Académique Documents
Professionnel Documents
Culture Documents
Systèmes d'Information
Gouvernance des SI
8
Architecture des SI
36
Sécurité des SI
50
BEC 1
Introduction à l'UE 5 du DSCG
Comme tu vas le voir dans cette fiche, certains mots clés reviennent régulièrement.
Sont tant de mots qu'il te va falloir remettre dans ta copie le jour de l'examen.
Evidemment, on ne met pas tous les mots et on ne les met pas au hasard, sinon adieu les
points !
La méthode à adopter
Celle que j'ai appliquée et qui m'a permis d'obtenir la note de 16,5 /20 en ayant révisé
seulement 1 mois à l'avance...
C'est une mine d'informations sur les mots que les correcteurs aiment retrouver dans ta
copie et te rapporteront donc des points.
Tu as de la chance, tous ces mots sont répartis dans cette fiche, qui est en fait celle que
j'avais moi le jour de l'examen (mais en mieux présentée quand même !).
BEC
BEC 3 1
ASTUCES ET CONSEILS POUR REUSSIR L'UE 5
Le jour de l'examen
Ca fonctionne ? Oui
Maintenant, le but du jeu c'est d'en placer le plus possible, un peu comme un bingo.
BEC
BEC 3 2
ASTUCES ET CONSEILS POUR REUSSIR L'UE 5
Faut-il faire des fiches ?
A cette question, je répondrai simplement : non.
Non, il ne faut pas obligatoirement faire des fiches. Si vous en faites, je vous invite à
répondre à ces quelques questions :
Est-ce que je suis très en retard dans l’avancement de mes fiches ?
Est-ce que je prends le temps de relire plusieurs fois (j’insiste) mes fiches plusieurs
semaines avant l’examen ?
Est-ce que j’ai du temps pour m’entraîner, en particulier sur les annales ?
Alors ne faites pas de fiches mais préférez acheter des fiches déjà faites.
BEC
BEC 3 3
ASTUCES ET CONSEILS POUR REUSSIR L'UE 5
Pour aller plus loin...
Voici une liste des ressources disponibles sur le blog qui peuvent t'aider à réussir l'UE 5.
Où me suivre ?
www.blogetudiantscompta.fr
blogdesetudiantsencompta
Julie Laniaud
BEC
BEC 3 4
LES ATTENDUS DE L'EXAMEN
Outre les mots clés, il va falloir s'adapter au contexte du cas et réussir à retranscrire des
idées de réponses tirées de cette fiche appliquées au cas de l'examen.
"Elle montre une tendance qui devrait être celle des épreuves à venir c'est-à-dire une mise
en contexte du candidat et sa confrontation à des problématiques et à des décisions liées au
management des systèmes d'information en cabinet et/ou en organisation." - Rapport du
jury 2020
Nos métiers évoluent sans cesse, de nouveaux outils sont créés chaque année...
Intéresse-toi, fais une veille sur ces sujet pour avoir une meilleure note mais également
pour être compétent sur la thématique du digital.
« Ainsi, les métiers du chiffre sont et seront largement impactés par les outils et pratiques
numériques ce qui, en toute logique, explique l’évolution de l’UE 5 elle-même.. » Rapport du
jury 2018
BEC
BEC 3 5
POUR MIEUX REVISER AVEC LES ANNALES
Le détail des thèmes tombés dans les annales, année par année, est disponible sur le
blog > ressources > annales DSCG > UE 5 - Management des SI.
Sur la même page, il vous est possible de télécharger le détail depuis 2008 au format
excel.
BEC
BEC 3 6
Gouvernance des SI
Alignement stratégique
Alignement stratégique : exprime la démarche visant à faire correspondre les objectifs du
système d’information avec ceux de l’organisation (stratégie globale et stratégie métier).
