Systèmes d'information et de communication : actions transverses

Modifié par Marie BIDAULT le 28 mars 2022

Par Pascal Lando
Dernière mise à jour : octobre 2016

1. Gestion et maintenance de parc informatique

La gestion de parc informatique inclut bon nombre de problématiques (help desk, gestion des actifs informatiques, gestion des licences, éléments d’infrastructure, logiciels métiers, télédéploiement…). Elle a pour but premier de rationaliser la gestion des ressources utilisées par les services, afin d’optimiser leur fonctionnement et de limiter leur coût.

Les préoccupations de la gestion de parc s’étendent aujourd’hui au-delà de la DSI : on parle désormais d’EAM (Enterprise Architecture Management), discipline dont le but est de faire cohabiter les objectifs de la gestion de parc et d’actifs (matériels et logiciels) avec les objectifs (stratégiques et financiers) de l’organisation (inventaire, de comptabilité prévisionnelle…), et en intégrant des processus métier sortant du cadre strict de la maintenance (gestion réglementaire, gestion de plans, suivi de consommation, etc.). Les actifs informatiques de l’organisation sont ainsi tous tracés ainsi que que la gestion des contrats fournisseurs ou la gestion des données utilisateurs.

1.1. Outillage informatique et méthodologique

La gestion de parc informatique et l’EAM au sens large reposent sur l’utilisation :

  • de méthodologies et guides de bonnes pratiques (ITIL, COBIT, TOGAF…) ;
  • d’outils informatisés permettant une gestion complexe et évolutive : inventaire, supervision, gestion de maintenance assistée par ordinateur, help desk, gestion de l’énergie, etc. (Kimoce, GLPI, GIMI…).

NOTE. Une introduction générale à ITIL (Information Technology Infrastructure Library) est présentée dans la fiche « Systèmes d'information et de communication - Ingénierie ». ITIL dépassant le cadre de la présente fiche, le lecteur est invité à s’y reporter.

1.2. L’inventaire

Toute bonne gestion de parc informatique passe par la réalisation d’un inventaire de l’existant. L’inventaire des ressources est réalisé, dans sa phase d’initialisation, de manière complémentaire par deux techniques :

  • l’identification, l’étiquetage, la localisation et la cartographie des périphériques, réalisés grâce à une visite sur le terrain ;
  • l’utilisation de logiciels d’inventaire automatisé, permettant de collecter des informations et données techniques sur les matériels via le réseau de la collectivité.

Suite à cette phase d’initialisation de l’inventaire, la maintenance de la base de données d’inventaire est réalisée essentiellement à l’aide des logiciels de gestion de parc, qui collectent et actualisent les informations techniques.

1.3. Le centre d’assistance fonctionnelle et technique (helpdesk)

Le centre d’assistance (on utilise généralement le terme anglais help desk ou helpdesk) est une composante de l’organisation (généralement un service) chargé de répondre aux demandes d'assistance émanant des utilisateurs de produits ou de services.

Là encore, des référentiels de bonnes pratiques permettent d’optimiser le service rendu aux utilisateurs en matière d’assistance fonctionnelle et technique. ITIL définit notamment un cadre intéressant concernant la gestion des incidents que les demandes d'assistance technique ou fonctionnelle. Selon ITIL, les actions préventives de monitoring et les alarmes sont centralisées au niveau du service desk (ou bureau de support aux services). ITIL met également en avant l'exigence de traçabilité des actions d’exploitation, et permet de décrire le cycle de gestion des incidents (détection, palliatif, correctif, escalade, restauration, communication…).

Il existe plusieurs manières de proposer cette assistance (par téléphone, par chat, par messagerie électron- ique), mais le point qui nous intéresse particulièrement ici est l’utilisation de logiciels spécialisés de ges- tion de support. Les logiciels de support, généralement modules intégrés à des solutions de gestion de parc génériques, permettent aux centres d’assistance de l’organisation de gérer de manière rationnelle les demandes client, les remontés d’incidents et le traitement des demandes.

Des exemples de tels logiciels sont : GLPI, ServiceCenter, Zendesk, GestSup, SX|HELPDESK…

1.4. Externalisation de la gestion de parc

La gestion du parc informatique peut être une opération complexe et par conséquent couteuse. Les compé- tences qu’elle demande de déployer sont multiples et généralement de nature technique, ce qui implique des efforts spécifiques en matière de recrutement, et représente un centre de coûts important. De surcroit, le déploiement des logiciels adéquats (help desk, supervision, monitoring…) peut également représenter un travail considérable.

Une solution pour pallier ce problème est de confier la gestion du parc informatique à un prestataire in- dépendant et externe à la collectivité : c’est ce que l’on appelle couramment l’externalisation de la gestion de parc informatique.

