You are on page 1of 128

UE 118  SYSTÈMES

D’INFORMATION DE GESTION

Année 2013-2014

Ce fascicule comprend :
La série 4
Le devoir 6 à envoyer à la correction

SÉCURITÉ INFORMATIQUE, DÉMATÉRIALISATION,


RÉGLEMENTATION ET LOGICIELS SPÉCIALISÉS

Victor ALBORS
Laurence ALLEMAND
Laurent BOKSENBAUM
En collaboration avec Philippe GERMAK
le Centre National Sarah LEVY
d’Enseignement à Distance Tarek SAMARA
Institut de Lyon Michel SECCIA

W1181-F4/4
Systèmes d’information de gestion • Série 4

Les auteurs :
Victor ALBORS : Professeur agrégé d’économie gestion en classe préparatoire au DCG.
Laurence ALLEMAND : Professeur agrégé d’économie gestion en classe préparatoire au DCG.
Laurent BOKSENBAUM : Enseignant permanent à l’Intec.
Philippe GERMAK : Professeur agrégé d’économie gestion.
Sarah LEVY : Avocat au barreau de Paris.
Tarek SAMARA : Enseignant et manager en systèmes d’information.
Michel SECCIA : Enseignant à l’Intec.

� • • • www.cnamintec.fr • • • �

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

L’ensemble des contenus (textes, images, données, dessins, graphiques,


etc.) de ce fascicule est la propriété exclusive de l’INTEC-CNAM.
En vertu de l’art. L. 122‑4 du Code de la propriété intellectuelle, la repro-
duction ou représentation intégrale ou partielle de ces contenus, sans auto-
risation expresse et préalable de l’INTEC-CNAM, est illicite. Le Code de la
propriété intellectuelle n’autorise que « les copies ou reproductions stricte-
ment réservées à l’usage privé du copiste et non destinées à une utilisation
collective » (art. L. 122‑5).

2
UE 118 • Systèmes d’information de gestion

••• OBJECTIFS •••

• Bien appréhender les enjeux de la sécurité des systèmes d’information et partici-


per à leur sécurisation.
• Comprendre ce qu’est la dématérialisation.
• Connaître la réglementation sur l’utilisation des données.
• Connaître l’architecture et le mode de fonctionnement des logiciels de gestion.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

• Comprendre les principes des outils décisionnels.

201181TDPA0413 3
UE 118 • Systèmes d’information de gestion

Table des matières

Partie 1. La sécurité informatique 9

I. Pourquoi les organisations ont-elles besoin de sécuriser leur


système d’information ?..........................................................................9
A. Objet de la sécurité informatique........................................................9
B. Les enjeux de la sécurité informatique..............................................10
C. Comment améliorer la sécurité informatique ?.................................12
II. La politique de sécurité des systèmes d’information (PSSI).............15
A. Objectifs et acteurs...........................................................................15
B. Mise en œuvre de la politique de sécurité.........................................16
C. Plan de reprise après sinistre............................................................17
III. Sûreté de fonctionnement.....................................................................19
A. Disponibilité et fiabilité.......................................................................19
B. Défaillance.........................................................................................19
C. Tolérances aux fautes........................................................................19
D. Sauvegarde........................................................................................20
IV. La sécurité des accès............................................................................21
A. Méthodologie.....................................................................................21
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

B. Les mots de passe............................................................................22


C. Les accès physiques.........................................................................23
D. Sécurité du câblage...........................................................................23
V. Protection du réseau.............................................................................24
A. Dispositif de détection d’intrusions...................................................24
B. L’anti-virus.........................................................................................24
C. Le pare-feu ou firewall.......................................................................24
D. DMZ...................................................................................................25

Partie 2. Dématérialisation et téléprocédures 33

I. L’échange de données informatisées (EDI).........................................33


A. Qu’est-ce que l’EDI ?........................................................................33
B. Origine de l’EDI..................................................................................33
C. Les normes techniques.....................................................................34
D. Les avantages et les inconvénients de l’EDI.....................................35
E. Traçabilité et gestion de processus :
de la nécessité d’intégrer XML et EDI...............................................35

201181TDPA0413 5
Systèmes d’information de gestion • Série 4

II. L’EDI et les administrations..................................................................36


A. Les déclarations sociales..................................................................36
B. Les déclarations fiscales...................................................................38
C. TéléTVA..............................................................................................41
III. L’EDI et la comptabilité..........................................................................42

IV. Dématérialisation : La facture électronique........................................43


A. Définition............................................................................................43
B. Repères chronologiques....................................................................44
C. Régime actuel : L’instruction fiscale du 7 août 2003.........................44
D. Les enjeux économiques...................................................................47
E. La facture numérique.........................................................................49

Partie 3. Réglementation sur l’utilisation


des données 51

I. La protection juridique des logiciels....................................................51


A. Les bases juridiques..........................................................................51
B. Violation du droit d’auteur.................................................................51
C. Principe général du droit de copie....................................................52
II. La loi Informatique et libertés...............................................................53
A. Les bases juridiques..........................................................................53
B. Les formalités requises......................................................................56
C. Six questions essentielles (source Cnil).............................................56
D. Le droit d’accès et de rectification....................................................58

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
E. La Cnil................................................................................................58
F. La sanction........................................................................................58

Partie 4. Les progiciels de gestion 61

I. Vision conceptuelle................................................................................61
A. Découpage fonctionnel et métier......................................................62
B. Une vision stratégique.......................................................................62
II. Première approche du noyau de la chaîne de gestion.......................63
A. Logiciel comptable............................................................................63
B. Gestion de la trésorerie.....................................................................63
C. Gestion de cabinet............................................................................64
D. Utilisation effective des logiciels de gestion de la comptabilité,
de la trésorerie et du cabinet.............................................................64
III. Logiciel de paie et gestion des ressources humaines.......................65
A. Gestion de la paie..............................................................................65
B. Gestion des ressources humaines....................................................65

6
UE 118 • Systèmes d’information de gestion

IV. Logiciel de facturation et gestion de la relation client (CRM/‌GRC)...65


A. Définition et objectifs.........................................................................65
B. Gestion commerciale de base (centrée facturation et règlements
clients)...............................................................................................66
C. Les CRM/GRC...................................................................................66
V. Gestion des fonctions achat.................................................................67
A. Gestion des achats............................................................................67
B. Gestion des stocks............................................................................67
C. Gestion des approvisionnements......................................................67
D. Les déclinaisons de l’e-procurement................................................68
E. Le prolongement de la fonction achat : la gestion de la chaîne
logistique : Supply Chain Management (SCM)..................................70
VI. Entreprise resource planning (ERP)
ou progiciel de gestion intégré (PGI) ...................................................72
A. Définition............................................................................................72
B. Les PGI dans les grandes entreprises...............................................73
C. Développement au sein des PME.....................................................74
D. Les difficultés et risques liés à la mise en place d’un PGI.................74
E. Atouts et limites de l’utilisation d’un PGI...........................................75
F. Perspectives (en liaison avec la dématérialisation croissante des
documents)........................................................................................75
VII. Conclusions : Synthèses et perspectives............................................76

Partie 5. Introduction aux systèmes décisionnels 77


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

I. Le système d’information décisionnel (SID)........................................77


A. Définition............................................................................................77
B. Exemples de requêtes décisionnelles...............................................77
II. Le système d’information multidimensionnel (SIM)............................78
A. Définition d’un SIM............................................................................78
B. Les dimensions et les membres........................................................78
C. Les mesures (les indicateurs ou les variables)..................................79
D. Granularité et hiérarchies...................................................................79
E. Les formules......................................................................................80
III. Introduction OLTP & OLAP....................................................................80
A. OLTP (On Line Transaction Processus).............................................80
B. OLAP (On-Line Analytical Processing)..............................................80
C. L’articulation entre les outils OLTP et OLAP......................................81
IV. L’architecture fonctionnelle du système d’information décisionnel.82
A. Les données sources.........................................................................82
B. Extract-Transform-Load (ETL)...........................................................83

201181TDPA0413 7
Systèmes d’information de gestion • Série 4

C. Datawarehouse (DW).........................................................................83
D. Référentiel (Les métadonnées)..........................................................84
E. DataMarts (DM)..................................................................................85
F. DataMining........................................................................................85
G. Les outils de restitution et de pilotage..............................................85
V. Présentation simplifiée d’un système d’information décisionnel......86
A. Présentation d’un cube.....................................................................86
B. Interrogation d’un cube par un tableau croisé dynamique (TCD)......88

Exercice autocorrigé 93
Lexique 110
Index 111
Devoir 6 113

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

8
1

partie
La sécurité informatique

Avec l’interconnexion généralisée des réseaux et l’évolution vers une intégration informatique
totale des systèmes d’information, les menaces sur l’outil informatique n’ont cessé de croître
avec un risque majeur pour l’activité voire la pérennité des entreprises en cas d’atteinte grave.
On peut affirmer que toutes les entreprises sont régulièrement victimes de pannes graves, d’at-
taques de virus, de tentatives d’intrusion, d’accès par des employés à des données qui leur sont
normalement interdites, de tentatives de fraudes financières et de sabotages. La différence la
plus importante entre les entreprises n’est pas dans le niveau des dangers mais dans la qualité
de la prévention et des contre-mesures en cas d’agression.
Après avoir défini la notion de sécurité informatique, avoir rappelé les enjeux de la sécurité infor-
matique pour une organisation, et avoir recensé les différents risques informatiques, nous étu-
dierons pourquoi et comment mettre en place une politique de sécurité informatique. Puis nous
verrons comment assurer la sureté de fonctionnement du SI et comment protéger le réseau de
l’entreprise.

I. Pourquoi les organisations ont-elles besoin de sécuriser


leur système d’information ?

A. Objet de la sécurité informatique


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

1. La définition de la sécurité des systèmes informatiques


La sécurité informatique consiste à assurer que les ressources matérielles ou logicielles de l’or-
ganisation sont uniquement utilisées dans le cadre prévu.
La sécurité informatique est basée sur les quatre principes fondamentaux suivants :
• Intégrité : un « objet informatique » ne subit pas de modification d’une manière non autorisée.
• Confidentialité : un « objet informatique » n’est pas divulgué, révélé ou communiqué d’une
manière non autorisée.
• Disponibilité : un « objet informatique » n’est pas rendu inaccessible d’une manière non autorisée.
• Traçabilité : la capacité d’un système informatique à fournir des éléments objectifs permettant
d’établir le respect d’exigences concernant la sécurité.
Ces caractéristiques s’appliquent à l’ensemble des « objets informatiques » de l’entreprise.
On est ainsi passé de la sécurité informatique à la sécurité des systèmes d’information. Cela
donne une dimension globale dans les organisations, conduisant à des interdépendances tou-
jours plus fortes avec l’informatique et les infrastructures.
Dans cette optique, les meilleures pratiques (best practices) ne sont pas uniquement technolo-
giques mais également d’ordre organisationnel. La notion de « processus sécurité » s’étend :
• au domaine de l’assurance qualité ;
• à la fonction de « RSSI » (Responsable de la sécurité des systèmes d’information).

201181TDPA0413 9
Systèmes d’information de gestion • Série 4

2. La sécurité du SI doit être abordée dans un contexte global


En effet, le niveau de sécurité informatique dépend du niveau de sécurité du maillon le plus faible.
Pour limiter les risque du SI, il est nécessaire de :
• sensibiliser les utilisateurs aux problèmes de sécurité ;
• d’assurer la sécurité logique, c’est-à-dire au niveau des données, des applications ou des
systèmes d’exploitation ;
• d’assurer la sécurité physique, c’est-à-dire au niveau des infrastructures matérielles de l’orga-
nisation :
–– sécurisation des espaces ouverts au public,
–– sécurisation des postes de travail du personnel,
–– sécurisation des salles avec accès par badge et/ou code,
–– salles serveurs ignifugées1, climatisées2…

B. Les enjeux de la sécurité informatique


L’organisation doit protéger son système d’information pour limiter ses risques, qui sont de deux
natures : risques économiques et financiers et risque juridique.

1. Risques économiques et financiers


Lorsque le système d’information subit des dommages, l’entreprise va subir :
• Des pertes directes :
–– matérielles : par exemple les frais d’expertise, les frais de déblaiement ou de réparation voire
de remplacement du matériel endommagé ;
–– non matérielles : frais d’expertise et de restauration des éléments non matériels du système
atteint (SE, données, programmes, procédures, documentation…).
• Des pertes indirectes comme la perte de temps de travail pendant l’indisponibilité du SI (coûts
cachés), les mesures conservatoires avant remise en état (sécurisation du site…), les pertes
d’informations confidentielles, de savoir-faire, d’éléments non reconstituables du système (dif-
ficilement évaluables mais très dommageables) et les pertes d’affaires, de clients et corollaire-
ment d’image de marque (lorsque le SI est indisponible, les clients ne sont plus servis…et

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
risquent d’aller à la concurrence).

1. « Rendre ininflammable », Le Petit Robert.


2. Les ordinateurs chauffant beaucoup, les excès de chaleur peuvent causer des arrêts intempestifs voire
des pannes.

10
UE 118 • Systèmes d’information de gestion

Ce sont donc les pannes et les accidents qui coûtent le plus cher selon près d’un RSSI3 sur deux.
Le livre bleu du Cercle indique que cette catégorie peut concerner « la propriété intellectuelle ou
des actes de chantage non mentionnés explicitement ».
Pour près de 1 RSSI sur 10, la fuite de données sensibles a constitué la plus grosse perte
financière.
Autre élément non visible, 19 % des répondants déclarent ne pas subir d’incident et, plus inquié-
tant, 17 % ne savent pas s’ils ont été victimes d’une attaque.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Quant aux coûts des incidents, plus de 1 sur 10 est compris entre 100 000 et 500 000 euros. Sur
ceux dépassant le million d’euros, le Cercle recense quatre accidents : une intrusion informatique,
une fraude, une fuite d’information et un « autre » non précisé.
Extrait de l’enquête annuelle du Cercle européen de la sécurité, Journal du Net, 26 octobre 2010.

2. Risque juridique
L’entreprise est responsable civilement des préjudices qu’elle cause à des tiers, que cela soit
volontaire ou non. Lorsque le SI est attaqué (par exemple vol de données) ou indisponible (ce qui
peut par exemple causer des retards de livraison ou des erreurs dans les comptes…), les tiers
peuvent subir un préjudice et se retourner contre l’entreprise.

3. Responsable sécurité des systèmes d’information.

201181TDPA0413 11
Systèmes d’information de gestion • Série 4

C. Comment améliorer la sécurité informatique ?


Pour améliorer la sécurité informatique, il faut gérer les risques liés à l’informatique.
On définit généralement un risque comme la probabilité d’un échec dans l’atteinte d’objectifs.
La première étape consiste donc à identifier les risques et les mesurer.
Pour chaque risque recensé, on va évaluer sa menace, son impact et sa vulnérabilité ; l’en-
semble étant synthétisé dans un tableau.
Risque = Menace × Impact × Vulnérabilité

Définition
Menace : c’est la cause potentielle d’incident, pouvant résulter en un dommage au système ou
à l’organisation ; la menace doit être décrite en citant le bien qui en est la cible, l’élément mena-
çant et l’attaque.

Définition
Impact : c’est l’évaluation des dommages causés par les dégâts d’un événement.

Définition
Vulnérabilité : elle se définit comme toute faiblesse des ressources informatiques pouvant être
exploitée par des menaces, dans le but de compromettre ces ressources.

Exemple
Une société a équipé ses ingénieurs d’ordinateurs portables pouvant se connecter à distance
via un intranet au réseau de l’entreprise.
La menace peut consister en une intrusion du réseau par des personnes extérieures (élément
menaçant) à l’entreprise pour récupérer des fichiers (bien), après avoir volé l’ordinateur por-
table (attaque) qui permet d’accéder au réseau de l’entreprise.
La vulnérabilité tient à la nature de la protection des ordinateurs portables (attachés dans
l’entreprise, identification de l’utilisateur sur le portable : mot de passe, carte d’identification,
empreintes digitales, cryptage des données).

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
L’impact du vol d’un fichier (par exemple une réponse à appel d’offre) peut engendrer des
pertes financières (temps de travail perdu, perte du marché), mais aussi une dé-crédibilisation
de l’entreprise dont l’image peut devenir négative.
Les menaces peuvent être classées en deux grandes catégories : les menaces non intention-
nelles et les menaces intentionnelles et peuvent conduire soit à la perte, au vol ou à l’altération
des données.

1. Les menaces non intentionnelles peuvent être humaines ou matérielles


Une des principales menaces est l’erreur humaine parfois due à la négligence voire l’incompétence.
C’est l’employé qui par erreur a effacé sa dernière version de fichier, le stagiaire qui a supprimé
tout une partie de répertoire, les mots de passe collés sur un post‑it sur l’écran des PC…
Mais cela peut-être tout simplement l’employé qui a ouvert un mail non sûr et introduit un code
malicieux (cf. 2.a) dans le système ou se fait « hameçonner » et communique des données confi-
dentielles à son insu (cf. 2.b)… C’est ce que l’on nomme l’ingénierie sociale et qui consiste à
exploiter les faiblesses humaines et sociales de la cible pour extorquer des données…
Aussi est-il primordial de sensibiliser régulièrement le personnel à la politique de sécurité, via des
formations sur les procédures de sécurité et de contrôler leur respect.
Parmi les menaces non intentionnelles matérielles figurent :
• les pannes matérielles ou logicielles qui sont inévitables et doivent être prises en compte ;
• les accidents, les catastrophes naturelles (incendie, inondations, tremblements de terre…)
voire les actes terroristes qui vont conduire à une destruction du matériel et entraîner des
pertes de données.

12
UE 118 • Systèmes d’information de gestion

2. Les menaces intentionnelles sont toujours d’origine humaine


et peuvent provenir de l’extérieur ou de l’intérieur de l’entreprise
En 2009, le montant de la cybercriminalité mondiale a dépassé le montant du trafic de drogue
mondial.
Les pirates volent les données qui vont leur permettre d’obtenir des biens, de revendre ces don-
nées sur Internet, de rançonner des entreprises, de mener une guerre économique (pour rempor-
ter des appels d’offre, voler des secrets de fabrication ou bloquer un secteur d’activité
– cf. annexe 5 en fin de partie) voire mener des guerres en paralysant les SI (première cyber
guerre en 2006 menée par la Russie contre l’Estonie).

a. Codes malicieux
Il s’agit des virus, des vers, des chevaux de Troie, des SpyWare…
Ces codes malicieux peuvent être introduit de plusieurs façons : mails, pages webs mais aussi
par injection de codes SQL sur les formulaires figurant dans le site Web de l’entreprise (ce qui a
été par exemple le cas de Sony en 2011, cf. annexe 4 en fin de partie). Ce dernier type d’attaque
est actuellement un des plus fréquents.
Un fois le code malicieux introduit, il va essentiellement copier les données, les crypter et les
renvoyer vers le pirate qui alors pourra les utiliser.

b. Pièges pour internaute


Le « phishing » (ou hameçonnage en français) consiste à envoyer un mail en se faisant passer
pour une organisation (CAF, Banque, Impôt, Société de téléphonie…) et demandant à l’utilisateur
de se rendre sur son site.
L’attaque par « pharming » (dévoiement en français) consiste à rediriger une requête DNS pour
un nom de domaine vers un site frauduleux.
Dans les deux cas, l’internaute pense être sur le vrai site et communique ses informations confi-
dentielles (Identifiant utilisateur, mot de passe, coordonnées bancaires, numéro de carte ban-
caire ou de sécurité sociale…). Les pirates vont ensuite utiliser ces données volées soit
directement sur Internet soit en les revendant.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

c. Attaques de sites Web


Un site web peut subir deux types d’attaques :
• le défacement, qui consiste à modifier le site Web de l’organisation et empêche les utilisateurs
d’accéder au service ;
• l’attaque par déni de service ou Dods4, qui consiste à paralyser un site web en le submergeant
de requêtes. Les clients ne peuvent plus accéder au site et vont à la concurrence. Ce type
d’attaque est extrêmement répandu.

d. Menaces physiques
Il s’agit du vol de matériel informatique dans les locaux ou hors des locaux de l’entreprise
(cf. exemple ci-avant) voire la destruction (sabotage, vandalisme…). Pour s’en prémunir, il faut
sécuriser les accès physiques dans l’entreprise mais aussi les équipements portables5 en cryp-
tant leurs données et prévoir en cas de vol, d’effacer les données lors du premier accès de l’ordi-
nateur volé au SI de l’entreprise puis de supprimer son accès au SI.

e. Trappes
Il s’agit d’une porte dérobée dissimulée dans un logiciel, permettant un accès ultérieur à son
concepteur.

4. Denial of service attack.


5. Ordinateur portables, smartphones…

201181TDPA0413 13
Systèmes d’information de gestion • Série 4

8,9 millions de dollars par entreprise


pour réparer les dégâts liés aux cyberattaques
Pour sa seconde étude annuelle sur les coûts des dégâts causés par les cyberattaques,
l’institut Ponemon note une augmentation de 6 % par rapport à l’année dernière.
Selon une étude réalisée par l’institut Ponemon auprès de 56 organismes privés et publics US,
tous les coûts informatiques associés aux cyberattaques aux États-Unis se montaient à 8,9 mil-
lions de dollars en moyenne par entreprise au cours de l’année écoulée. C’est une hausse de 6 %
par rapport à l’étude réalisée l’année précédente. Et pour la première fois, Ponemon a étendu
l’enquête à d’autres pays, dont le Royaume-Uni, l’Allemagne, l’Australie et le Japon. Les coûts
attribués aux cyberattaques dans ces pays étaient significativement plus faibles : 5,9 millions de
dollars en moyenne par entreprise en Allemagne et 5,1 millions de dollars au Japon, par exemple.
L’étude, commanditée par HP Enterprise Security, tente d’expliquer pourquoi le chiffre de la cyber-
criminalité est beaucoup plus élevé aux États-Unis. « Nous avons constaté que les entreprises
américaines étaient beaucoup plus susceptibles de subir des attaques de la part de salariés mal-
veillants, avec du code malicieux et exploitant des faiblesses sur les sites web », indique le
rapport.

Un panel un peu trop limité


Le fondateur de l’institut, Larry Ponemon, reconnaît toutefois qu’avec seulement 56 organisations
et entreprises participant à l’enquête, l’échantillon est insuffisant pour parvenir à une conclusion
ferme quant à la raison pour laquelle le coût de la cybercriminalité aux États-Unis semblent plus
élevés qu’ailleurs.
Au Royaume-Uni et en Australie, où les coûts de la cybercriminalité ont été respectivement de
3,2 millions de dollars et 3,3 millions de dollars sur une année en en moyenne par entreprise, les
attaques par déni de service (DDoS6) étaient les plus courantes. Les entreprises allemandes sont
les moins susceptibles de subir des intrusions avec du code malveillant et des attaques par déni
de service, tandis que les entreprises japonaises moins susceptibles d’être inquiétées par les
dégâts causés à l’aide de complicité interne et les attaques exploitant les failles des sites web.

5 facteurs externes
L’étude a cité cinq facteurs « externes » qui contribuent aux dégâts associés à la cybercriminalité :
l’interruption de l’activité commerciale, le vol et la destruction d’informations, la perte de revenus,

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
les dommages matériels et « autres ». Les coûts « internes » sont les outils de détection, l’investi-
gation, le confinement, la restauration et les efforts subséquents pour parer les attaques futures.
Selon les entreprises américaines interrogées, le vol d’informations ne représente que 44 % du
total des coûts externes.
Parmi les 56 entreprises participant à l’enquête, les coûts liés à la cybercriminalité variaient de 1,4
à 46 millions de dollars. La plupart de ces coûts sont issus des mesures nécessaires pour atténuer
les blocages provoquées par les attaques DDoS, les intrusions avec complicité interne et les
attaques web.
Le Monde Informatique, 8 octobre 2012.

