Logiciels intégrés Quelle sécurité ?

Définition et environnement des logiciels intégrés 1.2. Les bonnes pratiques 2. Logiciels intégrés 2.1. ERP 2.2. CRM 2.3. SRM 3. La sécurité 3.1. Généralités 3.2. Objectifs de la sécurité informatique 3.3. Nécessité d'une approche globale 3.4. Mise en place d'une politique de sécurité 3.5. Les causes de l'insécurité 4. Conclusion

1. Définition et environnement logiciels intégrés

1.1. Définition Un logiciel de gestion intégré est un logiciel où les différents processus (de transactions et d’exécution) et fonctions classiques d’une entreprise sont intégrés autour d’un référentiel de données et de processus uniques

Schéma N° 1 : Logiciels intégrés

Le principe fondateur est de : Mettre en place des applications informatiques (paie, comptabilité, gestion de stocks …) de manière modulaire (modules indépendants entre eux) tout en partageant une base de données unique et commune

Cela crée une différence importante avec la situation préexistante (les applications sur mesure) : les données sont désormais supposées standardisées et partagées ce qui … élimine les saisies multiples évite l'ambiguïté des données

L'autre principe fondateur qui caractérise un logiciel intégré est : l'usage systématique de ce qu'on appelle un moteur de workflow (processus - qui n'est pas toujours visible de l'utilisateur) … qui permet, lorsqu'une donnée est entrée dans le système d'information de la propager dans tous les modules du système qui en ont besoin, selon une programmation prédéfinie

La notion de processus (workflow): Ensemble ordonné d’activités qui : délivre un produit ou un service à un client (externe ou interne) lui apporte de la valeur ajoutée répond à une finalité

On distingue habituellement : Les processus opérationnels, ayant pour finalité de service, un client externe Les processus de support ou de soutien, ayant pour finalité de service, un client interne

Schéma N° 2 : Processus dans une organisation traditionnelle

Schéma N° 3 : Organisation par processus HIER Ventes Achats Production Administration SI 1 SI 2 SI 3 SI 4 Organisation fonctionnelle et informatisation par métier AUJOURD’HUI Administration Production Ventes Achats SI entreprise Organisation par processus clé et système d’information intégré Intégration Schéma N° 3 : Organisation par processus

Schéma N° 4 : Exemple de workflow

Objectifs : intégrer les systèmes d’informations liés aux fonctionnalités de l’entreprise, améliorer les services à la clientèle et l’image de l’entreprise organiser et optimiser systématiquement les méthodes de collectes des données

Couverture technique : Gestion de base de données Applications Interfaces Développements spécifiques Outils de reporting, tableaux de bord Connectivité

Exemple : couverture fonctionnelle d'un ERP Nomenclatures, planification Ordonnancement Gestion des stocks Vente & Marketing Achats Comptabilités Gestion des ressources humaines …

Couverture fonctionnelle d'un CRM : Marketing Publipostage Gestion relation clients Service après-vente intégré Agenda centralisé Statistiques et tableaux de bord

Logiciel intégré = réorganisation : Analyse approfondie des ‘systems/processes’ existants (le workflow) avant de démarrer … Mise en évidence des déficiences du système existant … le BPR

Business Process Reengineering : restructurer et réorganiser : les ressources humaines les départements les interfaces entre les hommes- machines-organisations en vue d’optimiser la productivité et d'augmenter la rentabilité de l’entreprise

Reengineering : une obligation avant l’implémentation pendant l’implémentation après l’implémentation Reengineering en parallèle à l’évolution du logiciel (nouveaux releases)

Logiciels intégrés : avantages optimisation des processus de gestion (flux économiques et financiers) cohérence et homogénéité des informations (un seul fichier articles, un seul fichier clients, etc.) intégrité et unicité du système d'information partage du même système d’information facilitant la communication interne et externe

minimisation des coûts : pas d’interface entre les modules synchronisation des traitements maintenance corrective simplifiée car assurée par l'éditeur globalisation de la formation (même logique, même ergonomie) maîtrise des coûts et des délais de mise en œuvre et de déploiement

Les logiciels intégrés : gérer et prendre en charge plusieurs : entités, organisations, sociétés périodes (exercices comptables) devises, langues (multinationales) législations, réglementations axes d’analyse en informatique décisionnelle

