SESSION 2023

UE 545 – MANAGEMENT DES SYSTÈMES

D’INFORMATION
(rattrapage)

Durée de l’épreuve : 3 heures

Le corrigé comporte : 6 pages

CORRIGÉ

Le sujet est évalué sur 60 points, la note étant ensuite ramenée sur 20 points

DOSSIER 1 : EXTERNALISATION DU SI 18 points

Le Centre a fait le choix de l’externalisation. L’infogérance a été envisagée. L’appel d’offres a pour objet de
définir et d’encadrer la relation avec l’infogérant. Toutefois, avant le choix probable vers l’infogérance, une
réflexion plus globale sur l’externalisation est menée.

A l’aide des annexes 1 et 2 et en vous appuyant sur vos connaissances, vous répondrez aux questions
suivantes :
1°) Quelles sont les différentes formes d’externalisation que peut retenir une firme dans le cadre de la
gestion de son SI ? Vous présenterez les différentes solutions envisageables.

On distingue différentes solutions en fonction du degré d’internalisation :

 la location d’un espace dans un datacenter, dans lequel les serveurs de l’entreprise vont être installés. La
solution permet un contrôle maximal des infrastructures et utilise simplement le service offert par le
datacenter ;
 la location de serveurs dans le datacenter, pour lesquels CRD va assurer le suivi et la maintenance, ainsi
que l’intégralité du paramétrage ;
 le recours à des serveurs gérés par le datacenter (IAAS) pour lesquels CRD va avoir la responsabilité des
autres éléments logiciels, en particulier le système d’exploitation et les applications métiers ;
 le recours à des plateformes (PAAS) qui permettent de disposer d’un support prêt à l’emploi et ne
nécessitant plus que l’installation et le paramétrage des logiciels métiers ;
 le choix d’une solution clé en mai, permettant de disposer d’un service informatique, et qui permet à CRD
de ne se focaliser que sur le service, sans avoir aucun autre élément à gérer.

2°) Quelles peuvent être les difficultés rencontrées dans la mise en œuvre d’une solution externalisée ?

On attend que le candidat évoque les limites à l’externalisation :

 Sécurité des liaisons
 Dépendance envers le prestataire
 Contrôle du prestataire

1
  Perte de compétence
 Difficulté à revenir en arrière
 Conservation par le prestataire des gains de productivité et non répercussion sur le coût de la prestation …..

3°) Quels sont les différents types d’infogérance ?

L'externalisation des systèmes d'information consiste à confier la responsabilité de tout ou partie du SI à un

prestataire qui s'engage sur des objectifs et facture à l'entreprise, la gestion des ressources matérielles et des
logiciels d'application ainsi que le personnel nécessaire.

L’externalisation repose sur un cahier des charges, document contractuel où est exposé le transfert des ressources
humaines, des ressources et moyens de production, des éléments matériels et/ou immatériels... Le résultat à
atteindre doit être bien défini. La démarche s’appuie sur une analyse des coûts et des avantages pour appréhender
la valeur du nouveau modèle.

Cela va de la conception d’applications spécifiques à la prise en charge complète du SI, en passant par des
prestations d’audit et de conseil.

L’externalisation peut avoir un cadre très large et assurer les missions de conception, de création, de suivi et
d’amélioration. Le terme d’infogérance désigne de façon indifférenciée l’ensemble des modalités
d’externalisation en matière de SI, alors que TMA (Tierce Maintenance Applicative) s’emploie pour désigner la
prise en charge du fonctionnement d’une application.

Ainsi, le périmètre de l’externalisation peut inclure :

 la gestion des matériels et leur maintenance ;
 la prise en charge des réseaux informatiques, et éventuellement de télécommunications ;
 l'architecture générale du système informatique et la planification de ses développements ;
 la maintenance des applications existantes (TMA) ;
 la conception et le développement d'applications nouvelles ;
 …
Lorsque la prestation concerne la gestion de ressources matérielles, celles-ci peuvent être gérées sur site ou
hébergées par le prestataire. Dans l’un ou l’autre cas, elles peuvent être soit propriété du bénéficiaire, soit du
prestataire.

4) Quel est l’intérêt du recours à l’infogérance ?

Dans le domaine SI comme dans d’autres, l’externalisation peut s’inscrire dans une démarche d'entreprise de
recentrage sur le métier de base en concentrant ses efforts sur les ressources considérées comme fondamentales
et porteuses d'avantages concurrentiels. Dans cette optique, l’entreprise externalise les activités secondaires pour
lesquelles elle est peu efficiente et ne souhaite pas investir davantage pour le devenir.

Les compétences nécessaires dans le domaine des TI sont complexes et très évolutives. L’intérêt pour l’entité qui
externalise est de bénéficier de l’expertise du prestataire basée sur l’expérience acquise auprès de ses différents
clients. Le recours à un prestataire spécialisé et reconnu garantit de disposer des meilleures solutions et pratiques
disponibles sur le marché, car le prestataire est confronté en permanence aux problèmes qu’il doit résoudre pour
ses différents clients.