L’alignement stratégique est une démarche visant à faire coïncider la stratégie SI sur le ou
les stratégies d’affaires de l’entreprise. Le modèle développé par Henderson et
Venkatraman en 1993 propose de travailler sur les adéquations entre stratégie(s) de
l’entreprise, conception et structures organisationnelles, infrastructure technologique et
stratégie.
Il y a interaction entre les deux démarches (choix stratégiques, définition du SI) jusqu'à ce
qu’elles soient en cohérence.
D’une part cela permet d’intégrer les objectifs stratégiques et peut conduire à formuler de
nouvelles exigences en termes de système d'information. D’autre part, le système
d'information peut offrir de nouvelles opportunités amenant à modifier la stratégie.
La stratégie de l’entreprise
Stratégies génériques
Objectifs stratégiques
Produits, marchés
Compétences distinctives
Domaine technologique
Compétences
Gouvernance
BEC 8
L’infrastructure et les processus de l’entreprise
Infrastructure administrative
Processus d’affaire
Processus managériaux
Architecture
Portefeuille d’applications
Processus de développement
Contrôle
Le SI doit permettre les interfaces ou relais entre Internet et les objets connectés
(utilisation de réseaux cellulaires couverts par les opérateurs de téléphonie, 3G, 4G,
etc., réseau dédié aux objets connectés
BEC 9
La Direction des SI (DSI)
Le DSI recrutée devra être capable de développer la stratégie informatique et posséder des
compétences :
Technologiques
Communicationnelles
Managériales
De gestion
C’est soit un contrat, soit une partie d’un contrat informatique, soit une annexe à un
contrat informatique, soit une annexe à des conditions générales. Elle précise les
engagements du prestataire informatique vis-à-vis de son client en termes de niveau de
service.
BEC 10
Une garantie du temps de rétablissement en cas d’interruption du service
Celle-ci précise le délai de rétablissement (4, 6, 8… heures) et l’amplitude de la période
couverte (ex. : 24h/24, 7j/7).
Avantages
BEC 11
Les missions des SSII
Intérêt
Intérêt
BEC 12
Formation Ouverte A Distance (FOAD)
FOAD : dispositif souple de formation organisé en fonction de besoins individuels ou
collectifs (individus, entreprises, territoires). Elle comporte des apprentissages
individualisés et l’accès à des ressources et compétences locales ou à distance. Elle n’est
pas exécutée nécessairement sous le contrôle permanent d’un formateur.
Avantages
Limites
Matériel informatique
Disposer d’un accès plateforme, aide technique
Utilisateurs motivés
Dégager du temps pour la formation
Intérêt
Formation de masse
Faciliter l’accès à la formation (n’importe où)
Réduire le coût des formations (déplacements)
La cartographie des processus métier peut être assimilée à une représentation graphique
des activités articulées au sein d’un métier afin de délivrer in fine un produit et/ou un
service créateur de valeur ajoutée.
BEC 13
Diagramme d’Ishikawa
Diagramme d'Ishikawa : le diagramme d’Ishikawa (du nom de son concepteur Kaoru
Ishikawa, ingénieur japonais) ou en arrêtes de poisson permet d’analyser 5 grandes
catégories de causes (qui sont notées les 5M) pour parvenir à un effet envisagé.
4) Matière(s) : tout ce qui concerne les inputs des processus,en termes tangibles et
intangibles (ex.information)...
L’idée est donc de pouvoir formuler et préciser l’effet recherché puis de déterminer les
dispositifs requis pour chacune des 5 catégories de causes et de les faire apparaître sur un
schéma qui soit le plus lisible et synthétique possible.
BEC 14
Gestion de projet des SI
La gestion de projet des SI
Les différentes phases d’un projet SI
La phase d’amorçage
Étude préliminaire visant à faire un état des lieux. Cette phase correspondra à l’audit
Étude de faisabilité pour rechercher les solutions possibles : de type PGI ou au
contraire de type applications hétérogènes mais urbanisées
Spécification du projet en termes de planification (délais), de budget (estimation des
besoins en ressources et des coûts), cahier des charges fonctionnel
Réalisation du projet pour la mise en place du nouveau système.
