RefDSI Dauphine J3NNC 2022

Jour 2
360°
de la gouvernance
Suite et fin
Franck Wulfowicz
Jean-Marc Montels
Maximilien Stebler V2 – 2022
GOUVERNANCE, CONTRÔLE ET
RISQUES DES SYSTÈMES D’INFORMATION
• Exemple de la loi de sécurité financière Sarbanes - Oxley
• Introduction au 360°de la gouvernance (Gestion de risque vs

opportunités, Compliance, …)
• Les 5 piliers de la gouvernance
• Pilier 1 : Alignement stratégique
• Pilier 2 : Création de valeur
• Pilier 3 : Gestion des ressources
• Pilier 4 : Gestion des des risques
• Pilier 5 : Mesure de la performance
2
Plan du cours n°2
GOUVERNANCE du SI
ØLes 5 piliers de la gouvernance
• Alignement stratégique
• Création de valeur
• Gestion des ressources
• Gestion des risques
• Mesure de la performance
ØFocus sur la sécurité

• Actifs immatériels, capital informationnel
• Qui contrôle l’information, qui contrôle les systèmes ?
• Les différentes préoccupations de la sécurité du SI
• Sécuriser, contrôler, gouverner
3
GOUVERNANCE DU SYSTÈME D’INFORMATION
GESTION DES RISQUES
Ø La gestion des risques consiste à prendre d’abord conscience de l’ensemble des

menaces auxquelles est exposé le SI et d’essayer dans la mesure du possible de les
contrôler
Ø Dans ce contexte, le référentiel des bonnes pratiques ISO 27002 fournit les bonnes
pratiques pour implémenter un système de management de la sécurité de
l’information
Ø D’une manière générale l’ensemble des référentiels ISO 27000 s’intéressent au

management de la sécurité du système d’information
4
GESTION DES RISQUE
Risques pour le système d’information
RISQUES SI
Alignement stratégique (combine plusieurs des Objectif

thèmes ci-dessous)
Non opportunité (risque projet)
Non aboutissement (risque projet ou processus) Facteurs
de risque
Commercial Risque
Financier
Technologie(s)
Qualité de l’information (processus d’entreprise)
Risque
Protection de la donnée et de son cycle de vie
Protection des traitements et de leur conformité
Réglementations applicables Facteurs
Protection juridique de risque
Scénario
5
La sécurité du système d’information
POINT FOCAL DE LA GOUVERNANCE DU SI
vRAPPEL : LA DSI GÈRE PLUSIEURS SORTES D’ACTIFS :
q Matériels et Logiciels (actifs corporels et incorporels)

Ø financement avec engagements à moyen terme enregistrés dans les comptes de l’entreprise en
tant que coût (dépenses, immobilisations)
q Données et Traitements
Ø processus et procédures non valorisés en tant que tels dans les comptes de l’entreprise qui sont la
réelle valeur du SI
Ø Cette valeur peut être approchée par la valeur portée par les données (volume financier des
commandes, factures, etc., mais aussi valeur des plafonds d’indemnisation prévus par les
assurances Tous risques informatiques côté clients ou Responsabilité Civile Professionnelle côté
fournisseurs)
6
ILLUSTRATION : THE SARBANES-OXLEY ACT
Rappel SOX : Pourquoi le SI est-il concerné ?
Risque Gouvernance politique et

économique économique
Gouvernance des marchés

Perte de financiers d’actions Scandales
confiance des financiers
investisseurs Gouvernance financière
d’entreprise
Contrôle de l’information
financière d’entreprise
Contrôle des systèmes

d’information financière
7
CONTRÔLE DE L’INFORMATION, CONTRÔLE DES SYSTÈMES
vPRINCIPE : DONNÉES ET TRAITEMENTS SONT UNE IMPLANTATION AUTOMATISÉE DES ACTIVITÉS DES
MÉTIERS ET SERVICES
OP1 OP2 F()
D DAF
S
Propriétaire des
Infrastructures SI Propriétaire appli
& données métier
RH
I DJ
DIRECTIONS
FONCTIONNELLES &
OPERATIONNELLES
LA GOUVERNANCE DISSOCIE LES CONTENUS ET LES CONTENANTS

