Management des Système d'Information

Erasmus Multilateral Projects – Virtual campuses
134350-LLP-1-2007-1-HU-ERASMUS-EVC
Virtual campus for SMEs in a multicultural milieu

Erasmus Multilateral Projects – Virtual
campuses
Numéro de reference du projet: 134350-
LLP-1-2007-1-HU-ERASMUS-EVC
Titre of the projet: Virtual campus for
SMEs in a multicultural milieu
(‘SMEdigcamp’)

Ce projet a été financé avec le soutien de la Commission européenne.
Cette publication (communication) n’engage que son auteur et la Commission
n’est pas responsable de l’usage qui pourrait être fait des informations qui y sont
contenues.

MATIÈRE PÉDAGOGIQUE DU MODULE
MANAGEMENT DES SYSTEMES D’INFORMATIONS ET
MANAGEMENT DU RISQUE

Chef de quadrangle:
Bernard QUINIO (FR-UPX)
Membres de quadrangle:
András JÁNOSA (HU)
János IVANYOS (HU)
Imre JUHÁSZ (HU)
Gyula KADERJÁK (HU)
Manuela NOCKER (UK)
Gunnar PRAUSE (DE)
Daniel BRETONES (FR-ESCEM)

1


TABLE DES MATIÈRES
A) DESCRIPTION DU MODULE............................................................................................ 5

B) CONTENU INDICATIF..................................................................................................... 10

I. GESTION DES SYSTEMES D’INFORMATION .............................................................. 10
CHAPITRE 1 : ORGANISER ET GERER LE SYSTEME D’INFORMATION (SI) POUR
LES PME.................................................................................................................................. 10
1.1. Introduction ....................................................................................................................... 10
1.2. Définitions et problèmes clés du SI pour les PME............................................................ 10
1.2.1. Information et système d’information 10
1.2.2. Les problèmes clés soulevés par le SI dans l’entreprise 10
1.3. L’organisation de la fonction du SI dans l’entreprise ....................................................... 10
1.4. Budget et coûts de la fonction du SI ................................................................................. 11
1.5. Comment gérer l’externalisation du SI ............................................................................. 11
1.5.1. Caractérisation du fournisseur du SI 11
1.5.2. Les activités du SI et leur externalisation 11
1.5.3. Comment gérer les prestataires de service 11
1.5.4. Le cycle de gestion des prestataires de service 11
1.6. La gouvernance d’une PME : règles et outils ................................................................... 11
1.7. Exercices ........................................................................................................................... 12
CHAPITRE 2 : APPLICATIONS DU SI DANS LES PME ................................................... 13
2.1. Introduction ....................................................................................................................... 13
2.2. Infrastructure technique du SI dans les PME .................................................................... 13
2.2.1. Point de vue technique de l’infrastructure 13
2.2.2. Cartographie des applications simples 13
2.2.3. Comment choisir entre un système ouvert et un système d’entreprises
individuelles? 13
2.3. L’application du SI à la décision....................................................................................... 14
2.3.1. Système exécutif d’information (SEI) 14
2.3.2. Système expert 14
2.3.3. Management de la connaissance 14
2.3.4. La business intelligence 14
2.3.5. Analyse de données et extractions de données 15
2.4. L’application du SI pour deux raisons principales............................................................ 15
2.4.1. Gestion de la Relation Client (GRC) 15
2.4.2. E-business et site internet 16
2.4.3. Gestion de la Chaîne d’Approvisionnement (GCA) 16
2.5. L’application du SI à l’intégration .................................................................................... 16
2.5.1. Au sein de la firme : La Gestion des Ressources de l’Entreprise (GRE) 16
2.5.2. En dehors de l’entreprise: L’Echange de Données Electroniques (EDE) 16
2.5.3. En dehors de l’entreprise : Le marché de l’e-business 17
2.6. Exercices ........................................................................................................................... 17
CHAPITRE 3 : GESTION DE PROJET.................................................................................. 18
3.1. Introduction ....................................................................................................................... 18
3.2. Définition des principaux concepts de la gestion de projet............................................... 18

2


3.3. Comment préparer un projet ?........................................................................................... 18
3.3.1. Préciser les objectifs du projet : Pourquoi et où agissez-vous 18
3.3.2. Identifier le type de solutions : Comment agissez-vous ? 18
3.3.3. Identifier les ressources humaines et techniques: Avec qui agissez-vous et que
faîtes-vous ? 19
3.4. Comment établir le projet ?............................................................................................... 19
3.5. Comment gérer un projet?................................................................................................. 19
3.5.1. La direction de projet 19
3.5.2. La gestion de projet 19
3.6. Comment mettre en place et utiliser les résultats du projet ?............................................ 20
3.7. Exercices ........................................................................................................................... 20
CHAPITRE 4 : SECURITE ET CONTROLE DU SI.............................................................. 21
4.1. Introduction ....................................................................................................................... 21
4.2. Règles de sécurité: strictes, indulgentes et l’organisation................................................. 21
4.3. Facteurs humains de sécurité............................................................................................. 22
4.4. Attaques internes et externes............................................................................................. 23
4.5. Loi et normes et authentification pour la sécurité informatique ....................................... 24
4.6. Sauvegarde de données et de logiciel................................................................................ 25
4.7. Redémarrer et maintenir l’activité..................................................................................... 25
4.8. Utilisation du contrôle de l’information et des technologies associées et de la bibliothèque
pour l’infrastructure des technologies de l’information....................................................... 25
dans les PME............................................................................................................................ 25
4.9. Exercices ........................................................................................................................... 26

II. MANAGEMENT DU RISQUE .......................................................................................... 27
CHAPITRE 1 : LES OBJECTIFS DE L’ACQUISITION DES CONNAISSANCES DU
MANAGEMENT DU RISQUE............................................................................................... 27
1.1. Introduction ....................................................................................................................... 27
1.2. Objectifs généraux............................................................................................................. 27
1.3. Description des principaux problèmes .............................................................................. 27
1.4. Pourquoi la gestion du risque est utile aux PME ?............................................................ 28
1.5. Exercices ........................................................................................................................... 28
CHAPITRE 2 : CONCEPTS FONDAMENTAUX DU MANAGEMENT DU RISQUE ...... 29
2.1. Définition du management du risque en entreprise........................................................... 29
2.2. Types de risques ................................................................................................................ 29
2.3. Exercices ........................................................................................................................... 30
CHAPITRE 3: REALISATIONS DES OBJECTIFS LIES DES ENTITES ........................... 31
3.1. Catégories d’objectifs........................................................................................................ 31
3.2. Mise en place d’objectifs................................................................................................... 31
3.3. L’identification d’évènements........................................................................................... 31
3.4. Evaluation du risque.......................................................................................................... 31
3.5. Réponses au risque ............................................................................................................ 32
3.6. Exercices ........................................................................................................................... 32
CHAPITRE 4 : COMPOSANTES DU MANAGEMENT DU RISQUE ................................ 33
4.1. Relation entre les composantes et les objectifs ................................................................. 33
4.2. Efficacité et limitations du management du risque ........................................................... 33
4.3. Intégration des contrôles internes...................................................................................... 33

3


4.4. Exercices ........................................................................................................................... 34
CHAPITRE 5 : EVALUATION DES CAPACITES DU MANAGEMENT DU RISQUE .... 35
5.1. Le Comité d’organisation du Sponsoring (COS) comme modèle de référence applicable ..
.................................................................................................................................. 35
5.2. Elaboration des objectifs des entités en niveaux de capacité ............................................ 35
5.3. Promesses et engagements de consultation de l’audit....................................................... 36
5.4. Exercices ........................................................................................................................... 36

C) SPECIFICATIONS NATIONALES................................................................................... 37
1. FRANCE .............................................................................................................................. 37
1.1. Gestion du système d’information .................................................................................... 37
1.1.1. Chapitre 1 Organiser et diriger le Système d’Information (SI) dans une PME 37
1.1.2. Chapitre 2 Applications du SI dans une PME 37
1.1.3. Chapitre 3 Gestion de projet 37
1.1.4. Chapitre 4 Sécurité et contrôle du SI 38
1.2. Management du risque ...................................................................................................... 38
2. ALLEMAGNE ..................................................................................................................... 39
2.1. Systèmes d’information et management du risque ........................................................... 39
3. HONGRIE............................................................................................................................ 40
3.1. Gestion des systèmes d’information ................................................................................. 40
4. ROYAUME-UNI ................................................................................................................. 46
4.1. Gestion des systèmes d’information ................................................................................. 46
4.3. Suggestions d’autres lectures ............................................................................................ 47

4


A) DESCRIPTION DU MODULE

Description du contenu

Ce module possède deux parties : une sur le système d‘information et l‘autre sur le
management du risque. La partie sur le système d‘information donne les principales
qualifications requises pour gérer le système d‘information dans les Petites et Moyennes
Entreprises (PME).
La partie sur le management du risque donne la principale qualification pour appliquer les
principes du management du risque et ses outils dans les PME.