Phase d’implantation
Les contraintes
Elles sont liées à un grand nombre d’exigences à respecter simultanément :
Qualité du paramétrage
Validité des tests
Pocédure d’épuration des données avant migration dans le nouveau système
BEC 17
Choix de la stratégie de déploiement de la solution
Compétences de l’équipe d’accompagnement
Formations adaptées aux besoins et niveau des utilisateurs
Disponibilité des personnes
L’enjeu
La phase d’usage
Phase d'usage : elle correspond à la prise en main du nouveau système par les utilisateurs
et le management. Ces derniers doivent abandonner les anciennes routines et pratiques
organisationnelles pour dorénavant utiliser le nouvel outil.
Les contraintes
Les enjeux
Elle devra être constituée d’utilisateurs souhaitant en découdre avec les difficultés
d’usage rencontrées avec le SI actuel.
BEC 18
Les règles du jeu
Le comité de pilotage
Comité de pilotage : c’est l'organe directeur de la maîtrise d'ouvrage. Il est présidé par un
directeur de projet.
Il est composé :
Lancement du projet caractérisé par les objectifs, les finalités, les critères de qualité et
l'arbitrage des moyens à mettre en œuvre
Comité des utilisateurs : il est constitué de tous les utilisateurs représentatifs des
domaines d'activité concernés par le projet (achats, commercial, fabrication, comptabilité,
contrôle de gestion).
BEC 19
Les attributions du comité des utilisateurs (ou key users)
Accompagnement du déploiement
Ce comité peut devenir centre de ressources dans la phase post-projet
Le chef de projet
Le chef de projet doit avoir l’autorité nécessaire pour mener à bien le projet, selon
l’ampleur de celui-ci. Ici le projet concerne toute l’entreprise avec des implications
organisationnelles.
Il est donc nécessaire que le choix du chef de projet traduise un engagement fort de la
direction.
BEC 20
Risques de dysfonctionnements du projet
Participation et formation RH
Tableau de bord
Implication DG
Choix des maîtres d’œuvre
Objectifs clairement définis
Equipes organisées + contrôle appropriés
Animation et motivation
Maîtrise des délais, des coûts et de la qualité
BEC 21
Les Progiciels de Gestion Intégrée (PGI)
PGI : progiciel qui permet de gérer l'ensemble des processus d'une entreprise en intégrant
l'ensemble de ses fonctions, dont la gestion des ressources humaines, la gestion comptable
et financière, l'aide à la décision, mais aussi la vente, la distribution, l'approvisionnement
et le commerce électronique.
Avantages
Infogérance
Licences utilisateur
Logiciel d’audit assisté par ordinateur
Editeur de notoriété, expérience
Expérience utilisateur
Sauvegarde
Eradication de l'entropie
Satisfaction PP
Diminution des erreurs
Diminution des coûts
Augmentation de la rentabilité
Limites
BEC 22
Les enjeux du PGI
Enjeux organisationnels
Productivité du travail
Grâce au workflow, au groupware, à l’actualisation des normes, à l’activation des systèmes
d’alerte, à la check-list…
Qualité du travail
Incitation au respect des processus et des délais.
Enjeux techniques
Enjeux informatiques
Enjeux financiers
Investissement conséquent
L’investissement est peu diversifié
Car l’ensemble des composantes du PGI sont fournies par un concepteur unique.
BEC 23
Les coûts de maintenance peuvent être très élevés
Les produits commercialisés présentent parfois de nombreuses erreurs, les corrections de
ces erreurs font l’objet de contrat de services supplémentaires, ou de mises à jour des
versions de logiciel. Chaque modification du système nécessite de nombreux paramétrages.
L’investissement est irréversible car le coût de sortie est deux à six fois plus élevé que
l’investissement initial.