6. Denial of service attack, en français « attaque par déni de service ».

14
UE 118 • Systèmes d’information de gestion

Le schéma ci-après résume toutes les menaces qui pèsent sur le SI :

II. La politique de sécurité des systèmes d’information (PSSI)

A. Objectifs et acteurs
La politique de sécurité des systèmes d’information (PSSI) est un document majeur dans le
cadre de la sécurité informatique. Il définit la stratégie de l’organisation. Il donne un éclairage de
la direction sur la place de la sécurité informatique. La PSSI se présente sous la forme d’un
document structuré. Il contient notamment les règles de sécurité à appliquer et à respecter par
les acteurs. Il prend appui sur une étude des risques.
L’OCDE 7a adopté un certain nombre de principes relatifs à la sécurité des systèmes et réseaux
d’information. Ces directives posent le cadre pour la sécurité des systèmes d’information.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

En outre, elles prennent en compte l’évolution du contexte de la SSI, par exemple, le développe-
ment des interconnexions entre les réseaux. Il convient également de veiller aux projets du gou-
vernement (administration numérique) et à l’essor du commerce électronique (e‑marketing).
Ces directives ont permis de mettre en évidence les concepts de « culture de sécurité informa-
tique » et de « de la gestion des risques ». Neuf principes ont été énoncés :
1. La sensibilisation
2. La responsabilité
3. La réaction
4. L’éthique
5. La démocratie
6. L’évaluation des risques
7. La conception et la mise en œuvre de la sécurité
8. La gestion de la sécurité
9. Le contrôle de l’évaluation (feedback)
La politique de sécurité montre la vision stratégique de l’organisation dans le domaine de la sécu-
rité de l’information. Cela détermine l’importance que donne la direction générale à la SSI. La PSSI
est élaborée au niveau de la direction de l’entreprise car elle concerne tous les utilisateurs du SI.
La PSSI permet de faire des économies. En effet, elle sera déclinée en fonction du découpage
de l’organisation en utilisant des outils identiques.

7. Organisation de coopération et de développement économique.

201181TDPA0413 15
Systèmes d’information de gestion • Série 4

C’est un instrument de communication en interne (salariés, managers…) et en externe (parte-


naires, prestataires…). Il permet de sensibiliser les parties prenantes sur le thème de la sécurité.
Ce document est évolutif. Il s’adapte en fonction des changements dans l’environnement.

B. Mise en œuvre de la politique de sécurité


1. Définition de la PSSI
D’une manière générale, la conception du PSSI peut s’articuler des axes suivants :
• l’organisation du projet PSSI et la constitution du référentiel ;
• le recueil des éléments stratégiques ;
• le choix des principes et des règles applicables ;
• la validation du PSSI et de son plan d’action.
L’analyse des risques est un facilitateur pour l’élaboration du PSSI. On peut retenir les points
suivants :
• la détermination des éléments stratégiques ;
• le choix des principes à développer ;
• le guide d’élaboration des règles ;
• la vérification de la cohérence avec les objectifs définis par l’organisation.

2. Audits de la sécurité informatique


La sûreté de fonctionnement des systèmes informatiques peut être définie comme l’aptitude
d’un système à délivrer un service de confiance justifiée. La sûreté de fonctionnement englobe
les propriétés de disponibilité, fiabilité, intégrité, confidentialité, maintenabilité, sécurité par rap-
port aux conséquences catastrophiques (sécurité-innocuité ou safety), ainsi que de sécurité vis-
à-vis des actions autorisées (sécurité-immunité ou security).
Il est recommandé d’effectuer les opérations ci-après.

a. Le test de sécurité
L’objectif de ce test est de mesurer la capacité de résistance face à des attaques potentielles.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
b. Le test d’intrusion
Ce test a pour objectif de mesurer la capacité de résistance du réseau informatique lors d’une
attaque externe.
Un test d’intrusion suit les étapes suivantes :
1. Découverte du périmètre externe de l’entité.
2. Collecte d’informations complémentaires sur l’entité.
3. Identification de la topologie de l’entité et des services exposés.
4. Élaboration de scénarii d’attaques.
5. Tentative d’intrusion.
6. Poursuite de l’avancée dans le réseau local.
7. Rédaction et présentation des rapports de tests et des préconisations.

c. Le test de sécurité interne


L’objectif de ce test est de mesurer la résistance interne du réseau informatique. Il permet éga-
lement de déterminer les possibilités de malveillance du personnel.
Le test de sécurité interne se déroule de la manière suivante :
1. Découverte de la topologie du réseau.
2. Tentative d’écoute réseau sur le LAN.
3. Tentative de sortie du VLAN local.
4. Recherche des éléments clefs (serveurs de fichiers/mail/Active directory, etc.).
5. Tentative d’accès aux serveurs clefs.
6. Rédaction et présentation des rapports de test et les préconisations.

16
UE 118 • Systèmes d’information de gestion

d. Le test de sécurité applicatif


Ce test permet d’évaluer le niveau de sécurité d’une application « riche ». C’est le cas, par
exemple, en architecture client /serveur.
Ce test est constitué de deux phases :
1. Le test en « boîte noire » : sans aucun accès au code source, sans identifiants et sans infor-
mations techniques sur le logiciel.
2. Le test en « boîte grise » : ici, les consultants disposent d’un compte utilisateur (non admi-
nistrateur) sur l’application afin de vérifier la sécurité du point de vue d’un utilisateur légitime
disposant d’un compte sur l’application.

e. Le test de sécurité web


Ce test permet de vérifier la sécurité des applications web. Cette série de tests conduit à l’éta-
blissement d’un rapport mettant en évidence les faiblesses et les recommandations proposées
à l’organisation.

C. Plan de reprise après sinistre


1. Phase de réaction
Les organisations deviennent paralysées lorsque leur système informatique est en panne. Dès
lors, le plan de reprise après sinistre est un élément essentiel pour assurer la continuité des acti-
vités. Malgré cela, un certain nombre d’entreprises ne prennent pas en compte le risque d’une
défaillance de leur SI. Elles se contentent de la sauvegarde des données avec des copies de
secours entreposées à un autre emplacement, parfois dans le même site. Néanmoins, ce mode
de fonctionnement concerne essentiellement les PME/PMI/TPE. Cela traduit un manque de
culture dans le domaine de la sécurité
Or la procédure de reprise à partir de bandes de sauvegarde peut être peu efficace. L’élément
majeur du plan de reprise est d’évaluer les risques que courrait la société si le système informa-
tique n’était pas opérationnel pour une période prolongée. Pour les services des TI, la première
étape consiste à déterminer ce qui constitue un délai d’interruption soutenable. Cette durée est
fonction de l’activité de l’organisation.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Un certain nombre d’organisations fournissent plusieurs services, à l’interne comme à l’externe,


à partir de leur site web, par exemple les marchands électroniques. Le rétablissement d’une
connexion Internet constitue donc une priorité.
IBM recommande les mesures suivantes pour la planification de reprise après sinistre :

a. Première étape : l’analyse critique


• Déterminer les groupes et les processus essentiels à la continuité des activités et à la presta-
tion des produits et services.
• Déterminer les exigences nécessaires pour assurer la prise en charge de ces processus au
cours d’une panne prolongée.
• Déterminer les sinistres en fonction desquels le plan est établi.
• Déterminer le but du plan de reprise.
• Déterminer les applications dont le rétablissement est prioritaire.
• Classer les services et les fonctions selon leur délai de rétablissement acceptable et établir
l’ordre de priorité du rétablissement des applications informatiques.

201181TDPA0413 17
Systèmes d’information de gestion • Série 4

b. Deuxième étape : l’élaboration du plan de reprise


• Déterminer les tâches à exécuter, notamment la mise en place des serveurs, du système élec-
trique et des connexions Internet, l’installation des logiciels et le rétablissement des données
à partir des bandes de sauvegarde, et les classer par ordre de priorité.
• Déterminer les rôles et les responsabilités de chacun, consigner par écrit les tâches attribuées
à chacun, la façon de les exécuter et le moment pour le faire.
• Déterminer les ressources nécessaires, par exemple l’espace requis, l’alimentation électrique,
les serveurs et les ressources humaines.
• Consigner par écrit toutes les procédures de reprise après sinistre.

c. Troisième étape : le test


La dernière étape consiste à tester le plan pour s’assurer qu’il est approprié et applicable. La pro-
cédure se limite parfois à un essai de reprise à partir des bandes de sauvegarde. Mais il peut être
nécessaire de demander à des employés de se rendre aux batteries de serveurs pour y installer
des logiciels, rétablir les données à partir des copies de sauvegarde, puis procéder à une panoplie
de tests. Dans le cas de systèmes complexes, le processus peut comprendre plusieurs itérations,
au fur et à mesure que l’on découvre, puis corrige, des erreurs et omissions dans les procédures
de reprise. Il est recommandé de tester les procédures au moins une fois par année.

2. Phase de restauration : la stratégie de reprise


Une organisation doit être en mesure de rétablir rapidement certaines applications prioritaires
afin de garantir le bon déroulement de ses nombreux processus opérationnels. Plus le délai de
reprise est court, plus les coûts de la stratégie de reprise sont élevés. La stratégie de reprise est
fonction des besoins de chaque organisation.
Voici les différentes stratégies de reprise possibles :

a. La dualité des systèmes


La stratégie de reprise la plus rapide consiste à mettre en place un double du matériel informa-
tique, des données, du matériel de communications, des systèmes électriques, ainsi qu’une
connexion Internet, prêts à fonctionner à un autre emplacement.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Si la société ne peut se permettre de délai d’interruption, elle peut utiliser un site miroir, c’est-à-
dire un système de relève établi à un autre emplacement et qui fonctionne parallèlement au
système opérationnel. Toutes les opérations sont enregistrées automatiquement dans le sys-
tème opérationnel et dans le système de relève.
Si le système opérationnel est frappé par un sinistre, le système de relève entre en fonction et
assure la continuité des activités. La mise en place d’un système de relève constitue la solution
la plus coûteuse, mais assure la meilleure protection.

b. Le site de secours
Un abonnement à un site de secours est un contrat avec un fournisseur de services donnant
accès à un emplacement physique doté de tout le matériel nécessaire. Cette stratégie comporte
des coûts d’exploitation relativement élevés. Plus le délai de reprise garanti est court, plus les
coûts de l’abonnement seront élevés. Il s’agit d’un service conçu pour une période relativement
courte.

c. La finalisation du plan
Dans la pratique, les organisations essaient de faire des combinaisons des deux stratégies.

3. La mise à jour
L’actualisation du plan de reprise est un impératif. Le plan doit être testé régulièrement pour tenir
compte de l’évolution des menaces.

18
UE 118 • Systèmes d’information de gestion

III. Sûreté de fonctionnement


Ce terme caractérise le niveau de confiance des utilisateurs dans le système d’information,
c’est-à-dire sa capacité à répondre à leurs besoins dans de bonnes conditions.
Du point de vue de l’utilisateur, le service rendu par le SI est soit approprié (c’est-à-dire conforme
à ses attentes) soit inapproprié.

A. Disponibilité et fiabilité
La disponibilité d’un service du SI est la probabilité qu’il soit en bon état de fonctionnement à un
instant donné. Un service disponible 24h/24 a une disponibilité de 100 % soit une haute
disponibilité.
La fiabilité est la probabilité qu’un système soit en fonctionnement normal sur une période don-
née. La fiabilité permet d’évaluer la continuité de service.

Taux de disponibilité Durée d’indisponibilité


97 % 11 jours
98 % 7 jours
99 % 3 jours et 15 heures
99,9 % 8 heures et 48 minutes
99,99 % 53 minutes
99,999 % 5 minutes
99,9999 % 32 secondes

Temps de disponibilité
Le taux de disponibilité est calculé ainsi : .
Temps total
Cependant, assurer le risque zéro est trop coûteux. La règle de Pareto s’applique aussi à la ges-
tion des risques : 80 % des risques informatiques peuvent être couverts par 20 % des investis-
sements nécessaires.
Pour les systèmes non critiques, on pourra admettre un taux de disponibilité de 99 % voire moindre.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

B. Défaillance
Pour assurer cette disponibilité, il faut limiter les défaillances (ou dysfonctionnements) du sys-
tème en :
• prévenant les fautes : en effet, si les fautes sont anticipées, des mesures peuvent être prises
pour les éviter ;
• rendant le système tolérant aux fautes : le service attendu sera rendu même en cas de faute grâce
à une redondance8, par exemple un site web de secours ou un disque RAID (cf. C. ci-après) ;
• réduisant le nombre des fautes grâce à des actions correctives (correction de bugs, mise à jour…) ;
• prévoyant les fautes et leur impact sur le service (une erreur n’aboutissant pas forcément à une
défaillance).

C. Tolérances aux fautes


Pour rendre le système tolérant aux pannes, un mécanisme de redondance est mis en place et
consiste à dupliquer les ressources critiques.
Par exemple, la mise en place de disques RAID (cf. série 3 partie 3. Les matériels informatiques)
permet de continuer à travailler malgré la panne d’un disque de la grappe.
Un site web de secours prend automatiquement le relais du site principal défacé…

8. « En informatique et dans les télécommunications, duplication d’informations afin de garantir leur sécu-
rité en cas d’incident. », Le Petit Larousse illustré.

201181TDPA0413 19
Systèmes d’information de gestion • Série 4

D. Sauvegarde
En cas de perte de données, il faudra restaurer les données. La sauvegarde permet aussi de se prému-
nir contre les pannes matérielles graves qui pourraient rendre un ou plusieurs disques inaccessibles.
La périodicité des sauvegardes correspond à la durée de travail que l’on est prêt à perdre. Une
sauvegarde hebdomadaire peut entraîner la perte de 1 à 7 jours de travail. La plupart des entre-
prises font des sauvegardes journalières.
La sauvegarde peut être centralisée sur un serveur. Une application cliente est installée sur le
poste utilisateur et typiquement toutes les nuits, le serveur vient rechercher les fichiers modifiés
dans la journée.
La sauvegarde peut aussi être individuelle. Un DVD laissé dans le graveur et une petite applica-
tion permettront d’avoir aussi très facilement cette sauvegarde automatique toutes les nuits. Les
versions professionnelles de Windows9 possèdent une application de ce type baptisée sobre-
ment « utilitaire de sauvegarde ».
La pire des solutions est la sauvegarde manuelle car elle est souvent négligée et l’on découvre
au moment où l’on en a vraiment besoin, que la dernière remonte à des semaines.

1. Les types de sauvegarde


Il existe principalement trois types de sauvegarde :

a. La sauvegarde intégrale
Tous les fichiers sont sauvegardés et marqués comme tels.

b. La sauvegarde incrémentale
Tous les fichiers qui n’ont pas été marqués comme sauvegardés sont sauvegardés et marqués.
Seuls les fichiers qui ont été créés ou modifiés depuis la dernière sauvegarde (intégrale ou incré-
mentale) sont traités.

c. La sauvegarde cumulative
Tous les fichiers qui ont subi une modification depuis la dernière sauvegarde intégrale sont
sauvegardés.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
2. Sécurité des sauvegardes
Pour qu’une sauvegarde soit une sécurité effective, il faut prendre trois précautions fondamentales :

a. Les sauvegardes doivent être protégées contre le vol


Pour un pirate, une sauvegarde est plus facile à voler et plus facilement exploitable qu’un disque
dur. Une solution est de crypter les données sauvegardées. Si les supports des sauvegardes
sont à proximité des matériels, le coffre-fort est indispensable si l’on ne veut pas risquer de voir
le voleur partir avec les machines et les sauvegardes.

b. Les sauvegardes doivent être protégées contre la destruction du site


Les sauvegardes doivent être déposées dans un contenant étanche et ignifugé ou une partie au
moins doit être transférée dans un autre lieu.
Sans cela, les sauvegardes locales seront probablement perdues comme les originaux en cas
d’incendie ou d’inondation.

c. Les sauvegardes doivent être régulièrement contrôlées


Les sauvegardes doivent régulièrement être rechargées sur un disque de test.
Il serait catastrophique de constater que le graveur de DVD ou le dérouleur de bande est défec-
tueux le jour où l’on aura réellement besoin de la sauvegarde.

9. Mais pas les versions « familiales ».

20
UE 118 • Systèmes d’information de gestion

IV. La sécurité des accès


Mettre en place des systèmes de sécurité sophistiqués n’est d’aucune efficacité si les pirates
peuvent librement circuler dans l’entreprise et si n’importe quel employé peut se connecter à de
nombreuses machines. S’il est possible d’accéder à un serveur, toutes les protections réseau
placées en amont ne sont d’aucune efficacité.
La sécurité des accès recouvre deux choses :
• l’autorisation de se connecter à un système ;
• pouvoir accéder à un serveur ou un programme depuis son poste personnel ;
• l’autorisation d’accéder physiquement à un équipement ;
• pouvoir se rendre dans la salle où se trouve l’équipement.
Même si l’accès physique et l’accès logique semblent de natures très différentes, il s’agit en fait
de choses conceptuellement très proches :
• Accéder physiquement à un équipement et accéder via le réseau aux serveurs et programmes
que contient cet équipement aboutissent à des résultats assez proches. L’accès physique à un
équipement permet souvent d’en prendre le contrôle.
• Les méthodes de filtrage par identification sont identiques pour les accès physiques et logiques
(codes, badges, mesures biométriques…) et donc relèvent de la même structure technique
(mais pas de la même structure organisationnelle).

A. Méthodologie
La sécurisation des accès physiques se fait en 3 étapes :
1. Identification de toutes les ressources sensibles et évaluation du degré de risque pour
chacune
2. Détermination des personnes devant avoir un droit d’accès
3. Mise en œuvre du contrôle d’accès
La sécurisation des accès n’est efficace que si les utilisateurs respectent des règles élémen-
taires : ne jamais prêter son badge, ne jamais donner son code, ne jamais laisser une personne
passer par une porte ouverte avec son badge sans qu’elle s’identifie aussi.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Point technique : Vérification de l’identité – Les techniques classiques

Traditionnellement, l’identification des personnes est basée sur la possession d’un objet
(carte d’identification, badge magnétique, carte à puce…) ou la connaissance d’une
information secrète (digicode, mot de passe…).
Ces deux techniques présentes sont simples à mettre en œuvre mais ne sont pas satisfaisantes.

Identification par possession


La personne peut perdre ou se faire voler l’objet. Elle ne peut donc plus s’identifier. Si une
personne mal intentionnée récupère l’objet, elle peut usurper l’identité de la personne.

Identification par connaissance


Si le code est trop court, il peut être cassé. S’il est long, il est difficile à mémoriser. Son
titulaire peut décider de le retranscrire et donc risquer de se le faire voler. Il peut aussi être
imprudent et se fier uniquement à sa mémoire. Le risque est alors l’oubli. On estime
aujourd’hui qu’un individu moyen doit mémoriser entre 5 et 40 codes pour accéder à son
domicile, son entreprise, ses avoirs financiers, ses comptes réseaux…
Pour atténuer les défauts de ces deux techniques, elles sont fréquemment utilisées
conjointement. L’exemple type est la carte bancaire qui est toujours associée à un code
secret en Europe.

201181TDPA0413 21
Systèmes d’information de gestion • Série 4

B. Les mots de passe


Le choix et la gestion des mots de passe sont aussi des éléments importants du dispositif sécu-
ritaire de l’entreprise.

1. Choix du mot de passe


Il est important de comprendre que, même tenu secret, un mot de passe peut être découvert. Le
risque qu’un mot de passe soit découvert est directement lié à son niveau de simplicité pour les
programmes utilisés par le pirate (voir le point technique : Casser les mots de passe). Pour le
rendre très sûr, il faut donc le complexifier pour ces programmes.
Règles pour créer un mot de passe sécuritaire :
• Une longueur minimum de 6 caractères et optimale de 8 caractères.
• Un mot qui n’existe pas mais reste mémorisable : pour éviter qu’il ne soit noté.
• Au moins un changement majuscule/minuscule : patteMie ou PATTEmiE ou mieux pATtEmiE
plutôt que pattemie ou PATTEMIE par exemple.
• Au moins un chiffre ailleurs qu’en fin de mot en évitant les chiffres répétés : p0tteMie ou
p0tteM1e plutôt que patteMie par exemple.
• L’ajout d’un ou deux caractères non alphanumériques (qui ne soit pas az, AZ ou 09) est un
point très positif : p0tt!Mie plutôt que p0tteM1 par exemple.

2. Gestion des mots de passe


Quelle que soit la taille de la structure, il est possible de gérer les mots de passe sans avoir des
connaissances réellement informatiques.

a. Tester les mots de passe


Des programmes comparables à ceux qu’utilisent les pirates pour casser les mots de passe sont
disponibles sur Internet (Saminside, L0phtCrack…). Il suffit de les appliquer sur le fichier des
mots de passe du serveur pour identifier ceux qui doivent être changés.

b. Obliger les utilisateurs à changer régulièrement leur mot de passe

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Un pirate adroit et discret peut utiliser un mot de passe compromis sans laisser de trace. Il est
préférable que cette situation ne dure pas des années.

c. Interdire le partage des mots de passe


Si un mot de passe a néanmoins été partagé, il doit immédiatement être changé pour que son titu-
laire en redevienne le seul utilisateur et donc le seul responsable en cas d’utilisation frauduleuse.

d. Se prémunir du piratage social


Prétendre être un utilisateur qui a perdu son mot de passe au milieu d’une tâche urgente est un
moyen simplissime et efficace pour en obtenir un parfaitement valide. Former les personnels à ne
pas se laisser abuser par les pirates sociaux et mettre en place des procédures robustes qui
doivent toujours être strictement respectées sont des moyens efficaces de renforcer la sécurité.

e. Se méfier des collègues indélicats


La plupart des gens sont incapables de reconstituer la frappe d’un mot de passe vu par-dessus
l’épaule d’un utilisateur. Avec un peu d’entraînement et éventuellement quelques manœuvres
pour déconcerter et ralentir l’utilisateur, il en est tout autrement.
Ne jamais laisser son poste en libre accès après s’être identifié. N’importe qui pourra accéder à
la machine et aux serveurs autorisés avec ce mot de passe jusqu’au retour de l’utilisateur. Si cet
utilisateur a des droits étendus comme celui de créer des comptes, le pirate pourra en quelques
minutes se doter d’une série de comptes valides. Avant de s’absenter, il est nécessaire d’arrêter
son poste ou d’activer l’écran de veille avec verrouillage par mot de passe.

22
UE 118 • Systèmes d’information de gestion

C. Les accès physiques


Les règles sont simples et peu nombreuses. Pour autant, dans beaucoup d’entreprises, il y a loin
des principes à leur application. Il est de la responsabilité du gestionnaire de peser pour que
l’entreprise prenne ses responsabilités en matière de sécurité des bâtiments. En cas de carence,
il doit relever son niveau de vigilance.

1. Limiter le nombre des points d’accès


Comme chaque accès doit être sécurisé, diminuer leur nombre réduit considérablement la
charge de travail correspondante. L’idéal est évidemment l’entrée unique qui est la règle de base
de tous les bâtiments professionnels. L’accès direct aux parkings est une faille de sécurité fré-
quente. Si l’immeuble n’est pas sécurisé, il est nécessaire de veiller à protéger les bureaux
contenant des postes informatiques sensibles.