Objectifs du module

Gestion du système d’information
Comment gérer le système d‘information dans une PME ?
Comment participer à un projet de système d‘information ?
Comment utiliser les règles de sécurité pour une PME ?
Management du risque
Comment appliquer les principes et les outils du management du risque ?
Comment fixer les objectifs, les risques à prendre et la tolérance à avoir vis à vis de
ces risques ?
Comment réussir à estimer les risques et à définir les réponses à ceux-ci ?
Comment le système de contrôle interne est intégré au management du risque ?
Comment évaluer l‘efficacité du risque et des systèmes de contrôle ?

Pré-requis

Bon usage d‘un ordinateur personnel, d‘internet et d‘un bureau dans un cadre
professionnel
Utilisation d‘un tableur, d‘un système de base de données et d‘internet pour la gestion
des problèmes
Modélisation et usage avancé d‘un tableur pour la finance et le contrôle de budget
Management stratégique.
Management financier.
Organisation et management
Evaluation des procédés.

Méthode de travail

Pour chaque chapitre de ce module, les principaux principes sont exposés avec de nombreux
exemples, et ensuite, des liens internet utiles sont indiqués afin de voir ces principes dans la
vraie vie. Après cela, quelques quiz et exercices sont proposés afin d‘utiliser des outils
dans un cadre pratique.

5


Evaluation

L‘évaluation comporte deux parties : un quiz pour évaluer les connaissances des principaux
principes exposés et un cas à étudier.

Structure du module

Gestion du système d’information (crédits 2)

Chapitre 1 Organiser et gérer le système d’information(SI) pour les PME
Connaissances à acquérir:
Avoir une parfaite connaissance des concepts du système d‘information
Comment organiser un système d‘information dans une PME ?
Comment gérer l‘externalisation des fonctions du système d‘information ?
Comment gérer les prestataires de service pour une PME ?
Structure:
Introduction
Définitions et problèmes clés du SI pour les PME
Information pour le management et système d‘information
Problèmes clés pour les PME
Organisation de la fonction du système d‘information dans une firme
Budget et coûts de la fonction du SI
Comment gérer l‘externalisation du SI ?
Caractérisation du fournisseur de SI
Activités du SI et leur externalisation
Comment gérer les prestataires de service ?
La gouvernance du SI dans les PME: règles et outils

Chapitre 2 Applications du SI dans les PME
Avoir une bonne connaissance de la principale application du SI dans les PME
Pour chaque application, connaître les facteurs clés du succès
Pour chaque application, savoir les principaux produits et éditeurs
L‘utilisation de l‘application n‘est pas un objectif de ce chapitre
Structure:
Introduction
Infrastructure technique du SI dans les PME
Point de vue technique de l‘infrastructure
Cartographie des applications simples
Comment choisir entre un système ouvert et un système d‘entreprises
individuelles?
Comment choisir entre un ensemble de logiciels et un développement
spécifique?
Application du SI à la décision
Système d‘Information Exécutif (SIE)
Système Expert

6


Management de la connaissance
La business intelligence
Analyse de données et extraction de données
L‘application du SI pour deux raisons principales
Gestion de la Relation Client (GRC)
E-business et site internet
Gestion de la Chaîne d‘Approvisionnement (GCA)
Application du SI à l‘intégration
Au sein de la firme: Planification des Ressources de l‘Entreprise (PRE)
En dehors de la firme:
Echange de Données Electroniques (EDE)
Le marché de l‘e-business

Chapitre 3 Gestion de projet
Comment gérer un projet de système d‘information ?
Comment appliquer les outils de la gestion de projet ?
Le risque de l‘analyse est traité dans la partie sur le management du risque
Structure:
Introduction
Définition des principaux concepts de la gestion de projet
Comment préparer un projet ?
Préciser les objectifs du projet : Pourquoi et où agissez-vous ?
Identifier le type de solution : Comment agissez-vous ?
Identifier les ressources humaines et techniques : Avec qui agissez-vous et que
faîtes-vous ?
Comment construire le projet ?
Comment gérer le projet?
Orientation du projet
Gestion du projet
Organisation (Pert and Gantt)
Coût du contrôle
Changer la gestion et les facteurs humains
Comment mettre en place et utiliser les résultats du projet ?

Chapitre 4 Sécurité et contrôle du SI
Comment mettre en place les règles de sécurité et les outils dans les PME ?
Comment trouver les informations et les conseils relatifs à la sécurité ?
Structure:
Introduction
Règles de sécurité : strictes, indulgentes et organisation
Facteurs humains de sécurité
Agressions internes et externes
Loi pour la sécurité informatique
Sauvegarde de donnée et de logiciel
Redémarrer et maintenir l‘activité

7


Utilisation du contrôle de l‘information et des technologies associées pour les PME
Utilisation de la bibliothèque pour l‘infrastructure de l‘information pour les PME

Management du risque (crédits 2)

Chapitre 1 Les raisons d’acquérir des connaissances sur le management du risque
1 Faire concorder la prise de risque et la stratégie – Le management considère la
prise de risque comme l‘évaluation de stratégies alternatives, comme la mise en
place d‘objectifs liés entre eux, et comme le développement de mécanismes visant
à gérer ces risques liés.
2 Amélioration de la décision de réponse aux risques –La gestion du risque en
entreprise apporte de la rigueur pour identifier et sélectionner les réponses alternatives
aux risques – éviction, réduction, partage et acceptation du risque.
3 Réduire les surprises et les pertes liées à l’exploitation – Le gain des entités
améliore la capacité à identifier les événements potentiels et à établir des réponses
et permet donc de diminuer les surprises et les coûts ou les pertes qui y sont associés.
4 Identifier et gérer les différents risques qui s’entremêlent pour les entreprises –
Chaque entreprise fait face a une myriade de risques qui affecte différentes parties de
son organisation, et la gestion des risques en entreprise répond plus facilement et plus
efficacement aux impacts liés entre eux et intègre les réponses aux multiples risques.
5 Saisir les opportunités – En prenant en compte un grand nombre d‘évènements
possibles, le management est capable d‘identifier et de trouver des opportunités de
manière dynamique.
6 Améliorer le développement du capital – L‘obtention d‘informations importantes sur
les risques permet au management d‘évaluer de manière efficace les besoins
globaux en capital et d‘améliorer la répartition du capital.

Chapitre 2 Les concepts fondamentaux du management du risque
1 Un processus, en cours et qui vit à travers une entité
2 Etabli par tout le monde, à chaque niveau d‘une organisation
3 Appliqué dans la mise en place de stratégies
4 Appliqué à travers les entreprises, à chaque niveau, dans chaque unité, et inclut le
fait de prendre une entité-niveau de considération du risque du portefeuille.
5 Conçu pour identifier les possibles événements qui, s‘ils ont lieu, affecteront
l‘entité, et conçu pour gérer les risques liés à la prise de risques.
6 Capable de fournir une promesse juste à la gestion d‘une entité et à un conseil
d‘administration
7 Adapté à la réalisation d‘objectifs classifiés en une ou plusieurs catégories qui se
chevauchent.

Chapitre 3 Réalisation des objectifs liés des entités
1 Stratégique – objectifs difficiles, suivant et encourageant sa mission
2 Opérations – utilisation efficace de ses ressources
3 Rapport – fiabilité du rapport
4 Conformité– conformité aux lois en vigueur et aux réglementations.

