Activité 1.1 – Étude de l'organisme
|
Liens pour Naviguer dans ce module
Accueil
Module 1 Activité
1.1 Activité
1.2 Activité
1.3 Module 2
Exercices |
|
Cette activité consiste à définir le cadre de
l'étude. Des informations générales sur l’organisation concerné par le
projet de sécurité doivent donc être réunies dans le but de mieux
apprécier sa nature, son organisation et les contraintes qui pèsent sur
celui-ci. Il est aussi nécessaire d'obtenir une vision globale du
système d'information de l'organisme. Ces éléments permettront dans les
activités suivantes de préciser les enjeux du système cible pour cet
organisme et de veiller à la cohérence des objectifs et des exigences de
sécurité avec ses missions. |
 |
Cette page présente l'activité 1.1, première activité
de l'étape 1 (Étude du contexte). Les étudiants devraient d'abord se
familiariser avec les concepts présentés sur cette page. Les étudiants
devraient ensuite compléter
l'exercice 1. |
Préalables
- Comme il s'agit de la première étape, il n'y
a aucun préalable.
Données en entrée
- Données concernant l'organisme et son système
d'information (documents stratégiques, documents concernant les
missions, les attributions et l'organisation, documents concernant
le système d'information, synthèses d'entretiens avec les
responsables de l'organisme).
Actions
- Présenter l'organisme.
- Lister les contraintes pesant sur
l'organisme.
- Lister les références réglementaires
applicables à l'organisme.
- Faire une description fonctionnelle du SI
global.
Données en sortie
- Présentation de l'organisme.
- Liste des contraintes générales pesant sur
l'organisme.
- Liste des références réglementaires générales
applicables à l'organisme.
- Architecture conceptuelle du système
d'information.
Conseils pratiques
- Cette première activité est essentielle pour
la suite de l'étude, elle permet d'appréhender au mieux le contexte
de l'étude.
- Un groupe de travail (ou comité de pilotage)
doit être constitué, les personnes à rencontrer doivent être
identifiées et des entretiens doivent être planifiés.
- Un premier entretien doit permettre de
vérifier la nature du problème initialement posé et si le problème
est du ressort de l'équipe constituée. Le maximum d'informations
doit pouvoir être obtenu lors de cet entretien.
- Il conviendra de juger de l'opportunité
d'aborder tel ou tel thème proposé, en fonction de l'étendue du
projet, des premiers éléments recueillis avant l'entretien, des
responsabilités de son interlocuteur…
- L'étude de l'organisme doit impliquer la
partie décisionnelle de celui-ci au plus haut niveau hiérarchique.
- Les informations sont obtenues auprès des
responsables opérationnels impliqués par l'étude.
- Des questionnaires permettent de préparer les
entretiens qui guideront les personnes interrogées dans le but de
formaliser les réponses.
|
L'activité 1.1
|
Concepts principaux
|
|
L'activité 1.1
(Présentation de l'organisme) est composé de sous-activités représentés par les parallélogrammes verts sur la figure ci-dessous.
L'activité 1.1
correspond au dossier ÉTUDE DU CONTEXTE dans le logiciel EBIOS, tel
qu'illustré dans la figure ci-dessous. Chacune des sous-activités
correspond à l'un des éléments composants du dossier. |
|
 |
Notez que les noms diffèrent quelque peu entre la
méthode EBIOS et le logiciel EBIOS. De même l'ordre des composantes est
différente. |
|
 |
Présentation de l'organisme
|
|
La présentation de l'organisme permet de rappeler les éléments
caractéristiques qui définissent l'identité d'un organisme. Il s'agit de
la vocation, du métier, des missions, des valeurs propres et des axes
stratégiques de cet organisme. Ils doivent être identifiés ainsi que
ceux qui contribuent à leur élaboration (e.g. sous-traitants).
La
difficulté de cette activité réside dans la compréhension de la
structure, de la problématique et des contraintes véritable de l'organisme
dans lequel l'étude est réalisée. La structure réelle permet de
comprendre le rôle et l'importance donnée à chaque
division dans
l'atteinte des objectifs de l'organisme.
 Par exemple, le rattachement du responsable sécurité à la direction
générale plutôt qu'à la direction informatique peut être significatif de
l'implication de la direction dans la sécurité des systèmes
d'information.
Les informations requises pour cette
composante de l'étude du contexte devrait permettre de répondre aux
questions suivantes:
-
Qui est
l'organisme?
-
Qu'elle est sa
mission?
-
Qu'est-ce que
l'organisme veut faire?
-
Qu'est-ce que l'organisme sait faire?
-
Qu'est ce que
l'organisme doit faire?
-
Qu'est-ce que l'organisme
fait bien?
