Hoja de repaso: Gouvernance et sécurité du SI

📋 Plan du Cours

  1. Numérique, data et open data
  2. Innovations et sobriété numérique
  3. Système d’information et fonctions
  4. Gouvernance, urbanisation et cartographie
  5. Sécurité du SI et DICP
  6. Continuité d’activité et gestion de crise
  7. Cybermenaces et rançongiciels
  8. Gestion opérationnelle des incidents
  9. Intelligence artificielle et LLM
  10. RAG, prompt et risques de l’IA
  11. Méthodologie de cas pratique

📖 1. Numérique, data et open data

🔑 Notions clés & Définitions

  • Numérique : Le numérique regroupe les technologies, infrastructures, logiciels, réseaux et données qui permettent de produire, stocker, traiter, transmettre et exploiter l’information sous forme numérique.
  • Cyberspace : Le cyberespace désigne l’espace immatériel où circulent des données numériques, tout en reposant sur des éléments physiques comme les serveurs et datacenters.
  • Data : La data correspond à l’ensemble des informations collectées, stockées et traitées par des systèmes, quel que soit leur type (texte, image, son, données financières, médicales, etc.).
  • Open data : L’open data désigne des données rendues librement accessibles et exploitables, afin d’en faire un bien commun au service du public.

📝 Points essentiels

  • Le numérique transforme l’organisation et ses risques (cyberattaque, fuite de données, dépendance aux prestataires, shadow IT) et impose un pilotage stratégique du SI.
  • Le cyber vient de kybernêtikê, ce qui relie le numérique à la gouvernance, via l’idée d’un pilotage/administration des systèmes numériques.
  • La valeur de la data dépend de sa collecte et sa qualification, puis de sa sécurisation, analyse et gouvernance.
  • Une donnée ouverte doit être complète, primaire, accessible, exploitable, non discriminatoire, non propriétaire, opportune, libre de droits, permanente, gratuite.
  • La dématérialisation (documents, échanges, tâches via GED/SAE, signature électronique, horodatage, OCR, etc.) peut améliorer la performance mais augmente la dépendance au SI et les risques cyber.

💡 Astuce mémo

Open data = “C-A-N-O-N-A-O-P-G” : Complète, Accessible, Non discriminatoire, Non propriétaire, Exploitable, Opportun(e), Permanente, Gratuite.

📖 2. Innovations et sobriété numérique

🔑 Notions clés & Définitions

  • Innovation numérique : L’innovation numérique regroupe l’ensemble des technologies et usages qui élargissent les capacités d’analyse, d’automatisation, de connexion et de production d’informations.
  • Sobriété numérique : La sobriété numérique consiste à réduire l’impact du numérique en limitant le superflu, en prolongeant la durée de vie des équipements et en maîtrisant les ressources utilisées.
  • Internet des objets : L’Internet des objets décrit des objets connectés et capteurs qui collectent et échangent des données pour piloter des environnements comme le smart building ou la santé connectée.
  • Big data : Le big data correspond à l’exploitation de volumes importants de données pour analyser, prédire et soutenir la décision ou l’automatisation.
  • Open API : Une open API est une interface de services numériques exposée pour permettre à d’autres applications de consommer des fonctionnalités de manière plus ouverte.

📝 Points essentiels

  • Le numérique augmente les besoins d’infrastructures car la croissance des usages, de l’IA et du cloud accroît les capacités de stockage et de traitement à maintenir.
  • Le numérique a un impact environnemental : il consomme de l’énergie et de l’eau, mobilise des métaux rares et produit une empreinte carbone.
  • La sobriété numérique vise à limiter le stockage inutile, prolonger la durée de vie des équipements et réduire les usages superflus en choisissant des services adaptés.
  • Le principe n’est pas de refuser le numérique, mais de maîtriser son accélération et ses effets sur l’organisation et ses ressources.

💡 Astuce mémo

IA/IoT/Big data/Open API/Cloud : quatre moteurs + connectivité, puis sobriété = moins de stockage inutile + plus de durée de vie.