2. Rendre les sorties de secours impraticables en temps normal


Cela se fait avec l’installation d’une ouverture formelle (vitre à briser pour ouvrir l’issue par
exemple) associée à un système d’alarme efficace.

3. Identifier toutes les personnes entrant dans une zone protégée


« Tenir la porte » est une faute, accepter de passer sans « badger » en est une autre.

4. Système de vidéosurveillance
Il doit être mis en place dans tous les points d’entrée des zones protégées. Comme la sur-
veillance en continu est peu efficace, l’enregistrement des images et l’archivage durant une
période raisonnable sont indispensables.

5. Protection des poubelles


L’informatique produit du papier, des CD, des DVD et réforme régulièrement des machines avec
disques durs. Le tri sélectif des ordures pour les pirates n’a pas pour objectif de lutter contre la
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

pollution et le trou dans la couche d’ozone même s’il est suivi fréquemment d’un recyclage
immédiat.
Tous les supports d’informations sensibles doivent être rendus inutilisables avant d’être jetés :
• destructeur (shredder) pour les documents imprimés ;
• concassage ou passage sur une surface rugueuse pour les CD et DVD ;
• reformatage avec un programme spécialisé des disques durs des postes obsolètes avant leur
réforme (Secure Delete, Darik’Boot And Nuke, Eraser Secure…).
Ces précautions doivent être prises avec encore davantage de rigueur :
• si le ménage est assuré par une entreprise extérieure, en particulier s’il y a une rotation impor-
tante de son personnel ;
• si le local des poubelles n’est pas fermé et est accessible depuis l’extérieur ou si les poubelles
sont sans surveillance entre le moment où elles sont sorties et celui où elles sont prises en
charge par le service de collecte.

D. Sécurité du câblage
C’est au service réseau de mettre en place une infrastructure qui limite les possibilités de
connexion sauvage d’un pirate sur le réseau d’entreprise. La responsabilité du gestionnaire se
limite à son poste. Il doit vérifier qu’aucun équipement nouveau n’est apparu dans son bureau
sans qu’il en ait été préalablement informé par le service responsable. La pose d’un sniffer per-
mettant d’écouter le trafic de la zone prend quelques minutes à un pirate qui abusera la plupart
des services de sécurité s’il a simplement pris la peine de mettre un bleu de travail.

201181TDPA0413 23
Systèmes d’information de gestion • Série 4

V. Protection du réseau

A. Dispositif de détection d’intrusions


1. Système de détection d’intrusion (Instrusion Detection System – IDS)
Ces utilitaires sont en mesure de détecter une attaque et fournir un rapport sur la nature de
l’attaque.

2. Système de détection d’intrusion réseau


(Network Intrusion Detection System_NIDS)
LE NIDS a les mêmes fonctions que le IDS. Mais il opère sur le réseau. Il est en mesure de détec-
ter en temps réel toute attaque sur le réseau.

B. L’anti-virus
« Antivirus » est un terme générique pour des logiciels de sécurité dont l’action va au-delà de ce
que leur nom indique.
Ces programmes assurent les fonctions suivantes :
• Détection et éradication des virus. Ces programmes examinent les fichiers présents sur le
disque, transférés depuis le réseau (téléchargements, pages Web…) ou des supports amo-
vibles (disquettes, CD, DVD, clef USB…) à la recherche de morceaux de codes correspondant
à la signature d’un virus mémorisée dans un dictionnaire. À noter que ce dictionnaire de signa-
tures est systématiquement tenu à jour depuis le site de l’éditeur et via Internet. Pour cette
raison, le prix d’achat de l’antivirus n’est qu’un premier versement (parfois il est même « gra-
tuit »), le client devant ensuite souscrire un abonnement périodique. Pour un usage personnel,
il existe des antivirus gratuits au même niveau technique que les produits commerciaux comme
Avast.
• Identification des comportements anormaux des programmes qui indiqueraient une infection
du poste de travail.
• Prévention de manipulations potentiellement dangereuses de l’utilisateur. Par exemple, le fait

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
de laisser une disquette dans le lecteur à l’extinction de la machine serait signalé par l’antivi-
rus. Il avertira l’utilisateur que l’ordinateur risque au redémarrage de booter sur ce support
peut-être d’origine douteuse.

C. Le pare-feu ou firewall
Appelé aussi coupe-feu, packet filter ou BPD (Border Protection Device), le pare-feu filtre les
communications entre le réseau et le poste de travail. Ce peut être un équipement collectif, un
équipement spécifique au poste de travail ou un simple programme tournant sur l’ordinateur à
protéger.
Les critères de filtrages possibles sont :
• Machine d’origine et destination des paquets de données.
• Programme d’origine des paquets. Seuls les programmes autorisés peuvent émettre et rece-
voir depuis le réseau.
• La cohérence de la description des paquets de données. Cette description est contenue dans
l’en-tête de chaque paquet.
• Les données elles-mêmes. Taille, type, respect d’un format.
• Les utilisateurs. Les autorisations peuvent être individuelles, que ce soit pour le poste de l’uti-
lisateur ou les serveurs.

24
UE 118 • Systèmes d’information de gestion

D. DMZ
En sécurité informatique, une zone démilitarisée est un sous-réseau qui contient des services
externes d’une organisation à un plus grand réseau non sécurisé. En général, il s’agit d’Internet.
Le but d’une DMZ est d’ajouter une couche de sécurité supplémentaire à un réseau d’entreprise
local (LAN). Un intrus ne dispose que d’un accès à l’équipement dans la zone démilitarisée. Le
nom de DMZ est issu du terme « zone démilitarisée », une zone située entre les États dans les-
quels une action militaire n’est pas autorisée.
Dans un réseau informatique, les hôtes les plus vulnérables à l’attaque sont ceux qui fournissent
des services aux utilisateurs en dehors du réseau local, comme notamment l’accès à Internet.
En raison de l’accroissement du potentiel de ces hôtes compromis, ils sont placés dans leur
propre sous-réseau afin de protéger le reste du réseau si un intrus réussissait à attaquer un quel-
conque d’entre eux.
Les hôtes de la zone démilitarisée ont limité l’accès à des hôtes spécifiques dans le réseau
interne, même si la communication avec les autres hôtes dans la DMZ et le réseau externe est
autorisé. Cela permet aux hôtes dans la DMZ de fournir des services à la fois pour le réseau
interne et externe, tandis qu’un pare-feu intermédiaire gère le trafic entre les serveurs de la DMZ
et les clients du réseau interne.

1. Services fournis via la DMZ


Tout service fourni aux utilisateurs sur le réseau externe peut être placé dans la DMZ. Les ser-
vices les plus utilisés sont les suivants les serveurs web, de messagerie, FTP et VoIP :

a. Serveurs web
Les bases de données peuvent contenir des informations sensibles et en conséquence ne
doivent pas être accessibles au public (c’est-à-dire depuis Internet), aussi sont-elles situées sur
des serveurs internes.
Les serveurs web doivent eux être accessibles depuis l’extérieur mais ont également besoin
d’un accès aux serveurs internes de base de données. Ces serveurs, en étant situés dans la
DMZ, vont pouvoir communiquer avec l’extérieur et les serveurs internes sans compromettre la
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

sécurité.

b. Serveurs de messagerie
La messagerie électronique, et en particulier la base de données des utilisateurs, comporte des
informations confidentielles. C’est pour cela qu’elles sont généralement stockées sur des ser-
veurs dits « internes » car non accessibles depuis Internet (du moins pas de manière non sécu-
risée). Toutefois ces serveurs doivent être accessibles depuis les serveurs SMTP qui, eux, sont
exposés au réseau Internet.
Le serveur de messagerie situé à l’intérieur de la zone démilitarisée distribue le courrier entrant
vers les serveurs de messagerie sécurisés (ou internes au réseau local). Il gère également le
courrier sortant.

c. Serveurs FTP
Les serveurs FTP (File Transfer Protocol) permettent d’échanger des fichiers à distance et vont
également être sécurisés en étant placés dans la DMZ.

d. Serveurs VoIP
VoIP (Voice over IP) permet de communiquer par la voix sur des réseaux IP. Cette technologie qui
permet de réduire les coûts téléphoniques est très répandue.
Pour éviter les attaques (déni de service, écoute du trafic, usurpation d’identité…), ces serveurs
doivent être sécurisés.

201181TDPA0413 25
Systèmes d’information de gestion • Série 4

2. Serveur proxy (cf. série 3, partie 4 : II. C. L’architecture du réseau)


Pour plus de sécurité, de conformité juridique et des raisons de surveillance, certaines entre-
prises sont conduites à installer un serveur proxy dans la zone démilitarisée.
Ceci a les conséquences suivantes :
• Obliger les utilisateurs internes (généralement des employés) à utiliser le proxy pour accéder à
Internet.
• Permettre à l’entreprise de réduire les besoins en bande passante pour l’accès à Internet, car
une partie du contenu Web peut être mis en cache par le serveur proxy.
• Simplifier l’enregistrement et le suivi des activités de l’utilisateur et bloquer le contenu suscep-
tible de violer les politiques d’utilisation acceptables.

3. Architecture DMZ
Il existe différentes manières de concevoir un réseau avec une DMZ. Deux des méthodes les
plus simples sont constituées d’un seul pare-feu. Il s’agit du modèle à « trois pattes », et des
pare-feu doubles. Ces architectures peuvent être étendues pour créer des architectures très
complexes en fonction des besoins du réseau.

a. Pare-feu simple
Un seul pare-feu d’au moins trois interfaces réseau peut être utilisé pour créer une architecture
de réseau contenant une DMZ. Le réseau externe est formé pour le pare-feu sur la première
interface de réseau. Le réseau interne est formé à partir de la seconde interface de réseau. La
DMZ est formée à partir de la troisième interface réseau. Le pare-feu devient un point de
défaillance unique pour le réseau. Il doit être capable de gérer tout le trafic allant vers la DMZ
ainsi que le réseau interne. Les zones sont généralement repérées par des couleurs, par exemple
le violet pour la DMZ, le vert pour le réseau local, le rouge pour Internet (avec souvent une autre
couleur utilisée pour les zones sans fil).

b. Double pare-feu
Une méthode plus sûre est d’utiliser deux pare-feu pour créer une DMZ. Le premier pare-feu doit
être configuré pour autoriser le trafic destiné à la DMZ seulement. Le second pare-feu ne permet

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
que la circulation de la DMZ vers le réseau interne.
Cette configuration est considérée comme la plus sûre puisque les deux appareils devraient être
corrompus. Il y a encore plus de protection si les deux pare-feu sont fournis par deux fournis-
seurs différents. En effet, cela rend moins probable que les deux appareils souffrent des mêmes
failles de sécurité. Par exemple, une mauvaise configuration accidentelle est moins susceptible
de se produire de la même façon à travers les interfaces de configuration de deux fournisseurs
(vendor ou provider en anglais) différents et un trou de sécurité constatée dans le système d’un
seul fournisseur est moins susceptible de se produire dans l’autre. Cette architecture est plus
coûteuse.

26
UE 118 • Systèmes d’information de gestion

Annexe 1 Pour aller plus loin


• Le site de l’ANSSI, Agence nationale de la sécurité des systèmes d’information :
http://www.ssi.gouv.fr/
–– Les 10 commandements de la sécurité sur l’internet :
http://www.securite-informatique.gouv.fr/gp_rubrique34.html
–– Protection minimale :
http://www.securite-informatique.gouv.fr/gp_article94.html
–– Bonnes pratiques de navigation sur l’internet :
http://www.securite-informatique.gouv.fr/gp_article74.html
–– L’hygiène informatique en entreprise – Quelques recommandations simples :
http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-
de-travail-et-des-serveurs/appel-a-commentaires-sur-le-guide-l-hygiene-informatique-en-
entreprise-quelques.html
–– Modules d’autoformation :
– Principes essentiels de la sécurité informatique :
http://www.securite-informatique.gouv.fr/gp_article676.html
– Politique de sécurité des systèmes d’information – PSSI :
http://www.securite-informatique.gouv.fr/gp_article553.html
• Le portail de la sécurité informatique : http://www.securite-informatique.gouv.fr/index.html
• Club de la sécurité de l’information français : http://www.clusif.fr/

Annexe 2 Questions types


Ci-après, vous trouverez les principales questions tombées à l’examen d’État.
Il vous est fortement conseillé de consulter les sujets et les corrigés sur le site de l’Intec.
2013
• Proposer une solution afin de permettre à l’expert-comptable d’accéder aux informations du
PGI en toute sécurité.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

2012
• Indiquer comment l’entreprise peut protéger dans cette nouvelle architecture son réseau local
et son serveur de données des risques liés à la mise en place du serveur web et donc à l’ouver-
ture du réseau.
2011
• Définir les notions d’indisponibilité, d’intégrité et de confidentialité des données.
• Proposer des solutions techniques ou organisationnelles pour, d’une part, prévenir ces trois
types de risque et, d’autre part, reprendre l’activité après un incident en rapport avec ces
risques.
• Présenter les risques inhérents à cette technologie (Wi-Fi) et les solutions qui peuvent les réduire.
2010
• Décrire le rôle d’une DMZ (zone démilitarisée).
2008
• Dans une note d’une dizaine de lignes, vous mettrez en évidence les problèmes liés à la sécu-
rité des systèmes informatiques en recensant les principales menaces.
• Quels sont les problèmes posés par les SPAMs pour une entreprise ?
• Quel est l’intérêt de mettre en place une politique de login et de mot de passe pour chaque
utilisateur du système informatique ? N’existe-t-il pas d’autres moyens de restreindre l’accès
des postes au réseau ?
• Pourquoi un planning des sauvegardes des données est-il indispensable ?
• Pourquoi faut-il stocker les supports des sauvegardes ailleurs que dans l’entreprise ?

201181TDPA0413 27
Systèmes d’information de gestion • Série 4

Annexe 3 Illustration

Le coût exorbitant des cyberattaques


Moins de 10 % des entreprises déclareraient avoir essuyé des attaques numériques, de peur
d’une mauvaise publicité.
L’Allemagne vient d’annoncer qu’en 2010, la cybercriminalité lui a coûté quelque 61,5 millions
d’euros. Si de tels chiffres sont souvent brandis pour légitimer la lutte contre les pirates, ils laissent
les experts perplexes.
Les chiffres donnent le vertige. En Allemagne, le préjudice financier causé par la cybercriminalité
s’est élevé à 61,5 millions d’euros en 2010, d’après les chiffres publiés ce jeudi par la police crimi-
nelle et la fédération des hautes technologies Bitkom. Ce qui équivaut à une augmentation de
66 % par rapport à l’année précédente. Quant aux États-Unis, le FBI a évalué le coût de la crimi-
nalité numérique à quelques 560 millions de dollars en 2009. À l’échelle du monde entier, d’après
McAfee, la cybercriminalité aurait généré quelques 1 000 milliards de dollars en 2008, soit environ
1,64 % du PIB mondial pour cette même année. Reste que, sans minimiser l’ampleur du fléau, ces
chiffres laissent perplexe.
Beaucoup d’experts accordent peu de crédit à ces études car la plupart d’entre elles émanent des spé-
cialistes en sécurité informatique. Pour mémoire, McAfee n’est autre que le numéro deux mondial des
logiciels antivirus. De plus, « moins de 10 % des entreprises déclarent avoir subi des cyberattaques »,
souligne Jean-Paul Pinte, maître de conférences en veille stratégique à l’université catholique de Lille.
D’après ce spécialiste en management des risques cybercriminels et terroristes des entreprises, les
sociétés touchées craignent la mauvaise publicité liée à la médiatisation des cyberattaques.
Pour Jean-Paul Pinte, « on ne sait rien des séquelles et pertes financières subies de manière indi-
recte ». Et d’ajouter : « Si une attaque vise à délester une société d’informations sensibles, la perte
de ces données va engendrer des coûts multiples, comme une perte de compétitivité, ou encore
la mise à niveau de la sécurité. »

« Difficile d’avoir une vision exhaustive »


Directeur de l’Agence nationale de la sécurité des systèmes d’information (Anssi), Patrick Pailloux
abonde en ce sens. « Lorsqu’un site est victime d’une attaque, prend-t-il en exemple, il est d’abord

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
bloqué, ce qui engendre un manque à gagner. Puis il faut ajouter des coûts supplémentaires liés à
la mise en place d’une hotline renforcée. » Et concernant les pratiques d’espionnage industriel
initiées via Internet : « Comment peut-on mesurer en termes de pertes ce qu’un concurrent a pu
dérober ? », se demande le directeur de l’Anssi. En clair, « il est difficile d’avoir une vision exhaus-
tive du problème », résume-t-il.
Malgré ces critiques, ces chiffres sont brandis à chaque événement sur la cybercriminalité. Pour-
tant datée, l’estimation de 1 000 milliards de dollars de McAfee fait autorité. En mai dernier, elle
figurait même dans l’« aide-mémoire » du quatrième Forum parlementaire sur la société de l’infor-
mation à Genève, à l’initiative, entre autres, des Nations Unies. En trompe-l’œil, le texte citait une
source estampillée Europol, l’officine de police intergouvernementale de l’Union européenne,
laquelle renvoyait en fait… vers les chiffres de l’éditeur de logiciels.
Si les gouvernements n’hésitent pas à dégainer ces chiffres impressionnants, c’est souvent pour
légitimer les nécessaires, mais coûteux renforcements de leurs agences contre le piratage numé-
rique. Ou en clair, rendre la pilule plus facile à avaler auprès des contribuables. Au mois de janvier,
le Royaume-Uni a ainsi estimé que les attaques informatiques lui coûtaient la bagatelle de 27 mil-
liards de livres par an (32,2 milliards d’euros) dans une étude gouvernementale. Soit un montant
(de très loin) supérieur au préjudice revendiqué par les États-Unis… Or, quelques jours avant de
rendre public ce chiffre, Londres a annoncé le déblocage de 650 millions de livres sur quatre ans
pour « renforcer sa cyber-sécurité »…

La coopération internationale en cheval de bataille


Sans brandir de chiffres nationaux, la France n’est pas en reste, comme en témoigne l’annonce du
piratage de Bercy au mois de mars. Pour Patrick Pailloux, il s’agissait pour l’État de « montrer
l’exemple », afin d’inciter les entreprises à déclarer les piratages qu’elles essuient. Le directeur de
l’Anssi rappelle que 150 ordinateurs avaient alors été infiltrés par des hackers pour y dérober des •••/•••

28
UE 118 • Systèmes d’information de gestion

•••/••• documents relatifs à la présidence française du G20. « Nous avons pu contrer la menace »,
enchaîne-t-il, précisant que 30 experts ont été mobilisés pendant deux mois pour « nettoyer » plus
de 130 000 postes du ministère. Une communication qui tombe à pic, puisque l’Anssi prévoit de
doubler ses effectifs (à 360 agents) d’ici à 2013.
De tels procédés peuvent déplaire, mais experts et politiques en conviennent : il n’y a pas de
temps à perdre sur le front de la criminalité numérique. « Pendant longtemps en France, on se
disait que le piratage et les intrusions informatiques n’étaient pas franchement dangereuses, ana-
lyse Jean-Paul Pinte. Mais maintenant, on sait que c’est devenu un véritable business, et que la
menace peut venir de partout : d’une simple clé USB, ou même des disques durs des photoco-
pieuses, qui, reliées à Internet, peuvent devenir la cible de hackers. »
En conséquence, la coopération internationale, qui requiert des moyens importants, constitue
« une priorité », insiste Patrick Pailloux. Et pour cause : « 90 % des attaques sont internationales »,
rappelle le directeur de l’Anssi. Dans les colonnes de La Tribune, Laurent Wauquiez, ministre
chargé des affaires européennes, a récemment rappelé qu’un pirate « peut être installé en Lettonie,
intervenir en France tout en passant par un site canadien ». Il juge même urgent que l’Europe se
dote « d’une sorte de cyber‑FBI adossé à Europol » pour endiguer la criminalité numérique. Et
d’abattre une dernière statistique, assurant qu’« un internaute sur trente a perdu de l’argent en
Europe ces douze derniers mois » à cause d’un pirate informatique.

Les entreprises, des proies de choix


Après avoir sondé 45 sociétés américaines en 2010, l’institut Ponemon a estimé qu’en moyenne,
le préjudice financier engendré par les piratages et vols de données s’élevait à 3,8 millions de dol-
lars. À l’instar de celui de McAfee, ce chiffre est à prendre avec des pincettes, puisque même si
Ponemon affiche son indépendance, son étude a été commandée par ArcSight, un spécialiste en
sécurité numérique. Toutefois, il apparaît que les grands groupes sont de plus en plus dans le
collimateur des hackers. Depuis le début de l’année, la liste des sociétés ou institutions internatio-
nales qui ont subi des cyberattaques n’a cessé de s’allonger. Sony a essuyé plus de dix attaques
depuis la mi-avril, conduisant au vol de données confidentielles de plus de 1 millions de comptes
clients. Récemment, Sega a vécu la même mésaventure : l’éditeur de la série du hérisson bleu
Sonic a révélé à la mi-juin s’être fait dérobé les noms, adresses électroniques, dates de naissance
et mots de passe de près de 1,3 million de clients sur ses serveurs. Google, ou encore Citigroup
ont également essuyé des cyberattaques.
Pierre Manière, Le Figaro.fr économie, 30 juin 2011.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Annexe 4

1 million de comptes Sony Pictures piratés


Les serveurs de Sony Pictures ont été piratés à l’aide d’une simple injection SQL, selon LulzSec,
un groupe de pirates qui revendique l’attaque et a dévoilé sur Internet les informations person-
nelles de plus d’un million d’utilisateurs. Selon le message qu’ils ont publié sur PasteBin, « Sony-
Pictures.com fut conquis par une très simple injection SQL, une des vulnérabilités les plus primitives
et basiques. À partir d’une simple injection, nous avons TOUT (sic) accédé ».
« Le pire est que chaque bit de donnée que nous avons pris n’était pas chiffré. Sony stocke plus de
1 000 000 (sic) de mots de passe de ses consommateurs dans un fichier texte, ce qui veut dire que
c’est simplement une question de le prendre. C’est honteux et un manque de sécurité : ils (les employés
de SonyPictures.com, NDLR) le cherchaient. », s’exclame LulzSec dans son communiqué.
SonyPictures.com n’est pas le seul à avoir été touché. Les sites hollandais et belges de Sony
BMG, la division musique de la firme, ont aussi été victime de la même attaque. Le site de LulzSec
a depuis été mis hors ligne et les pages de bases de données publiées ont été retirées de la Toile.
Cette attaque aurait surement eu moins d’importance si Sony n’avait pas été victime d’un des plus
grands piratages de l’histoire de l’informatique en avril dernier. Même si les pirates affirment qu’une
injonction SQL est une attaque très simple, ce n’est pas à la portée de tout le monde. Sony n’est •••/•••

201181TDPA0413 29
Systèmes d’information de gestion • Série 4

•••/••• pas non plus le premier à avoir une faille dans sa base de données. Les injections SQL sont la
deuxième technique la plus utilisée pour pirater un serveur après les attaques par déni de service.
Par contre, le fait que les informations personnelles des utilisateurs soient contenues dans un
fichier texte non chiffré est beaucoup plus répréhensible.
En plus des comptes utilisateurs, les pirates ont aussi dérobé des coupons destinés aux sites Sony
BMG. LulzSec n’en est pas à son premier coup d’essai. Le 30 mai dernier, il a pénétré le site de
PBS.org, une chaîne de télévision américaine, pour protester contre le ton négatif de leur reportage
sur WikiLeaks. Ils se sont introduits dans les serveurs et ont dérobé les identifiants des employés.
Ils ont ensuite publié un article à l’insu de la rédaction annonçant que le rappeur Tupac était encore
en vie et qu’il résidait en Nouvelle-Zélande. Une capture de l’article est disponible sur Freze.it. Pour
information, Tupac Shakur est un rappeur américain tué en 1996. Les rumeurs d’une soi-disant
apparition de Tupac dans un endroit isolé font partie du folklore américain au même titre que celles
portant sur Elvis Presley. »
David Civera, Tom’s Hardware FR, http://www.presence-pc.com/actualite/LulzSec-43919/, 3 juin 2011.

