact centrée sur la protection des
données » (AIPD) ?
Semaine 3 et 4
Après quelques expériences malencontreuses et avoir repéré quelques dysfonctionnements sur le traitement des
données personnelles des membres du cabinet (le stockage des plaques d’immatriculations de leurs véhicules sans
consentement préalable), vous envisagez de proposer à la direction de « CECL20 » de tenir un registre.

6. Quelles sont les informations à communiquer aux employés ? Quelles sont les modalités de recueil du
consentement ?
Semaine 5
Vous continuez vos observations et votre analyse des pratiques du cabinet. Vous avez noté quelques faiblesses, oublis
ou imperfections qui peuvent être préjudiciables dans le traitement des contrats avec les prestataires et les sous-
traitants

7. Comment mettre en conformité les contrats du cabinet avec ses prestataires et sous-traitants par rapport à la
règlementation sur le traitement des données personnelles ?

Semaine 6
Vous êtes désormais bien au fait de votre rôle de « DPO », d’autant plus que le cabinet doit faire face à la crise sanitaire
liée à la pandémie de la COVID19 qui impacte le cabinet notamment en imposant le télétravail et donc de nouvelles
pratiques (visioconférence, partage de fichiers, échanges d'informations, etc.) à un grand nombre de collaborateurs
du cabinet. Dès lors, vous devez proposer à votre direction d’envisager un scenario de crise sécuritaire du système
d’information qui aurait pour conséquence de perturber gravement l’activité.

8. Comment prévenir les risques « SI » ? Que faire si ces risques se réalisent ?

Semaine 7
Vos employeurs ont désormais pris conscience de la complexité du dossier qu’ils vous ont confié. Ils apprécient votre
professionnalisme, vos capacités d’observation et vos capacités de synthèse face à des questions souvent sensibles. Ils
ont noté vos capacités didactiques et pédagogiques quand il s’agit d’aborder les enjeux et obligations liés au RGPD et
à son déploiement in situ. Ils aimeraient donc que vous interveniez lors d’une table ronde (environ 10 minutes à l’oral)
lors d’un prochain congrès qu’ils organisent à la cité des congrès de Nantes pour les experts comptables du grand ouest
afin de montrer les enjeux spécifiques que doivent affronter les congressistes dans leur cabinet. Vous choisissez de
structurer votre présentation autour des questions suivantes :

9. Quels sont les obligations liées au RGPD au sein d’un cabinet d’expertise-comptable ?
10. Quelles sont les solutions informatiques possibles ? vous mettrez en évidence les avantages et les contraintes
de chacune des solutions.
11. Comment mettre en œuvre les obligations liées au RGPD chez les clients d’un cabinet d’expertise-comptable ?
Quelles sont les préconisations de l’Ordre des experts-comptables en la matière ?

Semaine 8
Vous voulez informer vos collègues et les clients du cabinet de ces nouvelles thématiques et vous envisagez de créer
une mailing-list et une newsletter.

12. Quelles sont les règles à respecter lors d’une communication par newsletter utilisant une mailing-list
 APPLICATION 24 CAS SYNTHESE

EXERCICE 1 : SUJET REVISION SUJET 2015 REVU

ALPHA est une P.M.E. française spécialisée dans la distribution de machines à café et à thé (avec capsules) ainsi que de
fontaines à eau. Elle réalise un chiffre d’affaires d’environ 45 millions d’euros, concentre son champ d’action sur le
territoire national et emploie 41 personnes.

La P.M.E. détient une position de leader sur son secteur géographique, malgré la présence de deux concurrents en
constante progression adoptant des approches commerciales plus agressives construites sur la notoriété de ses
marques pour l’un, et sur l’avantage de prix pour l’autre.