8


Chapitre 4 Composantes du management du risque:
1 Environnement interne
2 Mise en place d’objectifs
3 Identification d‘évènements
4 Evaluation du risque
5 Risque
6 Activités de contrôle
7 Information et Communication
8 Surveillance

Chapitre 5 Evaluation de l’efficacité du management du risque
1 Utiliser la structure du comité d‘organisation du sponsoring comme modèle de
référence
2 Elaboration des objectifs des entités en niveaux d‘aptitude
3 Promesse d‘engagement
4 Engagement de concertation

Bibliographie recommandée

En français:
Encyclopédie des Systèmes d‘Information, Editions Vuibert coordonné par J. AKOKA et I.
Commyn Wattiau, 2007
Marciniak et Rowe (2005) Systèmes d'Information, Dynamique et Organisation, Economica,
2005, seconde édition
Quinio et lecoeur (2003) « Projet de Système d'information : Une démarche et des outils
pour le chef de projet » Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003).
« Manuel de gestion d‘entreprise », trois chapitres sur les Systèmes d‘Information, ouvrage
collectif coordonné par l‘AUPELF (2004).
« Contrôle et confiance dans la relation avec les prestataires de services informatiques : les
trois niveaux : Prestataire, Personnel, Prestation » ; B. Quinio et A. Lecoeur ; RESER 2006
; 28 au 30 septembre 2006

En anglais:
Laudon • Laudon (2006) Management Information Systems, 9/e, Pearson prentice hall

Sites web intéressants
1 Site du « Project management Institute »
2 Site de l‘« International Project Management Association »
3 Site du « clusif »
4 Site de l‘« Information Systems Security Association »
1 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary.pdf
2 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_french.pdf
3 http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf
4 http://www.coso.org/documents/COSO_ERM.ppt

9


B) CONTENU INDICATIF
I. GESTION DES SYSTEMES D’INFORMATION

CHAPITRE 1 : ORGANISER ET GERER LE SYSTEME
D’INFORMATION (SI) POUR LES PME

Connaissances à acquérir

Avoir une parfaite connaissance des concepts du système d‘information
Comment organiser un système d‘information dans une PME
Comment gérer l‘externalisation des fonctions du SI
Comment gérer les prestataires de service pour une PME

Contenu indicative du chapitre

1.1. Introduction
Introduire le chapitre et préciser que les principaux concepts du système d‘information
doivent être définis très précisément du fait de nombreuses confusions.

1.2. Définitions et problèmes clés du SI pour les PME
1.2.1. Information et système d’information

L‘information est définie comme un triptyque entre les données, l‘objet et la signification.
Le système d‘information est défini comme un autre triptyque entre les composantes
techniques (informatique), l‘organisation et des hommes ou des femmes qui (ces trois
éléments) traitent les informations dans l‘entreprise.
Le système de données et le système d‘information doivent impérativement être distingués.
De nombreux exemples (de la vie courante) peuvent être donnés.

1.2.2. Les problèmes clés soulevés par le SI dans l’entreprise

Le SI a deux fonctions: le système de production et le système de décision

1.3. L’organisation de la fonction du SI dans l’entreprise
Dans les grandes entreprises, la fonction du SI est structurée (service d‘exploitation et
service de développement)

10


Dans les PME, un homme ou une femme doit gérer (souvent seul) les aspects techniques et
organisationnels du SI. Son travail est principalement de gérer les prestataires de service.
Les différents acteurs du SI au sein de la firme, ainsi que leurs rôles, doivent ensuite être
définis.

1.4. Budget et coûts de la fonction du SI
Dans les PME, il est quelque peu difficile d‘évaluer combien coûte le SI.
Au regard des études concernant les grandes entreprises, on peut estimer que le budget du
SI est d‘à peu près 3% du chiffre d‘affaires.
Le budget du SI se divise en deux parties: 80% pour l‘exploitation et 20% pour le projet.

1.5. Comment gérer l’externalisation du SI

1.5.1. Caractérisation du fournisseur du SI

Il est quelque peu difficile de définir précisément tous les types de prestataires de service. On
peut utiliser la classification nationale, ou celle de l‘OCDE. Cela est utile pour expliquer la
diversité des prestataires de services et les problèmes clés pour une PME.

1.5.2. Les activités du SI et leur externalisation

Presque toutes les activités du SI peuvent être externalisées (développement, exploitation,
maintenance).
Pour un grand nombre d‘entreprises, le principal problème est de sélectionner le bon
groupe de logiciels et de les rendre utilisables.

1.5.3. Comment gérer les prestataires de service

Afin de gérer les prestataires de service, trois éléments doivent être distingués: le
prestataire de service (la firme), les employés du prestataire de service qui font le travail
pour le client et le service lui-même.
Grâce à cette distinction, la relation entre le client et le prestataire de service peut être
caractérisée et gérée.

1.5.4. Le cycle de gestion des prestataires de service

De nombreux stades dans la gestion de la relation entre le client d‘une entreprise et son
prestataire de service peuvent être définis; ici ils sont réunis en quatre étapes: sélection,
établissement de contrats, exécution et enfin capitalisation.

1.6. La gouvernance d’une PME : règles et outils

11


L‘administration d‘un SI est considérée comme le fonctionnement d‘une série de bonnes
pratiques:
Alignement stratégique
Contrôle des coûts
Gestion de projet (voir le prochain chapitre)
Sécurité (voir le prochain chapitre)

Lectures pour le chapitre 1

1 Systèmes d'Information, Dynamique et Organisation, Economica, 2005, seconde
édition, 112 pages, (avec F. Rowe)
2 « Projet de Système d'information : Une démarche et des outils pour le chef de projet »
Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003).
3 « Contrôle et confiance dans la relation avec les prestataires de services
informatiques : les trois niveaux : Prestataire, Personnel, Prestation » ; B. Quinio et
A. Lecoeur ; RESER 2006 ; 28 au 30 septembre 2006

1.7. Exercices

12


CHAPITRE 2 : APPLICATIONS DU SI DANS LES PME


Avoir une bonne connaissance des principales applications de SI dans les PME
Pour chaque application, connaître les facteurs clés de succès
Pour chaque application, connaître les principaux produits et éditeurs
L‘utilisation des applications n‘est pas l‘objectif de ce chapitre

Contenu indicatif du chapitre

2.1. Introduction
Introduire le chapitre et insister sur le fait que tous les logiciels ne peuvent être manipulés, et
que, par conséquent, des exemples sont traités, ou des visites de sites internet sont réalisées.

2.2. Infrastructure technique du SI dans les PME
2.2.1. Point de vue technique de l’infrastructure

Le principal objectif est de définir une infrastructure technique (Complexe, simple,
système de communication) et d‘en montrer quelques représentations (diagrammes et
schémas).
Les diagrammes et les schémas peuvent être trouvés sur internet.
Cela n‘est pas réellement un cours technique (voir les pré-requis), nous n‘insisterons donc
pas sur les caractéristiques techniques, mais sur l‘utilité des outils.

2.2.2. Cartographie des applications simples

Ici sont présentées toutes les applications d‘une entreprise sous une forme simple. Les
principes de ―l‘urbanisation et le besoin d‘avoir une grande cohérence entre une importante
urbanisation et une légère urbanisation sont présentés.

2.2.3. Comment choisir entre un système ouvert et un système d’entreprises
individuelles?

Le système ouvert doit être introduit afin de présenter une réelle alternative au système de
propriété .La communauté du système ouvert est un bon exemple d‘organisation d‘un réseau
social. Le principal système des licences doit être présenté.
Le choix doit être fait en fonction de ces critères:
• Compatibilité
• Evolution
• Coût
• Risque

13


2.3. L’application du SI à la décision
La pyramide d‘Anthony est tout d‘abord introduite (niveau stratégique, niveau tactique et
niveau opérationnel) afin d‘expliquer le besoin d‘information pour prendre une décision à
chaque niveau.
Les caractéristiques de l‘information sont différentes à chaque niveau de gestion.
Le SI peut aider les managers à prendre une décision (Système Exécutif d‘Information), ou
peut prendre lui même la décision (système expert).
La nouvelle tendance du management de la connaissance est présentée.
Enfin, la business intelligence et les outils d‘analyse de données sont introduits.

