Gestion de la performance et sécurité des systèmes d'information

Ce cours s’inscrit dans le cadre de la réforme des études comptables.

Il correspond aux chapitres 4, “Gestion de la performance informatique” et 5, “Sécurité des systèmes informatiques” du programme du DSCG.

Pour éviter de trop longs développements techniques, un léger élargissement du programme permettra de replacer les thèmes imposés dans un contexte de bonnes pratiques de gestion et de la conformité aux principaux référentiels internationaux.

Les effectifs le permettant, il n’y aura pas de différence pratique entre Cours et Travaux Dirigés, le passage de l’un à l’autre se faisant en fonction de l’avancement dans le programme.

Un site Web d’accompagnement offre à l’étudiant : des informations sur le déroulement du cours, un forum de questions-réponses, une bibliographie, une webographie, les documents du cours, quelques documents complémentaires ou liens pouvant faire l’objet de cas.

Il comprend également des annales des sujets des années précédentes et des questionnaires permettant à l’étudiant de suivre ses progrès. Pour chaque thème, quelques références sont proposées aux étudiant(e)s qui souhaiteraient approfondir le sujet. Tous ces ouvrages sont présents à la Bibliothèque de l’IAE.

L’évaluation des étudiants est un contrôle continu, couplant des travaux individuels (apports au site de support de cours, réponses à des questionnaires en ligne) et collectifs (travaux sur les ressources informationnelles en ligne, collation de cas d’évaluation de systèmes d’information).

TITRE 1 : GESTION DE LA PERFORMANCE INFORMATIQUE (17 H)

1.1 INTRODUCTION - L’IMPACT ÉCONOMIQUE DU SI

Le paradoxe de l’informatique (et sa fin)

Productivité, comparaisons internationales

Vision micro-économique : alignement stratégique et valeur des SI, facteurs de coût, coûts cachés, gains directs, facteurs de conversion moyens – résultats

Références complémentaires : sur le plan macroéconomique, voir Brynjolfsson, E. T. and A. McAfee (2012). Race Against the Machine, Digital Frontier Press, un peu tendancieux par moments. Et, plus concret et microéconomique, Marca, J.-P. (2008). Dimension économique des systèmes d'information. Paris, Hermès Lavoisier.

Cas : The Web Index, et The Economist Intelligence Unit – ICT Globalization Index 2014

1.2 THÉORIES, MÉTHODES, RÉFÉRENTIELS

Apport des travaux académiques, consultants et méthodes

Concept de référentiel SI, quelques exemples

Normes et Systèmes de Management

Références complémentaires : de Vaujany (2009). Les grandes approches théoriques du système d'information. Hermès Science Publications. CIGREF (2009). Les référentiels de la DSI. Etat de l'art, usages et bonnes pratiques. CIGREF. Sidi, J., M. Otter, et al. (2006). Guide des certifications SI : Comparatif, analyse et tendances ITIL, CobiT, ISO 27001, eSCM... Dunod. Alban, Dagorn & Eynaud, « chap 14, audit du SI » in Thévenot 2011.

Cas : aperçu du document Cigref et de la vidéo correspondante. Visite des sites AFAI et ISACA. Préparation du travail à effectuer sur Wikipédia.

1.3 DIFFUSION DES USAGES

Le SI comme système socio technique

Diffusion de l’innovation, appropriation des TI

Satisfaction de l’utilisateur et performance organisationnelle

Implication de l’utilisateur et gestion du changement

Références complémentaires : Thévenot & Gerbaix, « chap. 7, Accompagnement du projet SI », in Thévenot 2011. de Vaujany, F.-X. (2009).

Les grandes approches théoriques du système d'information. Hermès Sciences (partie I) et Kéfi, H. and M. Kalika (2004). Évaluation des Systèmes d'Information : une Perspective Organisationnelle. Economica (pour la revue de littérature de recherche consacrée à l’évaluation sous ses formes variées).