Logiciels intégrés : inconvénients coût élevé périmètre fonctionnel souvent plus large que les besoins de l'organisation ou de l'entreprise (logiciel souvent sous-utilisé) lourdeur et rigidité de mise en œuvre difficultés d'appropriation par le personnel de l'entreprise

nécessité d'une bonne connaissance des processus de l'entreprise nécessité d'adapter certains processus de l'organisation ou de l'entreprise au logiciel nécessité d'une maintenance continue captivité vis à vis de l'éditeur : le choix d'une solution est souvent structurant pour l'entreprise et un changement de logiciel peut être lourd à gérer

Quand l’implémentation ? Attendre : satisfait du système actuel aucune échéance cruciale pas d’accord du management si problèmes financiers Ne pas attendre : marché (rude compétition) plusieurs sites opérationnels entreprise en croissance ouverture du management au changement

1.2. Les bonnes pratiques Avoir l’accord et le soutien du management Allouer les budgets suffisants Identifier l’équipe projet Choisir les bons spécialistes en interne Choisir l’e logiciel en adéquation avec les besoins ‘métier’

Evaluer et choisir le bon intégrateur Dresser un planning d’implémentation Intéresser et motiver tout le personnel Préparer les formations des utilisateurs clés et des utilisateurs finaux Gérer les upgrades (versions, releases) à venir

Logiciels intégrés : où en est-on ? Synchronisation et sécurité des données Supply Chain Management Portails : accès externes self service API (Application Programming Interface) : interfaces avec les autres outils Entreprise 2.0 Dématérialisation des documents

Etre patient Implémentation d’un ERP : Une implémentation prend du temps … surtout l’analyse des besoins

2. Logiciels intégrés

2.1. ERP Enterprise Resources Planning Un logiciel qui permet de gérer l'ensemble des processus opérationnels d'une entreprise en intégrant l'ensemble des fonctions de cette dernière comme la gestion des ressources humaines, la gestion comptable et financière, la vente, la distribution, l'approvisionnement et aussi le commerce électronique

Le terme ERP provient du nom de la méthode MRP (Manufacturing Resource Planning) utilisée depuis les années 1970 pour la gestion et la planification de la production industrielle

Un ERP est orienté en fonction du métier de l'entreprise En gestion de production, un MRP constitue le module central une entreprise de négoce développera davantage la gestion de stock et la logistique D'autres modules : relation clients ou modules financiers

Véritable cerveau de l'entreprise, l'ERP permet une gestion globale et simplifiée Le choix du logiciel et le paramétrage de l'intégration sont capitaux Un ERP doit être personnalisable à la société Un intégrateur est nécessaire pour la mise en place et le déploiement de l'ERP

2.2. CRM Customer Relationship Management Intégration technologique des processus transversaux liés à la vente au marketing aux services clients dans une optique d'automatisation et d'amélioration de la gestion de la relation avec le client

La CRM : pas uniquement un ensemble de logiciels C'est un processus mettant en œuvre outils logiciels méthodes stratégie et comportements pour gérer plus efficacement la relation avec le client

Objectifs : Attirer plus de clients Conserver les meilleurs clients Améliorer le CA généré par chaque client

Les solutions de CRM lorsqu'elles sont implantées en toute efficacité assurent … la rationalisation des processus la centralisation la disponibilité de l'ensemble des informations client pour un meilleur service

Trois sous-ensembles : CRM Collaboratif Regroupe tous les canaux d'échanges avec le client et les partenaires CRM Analytique Analyse des informations collectées au sein du data warehouse ou data mining Les statistiques sont les outils de prédilection

CRM Opérationnel Intégration et automatisation des processus horizontaux en liaison avec le client front-office : ventes, marketing, services clients et back-office : ERP

2.3. SRM Supplier Relationship Management Utilisation de technologies par une entreprise afin d'améliorer le mécanisme d'approvisionnement auprès de ses fournisseurs Au même titre que la gestion des relations avec les employés, il s'agit d'un concept émergeant de la gestion de la relation client (CRM)