2.3.1. Système exécutif d’information (SEI)

Les SEI sont faits et utilisés afin d‘aider les managers à prendre des décisions. Le fameux
modèle d‘H. Simon est expliqué afin d‘avoir quelques bases de procédés de décision.
Les SEI fournissent des informations (de l‘intérieur et de l‘extérieur de la firme) aux
managers.
Les SEI peuvent être réalisés de deux manières différentes : de haut en bas ou de bas en haut.
Les SEI sont souvent de très simples outils, comme les tableurs, et peuvent être utilisés
afin de fournir des indicateurs de performance.
L‘une des questions principales est le délai entre les faits réels et le rapport aux supérieurs
hiérarchiques.
Cela serait intéressant de présenter quelques outils tels que Business Object ou Iperion.

2.3.2. Système expert

Les systèmes experts sont des logiciels qui sont capables de prendre des décisions dans un
contexte spécial et complexe.
La description générale des systèmes experts peut être faite sans une utilisation excessive de
termes techniques.
Le principal problème est de saisir l‘expertise d‘un homme afin de la mettre dans un logiciel.

2.3.3. Management de la connaissance

Après une simple définition de la connaissance, le management de la connaissance (MC) est
présenté comme un moyen d‘accumuler les connaissances, qui sont dans l‘esprit des
employés de l‘entreprise.
Les outils utilisés sont souvent un système d‘Intranet avec une base de données.

2.3.4. La business intelligence

Le capital de connaissance joue un rôle de plus en plus important dans le succès des
entreprises et est un facteur décisif dans l‘évaluation d‘une organisation .Quelques recherches
prétendent que la quantité de données dans le monde doublent chaque année. Mais il existe
une situation paradoxale dans laquelle les informations contenues dans la multitude de
données diminuent.

14


Dans le commerce, les décisionnaires cherchent des informations commerciales cohérentes
qui peuvent être utilisées directement. Contrairement à cela, des données qui pourraient
fournir des informations uniformes, cohérentes sont souvent accessibles dans différents
endroits (dans nos propres systèmes, sur internet, sur les portails publics de service etc.), et
ce qui reste peut être stocké et accessible grâce à différentes techniques. Rendre cela
accessible relève d‘un problème technique.
Les solutions de la technologie de l‘information de l‘Informatique Décisionnelle (ID)
incluent les applications et les technologies désignées afin de fournir l‘accès aux données
nécessaires et aux connaissances cachées dans les données ou dans les bases de données, aux
managers et aux décisionnaires.

2.3.5. Analyse de données et extractions de données

Les avantages des données desquelles on souhaite extraire les connaissances à travers
l‘analyse de données/l‘extraction de données doivent être classés dans un système
électronique rationnel, organisé et bien structuré.
Dans les grandes entreprises, c‘est le stockeur de données. Un stockeur de données contient
des données détaillées et simplifiées et/ou un ensemble de données produites au sein du
système d‘organisation interne et les données provenant/collectées de sources extérieures.
Dans les PME, on trouve souvent une base de données simple mais clairement structurée
avec les principales données internes.
Les applications transformant les données en information (extraction de données) sont basées
sur ce système de données consistant. Dans les grandes entreprises, les solutions les plus
utilisées afin d‘analyser les données, basées sur la technologie de stockage de données,
sont les applications de TAEL (Traitements Analytiques En Ligne). Dans les PME, les
méthodes analytiques traditionnelles peuvent être utilisées (par exemple le SPSS, logiciel de
statistiques pour les sciences sociales) et les questions classiques de base de données (par
exemple par le « oui » dans le langage structuré de requêtes).
Un domaine typique de l‘extraction de données est l‘analyse du panier du consommateur.
Quels sont les produits que le consommateur cherche ardemment ? Y a-t-il un lien de
corrélation qui prouve que quelqu‘un achetant un produit X, achète également un produit Z ?

2.4. L’application du SI pour deux raisons principales

2.4.1. Gestion de la Relation Client (GRC)

La gestion de la relation client est un système d‘information qui traite les informations sur et
pour la gestion des clients.
La GRC est bien connue par les grandes entreprises comme les banques ou les commerces de
détail, mais il existe aussi une GRC pour les PME comme l‘entreprise Sage products.
La GRC est composée de trois parties: un bureau pour contacter et interagir avec les clients
(un centre d‘appel par exemple), une base de données pour collecter les informations, et un
bureau pour traiter les informations (automatisation du service des ventes par exemple).
Le concept récent de « Simple comme un Service » (ScS) peut être une opportunité pour les
PME d‘utiliser la GRC .On peut montrer le site du « Service des ventes » comme un exemple
de ScS.

15


2.4.2. E-business et site internet

Les sites internet sont extrêmement communs aux entreprises (PME ou grandes entreprises),
mais l‘on doit insister sur deux choses. Tout d‘abord, un simple site informatif n‘est plus un
avantage compétitif pour une entreprise, les sites internet doivent interagir avec les clients. De
plus, l‘objectif est de réaliser une véritable « chaîne de vente » en utilisant les technologies
d‘internet.
Une comparaison de quelques sites de PME pourrait être très utile afin de souligner les
principales caractéristiques d‘un bon site internet pour une PME.

2.4.3. Gestion de la Chaîne d’Approvisionnement (GCA)

La gestion de la chaîne d‘approvisionnement inclut la planification et la gestion de toutes les
activités nécessitant l‘approvisionnement, la procuration, la conversion, et la gestion
logistique des activités. Cela inclut également la coordination et la collaboration avec les
partenaires des canaux, qui peuvent être des fournisseurs, des intermédiaires, un quelconque
prestataire de service, ou un client.
La gestion de la chaîne d‘approvisionnement et la logistique doivent être distinguées.
La GCA est basée sur deux flux: un du client vers le fournisseur (pour saisir les besoins du
consommateur) et du fournisseur au consommateur pour gérer la production et la
distribution.

2.5. L’application du SI à l’intégration
2.5.1. Au sein de la firme : La Gestion des Ressources de l’Entreprise (GRE)

Les GRE sont parmi les logiciels les plus présents dans tout type
d‘entreprise.La définition de GRE est donnée, et ensuite la structure d‘une
GRE est décrite (base de données et les différents modules).
La GRE pour les PME constitue une version spéciale de la GRE pour les grandes entreprises
(comme SAP) ou pour les entreprises spécifiques (comme Navision de Microsoft).
Pour une organisation, l‘instrumentalisation de la GRE est toujours un grand défi, et un projet
très risqué.

2.5.2. En dehors de l’entreprise: L’Echange de Données Electroniques (EDE)

L‘échange de données électroniques consiste en un assortiment de critères ayant pour but de
structurer les informations qui doivent être échangées électroniquement entre et au sein des
entités commerciales, gouvernementales, des organisations et des autres groupes.
Les critères décrivent les structures des documents, par exemple les commandes d‘achat, afin
d‘automatiser les achats.
Il existe en réalité beaucoup d‘EDE, et cela est une réelle difficulté pour les entreprises.
Le plus souvent, les EDE sont imposés aux PME par les gros clients (comme la
distribution), et cela nécessite un système assez coûteux.

16


De nouveaux types d‘EDE sont développés avec des outils internes et le langage à balises
extensibles : le commerce électronique en langage de balisage extensible.

2.5.3. En dehors de l’entreprise : Le marché de l’e-business

Les marchés de l‘e-business sont des systèmes qui peuvent connecter les clients et les
fournisseurs sur une même plateforme. Ce sont des marchés B2B et B2C (comme eBay).
Sur un marché électronique, le client peut trouver un produit ou un service, choisir le
fournisseur, faire une offre et même payer le produit.
Les marchés verticaux (pour l‘industrie automobile par exemple) et horizontaux (achat sur
internet par exemple) peuvent être distingués.
Le modèle commercial de tels marchés doivent être expliqués afin de comprendre pourquoi
certains d‘entre eux connaissent un réel succès et d‘autres un véritable échec.


Laudon • Laudon (2006) Management Information Systems, 9/e, Pearson prentice hall

2.6. Exercices

17


CHAPITRE 3 : GESTION DE PROJET


Comment gérer le projet d‘un système d‘information
Comment appliquer les outils de la gestion de projet
L‘analyse du risque est traitée dans la partie sur le management du risque


3.1. Introduction
Introduire le chapitre et exposer la gestion de projet comme partie intégrante du management.
Introduire les deux principales associations professionnelles : L‘Institut de la Gestion de
Projet (IGP) et l‘Association Internationale de Gestion de Projet (AIGP)
Présenter les processus de certification pour les managers.