Cas : questionnaire du Technology Acceptance Model. Cas Utilisabilité – Perceived Ease of Use

1.4 LA GESTION DES SERVICES : IT SERVICE MANAGEMENT

Le référentiel ITIL

La fonction support, la fourniture des services, les indicateurs

L’engagement de service / le contrat de service

Extension normative ISO 20000

Références complémentaires : Chamfrault, T. & C. Durand (2011). Les services agiles et la gouvernance des SI. Dunod. (parties II et III + complément Retours d'expérience basés sur ITIL v3). Baud, J.-L. (2012). ITIL V3 - Mise en œuvre de la démarche ITIL en entreprise. Paris, ENI Editions, et Quesnel, J. (2012). Comprendre ITIL 2011 - Normes et meilleures pratiques pour évoluer vers ISO 20000. Paris, ENI Editions.

Cas : Tickets d’intervention. Exemple de questionnaire en ligne de certification ITIL.

1.5 PORTEFEUILLE DE SERVICES

Portefeuille de services / d’applications – alignement stratégique

Évaluation des projets : business case, risques, tableau de bord de projet SI

Portefeuilles de projets, programmes, paradoxe de Keen

Références complémentaires : Morley, C. (2012). Management d'un projet système d'information : Principes, techniques, mise en œuvre et outils. Paris, Dunod, et Brongniart, O., et al. (2012). Gestion de portefeuille de projets : au service de la compétitivité. Paris, Hermès Lavoisier. Kloetzer, H. (2015).

La maîtrise d'ouvrage dans les projets informatiques. Hermès Lavoisier. Sevin, X. (2015). De la gestion de portefeuille de projets à la gestion de projets. ENI Editions.

Cas : Refonte d’applications émergentes et/ou Points de fonction + Programme Investissement SI

1.6 LE SUIVI BUDGÉTAIRE DE LA FONCTION SI

Périmètre, choix de l’outsourcing, cloud, référentiel e-SCM

Apports du COBIT : budget CAPEX, comptabilisation et refacturation OPEX

Analyse ABC/ABM (référentiel CIGREF)

Tableau de bord de la DSI

Références complémentaires : Legrenzi, C. & J. Nau (2012).

Le contrôle de gestion du SI. Méthodes et outils pour la maîtrise des coûts informatiques. Dunod. Alternative : Treyer, J. and O. Brongniart (2010). Modèle économique de la DSI : les clés de la performance. Paris, Hermès Lavoisier. Complément : Plouin, G. (2011). Cloud Computing. Une rupture décisive pour l'informatique d'entreprise. Paris, Dunod.

Cas : ABC - Valorisation du catalogue de services

TITRE 2 : SÉCURITÉ DES SYSTÈMES INFORMATIQUES

2.1 SMSI : SYSTÈME DE MANAGEMENT DE LA SÉCURITÉ DE L’INFORMATION

La vulnérabilité du SI (rappels du programme DCG et compléments)

Risk management et Système de management ISO 27000

Méthodes d’analyse et leurs outils : MEHARI

Vision d’audit avec CobiT

Références complémentaires : Thévenot, J., Ed. (2011). Systèmes d'Information. Master. Paris, Eska (Chapitre 15), Fernandez-Toro, A. (2012).

Management de la sécurité de l'information. Implémentation ISO 27001 et audit de certification, Eyrolles et Fernandez-Toro, A. (2015).

Sécurité opérationnelle : conseils pratiques pour sécuriser le SI, Eyrolles, Bloch, L., C. Wolfhugel et al. (2011). Sécurité informatique. Principes et méthodes à l'usage des DSI, RSSI et administrateurs. Paris, Eyrolles, Féral-Schuhl, C. (2010). Cyberdroit : Le droit à l'épreuve de l'internet. Paris, Dalloz.