Processus en quatre étapes 1 Conception collaborative Intégrer les problématiques d'approvisionnement dès la conception d'un produit en associant les fournisseurs via un outil de conception collaborative tout en s'assurant d'un coût de revient minimal à tous les niveaux

2 Détermination des fournisseurs (sourcing) visant à … identifier les fournisseurs potentiels élaborer une cartographie en les qualifiant en fonction de leur coût, de leur capacité de production, leurs délais de livraison, leurs garanties en terme de qualité

A l'issue de cette étape les meilleurs fournisseurs … pourront faire l'objet d'une mise en concurrence 

3 Sélection des fournisseurs via un mécanisme d'enchères inversées (auctions) où les rôles d'acheteur et de vendeur sont inversés

Les outils de SRM possèdent généralement une interface d'appel d'offres permettant de faire trois types de requêtes RFQ : Request for Quotation (devis) RFI : Request for Information (information) RFP : Request for Proposal  (proposition)

4 Négociation Formaliser le contrat entre l'entreprise et le fournisseur sélectionné avec éventuellement des clauses spécifiques concernant : la logistique, les modalités de paiement, la qualité de service ou tout autre engagement particulier

3. La sécurité

3.1. Généralité Avec le développement de l'utilisation d'internet de plus en plus d'entreprises ouvrent leur système d'information à leurs partenaires leurs fournisseurs

Il est donc primordial de … connaître les ressources de l'entreprise à protéger maîtriser le contrôle d'accès et les droits des utilisateurs du système d'information Il en va de même lors de l'ouverture de l'accès de l'entreprise sur internet

Par ailleurs, avec le nomadisme consistant à permettre aux personnels de se connecter au système d'information à partir de n'importe quel endroit les personnes sont amenées à 'transporter' une partie du système d'information hors de l'infrastructure sécurisé de l'entreprise

(menace * vulnérabilité) / contre-mesure Le risque en terme de sécurité est caractérisé par l'équation suivante : risque = (menace * vulnérabilité) / contre-mesure

La menace (threat) représente le type d'action susceptible de nuire dans l'absolu La vulnérabilité (vulnerability) appelée parfois faille ou brèche, représente le niveau d'exposition face à la menace dans un contexte particulier La contre-mesure est l'ensemble des actions mises en œuvre en prévention de la menace

3.2. Objectif de la sécurité informatique Le système d'information est généralement défini comme … l'ensemble des données et des ressources matérielles et logicielles de l'entreprise permettant de les stocker ou de les faire circuler Le système d'information représente un patrimoine essentiel de l'entreprise, qu'il convient de protéger

La sécurité informatique, d'une manière générale consiste à assurer que les ressources matérielles ou logicielles d'une organisation sont uniquement utilisées dans le cadre prévu

La sécurité informatique vise cinq principaux objectifs : L'intégrité, c'est-à-dire garantir que les données sont bien celles que l'on croit être La confidentialité, consistant à assurer que seules les personnes autorisées aient accès aux ressources échangées 

La disponibilité, permettant de maintenir le bon fonctionnement du système d'information La non répudiation, permettant de garantir qu'une transaction ne peut être niée L'authentification, consistant à assurer que seules les personnes autorisées aient accès aux ressources

L'intégrité Vérifier l'intégrité des données consiste … à déterminer si les données n'ont pas été altérées durant la communication (de manière fortuite ou intentionnelle)

La confidentialité La confidentialité consiste à rendre l'information … inintelligible à d'autres personnes que les seuls acteurs de la transaction

La disponibilité L'objectif de la disponibilité est de garantir l'accès à … un service des ressources

Principe de la traçabilité La non-répudiation La non-répudiation de l'information est la garantie qu'aucun des correspondants ou utilisateurs ne pourra nier la transaction Principe de la traçabilité

L'authentification Consiste à assurer l'identité d'un utilisateur c'est-à-dire de garantir à chacun des correspondants que son partenaire est bien celui qu'il croit être

Un contrôle d'accès peut permettre (par exemple par le moyen d'un mot de passe qui devra être crypté) l'accès à des ressources uniquement aux personnes autorisées