• Le service SI résultant est une coproduction des métiers et de l’IT
• Un propriétaire unique amène des défauts techniques ou/et fonctionnels
• Couplage infrastructures-applications reste fort, surtout en termes de sécurité
• Le besoin d’administration technique des systèmes est du coup un facteur de risque parce qu’il peut conduire à cumuler tous les
privilèges (tous les droits)
8
LES PRINCIPAUX RISQUES LIÉS À LA SÉCURITÉ DU SI
M RISQUES FACTEURS DE RISQUE
MSystèmes non disponibles ou non ' Obsolescence ou inadéquation des matériels,

accessibles
logiciels, documentation
MTraitements non-conformes ou non
fiables ' Politique de sécurité inadaptée
MDonnées incorrectes ou corrompues ' Absence de processus de validation (plan de
test, tests, corrections)
MMalversations, escroqueries ' Modifications hors de contrôle des processus
validés, notamment les applications testées et
MVol de données validées
' Non respect des séparations de pouvoirs au sein
MVol autres composants des applications

' Intrusions ou/et usurpation d’identités, déni de
service
9
TROIS NIVEAUX DE PRÉOCCUPATIONS
REACTION AU
CTRL DES FACTEURS DE RISQUE
RISQUE REALISE
ACCESSIBILITE INTEGRITE PERENNITE
Backup
Physique Composants
& Recovery
Disaster
Logique Données Recovery Plan
(PRA/PCA)
10
ILLUSTRATION DU COUPLAGE DES FACTEURS DE RISQUES
ACCESSIBILITE INTEGRITE
PHYSIQUE LOCAUX, ARMOIRES
RESEAU
BI
&
Reporting
Conso
Logistics
LOGIQUE APPLICATIONS
Group
Org. Finance
ACCES DIRECTS / PRIVILEGES
DONNEES
METIER
DONNEES
DONNEES
SYSTEMES
SECURITE
11
MANAGER LA SÉCURITÉ DU SI
SECURISER
ØMettre en place les mesures répondants aux
exigences de gouvernance
MESURER Détection des

Mesures anomalies et
correctives ØVérifier leur adéquation, pertinence et des non-
efficience conformités
AJUSTER
ØRéviser, améliorer et adapter
12
IMPLANTER
ACCESSIBILITE IMPLANTATION
• Badges, clés, contrôle d’accès
LOCAUX, ARMOIRES
• Alimentation courants forts/faibles
PHYSIQUE
• Température, humidité
____________________________________________________________________________
• Identification, droits sur ressources

RESEAU • Firewalls, antivirus
• Sauvegarde des configurations
____________________________________________________________________________
• Identification, droits applicatifs

• Sauvegarde des données
LOGIQUE APPLICATIONS
• Sauvegarde des traitements
____________________________________________________________________________
• Identification, type de privilège

ACCES DIRECTS / • Sauvegarde données de sécurité
PRIVILEGES
13
CONTRÔLER
ACCESSIBILITE CONTROLE
• Audit et test des accès et moyens d’accès
PHYSIQUE LOCAUX, ARMOIRES • Audit conditions physiques
____________________________________________________________________________
• Revue et test des identités et des droits

RESEAU • Ctrl des sauvegardes
• Test de restauration
____________________________________________________________________________

• Ctrl des sauvegardes
LOGIQUE APPLICATIONS • Test de restauration
____________________________________________________________________________

• Ctrl des sauvegardes
ACCES DIRECTS / • Test de restauration
PRIVILEGES
14
ZOOM SUR CERTAINS CONTRÔLES REMARQUABLES
ACCESSIBILITE CONTROLE
PHYSIQUE LOCAUX, ARMOIRES • Système de contrôle d’accès et

fourniture des fluides (courants
forts/faibles, climatisation, …) souvent
géré par Services Généraux
____________________________________________________________________________
RESEAU
• Environnements multiples avec droits
adaptés selon population
• Maîtrise des flux inter-environnement
(mise en test, mise en production)
LOGIQUE APPLICATIONS • Programmes et outils adoptants
• Habilitations et monitoring des actions
sur les données à l’aide de tels outils
• Monitoring et revue des actions
ACCES DIRECTS / d’administration
PRIVILEGES
15
SUIVI OPÉRATIONNEL : MONITORING ET TRAÇABILITÉ
ACCESSIBILITE INTEGRITE
Unicité des comptes utilisateurs par ressource • Existence et diffusion d’une charte d’utilisation
des moyens informatiques
Structure et péremption des mots de passe,
limitation du nombre de tentatives d’identification • Application régulière et contrôlée des correctifs
logiciels
Succès/échecs d’authentification à tous niveaux :
physiques, réseau, applications • Sauvegardes régulières et contrôlées
Affectation des droits et revue périodique par le • Traitements automatiques et leurs conditions
management des habilitations, droits et privilèges d’exécution validés par les parties prenantes
Inactivation des comptes par défaut • Etapes clés du cycle de développement des
Inactivation des comptes non utilisés depuis une systèmes et applications : livrables, tests, …
période donnée • Etapes clés du cycle d‘exploitation : incidents,