Applications : analyse des deux derniers rapports CLUSIF et recherche des nouvelles vulnérabilités. Aperçu des outils de la méthode MEHARI.

2.2 DÉMATÉRIALISATION, SIGNATURE ET CONFIANCE

Le besoin de dématérialisation : aspects pratiques et juridiques

Principes de cryptographie : symétrique, asymétrique.

Certificats, infrastructure à clefs publiques, signature, blockchain

Paysage de la dématérialisation : tiers de confiance, archiveurs…

Références complémentaires : Mouton, D. (2012). Sécurité de la dématérialisation Paris, Eyrolles, et Rietsch, J.-M., N. Morand-Khalifa, et al. (2010).

Mise en œuvre de la dématérialisation. Cas pratiques pour l'archivage électronique. Paris, Dunod.

Application : obtention de certificats, chiffrement de documents, chiffrement et signature de courriels.

2.3 PLAN DE CONTINUITÉ D' ACTIVITÉ

Principes et objectifs de la continuité d’activité

Solutions techniques de secours

Palliatifs juridiques et assurantiels

Mise en place et évaluation du PCA

Audit et contrôle

Référence complémentaire : Bennasar, M. (2010), Plan de continuité d'activité et système d'information : Vers l'entreprise résiliente, Paris, Dunod.

Gestion de la performance :

- définition des indicateurs de performance : Cf. chapitre 1.1 (évaluation macro-économique) et chapitre 1.3 (usages) pour les niveaux 2 et 3

- contrat de service : cf. chapitre 1.4

- les coûts et leur réduction, les budgets : Cf. chapitre 1.6

- évaluation des projets informatiques : cf. chapitre 1.5

Architecture technique et sécurité :

- L’architecture technique ne fait l’objet que de rappels, car ceci a été vu en Licence 3

- Architecture de confiance : Cf. chapitre 2.2 pour le niveau 1. Complété par la pratique de l’usage des clés.

- Surveillance et prévention : le niveau 1 a été vu partiellement en Licence 3. Le chapitre 2.1 traite du système de management de la sécurité et des méthodes d’évaluation des risques (ISO 27000). La continuité d’activité (niveau 2) est traitée en 2.3.

Le cours s’appuie en partie sur l’ouvrage : Gillet, M. & P. Gillet (2013), Management des systèmes d'information, DSCG 5 : Manuel et applications, Paris, Dunod, chapitres 10 et 11, et sur son complément de cas pratiques publié en 2009. Le faible volume des manuels disponibles pour le module DSCG 5 oblige à trouver des compléments dans des ouvrages plus généraux, dont :- Laudon, K. C.et J. P. Laudon (2010 ou 2013).

Management des systèmes d'information. Paris, Pearson Education. Les chapitres 2, 13 et 14 traitent du problème de l’évaluation, le chapitre 8 de la sécurité.

- Thévenot J. (sous la direction de, 2011). Master. Systèmes d’information. Paris, Eska. Les chapitres 13 à 16 traitent de l’évaluation, de l’audit et de la sécurité des SI, le chapitre 7 des facteurs favorisant l’usage des SI. Le reste peut être consulté avec profit.

Pour chaque thème, une ou deux références plus adaptées seront proposées. Un remarquable complément à ce module peut être trouvé dans : Caseau, Y. (2007). Performance du Systeme d'Information

- Analyse de la Valeur, Organisation et Management. Paris, Dunod. Un ou deux des “récits” qui débutent chaque chapitre seront utilisés comme base de discussion. L’ouvrage a été réédité en 2012 sous le titre Le S.I. démystifié. Neuf scènes de la vie quotidienne d'un DSI, chez le même éditeur. Plus “grand public”, l’ouvrage Meston, F., H. Nora, et al. (2002).

Mirages et miracles des technologies de l'information. Paris, Village Mondial peut apporter un éclairage critique sur les dérives qui avaient alimenté la bulle Internet et qui n’ont pas disparu.