Annexe 5

Énergie : un virus informatique frappe des sociétés du Golfe


Une deuxième victime en deux semaines. L’un des plus gros producteurs de gaz naturel au monde
a été contaminé par un virus informatique, appelé « Shamoon », qui frappe depuis quelques
semaines. Le Financial Times annonce en une de son édition de vendredi 31 août que RasGas,
entreprise d’État qatarie (le pays est le premier exportateur mondial de gaz naturel liquéfié), faisait
face à « des problèmes techniques » après avoir été « touchée par un virus inconnu ». En milieu de
journée, le site de RasGas était toujours inaccessible.
Cet incident intervient une quinzaine de jours après que Saudi Aramco, entreprise d’État du plus
grand producteur mondial de pétrole brut, l’Arabie saoudite, a révélé avoir été victime d’une cyberat-
taque. « Il y a des spéculations [parmi les intervenants du marché] selon lesquelles le virus est une
version, conçue par rétro-ingéniérie, de moins bon niveau, du virus Flame, qui avait attaqué les ins-

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
tallations pétrolières iraniennes », explique Olivier Jakob, du cabinet de trading Petromatrix.
« Pour le moment, le virus n’a pas eu d’impact sur l’approvisionnement et les prix du pétrole, mais
il montre la volonté de l’Iran de répondre systématiquement à toute attaque. Et l’on peut se deman-
der si, ayant été capable de déconstruire le virus et de le reproduire, les Iraniens ne pourraient pas
à l’avenir chercher, si nécessaire, à porter leurs coups plus loin… », spécule Olivier Jakob.

Retour au fax pour les traders


Certes, le géant pétrolier saoudien Aramco a annoncé dans la nuit de dimanche à lundi avoir rétabli
son système informatique, après que ce virus eut touché environ 30 000 postes de travail. Mais le
quotidien britannique a interrogé de son côté des traders de pétrole à Londres, Houston et Genève,
qui ont rapporté devoir revenir aux fax et autre télex pour communiquer avec leurs interlocuteurs
d’Aramco, toujours privés de boîte mail.
La compagnie saoudienne a toutefois assuré que les opérations d’exploration et de production
n’avaient pas été affectées par ce piratage, et que les systèmes de vente, de distribution, de don-
nées informatiques et autres étaient intacts.
« Nous avons immédiatement pris les mesures nécessaires » pour faire face à cette attaque, « et
nos multiples systèmes de protection ont contribué à réduire les effets de ces déplorables menaces
informatiques », a affirmé le PDG d’Aramco, Khalid Al-Falih.
Il a souligné que « Saudi Aramco n’est pas la première compagnie à être visée » par de telles
attaques informatiques et qu’elle allait « enforcer ses systèmes pour se protéger ». Interrogé par
l’AFP, un responsable d’Aramco, qui a requis l’anonymat, a affirmé que « l’enquête est toujours en
cours pour déterminer qui est responsable de cette cyberattaque ». •••/•••

30
UE 118 • Systèmes d’information de gestion

•••/••• Revendications géopolitiques


Cette dernière a été revendiquée par un groupe de hackers qui se fait appeler « l’épée tranchante
de la justice » (Cutting Sword of Justice, en anglais) sur le site Pastebin. Ils disent vouloir protester
contre l’aide de Riyad aux régimes « oppressifs » de Syrie, de Bahreïn, du Liban, du Yémen et
d’Égypte, ainsi que contre « l’approche de la communauté mondiale » dans ces pays « victimes de
crimes et d’atrocités ».
Sur Internet, des sites spécialisés dans les questions de sécurité notent cependant qu’il y a eu
plusieurs revendications depuis et établissent eux aussi un lien entre ce virus et la vindicte ira-
nienne (le pays est le quatrième producteur mondial de pétrole et sixième de gaz) à l’encontre de
son concurrent de l’autre côté du détroit d’Ormuz. Le blog du New York Times note de son côté
que le drapeau américain en train de brûler avait remplacé les données des ordinateurs chez
Aramco.
En janvier, un groupe de pirates informatiques israéliens avait affirmé s’être introduits sur les sites
des Bourses de Ryad et d’Abou Dhabi pour répliquer à des cyberattaques lancées contre plusieurs
sites israéliens. Et au début du mois, un virus baptisé « Gauss » et conçu pour espionner les tran-
sactions bancaires en ligne, a été découvert après avoir piraté des banques libanaises.
Mathilde Damgé, Le Monde.fr, 31 août 2012.

Annexe 6

Fraude interne : une priorité pour la sécurité du système d’information


« Selon une étude du Ponemon Institute, la fraude d’origine interne, en lien avec une faute d’un
collaborateur, frappe durement les entreprises.
En moyenne sur un an, les entreprises ont subi 55 incidents de corruption de la sécurité ou d’accès
inadéquat aux données en lien direct avec une faute d’un collaborateur. Du coup, 44 % des entre-
prises considèrent que la protection vis-à-vis des fraudes issues des employés est une priorité en
matière de sécurité des systèmes d’information. 79 % estiment qu’un incident de cette nature a
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

déjà eu lieu dans leur entreprise et qu’il a provoqué une atteinte aux intérêts de l’entreprise dans
73 % des cas. Ces chiffres proviennent d’une étude menée par le Ponemon Institute et sponsori-
sée par Attachmate Corporation.
Pour Ponemon, 87 jours sont nécessaires pour détecter une fraude d’origine interne et 105 pour
en découvrir l’origine. 81 % des répondants ont été témoins de l’usage par un collaborateur des
identifiants et mots de passe d’un autre collaborateur pour obtenir des droits d’accès plus impor-
tants ou pour contrer un contrôle par séparation des rôles.
Toujours selon cette étude, en 2011, le coût d’une brèche dans la sécurité du système d’informa-
tion avec perte ou corruption de données était de 194 $ par employé d’une entreprise américaine
en moyenne. Aujourd’hui, ce chiffre est de 222 $. »
CIO - OnLine - Edition du 04/07/2013 - par Bertrand Lemaire

201181TDPA0413 31
2

partie
Dématérialisation et téléprocédures

I. L’échange de données informatisées (EDI)

A. Qu’est-ce que l’EDI ?


L’EDI, Electronic Data Interchange ou Échange de données informatisé, consiste à échanger
des données formatées de manière standard entre les différentes applications informatiques
fonctionnant sur les ordinateurs de partenaires commerciaux avec un minimum d’interventions
manuelles.
Pour l’association Edifrance, il s’agit d’échange informatisé de données structurées d’ordinateur
à ordinateur (d’application à application) selon des messages préétablis et normalisés via un
mode de communication électronique.
Ainsi, son principal objet est de permettre à des applications de gestion (facturation, comptabi-
lité, paye…) implantées dans des systèmes informatiques hétérogènes, d’entrer en relation par
l’intermédiaire de réseaux de communication.
Il suppose le recours aux technologies de la communication numérisée : Internet, réseaux à
valeur ajoutée…
Pour que l’échange de données puisse fonctionner et ce à quelque niveau que ce soit, des ins-
tances, aussi bien nationales qu’internationales, édictent des normes. Par définition, ces normes
s’en tiennent à des règles de mise en forme des données dans les messages. Les méthodes de
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

traitement de l’information, tout comme les protocoles concernant les techniques de transport
de celle-ci, sont hors du champ de la normalisation EDI.
Les enjeux sont en premier lieu économiques, il s’agit d’éviter des ressaisies de l’information,
sources de travaux et d’erreurs coûteux. Les avantages sont aussi à rechercher dans la rapidité
de prise en compte de l’information par ces méthodes. Enfin, il est à noter que les États
deviennent plus soucieux d’améliorer leurs relations avec leurs administrés : l’EDI, au départ
cantonné aux relations interentreprises, se développe sur le terrain des téléprocédures (fiscales,
sociales, légales…). L’ensemble des acteurs économiques est donc concerné par cette recherche
de gains de productivité grâce à l’EDI.

B. Origine de l’EDI
Les initiateurs de l’EDI se sont trouvés dans les domaines où les échanges entre entreprises sont
bien structurés et les acteurs bien identifiés, l’automobile et ses équipementiers, la chimie… Le
mouvement initié dès les années soixante aux USA s’est prolongé en Europe et dans le monde
entier.
Logiquement, l’EDI fut ensuite envisagé dans le cadre de la simplification des procédures du
commerce international. C’est ce qui explique que l’Organisation des Nations unies fut la pre-
mière instance à se saisir du problème de la normalisation en ce qui concerne, tout du moins, les
messages commerciaux, douaniers et bancaires. En fait, la plupart des organisations à vocation
internationale se sont préoccupées de cet aspect de la normalisation des procédures d’échanges.

201181TDPA0413 33
Systèmes d’information de gestion • Série 4

La norme internationale utilisée pour l’Échange de Données Informatisé (EDI) est la norme UN/
Edifact « Electronic Data Interchange for Administration Commerce and Transport », maintenue
et coordonnée par le Centre pour la Facilitation des procédures et pratiques dans l’Administra-
tion, le Commerce et les Transports (CEFACT). La Commission économique des Nations unies
pour l’Europe (groupe de travail 4), avec l’aide d’experts internationaux – issus aussi bien de
l’industrie que des instances nationales – guide le développement de ces normes EDI en Europe.
La norme Edifact est utilisée de façon prédominante dans le monde entier. Aux États-Unis, elle
est désormais préconisée pour les échanges avec l’administration. Une divergence persiste
néanmoins avec les plus anciennes normes élaborées aux USA par l’ANSI (American National
Standards Institute), la norme X12 qui reste en vigueur dans certaines branches industrielles.
En France, une circulaire de janvier 1997 du Premier ministre demande aux administrations de
baser leurs échanges sur les messages aux normes Edifact. Une nouvelle circulaire en 2002
précise que désormais les administrations doivent prévoir l’utilisation de la norme XML telle que
définie par les travaux du W3 consortium. Cette évolution dans la normalisation marque le début
d’une nouvelle ère dans l’EDI, celle qui consacre le rôle central d’Internet et de ses protocoles
dans les échanges électroniques.
Edifrance, pour sa part, représente les intérêts de la France au niveau européen et au niveau
international et travaille dans le cadre juridique de l’Afnor. En ce qui concerne les travaux, les
priorités sont définies par un comité directeur et plusieurs instances de normalisation qui œuvrent
dans différents secteurs. À l’initiative du Conseil supérieur de l’Ordre des experts-comptables,
une association Edificas a été créée en 1991 pour promouvoir l’EDI dans les échanges de docu-
ments comptables.
Mais l’EDI a vocation à embrasser l’ensemble des relations économiques susceptibles de s’ins-
taurer entre les partenaires commerciaux et à toucher d’autres secteurs d’activité comme la
santé, le tourisme, la gestion des biens, la comptabilité, le bâtiment, les transports, la banque,
les assurances, la distribution, la gestion urbaine, la Sécurité sociale, la justice et les professions
juridiques, la presse et l’édition ou l’électronique.

C. Les normes techniques

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Les normes EDI se composent :
• d’une grammaire : syntaxe, règles de structuration des éléments de données en segments et
segments de messages ;
• d’un glossaire de termes : répertoire des éléments de données, répertoire des segments et
répertoire des messages.
En matière d’échange de données, le respect des normes Edifact n’est pas suffisant. Il faut éga-
lement veiller à la mise en œuvre des protocoles de télécommunications et aux liens avec l’infor-
matique existante – toutes choses qui n’entrent pas dans le cadre des normes EDI. Les
équipements requis varient d’un utilisateur à l’autre ; il est donc recommandé de faire appel aux
conseils de spécialistes afin de s’assurer de la compatibilité des matériels avec les normes EDI.
Néanmoins, petit à petit, les messages qui s’appuient sur XML se développent. Cette évolution
est souvent réalisée en court-circuitant le processus de normalisation des échanges XML, qui
lui, piétine. Il s’inscrit en principe dans le cadre d’ebXML, initié par l’UN-Cefact (United Nations
Centre for Trade Facilitation and Electronic Business) qui fut à l’origine de la norme EDIfact. Mais
la couche transport est pratiquement la seule opérationnelle. En attendant, chaque secteur a
créé ses propres standards – Rosettanet dans l’électronique, UCCnet (Uniform Code Council)
dans la grande distribution, XML Eurofer dans la métallurgie ou, dans un autre registre, ENX dans
l’automobile (échanges de gros fichiers, par exemple en CAO).
Parallèlement, des éditeurs, prestataires et entreprises définissent au coup par coup des formats
spécifiques. « Cela ne pose guère de problèmes car il est assez facile de convertir des flux de
messages, d’un schéma XML dans un autre, dès lors qu’ils décrivent les mêmes concepts »,
estime Jean-Christophe Cimetière, de chez Microsoft.

34
UE 118 • Systèmes d’information de gestion

D. Les avantages et les inconvénients de l’EDI


L’EDI permet d’échanger de bout en bout de manière fiable et dans un environnement sécurisé
des données entre les logiciels hétérogènes des systèmes d’information d’entreprises. Mais le
retour sur investissement n’est possible que si les volumes de données échangées sont signifi-
catifs. C’est pour cette raison que les réalisations pratiques de l’EDI concernent plutôt des entre-
prises engagées dans des relations d’affaires stables et pérennes. De fait, les technologies EDI
sont difficilement applicables pour des échanges de faible volume ou basés sur des relations
d’affaires instables et de courte durée. Elles sont rarement rentables pour les petites entre-
prises : faiblesse des volumes échangés et de la capacité d’investissement.
Pour un donneur d’ordres, l’effort de mise en place d’un service EDI, motivé par l’amélioration
attendue de sa logistique, se justifie seulement si tous les fournisseurs, y compris les plus petits,
sont reliés au service. Pour aboutir à ce résultat, les grandes entreprises (automobiles, grande
distribution…) sont amenées à aider leurs fournisseurs ou sous-traitants à mettre à niveau leur
système d’information et donc à s’équiper en conséquence sur le plan des matériels et des logi-
ciels compatibles avec l’EDI du donneur d’ordres.
Chaque mise en place d’une nouvelle « communauté » EDI commence par la définition des spéci-
fications de l’échange, sur les plans juridique et technique (caractéristiques des réseaux supports,
des flux et données échangées). Pour bien fonctionner, le nouveau système d’échange mis en
place doit apporter des avantages à toutes les parties prenantes, sinon le projet court à l’échec.
Une nouvelle relation EDI avec une nouvelle entreprise exige de paramétrer l’interface entre le
message EDI et le logiciel de l’entreprise, dont les données doivent être connues. Ceci est
d’autant plus facile que les entreprises ont massivement adopté des progiciels dans le domaine
de la gestion. Mais même avec cet avantage le travail de paramétrage existe, il induit donc un
coût non négligeable, surtout pour une petite entreprise.
L’arrivée d’Internet a fait espérer une rapide migration de l’EDI, qui empruntait les réseaux à
valeur ajoutée (RVA) coûteux, vers des solutions plus abordables pour les petites structures.
Ce mouvement est maintenant bien amorcé depuis par les WebEDI. Il s’agit d’applications web
hébergées par un donneur d’ordres ou un opérateur de RVA. Elles offrent aux petits partenaires
la possibilité de remplir manuellement des formulaires, à partir desquels sont générées et déclen-
chées des transactions, sur les systèmes EDI existants.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

L’étape suivante, complémentaire plutôt que concurrente, consiste à transporter via l’Internet les
messages EDI eux-mêmes. Ce qui, au contraire des WebEDI, permet une intégration avec le
système d’information, et donc une automatisation des flux. Toute la difficulté consiste alors à
obtenir le même niveau de sûreté qui, avec les RVA, est obtenu par le chiffrement, la signature et
l’envoi d’accusés de réception. Ou encore par une acception des messages conditionnée par
leur format, leur émetteur et leur destinataire.
Tel est l’objet des normes EDI-INT (comme Internet Intégration) dont la mise en œuvre a démarré
en France en 2004. Elles sont au nombre de trois – AS1, AS2 et AS3 – qui utilisent respective-
ment comme protocole de transport SMTP, HTTP et Secure FTP.

E. Traçabilité et gestion de processus :


de la nécessité d’intégrer XML et EDI
À l’avenir, EDI et XML cohabiteront et devront être fonctionnellement intégrés. En effet, l’un et
l’autre permettent d’échanger des messages correspondant à des opérations élémentaires –
commandes, niveaux de stock, demandes de livraisons, factures. Il est donc pertinent de confier
ces échanges à une plate-forme unique afin de centraliser leur gestion, tout en facilitant une
adoption progressive de XML.
À un niveau plus élevé, il s’agit de définir dynamiquement des processus collaboratifs dont la
mise en œuvre déclenchera de multiples transactions. Les unes en EDI, les autres en XML, aussi
bien internes qu’externes à l’entreprise. Pour les gérer, il sera nécessaire de disposer de plates-
formes orientées services qui permettront de décrire et déployer rapidement des processus
invoquant des applications et des traducteurs EDI.

201181TDPA0413 35
Systèmes d’information de gestion • Série 4

II. L’EDI et les administrations


Très sensibilisée au problème, l’Administration est fortement demandeur en matière d’EDI. Il n’en
reste pas moins qu’elle devra faire évoluer ses pratiques vers beaucoup plus de souplesse si elle
veut aboutir à une limitation substantielle de la saisie des données. La modernisation de l’État
passe par celle de l’Administration dans ses relations avec les citoyens et aussi dans celles avec
les entreprises. Pour être atteint cet objectif suppose que toutes les parties soient gagnantes
dans les nouveaux dispositifs à créer.

A. Les déclarations sociales


Nous étudierons successivement les déclarations annuelles dont l’objectif fondamental est de
nourrir les bases de données statistiques et nominatives pour plusieurs administrations (impôts,
Insee, Cnav…), puis les déclarations mensuelles ou trimestrielles dont l’objectif est le versement
des cotisations dues par l’employeur. À l’objectif déclaratif s’ajoute donc le paiement.

1. Transfert de données sociales (TDS)


Une des premières expériences réalisées par l’Administration concernait la transmission de la
déclaration annuelle des données sociales (DADS 1).
Dans les années 1980, le programme Transfert de données sociales (TDS) est expérimenté avec
4 axes :
• Normalisation des données.
• Restructuration de l’imprimé déclaratif annuel des données sociales (DADS).
• Lieu unique de dépôt (Cram) pour le compte de l’ensemble des destinataires.
• Élargissement des supports (magnétiques et télématiques dès 1983).
Depuis beaucoup de chemin a été parcouru, avec des étapes importantes comme la création de
la DADS-U qui intègre dans une norme commune le formalisme nécessaire aux différents desti-
nataires des déclarations annuelles de données sociales (Urssaf, Cnav, caisses de retraites mais
aussi l’administration fiscale pour les déclarations sur les revenus des particuliers, l’Insee pour
les statistiques…). Aujourd’hui toutes les entreprises ont recours à cette procédure qui est
désormais obligatoire depuis janvier 2006.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Une autre étape importante fut la création en 2000 du Groupement d’intérêt public – Modernisation
des déclarations sociales (GIP MDS). L’objectif était de regrouper tous les acteurs publics et
privés de la protection sociale pour favoriser le développement de la dématérialisation des obli-
gations déclaratives des employeurs. Un portail Internet www.net-entreprises.fr est alors créé
pour aller au-devant des besoins des entreprises, surtout les petites, qui devaient disposer d’un
outil de communication simple d’accès et peu coûteux. Désormais ce sont plus de 20 millions
de déclarations en ligne qui sont collectées chaque année auprès de plus de 2 millions d’entre-
prises. De fait, la palette des déclarations s’est considérablement élargie, passant de la DADS
annuelle à une vingtaine de formalités différentes (couvrant aussi bien le chômage que les décla-
rations sectorielles).
Il est à noter que la profession comptable s’est dotée en parallèle d’un portail déclaratif
www.‌jedeclare.com qui permet aussi de satisfaire aux obligations déclaratives des entreprises.
Nous l’étudierons plus loin dans ce cours.
Dans le cadre des objectifs de simplifications administratives voulues par les pouvoirs publics,
les déclarations sociales représentent un gros morceau. À l’initiative du gouvernement, les
Assises de la simplification administrative se sont déroulées en 2011. 80 mesures ont été pré-
vues et un certain nombre concernent les obligations déclaratives.
En particulier, il a été acté le passage à la norme N4DS en remplacement de la DADS‑U au
1er janvier 2012. Cette nouvelle norme représente un changement considérable dans les évolu-
tions programmées des télédéclarations sociales, il s’agit de passer d’un état de dispersion des
obligations des entreprises en fonction des demandes des organismes collecteurs, source de

36
UE 118 • Systèmes d’information de gestion

difficultés pour les services informatiques des grandes entreprises et des éditeurs de logiciels, à
une cohérence de la collecte des données. De plus, les régimes spéciaux (fonctionnaires, SNCF,
MSA…) sont inclus dans le périmètre des populations.
De fait, ce sont les instances de gouvernance de la norme TDS, créées en 2008 à l’initiative de
la Cnav (Caisse nationale d’assurance vieillesse en charge du pilotage de la DADS) qui ont per-
mis de faire évoluer la norme de manière concertée et d’atteindre les objectifs suivants pour
cette nouvelle norme :
• Disposer d’un référentiel « universel » de données pour industrialiser la génération des décla-
rations sociales à partir des logiciels paie et RH.
• Porter les déclarations actuelles et futures.
• Permettre son utilisation à de nouveaux organismes et administrations.
• Rationaliser et unifier autant que possible les données à réglementation constante.
• Rendre plus souple son utilisation, plus compréhensible et plus cohérente la présentation des
données et donc, faciliter la maintenance de la norme.
Cette norme pour les Déclarations dématérialisées des données sociales est abrégée en N4DS.
Son application au 1er janvier 2012 pour les salaires de l’année 2011 s’est déroulée sans grandes
difficultés, preuve de la maturité des relations entre les partenaires de la dématérialisation (orga-
nismes de l’État, entreprises, éditeurs de logiciels, tiers déclarants).
Pour donner un aperçu de la complexité de la norme N4DS, reflet de la réglementation et des
spécificités sectorielles et de statut des personnels, quelques chiffres :
• N4DS contient 669 rubriques DADS‑U :
–– 200 nouvelles rubriques globales à implémenter selon messages déclaratifs ;
–– 469 rubriques identiques reportées de la norme précédente (70 %).
• N4DS contient 217 rubriques numériques (salaire, effectif, assiette, taux, montant, prix, ancien-
neté, horaire…) :
–– 78 nouvelles rubriques numériques, c’est-à-dire 35 % par rapport à la norme précédente ;
–– 139 rubriques numériques identiques reportées de la norme précédente (65 %).
Il est à noter que cette nouvelle norme prépare la venue de la Déclaration sociale nominative ou
DSN, obligatoire en 2016 et dont l’expérimentation débute en 2013.
La DSN sera un fichier mensuel produit à partir de la paie destiné à communiquer les informa-
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

tions nécessaires à la gestion de la protection sociale des salariés aux organismes concernés,
permettant de remplacer à terme toutes les déclarations basées sur des données sociales. La
DSN est un produit du traitement de la paie et la DSN mensuelle est ainsi le dernier acte du trai-
tement de la paie.