De son côté, ALPHA développe une stratégie axée sur trois capacités stratégiques :

• Une variété de choix : 88 sortes de capsules de café et 25 sortes de capsules de thé sont disponibles. Deux
types de machines à café automatiques sont proposés : la première, compacte, permet de réaliser des
expressos un à un alors que la seconde, plus sophistiquée, est équipée d’une double buse et d’un système
capuccino.
• (2) Une rapidité de livraison : repose sur la proximité et la capacité de livrer chaque client dans un délai court,
de 24 à 72 heures selon la disponibilité. La proximité s’appuie sur 7 unités de vente réparties sur les
départements des Bouches du Rhône et du Vaucluse, en charge de la distribution, depuis la prise de commande
jusqu’à la livraison.
• (3) Un service après-vente réactif et compétent : les techniciens de maintenance sont formés par le fournisseur
des machines à café/thé et des fontaines à eau distribuées par ALPHA. ALPHA traite avec trois types principaux
de clients : des entreprises (P.M.E., E.T.I. et quelques T.P.E.), des collectivités locales et quelques associations
loi 1901.

Au sein du contexte fortement compétitif dans lequel elle opère, l’entreprise compte sur ses capacités stratégiques de
variété, rapidité et réactivité pour fidéliser et développer sa clientèle. En termes de structures organisationnelles, le
siège social de la PME ALPHA est situé à Aix en Provence. On y trouve la direction générale (D.G.) et les principales
directions fonctionnelles, parmi lesquelles : - la direction commerciale (D.C.) en charge de définir la politique tarifaire
des produits, d’allouer les objectifs commerciaux aux unités de vente et de coordonner la négociation des contrats
avec les fournisseurs et les clients ; - la direction administrative et financière (DAF) qui regroupe la comptabilité, la
fiscalité et les responsabilités relatives à la maintenance et à l’évolution du système d’information. Pour cela, un
technicien informaticien est subordonné à la DAF. Il est sous contrat à durée indéterminée dans la PME, régulièrement
assisté d’un stagiaire ingénieur ; - la direction technique (D.T.), principalement en charge de la relation opérationnelle
avec les fournisseurs et de la logistique. Par ailleurs, 7 unités de vente, réparties sur les départements des Bouches-
du-Rhône et du Vaucluse, ont en charge de la prospection, la réception, la livraison et la facturation des commandes.
Elles reportent à la direction commerciale qui leur fixe des objectifs de marge ainsi que de fidélisation et de
développement de la clientèle.

Concernant le système d’information (SI) de l’entreprise ALPHA, il s’est constitué au fil du temps, par juxtaposition
d’un ensemble d’applications achetées sur le marché et mises en place dans une approche purement pragmatique de
recherche d’efficacité. En l’occurrence, les principaux éléments du portefeuille d’applications sont les suivants :

- la direction commerciale et les 7 unités de vente sont intégrées via le module E.R.P. gestion commerciale V17.00
de WaveSoft, éditeur spécialisé dans les T.P.E. et P.M.E. Avec son extension multisites, ce module réalise
notamment une codification automatique des fichiers clients, la gestion du circuit de vente (devis, commande,
livraison et facture) et la mise à jour des états d’avancement des commandes ;
- - le module gestion commerciale communique lui-même avec les modules de comptabilité et d’états financiers,
achetés par ALPHA au même éditeur WaveSoft. Ils permettent notamment de gérer en quasi temps réel
 l’ensemble des moyens de paiements (avec génération automatique des écritures comptables) ainsi que l’impôt,
les déclarations, les comptes et les résultats ;
- - de son côté, la direction technique bénéficie d’un logiciel de gestion logistique soutenant la réception des stocks,
leur conditionnement ainsi que la gestion des stocks physiques et informationnels. Ce logiciel est interfacé avec le
module de gestion commerciale mais la solution mise en place est peu opérationnelle (durée d’échange des
données importante) et ne permet pas une automatisation. Les trois modules E.R.P. WaveSoft ont été acquis
récemment (en 2012 pour la direction commerciale et en 2013 pour la direction administrative et financière),
alors que la direction technique a été dotée de son logiciel en 2006.