Le périmètre
Un périmètre doit être décidé (ce qui demande de cartographier l’entreprise et ses
principaux processus dès le début du projet sachant que les processus de production ont
été actualisés récemment) et il doit être assez large pour couvrir à la fois le « back office »
(production, stock, qualité, comptabilité, contrôle, RH, informatique, etc.) et le « front office
» (vente, achat, logistique, configurateur-produit, etc.).
Contextualiser
Former les équipes
Planifier
Cartographier
Réaliser une étude de cadrage
Former des utilisateurs « pilotes »
Modéliser et paramétrer
Former les utilisateurs finaux
Recevoir et mettre en œuvre le PGI
Evaluer
Corriger
L’analyse du périmètre d’un nouveau PGI permet de mettre en évidence des améliorations :
La productivité
Une meilleure intégration de l’ensemble des processus (et pas seulement les processus de
production et d’administration de ventes) va permettre un gain de productivité général
pour l’ensemble de l’entreprise.
BEC 24
La flexibilité
En effet la capacité de l’entreprise à répondre à des demandes des clients sera améliorée.
La convivialité
Le nouveau système d'information d’information peut rassembler autour de lui tous les
acteurs internes et notamment la direction générale, les responsables RH, les acheteurs, les
responsables qualité, les partenaires extérieurs (CRM, SRM) qui étaient potentiellement
exclus dans le SI précédent.
BEC 25
Dépendance vis-à-vis d’un éditeur
Retour en arrière ou changement de PGI difficiles compte tenu de l’importance du projet
et de son caractère structurant pour l’entreprise.
Complexité du paramétrage
Pour être au plus près des processus de l’entreprise, l’installation nécessite une
modélisation du fonctionnement de celle-ci, une définition précise des actions et des
rôles. Cette étude approfondie peut entraîner un dépassement des délais et des coûts ou
un risque de difficultés d’utilisation lors du déploiement.
BEC 26
La conduite du changement
Conduite du changement : consiste à accompagner un projet d’organisation ou de
réorganisation, tout en utilisant une méthodologie de conduite de projets éprouvée.
Actions organisationnelles
BEC 27
Actions humaines
Actions managériales
Responsabiliser les cadres et les agents de maitrise sur leurs données de gestion
Mettre sous contrôle les données transactionnelles
Analyser les dysfonctionnements d’usages individuels et collectifs
Tableaux de bord des anomalies rencontrées avec le SI / service
Redéfinir les rôles et responsabilités des managers
Formation des managers aux concepts de gestion de production
L’inertie
Lorsque les utilisateurs finaux adoptent une attitude de fausse acceptation du
changement dont ils repoussent au maximum la survenance, au nom de la prudence et de
la recherche de consensus.
L’argumentation
Lorsque les utilisateurs finaux négocient sur tous les aspects du changement, de forme et
de fond.
Le contournement
Lorsque les utilisateurs continuent à utiliser leurs anciennes solutions informatiques (par
exemple leur tableur usuel) sans s’approprier les nouvelles.
La révolte
Elle survient comme ultime recours, afin d’empêcher que le changement soit mis en
œuvre, à travers une action syndicale par exemple.
BEC 28
Dispositifs pour lutter contre la résistance aux changements
Les formations
Afin notamment de s’assurer d’une utilisation adéquate des systèmes.
BEC 29
Points d’attention pour limiter les résistances aux changements
Profils de poste
Evolution profonde qui ne porte pas sur l’usage des outils informatiques (habitudes
existantes) mais sur le mode d ‘appropriation des applications (évolution à la demande
plus difficile en raison de la standardisation de marché).
Relations humaines
Risque de querelle des « anciens et des modernes » au sein des chefs de service, risque lié à
la perte de pouvoir de la direction informatique qui peut contester les décisions
d’externalisation.
Résistance au changement
Potentiellement tout acteur peut résister au changement pour divers motifs, la conduite
du changement sera donc fondamentale.