Remarque
Les changements organisationnels chez les employeurs et leurs conseils (experts-comptables,
avocats…) seront très importants. Tous les destinataires de la DSN disposeront en « temps
réel » des données concernant les salariés. Les anomalies ou les retards de traitement qui
étaient « réparés » en fin d’année devront dans cette nouvelle logique être traités au plus tôt (le
mois de la découverte de l’anomalie).

2. Déclaration unifiée de cotisations sociales (DUCS)


L’autre volet des déclarations sociales est orienté vers la collecte des cotisations sociales.
Dans le cadre de la politique de simplification administrative, les pouvoirs publics et les orga-
nismes de protection sociale cherchent à réduire les formalités que les entreprises doivent rem-
plir en matière de cotisations sociales.
L’unification des procédures de déclaration et l’ouverture de services utilisant les nouvelles tech-
niques de communication sont notamment les deux moyens retenus dans ce but.
La « déclaration unifiée de cotisations sociales » a ainsi progressivement remplacé diverses
déclarations périodiques obligatoires.

201181TDPA0413 37
Systèmes d’information de gestion • Série 4

Attention
Le terme « unifiée » a été substitué au terme initialement retenu qui était « unique ». En effet, la
déclaration doit satisfaire plusieurs institutions qui peuvent avoir des interprétations diver-
gentes des obligations déclaratives des employeurs :
• les Urssaf ;
• les Assedic ;
• l’Agirc, l’Arrco pour les retraites complémentaires ;
• les diverses caisses de retraite, les organismes de prévoyance…

Pour répondre aux situations diversifiées de l’ensemble des entreprises, la DUCS est proposée
sous plusieurs formes, utilisant soit un support écrit, soit des méthodes de télétransmission, et
permettant soit une saisie manuelle des données, soit une alimentation automatique par le logi-
ciel de paie.
Un premier système de DUCS a été proposé aux entreprises en 1996 : il s’agit de la DUCS sur
support écrit, ou « DUCS papier », qui permet l’édition automatique de déclarations, à partir du
logiciel de paie, dans un format commun aux différents organismes de protection sociale.
Après avoir expérimenté plusieurs formes de déclarations unifiées de cotisations sociales,
l’Acoss et les Urssaf, l’Unedic et les Assedic ainsi que les caisses de retraite complémentaires
regroupées dans l’Arrco et l’Agirc ont adopté, sous l’impulsion des pouvoirs publics, une straté-
gie commune pour proposer à leurs cotisants une offre de service déclaratif dématérialisé (sans
courrier ni papier), harmonisé, « inter-régimes » et diversifiée.
Le service DUCS comprend plusieurs offres qui permettent de transmettre les données néces-
saires à la transmission des données déclaratives :
• DUCS papier ;
• DUCS Internet, en mode EFI (échange de formulaire informatisé) avec net-entreprise (le portail
déclaratif des petites entreprises) ;
• DUCS EDI, à partir d’un logiciel de paie, par transferts de fichiers relatifs aux déclarations par
télétransmission (messageries et/ou Internet) ou par envoi de bordereaux normalisés « DUCS
papier » remplis et imprimés automatiquement.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
L’obligation de déclarer et payer par voie électronique :
À partir du 1er janvier 2012, les entreprises suivantes, tous établissements confondus, doivent
effectuer leurs déclarations sociales et le paiement, par voie dématérialisée, sous peine de
majoration :
• celles qui ont acquitté plus de 100 000 euros de cotisations, contributions et taxes auprès de
l’Urssaf au titre de l’année 2011 ;
• celles qui ont pour obligation de verser mensuellement leurs cotisations, contributions et taxes
auprès de l’Urssaf.
En regard de la norme 4DS, la norme DUCS doit aussi pouvoir en être rapprochée. Les notions
sémantiques que portent ces deux normes sont à structurer en repartant des mêmes notions et
en les simplifiant.
Une fois le toilettage opéré et selon les échéances dans le cadre du projet DSN il sera nécessaire
de rapprocher les deux normes.

B. Les déclarations fiscales


Les enjeux en terme de gains d’efficacité pour l’administration fiscale et en terme de facilités
pour les contribuables entreprises (mais aussi particuliers) ne sont plus à démontrer : les télépro-
cédures, et son corollaire les télépaiements, sont un des vecteurs de la modernisation de l’État.

38
UE 118 • Systèmes d’information de gestion

Comme le notent les Assises de la simplification :


• La France occupe le 127e rang mondial en matière de complexité administrative selon le
« World competitivness report ».
• Le coût de cette complexité est de 3 à 4 % du PIB selon l’OCDE.
Les experts-comptables sont très nettement impliqués dans ce domaine qui correspond au
cœur de leur métier.

Un document de la DGFIP pour résumer les obligations déclaratives des entreprises :


http://www.impots.gouv.fr/portal/deploiement/p1/fichedescriptive_4387/
fichedescriptive_4387.pdf

1. Transfert des données fiscales et comptables (TDFC)


La procédure de transfert des données fiscales et comptables (TDFC) illustre la volonté de la
Direction générale des impôts (DGI) de développer les échanges de données informatisés dans
le domaine déclaratif de la fiscalité professionnelle.
Elle permet, en effet, aux entreprises de transmettre à la DGI par voie informatique et par l’inter-
médiaire d’un partenaire EDI, leur déclaration de résultat, la liasse fiscale et les annexes.
De 1987 à 1990 : Premiers tests techniques.
1990 : Première phase de généralisation, permettant aux entreprises soumises à un régime réel d’im-
position dans la catégorie des bénéfices industriels et commerciaux (BIC) ou à l’Impôt sur les socié-
tés (IS) de transmettre à la Direction générale des impôts leurs tableaux fiscaux (« liasse fiscale »).
Les transmissions s’effectuent uniquement sur support magnétique.
Depuis 1996 : La dématérialisation globale est ouverte aux déclarations de résultats et aux
documents les plus fréquemment déposés.
Depuis la campagne 2002 les déclarations télétransmises sont libellées en euros. Il est à noter
que le format propriétaire DGI dénommé « TDFC » des fichiers fut aussi abandonné à cette
occasion. Le seul format des fichiers est désormais basé sur la norme Edifact, il est appelé
« EDI-TDFC » par la DGI.
La DGI a fait le choix d’un système de télétransmission basé sur des points de concentration :
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

les centres relais agréés par l’Administration et mandatés par le contribuable.


À cet égard, les enjeux pour la Direction générale des impôts se conjuguent avec les attentes des
entreprises et des professionnels de la comptabilité. TDFC présente d’incontestables avantages
pour la DGI, mais également pour les experts-comptables (sécurité, fiabilité, modernité…).

Un enjeu majeur : la réduction des flux de papier


L’objectif de réduction des flux de papier occupe une place toute particulière dans la politique
de modernisation conduite depuis plusieurs années par la Direction générale des impôts.
La manipulation d’un document papier : sa saisie pour traitement informatique et son classe-
ment représentent une charge de travail lourde et coûteuse. En outre, elle n’apporte aucune
garantie de fiabilité (perte, erreurs de routage…) ni d’intégrité (erreurs de saisie).
Enfin, l’archivage du papier est coûteux : à titre d’exemple, l’ensemble des liasses et déclara-
tions des 2,7 millions de contribuables relevant d’un régime réel d’imposition BIC/IS, BNC, BA
représente environ 6 km de rayonnage pour un seul exercice. Or, compte tenu de la législation
fiscale, la durée de conservation de ces documents peut dépasser 10 ans.
La procédure TDFC est l’une des solutions mises en œuvre par la Direction générale des impôts
pour atteindre cet objectif de réduction des flux de papier.
TDFC est une procédure rodée, le principal portail déclaratif, Jedeclare.com, initié par l’Ordre
des experts-comptables, annonce avoir drainé plus de 1,4 million de déclarations durant la cam-
pagne 2010. Le portail représente les 2/3 des EDI-TDFC reçues par la DGFIP.

201181TDPA0413 39
Systèmes d’information de gestion • Série 4

2. Le cadre juridique : les textes légaux…

a. Le décret fondateur (n° 91‑1403 du 27 décembre 1991)


Il prévoit la transmission informatique à la seule DGI (devenue depuis la DGFIP), par les contri-
buables ou pour leur compte, des données fiscales de la liasse.
La déclaration de résultats, qui doit être signée par le contribuable, doit cependant être déposée
sous sa forme papier.

b. Une loi autorisant la signature électronique


(Loi Madelin n° 94‑1263 du 11/02/1994)
L’article 4 autorise la transmission électronique des déclarations par les entreprises aux adminis-
trations, dans des conditions fixées par voie contractuelle et précisant notamment les règles rela-
tives à l’identification de son auteur, à l’intégrité, à la lisibilité et à la fiabilité de la transmission.

c. Une procédure fiable et sécurisée : la certification électronique


La loi Madelin a permis de mettre en place le dispositif réglementaire et technique de la déma-
térialisation totale de la déclaration fiscale.
Le système de certification électronique mis en œuvre dans le cadre de TDFC offre une garantie
de fiabilité aux plans juridique et technique. Il est par ailleurs utilisé par les banques dans leurs
échanges avec les entreprises.
Il convient de souligner que TDFC offre aux contribuables une fiabilité plus grande que la trans-
mission de documents papier. En effet, l’échange de données dématérialisées, en évitant la
rupture de la chaîne informatique, supprime le risque des erreurs de saisie ou de report aux dif-
férents stades de la transmission de l’information.

d. L’acte de naissance de la procédure globale TDFC

(Décret n° 95‑309 du 20 mars 1995)


Il enrichit TDFC de la possibilité de télétransmettre la déclaration de résultat et les autres docu-

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
ments signés.
Le choix de la dématérialisation globale prend la forme d’une convention (révocable chaque
année), conforme à un modèle défini par arrêté (contrat d’adhésion).

e. Un article du Code général des impôts (art. 1649 quater B bis)


« Toute déclaration d’une entreprise destinée à l’Administration peut être faite par voie électro-
nique, dans les conditions fixées par voie contractuelle. »

3. Les acteurs
1. Le contribuable et son conseil : l’expert-comptable ou l’organisme de gestion agréé.
2. Le centre relais : désigné désormais sous le terme de « partenaire EDI ».
3. La DGI
• Le CSI de Strasbourg pour le support informatique et la réception des fichiers.
• Le correspondant régional agréant le « partenaire EDI » dans le cadre de la convention.
• Le centre des impôts, destinataire final des contrats d’adhésions et des résultats fiscaux.

a. Le contribuable, les cabinets d’experts-comptables et les OGA


Sous l’impulsion de l’expert-comptable, véritable prescripteur de la procédure TDFC, le contri-
buable manifeste son adhésion à TDFC à son centre des impôts par un contrat d’adhésion type
(adhésion globale).

40
UE 118 • Systèmes d’information de gestion

Le contrat d’adhésion mentionne l’intermédiaire (centre relais) qu’il a mandaté pour télétrans-
mettre en son nom. En règle générale, le mandat entre le déclarant et le centre relais n’est pas
direct. Il est établi un mandat annuel entre le contribuable et son conseil et un mandat entre le
conseil et le centre relais.

b. Les partenaires EDI


L’expert-comptable ou le centre de gestion agréé habilité à tenir la comptabilité, transmet les
informations fiscales de ses clients à un prestataire informatique mandaté (directement ou indi-
rectement) par le contribuable, pour télétransmettre en son nom les déclarations fiscales déma-
térialisées à l’Administration.
Tout intervenant répondant aux prescriptions du cahier des charges établi par la DGI peut être
habilité « partenaire EDI ».

Une initiative du Conseil supérieur de l’Ordre des experts-comptables


Pour mutualiser les coûts d’équipement et accroître sensiblement le nombre des cabinets recou-
rant aux téléprocédures, le CSOEC a décidé de commanditer la création d’un portail déclaratif
« jedeclare.com ». La campagne fiscale de 2002 (déclarations des résultats 2001) a vu le premier
déploiement significatif de ce portail avec la procédure EDI TDFC.

c. La DGI : Le CSI de Strasbourg


C’est ce centre informatique qui est chargé par la DGI des contrôles de forme (les vérifications
fiscales sont effectuées au centre des impôts).
Il est l’interlocuteur technique des partenaires EDI.

Les informations sur EDI-TDFC sont disponibles sur le site :


http://www.jedeclare.com

C. TéléTVA
Cette téléprocédure est proposée à partir du 1er mai 2001 aux 3 millions de déclarants émettant
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

16 millions de déclarations. Elle permet aux entreprises assujetties à la TVA de remplir leurs obli-
gations déclaratives et de donner l’ordre de paiement en utilisant les techniques modernes
d’échanges et les procédures de sécurité adaptées.
La loi des finances de 1999 rendait obligatoire à partir de 2001 cette procédure pour les entre-
prises ayant un chiffre d’affaires supérieur à 100 MF (15 m€). Ce seuil a été abaissé de manière
significative et donc mécaniquement plus d’entreprises rentrent dans le champ de cette télépro-
cédure. Ne pas oublier par ailleurs les filiales de groupes qui sont aussi concernées.
À partir de quel chiffre d’affaires ?
Le seuil de l’obligation de télédéclarer et de télérégler la TVA est fixé à 230 000 € hors taxes
depuis le 1er octobre 2011 (article 29 de la Loi de finances rectificative).
Si votre entreprise entre dans le cadre de cette obligation, vous devez déclarer et payer la TVA
en ligne sur impots.gouv.fr (Professionnels > Espace abonné) ou par l’intermédiaire d’un presta-
taire EDI.
Nouveautés : l’obligation est étendue à toutes les entreprises en 3 phases :
• à compter du 1er octobre 2012, toutes les entreprises soumises à l’impôt sur les sociétés
seront tenues de télédéclarer et télérégler la TVA ;
• à compter du 1er octobre 2013, les entreprises non soumises à l’impôt sur les sociétés dont le
chiffre d’affaires hors taxes excède 80 000 € devront également télétransmettre leurs déclara-
tions et paiements de TVA ;
• à compter du 1er octobre 2014, l’obligation sera généralisée à l’ensemble des entreprises sans
condition de chiffre d’affaires.

201181TDPA0413 41
Systèmes d’information de gestion • Série 4

Remarque
Les entreprises soumises à l’obligation de télédéclarer et de télépayer leur TVA doivent égale-
ment utiliser les téléprocédures pour la transmission des demandes de remboursement de
crédit de TVA.

1. Modalités de la procédure
TéléTVA est un ensemble de services permettant de déclarer et de payer la TVA grâce à un
échange informatique unique avec la DGI. La déclaration et l’ordre de paiement sont envoyés
dans le même message. En retour, TéléTVA informe de la bonne réception de la déclaration et de
la prise en compte du paiement.
La procédure peut prendre deux formes :
• Pour les entreprises, TéléTVA propose un dispositif simple accessible sur Internet : l’échange
de formulaires informatisés (EFI).
• Aux professionnels tels que les cabinets d’expertise comptable ou les partenaires EDI, qui éta-
blissent et transmettent un grand nombre de déclarations pour leurs clients, TéléTVA propose
une procédure d’échange de données sécurisée basée sur les mêmes outils que EDI-TDFC.

2. Les déclarations concernées


Si le contribuable choisit la modalité EFI, alors TéléTVA est désormais intégrée dans l’« Espace
abonné » sur le site Internet du MINEFE.
Cet espace propose les services suivants :
• déclarer et payer la TVA ;
• déposer des demandes de remboursement de crédit de TVA ;
• payer l’impôt sur les sociétés, la taxe sur les salaires, la contribution économique territoriale
(CVAE et CFE) et les taxes foncières ;
• déposer une demande de remboursement de TVA dans l’Union européenne ;
• télécharger une attestation fiscale.
Il est donc à noter un élargissement en mode EFI des téléprocédures fiscales. À noter aussi le

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
télépaiement qui est proposé.

3. La sécurité des échanges


Les échanges EDI (TDFC et EDI-TVA) sont sécurisés par l’emploi de réseaux protégés, des mes-
sageries spécialisées (Tedeco) et un dispositif de scellement des envois hérité du monde ban-
caire (protocole EDI avec carte à puce).
En revanche, la procédure EFI‑TVA qui est maintenant intégrée dans le portail déclaratif dit
« Espace abonné » se contente du niveau de sécurité identifiant-mot de passe. L’obligation de
disposer d’un certificat numérique a été abandonnée devant les réticences des petites entre-
prises de se doter d’un tel certificat qui demande un renouvellement annuel et est loin d’être
gratuit. La DGFIP, qui a laissé de côté ce niveau de sécurité pour les particuliers (impôt sur les
revenus TELE‑IR) pour lesquels le certificat était fourni gratuitement par elle-même, en a aussi
dispensé les entreprises !

III. L’EDI et la comptabilité


Un monde sépare la comptabilité qui s’exerçait jusqu’aux années 1960 de la comptabilité d’au-
jourd’hui, mettant en œuvre les possibilités de l’informatique.
Dès lors que l’information peut être saisie et stockée de manière simple et sûre, que, d’autre
part, elle peut être transmise à distance également de manière simple, sûre et à faible coût, un
enjeu majeur apparaît : normaliser la saisie et la transmission des données pour éviter les coûts
inutiles en fournissant les informations voulues plus vite et à tous les destinataires.

42
UE 118 • Systèmes d’information de gestion

Toutes les composantes de la comptabilité, écritures comptables, journal, grand livre, balance,
états financiers, reporting, etc., sont destinées tôt ou tard à être échangées avec de nombreux
partenaires ou ayants droits, ou bien archivées dans un format pérenne.
Dans ce but, des messages (au sens de l’EDI) ont été créés et sont destinés à être incorporés
dans les systèmes comptables informatiques pour faciliter l’interopérabilité :
• dans le domaine EDIFACT : ENTREC pour les journaux comptables, LEDGER pour le grand-
livre, BALANC pour la balance comptable, CHACCO pour le plan de comptes, INFENT pour les
télédéclarations fiscales et comptables ;
• dans le domaine UN/CEFACT XML : Accounting Entry pour les écritures comptables, Reporting
pour les télédéclarations fiscales et comptables et autres reportings, à la norme IAS/IFRS ou non.
À cela, il faut ajouter la montée en puissance d’une nouvelle norme, XBRL (sigle de eXtensible
Business Reporting Language) qui est un langage informatique basé sur XML, et dont l’objectif
est de décrire les données financières (documents annuels ou de reporting). Cette norme d’ori-
gine américaine a été adoptée par la SEC (Security Exchange Commission) pour le dépôt des
états financiers des sociétés cotés sur les bourses des valeurs aux USA.
L’association EDIFICAS propose une synthèse de ces messages dans le schéma qui suit :

Comptabilité EDIFACT ebXML


Message Accounting
Non
conteneur Message
Profil Profil
PRODOS
comptabilité of file
Écriture Accounting
Journal ENTREC
comptable Entry
Plan Chart
CHACCO
de comptes of Accounts
Accounting
Grand Livre LEDGER
Ledger
Accounting
Balance BALANC
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Balance
Chart
Taxonomie Nomenclature CHAMAP
of Mapping

Reporting INFENT Reporting

Papillon Accounting
Non
d’imputation token

IV. Dématérialisation : La facture électronique

A. Définition
La facture est le document établi par le vendeur reflétant exactement, d’un point de vue essen-
tiellement comptable et fiscal, les conditions des opérations d’achat/vente réalisées entre les
parties. Des obligations fiscales (entre autres obligations juridiques qui existent, par exemple
issues du droit de la consommation, commerce international…) viennent à en préciser les men-
tions obligatoires, les délais de conservation et dans le cas qui nous intéresse le ou les supports
matériels du document.
Dans le cas traditionnel du recours au support papier, il est précisé que le vendeur émet une facture
en deux exemplaires, dont un qu’il transmet à l’acheteur. Le vendeur doit conserver l’autre exem-
plaire. Pour l’émetteur, la durée de conservation fiscale est de 6 ans (10 ans en droit commercial).

201181TDPA0413 43
Systèmes d’information de gestion • Série 4

Une facture électronique sera constituée d’un ensemble de caractères (des octets en général)
respectant un certain format et rassemblés dans un « fichier informatique ». La notion d’« origi-
nal » électronique se différencie sensiblement des propriétés d’un « original » papier puisque la
copie d’un original électronique conserve la qualité d’original.
En pratique, nous allons trouver deux formes électroniques pour réaliser la dématérialisation de
la facture :
• le recours à l’EDI ;
• l’usage de la signature électronique.

B. Repères chronologiques
1982 : début du contrôle des comptabilités informatisées (art. 97-I de la loi de finances pour 1982)
1991 : factures dématérialisées et début des télédéclarations fiscales (art. 47 de la loi de finances
rectificative pour 1990)
1998 : passage d’un régime d’autorisation préalable à une simple déclaration d’usage (EDI)
2001 : une directive européenne 2001/115/CE l
En droit français, la transposition de cette directive a été effectuée par :
• l’article 17 de la loi de finances rectificative pour 2002, modifiant les articles 289 et 289 bis du
CGI, relatifs aux règles de facturation ;
• le décret n° 2003‑632 du 7 juillet 2003 définissant les conditions d’application de l’article 289
et les mentions obligatoires de la facture ;
• le décret n° 2003‑659 du 18 juillet 2003 définissant les modalités d’émission et de conserva-
tion des factures transmises par voie électronique et sécurisées au moyen d’une signature
électronique ;
• l’instruction fiscale du 7 août 2003 sur la TVA précisant les obligations des assujettis concer-
nant l’établissement des factures.
Pratiquement, il suffit de se reporter à l’instruction fiscale pour disposer de l’essentiel et même
des détails, en effet elle comporte 58 pages ! Cette instruction a été complétée en 2007 à propos
des obligations relatives à la conservation des factures : est autorisée la conservation des
doubles électroniques des factures originales sur papiers.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
C. Régime actuel : L’instruction fiscale du 7 août 2003
Le système de facturation électronique, envisagé par les dispositions du CGI, doit être dûment
déclaré par l’émetteur auprès de l’administration fiscale et accepté préalablement par le desti-
nataire. Cette acceptation nécessite la conclusion d’un contrat contenant les règles applicables
à la relation entre le client et son fournisseur. Bien évidemment, les mentions obligatoires sur la
facture papier doivent se retrouver sur la facture électronique.

1. Exigences pour la facture électronique


La conservation de ces factures doit être assurée : sur un support informatique pendant une
durée au moins égale au délai de trois ans (article L. 169 al. 1er du LPF) ; sur tout support, choisi
par l’entreprise, pendant les trois années suivantes.
Pendant ce délai légal de conservation, la vérification convenablement effectuée de l’empreinte
de la facture, de sa signature et du certificat électronique permettra à l’administration fiscale de
contrôler la régularité des opérations.
La facture émise et celle reçue doivent être identiques et restituables par l’entreprise à qui l’ad-
ministration en fait la demande, dans leur contenu originel et dans un format habituellement
admis dans les usages commerciaux. Par conséquent, l’administration doit pouvoir, à des fins
de contrôle, accéder en ligne à ces factures et aux données jointes, dans les meilleurs délais,
quel que soit leur lieu de stockage, dûment déclaré et autorisé selon l’article L. 102-C du LPF, ou
la personne qui les stocke.