Aujourd’hui, la direction générale s’alarme :

- elle observe d’une part une progression inquiétante de ses deux concurrents sur son secteur géographique
(Bouches-du-Rhône et Vaucluse). Certains de ses clients (deux associations et une PME en forte croissance) ont
d’ores et déjà décidé de traiter avec la concurrence en ne renouvelant pas leur contrat avec ALPHA. En cela,
l’objectif de fidélisation de la clientèle n’est pas atteint. Il apparaît essentiel d’axer les efforts de la P.M.E. sur cet
axe prioritaire, en l’articulant à celui de développement de la clientèle ;
- (2) elle constate d’autre part que sa capacité stratégique de rapidité de livraison doit être renforcée. En effet, la
garantie de livraison entre 24 et 72 heures est mise à mal. Ceci semble tout d’abord dû à des problèmes de
communication entre les directions commerciale et technique. Les problèmes de rapidité de livraison semblent
également provenir d’une absence d’interopérabilité entre les systèmes d’information des fournisseurs et ceux
des directions commerciale et technique. En pratique, ceci conduit les acteurs à fréquemment communiquer par
téléphone et échanges de mails et fichiers, allongeant les délais de traitement des commandes.

La direction générale de la P.M.E. fait appel à une société de conseil marseillaise – Conseil SI Prado – spécialisée
dans la modernisation des systèmes d’informations. Après un mois et demi sur sites, Conseil SI Prado recommande
à ALPHA d’acquérir un C.R.M. (Custumer Relationship Management ou Gestion Relation Clientèle) afin de gérer plus
efficacement sa clientèle. Elle préconise également l’achat d’un module E.R.P. (Enterprise Resource Planning ou
Progiciel de Gestion Intégré) dédié à la logistique, en prévoyant un interfaçage avec les systèmes logistiques des
fournisseurs de la P.M.E. Stagiaire au sein de la direction commerciale, vous êtes chargé de réaliser à votre tour un
diagnostic du système d’information de la société ALPHA puis de produire une réflexion autour de l’évolution et
l’amélioration de son système d’information.

DOSSIER 1 – LE DIAGNOSTIC DU SYSTÈME D’INFORMATION

1. En utilisant le concept d’alignement stratégique, que vous définirez, expliquez pourquoi le système d’information
de la PME ALPHA doit évoluer.

2. Décrivez la gouvernance actuelle du système d’information d’ALPHA et précisez en les limites.

3. La direction générale a identifié deux types de problèmes, relatifs à la fidélisation de sa clientèle pour le premier et
au manque de réactivité dans la livraison pour le second. Détailler les causes techniques et humaines de ces
problèmes.

DOSSIER 2 – L’ÉVOLUTION DU SYSTÈME D’INFORMATION

4. Les préconisations de Conseil SI Prado vous paraissent-elles correspondre aux besoins de la PME ALPHA ?
Argumentez votre réponse.

5. Définissez le C.R.M. (Costumer Relationship Management). Quels sont les bénéfices attendus d’un CRM ?
Appliquez votre réponse au cas ALPHA.

6. Conseil SI Prado propose également à la P.M.E. de renforcer la couverture fonctionnelle de son E.R.P. Expliquez les
risques associés à l’introduction de modules supplémentaires en termes financiers et organisationnels.

7. Préconiseriez-vous à ALPHA une solution en SaaS (Software as a Service – cloud computing) ? Argumentez votre
réponse en exposant les avantages et les risques d’une telle solution.
DOSSIER 3 – GESTION DU PROJET SI ET GESTION DU CHANGEMENT

8. Décrivez les différents éléments de l’étude préalable du projet d’évolution du système d’information que la
société ALPHA devra prendre en considération.

9. Quelle constitution de l’équipe projet recommanderiez-vous à la P.M.E. ?

10. Le changement aura des effets sur les personnels et leurs pratiques de travail. Quels dispositifs de gestion du
changement doivent être prévus selon vous ? Argumentez