Suppression immédiate des comptes au départ des demandes, maintenance, changements, …
collaborateurs de la société
16
SUIVI OPÉRATIONNEL, AUDIT ET PLAN DE PROGRÈS
Ø Le monitoring et la traçabilité des décisions et actions sont les conditions de base du

plan de progrès en matière de sécurité du SI
Ø Les incidents et anomalies suivent le cycle standard de traitement des incidents

d’exploitation (revue, diagnostic et correction des incidents, ou gestion en tant que
problème si récurrent ou potentiellement récurrent)
Ø Ce suivi est complété par un audit périodique (annuel ou bi-annuel) de forme et de

fond :
• Forme : existence des procédures applicables aux différents thèmes de sécurité du SI : gestion
des comptes et des droits, privilèges, cycle de vie, mise en production, etc.
• Fond : application effective desdites procédures, preuves de leur application
17
SUIVI OPÉRATIONNEL, AUDIT ET PLAN DE PROGRÈS
Ø L’audit relève les exceptions constituant les non-conformités

Ø Il se base généralement sur un questionnaire d’enquête (audit de forme) accompagné de tests très
ciblés (audit de fond).
• Par exemple, confronter les comptes actifs avec la liste du personnel et ses entrées/sorties, vérifier les
conditions de création et suppression des comptes
Ø Le plan de progrès concerne :
• Les défauts de forme : procédures absentes, inadaptées ou non applicables
• Les défauts d’application des procédures : les exceptions dues à un défaut de contrôle, à une difficulté
technique (outil inadapté, données incorrectes), à un défaut dans la chaîne de décision (hors délai,
contributeur défaillant),etc.
Ø Le plan de progrès prévoit des échéances de correction échelonnées:

• Immédiate pour les actions correctives du passé (exemple : suppression des comptes non utilisés ou des
personnes parties)
• Différée pour les actions nécessitant une élaboration (outil, procédure, …)
18
NE PERDEZ PAS DE VU QUE…
Ø Les opérations visant à nuire aux entreprises par le « piratage » des Systèmes
d’Information reposent sur des actions techniques informatiques qui exploitent des
failles de l’organisation cible
• Les failles techniques des logiciels sont généralement traitées par les correctifs publiés par les
éditeurs, mais en temps différé.
Ø Les attaques utilisent le réseau pour atteindre les points névralgiques

• La connaissance de la topologie et l’organisation du réseau est nécessaire; il faut donc l’explorer
ou obtenir par d’autres biais les informations qui permettent d’en identifier les points
névralgiques
19
NE PERDEZ PAS DE VU QUE…
MUNE ATTAQUE «QUI MARCHE», C’EST 80% DE SOCIAL ET 20% DE TECHNIQUE
MLA MAJORITÉ DES SINISTRES ONT UNE ORIGINE INTERNE À L’ENTREPRISE
èOrganisation rigoureuse de la sécurité (chacun ne voit que ce dont il a besoin ,

privilèges limités à un nombre restreint de personnes et révisés régulièrement,
portes dérobées neutralisées, correctifs appliqués)
è Education des utilisateurs à la confidentialité des aspects IT
20
Votre mot de passe, c'est

Exe
mp
comme votre brosse le
à dents
1. Il se change régulièrement
2. Il ne se partage pas
3. Il se choisit avec soin
21
Et vous, qu'est ce que

Exe
mp
vous ne partageriez pas ? le
1. Un document ne se partage pas avec n'importe qui

2. Soyez attentif aux destinataires des documents
3. Evitez les situations embarrassantes
22
Félicitations ! Vous avez
gagné un téléphone !
Exe
mp
le
1. Attention au piratage par e-mail

2. Si c'est trop beau pour être vrai, ne
cliquez pas
3. Si l'expéditeur vous est inconnu,
lisez le message avec attention
4. En cas de doute, contactez votre
Responsable Informatique
Effectuez vos paiements
sur des sites sécurisés Exe
mp
le
1. Vérifiez la présence du cadenas et

du « HTTPS »
2. Pour tout paiement assurez-vous de
recevoir un code de confirmation
par SMS
3. En cas de doute vérifiez le titulaire
du certificat SSL
N'acceptez pas sur les réseaux
sociaux ce que vous
n'accepteriez pas dans la vraie Exe
vie mp
le
1. N'en dites pas trop sur les réseaux

sociaux, ça n'intéresse pas que vos
amis
2. Respectez la vie privée, la vôtre et
celle des autres
3. Vos données personnelles peuvent
être utilisées à votre insu
Mettez à jour vos ordinateurs,
smartphones et tablettes, ils
seront moins vulnérables Exe
mp
le
1. Installez les mises à jour de vos