Enchaînement logique
Les profils de poste vont changer ce qui entraîne une redistribution des modes de
communication, des habitudes de travail et donc de la répartition du pouvoir, d’où une
tension dans les relations humaines qui se traduit par la résistance au changement.
BEC 30
Gestion de la performance des SI
Les indicateurs de performance
Indicateur de performance : il a pour mission de mesurer le rendement des actions
impliquées dans l'atteinte des objectifs qu'une organisation s'est fixée à court, moyen et
long terme.
Avantages
Limites
On trouvera ainsi des mesures simples de productivité directe par rapport d’un résultat
aux ressources consommées.
Efficacité
Satisfaction
BEC 31
Les exemples d'indicateurs
Les différents types d’indicateurs (en interne)
Volume d’activité
Temps de réponse d’un serveur
Temps réel d'utilisation
Taux de disponibilité
Nombre de logiciels ou de fonctionnalités utilisés…
Temps d’utilisation
Temps de réponse d’une application
Amélioration de la performance…
Taux de satisfaction
Note donnée par l’utilisateur aux outils
Nombre de bugs remontés par les utilisateurs…
Efficience générale
Performance financière
Avantage compétitif
Flexibilité
Création de valeur…
BEC 32
Les différents types d’indicateurs pour évaluer un prestataire de service SI
Indicateurs de performance
Délai d´intervention
Ce dernier peut être fonction d’un classement des applications selon leur criticité ou leur
importance : « stratégique », « critique », « sensible » ou « faible », voire fonction du
caractère bloquant ou non bloquant du dysfonctionnement.
BEC 33
Indicateurs d’évaluation de la FOAD
Indicateurs de résultat
Nombre moyen d’heures de formation par an, par salarié (par sexe, catégorie
professionnelle, zone géographique)
Indicateurs d’impact
Amélioration de la productivité
BEC 34
Nombre d’incidents en cours d’utilisation de la plate-forme
Pour évaluer la performance de l’outil
1) Indicateurs quantitatifs
2) Indicateurs qualitatifs
Un suivi qualitatif peut-être effectué à l’issue des formations sur des documents papier
(évaluation à chaud) ou par envoi de formulaires en ligne (évaluation à froid) pour
mesurer :
Le niveau de satisfaction par rapport aux attentes de l’usage de l’outil tant sur les
modalités d’accès à la plate-forme que l’utilisation de la plate-forme proprement dite
Définition Justification
BEC 35
Architecture des SI
Le cloud computing
Cloud computing : il s’agit d’une forme d’infogérance où on loue un droit d’usage de
ressources informatique de différentes natures et où les usagers ignorent où sont stockées
leurs informations et les ressources qu’ils utilisent. Les ressources sont accessibles via
Internet.
Avantages
Recentrage de l’activité
Le matériel nécessaire côté utilisateur se limite à des stations de travail connectées au
réseau, ce qui réduit considérablement les besoins en matériels et logiciels et, donc,
simplifie la gestion du SI dans une optique de recentrage sur les métiers.
Flexibilité
Les ressources s’adaptent aux besoins, le prestataire ayant la possibilité de les redéployer
en fonction des besoins des différents utilisateurs (mutualisation).
BEC 36
Facilité de mise en œuvre
Le prestataire est responsable de la disponibilité du service.
Accès universel
Les ressources ne sont pas liées à une localisation géographique, ce qui favorise le
nomadisme des utilisateurs.
Limites
Indisponibilité du réseau
Il y a impossibilité d’utiliser les applications ce qui induit des risques économiques et
financiers.
Risque d’attaques par le fait que le prestataire héberge des serveurs dédiés à
différents clients
Même si les locaux utilisés par les prestataires sont mieux sécurisés que ceux d’une
entreprise particulière contre les attaques malveillantes, ils peuvent aussi être plus
attaqués et une intrusion sur les ressources d’un client peut avoir des conséquences pour
d’autres, malgré le cloisonnement des espaces virtuels.
Risques techniques
Des sauvegardes doivent permettre de récupérer les données en cas d’incident technique.