EXERCICE 2 SUJET ETAT 2016 REVU

La société anonyme SOVANI certifiée ISO 9001 est spécialisée dans la commercialisation d’articles de bureau depuis 1996.
Le portefeuille des références proposées aux clients, particuliers et professionnels, s’est enrichi au fil du temps pour comporter
aujourd’hui près de 3500 éléments. Les références sont de valeur et volume variés depuis des stylos ou classeurs aux mobiliers de
rangement.
La société se tourne depuis deux ans vers les objets connectés tels que des stylos et montres connectés mais aussi des bureaux
connectés permettant de capter et modifier la lumière ambiante, l’hygrométrie, la température, la présence du salarié à son poste
de travail, etc.
Dans cette perspective, la société SOVANI doit veiller à la sécurité dans les échanges impliquant ses secrets de fabrication.
La société SOVANI évolue dans un secteur concurrentiel très agressif et doit être réactive à tout élément susceptible d’impacter sa
performance. Ainsi, la maitrise des coûts, d’approvisionnement, de stockage, de production, et de logistique est au cœur de ses
priorités, c’est pourquoi le bon fonctionnement de son système d’information constitue un axe privilégié de sa stratégie.
Le siège social de la société SOVANI est domicilié à Perpignan au sein d’un local de 2000m 2 abritant l’activité administrative. Le
personnel sur site est au nombre de 115 et œuvre notamment dans les domaines comptable, financier, administratif et commercial.
Le siège accueille également un bureau des études Recherche et Développement (R&D) particulièrement sensible car il est chargé
d’élaborer les dossiers techniques des articles. Ce bureau des études R&D travaille en étroite collaboration avec le bureau
prototypage de SOVANI qui est, lui localisé à Lyon.
En effet, la société anonyme SOVANI propose à la vente des produits sous diverses marques fournisseurs mais également ses
propres produits sous la marque SOVANI. La production des articles conçus en interne est confiée à des partenaires économiques
localisés en France, en Espagne, en Roumanie et en Chine. Cette dispersion géographique implique une logistique assez lourde.
La société SOVANI dispose aujourd’hui de 350 points de vente sur l’ensemble du territoire français et des pays limitrophes ainsi
que d’un site web créé en 2013 qui a été installé sur le serveur de la société SOVANI hébergeant également l’ensemble des données,
des applications et des sauvegardes.

DOSSIER 1 - gouvernance du système d'information

Compte tenu de l’environnement concurrentiel et innovant dans lequel évolue SOVANI, le système d’information constitue un
vecteur majeur de performances.
La répartition des clients se présente ainsi en 2015 et 2014 pour SOVANI.

2014 2015
Magasins spécialisés 25 % 29 %
Grande distribution 55 % 47 %
Grandes entreprises 18 % 14 %
Particuliers 2% 10 %
La société SOVANI a bénéficié depuis sa création en 1996 d’une croissance assez rapide qui a imposé l’utilisation d’applications de
plus en plus nombreuses au fil des années. Les logiciels en lien avec les différentes problématiques du système d’information et
notamment les objets connectés, ont été installés au fur et à mesure des besoins, parfois urgents, sans véritables réflexion
d’ensemble.

1 Après avoir défini le concept d’alignement stratégique (AS), lister les principaux domaines à appréhender dans la logique du
processus d’AS du Système d’information (SI) de SOVANI?
2 Au regard des compétences internes en SI et des exigences inhérentes aux activités de SOVANI, comment couvrir au mieux
l’ensemble des missions du SI ?
3 En tenant compte de l’historique de SOVANI, justifier le recours à une réflexion sur l’urbanisation du SI.

DOSSIER 2 – PROJET de MODERNISATION DU SI

Le fonctionnement actuel du système d’information de la société SOVANI a conduit l’équipe dirigeante à déclencher plusieurs
projets en lien avec le système d’information. Le plus urgent dans ces projets est celui concernant l’ERP ARTGEST déployé en 2005.
En effet, l’éditeur de cet ERP, la société ARTING, est en liquidation judiciaire depuis janvier 2016.
Un deuxième projet est à l’étude basé sur une technologie cloud.
SOVANI fait face à la nécessité de repenser le support applicatif sur lequel repose son système d’information comptable et financier.
Elle envisage de profiter des opportunités technologiques liées aux environnements distants. Mme FOURNIER, directrice du
système d’information, a commencé à prospecter en ce sens et a sélectionné 3 Entreprises de Services du Numérique (ESN). Toutes
les trois seraient susceptibles de convenir au projet envisagé. Vous trouverez en annexe quelques informations sur ces trois
éditeurs.