appareils régulièrement
2. Pensez à les faire sur vos
smartphones
3. Vos données méritent la
protection la plus récente
Un e-mail qui éveille le doute ?
Ne jamais cliquer sur un lien
ou une pièce jointe !
Exe
mp
le
1. Ne laissez pas l'émotion guider

vos actions
2. Vérifiez l'adresse e-mail de
l'émetteur
3. Vérifiez la cohérence de la
demande
Moi, on me la fait pas !
Je suis prudent : je
change régulièrement
mon mot de passe. Un coup c’est 0000, Exe
le suivant c’est 1234 mp
le
1. Le code PIN par défaut de votre carte

SIM doit être changé
2. Evitez les mots de passe trop simples
3. Renforcez la sécurité de votre
téléphone avec un code de
verrouillage
Deux objets que l’on n’utilise
pas sans connaître leur
provenance
Exe
mp
le
Virus, vol de données

N'utilisez pas des clés USB inconnues :
ça peut faire des dégâts
Ben oui, j’ai
ouvert la pièce …mais pas
jointe… longtemps !! Exe
mp
le
Les pièces jointes sont le premier

vecteur de contamination des
ordinateurs
1. Vérifiez l’expéditeur de l’email

2. Cliquez toujours avec discernement
sur les liens et les pièces jointes
Exe
mp
le
31
32
FIN
DE LA
PARTIE 2
33
Mots de passe : combien de temps faut-il pour cracker vos identifiants 07/10/2022 15:21
Mots de passe : combien de temps

faut-il pour cracker vos identifiants
Pierre Otin 30 mars 2022 à 09:00
La société Hive Systems a publié récemment des données qui font froid
dans le dos en matière de sécurité informatique. Précisément, dans son
dossier, la firme rend compte du temps dont a besoin un algorithme pour
forcer un mot de passe selon la longueur et la complexité de ce dernier. Et
autant vous le dire tout de suite, si vous avez des mots de passe qui
font moins de 10 caractères, changez-les rapidement.
De quelques secondes à plusieurs milliards

d’années
La source a publié un tableau très parlant. Dans ce dernier, visible ci-
https://www.iphon.fr/post/combien-temps-pour-craquer-identifiants-mots-de-passe Page 1 sur 5

dessous, on retrouve, selon le nombre de caractères du mot de passe et

le fait qu’il soit complexe ou non (emploi des majuscules, des minuscules,
de nombre et de symboles), la durée nécessaire pour retrouver la formule
secrète grâce à la méthode dite de force brute.
On le rappelle, cette technique est la plus simple pour trouver un mot de

passe. Elle utilise le stratagème suivant : essayer toutes les combinaisons
possibles une à une avant de tomber sur la bonne. Le programme
effectuant ces tentatives peut réussir plus ou moins rapidement selon les
composants qui sous-tendent son fonctionnement. Plus le PC employé
pour forcer un mot de passe de cette façon contient de cartes graphiques
par exemple, plus il pourra rapidement trouver la solution.
Quoi qu’il en soit, retenez que sous un certain seuil en matière de nombre
de caractère et de complexité, votre mot de passe ne vaut rien.
Selon Hive Systems, donc, cette limite ce situe vers les 10 ou 11

caractères, à à condition d’utiliser une combinaison de majuscules et de
minuscules, entremêlée de chiffres et de symboles.

© Hive Systems
Quelques exemples :
un mot de passe de 12 chiffres peut être cracké en 2 secondes

un mot de passe complexe de 10 caractères peut être cracké en 5
mois
pour un mot de passe complexe de 18 caractères, vous êtes
tranquille, il faudrait 438 billions d’années à l’algorithme pour le
retrouver

Il est conseillé pour ses mots de passe de se situer dans le vert dans le
tableau, et donc d’utiliser au moins 16 caractères.
Quelques astuces pour des mots de passe

sécurisés
Mais comment faire pour se souvenir de mots de passe aussi longs ? Il y a
plusieurs façons de faire. Certains spécialistes en sécurité informatique,
comme Edward Snowden, entre autres, conseillent d’utilise des phrases
de passe plutôt que des mots de passe. Par exemple :
“ceciestunsupermotdepassequepersonnenetrouvera”. Ce mot de passe
fait 45 caractères, il est donc très sécurisé. Mais il a une faiblesse, il est
constitué de mots communs qui s’enchaînent selon la logique de la langue
française. Préférez plutôt des mots sans rapport, et ajoutez des symboles
et chiffres : “$ceciest1supermot2passequepersonnenetrouvera!” ou
encore “bleuPLUIEjourPOISSON1$!”.
Autre technique intéressante et encore plus sûre : utiliser un gestionnaire