📖 3. Système d’information et fonctions

🔑 Notions clés & Définitions

  • Donnée : La donnée est un élément brut non interprété, pris hors de son contexte d’usage.
  • Système d’information : Le système d’information est un ensemble organisé qui collecte, stocke, traite et distribue l’information pour soutenir le pilotage et l’action.
  • Composants d’un SI : Les composants d’un SI regroupent données, logiciels, matériel, ressources humaines et processus, qui interagissent pour produire l’information utile.
  • 4 fonctions du SI : Les 4 fonctions du SI sont collecter, stocker, traiter et distribuer, de la naissance de la donnée jusqu’à sa diffusion.

📝 Points essentiels

  • Le SI relie des données et des acteurs avec des procédures, logiciels et matériels pour transformer la donnée en information exploitable.
  • Un SI doit être cartographié, sécurisé, gouverné et aligné avec les objectifs de l’organisation pour limiter coûts et dépendances.
  • Collecter consiste à acquérir la donnée depuis l’interne ou l’externe via formulaires, capteurs ou saisies.
  • Stocker assure la conservation de l’information pour qu’elle reste disponible dans le temps grâce à une base de données, un serveur, du cloud ou une GED.
  • Traiter regroupe l’analyse, le contrôle et l’automatisation de l’information, par exemple via le calcul d’indicateurs et l’extraction d’éléments pour tableaux de bord.
  • Distribuer transmet l’information aux acteurs internes ou externes via rapports, notifications, API ou exports.

💡 Astuce mémo

CST D : Collecter-Stocker- Traiter-Distribuer (de la donnée brute à l’info diffusée).

📖 4. Gouvernance, urbanisation et cartographie

🔑 Notions clés & Définitions

  • SI en silos : Un SI en silos est un ensemble d’applications créées pour un besoin local, sans vision d’ensemble ni cohérence globale.
  • Urbanisation du SI : L’urbanisation du SI est l’organisation cohérente des applications, des données, des flux et de l’infrastructure pour rendre l’ensemble lisible et évolutif.
  • Cartographie du SI : La cartographie du SI est la représentation des applications, serveurs, données, flux, dépendances et responsables pour piloter et maîtriser le système.
  • Alignement stratégique du SI : L’alignement stratégique du SI consiste à faire correspondre le SI avec les missions, les métiers et la stratégie de l’organisation.

📝 Points essentiels

  • Le SI en silos entraîne des doublons, une absence d’interopérabilité, des flux non maîtrisés et des coûts élevés de maintenance.
  • Urbaniser le SI vise à obtenir un système lisible, évolutif, sécurisé et compatible avec la stratégie de l’organisation.
  • La cartographie identifie les points critiques et les risques du SI pour faciliter gestion de panne, cyberattaque et migration.
  • La cartographie permet à la direction de ne pas piloter sans visibilité en s’appuyant sur les dépendances et responsables.
  • Un SI utile est un SI aligné sur les missions, les métiers et la stratégie de l’organisation.

💡 Astuce mémo

Silos = îlots qui se doublonnent ; Urbanisation = plan d’ensemble ; Cartographie = plan des dépendances pour agir vite.

📖 5. Sécurité du SI et DICP

🔑 Notions clés & Définitions

  • DICP : La DICP regroupe quatre critères pour évaluer et protéger un système d’information : disponibilité, intégrité, confidentialité et preuve.
  • Système de management de la sécurité : Le système de management de la sécurité de l’information organise une démarche continue et pilotée pour réduire les risques et améliorer la protection.
  • Charte informatique : La charte informatique encadre juridiquement l’usage du SI en précisant droits, obligations et sanctions liées aux pratiques des utilisateurs.
  • Gouvernance et management cyber : La gouvernance cyber définit qui décide et qui pilote la sécurité, depuis la direction jusqu’aux rôles spécialisés comme la DSI, le RSSI et le DPO.
  • Approche par le risque : L’approche par le risque mesure la criticité d’un risque et choisit des actions correctives proportionnées au niveau de risque.