3.3. Nécessité d'une approche globale La sécurité d'un système informatique fait souvent l'objet de métaphores On la compare régulièrement à une chaîne en expliquant que le niveau de sécurité d'un système est caractérisé par le niveau de sécurité du maillon le plus faible Une porte blindée est inutile dans un bâtiment si les fenêtres sont ouvertes sur la rue

La sécurité doit être abordée dans un contexte global et notamment prendre en compte les aspects suivants … La sensibilisation des utilisateurs aux problèmes de sécurité La sécurité logique, c'est-à-dire la sécurité au niveau des données, notamment les données de l'entreprise, les applications ou encore les systèmes d'exploitation

La sécurité des télécommunications technologies réseau, serveurs de l'entreprise, réseaux d'accès La sécurité physique, la sécurité au niveau des infrastructures matérielles salles sécurisées, lieux ouverts au public, espaces communs de l'entreprise, postes de travail des personnels

3.4. Mise en place d'une politique de sécurité La sécurité des systèmes informatiques se cantonne à garantir les droits d'accès aux données et ressources d'un système … en mettant en place des mécanismes d'authentification et de contrôle permettant d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leur ont été octroyés

Les mécanismes de sécurité mis en place peuvent provoquer une gêne au niveau des utilisateurs Les consignes et règles deviennent de plus en plus compliquées au fur et à mesure que le réseau s'étend

La sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance

Il est nécessaire de définir dans un premier temps une politique de sécurité, dont la mise en œuvre se fait selon les quatre étapes suivantes : Identifier les besoins en terme de sécurité, les risques informatiques pesant sur l'entreprise et leurs éventuelles conséquences 

Elaborer des règles et des procédures à Elaborer des règles et des procédures à mettre en œuvre dans les différents services de l'organisation pour les risques identifiés Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés  Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace 

La politique de sécurité est donc … l'ensemble des orientations suivies par une organisation (à prendre au sens large) en terme de sécurité Elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système

Il ne revient pas aux seuls administrateurs informatiques de définir les droits d'accès des utilisateurs … mais aux responsables hiérarchiques de ces derniers

Le rôle de l'administrateur informatique est de s'assurer que … les ressources informatiques les droits d'accès à celles-ci sont en cohérence avec la politique de sécurité définie par l'organisation

Etant donné qu'il est le seul à connaître parfaitement le système il lui revient de faire remonter les informations concernant la sécurité à sa direction

éventuellement de conseiller les décideurs sur les stratégies à mettre en œuvre ainsi que d'être le point d'entrée concernant la communication à destination des utilisateurs sur les problèmes et recommandations en terme de sécurité

La sécurité informatique de l'entreprise repose sur une bonne connaissance des règles par les employés grâce à des actions de formation et de sensibilisation auprès des utilisateurs mais elle doit aller au-delà et notamment couvrir les champs suivants :

Un dispositif de sécurité physique et logique … adapté aux besoins de l'entreprise et aux usages des utilisateurs Une procédure de management des mises à jour  Une stratégie de sauvegarde correctement planifiée

Un plan de reprise après incident  Un système documenté à jour 

3.5. Les causes de l'insécurité On distingue généralement deux types d'insécurités : l'état actif d'insécurité l'état passif d'insécurité

L'état actif d'insécurité La non connaissance par l'utilisateur des fonctionnalités du système dont certaines pouvant lui être nuisibles (par exemple le fait de ne pas désactiver des services réseaux non nécessaires à l'utilisateur)

L'état passif d'insécurité La méconnaissance des moyens de sécurité mis en place par exemple lorsque l'administrateur (ou l'utilisateur) d'un système ne connaît pas les dispositifs de sécurité dont il dispose

4. Conclusion

La sécurité informatique doit être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance

Il est nécessaire de définir dans un premier temps une politique de sécurité … élaborer des règles et des procédures installer des outils techniques dans les différents services de l'organisation définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion

sensibiliser les utilisateurs aux problèmes sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations  préciser les rôles et responsabilités

La politique de sécurité est … l'ensemble des orientations suivies par une entité en termes de sécurité À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée elle concerne tous les utilisateurs du système

Les principes d'une bonne sécurité … Une approche globale Une sensibilisation des utilisateurs L'éducation des membres du personnel Des concepts d'autorisation Des moyens technologiques Le traçabilité des transactions