de mot de passe. Nous vous en avons présenté quelques-uns ici, qui
contrairement à 1Password, la référence en la matière, fonctionnent sans
abonnement récurrent. Vous avez là l’avantage :
de pouvoir mettre un mot de passe par compte : cela évite, lors

d’une fuite de mots de passe pour un site web, que vos autres
comptes avec le même mot de passe fuité soient mis en danger
de ne pas avoir à vous rappeler de tous les mots de passe,
uniquement du principal : en outre, l’application peut bien souvent
être protégée par Touch ID ou Face ID
Quelle est votre technique pour des mots de passe au top de la sécurité ?
i-nfo.fr - App officielle iPhon.fr
Par : Keleops AG

4.1 / 5
218 avis

Jour 3
Les Référentiels
Franck Wulfowicz
Jean-Marc Montels
Maximilien Stebler V2 – 2022
GOUVERNANCE, CONTRÔLE ET
RISQUES DES SYSTÈMES D’INFORMATION
Les Référentiels
Introduction
LeaderLeader
de la de la Direction
Direction desdes Systèmesd'Information
Systèmes d'Information
à Temps Partagé Augmenté ®
à Temps Partagé Augmenté ®
2
Plan du cours n°3
GOUVERNANCE du SI
Ø Reporting et Tableau de Bord de la DSI
• Spécificités du reporting relatif au SI
• Tableau de Bord de la DSI
Ø Lois, Référentiels normatifs et systèmes Qualité Industriels

• Lois et régimes de la propriété intellectuelle
• Législations relatives aux données personnelles
• Activités contrôlées et régulées
• Organismes de régulation
• Normes ISO et Système d’Information
Ø Référentiels Métiers des SI

• Orientations spécifiques des référentiels
3
Plan du cours n°3
GOUVERNANCE du SI


4
Reporting & Tableau de bord de la DSI
PE L MESURE DE LA PERFORMANCE
A P
R Ø Le SI doit être capable de mesurer la performance ou autrement dit surveiller
l’activité et contrôler l’aboutissement à l’atteinte des objectifs stratégiques de
l’entreprise par le biais de tableaux de bords et d’indicateurs pertinents afin
d’apporter de la visibilité par rapport à une situation quelconque
Ø La méthode du Balance Scorecard (ou Tableau de Bord Prospectif ou Tableau de bord

équilibré) présente une façon standardisée de construire des tableaux de bord de
mesure de la performance
5
TABLEAU DE BORD DE LA DSI
Ø Faire « parler » les indicateurs d’origine nécessite une élaboration fonctionnelle

(qu’est-ce que je veux obtenir comme information, qu’est-ce que je veux montrer) et
une ingénierie logicielle pour mettre en œuvre les outils d’automatisation
Ø Ces processus interviennent dans l’élaboration d’une information rendant intelligible l’activité de
la DSI à des personnes non informaticiennes.
Ø La compréhension de ces transformations est indispensable pour éviter le perte de sens et la

mauvaise interprétation du reporting
Ø Si l’on passe du reporting au tableau de bord (orientation décisionnel et pilotage), les décisions
prises sur la base de ces informations au plus haut niveau doivent pouvoir être traduite en
actions aux autre niveaux : il faut donc qu’ils disposent des informations opérationnelles de leur
niveau participant à la constitution de l’indicateur de plus haut niveau
6
Ø Le reporting de la DSI va chercher sa matière première dans les outils de supervision

qui monitorent les évènements des systèmes métier et infrastructures
Ø Nous sommes dans un monde logique et abstrait ou une exception (logique) peut en cacher une
ou plusieurs autres : au plan opérationnel, toujours investiguer complètement les événements
avant de les catégoriser (évite de ne pas voir plusieurs incidents combinés) qui fausserait les
indicateurs
7
BALANCE SCORECARD
Ø L’ensemble des indicateurs opérationnels et économiques de la DSI peuvent être

regroupés dans les 5 volets du Tableau de Bord de pilotage global (IT ScoreCard) :
Ø Contribution au Business
Ø Performance Economique
Ø Performance des processus informatiques
Ø Orientation « Clients »
Ø Apprentissage et préparation du Futur
Ø Un volet supplémentaire concernant la qualité de la « Gestion du risque » a été rajouté
8
BALANCE SCORECARD
Ø L’objectif principal de ce tableau de bord est de faciliter la déclinaison des objectifs

stratégiques de l’Entreprise en termes opérationnels et de suivre la progression des
« réalisations » pour l’atteinte des objectifs fixés à chaque niveau
Ø Dans ce but, chaque « volet » comprendra :