📝 Points essentiels

  • La DICP impose de traiter la disponibilité, l’intégrité, la confidentialité et la preuve, chacune visant un type de défaillance concret comme l’indisponibilité ou la fuite de données.
  • Le système de management de la sécurité s’appuie sur une démarche structurée incluant cartographie des SI, audit de vulnérabilité, appréciation des risques, plans (PCA/PRA/PCC) et sensibilisation.
  • Le système de management de la sécurité se rattache à une logique de type ISO 27001 pour organiser le cycle d’amélioration continue.
  • La criticité se calcule par gravité multipliée par probabilité, afin d’avoir une lecture commune et d’adapter les mesures correctives au niveau de risque.
  • Le CODIR porte la stratégie et assume la responsabilité globale, la DSI pilote technique et prestataires, le RSSI pilote la sécurité, et le DPO supervise la conformité RGPD.

💡 Astuce mémo

C = G × P : la criticité dépend de la gravité et de la probabilité.

📖 6. Continuité d’activité et gestion de crise

🔑 Notions clés & Définitions

  • Plan de continuité d’activité PCA : Le PCA est un plan opérationnel qui maintient les missions essentielles en mode dégradé pendant une crise.
  • Plan de reprise d’activité PRA : Le PRA est un plan opérationnel qui vise à rétablir l’activité après un incident ou un sinistre.
  • Plan de communication de crise PCC : Le PCC est un plan qui organise l’information en crise pour les collaborateurs, usagers, sous-traitants, autorités et la presse.
  • RTO / DMIA : Le RTO, aussi appelé DMIA dans le cours, représente la durée maximale d’interruption admissible avant que l’impact devienne inacceptable.
  • RPO / PDMA : Le RPO, aussi appelé PDMA dans le cours, indique la perte maximale de données admissible pendant un incident.

📝 Points essentiels

  • Le PCA intervient pour faire tourner l’activité minimale, tandis que le PRA vise le rétablissement après l’incident ou le sinistre.
  • Les plans informatiques de continuité ou de reprise (PCI/PRI) sont des sous-ensembles qui précisent ce qui se fait côté SI dans le PCA/PRA.
  • Le WRT, aussi nommé DRN, correspond à la durée de retour à la normale après l’incident.
  • Un PCA/PRA/PCC se construit en identifiant les missions essentielles, en définissant les modes dégradés acceptables, puis en rédigeant des fiches réflexes par incident.
  • Les procédures doivent être diffusées aux équipes, testées régulièrement, et mises à jour après tout changement important ou retour d’expérience.
  • En cas de cyberattaque, on enchaîne détection/alerte, confinement, cellule de crise, qualification, activation de la continuité (y compris outils alternatifs ou mode papier), puis communication.

💡 Astuce mémo

PCA = Continuer, PRA = Réparer, PCC = Communiquer (RTO = durée max d’arrêt, RPO = données max perdues).

📖 7. Cybermenaces et rançongiciels

🔑 Notions clés & Définitions

  • Rançongiciel : Un rançongiciel est un type d’attaque qui chiffre ou bloque les données pour exiger une rançon avant de restaurer l’accès.
  • Cryptolocker : Cryptolocker est un exemple de rançongiciel cité comme illustration de ce type d’attaque.
  • WannaCry : WannaCry est un exemple de rançongiciel cité comme illustration de ce type d’attaque.
  • Shadow IT : Le shadow IT regroupe des usages numériques échappant au contrôle de la DSI et du responsable sécurité, pouvant accroître les risques de fuite ou de non-conformité.

📝 Points essentiels

  • Les cyberattaques réussissent souvent car la sécurité n’est pas un état stable, de nouvelles vulnérabilités apparaissent, les modes opératoires évoluent et la transformation numérique augmente la surface d’attaque.
  • La cybercriminalité progresse avec des cibles plus nombreuses, des interconnexions accrues, une expertise accessible via des kits ou services, une impunité relative et des profits élevés comme les rançons ou la revente de données.
  • Un ransomware chiffre ou bloque les données puis exige une rançon, et ses conséquences incluent l’arrêt d’activité, la perte d’accès, la fuite de données, des coûts et une atteinte à l’image.
  • Dans la santé ou le médico-social, l’attaque peut forcer le retour au papier, désorganiser la coordination et créer un risque pour la continuité des soins ou des accompagnements.
  • La conduite recommandée n’est pas de payer automatiquement : il faut alerter les autorités compétentes et privilégier restauration et investigation plutôt que la simple transaction.