44
UE 118 • Systèmes d’information de gestion

2. Factures transmises par EDI


Cette modalité en vigueur depuis 1991 s’appuie sur l’article 289 bis du CGI.
Les factures sont transmises par voie électronique sous la forme d’un message structuré selon
une norme convenue entre les parties (en pratique le plus souvent une norme Edifact) permettant
une lecture par un ordinateur. Le traitement est automatique et de façon univoque les informa-
tions émises et reçues sont identiques. Le système doit être capable de restituer en langage clair
(lisible par un être humain) le message par l’assujetti, et dans les mêmes conditions par le des-
tinataire. L’original est constitué par le message EDI lui-même, les restitutions papiers ne sont
que des copies.

FNTC.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

3. Factures transmises au moyen d’une signature électronique


Cette modalité a été ouverte en 2003 par les articles 289-V du CGI et 96 F ann. IIII, avec les
précisions de l’instruction fiscale qui a suivi. Il est dit : « tiennent lieu de factures d’origine
lorsque : l’authenticité de leur origine et l’intégrité de leur contenu sont garanties au moyen
d’une signature électronique ».
Il est donc nécessaire de constater 3 éléments :
• la signature électronique : propre au signataire, identifie le signataire et est sous son contrôle
exclusif ;
• le certificat électronique : contient les données de vérification de la signature ;
• la vérification de la signature par le destinataire.
En pratique, il s’agira de produire des documents dans des formats « lisibles » tels que pdf ou
doc et de les signer avec un dispositif fiable de signature électronique. Il est à noter une petite
contradiction avec le cadre juridique de la signature électronique issu de la loi du 13 mars 2000
réformant le Code civil. En effet, ce type de signature électronique est une signature nominative
et personnelle, alors que le cadre juridique fiscal est plus souple puisqu’il autorise une signature
de personne morale (la société qui émet la facture).
C’est le caractère automatique de la signature qui est à souligner dans le texte de l’instruction
fiscale, et qui implique qu’au contraire du droit civil, le consentement de la personne signa-
taire n’est pas exigé. D’un point de vue plus technique, cela suppose la mise en place d’un

201181TDPA0413 45
Systèmes d’information de gestion • Série 4

serveur capable de signer automatiquement des factures ce qui rapproche cette technique de
celle de l’EDI. En effet quel intérêt de mettre en place une dématérialisation si la production auto-
matisée de documents n’est pas possible ?

FNTC.

4. L’autorisation du recours à un tiers


On considère souvent que l’apport majeur de la réforme de la loi de finance rectificative de 2002
a été l’introduction de la signature électronique. Alors qu’un des intérêts fondamentaux de cette
réforme, y compris pour les modalités de facturation EDI, réside dans la possibilité pour les
assujettis à la TVA de recourir à un tiers.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Article 289.2 du CGI : « Les factures peuvent être matériellement émises, au nom et pour le
compte de l’assujetti, par le client ou par un tiers lorsque cet assujetti leur donne expressément
mandat à cet effet. Le mandat de facturation ainsi établi doit notamment prévoir que l’assujetti
conserve l’entière responsabilité de ses obligations en matière de facturation et de ses consé-
quences au regard de la TVA ».

Pourquoi cela constitue-t-il un apport majeur ?


1. parce que le recours à un tiers permet au fournisseur de s’affranchir de la complexité liée à la
multiplicité des implémentations techniques, que ce soit en EDI ou en signature électronique.
2. parce que le recours à un tiers permet également au fournisseur et au client de lui déléguer
l’archivage des factures dématérialisées, qui nécessite des infrastructures spécialisées (notam-
ment pour les factures signées électroniquement).
Notons dans ce contexte la reconnaissance du principe d’autofacturation, c’est-à-dire que le
client émet la facture au nom et pour le compte du fournisseur.
Le client vérifie donc la validité de la signature électronique de la facture qu’il a lui-même émise.
Attention à ne pas commettre une confusion, l’affirmation « la facture dématérialisée peut être
envoyée par e-mail et il suffit de garder une impression papier » est erronée.

46
UE 118 • Systèmes d’information de gestion

L’original de la facture dématérialisée est nécessairement numérique : pour l’administration fis-


cale, une impression papier ne constitue pas un original. L’archivage de la facture signée élec-
troniquement suppose la conservation de tous les éléments ayant procédé à sa création :
• document en clair ;
• condensé crypté ;
• certificat de signature ;
• clé publique du signataire ;
• application de la signature.

D. Les enjeux économiques


Le nombre de factures émises chaque année en France se chiffre par milliards.
D’après une étude de l’Académie de sciences et techniques comptables.
En 2004 :
• 2 400 000 entreprises échangent 1 700 000 000 factures par an (France) ;
• dont 4 % sont électroniques (environ 70 millions) ;
• et moins de 0,5 % en dématérialisation fiscale.
Pour 2005, il est prévu : 25 à 50 millions de factures électroniques supplémentaires.
Dont 50 % en dématérialisation fiscale (soit ~ + 200 %).

Remarque importante
Il est nécessaire de distinguer ce qui est appelé par les professionnels la « dématérialisation
fiscale » des factures, de la « dématérialisation simple », la seconde obligeant à faire coexister
deux flux : un électronique, l’autre papier. Il est évident que sur le plan économique la « déma-
térialisation simple » ne peut être que transitoire en raison de son coût, ou des risques fiscaux,
si le flux papier n’est pas correctement distribué et archivé.
Mais la contrainte n’existe pas pour les fournisseurs de biens et services qui s’adressent aux
particuliers qui ne récupèrent pas la TVA. Ainsi, les opérateurs télécoms proposent systémati-
quement à leurs clients la facturation électronique par Internet, source d’économie non négli-
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

geable pour l’émetteur.

Les coûts de traitement des factures


Coût de traitement d’une facture Coût de traitement d’une facture
par l’Acheteur par le Fournisseur

26 €

+ 89 %

+ 24 %

– 62 % 13,7 € 7,6 € 9,5 €


– 34 %

5,2 € 5€

Coût Coût Coût Coût Coût Coût


minimum standard maximum minimum standard maximum
Source : Étude Arthur D. Little (mars 2001)

Étude Arthur D. Little, mars 2001.

201181TDPA0413 47
Systèmes d’information de gestion • Série 4

Le coût complet de traitement d’une facture englobe les coûts informatiques, l’impression, l’ex-
pédition… Pour l’acheteur, le coût de traitement du courrier et de la saisie humaine des données
est en général important.
Il en résulte un coût d’exploitation des factures estimé à environ 40 milliards d’euros pour l’en-
semble des factures B-to-B françaises, dont un peu plus de 1 milliard d’euros pour les 50 plus
grandes entreprises (soit 20 millions d’euros pour chacune de ces 50 entreprises). Ces estima-
tions ont été réalisées à partir des mesures des coûts de traitement unitaires des factures
entrantes et sortantes réalisées par Arthur D. Little pour Deskom/Post@xess en juin 2001.
La transmission électronique des factures permet de :
• réduire les coûts directs liés au traitement des factures papier ;
• fournir au système d’information des données plus complètes que ne le permet la saisie à
partir du papier, rendant ainsi possible une automatisation d’un plus grand nombre de tâches,
notamment la validation.
Ceci donne la possibilité à l’entreprise :
• de disposer d’une base de données d’images de factures facilement accessibles à partir de
n’importe quel poste informatique connecté à son réseau ;
• de formaliser, fiabiliser et optimiser son référentiel de traitement ;
• d’accroître la flexibilité de l’entreprise en réduisant le poids en personnel, infrastructures et
contraintes procédurales liés au traitement des factures.
La capacité de publier l’information produite par le traitement des factures vers les contreparties
(fournisseurs) dans un délai raccourci permet de réduire :
• les perturbations générées par les relances des fournisseurs (préventives ou curatives) ;
• les litiges sans causes sérieuses ;
• respecter les délais de paiement contractuels.
Les changements techniques et réglementaires rendent aujourd’hui possible une factura-
tion 100 % électronique :
• le support électronique est désormais un moyen banalisé de présentation et stockage des
données ;
• Internet permet de transporter des données électroniques rapidement pour un coût faible ;
• la réglementation fiscale autorise les deux modalités :

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
–– la facture électronique de type « EDI », réservée à des échanges de fichiers structurés,
–– la facture électronique signée, s’appuyant sur la directive européenne sur la signature
électronique ;
• l’utilisation du scanner et la Lecture automatique de documents (LAD) permettent d’intégrer
industriellement les données issues de factures papier ;
• les processus de validation sont largement automatisables grâce à la généralisation des ERP
et aisément optimisables par l’utilisation des outils de GED et de workflow.
La recherche du retour sur investissement conditionne le développement des projets de
dématérialisation.
Il est nécessaire de distinguer les intérêts des parties-prenantes. Un service achat sera intéressé
par une dématérialisation s’il est en relation avec un grand volume de factures. Le projet sera
d’autant plus facile à mettre en place que peu de fournisseurs seraient concernés. Si les fournis-
seurs sont nombreux et surtout de petite taille, ce sera plus difficile.
De manière symétrique un service client sera tenté de proposer une dématérialisation s’il émet
de gros volumes. L’exemple d’Orange ou d’autres opérateurs télécoms démontre bien cette
logique économique.
Le recours à des prestataires spécialisés permet d’abaisser les coûts du projet en déchargeant
l’entreprise de certains investissements.

48
UE 118 • Systèmes d’information de gestion

Les facteurs clés du succès d’un projet de gestion dématérialisée des factures
La réussite d’un projet de gestion dématérialisée des factures repose sur :
• une identification précise du périmètre du projet à moyen terme, dont dépendront la pérennité
et l’évolutivité des solutions fonctionnelles choisies ;
• une analyse économique globale qui permettra de déterminer la configuration opérationnelle
la plus adaptée, entre solution logicielle interne ou service externalisé ;
• la coordination de la mise en œuvre opérationnelle des systèmes en interne ;
• la capacité de l’entreprise à réaliser les potentiels de gains apportés par la dématérialisation,
dont dépendront les montants investis et la vitesse du retour sur investissement du projet.

E. La facture numérique

Quel format adopter pour la facture numérique ?


Lorsque le choix n’est pas dicté par un partenaire donneur d’ordres, quels critères prendre en
compte pour déterminer le meilleur équivalent dématérialisé à la facture papier ?
Dématérialisation simple ou fiscale ? Dans le premier cas, la facture existe toujours sous forme
papier. Dans le second, les données n’existent que sous forme électronique et nécessitent de
respecter les consignes de la DGI (Direction générale des impôts). La dématérialisation simple est
parfois vue comme une première étape vers la dématérialisation fiscale.
Les gains d’une dématérialisation totale sont multiples : élimination des coûts d’impression et
d’acheminement des courriers, accélération du temps de traitement grâce à l’intégration automa-
tique des données dans les systèmes financiers… Des bénéfices semblables à ceux apportés par
la dématérialisation d’autres documents. Mais l’application de ce processus à la facture nécessite
de prendre des précautions quant à l’archivage et à la restitution en cas de contrôle de la DGI. Des
solutions permettent de scanner et de gérer des flux papier tels que les factures, qui peuvent alors
être incorporés dans le système d’information de l’entreprise.
Cette première étape sert souvent de remise à plat des processus et des workflows des factures.
Mais si tout peut être traité en interne, certaines entreprises choisissent d’externaliser tout ou par-
tie de cette chaîne. Des opérateurs proposent de gérer les factures de leurs clients, quel que soit
le canal utilisé pour les envoyer, y compris les factures papier lorsque cela est nécessaire.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Structuré non signé ou non structuré signé


Une facture s’échange entre un fournisseur et son client. Les deux sont donc souvent parties pre-
nantes dans le processus de dématérialisation. La facture légale doit ainsi être conservée par
chacun des protagonistes. Selon les secteurs d’activité, la taille de l’entreprise et la nature des
liens entre les partenaires – ce qui influe sur le volume des factures, notamment –, le choix du
format électronique de la pièce dématérialisée ne sera pas forcément le même.
Deux types de formats sont reconnus légalement depuis un décret publié en 2003 : structuré (c’est
l’objet de l’article 289 bis du Code général des impôts) et non structuré (dont les règles de gestion
sont définies dans l’article 289 V). Les documents structurés, comme l’Edifact et l’XML, néces-
sitent une traçabilité correcte mais n’ont pas besoin d’être signés. Les documents non structurés,
comme le PDF ou n’importe quel fichier image, doivent, au contraire, être signés pour prendre une
valeur légale. Mais signature électronique ne signifie pas certificat de haut niveau. L’objectif est de
prouver la non-corruption des fichiers, et non de prouver l’identité du signataire.
Jusqu’ici, une grande partie des projets de dématérialisation fiscale met en jeu l’Edifact. Selon les
domaines d’activité, ce dernier est cependant plus ou moins bien implanté. Il est notamment très
répandu dans les secteurs du transport (et en particulier de l’automobile), de la grande distribution
(sous l’influence de l’organisme de standardisation GS1) et de la publicité. Les entreprises de ces
secteurs ont d’importants volumes de factures à traiter et il existe généralement un lien fort entre
client et fournisseur. Dans ces domaines, les entreprises n’étant pas encore passées à l’Edifact et
utilisant déjà une forme d’EDI (notamment pour les commandes) en interne auront donc plutôt
intérêt à choisir ce format pour la dématérialisation fiscale de leur facture. •••/•••

201181TDPA0413 49
Systèmes d’information de gestion • Série 4

•••/••• Un problème plus organisationnel que technique


Le passage d’une dématérialisation simple avec EDI à une dématérialisation fiscale est loin d’être
difficile techniquement, mais nécessite une implication de l’ensemble des acteurs de la chaîne, ce
qui aboutit parfois à une pression des uns sur les autres. Pour les domaines standardisés, comme
ceux précédemment cités, changer de fournisseur ne nécessitera presque aucun ajustement de la
facture et ne sera donc pas un problème. Dans le cas contraire, il faudra s’adapter à son nouveau
partenaire.
Dans la continuité de l’Edifact, l’XML est aussi un format structuré. Aux origines de l’Edifact, les
moyens de communication étaient chers (les réseaux à valeur ajoutée notamment). Les messages
Edifact étaient donc définis pour être le plus succinct possible. Aujourd’hui, le coût des communi-
cations a fortement baissé et la taille des fichiers XML n’est plus un frein à leur transmission : ils
seront sans doute plus utilisés à l’avenir que jusqu’à maintenant. Leur propagation est, pour l’ins-
tant, limitée car il n’y a pas de grammaire XML standard définie pour les factures, même si des
efforts vont dans ce sens. Si un standard existait, l’intégration des fichiers XML dans les logiciels
comme Sage ou SAP serait facilitée, à condition que les éditeurs décident de développer le
connecteur correspondant. Pour l’instant, des plates-formes d’échanges, tels B-process et Des-
kom, sont utilisées pour gérer les multiples formats existants en entrée et en sortie. Elles utilisent
en interne des formats XML pivots, dérivés de l’Edifact. Chaque plate-forme a défini son propre
format XML et doit fournir des indications à ses partenaires pour échanger des données.

Prévoir tous les cas de figure


Du côté des formats non structurés, c’est le PDF signé qui est le plus utilisé pour dématérialiser
fiscalement les factures. La réglementation concernant les fichiers non structurés ne date que de
2003, ce qui explique sans doute en partie leur moindre utilisation dans les projets de dématériali-
sation fiscale. Autre constat : les entreprises cibles gèrent souvent des volumes moins importants
de factures que celles qui ont recours à des formats structurés. Logique. Si elle est moins facile,
l’intégration des données dans les systèmes comptables reste possible. À l’aide, par exemple, de
mécanismes de reconnaissance de caractères comme pour un document papier. Les entreprises
qui scannent déjà leurs factures entrantes pourraient s’orienter naturellement vers le PDF signé,
l’extraction des données et les mécanismes de correction des erreurs étant déjà en place.
Chaque format d’échange ayant un intérêt selon le contexte, une approche multicanal est souvent
utilisée. L’entreprise propose alors la saisie en ligne des commandes à ses petits fournisseurs, de
l’Edifact à d’autres, et reste sur un échange de factures papier avec certaines. Tous les cas de

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
figure sont envisageables. En définitive, l’accélération du temps de traitement des factures compte
autant que l’élimination du papier.
D’après l’article éponyme de Marie Jung, 01 Informatique, 3 décembre 2009, www.01netpro.com.

50
3

partie
Réglementation sur l’utilisation
des données

I. La protection juridique des logiciels

A. Les bases juridiques


La loi du 3 juillet 1985 a étendu la notion d’œuvre de l’esprit aux logiciels. Depuis, logiciels et
programmes informatiques sont protégés comme un droit d’auteur. L’ensemble des textes
concernant la protection des logiciels est regroupé dans la première partie du Code de la pro-
priété intellectuelle (CPI).
C’est l’article L. 112‑2 al. 13 qui définit les logiciels et les programmes informatiques (ainsi que
les documents auxiliaires) comme étant des œuvres de l’esprit.
Dans le cas particulier de la création par un salarié (ou un groupe de salariés) dans le cadre de
ses fonctions, ce dernier n’est pas titulaire des droits, c’est son employeur qui l’est (art. 113‑9).
Les droits d’auteur se décomposent en droits moraux et patrimoniaux.
Les droits moraux comprennent le droit au nom et le droit de divulgation, par contre le droit de
repentir et le droit à l’intégrité de l’œuvre sont suspendus au profit du cessionnaire des droits
d’exploitation, c’est-à-dire l’acquéreur du logiciel, sauf stipulations contraires (art. L. 121‑7).
Les droits patrimoniaux sont les droits d’exploitation définis par l’article 122‑1 et comprennent :
• les droits de représentation : c’est-à-dire le droit de communiquer l’œuvre au public ;
• les droits de reproduction : c’est-à-dire le droit de la fixation matérielle de l’œuvre.
La durée de la protection (art. 123‑1 et 123‑3) est de 70 ans :
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

• à compter du décès de l’auteur pour les personnes physiques ;


• à compter du 1er janvier de l’année civile suivant la publication de chaque élément pour les
personnes morales.

B. Violation du droit d’auteur


La recopie de tout ou partie du logiciel relève de la contrefaçon (art. L. 335‑3 du CPI) et est sanc-
tionnée sur le plan civil et pénal.
Face à l’ampleur de la contrefaçon de logiciels (un tiers des logiciels seraient piratés dans le
monde et la moitié en France), le nombre d’actions en justice pour contrefaçon en matière de
logiciels croît, ainsi que la sévérité des peines.

1. Sanctions civiles
La victime de la contrefaçon peut agir en justice pour demander des dommages et intérêts cal-
culés en fonction du préjudice subi.
Article L. 331‑1-3, créé par Loi n° 2007‑1544 du 29 octobre 2007 – art. 32 JORF, 30 octobre 2007 :
« Pour fixer les dommages et intérêts, la juridiction prend en considération les consé-
quences économiques négatives, dont le manque à gagner, subies par la partie lésée, les
bénéfices réalisés par l’auteur de l’atteinte aux droits et le préjudice moral causé au titu-
laire de ces droits du fait de l’atteinte.
Toutefois, la juridiction peut, à titre d’alternative et sur demande de la partie lésée, allouer
à titre de dommages et intérêts une somme forfaitaire qui ne peut être inférieure au mon-
tant des redevances ou droits qui auraient été dus si l’auteur de l’atteinte avait demandé
l’autorisation d’utiliser le droit auquel il a porté atteinte. »

201181TDPA0413 51
Systèmes d’information de gestion • Série 4

2. Sanctions pénales
Dès la constatation de l’infraction, les autorités compétentes peuvent saisir les objets contrefaits
ou les moyens permettant de contrefaire.
Article L. 335‑1, modifié par Loi n° 2009‑669 du 12 juin 2009 – art. 3 :
« Les officiers de police judiciaire compétents peuvent procéder, dès la constatation des
infractions prévues aux articles L. 335‑4 à L. 335‑4-2, à la saisie des phonogrammes et
vidéogrammes reproduits illicitement, des exemplaires et objets fabriqués ou importés
illicitement, de tout exemplaire, produit, appareil, dispositif, composant ou moyen portant
atteinte aux mesures techniques et aux informations mentionnées respectivement aux
articles L. 331‑5 et L. 331‑11 ainsi qu’à la saisie des matériels spécialement installés en
vue de tels agissements. »

La mise à disposition au public d’une œuvre protégée est passible de 3 ans d’emprisonnement
et de 300 000 euros d’amende (art. L. 335‑2). Si le délit a été commis en bande organisée, les
peines sont portées à 5 ans d’emprisonnement et à 500 000 euros d’amende.
Des sanctions complémentaires peuvent être prononcées comme la confiscation des recettes
des produits contrefaits, le matériel ayant permis de produire les objets contrefaits ou la ferme-
ture pendant 5 ans de l’établissement où a été constatée l’infraction…
Article L. 335‑5, modifié par Loi n° 2006‑961 du 1er août 2006 – art. 26 JORF, 3 août 2006 :
«  Dans le cas de condamnation fondée sur l’une des infractions définies aux articles  L.  335‑2
à L. 335‑4-2, le tribunal peut ordonner la fermeture totale ou partielle, définitive ou
temporaire, pour une durée au plus de 5 ans, de l’établissement ayant servi à com-
mettre l’infraction.
La fermeture temporaire ne peut entraîner ni rupture ni suspension du contrat de travail, ni
aucun préjudice pécuniaire à l’encontre des salariés concernés. Lorsque la fermeture défi-
nitive entraîne le licenciement du personnel, elle donne lieu, en dehors de l’indemnité de
préavis et de l’indemnité de licenciement, aux dommages et intérêts prévus aux articles
L. 122‑14‑4 et L. 122‑14‑5 du Code du travail en cas de rupture de contrat de travail. Le
non-paiement de ces indemnités est puni de 6 mois d’emprisonnement et de 3 750 euros
d’amende. »

Article L. 335‑6, modifié par Loi n° 2007‑1544 du 29 octobre 2007 – art. 38, JORF 30 octobre 2007 :

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
« Les personnes physiques coupables de l’une des infractions prévues aux articles
L. 335‑2 à L. 335‑4‑2 peuvent en outre être condamnées, à leurs frais, à retirer des circuits
commerciaux les objets jugés contrefaisants et toute chose qui a servi ou était destinée à
commettre l’infraction.
La juridiction peut prononcer la confiscation de tout ou partie des recettes procurées
par l’infraction ainsi que celle de tous les phonogrammes, vidéogrammes, objets et
exemplaires contrefaisants ou reproduits illicitement ainsi que du matériel spéciale-
ment installé en vue de la réalisation du délit.
Elle peut ordonner la destruction, aux frais du condamné, ou la remise à la partie lésée des
objets et choses retirés des circuits commerciaux ou confisqués, sans préjudice de tous
dommages et intérêts.
Elle peut également ordonner, aux frais du condamné, l’affichage du jugement ou la diffu-
sion du jugement prononçant la condamnation, dans les conditions prévues à l’ar-
ticle 131‑35 du Code pénal. »

C. Principe général du droit de copie


Le législateur français a prévu trois grandes exceptions au droit d’auteur :
• la présentation gratuite et privée d’une œuvre dans le cercle familial ;
• la « copie privée » (à usage personnel ou pour les proches) ;
• la « courte citation ».
Ces trois exceptions tiennent compte du droit à la vie privée et de l’impossibilité de contrôler
chaque copieur potentiel mais aussi doivent favoriser l’accès le plus large possible aux œuvres,
à l’information, à la critique et aux découvertes.