2
Cette solution permet de mieux maîtriser les coûts, ceux-ci étant négociés dans le cadre d’un contrat. Le
prestataire est en mesure de proposer des coûts inférieurs à ceux d’une solution interne du fait des économies
d’échelle qu’il réalise et de la capitalisation des connaissances liée à la spécialisation dans son domaine et à la
richesse de l’expérience dans ce domaine.

L’externalisation permet de transformer des coûts fixes en coûts variables. Le prestataire peut adapter les
ressources mobilisées en fonction du besoin du client, par redéploiement de ses moyens, aussi bien en termes de
nombre de personnes qu’en termes de compétences.

5°) Quelle est l’utilité d’avoir inclus dans l’appel d’offre les points relatifs au 2.4 ?

Le point 2.4 est un contrat de service.

Un contrat de service a pour but de définir un niveau de performance à atteindre dans la réalisation de la prestation
informatique. En externe, ce document est une évidence car il permet de fixer le niveau attendu d’un prestataire
et peut servir à démontrer une faute contractuelle. Grâce à ce document on définit des critères basés sur des
niveaux de métriques précis, permettant de garantir le niveau de la performance et la qualité de service à obtenir
de la part du SI et des prestataires sollicités.

DOSSIER 2 : GESTION DE LA PERFORMANCE 18 points

L’appel d’offres doit comporter des indicateurs sur lesquels le prestataire sera évalué.

A l’aide des annexes 1 et 2 :

1°) Définir la notion de performance dans le contexte des SI.

La performance désigne la capacité du SI à atteindre les objectifs qu’on lui a fixé, et globalement associés au
fonctionnement de la firme, à la communication, et à la fourniture des informations. Cette performance doit donc
mettre en relation les objectifs fixés, les résultats obtenus et les moyens employés.

2°) Proposez 6 indicateurs permettant de suivre la performance du prestataire retenu en justifiant vos
choix.

Les indicateurs permettant de suivre la performance de l’offre sont les suivants :

 la disponibilité du service, qui va consister à comparer le temps disponible en état de marche
comparativement au temps total ;
 le temps de réponse ; ∙
 la bande passante moyenne ;
 les volumes échangés par période ; ∙
 la robustesse, c’est-à-dire le taux d’erreur pour un nombre donné de connexions ; ∙
 le nombre de connexions par période ;
 le % de la mémoire vive utilisé ;
 le % du processeur utilisé.

3
3°) Préciser quelles sont les différentes composantes du coût d’un poste de travail (TCO).

Le TCO est un indicateur de coût ayant pour objet de mesurer le coût de possession annuel d’un poste de travail
informatique. Cet indicateur a vocation d’être exhaustif en incluant toutes les catégories de charges qu’il est
possible d’inclure. Il englobe à la fois les charges directes, liées au matériel et aux logiciels, les charges indirectes
liées aux locaux utilisés et les coûts cachés liés aux mauvais usages des postes de travail par les utilisateurs.
L’avantage du TCO est sa dimension exhaustive et son utilité pour comparer les coûts du SI dans des entreprises
différentes, afin de déterminer si l’entreprise investie suffisamment ou a contrario si elle ne gaspille pas des
ressources. Sa limite fondamentale est la subjectivité dont relève le calcul qui entraîne des différences notables
dans le chiffrage selon les personnes qui le calculent

4°) Proposer des solutions pour réduire le TCO.

La réduction du TCO peut reposer sur plusieurs solutions :

 Le recours à des postes de client minimalistes (client web)
 La standardisation des équipements
 La possibilité de recourir au BYOD
 Le choix de solutions libres

DOSSIER 3 : SECURITE INFORMATIQUE 24 points

La sécurité est une question essentielle au CRD-VEGALIS/Lorval. Elle est prise en compte au niveau de
l’architecture réseau (VLAN, pare-feu…) et au niveau organisationnel dans les règles qui régissent le
fonctionnement du Centre. Celles-ci sont édictées dans différents documents : plan de sécurité des systèmes
d’information (PSSI), charte informatique, règlement intérieur, notes de service… Cependant il semblerait utile,
en particulier à l’intention des nouveaux embauchés et des stagiaires (doctorants…) de rédiger un document de
synthèse pour les sensibiliser et leur présenter les principales règles de sécurité.

A l’aide de l’annexe 2 et de vos connaissances:

1°) Définir la notion de risque informatique. Présentez 3 menaces qui vous paraissent aujourd’hui parmi
les plus fortes pour le SI de CRD VEGALIS.