💡 Astuce mémo

Rançongiciel = Données chiffrées + demande de rançon ; réflexe : ne pas payer automatiquement, alerter et restaurer.

📖 8. Gestion opérationnelle des incidents

🔑 Notions clés & Définitions

  • Détection / alerte : La détection / alerte est l’étape qui repère les symptômes d’un incident et déclenche une information immédiate aux responsables (DSI/RSSI/prestataire).
  • Confinement : Le confinement est l’action d’isoler les éléments touchés pour limiter la propagation et préserver notamment les sauvegardes.
  • Cellule de crise : La cellule de crise est le groupe réuni pendant l’incident pour centraliser les décisions et coordonner direction, sécurité, métiers et prestataires.
  • PCA en mode dégradé : Le PCA en mode dégradé est l’activation d’un plan de continuité pour maintenir l’activité minimale via des solutions alternatives comme le mode papier.
  • RETEX : Le RETEX est l’analyse post-incident des causes, coûts et décisions afin de mettre à jour les procédures et éviter la répétition.

📝 Points essentiels

  • En cyberattaque, la procédure suit une logique de détection/alerte, confinement, cellule de crise, qualification, continuité, communication, obligations, reprise, puis RETEX.
  • Lors du confinement, on isole les postes touchés, on coupe des accès réseau si nécessaire, on suspend les comptes compromis et on empêche la propagation en protégeant les sauvegardes.
  • Lors de la qualification d’un incident, on établit le périmètre, les données touchées, les services critiques, le type d’attaque et l’impact sur la continuité (DICP) pour prioriser les décisions.
  • En cas de panne informatique, on qualifie (serveur, réseau, logiciel, internet, stockage, poste isolé ou panne générale) puis on identifie le périmètre avant d’alerter et d’activer les procédures dégradées.
  • En cas de coupure électrique, on sécurise personnes et locaux, on bascule sur onduleur/groupe si disponible, on arrête proprement si besoin d’autonomie, puis on redémarre progressivement avec contrôles après retour du courant.

💡 Astuce mémo

D C C Q C C O R R : Détection, Confinement, Cellule, Qualification, Continuité, Communication, Obligations, Reprise, RETEX.

📖 9. Intelligence artificielle et LLM

🔑 Notions clés & Définitions

  • Intelligence artificielle : L’intelligence artificielle est la capacité de machines à réaliser des fonctions cognitives avancées en s’appuyant sur des modèles et des algorithmes.
  • IA générative : L’IA générative produit du contenu nouveau à partir d’une demande, plutôt que de renvoyer une étiquette ou un score.
  • LLM : Un LLM est un grand modèle de langage capable de comprendre et de générer du texte à partir de probabilité sur le token suivant.
  • RAG : Le RAG relie une IA à un corpus interne pour retrouver des documents pertinents avant de formuler une réponse contextualisée et sourcée.
  • Prompt : Un prompt est l’instruction écrite donnée à une IA pour obtenir une réponse spécifique, avec un meilleur résultat quand il est précis et structuré.

📝 Points essentiels

  • Un LLM fonctionne comme une prédiction du token suivant le plus probable, ce qui explique qu’il puisse générer des réponses fausses appelées hallucinations, donc il faut vérifier.
  • Les modèles génératifs affichent souvent une logique de boîte noire, ce qui rend le raisonnement difficile à interpréter sauf certains modèles open source.
  • Avec le RAG, la qualité dépend directement de la qualité, de la mise à jour et de la sécurité des documents et des accès utilisés.
  • Un bon prompt améliore la performance de l’IA quand il précise rôle, contexte, objectif, contraintes et format attendu, y compris des points à vérifier.
  • Les principaux risques cités pour l’IA sont les hallucinations, les biais, la confidentialité (données sensibles), et la sécurité (phishing plus crédible et deepfakes).