52
UE 118 • Systèmes d’information de gestion

En matière de logiciels, la copie de sauvegarde permet ainsi à l’utilisateur qui détient normale-
ment ce logiciel de pouvoir le réinstaller en cas de problème.
L’article L. 122‑5 (modifié par Loi n° 2011‑1898 du 20 décembre 2011 – art. 1) du CPI énonce :
« Lorsque l’œuvre a été divulguée, l’auteur ne peut interdire :
1° Les représentations privées et gratuites effectuées exclusivement dans un cercle de
famille ;
2° Les copies ou reproductions strictement réservées à l’usage privé du copiste et
non destinées à une utilisation collective, à l’exception des copies des œuvres d’art des-
tinées à être utilisées pour des fins identiques à celles pour lesquelles l’œuvre originale a
été créée et des copies d’un logiciel autres que la copie de sauvegarde établie dans les
conditions prévues au II de l’article L. 122‑6‑1 ainsi que des copies ou des reproduc-
tions d’une base de données électronique ;
3° Sous réserve que soient indiqués clairement le nom de l’auteur et la source :
a) Les analyses et courtes citations justifiées par le caractère critique, polémique,
pédagogique, scientifique ou d’information de l’œuvre à laquelle elles sont incorporées ;
b) Les revues de presse ;
c) La diffusion, même intégrale, par la voie de presse ou de télédiffusion, à titre d’informa-
tion d’actualité, des discours destinés au public prononcés dans les assemblées poli-
tiques, administratives, judiciaires ou académiques, ainsi que dans les réunions publiques
d’ordre politique et les cérémonies officielles ;
d) […]
e) La représentation ou la reproduction d’extraits d’œuvres, sous réserve des œuvres
conçues à des fins pédagogiques, …, à des fins exclusives d’illustration dans le cadre
de l’enseignement et de la recherche, à l’exclusion de toute activité ludique ou récréa-
tive, dès lors que le public auquel cette représentation ou cette reproduction est destinée
est composé majoritairement d’élèves, d’étudiants, d’enseignants ou de chercheurs
directement concernés, que l’utilisation de cette représentation ou cette reproduction ne
donne lieu à aucune exploitation commerciale et qu’elle est compensée par une rémuné-
ration négociée sur une base forfaitaire sans préjudice de la cession du droit de reproduc-
tion par reprographie mentionnée à l’article L. 122‑10 ;
[…] »
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

II. La loi Informatique et libertés

A. Les bases juridiques


La loi Informatique et libertés du 6 janvier 1978 sur l’informatique, les fichiers et les liber-
tés, préparée par les travaux de la commission informatique et libertés et créée en 1974, marque
une évolution notable dans les relations entre la société et l’informatique.
La loi :
• crée un organe veillant à son application : la Commission nationale de l’informatique et des
libertés (Cnil) ;
• assujettit à diverses formalités l’utilisation d’un fichier informatisé concernant les
personnes ;
• institue un droit d’accès en faveur des personnes concernées par un fichier.
Après de nombreuses péripéties, la mise en conformité de la loi française avec les directives
européennes de 1995 et de 2002 est effective.
La loi modifiant la loi Informatique et libertés est entrée en vigueur dès sa promulgation. La loi
n° 2004‑801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des trai-
tements de données à caractère personnel et modifiant la loi n° 78‑17 du 6 janvier 1978 relative
à l’informatique, aux fichiers et aux libertés a été publiée au JO du 7 août 2004. Elle est immé-
diatement applicable, sauf pour ses dispositions nécessitant des précisions par décret comme
celles sur les correspondants à la protection des données.

201181TDPA0413 53
Systèmes d’information de gestion • Série 4

Si la France était le premier pays européen à mettre en place une loi pour la protection des don-
nées, elle est aujourd’hui le dernier à transposer la directive européenne. Toutefois, si l’objectif
assigné à l’origine visait à simplifier les procédures et à alléger les formalités, force est de consta-
ter que les entreprises sont dorénavant confrontées à des textes touffus, peu évidents à analy-
ser, et qui, au contraire, conduisent à une multiplication des procédures.

1. Une refonte des procédures de notification


La nouvelle loi était censée privilégier un allégement des procédures, ce qui est plutôt réussi en
ce qui concerne les traitements publics. Il en va autrement pour le secteur privé qui peut consta-
ter un effet inverse : bien que la déclaration ordinaire, telle que les entreprises la connaissaient
auparavant existe toujours et qu’une déclaration simplifiée à effectuer en ligne ait vu le jour, il faut
savoir que certains traitements autrefois qui étaient soumis à déclaration sont aujourd’hui sou-
mis à autorisation par la Cnil.
Les traitements liés à des données sensibles, telles que des appartenances religieuses, les don-
nées biométriques, ou liés à des condamnations doivent bien entendu faire l’objet d’une autori-
sation par la Cnil. Toutefois, il en va de même pour les traitements susceptibles d’exclure des
personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, qui conduisent, par exemple,
à la création de listes noires, ou de scoring. Sont également concernés les traitements compor-
tant des appréciations sur les difficultés sociales des personnes, comme l’exploitation marketing
d’une information précisant que tel client est bénéficiaire du RMI, par exemple.
La dernière catégorie soumise à une autorisation regroupe les traitements d’interconnexion entre
fichiers publics ou entre fichiers privés ayant des finalités principales différentes. Le terme est
tellement vaste qu’il ramène dans le giron de la Cnil toutes sortes de traitements. En effet, si l’on
pense aux systèmes de pilotage, aux ERP et à tous les outils permettant d’identifier les clients,
le principe vise justement cette interconnexion de fichiers !
En ce qui concerne les traitements fréquents et banals, Christophe Pallez, secrétaire général de
la Cnil, explique qu’une autorisation unique pour la famille de traitements pourra être délivrée,
pour un système d’information géographique à destination des collectivités locales, pour le
cadastre ou l’urbanisme, par exemple. En revanche, s’il s’agit de traitements pour obtenir une
gestion fine de la population à destination d’autres acteurs, une autorisation de la Cnil sera

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
obligatoire.
Des exonérations légales de déclaration de traitements concernent les membres d’association
ou de partis politiques, ainsi que les traitements ayant pour objet la tenue d’un registre public
destiné à l’information du public (listes électorales, RCS…). Toutefois, des exonérations de
déclaration pourront être prononcées par la Cnil par le biais de normes : par exemple, les traite-
ments de paie anciennement soumis à déclaration simplifiée sont exonérés de déclaration
depuis le 7 janvier 2005.
Les traitements mis en œuvre par l’État comportant des données sensibles (fichiers de police et
de justice) ou numéro de Sécurité sociale sont en revanche soumis à une autorisation par le
Conseil d’État, et une autorisation par « soi-même » peut être émise pour les traitements publics
de police et de justice qui ne comportent pas de données sensibles, ou ceux qui intéressent la
sûreté de l’État et la défense.

2. Des contraintes nouvelles sur les transferts de données


hors de l’Union européenne
L’interdiction de transferts de données personnelles vers les pays tiers qui n’assurent pas un
niveau de protection adéquat a été levée : le Safe harbor et les transferts vers les États-Unis
constituent une solution visant à remédier à cette interdiction. La Commission peut constater
qu’un pays tiers assure un niveau de protection adéquat en raison d’engagements internatio-
naux, dont le respect sera vérifié chaque année.

54
UE 118 • Systèmes d’information de gestion

Un contrat de transfert de données personnelles doit être réalisé entre celui qui envoie les fichiers
et celui qui les reçoit pour procéder au transfert de données. Le destinataire doit respecter la
finalité, la non-transmission à des tiers sans l’accord de l’expéditeur et désigner un représentant
en charge de la protection des données.
En revanche, aucune condition particulière n’est imposée lorsque l’internaute a donné sans
ambiguïté son consentement au transfert, lors d’une inscription en ligne sur un site américain,
par exemple, dans laquelle il laisse son adresse électronique. Il en va de même lorsque le trans-
fert de données personnelles est nécessaire à la réalisation d’un contrat, tel que l’achat d’un livre
sur un site américain.
Les transferts vers un État tiers qui n’assurent pas un niveau de protection adéquat demeurent
possibles sous réserve d’une décision de la Cnil. Un décret d’application décrira la procédure de
« décision » de la Cnil en matière de transferts de données hors de l’Union européenne.

3. Un renforcement des pouvoirs de la Cnil


La Cnil bénéficie d’un pouvoir d’investigation qui peut passer par des contrôles sur place, ce qui
n’est pas foncièrement nouveau. Elle peut également dénoncer au Procureur de la République
les infractions à la loi Informatique et libertés qu’elle constate.
En revanche, le pouvoir de prononcer des sanctions administratives en cas de violation de la loi
constitue une innovation majeure. La Cnil peut en effet, après une procédure contradictoire, mais
sans préjudice des sanctions pénales encourues, ordonner la cessation d’un traitement et pro-
noncer des amendes administratives jusqu’à un montant de 300 000 euros. Néanmoins, les
sanctions resteront limitées, la procédure de sanction avec les délais, les allers-retours, les
mises en demeure, vise plus à inciter les entreprises à se mettre en conformité qu’à aller jusqu’à
la sanction.
Des sanctions pénales pouvant aller jusqu’à cinq ans d’emprisonnement et 300 000 euros
d’amende peuvent être prononcées en cas d’absence de notification préalable d’un traitement,
ou de non-respect des conditions de traitement posées par la Cnil dans une norme simplifiée ou
d’exonération de déclaration. Le fait de ne pas prendre toutes les mesures utiles pour préserver
la sécurité, l’intégrité et la confidentialité des données peut également être sanctionné pénale-
ment, ce qui signifie que dans le cadre d’un piratage d’un site ou d’un système d’information, la
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

victime d’une attaque peut agir contre l’entreprise propriétaire des données.
Des peines contraventionnelles pour défaut d’information des personnes peuvent atteindre
1 500 à 3 000 euros par infraction constatée : il peut par exemple s’agir d’une collecte de don-
nées personnelles par une entreprise sans avoir informé la personne sur les éléments prévus par
la loi, d’où l’urgence à se mettre en conformité et à changer les mentions légales.

4. Le correspondant informatique et libertés (Cil)


Les responsables de traitements qui disposent d’un correspondant informatique et libertés, sont
exonérées de l’obligation de déclaration ordinaire ou simplifiée. La publication au JO du
20 octobre 2005 du nouveau décret d’application de la loi Informatique et libertés permet notam-
ment la nomination de ce correspondant informatique et libertés.

Le Cil : un vecteur de diffusion de la culture informatique et libertés


Tous les responsables de traitement sont concernés par le correspondant informatique et liber-
tés (Cil). Sa désignation, qui reste facultative, permet un allégement non négligeable de certaines
formalités déclaratives auprès de la Cnil. Le Cil dispose d’une autonomie d’action et ne peut faire
l’objet de sanctions de l’employeur du fait de l’exercice de ses missions de Cil. Mais l’apport
essentiel du Cil est son rôle de conseil et de pédagogie pour assurer une meilleure application
de la loi Informatique et libertés.

201181TDPA0413 55
Systèmes d’information de gestion • Série 4

Le rôle du Cil consiste à devenir le relais de la Cnil dans l’entreprise, en prodiguant des conseils
en amont, en assurant une certaine pédagogie, et en réalisant des audits et une certaine média-
tion, en plus du rôle d’alerte de la Cnil s’il constate des violations ou des irrégularités.
Si moins de 50 personnes sont chargées de la mise en œuvre des traitements informatiques ou
y ont directement accès, le choix du correspondant est libre. Le Cil peut-être un employé de
l’organisme, un employé d’une autre entité ou un professionnel indépendant (avocat, consultant,
expert-comptable…).
Dans le cas contraire (plus de 50 personnes), le choix du Cil externe est limité. Il peut être un
employé de l’organisme, un salarié d’une des entités du groupe auquel appartient l’organisme,
une personne mandatée à cet effet par un organisme professionnel ou par un organisme regrou-
pant des responsables de traitements d’un même secteur d’activité. Ces deux dernières possi-
bilités de mutualisation permettent de lisser les coûts.

B. Les formalités requises


Tout traitement automatisé d’informations nominatives doit être déclaré auprès de la Cnil ; cette
déclaration recouvre ce qu’on appelle les formalités préalables. Pour ce faire, il est prévu des
bordereaux de déclaration que l’on trouve soit au siège de la Cnil, soit dans les préfectures et les
chambres de commerce et d’industrie. Toute modification ou suppression de traitement doit être
ultérieurement déclarée. La Cnil est supposée détenir de la sorte un fichier des fichiers en per-
manence à jour.
Cette loi s’applique aussi bien aux entreprises privées qu’aux organismes publics. Dans tous les
cas, la mise en œuvre du traitement doit être précédée de la déclaration qui donne lieu à l’émis-
sion d’un récépissé faisant foi.
Le déclarant peut être soit la personne qui met en œuvre le traitement, soit celle pour le compte
de laquelle il est mis en œuvre, cette dernière étant, dans tous les cas, considérée comme juri-
diquement responsable.
Un traitement est considéré comme nominatif s’il porte sur des personnes physiques soit iden-
tifiées, soit identifiables. Il est interdit de détenir ou de gérer certaines informations jugées trop
sensibles faisant apparaître directement ou indirectement la race, la religion, les opinions poli-

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
tiques ou philosophiques, l’appartenance syndicale de toute personne physique.
Néanmoins, les groupements religieux, philosophiques, politiques ou syndicaux peuvent tenir un
registre de leurs membres ou de leurs « correspondants » libres de tout contrôle de la Cnil à ce
sujet.
La Cnil attache beaucoup d’importance à la durée de conservation des informations, qui ne peut
excéder celle prévue initialement par le déclarant lors de la déclaration.
Il faut, enfin, informer toute personne, auprès de laquelle sont recueillies des informations nomi-
natives, du caractère obligatoire ou facultatif de chaque réponse, des conséquences d’un défaut
de réponse, des destinataires prévus d’informations et de l’existence du droit d’accès. Ceci doit
être notamment stipulé par écrit sur tout questionnaire à caractère nominatif au sens de la loi.

C. Six questions essentielles (source Cnil)


1. Où trouver le formulaire de déclaration et la notice explicative ?
Vous pouvez demander gratuitement le formulaire Cerfa n° 99001 ainsi que la notice explicative :
• aux préfectures ;
• aux chambres de commerce et d’industrie ;
• à la Cnil, en les téléchargeant sur le site Internet www.cnil.fr.

56
UE 118 • Systèmes d’information de gestion

2. Quelle est la procédure ?


Une fois le formulaire rempli, les annexes et les justificatifs fournis, vous devez adresser à la
Cnil l’ensemble de ces documents en 3 exemplaires :
• soit par envoi recommandé avec demande d’avis de réception postal ;
• soit par dépôt auprès de la Cnil contre reçu.
Ensuite, lorsqu’un traitement est déclaré, la Cnil vous adresse un récépissé indiquant le numéro
sous lequel celui-ci est enregistré.
Dans le cas où vous ignorez si un traitement a été ou non déclaré à la Cnil, vous avez la possibi-
lité d’interroger ses services qui vous donneront toutes les informations utiles (numéro de récé-
pissé, finalité du traitement déclaré, etc.).
En cas de perte de votre récépissé, vous pouvez, par écrit, en demander un duplicata au service
informatique de la Cnil.

3. Quand le traitement peut-il être mis en œuvre ?


La mise en œuvre du traitement est subordonnée :
• pour le secteur public, à la publication de l’acte réglementaire (pris après avis de la Cnil) por-
tant création du traitement ; en cas de déclaration simplifiée, à la délivrance du récépissé de
déclaration à la Cnil ;
• pour le secteur privé (déclaration ordinaire ou simplifiée), à la délivrance du récépissé de décla-
ration à la Cnil.

4. Qui doit signer ?


Celui qui a décidé de mettre en œuvre un traitement nominatif (ex. : le maire, le président-direc-
teur général d’une société, le directeur d’un hôpital par délégation, etc.).

Attention
Le signataire est considéré comme juridiquement responsable du contenu de la déclaration.

5. Qu’est-ce qu’une annexe ?


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

C’est un papier libre dactylographié où sont portés :


• soit les renseignements supplémentaires, exigés pour les rubriques du formulaire marquées
d’un astérisque ;
• soit la suite des énumérations quand la place sur le formulaire ne suffit pas ;
• soit les documents que vous devez joindre à votre déclaration, par exemple : textes de loi,
statuts d’association, Projet d’acte réglementaire (PAR), etc.

6. Quels traitements sont exonérés de déclaration ?


Sous certaines conditions, certains traitements sont exonérés de déclaration. Il s’agit :
• des registres des membres ou des correspondants des églises ou des regroupements à carac-
tère religieux, philosophique, politique ou syndical (art. 31 de la loi du 6 janvier 1978) ;
• de certains traitements conformes à une norme rédigée par la Cnil.
Par exemple, la gestion informatisée de la paie des personnels par un employeur est sujette à
déclaration à la Cnil, du fait des données nominatives indispensables à l’établissement des bul-
letins de paie.
Mais si les fichiers de l’application sont conformes à la norme n° 28 du 14 septembre 1985, alors
il y a dispense de déclaration.
Ce principe de dispense est valable pour beaucoup de traitements. Pour prendre connaissance
des normes, consulter le site de la Cnil (www.cnil.fr). Se référer à la norme n° 28 du 14 septembre
1985, disponible sur le site www.cnamintec.fr dans les Ressources de la série 4, qui présente la
norme pour l’établissement de la paie.

201181TDPA0413 57
Systèmes d’information de gestion • Série 4

D. Le droit d’accès et de rectification


Toute personne physique a le droit de consulter l’intégralité des données (en langage clair et non
sous forme codée) la concernant, et de les faire rectifier en cas d’inexactitude, ou supprimer en
cas d’illégalité. C’est ce que l’on appelle le droit d’accès direct. Il faut pour cela justifier de son
identité.
Pour les traitements intéressant la sûreté de l’État, la défense et la sécurité politique, c’est la Cnil
qui exerce le droit d’accès, appelé alors « indirect » pour le compte de l’intéressé.
Pour permettre à chacun d’exercer son droit d’accès, la loi fait obligation à la Cnil de mettre à
disposition du public la liste des traitements dont elle a enregistré la déclaration.

E. La Cnil
La Commission nationale informatique et libertés est une autorité administrative indépendante,
ne rendant compte à aucun ministre. Seul un contrôle financier est exercé a posteriori par la
Cour des comptes. Elle remet chaque année un rapport public au président de la République.
Elle se compose de 17 commissaires nommés pour 5 ans, aucun d’entre eux ne peut être
membre du gouvernement, ni exercer des fonctions dans les branches de l’informatique ou des
télécommunications, ni y avoir des intérêts.
Elle dispose de services et de conseillers. La commission délibère et rend des avis, des délibé-
rations et émet des recommandations. Elle met à disposition, non seulement des membres et
des agents de la Cnil mais encore du public, un service de documentation comportant ouvrages,
textes juridiques, dossiers de presse et documents divers. Un service vous permet aussi de
consulter la liste des traitements.
La Cnil est particulièrement sensible aux interconnexions de fichiers et à la transmission d’infor-
mations qu’elle juge plus dangereuses pour les libertés individuelles et collectives que la simple
détention d’un seul fichier ; ceci explique ses réticences en matière d’utilisation du Numéro
d’identification au répertoire (NIR) qui peut être assimilé au numéro Sécurité sociale. En effet, ce
numéro comporte la codification de données personnelles (sexe, âge, lieu de naissance) et per-
mettrait une interconnexion massive du fait de son rôle d’identifiant et de sa large diffusion.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
F. La sanction
Les sanctions prévues par le Code pénal sont lourdes : emprisonnement (jusqu’à 5 ans !),
amendes (jusqu’à 300 000 euros) (voir sur le site www.cnamintec.fr, dans les Ressources de la
série 4, des extraits du Code pénal donnant le détail de ces peines). Mais il faut bien le dire, la
sévérité de la loi est tempérée par une application plus que parcimonieuse de ces sanctions
pénales. Est-ce à dire que la peur inspirée par cet impressionnant arsenal effraie suffisamment
les contrevenants potentiels pour que ceux-ci s’abstiennent d’actes répréhensibles ? Ou que la
faiblesse des autorités répressives laisse dans l’ombre les infractions à la loi ? Au lecteur de se
faire une opinion sur cette question. Mais pour le professionnel qui engage sa responsabilité
(commissaire aux comptes par exemple), la non-dénonciation de ces délits est un risque non
négligeable qu’il vaut mieux apprécier avec une bonne connaissance de cette loi.
On notera, outre la sévérité des sanctions de ces délits, le fait que la matérialité du délit puisse
résulter de la mauvaise organisation d’un centre informatique ou d’un centre de saisie de l’infor-
mation. Le personnel informatique, déjà soumis à une obligation de discrétion, devient quasi-
ment astreint à un secret professionnel par cette loi.
Toute personne peut s’adresser à la Cnil pour faire état d’une réclamation, d’une pétition collec-
tive, d’une plainte ou d’une dénonciation. Un service spécialisé peut conseiller la formulation
d’une saisine.
La Cnil est habilitée, afin de faire respecter la loi, à toute mission d’investigation ou d’inspection
sur place qu’elle juge utile. Ses représentants peuvent venir effectuer un contrôle à tout moment.

58
UE 118 • Systèmes d’information de gestion

Commission nationale de l’informatique et des libertés (Cnil)


8 rue Vivienne
CS 30223
75083 Paris cedex 02
Tél. : 01 53 73 22 22
Télécopie : 01 53 73 22 00
Le site Internet : http://www.cnil.fr contient des informations et des documents qui permettent
de mieux appréhender des obligations issues de la loi.

Retrouvez sur le site www.cnamintec.fr, dans les Ressources de la série 4, les principaux
textes de lois mentionnés dans cette partie.

Exercice

Énoncé
La société « Plan de travail » propose des plans de travail sur mesure pour la cuisine ou les salles
de bain aux particuliers.
Son site web lui permet de montrer ses réalisations et les nombreux matériaux disponibles
(marbre, granit, verre, inox…) ainsi que d’enregistrer les demandes de devis en ligne.
* Champs obligatoires
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

201181TDPA0413 59
Systèmes d’information de gestion • Série 4

La société doit veiller à ce que les données collectées sur le site soient en conformité avec la loi
Informatique et libertés.
À cet effet, le dirigeant de cette société vous demande de consulter le site de la Cnil afin de
répondre aux deux questions ci-après :

TRAVAIL À FAIRE
1. Indiquez les obligations de « Plan de travail » concernant les données saisies sur le formu-
laire « demande de renseignements » par les visiteurs de son site web.
2. Précisez les mentions à faire apparaître sur ce formulaire.

Corrigé

1. Indiquez les obligations de « Plan de travail » concernant les données saisies sur le
formulaire « demande de renseignements » par les visiteurs de son site web.
Il faut consulter la norme simplifiée n° 48 concernant les fichiers clients-prospects et vente en
ligne http://www.cnil.fr/en-savoir-plus/deliberations/deliberation/delib/184/ ou
http://www.‌ch1.‌fr/wp-content/uploads/2011/10/declaration-cnil.pdf.
• Les fichiers doivent être déclarés à la Cnil.
• La finalité des traitements doit être définie précisément et les données collectées conformes à
cette finalité.
• La durée de conservation des données doit être conforme à l’utilisation prévue (ici un an s’il n’y
a pas de suite à la demande de devis).
• Les personnes doivent être informées de leurs droits (accès, opposition, rectification).

