Stratégie et Management du SI

Plateforme de cours en ligne

Classe B3 ASO 2025-2026

Module 4 : Gouvernance du SI et Enjeux de Sécurité

MGT-301 / Module 4
Comprendre qui décide au sujet du SI et comment les risques de sécurité sont gérés. Découvrez les rôles clés de la gouvernance, les menaces actuelles, et le rôle transformationnel du DSI en tant que partenaire stratégique de la Direction Générale.
⏱️ Durée : 8 heures 🎓 Niveau : Avancé 📌 Sections : 5 clés

Objectifs d'Apprentissage

À la fin de ce module, vous serez capable de :

  • Définir la gouvernance du SI et son importance stratégique
  • Identifier les rôles et responsabilités clés (Direction, DSI, Métiers)
  • Comprendre les structures de gouvernance (comités, COBIT)
  • Reconnaître les menaces principales de sécurité informatique
  • Proposer des solutions de sécurité adaptées
  • Analyser le Plan de Continuité d'Activité (PCA)
  • Evaluer le rôle stratégique du DSI dans l'organisation

1. Qu'est-ce que la Gouvernance du SI ?

Définition Fondamentale

Gouvernance du SI
Ensemble de processus, structures de prise de décision et mécanismes de contrôle qui assure que le Système d'Information soutient la stratégie d'entreprise, gère les risques, et crée de la valeur. C'est qui décide, comment, et avec quels contrôles.

Pourquoi la Gouvernance Est Critique

🤔 Question de Réflexion

Pourquoi une entreprise qui a un "bon management" (efficace au quotidien) peut-elle quand même échouer si elle a une "mauvaise gouvernance" (mauvaises décisions stratégiques) ?

Gouvernance vs. Management vs. Opérations

Les Trois Niveaux de Pilotage du SI
  • GOUVERNANCE (STRATÉGIQUE - Direction)
    • QUI décide ? Direction + Comités
    • Horizon : 3-5 ans
    • Questions : Alignement, valeur, risques majeurs
    • Exemple : Décision d'investir 50M en cloud
  • MANAGEMENT (TACTIQUE - DSI)
    • COMMENT exécuter ? Planification, allocation ressources
    • Horizon : 1-2 ans
    • Questions : Projets à lancer, budgets, équipes
    • Exemple : Plan IT annuel 2024-2025
  • OPÉRATIONS (QUOTIDIEN - Équipes IT)
    • FAIRE les tâches jour à jour
    • Horizon : Continu
    • Questions : Incidents, tickets, maintenance
    • Exemple : Fixer un bug, supporter un utilisateur

Les Structures de Gouvernance

1. Le Comité de Pilotage IT (COPIL)

Composition

  • PDG ou représentant Direction Générale
  • DSI (Directeur Systèmes d'Information)
  • CFO (Directeur Financier)
  • Responsables métiers clés

Fréquence : Trimestrique

Rôle : Valider la stratégie IT, arbitrer les priorités, valider les budgets majeurs

2. Le Comité de Sécurité du SI

Composition

  • DSI ou CISO (Chief Information Security Officer)
  • Responsable sécurité informatique
  • Responsable continuité / sinistres
  • Audit interne & Compliance

Fréquence : Mensuelle

Rôle : Évaluer les menaces, décider des investissements sécurité, auditer la conformité

Frameworks de Gouvernance

COBIT (Control Objectives)

Standard le plus utilisé pour la gouvernance IT.

  • Propose 5 domaines clés
  • 40+ processus définis
  • Focus : Alignement + contrôle

ITIL

Framework pour le management des services IT.

  • Processus transversaux
  • Bonnes pratiques ITSM
  • Focus : Opérations IT efficaces

2. Les Rôles et Responsabilités Clés

Les Trois Piliers de la Gouvernance

Pilier 1 : La Direction Générale

  • Stratégie SI : Valider l'alignement SI-Stratégie
  • Budget : Approuver les investissements majeurs
  • Risques : Assurer la gestion des risques critiques
  • Partenariat : Travailler avec le DSI

Pilier 2 : Le DSI (Directeur SI)

  • Stratégie : Proposer la stratégie IT
  • Portefeuille : Gérer les projets et les priorités
  • Opérations : Assurer la continuité des services
  • Sécurité : Diriger la sécurité informatique

Pilier 3 : Les Responsables Métier

  • Besoins : Exprimer clairement les besoins métier
  • Priorités : Valider les priorités projet
  • Adoption : Piloter l'adoption des solutions IT
  • Gouvernance : Participer aux comités

La Transformation du Rôle du DSI

HIER : DSI = Technicien IT

  • Gère les systèmes et l'infrastructure
  • Rôle de support et de maintenance
  • Peu d'influence stratégique

AUJOURD'HUI : DSI = Partenaire Stratégique

  • Pilote la transformation digitale
  • Co-crée la stratégie d'entreprise
  • Identifie les opportunités technologiques
  • Rapport : Pair de la Direction Générale

3. Les Menaces de Sécurité Actuelles

Les Menaces Principales

1. Ransomware

Impact : Arrêt complet de l'activité, pertes financières massives.

Coût moyen : 5-100 millions EUR par incident majeur.

2. Phishing (Hameçonnage)

Impact : Vol de credentials (mots de passe), malware, accès non autorisé.