BEC 37
Difficultés de réversibilité
Si le client souhaite rapatrier ses données du « data center » sur son propre système
d'information même si les contrats prévoient une clause de réversibilité.
VPN
Certificats électroniques par une entité de certification
Cryptage
Hachage du message
BEC 38
Les différents types de cloud
Cloud privé
Cloud privé : constitue un accès sur serveur distant, accessible via internet afin de stocker
en externe, données et/ou applications, est mis à disposition d’une seule entreprise.
Intérêt
Les ressources en question peuvent être situées au sein même des locaux de
l’entreprise ou bien chez l’ESN qui va se charger du cloud
Les coûts de cette modalité, plus sécurisée, plus adaptée aux besoins ou conditions
spécifiques de l’entreprise, sont forcément plus élevés
Cloud public
Cloud public : matériel et services à distance fournis et mis à disposition par un prestataire
pour plusieurs entreprises.
Intérêt : le cloud public permet à l’entreprise un accès aux mêmes ressources et services
applicatifs. Le coût est alors moindre.
Cloud hybride
Cloud hybride : cloud privé interne géré par un tiers ou cloud hébergé (cloud privé hébergé
par un tiers.) Le coût se situe entre le cloud privé et le cloud privé.
BEC 39
Software As A Service (Saas)
Saas : mode de distribution en cloud computing – informatique en nuage - d’une solution
logicielle hébergée par le fournisseur (éditeur/intégrateur) qui en assure le bon
fonctionnement, laissant l’entreprise utilisatrice recentrer ses moyens humains sur son
cœur de métier.
Avantages
Virtualisation et externalisation
Economies de ressources
Diminution de l’investissement au profit de l’exploitation
Flexibilité
Mise à jour en temps réel
Pas de frais d’investissement
Paiement à l’utilisation et non par licence
Limites
Urbanisation du SI
Urbanisation du SI : approche top-down ayant pour objectifs de faciliter l’évolutivité et
l’adéquation des SI vis-à-vis des processus, de mettre en évidence les fonctions
transverses ou communes, les partager et de renforcer la cohérence du SI.
BEC 40
Urbaniser ne consiste donc pas à se défaire du parc existant pour en constituer un
nouveau, mais à le faire évoluer (conserver certaines des solutions logicielles, une partie
du matériel, etc.) au regard des objectifs stratégiques poursuivis par l’entreprise.
2) Concevoir un SI cible aligné sur les objectifs métiers et conformes aux règles de
l’urbanisme
BEC 41
Site central d'hébergement
Site central d'hébergement : le fait de mettre à disposition des créateurs de sites Web des
espaces de stockage sur des serveurs sécurisés, afin que les sites internet en question
puissent être accessibles sur le web.
Avantages
Limites
BEC 42
Virtualisation des serveurs
Virtualisation des serveurs : le fait de faire fonctionner plusieurs serveurs virtuels sur un
serveur physique. L’objectif est de mutualiser les capacités de chaque serveur, permettant
à l’entité de réaliser des économies et de réduire les investissements en infrastructures
physiques.
Intérêt
La tolérance de panne permise par les dispositifs de haute disponibilité doit faire
diminuer voire disparaître les temps d’interruption de service et donc les coûts induits
par ces interruptions (impossibilité de travailler pour les utilisateurs, ralentissements du
travail etc.). Ces coûts cachés devraient donc disparaître ou fortement diminuer.
Infogérance
Infogérance : c'est l'externalisation du SI. On confie la responsabilité de tout ou partie du
SI à un prestataire qui s'engage sur un cahier des charges pour fournir à l'entreprise des
ressources matérielles, logiciels d'application et/ou le personnel nécessaire et qui facture.
Le périmètre d'externalisation peut inclure des matériels (sur site ou chez le prestataire),
de la maintenance, des réseaux informations et télécoms, l'architecture du SI, la
maintenance des applications existantes (TMA = Tierce Maintenance Applicative),
conception et développement d'applications nouvelles.