L’externatisation présente un certain nombre d’avantages, parmi lesquels une meilleure maîtrise des coûts liés aux prestations informatiques (notamment par mutualisation des prestataires), la réaffectation des équipes internes sur des missions à plus forte valeur ajoutée, ou encore le fait de disposer de compétences disponibles à court terme et de services éprouvés (les prestataires travaillent pour diverses entités, et en connaissent par conséquent les problématiques récurrentes ainsi que les solutions à mettre en œuvre pour les adresser).

Néanmoins, si l’externalisation peut sembler une solution idéale, il convient d’en connaître les pièges et difficultés de mise en œuvre pour qu’elle demeure efficace. Parmi les points de vigilance à identifier dans le cadre d’une telle opération, il faut souligner la difficulté à réaliser un inventaire efficace de l’existant pour partir sur de bonne bases et mettre en œuvre les bons contrats, le risque de « perte de contrôle » du parc (de par la nature forte et potentiellement trop forte de la relation liant la collectivité au( x) prestataire(s) ex- ternes), ou encore la difficulté à mettre un place un contrat efficace définissant des objectifs précis et évaluables.

2. Sensibilisation à la sécurité du travail en réseau

De plus en plus d’agents des collectivités utilisent des outils tirant parti des réseaux informatiques. Des exemples simples de cette utilisation vont de la messagerie au partage de fichiers, en passant par les intranets. Dans ce contexte, il est important de veiller à ce que tous les utilisateurs soient sensibilisés aux risques que présentent ces « nouvelles » pratiques, et connaissent les bonnes attitudes à adopter dans leur utilisation quotidienne de ces outils.

Les principaux problèmes auxquels doivent faire face les responsables sécurité sont les infections virales, les interruptions de service, l’usurpation d’identité et la corruption ou le vol des données.

Le rapport 2012 « Menaces informatiques et pratiques de sécurité en France » du Club de la sécurité de l’information français fait apparaître que les pratiques de sécurité des SI sont inégales entre les différents profils de collectivités. Ainsi, les Conseils généraux et régionaux ainsi que les métropoles font preuve d’une meilleure mise en œuvre des pratiques de sécurité que les petites communes ou collectivités à taille restreintes.

La DSI doit être en continuelle adaptation face aux changements rapides des pratiques au sein des systèmes d’information. Par exemple, la démocratisation du BYOD (« bring you own device », pratique consistant pour les salariés à utiliser leurs équipements personnels dans un contexte professionnel — téléphone, ordinateur portable, tablette électronique) doivent faire l’objet d’une vigilance et de plans d’action particuliers au sein de la DSI, en matière de sécurité et intégrité des données.

2.1. Sensibilisation aux bonnes pratiques de sécurité

En matière de sécurité informatique, le risque zéro n’existe pas. Il convient néanmoins de limiter au maxi- mum ce risque, en utilisant deux moyens précis :

  • la mise en place d’outils automatiques de protection (cf. plus bas dans cette fiche) ;
  • la sensibilisation des utilisateurs aux bonnes pratiques relatives à la sécurité.

En effet, l'imprudence est la première cause des problèmes de sécurité informatique, et bien des tracas peu- vent être évités en employant des comportements adaptés.

Il convient donc de mettre en place diverses opérations de sensibilisation à la sécurité dans les collectivités, notamment via des sessions de formation, des newsletters, un affichage mural, des documentations acces- sibles sur la base de connaissance de la collectivité, sur l’intranet, sur le réseau social interne, etc. Ainsi, les agents doivent être capables de réagir correctement et acquérir les bons réflexes face à la problématique de la sécurité :

  • connaissance des problématiques d’hameçonnage (phishing : technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité), et de logiciels malveillants (malwares) ;
  • application régulière des mises à jour et correctifs de sécurité pour les applications installées ;
  • sauvegarde régulières des fichiers sensibles ;
  • verrouillage d’écran systématique par mot de passe ;
  • confidentialité des accès sécurisés aux machines et aux applications (pas de post-it contenant les mots de passe sous le clavier, etc.), savoir estimer la « force » d’un mot de passe ;
  • vigilance lors du travail sur périphériques personnels (cf. BYOD) et à l’extérieur des bureaux ;
  • chiffrement des messages.

2.2. Outils complémentaires de sensibilisation

Il existe aujourd’hui des applications de sensibilisation des utilisateurs et services à la sécurité informa- tique, notamment dans le cadre de l’utilisation des réseaux.

Parmi ces outils, citons notamment :

  • Sensiwave, plate-forme globale de gestion de campagnes de sensibilisation à la sécurité informatique, personnalisable et disposant d’outils de statistiques et de reporting. La gestion des campagnes se fait en mode projet.
  • Secureman, application ludique d’initiation, de formation et de sensibilisation à la sécurité informatique, basée sur le principe du code de la route. L’application est installée directement sur les serveurs de l’organisation, afin que chacun des agents puissent accéder, selon ses disponibilités, à la formation en ligne.