En matière de sécurité, la notion de menace désigne un évènement qui peut porter atteinte au système
d’information comme une compromission par virus, par exemple. Cette menace est associée à une probabilité
plus ou moins forte de réalisation et à un impact.
C’est la combinaison de ces trois aspects qui constitue la notion de risque. Ainsi, une menace associée à une
probabilité très faible et/ou à un impact négligeable ne sera pas considérée comme un risque.

Les menaces les plus citées à l’heure actuelle sont les attaques par l’internet des objets, le vol de données
personnelles et les rançons logiciels. (On acceptera d’autres réponses pertinentes).

2°) Après avoir rappelé ce qu’est un VLAN (Virtual Local Area Network - réseau virtuel), préciser en
quoi cela contribue à la sécurité.

Un VLAN désigne un Virtual Local Area Network. Il s’agit de créer différents sous-réseaux à partir d’un seul
réseau physique, grâce à l’organisation des adresses IP. On peut ainsi gérer les droits de différents utilisateurs et
mieux assurer la sécurité de l’ensemble. À partir d’installations uniques, les VLAN vont aboutir à la coexistence
de plusieurs réseaux distincts, permettant d’isoler les ressources du réseau

4
3°) Que représente un serveur virtuel ?

Un serveur virtuel est un programme qui, à partir d’un serveur physique, émule un environnement et une
fonctionnalité correspondant à un service précis. Cela permet de distinguer, d’un point de vue logique
(informationnel), différents serveurs assurant chacun une mission (messagerie, Web…) et fonctionnant de façon
distincte les uns des autres.

Pour parvenir à des serveurs virtuels, il faut recourir à un hyperviseur. Un serveur virtuel offre les mêmes
fonctionnalités qu’un serveur physique. Le serveur virtualisé utilise une partie de la puissance de calcul du
processeur, de la mémoire vive et de la mémoire de stockage du serveur physique pour fonctionner. Le serveur
physique peut héberger plusieurs machines virtuelles, ce qui permet de faire des économies.

Chaque serveur virtuel peut disposer de son propre système d’exploitation (OS), et ce grâce à un système de
partitionnement qui permet de faire coexister ces différents OS sur un seul équipement physique, ce qui se révèle
plus économe

4°) En matière de RGPD, CRD doit il nommer un délégué à la protection des données ? Serait il possible
de mutualiser ce délégué ? En quoi consiste une étude d’impact ?

Le DPDP ou DPO a un rôle de conseil et d’accompagnement à plusieurs niveaux :

 il apporte son expertise auprès de la direction afin que celle-ci puisse assurer la conformité
des traitements ;
 il diffuse la culture et les règles de la protection des données auprès de toutes les personnes qui traitent
des données personnelles au sein de l’organisme.

Le DPDP va intervenir lors des évènements suivants (extrait Cnil) :

∙ projet de décision de création ou d’évolution d’un traitement existant (afin notamment
de veiller au respect des principes de protection des données dès la conception et par
défaut) ;
∙ examen de la nécessité de réaliser une analyse d’impact relative à la protection des
données (AIPD) et réalisation effective de celle-ci ;
∙ rédaction ou tenue du registre des activités de traitement ;
∙ rédaction et mise à jour des règles en matière de protection des données ;
∙ violation de données personnelles, afin de conseiller sur les mesures à prendre ainsi que
sur la notification à l’autorité et aux personnes concernées.
La mutualisation d’un DPDP est autorisée. Elle permet de répartir les charges et donc de minimiser le coût de
cette fonction à l’échelle de chaque entreprise. Le DPDP est tenu à des règles d’éthique et est tenu au secret
professionnel. Cette mutualisation permettra donc de faire des économies.

L’AIPD est un outil qui permet de construire un traitement conforme au RGPD et respectueux de la vie privée.
Elle concerne les traitements de données personnelles qui sont susceptibles d’engendrer un risque élevé pour
les droits et libertés des personnes concernées.
Dans certains cas, l’AIPD est obligatoire et expressément prévue par la Cnil, sinon chaque projet doit être analysé
au regard des risques qu’il fait courir aux droits des personnes concernées.

L’analyse d’impact se compose de trois parties :

∙ un descriptif du traitement ;
∙ le recensement des règles mises en place pour respecter les droits des utilisateurs ;
∙ les solutions techniques mises en œuvre.

5
5°) Explicitez les mécanismes informatiques qui assurent l'authenticité et l'intégrité des documents
électroniques.

L'authentification d'un document par le biais d'une signature électronique repose sur les éléments suivants :
 Une empreinte du document est extraite par le bais d'une fonction de hachage
 Cette empreinte est chiffrée par la clé privée de l'émetteur du document
 Le document est transféré accompagné de son empreinte chiffrée.
 Le récepteur du document déchiffre l'empreinte à partir de la clé publique, et la compare avec l'empreinte
qu'il calcule sur le document envoyé.
 La concordance de ces deux empreintes prouve à la fois l'authenticité et l'intégrité du document transmis
 Les certificats permettent de garantir par des tiers de confiance l'authenticité des intervenants