BEC 43
Le périmètre de l’externalisation
Il peut inclure :
Avantages
Limites
Méthode du calcul des coûts chez le prestataire qui peut être floue
BEC 44
Impacts sur le plan humain
L’externalisation peut être mal perçue par les salariés de l’entité qui externalise et
générer un conflit social.
Certaines organisations, après avoir externalisé, adoptent parfois une position inverse : le
back-sourcing.
Cette opération peut se faire soit par rupture du contrat d'externalisation soit à la fin
normale de ce contrat. La prise en compte de la réversibilité dès le début du contrat est
indispensable pour permettre la reprise éventuelle des activités externalisées, y compris
pour les confier à un autre prestataire.
2) Organiser la phase de transition (information des utilisateurs, transfert des actifs, mise
en place du suivi de l'exécution des contrats...)
BEC 45
3) Définition des modalités de contrôle de la prestation et des sanctions éventuelles
L’engagement doit reposer sur des responsabilités mutuelles définies et mesurables par
des indicateurs.
Pour développer une relation stable entre les deux parties, il faut au préalable
communiquer les bonnes données et avertir de tout changement.
En régie
BEC 46
Au forfait
Il y a obligation de résultat pour le prestataire, à charge pour lui de mobiliser les moyens
nécessaires. Cela implique pour le client d’être attentif à ce qui est n’est pas compris dans
le forfait.
Coûts indirects
=> Le loyer remplace les immos donc diminution des coûts financiers (intérêts) et des
coûts d'opportunité.
BEC 47
Avantages
Gain de sécurité
Périodiquement, des données sensibles sont envoyées en broadcast sur le réseau par les
machines (et plus particulièrement les serveurs).
Les VLAN permettent d’isoler les serveurs dans un même domaine de broadcast et de les
isoler par service.
Les VLAN apportent donc une grande flexibilité dans la gestion des réseaux ; les
utilisateurs pourront être regroupés selon leur centre d’intérêt. Les VLAN sont réalisés
sur une architecture commutée et le concept de VLAN est applicable dans un même
bâtiment, entre plusieurs bâtiments ou sur un réseau WAN.
BEC 48
Limites
Complexité
L’utilisation de VLAN engendre malgré une certaine complexité dans la configuration des
routeurs et de commutateurs et dans la gestion d’ensemble du LAN. Il faut parfaitement
connaitre les normes et les matériel, c’est donc un important effort de formation.
Débit important
Les échanges administratifs sur les réseaux locaux ne sont pas négligeables, au détriment
du débit utile :il faut en effet que les informations de VLAN soient échangées entre
commutateurs et vers les routeurs pour diffuser régulièrement les adresses MAC....
Délais
Lorsqu’une station est connecté à un commutateur, ce dernier peut mettre un peu de
temps avant de trouver à quel VLAN elle appartient de même lorsqu’une station est
déplacée d’un commutateur à un autre, il peut y avoir des problèmes dans la
reconfiguration.
Normes de routage
Les normes de routage cohabitent toujours avec des solutions propriétaires, ce qui peut
causer des problèmes d’interopérabilité si le matériel utilisé n’est pas homogène. Il faut
donc bien souvent changer tout le matériel actif déjà en place le remplacer par des
commutateurs dont le coût ne cesse d’augmenter avec l’arrivée de toutes ces
fonctionnalités nouvelles.
BEC 49
La sécurité des SI
Les risques à aborder
Confidentialité
Disponibilité
Les cyber-attaques
Cyber-attaque : une atteinte à des systèmes informatiques réalisée dans un but
malveillant.
Très dangereuse, l’intrusion d’un pirate peut permettre de récupérer ou supprimer des
données confidentielles, d’y déposer des virus ou des logiciels malveillants dans le but de
saboter le SI et le rendre inopérant.