3.2. Définition des principaux concepts de la gestion de projet
La gestion de projet et la direction du projet, les objectifs d‘un projet, structure de l‘équipe de
projet.
Le dictionnaire proposé par les associations internationales peut être ici utilisé.
Application de ces concepts au projet du SI.

3.3. Comment préparer un projet ?
3.3.1. Préciser les objectifs du projet : Pourquoi et où agissez-vous

Un projet de SI doit être rattaché à des objectifs clairs, et chaque objectif doit être contrôlé par
des indicateurs.
Beaucoup de personnes (au sein et en dehors de l‘entreprise) peuvent être concernées par le
projet. On parle ici des intervenants.
Le nombre et les besoins de chaque intervenant doit être défini précisément au début du
projet.

3.3.2. Identifier le type de solutions : Comment agissez-vous ?

Afin de préparer le projet, le type de solution doit être rapidement trouvé (un ensemble de
logiciel, développement et externalisation) et non la solution détaillée.

18


3.3.3. Identifier les ressources humaines et techniques: Avec qui agissez-vous et que
faîtes-vous ?

Les principales ressources dont on a besoin afin de mener à bien le projet sont ensuite
définies.
Le manager du projet est responsable du budget et des ressources utilisées.
Les ressources doivent être disponibles au bon moment et au bon endroit.

3.4. Comment établir le projet ?
Les principales manières de structurer le projet sont ici présentées:
Structure de découpage du projet (SDP)
Structure de décomposition d‘un produit (SDP)
Organisation de la structure de décomposition (OSD)

3.5. Comment gérer un projet?
3.5.1. La direction de projet

La ―direction de projet regroupe tout le travail de gestion d‘un projet:
1 Recrutement des membres de l‘équipe
2 Négociation avec les fournisseurs
3 Gestion des conflits
4 Motivation de tous les intervenants

Ces tâches sont difficiles à enseigner mis à part en étudiant des études de cas.

3.5.2. La gestion de projet

La gestion de projet regroupe un grand nombre de tâches comme: prévision, gestion du
risque, contrôle des coûts, estimation, et gestion du changement.
La prévision, le contrôle des coûts et la gestion du changement sont uniquement présents
dans ce cours.

3.5.2.1. La prévision (Pert and Gantt)
Les principaux principes utilisés pour faire des prévisions sont présentés (Pert or Gantt).
On propose ici d‘utiliser des outils de l‘Open Source community comme le ―Gantt
Project . Cette partie doit être enseignée à l‘aide de quelques exercices.
Le concept de chemin critique et de marge d‘une activité sont utilisés.

3.5.2.2. Le budget et le contrôle des coûts
Le budget d‘un projet est composé d‘investissements et de coûts d‘exploitation.
L‘investissement est composé de journées de travail à la fois simples et difficiles pour
l‘équipe de projet.

19


Ce budget est réalisé au début du projet et est ensuite actualisé pendant la réalisation de
celui-ci.
On présente les principes du contrôle de coûts pour la gestion de projet : prévision,
estimation et réalisation.
Quelques exercices doivent être réalisés concernant ce sujet.

3.5.2.3. La gestion du changement et facteurs humains
Un système d‘information est réalisé afin d‘être utilisé par les employés de l‘entreprise pour
une longue période (on l‘espère).
Mais la mise en place du système nécessite des changements dans l‘organisation et dans le
comportement des utilisateurs.
Ces changements doivent être réalisés à l‘aide d‘une réelle gestion du changement
composée de :
1 Entraînement
2 Encadrement
3 Communication à tous les niveaux du projet

3.6. Comment mettre en place et utiliser les résultats du projet ?
La mise en place d‘un nouveau système d‘information peut être réalisée d‘un coup ou petit à
petit en utilisant l‘ancien et le nouveau système parallèlement.
La mise en place commence avec le test final. Les différents niveaux du test doivent être
expliqués.


1 « Projet de Système d'information : Une démarche et des outils pour le chef de projet »
Alain Lecoeur et Bernard Quinio (Vuibert, Paris 2003).
2 Site du « Project management Institute »
3 Site de l‘« International Project Management Association »

3.7. Exercices

20


CHAPITRE 4 : SECURITE ET CONTROLE DU SI


Comment appliquer les règles de sécurité et les outils dans une PME ?
Comment trouver les informations et les conseils à propos de la sécurité ?


4.1. Introduction
Les termes sécurité d‘information, sécurité de l‘ordinateur et promesse d‘information sont
fréquemment utilisés pour adresser la protection des données à une entreprise.
Quand on parle de la sécurité des informations, on doit être conscient que, de nos jours, le
succès et la survie des organisations dépendent de plus en plus du succès de l‘implantation
d‘outils informatiques. Ni le temps, ni la distance ne peut limiter les échanges d‘informations.
Pour de nombreuses organisations, les informations et la technologie utilisées pour les traiter
sont les biens ayant le plus de valeurs. Les informations électroniques et les systèmes
informatiques jouent un rôle significatif en supportant les processus clés du commerce.
Pendant ce temps, la vulnérabilité des organisations continue de croître. Ce n‘est pas
uniquement l‘accessibilité des informations mais également la menace qui devient mondiale
avec internet.
La confidentialité, l‘intégrité et la disponibilité (connu comme le triptyque de la CIA) sont les
principes clés du système d‘information .On peut également y ajouter l‘authenticité et le non-
rejet.
1 La confidentialité est la propriété de la divulgation préventive des informations afin de
contrer les individualismes ou les systèmes.
2 L‘intégrité signifie que les données ne peuvent être modifiées sans autorisation.
3 Une grande disponibilité signifie que toutes les informations doivent être disponibles
quand on en a besoin.
4 Une forte authenticité signifie que le créateur d‘une donnée est clairement
identifié.
5 Le non-rejet implique qu‘une partie de la transaction ne peut être niée une fois
reçue, et que l‘autre partie ayant envoyée la transaction ne peut la nier.

4.2. Règles de sécurité: strictes, indulgentes et l’organisation
Les règles de sécurité sont réalisées afin de garantir les principes clés de la sécurité. Il existe
toujours trois sortes de règles : strictes, indulgentes et organisationnelles.
• Les règles strictes contrôlent les moniteurs et contrôlent l‘environnement de
l‘espace de travail ainsi que le matériel informatique.
• Les règles plus indulgentes utilisent les logiciels et les données pour surveiller et
contrôler l‘accès aux informations et aux systèmes électroniques.

21


• Les contrôles de l‘organisation (également appelées contrôles de procédure) consistent
en l‘approbation de politiques écrites, de procédures, de critères et de directives.

Concernant la confidentialité, des exemples de règles sont :
• Strictes : protéger les ordinateurs portables avec des antivols
• Indulgentes : avoir un bon mot de passe
• Organisationnelles : ne pas parler d‘informations confidentielles au téléphone
dans le train

Concernant l‘intégrité, des exemples de règles sont :
• Strictes : ne pas autoriser l‘accès physique d‘un ordinateur pour une personne
extérieure à l‘entreprise
• Indulgentes : avoir un bon système de contrôle d‘accès
• Organisationnelles : expliquer à tous les utilisateurs l‘importance de la qualité des
données

Concernant la disponibilité, des exemples de règles sont :
• Strictes : avoir des ordinateurs équipés du système RAID
• Indulgentes : avoir des protections contre des attaques du service
• Organisationnelles : enseigner aux utilisateurs de ne pas lancer des programmes
lourds quand les ordinateurs sont occupés par un traitement périodique (registre
de salaires par exemple)

4.3. Facteurs humains de sécurité
Chaque problème technique ne sera pas utile si les utilisateurs ne sont pas conscients des
problèmes de sécurité ainsi que de leurs impacts. Tous les salariés sont concernés par la
sécurité, et pas uniquement les managers.
Un employé de l‘entreprise (même dans une PME) doit être responsable de la sécurité des
informations, ainsi que d‘informer et d‘enseigner cela à tous les membres de l‘organisation.
Certaines menacent proviennent directement des facteurs humains :
Pirate informatique
Un pirate informatique est une personne recherchant les failles de la sécurité dans les
systèmes de technologie de l‘information. Ce ne sont pas nécessairement des experts
malveillants. Ils conseillent souvent le propriétaire du système concernant les défauts
qu‘ils ont détectés, rendant leur réparation possible. Cependant, un pirate cause des
dommages : il vole des données, fait du chantage, etc.