💡 Astuce mémo

LLM = “Next token” : le modèle devine le mot suivant le plus probable, donc vérifie toujours.

📖 10. RAG, prompt et risques de l’IA

🔑 Notions clés & Définitions

  • RAG génération augmentée : Le RAG connecte une IA à un corpus documentaire interne afin de retrouver des passages puis de produire une réponse contextualisée et sourcée.
  • Hallucinations : Les hallucinations sont des réponses plausibles mais fausses générées par un modèle, nécessitant une vérification des informations produites.
  • Boîte noire LLM : La boîte noire correspond au fait que le raisonnement interne d’un modèle de langage est difficile à interpréter, ce qui limite la compréhension de ses sorties.

📝 Points essentiels

  • Le RAG cherche dans les documents fournis avant de répondre, ce qui réduit les réponses trop générales en exploitant la documentation interne.
  • Les performances d’un prompt augmentent quand il précise rôle, contexte, objectif, contraintes et format attendu, puis signale les points incertains et risques.
  • Les risques de confidentialité incluent la transmission de données personnelles ou sensibles à des outils non autorisés par l’organisation.
  • Le modèle peut reproduire des biais présents dans ses données d’entraînement, ce qui peut affecter la fiabilité de ses réponses.
  • L’IA peut faciliter des cyberattaques via du phishing plus crédible et des deepfakes, ce qui renforce la menace opérationnelle.

💡 Astuce mémo

RAG = Retrouver + Augmenter (documents internes) ; Prompt = Proche du cahier des charges (rôle, contexte, format, vérifications).

📖 11. Méthodologie de cas pratique

🔑 Notions clés & Définitions

  • Plan type de réponse GSI : Outil de rédaction structuré en parties pour traiter un cas pratique SI en allant du diagnostic jusqu’au retour d’expérience.
  • Diagnostic SI : Phase d’analyse qui consiste à relever les faits, repérer les risques, identifier les acteurs, les données et les systèmes touchés.
  • Mode dégradé : Organisation temporaire qui permet de continuer les missions essentielles pendant que le SI principal est indisponible ou instable.

📝 Points essentiels

  • En introduction, qualifiez la situation et rappelez les enjeux SI, sécurité, continuité et gouvernance avant de détailler l’attaque ou la panne.
  • Le diagnostic doit lister faits, risques, acteurs, données et systèmes touchés, afin d’éviter une réponse trop générique.
  • Juste après détection, sécurisez et contenez, activez la cellule de crise, communiquez, puis maintenez l’activité avec les moyens disponibles.
  • Sur 24h à 72h, organisez le mode dégradé, coordonnez les prestataires, documentez et suivez des indicateurs de pilotage.
  • Après reprise, terminez par un RETEX et une mise à jour de PCA/PRA, incluant formation, audit, gouvernance et budget.

💡 Astuce mémo

I-D-A-R-RE : Introduction → Diagnostic → Actions immédiates → Reprise → RETEX (puis mise à jour PCA/PRA).

📊 Tableaux de synthèse

Donnée vs Information vs Connaissance

ConceptDéfinitionExemple
DonnéeÉlément brut, non interprété et hors contexte.42 résidents présents ce matin (brut).
InformationDonnée contextualisée qui prend un sens.42 résidents présents ce matin. (sens).
ConnaissanceInformation assimilée permettant d’agir ou de décider.Il faut adapter les effectifs car 42 résidents sont présents.

IA classique vs IA générative

CritèreIA classiqueIA générative
ObjectifPrédire, classifier, anticiper.Créer du nouveau contenu.
SortieÉtiquette, score, valeur, alerte.Texte, image, audio, vidéo, code.
EntréeDonnées structurées ou semi-structurées.Prompt textuel, image, audio, document.