1 Présenter le faisceau d’éléments conduisant la société SOVANI à modifier l’ERP ARTGEST actuellement en place.
2 Identifier et apporter des commentaires sur les principales étapes à adopter dans cette perspective de mise en œuvre du
projet ERP.
3 Proposer un récapitulatif des avantages et inconvénients des trois solutions proposées en annexe. Justifier votre choix de la
solution qui vous semble le mieux convenir à SOVANI.
4 Présenter sous forme de tableau, 3 facteurs de réussite d’une telle conduite de projet en intégrant par exemple les référentiels
et autres bonnes pratiques.
5 Dans le contexte du projet de modernisation de l’ERP de SOVANI, proposer des éléments de comparaison entre les 3
alternatives cloud existantes.

DOSSIER 3 - SECURITE ET AUDIT EN environnement INFORMATIQUE

La société anonyme SOVANI est amenée à échanger des informations sensibles entre le service R&D situé à Perpignan et le bureau
de prototypage situé à Lyon. Il s’agit notamment des informations concernant les objets connectés, axe d’innovation majeur de ces
derniers mois.
Xavier DITER, directeur de la sécurité du système d’information de SOVANI et récemment embauché, vient d’être contacté par le
cabinet d’expertise comptable, EXPDNL à Perpignan, concernant les missions d’audit en environnement informatique.
1 Quel type de réseau peut-on mettre en place entre le service R&D de Perpignan et le bureau de prototypage situé à Lyon afin
de garantir la sécurité des échanges ? Préciser les caractéristiques de fonctionnement de ce réseau.
2 Quels sont les enjeux et les conditions de réussite de l’audit financier au sein d’une organisation informatisée telles que celle
de SOVANI ?
3 Quelles sont les étapes d’un audit assisté par ordinateur ?
 ANNEXE 1 – Projet de Gestion Electronique des Documents
La société SOVANI a déclenché depuis janvier 2015 une gestion électronique des documents (GED) afin d’y puiser des éléments de
performance tant dans la qualité des informations du système d’information comptable et commercial que dans la réponse à
apporter aux clients qui imposent des échanges de documents (commandes, factures, etc.) exclusivement en environnement
numérique.
La société SOVANI doit ainsi traiter un volume de factures clients conséquent mais dont 80% ne comportent qu’une ligne de
commande.
La réception des factures fournisseurs est dématérialisée à 70% et intégrée majoritairement dans l’ERP (Entreprise ressource
planning) nommé ARTGEST utilisé par la société SOVANI depuis 2005 au travers d’un module EDI (Echange de documents
informatisés). Le reste des factures fournisseurs doit faire l’objet d’un traitement spécifique au travers de scanners et logiciels de
reconnaissance de factures. Cette étape est source d’erreurs souvent difficiles à identifier.
La mise en place récente de cette GED a été effectuée dans l’urgence pour satisfaire au plus vite aux exigences des clients.
Cependant, les personnels ayant reçu une formation appropriée sont trop peu nombreux à ce jour. De nombreux
dysfonctionnements sont à déplorer, tels que pertes de données, retards dans les traitements des commandes en raison de
processus non valides, anomalies significatives, doublons, etc.
 ANNEXE 2 – Personnels et entreprises de service numérique de SOVANI
Le système d’information est géré en interne par 5 personnes dont les fonctions sont listées ci-dessous :

Noms et prénoms Fonctions au sein du SI Remarques

FOURNIER Florence Directrice du Système d’Information (DSI) Recrutée en 1996

DITER Xavier Directeur de la Sécurité du SI Recruté en septembre 2016

DUNOZ Clara Technicienne réseau A mi-temps

BARDOTIN Mohammed Technicien réseau A temps plein

DORIN Elodie Stagiaire Bac + 2 Services Informatiques

La société SOVANI fait appel à cinq entreprises de services du numérique (ESN) pour compléter les missions inhérentes au SI.

Désignation Missions
Société PLA Prise en charge des connexions (câblage, wifi, etc.) dans l’enceinte des bâtiments
de Perpignan, de Lyon et des entrepôts de SOVANI.