Les pirates néophytes
Les pirates informatiques créer leurs outils grâce à leurs grandes compétences. Un pirate
néophyte cherche ces outils, utilisés par exemple afin de s‘introduire dans des systèmes, et
commence à essayer de trouver les endroits où il pourrait les utiliser avec succès. Ils
réussissent souvent et peuvent rendre les systèmes inutilisables.
L‘employé victime

22


Les employés sont extrêmement exposés. La loyauté à l‘égard des employés diminue. Le
nombre d‘atteintes internes réalisées afin de compromettre la technologie de sécurité des
informations augmente.

4.4. Attaques internes et externes
Les menaces techniques sont liées à l‘équipement informatique, incluant à la fois les
éléments des logiciels et du matériel informatique. Les moyens d‘attaquer deviennent de plus
en plus automatisés .Ils deviennent de plus en plus élaborés et sont donc de plus en plus
difficilement reconnaissables.

Les défaillances
La complexité des programmes croît rapidement. Dans certains cas, les programmes peuvent
consister en des dizaines de millions de lignes. Naturellement, cela implique une
augmentation du nombre potentiel de défaillances. Le risque qui en suit est que le
programme ne réalise plus la fonction pour laquelle il avait été conçu, et donc qu‘il s‘en suive
une perte d‘informations et/ou que certaines défaillances puissent être utilisées comme des
défauts de la sécurité.

Virus informatiques
Ce sont des programmes présents sur un ordinateur sans que son utilisateur en soit
conscient, et qui commencent à agir sans que l‘utilisateur ne soit au courant. Ils
réalisent deux fonctions : infecter, c‘est-à-dire qu‘ils se propagent, ils s‘assurent de leur
future expansion, alors que leur autre caractéristique est qu‘ils réalisent une certaine tache.
Les anciens virus endommagent souvent les informations en effaçant par exemple des
fichiers. La dernière tendance, d‘autre part, est d‘obtenir plus de contrôle et d‘utiliser
illégalement ces informations.

Les vers des ordinateurs
Ils sont liés aux virus informatiques. Alors que les virus sont activés par l‘intervention
humaine, cela n‘est pas nécessaire pour les vers. Mis à part cela, ils agissent de la même
manière que les virus. Ils causent souvent des surcharges qui rendent les systèmes
inutilisables (panne du service). Ils empêchent les informations ou les services de parvenir à
l‘utilisateur autorisé. Les vers consument les ressourcent de l‘ordinateur. Le « ping de la
mort » est un exemple de paquet surdimensionné.

Les systèmes de réseaux mondiaux offrent une excellente opportunité pou l‘expansion de ces
deux maux.

Les chevaux de Troie
Ce sont souvent des parties de virus ou de vers. Leur caractéristique principale est que, dans
tous les cas, ils créent un détour de sécurité pour leurs créateurs et leurs distributeurs grâce
auxquels ils peuvent intervenir de l‘extérieur dans les opérations du système.

23


Attaques brutales
Leur objectif est de décrypter le système ainsi que les mots de passe de l‘utilisateur. Des
milliers de combinaisons de mots et de caractères sont créés par les outils des logiciels.
L‘utilisation mondiale d‘internet a réellement augmenté la possibilité d‘attaques extérieures
dans le système d‘information.
Les protections minimales pour une PME sont :
1 Un pare-feu tels que ceux proposés par Microsoft ou une alarme en zone
2 Un logiciel espion
3 Un antivirus

Ces logiciels doivent être mis à jour tous les jours afin d‘être efficaces.
Dans la plupart des PME, la protection externe est gérée par un prestataire de services et
l‘entreprise doit examiner sa part de responsabilité en cas de catastrophe.
Les attaques internes sont fréquentes et la protection la plus efficace est la gestion humaine
et la traçabilité du système.

4.5. Loi et normes et authentification pour la sécurité informatique
La directive de protection des données de l‘Union Européenne (DPDUE) exige que tous les
membres de l‘UE doivent adopter des règles nationales afin de standardiser la protection des
données privées pour les citoyens européens.
En France, la CNIL (Commission Nationale de l‘Informatique et des Libertés) est responsable
des lois les plus importantes concernant la sécurité et la confidentialité des systèmes
d‘information.
Le Computer Misuse Act 1990 est une loi du parlement britannique faisant des délits
informatiques un acte criminel (par exemple le piratage informatique).
L‘organisation Internationale de Normalisation (OIN) est un consortium de critères nationaux
instituée par 157 pays et dont le secrétariat central qui coordonne le système se trouve à
Genève en Suisse. L‘OIN est le plus grand éditeur de standards au monde. L‘ISO-15443:
"Technologie de l‘information – Techniques de sécurité – Une structure pour la garantie de la
sécurité en informatique , ISO-17799: "Technologie de l‘information – Techniques de
sécurité – Code de pratique pour la gestion de la sécurité des informations ", ISO-20000:
"
Technologie de l‘information – Techniques de sécurité ", et ISO-27001: " Technologie de
l‘information – Techniques de sécurité – Systèmes de gestion de la sécurité des informations"
sont d‘un intérêt particulier pour les professionnels de la sécurité des informations.
La certification professionnelle internationale en sécurité des systèmes d‘information est une
certification de la sécurité des informations de niveau moyen, voire bon. Les systèmes
d‘information et de sécurité professionnels de l‘architecture, les systèmes d‘information et de
sécurité professionnels de l‘ingénierie, les systèmes d‘informations et de sécurité
professionnels de la gestion, et la certification des gestionnaires de la sécurité des
informations sont bien respectés et donnent respectivement des certifications dans la sécurité
des informations en architecture, en ingénierie, et en gestion

24


4.6. Sauvegarde de données et de logiciel
Pour les entreprises, la protection la plus importante contre les catastrophes liées aux systèmes
d‘information est d‘avoir un système de sauvegarde bien structuré.
Un système de sauvegarde pertinent doit être :
1 Automatique
2 Fréquent
3 En double
4 Souvent testé
Beaucoup de fournisseurs proposent des systèmes de sauvegarde isolés.

4.7. Redémarrer et maintenir l’activité
La continuité du commerce est le mécanisme par lequel une organisation continue d‘opérer,
alors que son commerce peine, pendant des périodes de perturbations prévues ou non, et qui
affectent les opérations normales de ce commerce, en utilisant des procédures planifiées et
gérées.
La Planification Continue des Affaires (PCA) est préparée afin de réduire les coûts de reprise
des affaires. La PCA contient la réponse à une liste de questions telles que :
1 Si une catastrophe arrivait, quelles seraient les toutes premières choses que je devrais
faire en premier?
2 Quelle partie de mon travail devrais-je tout d‘abord reprendre?

4.8. Utilisation du contrôle de l’information et des technologies associées et de
la bibliothèque pour l’infrastructure des technologies de l’information
dans les PME
La gestion des technologies de l‘information devient de plus en plus importante au sein de la
gestion de l‘entreprise. La gestion des technologies de l‘information est une structure de la
gestion de l‘entreprise et du contrôle des relations, et agit de façon à ce que son objectif soit
l‘accomplissement des objectifs de l‘entreprise, en y ajoutant une plus value, et, en même
temps, en pesant les risques et les avantages offerts par les outils informatiques.
Le management doit développer un système de contrôle qui soutienne les processus du
commerce. Cependant il faut clarifier ce que font les activités et en quoi elles contribuent à la
réalisation des besoins relatifs aux informations et, à travers cela, à la réalisation des
objectifs du commerce.
Afin d‘atteindre une uniformité, des ensembles de règles internationales ont été mis en place
(par exemple le contrôle de l‘information et des technologies associées) qui résument les
critères concernant les informations tout comme les principes de mesure de la qualité de leur
réalisation. Afin de réaliser cela, les facteurs de succès, les indicateurs d‘objectifs et de
performance ont été définis, la valeur de ceux qui servent à l‘évaluation de la qualité du
fonctionnement des technologies de l‘information et de l‘ajustement des mesures de
correction nécessaires.
Afin d‘améliorer la sécurité des systèmes d‘information, les PME peuvent utiliser une
méthodologie plus dure comme celle du contrôle de l‘information et des technologies
25


associées ou de la bibliothèque pour l‘infrastructure des technologies de l‘information, qui ont
récemment été adaptés pour les PME.