Statistique : 90% des cyberattaques réussies commencent par du phishing.

3. Fuites de Données

Impact : Pertes de confidentialité, sanctions RGPD, dommages réputationnels.

Coût moyen : 2000-5000 EUR par enregistrement (client) exposé.

Statistique Alarmante :
60-70% des PME touchées par une cyberattaque majeure font faillite dans les 6 mois. C'est un enjeu de survie.
🤔 Question de Réflexion

Le phishing cible les humains, pas les machines. Pensez-vous que la solution est 100% technique (meilleurs filtres email) ou 100% humaine (formation) ? Ou un mix ?

4. Solutions et Bonnes Pratiques de Sécurité

Les Quatre Piliers de la Sécurité

Pilier 1 : Infrastructure et Systèmes (Technique)

Éléments Clés

  • Firewalls & Antivirus : Contrôler le trafic et bloquer les malwares.
  • MFA (Authentification Multi-Facteurs) : Vérification forte de l'identité.
  • Patches & Updates : Corriger les vulnérabilités connues.

Pilier 2 : Processus et Gouvernance (Organisationnel)

Bonnes Pratiques

  • Politique de Sécurité : Cadre clair des règles (ex: qui a accès à quoi).
  • Gestion des Accès : Principe du Moindre Privilège.
  • Audit Régulier : Identifier les faiblesses avant les pirates.

Pilier 3 : Formation et Sensibilisation (Humain)

Formation Requise

  • Pour TOUS : Reconnaître les risques de phishing, hygiène des mots de passe.
  • Fréquence : Annuelle minimum, idéalement trimestrielle.

Pilier 4 : Plan de Continuité d'Activité (PCA)

Qu'est-ce qu'un PCA ?

Plan qui définit comment continuer l'activité en cas de sinistre majeur.

  • RTO (Recovery Time Objective) : Temps maximum acceptable d'arrêt (ex: 4 heures).
  • RPO (Recovery Point Objective) : Quantité de données acceptable à perdre (ex: 15 minutes).
  • Sauvegardes : Copies régulières des données, stockées hors site.
🤔 Question de Réflexion

Une banque a un RTO (Temps d'arrêt max) de 10 minutes. Une université a un RTO de 24 heures. Quel est l'impact de cette différence sur le coût de leur Plan de Continuité d'Activité (PCA) ?

Stratégie de Défense en Profondeur

Modèle de Défense Multicouche (ATTAQUANT ↓)
  • Couche 1 : Périmètre (Firewall, WAF)
  • Couche 2 : Détection (IDS, Threat Intel)
  • Couche 3 : Authentification (MFA)
  • Couche 4 : Applications (Chiffrement)
  • Couche 5 : Surveillance (Logs, SIEM)
  • Couche 6 : Réponse (Équipe de Réponse aux Incidents)

Si l'attaquant perce une couche, les suivantes peuvent le bloquer.

5. Le Rôle Stratégique du DSI

De Technicien à Leader Stratégique

1. Transformation Digitale

  • Piloter la modernisation IT
  • Adopter technologies émergentes (IA, Cloud)
  • Transformer les processus métier

2. Création de Valeur

  • Identifier opportunités de croissance
  • Optimiser coûts et efficacité
  • Maximiser ROI des investissements

3. Gestion des Risques

  • Cybersécurité et protection données
  • Continuité d'activité et résilience
  • Compliance réglementaire (RGPD)

4. Talent et Culture

  • Attirer et retenir les meilleurs talents
  • Créer culture d'innovation IT
  • Développer compétences futures

Les Défis du DSI Moderne

Défis Majeurs :
  • Naviguer entre innovation (agilité) et stabilité (legacy).
  • Gérer l'héritage (legacy) tout en transformant.
  • Attirer et retenir les talents IT (guerre des talents).
  • Communiquer la valeur IT au conseil d'administration.
🤔 Question de Réflexion

D'après vous, quel est le plus grand défi pour un DSI aujourd'hui : gérer la technique (ex: le cloud) ou gérer l'humain (ex: attirer les talents, piloter le changement) ?

Comment Mesurer le Succès du DSI

Domaine KPI Traditionnel KPI Stratégique
Valeur Coûts IT réduits Revenus créés par IT
Opérations Uptime, tickets résolus Satisfaction métier
Innovation Projets livrés à temps Nouvelles capacités business
Sécurité Incidents détectés Zéro breach majeur
Métaphore :

Le DSI n'est plus juste l'électricien qui fait fonctionner les lumières. C'est l'architecte qui décide comment cette maison sera habitée dans 10 ans, qui s'assure qu'elle est sûre et résiliente. Le DSI façonne l'avenir de l'organisation.

Points Clés à Retenir

Ce que Vous Avez Appris

  • Gouvernance : C'est le "qui décide" (stratégie), à ne pas confondre avec le "comment on fait" (management).
  • Comités : La gouvernance s'exerce via des comités (COPIL) où le DSI et les métiers décident ensemble.
  • DSI Stratégique : Le DSI n'est plus un technicien, c'est un partenaire business qui gère la transformation et les risques.
  • Sécurité : C'est un enjeu de survie. Les menaces (ransomware, phishing) sont constantes.
  • Défense : La solution est un mix de Technique (MFA), d'Organisation (PCA) et d'Humain (Formation).