⚠️ Pièges & confusions fréquents

  1. Confondre donnée, information et connaissance : une donnée contextualisée devient une information, mais la connaissance implique un usage pour agir.
  2. Croire que la cartographie du SI sert uniquement à la technique : elle vise à identifier dépendances, responsables et points critiques pour piloter, panne et cyberattaque.
  3. Inverser les plans : PCA maintient les missions essentielles en mode dégradé, PRA rétablit après incident/sinistre, et PCC organise la communication de crise.
  4. Mauvaise lecture DICP : disponibilité/intégrité/confidentialité/preuve sont des objectifs différents, pas un même type de risque.
  5. Penser qu’il faut « payer pour régler » un ransomware automatiquement : la conduite citée privilégie alerte, investigation et restauration.
  6. Relier RAG à un « simple prompt » : le RAG recherche dans un corpus interne avant de répondre, la qualité dépend des documents et de la sécurité des accès.
  7. Confondre LLM et vérité : un LLM prédit le token suivant et peut halluciner, donc les informations produites doivent être vérifiées.

✅ Checklist Examen

  1. Définir le numérique et expliquer en quoi il transforme l’organisation (pratiques, gouvernance, risques).
  2. Décrire cyber/cyberespace et relier l’origine de « cyber » à la gouvernance (kybernêtikê).
  3. Donner les conditions d’une donnée ouverte (complète, primaire, accessible, exploitable, non discriminatoire, non propriétaire, opportune, libre de droits, permanente, gratuite).
  4. Définir data et rappeler la chaîne de valeur (collecte/qualification puis sécurisation, analyse, gouvernance).
  5. Définir le SI, nommer ses composants (données, logiciels, matériel, ressources humaines, processus) et ses 4 fonctions (collecter, stocker, traiter, distribuer).
  6. Expliquer les 4 dimensions du SI (technologique, organisationnelle, informationnelle, humaine) et les couches + familles (au moins l’idée SI de production/pilotage/collaboratif/décisionnel).
  7. Justifier le SI comme système stratégique et relier l’urbanisation à la réduction des risques des silos (interopérabilité, flux, coûts).
  8. Définir cartographie SI et diagnostic SI, puis citer ce que la cartographie doit représenter (applications, serveurs, données, flux, dépendances, responsables).
  9. Donner les critères DICP avec leurs exemples de risques, puis rappeler la formule criticité = gravité x probabilité et le rôle du CODIR/DSI/RSSI/DPO.
  10. Différencier PCA/PRA/PCC et associer RTO/DMIA, RPO/PDMA, WRT/DRN ; rappeler comment construire et maintenir les plans (fiches réflexes, diffusion, tests, mises à jour).
  11. Présenter la conduite d’une cyberattaque en phases (détection/alerte, confinement, cellule de crise, qualification, continuité, communication, obligations, reprise, RETEX) + l’erreur à éviter (précipitation sans consigne technique).
  12. Comparer procédure panne informatique et procédure coupure électrique avec les étapes communes (qualification, périmètre, dégradé, reprise progressive, documentation/RETEX).

Pon a prueba tus conocimientos

Pon a prueba tus conocimientos sobre Gouvernance et sécurité du SI con 22 preguntas de opción múltiple con correcciones detalladas.

1. Quelle définition correspond le mieux à l’open data ?

2. Quel principe fait partie des conditions d’une donnée ouverte ?

Realiza el cuestionario →

Repasa con tarjetas de memoria

Memoriza los conceptos clave de Gouvernance et sécurité du SI con 22 tarjetas de memoria interactivas.

Numérique — définition ?

Ensemble des technologies et infrastructures numériques.

Cyberspace — désigne ?

L’espace immatériel où circulent les données numériques.

Data — correspond à ?

L’ensemble des informations collectées et traitées.

Ver tarjetas de memoria →

Similar courses

Introduction aux documents et sécurité en construction

Bases de données

Introduction à l'Informatique et IA

Introduction aux marchés publics et réglementations du bâtiment

Bases de données

Gestion des imprimantes Windows et PDF

Introduction aux bases de données relationnelles

Bases de données

Maîtrise des Boucles en Programmation

Programmation

Crea tus propias hojas de repaso

Importa tu curso y la IA genera hojas, cuestionarios y tarjetas de memoria en 30 segundos.

Generador de hojas