La récupération de courriel
Elle est tout aussi dangereuse puisqu’elle signifie qu’un pirate peut intercepter le contenu de
messages, à caractère confidentiel, circulant sur le réseau Internet entre deux personnes de
la société. Pire, on pourrait imaginer que ce pirate usurpe l’identité de l’un deux et envoie
des messages falsifiés ou erronés aux personnels de l’entreprise dans le but de la déstabiliser
(ex : faire des demandes de virement au comptable).
BEC 50
Une attaque par déni de service
Elle consiste à saturer un serveur ou un site Web d’entreprise afin de le rendre non
opérationnel (empêcher les utilisateurs légitimes d’un service de l’utiliser ou de perturber
les connexions entre les machines).
Ce type d’attaque attaque peut ainsi bloquer un serveur de fichiers, rendre impossible l’accès
au serveur Web ou empêcher la distribution de courriels dans une entreprise. Ce type de
cyberattaque peut paralyser le site Internet d’une entreprise et empêcher ses partenaires
d'accéder aux ressources mises en ligne.
VPN : tunnel sécurisé établi entre deux sites lors d’un échange qui s’appuie sur le réseau
Internet. Les informations sont cryptées à l’entrée et décryptées à la sortie. La sécurisation
s’effectue par une clé de session (cryptage symétrique) préalablement envoyée par
cryptage asymétrique.
BEC 51
La sécurité des SI
6. L'envoi via un VPN suppose une clé de session
7. L'émetteur va générer un couple de clés identiques en vue d'un chiffrage symétrique.
8. Il va transmettre une de ces deux clés à sa division au moyen d'un cryptage asymétrique.
Pour cela, l'émetteur va crypter la clé de session avec la clé publique du récepteur et lui
envoie
9. À réception, le destinataire utilisera sa clé privée (que lui seule possède) pour déchiffrer la
clé de session reçue
10. Les 2 sites possédant la même clé de session, l'échange crypté en asymétrique peut
débuter
DMZ : zone tampon isolée du réseau privé de la société hébergeant des applications et des
données mises à disposition du public, tous les serveurs contenant les applications
importantes de l’entreprise et son site Web.
Serveur tampon : serveur qui va filtrer et nettoyer le trafic et permettre que les requêtes
malveillantes ne touchent pas le serveur visé.
Adopter une architecture composée de plusieurs serveurs offrant le même service, gérés
de sorte que chaque client ne soit pris en charge que par l’un d’entre eux, ce qui permet
de répartir les points d’accès aux services et en cas d’attaque d’avoir un ralentissement «
acceptable »
Identifier et bloquer les adresses IP dont proviennent les attaques au niveau du pare-feu
ou du serveur. Cependant lorsque les attaques par déni de service sont distribuées cette
méthode n’arrête pas l’attaque mais permet de la limiter
Mettre en place une politique de continuité d’activité destinée à élaborer des processus
d’urgence et à définir les personnes à contacter en cas de perturbation, tout en
sensibilisant les utilisateurs
BEC 52
La sécurité des SI
Recommandations et précautions à prendre
L’ingénierie sociale s’appuie sur l’absence de méfiance des utilisateurs pour contourner les
protections.
L’intelligence économique permet d’obtenir des informations par l’écoute passive ou dans
des situations en apparence anodines.
L’intrusion des outils grand public dans l’environnement professionnel (tablettes, mobiles…)
est une nouvelle menace.
Le patrimoine scientifique et technique est une richesse qui doit être protégée.
Le management de la sécurité
BEC 53
Audit, conseil et reporting des SI
NPS (Net Promotor Score)
NPS : c'est le pourcentage de clients qui évaluent leur probabilité de recommander une
entreprise
Missions de l’auditeur
Les logiciels d’AAO ont pour avantage d’assurer l’intangibilité des données (une fois les
données incorporées aux, les données ne sont plus modifiables), une conservation des
étapes des contrôles, un caractère systématique des données contrôlées, une efficacité
dans les contrôles.
l
BEC 54