Ø Des objectifs : Description, enjeux,…
Ø Des Plans d’Action associés aux Objectifs : Description, résultats attendus, délais, moyens
alloués, responsable,….
Ø Des Indicateurs associés aux Plans d’Action permettant de mesurer la progression des résultats
vers la « cible » à atteindre
9
IT SCORECARD
Exploitation Direction
COMMUNICATION Clients internes
externalisée
DOSI
Générale
AUDIT
PERFORMANCE
VOLETS CONTRIBUTION ORIENTATION GESTION DU
FINANCE OPERATIONNELLE APPRENTISSAGE
BUSINESS CLIENT RISQUE
DES PROCESSUS
Contrôler les Avoir des

Formaliser les
OBJECTIFS Internationaliser
dépenses attentes
Applicatifs
Aligner avec les Mettre en Apporter un Livrer les projets
performants
Stratégies évidence Service bien ds les condit°
Business La valeur ajoutée perçu prévues
Etre disponible
METRIQUES Nb de platef.
normalisées
%Projets EC %Projets EC
Conf. Cycle Conf. Cycle
Projet Projet
Ratio Indice évol Existence

Dépenses IT
dépenses IT/CA Dépenses Process révis°
vs Budget
vs secteur DSI Budget
10
COMMUNICATION Clients internes
Exploitation
externalisée
DOSI
Direction
Générale
AUDIT
IT SCORECARD
PERFORMANCE
VOLETS CONTRIBUTION ORIENTATION GESTION DU
FINANCE OPERATIONNELLE APPRENTISSAGE
BUSINESS CLIENT RISQUE
DES PROCESSUS
Contrôler les Avoir des

OBJECTIFS Internationaliser Formaliser les Applicatifs
dépenses attentes
Aligner avec les Mettre en Apporter un Livrer les projets
performants
Stratégies évidence Service bien ds les condit°
Business La valeur ajoutée perçu prévues
Etre disponible
METRIQUES Nb de platef.
normalisées
Contributeur
Collecte de la valeur
(manuelle ou automatique)
Historique
Sous-indicateurs
Matrice d’évaluation
%Projets EC %Projets EC
Conf. Cycle Conf. Cycle
Projet Projet
Liens de
Ratio Indice évol ExistenceDépenses IT
causalité
dépenses IT/CA Dépenses Process révis°
vs Budget
ACTEURS
vs secteur DSI Budget
Cible
Tolérance
Commentaires
Responsable
Fiche
signalétique Plan d’action
Documents
Commentaires « Sponsor »
« Animateur » Collaborateur
11
MISE EN ŒUVRE
• La mesure de
Ø l’atteinte relative des objectifs (% par rapport à l’objectif)
est rapprochée du
Ø taux de consommation des ressources prévues (contrôle budgétaire IT, gestion du temps DSI,
autres ressources internes)
C’est l’expression de l’efficacité, c’est-à-dire la performance du processus de la DSI

existant « en vitesse de croisière ». Pour que cette mesure soit pertinente :
1. Définir le processus de la DSI
2. L’organiser sous contrainte des ressources de la DSI
3. Appareiller le reporting au travers de cette organisation
12
Ø Balanced Scorecard articule une vision d’entreprise et une vision opérationnelle sur le
SI. Il existe peu d’indicateurs universels à ce niveau
Ø Les objectifs fixés pour les 5 principaux volets sont le résultat d’une démarche
concertée entre la DSI et ses Clients, sous le contrôle de la Direction Générale. La DSI
peut porter elle-même la démarche
Ø Certains des objectifs exprimés au niveau Entreprise nécessitent des collaborations

internes, des sondes spécifiques ou des retraitements d’indicateurs opérationnels :
Ø Temps nécessaire à créer une commande
Ø Anticiper la dotation IT des nouveaux salariés
Ø Avancement combiné de plusieurs projets
13
Ø En l’absence de démarche du type « Balanced Scorecard » impliquant la DSI ou aux

niveaux opérationnels de celle-ci, il faut disposer d’un tableau de bord opérationnel
pour piloter l’activité du service
Ø Cette démarche simplifiée permet, au niveau de la seule DSI, de suivre l’activité

interne dans son ensemble et y établir les indicateurs support :
Ø A ce reporting d’entreprise
Ø Au pilotage de la DSI
Ø En s’appuyant sur le principe de propriété partagée des ressources du système

d’information, elle permet de proposer une amorce de cogestion DSI-Métiers du SI
Ø Imputation des demandes, changements, dotations et projets aux Directions concernées
14
L E TABLEAU DE BORD DE LA DSI