Il est aussi utile d'inclure
une copie de l'organigramme de l'organisation et une description de sa structure
organisationnelles. De plus, si l'étude concerne une unité fonctionnelle de
l'organisme, il est nécessaire de définir sa place au seins de l'organisme.
 |
Contraintes générales
|
|
Il
s'agit de prendre en compte l'ensemble des contraintes qui pèsent sur
l'organisme et qui pourront déterminer des orientations en matière de
sécurité. Elles peuvent être d'origine interne à l'organisme, dans ce
cas celui-ci peut éventuellement les aménager, ou extérieures à
l'organisme et donc en règle générale incontournables. Les contraintes
de ressources (budget, personnels) et d'urgence sont les plus
importantes.
L'organisme se fixe des objectifs à atteindre (touchant au métier, à son
comportement…) qui engageront son avenir à plus ou moins long terme. Il
définit ainsi ce qu'il veut devenir, et les moyens qu'il conviendra de
mettre en place. Pour préciser ces grands axes, l'organisme tient compte
de l'évolution des techniques et des savoir-faire, des souhaits exprimés
par les utilisateurs, les clients… Cette finalité peut s'exprimer sous
la forme de politiques de fonctionnement ou de développement. Il s'agit
par exemple de la réduction des coûts de fonctionnement, de
l'amélioration de la qualité de service…
Ces
politiques ont vraisemblablement un volet consacré au système
d'information (SI) qui doit, pour ce qui le concerne, contribuer à les
appliquer. Par conséquent, la prise en compte des caractéristiques liées
à l'identité ou à la mission et à la stratégie de l'organisme est
fondamentale pour l'analyse du problème car l'atteinte d'un élément du
SI (en terme de sécurité) pourrait constituer une remise en cause de ces
objectifs stratégiques. De plus, il est essentiel que les propositions
de mesures de sécurité restent en cohérence avec les règles, les usages
et les moyens en vigueur dans l'organisme.
|
|
|
Une liste de contraintes typiques
est incluse ici. Les étudiants pourrons se familiariser avec cette
liste lors de la réalisation des exercices. |
Références réglementaires générales
|
|
La
prise en compte des lois, règles ou règlements, peut modifier
l'environnement, les habitudes de travail, l'accomplissementt des
missions ou avoir une influence sur l'organisation interne.
Par exemple le fonctionnement d'administrations de l'État est régi par
des codes spécifiques (code des douanes, code des marchés publics...).
Il
convient par conséquent de recenser les références réglementaires
applicables à l'organisme, qu'il s'agisse de lois, de décrets, de codes
spécifiques au domaine de l'organisme ou de règlements internes ou
externes. Cela concerne aussi les contrats ou conventions et d'une
manière générale les obligations à caractère juridique.
|
Architecture conceptuelle du SI
|
|
Il
s'agit d'identifier les domaines fonctionnels qui contribuent à
l'atteinte des objectifs stratégiques et leurs interactions. On
s'efforce à ce niveau de représenter les interactions existantes et/ou
futures des domaines fonctionnels avec le domaine auquel le système
cible appartient.
Cette démarche suppose que le besoin ait été exprimé clairement de façon
fonctionnelle.
Cette activité ayant pour but de formaliser l'architecture conceptuelle
du SI, afin que l'on puisse par la suite délimiter et caractériser le
système cible, il est parfois possible d'obtenir les études ayant permis
d'établir le SI (modèles conceptuels de communication et de traitements
d'après MERISE par exemple).
Un
découpage en domaines fonctionnels permet d'avoir une vue générale
d'ensemble du fonctionnement du SI et des éventuelles relations avec des
acteurs externes. Cette répartition permettra de mieux situer le système
cible dans le SI et de mieux appréhender les enjeux qui lui sont
associés.
En
règle générale, tout système d'information peut être partitionné en :
-
fonctions opérationnelles ou d'appui opérationnel
qui relèvent des missions de l'organisme ;
-
fonctions de support qui relèvent de la gestion des
moyens nécessaires à la réalisation des fonctions opérationnelles. ;
-
fonctions de contrôle et de suivi des activités, qui
concernent la gestion de l'organisation.
L'évolution d'une fonction de type opérationnel peut avoir des
incidences fortes sur les autres fonctions, a contrario la modification
d'une fonction de support ou de contrôle n'a généralement pas d'impact
direct sur les fonctions opérationnelles.
|
|
|
Les étudiants devraient d'abord se familiariser avec
les concepts présentés sur cette page. Les étudiants devraient
compléter l'exercice 1.
|
|
Activité 1.2 |
Liens pour Naviguer dans ce module
Accueil
Module 1 Activité
1.1 Activité
1.2 Activité
1.3 Module 2
Exercices |
|
mise à jour:
27/05/2008 09:01:10 AM -0400 |