Société NUFT Prise en charge de la gestion électronique des documents au travers du logiciel
NUMIFACT.

Société DATAVOG Prise en charge de toutes les procédures et stockage des sauvegardes. Il a été fixé
dans le cahier des charges de DATAVOG :

- 1 sauvegarde complète effectuée tous les dimanches à 01:00,

Société DATAPROD
- 1 sauvegarde différentielle (c’est-à-dire une sauvegarde effectuée à partir de la
dernière sauvegarde complète) du lundi au samedi à 02 :00,
La société DATAVOG est également en charge des tests à effectuer sur la lisibilité
des sauvegardes.
Ces sauvegardes sont stockées sur le serveur de SOVANI, situé dans un local
sécurisé (ignifugé, digicode, étanche, taux d’humidité de l’air contrôlé, etc.) au
sous-sol du bâtiment administratif de Perpignan.
7 cartouches magnétiques de 2,5 TO chacune sont également utilisées (1 par jour
de la semaine) et stockées dans le bureau du PDG dont la porte est souvent
ouverte. Les sauvegardes de chaque jour écrasent celles du jour de la semaine
précédente.
La société DATAVOG a également en charge la mise en place de plan de continuité
d’activité, élaboré il y a 5 ans. Le plan est peu précis, les procédures sont confuses
et n’a jamais été déployé.
La société DATAPROD est spécialisée dans l’édition de logiciels à destination du
secteur industriel. Domiciliée à Avignon, DATAPROD est aux côtés de la société
SOVANI depuis 1996 et a conçu différentes applications en étroite collaboration
avec le directeur de la production.
 Désignation du Fonctionnalités du logiciel
logiciel

DATAPRODINT Gère les différentes fonctionnalités inhérentes à la

fabrication des fournitures et mobiliers de bureau en
interne. DATAPRODINT fait l’objet de nombreuses mises à
jour en cohérence avec les besoins de SOVANI. Le logiciel
donne toute satisfaction et est parfaitement maitrisé.
CONCEPTPROD Logiciel dédié aux travaux de recherche et d’études de
nouveaux produits. Logiciel essentiellement utilisé par les
ingénieurs qui en sont pleinement satisfaits.
Société ARTING La société ARTING est une ESN ayant créé l’ERP ARTGEST pour SOVANI en 2005. Le
progiciel, a donné lieu à de très nombreuses formations rendues nécessaires par
l’ergonomie insuffisante du progiciel.

ARTGEST n’est que peu interopérable avec DATAPRODINT et CONCEPTPROD. La

maintenance, les formations, les mises à jour, sont entièrement effectuées et
facturées par ARTING auprès de la société SOVANI. La société ARTING est mise en
liquidation judiciaire depuis janvier 2016.
 ANNEXE 3 – Cartographie applicative de SOVANI
Florence FOURNIER, la directrice du système d’information propose la cartographie applicative suivante, actualisée au
1er septembre 2016.

ANNEXE 4 – Quelques informations sur trois éditeurs d’ERP

DATAPROD DATAMM DATAGC

interfaçage PRODINT et
CONCEPTPROD
licence utilisateur
version uniquement
française/ multi devises
maintenance matérielle et -
logicielle
infogérance
éditeur localisé à Perpignan -
mode SAAS
sauvegarde gérée en mode
cloud par l’éditeur
délai d’implémentation 6
mois
autres clients ayant des sites
web
GED
AAO (Audit Assisté par
Ordinateur)
- petite entreprise flexible et réactive
- coût licence ERP bas
- pas de version web
- multi lingue / multi devises
- éditeur localisé à Montpellier
pas de mode SAAS
- sauvegarde à l’identique de
l’actuelle
délai d’implémentation 1 mois
- GED
éditeur à forte notoriété
orienté grands groupes
licences site quel que soit le nombre
d’utilisateurs
multi lingue / multi devises
éditeur localisé à Lille
sécurité optimale
package formation inclus
maintenance logicielle
délai d’implémentation 1 an
interfaçage web
GED
AAO (Audit Assisté par Ordinateur)