M P
X E FINANCE PROJETS
E ü Feu vert, orange, rouge
ü Opex & Capex
ü Charges
ü Engagements
ü Délais
ü Budget
ü Avancement
ü Avancement
ü Engagements
ü Exercice précédent
ü Coût / Valeur des livrables
ACTIVITE COMPLIANCE
ü Sécurité
ü Stock des tickets
ü Règlementaire social & financier
• Ouverts / Fermés
ü Règlementaire métier
• Exercice précédent
ü Audits en cours
ü Disponibilité des systèmes
ü Résultats et actions correctives
ü Gestion du Temps
15

M P
X E Activité : demandes/incidents par directions propriétaires
E
CORPORATE (Out of IT) SALES & MARKETING
Nbr Ouverts Fermés Solde Age (MP) Nbr Ouverts Fermés Solde Age (MP)
Période 36 18 18 9 Période 52 28 24
Exercice 142 117 25 26 Exercice 69 2 67
Exercice-1 216 214 2 165 Exercice-1 85 15 70
INNOVATION REGULATORY
Période 7 7 0 Période 64 63 1
Exercice 17 17 0 Exercice 45 39 6
Exercice-1 53 53 0 Exercice-1 42 42 0
HUMAN RESOURCES CORPORATE IT

Période 71 71 0 Période 71 59 12 7
Exercice 68 66 2 Exercice 504 475 29 42
Exercice-1 48 38 10 Exercice-1 1 225 1 216 9 298
16

M P
X E
E
17

M P
X E
E
18

M P
X E
E
19

M P
X E
E
20

M P
X E
E
21
Plan du cours n°3
GOUVERNANCE du SI


22
Propriété intellectuelle
LOIS ET RÉGIMES DE LA PROPRIÉTÉ INTELLECTUELLE
Ø La propriété intellectuelle est l'ensemble des droits exclusifs accordés sur les créations intellectuelles à
l'auteur ou à l'ayant droit d'une œuvre de l'esprit. Elle comporte deux branches :
Ø la propriété littéraire et artistique, qui s'applique aux œuvres de l'esprit, est composée du droit d'auteur et
des droits voisins.
Ø la propriété industrielle, qui regroupe elle-même, d'une part, les créations utilitaires, et, d'autre part, les
signes distinctifs, notamment la marque commerciale, le nom de domaine et l'appellation d'origine.
Ø Elle comprend un droit moral (extrapatrimonial) qui est le seul droit attaché à la personne de l'auteur
de l’œuvre qui soit perpétuel, inaliénable et imprescriptible, et qui s'applique donc de manière post-
mortem, même après que l'œuvre est tombée dans le domaine public (70 ans après la mort de
l’auteur)
Ø C'est l'œuvre résultante, et sa forme, qui sont protégées, non les idées et les informations à son origine
23
1. LA PROPRIÉTÉ LITTÉRAIRE ET ARTISTIQUE

q Le droit d’auteur
Le droit d’auteur est l’ensemble des prérogatives exclusives dont dispose un créateur sur son œuvre de
l’esprit originale. Il se compose d'un droit moral et de droits patrimoniaux. Les droits du logiciel en Europe
sont assimilés au droit d’auteur; les logiciels en tant que tels n’y sont pas brevetables contrairement au
Japon et aux USA.
q Le copyright (traduction littérale : droit de copie)

est le concept équivalent au droit d'auteur appliqué par les pays de
common law (en violet sur la carte)
Le copyright s’attache plus à la protection des droits commerciaux qu’à celle du droit moral. Toutefois,
depuis l'adhésion de 165 pays à la Convention de Berne sur le droit d'auteur, le droit d’auteur et le
copyright sont en grande partie harmonisés
24
2. LA PROPRIÉTÉ INDUSTRIELLE
q Le brevet
Le brevet est un titre de propriété industrielle qui confère à son titulaire un droit exclusif d'exploitation sur
l'invention brevetée, durant une durée limitée et sur un territoire déterminé. En contrepartie, l'invention doit être
divulguée au public.
q Les marques
Selon le code de la propriété intellectuelle (art L.711-1), « La marque de fabrique, de commerce ou de service est
un signe susceptible de représentation graphique servant à distinguer les produits ou services d'une personne
physique ou morale »
qLes dessins et modèles industriels
Un dessin ou modèle industriel traduit la dimension ornementale ou esthétique d'un produit. Il peut être en trois
dimensions, désignant alors la texture ou la forme du produit, ou à deux dimensions, précisant par exemple la
couleur, les motifs ou encore les lignes
qLes bases de données
Les bases de données en Europe possèdent leur propre protection juridique, depuis la directive européenne du 11
mars 1996
25
BASES DE DONNÉES
Ø La première protection, conformément à la philosophie du droit d'auteur, concerne uniquement la