2.3. Outils de protection

Même dans le cadre d’une démarche de sensibilisation, il est utile de mettre en œuvre des outils de protec- tion. En l’occurrence, on privilégiera les outils de protection à couverture multiple aux outils à périmètre unitaire :

  • anti-virus ;
  • anti-spam ;
  • anti-malwate ;
  • anti-phishing.

3. Administration, sécurité et qualité de service

Le système d’information étant l’ensemble des moyens (humains et matériels) et des méthodes se rappor- tant au traitement de l'information d'une organisation, son administration (on parle parfois de management du SI) demande des compétences autant techniques que fonctionnelles et organisationnelles.

Le SI doit alors être perçu comme l'interaction de sous-ensembles technologiques, organisationnels et hu- mains, permettant d'acquérir, de traiter, de stocker et de communiquer de l’information. L’information est donc indispensable dans le processus de décision d'une organisation, et l’automatisation de son traitement en permet l’exploitation rationnelle, qualitative et sécurisée.

3.1. Une information qualitative

Le caractère qualitatif de l’information, élément de base du système d’information, est un élément primor- dial. Ainsi, l’information véhiculée par le SI doit être :

  • pertinente ;
  • cohérente.

3.2. Gestion agile du SI

Parmi les techniques permettant de rendre le SI plus évolutif, tout en s’assurant de la pertinence et de la fraîcheur des informations, l’agilité est la capacité à favoriser le changement et à y répondre en vue de s’adapter au mieux à un environnement en perpétuelle évolution.

En bref, une gestion agile du système d’information privilégie des processus itératifs, incrémentaux et adaptatifs, et la remise en question continue, tout en impliquant les utilisateurs très régulièrement dans les phases de conception et d’implémentation des solutions.

L’agilité peut se résumer en quelques grands principes :

  • Les individus et leurs interactions plus que les processus et les outils.
  • Des logiciels opérationnels plus qu'une documentation exhaustive.
  • La collaboration avec les clients plus que la négociation contractuelle.
  • L’adaptation au changement plus que le suivi d'un plan.

Au sein des systèmes d’information, l’agilité s’applique particulièrement bien au développement de logiciels, mais également à la conception des réseaux ou encore aux services de support et de maintenance. Parmi les exemples d’implémentation agile, on peut citer Scrum, Extreme programming ou encore Kanban.

3.3. Obligations réglementaires

En 2013, les données présentes dans les systèmes d’information, et notamment dans les SI des collectivités territoriales, sont au cœur des attentions.

La sécurité informatique devient alors un enjeu fort de la réglementation. Avec le projet de règlement eu- ropéen sur la protection des données personnelles, l'Europe s'oriente vers de nouvelles obligations liées à la sécurité informatique. Protection des données personnelles, protection des systèmes d'information critiques, incriminations des usurpations d'identité, des atteintes aux systèmes de données, etc. sont l’illustration de cette tendance.

Une des dispositions pouvant être mise en œuvre dans les collectivités est le correspondant Informatique et libertés (CIL), interne ou externe. Les CIL disposent d’un accès personnalisé aux services de la CNIL, représentent la preuve d’un engagement éthique et citoyen, permettent une simplification des formalités ad- ministratives et sont un outil de valorisation du patrimoine informationnel.

Enfin, les obligations réglementaires des collectivités locales et territoriales pourraient bien évoluer dans un avenir proche, notamment suite à la signature, en juin 2013 d’une charte sur l'Open Data par les chefs d’États du G8. L’objectif de cette charte est l’ouverture et de partage des données publiques, comme liberté publique et levier d’innovation. Pour ce faire, la mission Etalab du SGMAP organise actuellement des débats thématiques et ouverts, afin d’identifier et de publier de nouveaux jeux de données. En découleront proba- blement de nouvelles obligations pour les collectivités, en matière de structuration, de formatage et de publi- cation de leurs données locales.

3.4. SI et marchés publics

L'Observatoire économique de l'achat public (OEAP), créé en 2005, rassemble les acteurs de la com- mande publique. Il a pour missions essentielles d’établir le recensement économique des achats publics, d’en tirer des analyses économiques et de constituer un lieu de concertation grâce, en particulier, aux groupes d'étude des marchés (GEM) et aux ateliers de réflexion. L’OEAP constitue une instance perma- nente de concertation entre les acheteurs publics et les acteurs économiques destinés à étudier tous les aspects techniques et économiques de l’achat public.

Lors de chaque consultation d’entreprises pour l’achat de matériel, la collectivité est chargée de rédiger un cahier des clauses techniques particulières (CCTP), document contractuel qui rassemble les clauses techniques d'un marché public. Il fixe les dispositions techniques nécessaires à l’exécution des prestations de chaque marché. Le CCTP est donc une stipulation qui donne une description précise des prestations à réaliser, permettant à la personne responsable de suivre le déroulement du marché et la bonne exécution des prestations.

Sitothèque et bibliographie

Tags :
    
© 2023 CNFPT