1 Site du « Clusif »
2 Site de l‘« Information Systems Security Association »

4.9. Exercices

26


II. MANAGEMENT DU RISQUE

CHAPITRE 1 : LES OBJECTIFS DE L’ACQUISITION DES
CONNAISSANCES DU MANAGEMENT DU RISQUE


Avoir une parfaite connaissance des objectifs du management du risque et des problèmes
qu‘il soulève.


1.1. Introduction
Le concept du management du risque qui est présenté est basé sur le travail du comité des
organisations de sponsoring (COS) sur le management du risque et du contrôle interne en
entreprise - La structure intégrée et le matériel d‘entraînement renvoient directement à
quelques parties du sommaire et aux techniques d‘application des documents du COS.

1.2. Objectifs généraux
L‘introduction sous-jacente du management du risque en entreprise est que chaque entité
existe afin de fournir de la valeur aux intervenants. Toutes les entités font face à
l‘incertitude et le défi de la gestion est de déterminer quel degré d‘incertitude il faut afin
d‘accepter à quel point il s‘efforce d‘augmenter la valeur des intervenants. L‘incertitude
présente à la fois un risque et une opportunité, avec le risque de détériorer ou
d‘améliorer la valeur. Le management du risque en entreprise rend le management
capable de gérer efficacement l‘incertitude, le risque associé et les opportunités, en
améliorant la capacité de produire de la valeur.

1.3. Description des principaux problèmes
La valeur est maximisée quand le management met en place des stratégies et des objectifs afin
d‘atteindre une balance optimale entre la croissance et les objectifs et les risques relatifs, et de
déployer de manière efficace les ressources dans la poursuite des objectifs des entités. Le
management du risque englobe en entreprise :
- Faire concorder le niveau de prise de risque et la stratégie – Le management
considère le niveau de prise de risque de chaque entité en évaluant les alternatives
stratégiques,en mettant en place des objectifs liés, et en développant les mécanismes
afin de gérer les risques relatifs à cela.

27


- Améliorer les réponses aux risques – Le management du risque en entreprise fournit la
rigueur permettant d‘identifier et de sélectionner une réponse parmi les réponses
alternatives aux risques – éviter les risques, les réduire, les partager et les accepter.
- Réduire les surprises et les pertes opérationnelles – Le gain en entité améliore la
capacité d‘identifier les évènements potentiels et d‘établir des réponses, en
réduisant les surprises ainsi que les coûts et les pertes qui y sont associés.
- Identifier et gérer les multiples risques croisés en entreprise – Chaque entreprise fait
face à une myriade de risques affectant différentes parties de l‘organisation, et le
management du risque en entreprise facilite les réponses efficaces aux impacts qui y
sont liés, ainsi que les réponses intégrées à ces multiples risques.
- Saisir les opportunités – En considérant un grand nombre d‘évènements potentiels, le
management est positionné afin d‘identifier et de réaliser les objectifs de manière
dynamique.
- Améliorer l‘augmentation du capital – Obtenir des informations importantes
concernant les risques permet au management d‘évaluer de manière efficace tous les
besoins en capital et d‘améliorer la répartition du capital.

1.4. Pourquoi la gestion du risque est utile aux PME ?
Ces capacités inhérentes au management du risque en entreprise aident la gestion à réaliser les
performances de chaque entité ainsi qu‘à atteindre les cibles des bénéfices et à éviter les
pertes de ressources. Le management du risque en entreprise aide à s‘assurer de l‘efficacité
de la couverture et de la conformité vis-à-vis des lois et des règles, et aide à éviter les
dommages pour la réputation des entités, ainsi que les conséquences qui y sont associées.
Pour résumer, la gestion du risque en entreprise aide une entité à atteindre ce qu‘elle veut
et à éviter les écueils et les surprises tout au long du chemin.
Les événements peuvent avoir un impact négatif, positif ou bien à la fois positif et négatif.
Les événements qui ont un impact négatif représentent un risque, qui peut empêcher la
création de valeur ou la dégradation de valeurs déjà existantes. Les évènements qui ont un
impact positif peuvent compenser les impacts négatifs ou représenter des opportunités. Les
opportunités sont la possibilité qu‘un évènement se produise et affecte de manière positive la
réalisation des objectifs, en supportant la création de valeurs ou la préservation de celles-
ci. La gestion des opportunités liées aux canaux revoit ses stratégies ainsi que la mise en
place des objectifs, en formulant des prévisions afin de saisir les opportunités.



1.5. Exercices

28


CHAPITRE 2 : CONCEPTS FONDAMENTAUX DU


Avoir une connaissance parfaite des concepts du management du risque


2.1. Définition du management du risque en entreprise
Le management du risque en entreprise est un processus, établi par le conseil d‘administration
d‘une entité, par la gestion et par d‘autre personnel, appliqué dans la mise en place d‘une
stratégie, à travers l‘entreprise, désigné pour identifier des événements potentiels qui
pourraient affecter cette entité, et gérer le risque de se retrouver au sein même de cette
prise de risque, afin de fournir une garantie raisonnable envers la réalisation des objectifs
de l‘entité.
La définition reflète certains concepts fondamentaux:
- Un processus en cours et qui fait partie intégrante d‘une entité
- Etabli par des gens à chaque niveau d‘une organisation
- Appliqué dans la mise en place d‘une stratégie
- Appliqué à travers les entreprises, à chaque niveau et à chaque unité, et incluant de
prendre en considération le risque du portefeuille du niveau de l‘entité

2.2. Types de risques
Les types de risques dépendent beaucoup du secteur, du type d‘entité et de sa taille, des
facteurs géographiques et culturels. Le concept de la Gestion du Risque en Entreprise (GRE)
s‘applique aux risques basés sur un événement potentiel externe ou interne qui pourrait
affecter de manière significative la réalisation des objectifs organisationnels et opérationnels.
Le terme de risque inhérent est utilisé pour les risques concernant une entité en l‘absence de
quelque action que le management pourrait considérer comme étant une réponse. Le terme de
risque résiduel est utilisé pour les risques qui restent comme étant le résultat d‘une réponse du
management (contrôle). Le management du risque en entreprise devrait être considéré comme
étant à la fois un risque inhérent et résiduel.
On utilise également le terme de risque de contrôle en ce qui concerne les événements
qui peuvent faire que les résultats prévus par une ou plusieurs procédures de système de
contrôle ou même d‘activités de contrôle ne soient pas réalisés, à savoir que les risques
résiduels ne soient pas au-dessus de la valeur projetée (du niveau de la prise de risque).



29



2.3. Exercices

30


CHAPITRE 3: REALISATIONS DES OBJECTIFS LIES DES
ENTITES


Savoir comment lier les différents objectifs du management du risque


3.1. Catégories d’objectifs
Au sein du contexte d‘une mission ou d‘une vision établie par une entité, le management
met en place des objectifs stratégiques, sélectionne une stratégie, et met en place des
objectifs liés qui rejaillissent au sein de l‘entreprise. La structure du management du
risque en entreprise est développée afin de réaliser les objectifs d‘une entité, qui tiennent
dorénavant en quatre catégories :
- Stratégique – des objectifs difficiles, qui s‘alignent sur la mission tout en la
soutenant - Opérations – utilisation efficace de ses ressources
- Couverture – fiabilité de la couverture
- Conformité – conformité aux lois et aux règles.

3.2. Mise en place d’objectifs
La mise en place d‘objectifs est appliquée quand le management prend en considération la
stratégie d‘une entité dans la mise en place d‘objectifs. Cela constitue le niveau de prise de
risque de l‘entité — une grande considération de ce que risque le management et le conseil
(de surveillance) est une volonté d‘accepter la stratégie qui les concerne – et la tolérance du
risque – le niveau d‘acceptation de la variation autour des objectifs des entités situés au même
niveau que celui de la prise de risque.

3.3. L’identification d’évènements
L‘identification d‘évènements implique l‘identification de ces incidents, qui ont lieu de
manière interne et externe, et qui peuvent affecter la stratégie et la réalisation des objectifs. Il
montre comment les facteurs internes et externes combinent et interagissent afin
d‘influencer le profil du risque.