forme de la base, son architecture, et est conditionnée comme pour toute autre œuvre par une
condition d'originalité
Ø La deuxième protection, spécifique aux bases de données, concerne la matière contenue par la base.
Le droit sui generis (« de son propre genre ») est rangé dans la catégorie des droits voisins du droit d'auteur,
droit de propriété incorporelle ad hoc, donnant des prérogatives patrimoniales au producteur de la
base
Ø L'exercice du droit est attaché à une condition de valeur économique : la base doit avoir été l'objet
d'un investissement qualitativement ou quantitativement substantiel. Le producteur de la base de
données peut donc interdire à tout utilisateur l'extraction d'éléments quantitativement ou
qualitativement substantiels de la base, ou l'extraction systématique de celle-ci
26

RefDSI Dauphine J3NNC 2022

Transféré par

Droits d'auteur :

Formats disponibles

RefDSI Dauphine J3NNC 2022

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

RefDSI Dauphine J3NNC 2022

Transféré par

Droits d'auteur :

Formats disponibles

Jour 2

• Introduction au 360°de la gouvernance (Gestion de risque vs

• Les 5 piliers de la gouvernance

• Pilier 1 : Alignement stratégique

• Pilier 2 : Création de valeur

• Pilier 3 : Gestion des ressources

• Pilier 4 : Gestion des des risques

• Pilier 5 : Mesure de la performance

ØFocus sur la sécurité

GESTION DES RISQUES

Ø La gestion des risques consiste à prendre d’abord conscience de l’ensemble des

Ø D’une manière générale l’ensemble des référentiels ISO 27000 s’intéressent au

Alignement stratégique (combine plusieurs des Objectif

vRAPPEL : LA DSI GÈRE PLUSIEURS SORTES D’ACTIFS :

q Matériels et Logiciels (actifs corporels et incorporels)

Risque Gouvernance politique et

Gouvernance des marchés

Contrôle des systèmes

OP1 OP2 F()

LA GOUVERNANCE DISSOCIE LES CONTENUS ET LES CONTENANTS

M RISQUES FACTEURS DE RISQUE

MSystèmes non disponibles ou non ' Obsolescence ou inadéquation des matériels,

MVol autres composants des applications

ACCESSIBILITE INTEGRITE PERENNITE

PHYSIQUE LOCAUX, ARMOIRES

ACCES DIRECTS / PRIVILEGES

MESURER Détection des

• Identification, droits sur ressources

• Identification, droits applicatifs

• Identification, type de privilège

• Revue et test des identités et des droits

• Revue et test des identités et des droits

• Revue et test des identités et des droits

PHYSIQUE LOCAUX, ARMOIRES • Système de contrôle d’accès et

période donnée • Etapes clés du cycle d‘exploitation : incidents,

SUIVI OPÉRATIONNEL, AUDIT ET PLAN DE PROGRÈS

Ø Le monitoring et la traçabilité des décisions et actions sont les conditions de base du

Ø Les incidents et anomalies suivent le cycle standard de traitement des incidents

Ø Ce suivi est complété par un audit périodique (annuel ou bi-annuel) de forme et de

• Fond : application effective desdites procédures, preuves de leur application

SUIVI OPÉRATIONNEL, AUDIT ET PLAN DE PROGRÈS

Ø L’audit relève les exceptions constituant les non-conformités

Ø Le plan de progrès prévoit des échéances de correction échelonnées:

NE PERDEZ PAS DE VU QUE…

Ø Les attaques utilisent le réseau pour atteindre les points névralgiques

NE PERDEZ PAS DE VU QUE…

MUNE ATTAQUE «QUI MARCHE», C’EST 80% DE SOCIAL ET 20% DE TECHNIQUE

MLA MAJORITÉ DES SINISTRES ONT UNE ORIGINE INTERNE À L’ENTREPRISE

èOrganisation rigoureuse de la sécurité (chacun ne voit que ce dont il a besoin ,

Votre mot de passe, c'est

Et vous, qu'est ce que

1. Un document ne se partage pas avec n'importe qui

1. Attention au piratage par e-mail

1. Vérifiez la présence du cadenas et

1. N'en dites pas trop sur les réseaux

1. Installez les mises à jour de vos

1. Ne laissez pas l'émotion guider

1. Le code PIN par défaut de votre carte

Virus, vol de données

Les pièces jointes sont le premier