3.4. Evaluation du risque
L‘évaluation du risque permet à une entité de comprendre à quels évènements potentiels ses
objectifs peuvent être confrontés. Cela évalue les risques selon deux perspectives :
- Sa probabilité

31


- Son impact

3.5. Réponses au risque
Les réponses potentielles aux risques doivent être identifiées et évaluées. Pendant
l‘évaluation la prise de risque de l‘entité doit être prise en considération, et les réponses
potentielles au risque sont comparées par rapport à l‘analyse des coûts et des bénéfices et à
l‘importance de la manière dont les réponses potentielles diminuent l‘impact et/ou les
chances.


3.6. Exercices

32


CHAPITRE 4 : COMPOSANTES DU MANAGEMENT DU
RISQUE


Savoir comment lier les différentes composantes du management du risque


4.1. Relation entre les composantes et les objectifs
La gestion du risque en entreprise consiste en huit composantes liées entre elles. Elles
dérivent de la manière dont le mangement dirige une entreprise et sont intégrées aux
procédés du management. Ces composantes sont :
- L‘environnement interne
- Mise en place d‘objectifs.
- L‘identification d‘évènements.
- L‘évaluation du risque
- Le risque
- Le contrôle des activités.
- L‘information et la communication
- La surveillance.

La relation entre les objectifs et les composantes est représentée dans une matrice en trois
dimensions, sous la forme d‘un cube. Les quatre catégories d‘objectifs – stratégique,
opérations, couverture, et conformité – sont représentées par des colonnes verticales, les huit
composantes par des rangées horizontales, et une unité d‘entité par la troisième dimension.

4.2. Efficacité et limitations du management du risque

Déterminer si le management du risque en entreprise d‘une entité est ―efficace est un
jugement qui résulte d‘une évaluation, à savoir si les huit composantes sont présentes et
fonctionnent bien. Ainsi, les composantes sont également des critères pour l‘efficacité de la
gestion du risque en entreprise. Pour les composantes, le fait d‘être présentes et de bien
fonctionner ne peut pas être une faiblesse matérielle, et le risque pris doit être inclut au sein
de la prise de risque de l‘entité

4.3. Intégration des contrôles internes
Le système des contrôles internes fait partie intégrante du management du risque en
entreprise. La structure de ce management du risque en entreprise englobe le contrôle
interne, le fait de former une conceptualisation plus solide, ainsi que les outils de gestion. Le
contrôle interne est définit et décrit dans Contrôle Interne – Structure Interne. Comme cette

33


structure a résisté au temps et qu‘elle est la base des règlements existants, des règles, et des
lois, ce document reste en place comme étant la définition de la structure du contrôle
interne. Alors que seulement des parties du texte Contrôle Interne – Structure Intégrée sont
reproduites dans cette structure, sa totalité y est incorporée en tant que référence.



4.4. Exercices

34


CHAPITRE 5 : EVALUATION DES CAPACITES DU


Comment évaluer les capacités du management du risque


5.1. Le Comité d’organisation du Sponsoring (COS) comme modèle de
référence applicable
Le procédé de modèle de référence basé sur les conseils du COS en 2006 associé au procédé
qui attribut les standards définis dans l‘ISO/IEC 15504-2, fournit une base commune pour
l‘évaluation des performances du management du risque, de la capacité du processus de
contrôle interne et du rapport des résultats en utilisant une échelle commune de taux.
Le modèle d‘évaluation du processus définit un modèle en deux dimensions des capacités du
processus. Dans une dimension, la dimension du processus, les procédés sont définis et
classés en catégories de procédés. Dans l‘autre dimension, la dimension des capacités, une
série de caractéristiques des procédés ; groupée en niveau de capacité, est définie. Les
caractéristiques des procédés fournissent des caractéristiques mesurables de la capacité du
processus.

5.2. Elaboration des objectifs des entités en niveaux de capacité
Le modèle du COS identifie cinq niveaux de capacité.

Niveau 1 – La conformité (Processus accompli)
Le processus de contrôle interne existe et réalise tous les résultats définis et suit toutes les
règles internes et externes qui sont utiles.

Niveau 2 — Compte-rendu fiable (Processus réalisé)
Le processus accompli décrit ci-dessus est désormais exécuté d‘une manière contrôlée (prévu,
surveillé et ajusté) et les fruits de son travail sont établis de manière judicieuse, sont
contrôlés, et sont maintenus.

Niveau 3 — Opération efficace (Processus établi)
Le processus réalisé décrit ci-dessus est désormais exécuté et utilise un procédé capable de
réaliser ses résultats en cours.

Niveau 4 – Objectifs stratégiques (Processus prévisible)
Le processus établi décrit ci-dessus fonctionne désormais dans le cadre des limites établies
afin de réaliser ses résultats en cours.

35


Niveau 5 - La gestion du risque est optimisée

5.3. Promesses et engagements de consultation de l’audit
L‘interprétation traditionnelle basée sur les systèmes d‘audit est conduite par les systèmes qui
sont actuellement en place, et les contrôles sont liés à cela. Cela suppose que les contrôles en
place couvrent tous les risques et se fient fréquemment aux « questionnaires de contrôle
interne », qui sont des documents standards qui sont utilisés dès qu‘un audit est réalisé. Les
risques basés sur les audits des experts attirent l‘attention sur le danger de ces
questionnaires qui les comparent à l‘approche basée sur les risques.



5.4. Exercices

36


C) SPECIFICATIONS NATIONALES

1. FRANCE
Réalisé par B. Quinio

1.1. Gestion du système d’information
1.1.1. Chapitre 1 Organiser et diriger le Système d’Information (SI) dans une PME

Caractérisation des fournisseurs d’information
Les prestataires de service en système d‘information sont définis par le code NAF 72, mais
également 642A et 642B. Quelques « agences en ligne » sont définies par les codes
744B,921B et 921G. On peut également tenir compte de la classification SYNTEC.

Lecture pour le chapitre 1:
http://www.syntec.fr/

1.1.2. Chapitre 2 Applications du SI dans une PME

Au sein de la firme: Planification des ressources de l’entreprise (PRE)
En France, on peut étudier le groupe Cegid. (http://www.cegid.fr/)

Echange de données électroniques (EDE)
En France on peut étudier l‘organisme GS1.(http://www.gs1.fr/)

Lectures pour le chapitre 2:
http://www.edifrance.org/

1.1.3. Chapitre 3 Gestion de projet

Définition des principaux concepts de la gestion de projet
En France, on utilise les concepts de ―maîtrise d‘ouvrage et de ―maîtrise d‘œuvre , cela
doit être clairement expliqué.

Planification (Pert and Gantt)
On peut utiliser le projet de Gantt qui est un logiciel gratuit pour tout le monde.

http://www.managementprojet.com
http://www.afitep.fr/
http://www.clubmoa.asso.fr/

37


1.1.4. Chapitre 4 Sécurité et contrôle du SI

Règles de sécurité: strictes, indulgentes, et organisation
On peut expliquer et développer la méthode Mehari du CLUSIF. Celle-ci est très claire et très
bien présentée sur son site internet.

Utilisation du Contrôle de l'Information et des Technologies Associées pour les PME
(CITA)
Pour l‘utilisation du CITA, les outils proposes par l‘AFAI peuvent être utilisés.

Lois pour la sécurité informatique
En France les lois concernant l‘informatique sont principalement définies par la CNIL.

http://www.clusif.asso.fr/
http://www.afai.asso.fr/
http://www.cnil.fr/

1.2. Management du risque
Lectures pour ce module:
Management du risque. Approche globale. AFNOR. 2002. ISBN 2-12-169211-8
100 questions pour comprendre et agir. Gestion des risques. Jean-Paul Louisot. AFNOR et
CARM Institute (Cercle des Affaires en Risk Management). ISBN 2-12-475087-9
Prévenir les risques. Agir en organisation responsable. Andrée Charles, Farid Baddache.
Editions AFNOR. 2006. ISBN 2-1247-5519-6.
Guide Pratique des captives d‘assurance et de réassurance. 2007 Collection AMRAE
www.amrae.fr .ISBN 22523

38

Management des Système d'Information

Management des Système d'Information

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (19)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie Management des Système d'Information

Ähnlich wie Management des Système d'Information (20)

Management des Système d'Information