2. Préciser les mentions à faire apparaître sur ce formulaire.


On doit faire apparaître sur le formulaire que conformément à la loi Informatique et liberté la per-
sonne qui saisit ses coordonnées dispose :
• d’un droit d’accès ;
• d’un droit de rectification ou d’opposition des données la concernant.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

60
4

partie
Les progiciels de gestion

I. Vision conceptuelle
Le terme progiciel vient de la contraction des deux mots produit et logiciel.
Historiquement, c’est un informaticien, Jean-Erick Forge, qui a créé ce néologisme en le définis-
sant comme un « ensemble fini et défini comprenant un ou plusieurs programmes, la documen-
tation et les conditions de support, conçu pour la réalisation d’une ou plusieurs fonctions définies
et qu’un utilisateur peut acheter avec une garantie du vendeur ».
En janvier 1974, le Journal officiel10 propose11 la définition suivante : « ensemble comprenant un
programme, les jeux d’essais, la documentation correspondante et susceptible d’être fourni à
plusieurs utilisateurs ».
En synthèse, un progiciel est :
• un logiciel : un ensemble de programmes informatiques destiné à traiter une tâche ou plu-
sieurs tâches connexes ;
• commercial12 : un produit complet et fini mis en vente par un éditeur (son fabricant) à destina-
tion des clients potentiels qui recherchent les services assurés par le produit ;
• documenté : la documentation doit être suffisante pour que l’on puisse utiliser le progiciel sans
l’aide de l’éditeur ;
• garanti : en cas de dysfonctionnement ou de panne avérée dans le cadre d’une utilisation nor-
male (spécifiée lors de la vente) et en l’absence de faute de l’utilisateur, l’éditeur doit « réparer »
son produit ou indiquer un moyen acceptable par le client de régler le problème ;
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

• fourni avec des jeux d’essais : un jeu d’essai est un ensemble de données permettant de tester
le logiciel en exploitation. Les progiciels se sont beaucoup fiabilisés et les jeux d’essais ne sont
plus aujourd’hui aussi nécessaires qu’en 1974, année de la publication de la définition au jour-
nal officiel. Non seulement des jeux d’essais ne sont pas fournis avec tous les progiciels mais
lorsqu’ils sont présents, ils sont souvent plus des cas démonstratifs ou pédagogiques que de
vrais jeux d’essai permettant d’effectuer des tests.
À ces différents éléments structurels s’ajoute presque systématiquement une infrastructure sup-
port avec typiquement :
• des ressources techniques à destination des utilisateurs : aujourd’hui, il s’agit presque tou-
jours d’un site Web avec des documents en ligne et une FAQ13 synthétique ;
• des mises à jour : le téléchargement Web est devenu le standard ;
• une assistance en temps réelle :
–– multimode,
–– directe (déplacement d’un technicien), téléphonique, Internet (e-mail et assimilé),
–– multiniveau ;
• installation, utilisation et évolution.

10. J.O., décret numéro 72-19 du 7 janvier 1972 relatif à l’enrichissement de la langue française.
11. Cette définition n’est pas contraignante. Elle entre dans le cadre de « l’enrichissement de la langue
française ».
12. Des logiciels libres (type Open Software Fondation) peuvent être assimilés à des progiciels. Le logiciel
est gratuit mais sa maintenance, assurée par des entreprises commerciales, est payante.
13. FAQ : Frequently Asked Questions une compilation rédigée des questions les plus fréquemment posées.

201181TDPA0413 61
Systèmes d’information de gestion • Série 4

Tous ces services après-vente peuvent être soit compris dans le prix d’acquisition, soit facturés
sous forme de forfaits, d’abonnements ou de paiements à l’acte.
Le progiciel s’oppose aux logiciels « spécifiques », développés sur mesure pour une entreprise.
Les progiciels utilisés par les entreprises vont permettre d’optimiser et faciliter la gestion de plu-
sieurs fonctions de l’organisation14 :
• CRM : Customer Relationship Management (GRC : Gestion de la relation client) qui regroupe
tous les outils capables d’intégrer les clients au sein du système d’information de l’entreprise.
• SCM : Supply Chain Management (GCL : Gestion de la chaîne logistique) regroupant l’ensemble
des outils qui permettent d’intégrer les fournisseurs au système d’information de l’entreprise.
• RH : Gestion des ressources humaines.
Les logiciels comptables (comptabilités générale, analytique, budgétaire) et financiers sont eux
transversaux et participent à l’ensemble de l’activité de l’entreprise.

A. Découpage fonctionnel et métier


Les progiciels de gestion sont généralement répartis en deux catégories principales : les progi-
ciels horizontaux et les progiciels verticaux.

Progiciels horizontaux : découpage par fonction


Les progiciels horizontaux sont des logiciels standards utilisables par une entreprise quel que
soit son secteur d’activité.
Ainsi, l’outil offre une gamme de services et de produits identiques à toutes les entreprises dans
les domaines de la gestion des ressources humaines, la comptabilité générale ou la gestion des
immobilisations.

Progiciels verticaux : découpage par profession


Les progiciels verticaux développent des solutions informatiques spécifiques aux activités de
l’entreprise.
En raison de la diversité des secteurs d’activité (BTP, prestation de services, grande distribu-

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
tion…) et des métiers particuliers dans un secteur d’activité (métier de la santé : cliniques, hôpi-
taux, maisons de santé ; métiers du conseil, profession comptable, etc.), les outils proposés
vont permettre une offre adaptée et adéquate aux besoins spécifiques des entreprises.
Dans un premier temps, l’offre de progiciels s’est développée autour des applications de la rela-
tion client (outils de CRM) et de la relation fournisseur (outils de SCM). Désormais, elle s’oriente
vers des fonctions métiers plus techniques dans le cadre d’une approche plus adaptée au mar-
ché des PME/PMI.

B. Une vision stratégique


L’informatique est désormais présente dans l’ensemble des départements de l’entreprise, de la
production à la comptabilité, en passant par le service des ressources humaines. Il faut noter
que le périmètre de l’entreprise a évolué. Le terme d’entreprise étendue est ainsi souvent
employé afin d’incorporer l’ensemble des partenaires de l’entreprise (clients, fournisseurs et
autres acteurs qui échangent des informations avec elle).
Il est indispensable de comprendre l’enjeu de la mise en place de solutions CRM ou SCM avec
cette vision d’entreprise étendue. Elle ne se réduit pas à simplement installer un logiciel ad hoc.
Elle nécessite d’engager une réflexion sur les changements de l’organisation nécessaires et
souhaitables pour profiter pleinement de ces nouveaux outils. Il s’agit d’un processus global qui
pourra remettre en question l’organisation interne et se traduire par des modifications au niveau
structurel mais aussi par des redéfinitions des compétences et des comportements.

14. Ces outils seront développés dans les sections suivantes.

62
UE 118 • Systèmes d’information de gestion

Le système d’information doit prendre en compte l’ensemble des flux d’informations internes et
externes de l’entreprise. Cette règle nouvelle peut s’appliquer à l’occasion de la mise en place
ou de l’évolution des progiciels de la chaîne de gestion.
Il peut être nécessaire de mettre en place un projet global d’évolution de l’organisation pour réussir
cette ouverture et retirer le bénéfice maximal que permet cette informatique plus communicante. Ce
peut être aussi nécessaire pour simplement éviter des dysfonctionnements ou même des rejets.

II. Première approche du noyau de la chaîne de gestion

A. Logiciel comptable
La comptabilité consiste à recueillir et recenser les opérations, l’activité et le patrimoine d’une
organisation (entreprise, administration, association, établissement public…).
Après la facturation, les outils comptables ont été les premiers à être automatisés avec l’informatique.
Le marché des progiciels comptables est fortement modifié par la concentration en cours du
marché des éditeurs de progiciels de gestion. Parmi les principales opérations, on peut citer le
rachat de CCMX par Cegid, celui d’Adonix par Sage, ou encore celui de Geac par Infor. Les
éditeurs d’ERP ayant une forte connotation comptable sont également concernés, en France
comme à l’étranger : preuve en sont les rachats de Peoplesoft et J.D. Edwards par Oracle, de
Navision par Microsoft, d’Adonix par Sage ou encore d’Intentia par Lawson.
Les composantes et les fonctionnalités d’une comptabilité sont nombreuses :
• Paramétrages : multisociétés ou multiétablissements, gestion de plusieurs plans de comptes
(pour les groupes utilisant différents référentiels comptables), saisies en devises, etc.
• Saisies et contrôles comptables : mise en place de procédure de validation des écritures,
gestion des droits, schémas types d’écriture, qualités de plus en plus ergonomiques, etc.
• Traitements : TVA (sur les débits ou sur les encaissements), fonctions de lettrage, effets (en
portefeuille, escomptés, à l’encaissement), règlements (BO, LCR, virements, etc.), gestion des
relances clients.
• Comptabilité analytique : mise en place de la méthode de coûts, méthodes spécialisées
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

(ABC par exemple), mode de regroupement, etc.


• Comptabilité budgétaire : aide à l’élaboration, budgets analytiques, prévisions, contrôles
budgétaires, etc.
• Processus connexes : assistance à l’audit des comptes, outils de recherche, workflow, ges-
tion des immobilisations, gestion de trésorerie, etc.

B. Gestion de la trésorerie
La trésorerie est un flux plus que stratégique pour toutes les organisations ; il est vital. Une entre-
prise bénéficiaire peut être mise en faillite si, par manque de trésorerie, elle ne peut faire face à
ses échéances.
La capacité de développement d’une activité nécessite un suivi rigoureux et précis des disponi-
bilités financières. La gestion de trésorerie impose une maîtrise à la fois des besoins et des
surplus de liquidités. Elle concerne tous les types d’organisations, associations, collectivités
locales, établissements publics…
Les progiciels de gestion de trésorerie proposent les fonctionnalités suivantes :
• Gestion des flux financiers et des liquidités.
• Gestion des transactions financières.
• Gestion des instruments de change.
• Gestion des risques.
• Gestion budgétaire et gestion des prévisions.
• Gestion des paiements (Swift, etc.).

201181TDPA0413 63
Systèmes d’information de gestion • Série 4

Schéma 1 : Les traitements liés à la trésorerie

Cash Management

Système
comptable
Outils de Outils spécifiques,
rapprochement Excel...

Gestion des
règlements

Gestion
d’instruments Pricing

C. Gestion de cabinet
Plusieurs progiciels proposent aux professions libérales des applications informatiques adap-
tées à la gestion de leur métier. On peut citer par exemple Lawyer’it pour les avocats, Topaze
pour les professions paramédicales, 3SI pour les laboratoires d’analyse en biologie médicale.
Les cabinets d’experts-comptables possèdent également leurs progiciels de gestion de cabinet
dédié. Gestisoft de l’éditeur Sage est un bon exemple de ce type de produit. Ils permettent une
gestion continue de leur activité depuis la lettre de mission jusqu’à la facturation. Aussi bien le
suivi quotidien de l’activité que le pilotage du cabinet peuvent être optimisés :
• Suivi de l’avancement de chaque dossier grâce à une gestion dynamique des feuilles de temps
des collaborateurs et des événements.
• Assistance dans l’ensemble des travaux de facturation selon le tarif au temps passé ou au

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
forfait.
• Développement d’indicateurs de gestion qui permettent :
–– de suivre l’activité globale du cabinet ;
–– et de gérer la relation client, trésorerie, encours client, règlements, relances à effectuer…
• Outil de communication et de partage : gestion des rendez-vous, tenue d’un planning général,
suivi de mission…

D. Utilisation effective des logiciels de gestion de la comptabilité,


de la trésorerie et du cabinet
Si le marché des progiciels de gestion se développe fortement en fournissant les moteurs de
systèmes d’information de plus en plus pointus et complexes, il existe un risque que les entre-
prises utilisatrices ne soient pas en mesure de maîtriser ces nouveaux outils.
De nouvelles compétences nécessaires dans les entreprises pour assurer la maîtrise des fonc-
tionnalités complexes offertes par les progiciels de dernière génération.
Le critère pertinent à mesurer sera celui de l’utilisation effective, c’est-à-dire la capacité de
l’entreprise à gérer de façon optimale et adaptée son système d’information en s’appuyant sur
ces nouveaux outils. Cette problématique a trois axes :
• Analyser les apports potentiels des outils et leur adéquation avec les objectifs de l’entreprise.
• Permettre la synchronisation des nouvelles procédures avec la mise en place d’une organisa-
tion adaptée.
• Former et motiver l’ensemble des acteurs de l’entreprise afin qu’ils puissent s’approprier ces
nouveaux outils.

64
UE 118 • Systèmes d’information de gestion

La partie 4 consacrée aux logiciels « métiers » présentera en détail l’utilisation pratique de plu-
sieurs logiciels comptables (logiciel de tenue comptable et de présentation des états financiers,
logiciel d’immobilisations, logiciel de trésorerie et logiciel de tenue de cabinet).

III. Logiciel de paie et gestion des ressources humaines


Il existe sur le marché plusieurs applications informatiques permettant aux départements des
ressources humaines de gérer l’ensemble de leurs activités de paie et de gestion des ressources
humaines. Un des plus connus est certainement celui de Cegid : Business Place GRH.

A. Gestion de la paie
Concernant la gestion de la paie, les applications proposées sont multiples :
• Optimisation de la gestion et la recherche des données avec la création de fiche salarié
sous forme d’onglets classés par thème et l’utilisation d’un bloc-notes salarié permettant de
stocker tous les documents nécessaires (contrat de travail ou lettre de mission, feuille de
calcul des frais de déplacement, photo du salarié, texte brut, etc.).
• Calcul de la paie de manière productive et sécurisée en permettant d’adapter la saisie des
bulletins selon l’organisation de l’entreprise. Les différents modes de saisie peuvent être :
–– par salarié : saisie classique salarié par salarié ;
–– préparation automatique : recalcule automatique des bulletins à l’image du mois précédent ;
–– par rubrique : qui permet une saisie en masse des rubriques de paie dans un masque de
saisie paramétrable ;
–– déclarations automatisées (DUCS : Déclaration unifiée des cotisations sociales, DADS :
Déclaration annuelle des données sociales).
• Gestion, stockage et analyse des absences : module qui permet de saisir différentes
absences des salariés en paramétrant les motifs d’absences afin de les adapter à l’entreprise
(RTT, congés formation, maladie, parentale, etc.).
–– La valorisation et le décompte des absences sont ensuite repris automatiquement dans le
bulletin de paie.
–– Possibilité de réaliser une analyse par salarié ou par type d’absence sur une période choisie.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

B. Gestion des ressources humaines


Parmi les différentes applications possibles :
• Gestion globale et intégrée des ressources humaines : extraction et analyse des données
personnalisables par l’utilisation de listes multicritères (historique de paie, absences, fiches
salariés).
• Automatisation de la gestion administrative des salariés : ce module permet la réalisation de
plusieurs déclarations et attestations obligatoires (DUE : Déclaration unique d’embauche,
attestation maladie, attestation Assedic, solde de tout compte, etc.).

IV. Logiciel de facturation et gestion


de la relation client (CRM/‌GRC)

A. Définition et objectifs
La Gestion de la relation client (GRC, en anglais CRM pour Customer Relationship Management)
vise à proposer des solutions technologiques permettant à l’entreprise d’individualiser et d’amé-
liorer la relation avec ses clients.

201181TDPA0413 65
Systèmes d’information de gestion • Série 4

Cette recherche d’optimisation de la relation client est engagée autour de trois principaux objectifs :
• Développer la fidélisation du client en apportant un niveau de service optimum. Toutes
les informations concernant l’historique des transactions pourront être stockées et fourniront
à l’entreprise des renseignements pertinents afin de mettre en place une approche personna-
lisée adaptée.
• Accroître l’efficacité et réduire les coûts des outils du marketing. Le CRM va permettre
l’analyse des nombreuses données récoltées afin de mieux comprendre les comportements
des clients, d’identifier des prospects et de permettre le développement d’actions commer-
ciales plus efficaces.
• Individualiser l’offre de service. Les données traitées par le CRM vont permettre de personna-
liser la relation avec le client par une proximité plus forte dans l’analyse de ses besoins et attentes.
Ainsi, la gestion de la relation client a pour ambition de donner à l’entreprise les outils néces-
saires pour conquérir de nouveaux clients, fidéliser les clients actuels et pouvoir anticiper leur
demande. Il s’agit pour l’entreprise d’être plus à l’écoute de son client pour mieux le connaître et
lui apporter une offre individualisée dans une approche de fidélisation.

B. Gestion commerciale de base


(centrée facturation et règlements clients)
Les outils de CRM vont pouvoir être utilisés à toutes les étapes de la relation de vente et vont
concerner plusieurs départements de l’entreprise :
• La prospection et le département marketing. Le traitement et l’analyse des données récoltées
sur le client permettent d’engager une réflexion sur la gamme des produits et d’apporter une
réponse plus juste de ses attentes. L’automatisation des campagnes marketing pourra être
prise en charge par l’Enterprise Marketing Automation (EMA).
• Les ventes avec l’automatisation des forces de ventes (Sales Force Automation : SFA) qui
consiste à doter les commerciaux d’outils de pilotage leur permettant une meilleure assistance
dans leurs démarches commerciales (gestion des prises de contact et des rendez-vous, des
relances, préparation des propositions commerciales, etc.).
• La gestion du service clientèle qui va pouvoir s’appuyer sur l’ensemble de la base de données,
notamment sur l’historique de la relation et des échanges réalisés avec l’entreprise.
• L’après-vente, en lui permettant de fournir une assistance au client, notamment par la mise en

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
place de centres d’appel (nommés généralement Call centers, Help Desk ou Hot-Line).
L’entreprise pourra également utiliser les informations traitées par le CRM dans le cadre de
l’émission de ses factures en utilisant des logiciels de facturation capable :
• de gérer automatiquement la planification de devis, de commandes et livraisons ;
• de suivre les encaissements, les relances et la gestion du stock ;
• de générer la création de documents nécessaires à la comptabilité (listes TVA et clients) ;
• d’assurer la gestion du portefeuille clients ;
• de permettre d’établir les factures (e-billing qui permet la dématérialisation des factures) ;
• d’importer et d’exporter les données vers d’autres logiciels.

C. Les CRM/GRC
Les outils informatiques de CRM proposent généralement trois fonctions orientées autour des
activités de l’entreprise : marketing, commercial et service clients :
• Automatisation des activités de marketing (Enterprise Marketing Automation : EMA) qui va
permettre de planifier et d’automatiser les actions de prospection et de fidélisation. Les outils
de EMA sont programmés pour générer une action individualisée lors de la survenance d’un
événement (envoi de courrier promotionnel suite à un abonnement, relance par téléphone
après le lancement d’une action commerciale, etc.).
• Automatisation du suivi commercial du client (Sales Force Automation : SFA) qui dote les
commerciaux d’une information complète et pertinente sur leurs clients.
• Développement du support du service client (Client Service Support : CSS) en permettant
une plus grande qualité dans ce service apporté au client.

66
UE 118 • Systèmes d’information de gestion

Il faut également ajouter aux outils de CRM la possibilité d’intégrer un module analytique qui va
permettre à l’entreprise d’utiliser sa base de données dans le cadre du développement de
modèles spécifiques, notamment les segmentations client.
Le marché du CRM s’est fortement développé vers la fin des années 1990 et la croissance est
depuis restée constante. En plus des éditeurs dédiés à la gestion de la relation client, ce domaine
est investi par les grands éditeurs d’ERP qui le traitent comme un sous-produit.
Les résultats de l’étude réalisée en 2003 par le Gartner Group sur le marché global des outils
CRM donnent les informations suivantes : le progiciel SAP représente 14,6 % de parts de mar-
ché, Siebel 14,2 %, Peoplesoft 3,5 %, Oracle 3,5 % et Microsoft 2,8 %. En 2006, on recense en
France et au Québec près de 200 progiciels de CRM à la disposition des entreprises.

V. Gestion des fonctions achat

A. Gestion des achats


La gestion des achats prend de plus en plus une forte dimension stratégique pour l’entreprise.
Pierre Lombard, directeur E-business de Benchmark Group15, nous donne l’exemple des achats
dans le secteur automobile représente 75 % du prix d’un véhicule.
Le rôle de la fonction achat est d’optimiser et de sécuriser la continuité et la fiabilité des flux
d’achats tout au long du processus de constitution du produit, c’est-à-dire de sa conception à
sa livraison par le client.
La fonction achat a essentiellement deux objectifs :
• Assurer la fiabilité des fournisseurs.
• Obtenir les meilleures conditions de vente.

B. Gestion des stocks


Le principe de la gestion du stock par informatique est d’automatiser toutes les phases de la
gestion des stocks. Cette automatisation permet d’avoir à jour, en temps réel, l’état des stocks
et de permettre de préparer une commande instantanément.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

C. Gestion des approvisionnements

Du mode traditionnel aux nouvelles techniques


La gestion des approvisionnements a pour objectif de limiter les stocks en assurant un excellent
taux de service, afin d’optimiser l’efficacité de la chaîne logistique.
Jusqu’à la fin des années 1980, les approvisionnements dépendaient de la décision d’un res-
ponsable qui évaluait plus ou moins rationnellement les quantités et les dates des achats.
L’informatique et la globalisation des réseaux ont complètement changé cela. À partir des infor-
mations sur les besoins de l’entreprise et des disponibilités et capacités des fournisseurs, des
logiciels peuvent rationaliser et optimiser les achats.
Cette optimisation de la chaîne logistique peut être réalisée à partir de plusieurs techniques :

1. La Commande assistée par ordinateur (CAO)


Il s’agit d’un outil de calcul automatique de commande qui s’alimente à partir des données de
vente récoltées directement en magasin ou lors des sorties de produits de l’entrepôt et qui prend
en compte plusieurs paramètres de réapprovisionnement prédéfinis (stock de sécurité, saison-
nalité, fréquence de calcul, etc.).

15. Lombard, Pierre (2003), Gestion des achats sur Internet : encore balbutiante, www.journaldunet.com,
11 mars 2003.

201181TDPA0413 67
Systèmes d’information de gestion • Série 4

Les avantages peuvent être nombreux :


• Réduction des coûts de stockage sur l’ensemble de la chaîne d’approvisionnement.
• Diminution des taux de rupture en linéaire.
• Diminution des coûts et erreurs liés au traitement des commandes.
• Réduction des litiges commerciaux.
• Gain de temps conséquent pour ceux qui passent les commandes, typiquement des chefs de
rayon.

2. Le cross-docking (transbordement)
C’est un outil qui recherche la réduction des stocks en conciliant la disponibilité du produit pour
les clients et l’absence de stock dans l’entreprise de distribution. Le principe est de transférer les
marchandises directement du quai de livraison au quai de départ (grossiste, distributeur par
livraison) ou aux linéaires (distributeur magasin).
Cette approche fonctionne grâce à un allotissement (opération consistant à partager une mar-
chandise en plusieurs lots) effectué soit par l’industriel (pré-allotissement, pre-packed cross-
docking), soit par le distributeur (intermediate handling cross-docking) associé à un planning
adéquat.
Le logiciel permet de prévoir ou de déclencher les livraisons des fournisseurs pour qu’elles
soient synchronisées avec les opérations de distribution de l’entreprise.
Le cross docking offre de nombreux avantages :
• Réduction des stocks.
• Réduction du nombre de points de stockage dans l’ensemble de la chaîne d’approvisionne-
ment.
• Augmentation de la durée de vie du produit en linéaire.
• Augmentation de la disponibilité du produit.
Comparé aux autres techniques, on obtient en moyenne un gain de 20 % sur la durée de stoc-
kage d’un produit sur toute la chaîne.

3. La Gestion partagée des approvisionnements (GPA)

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
La gestion des approvisionnements du distributeur est transférée à l’industriel grâce à un pro-
cessus partagé. Un contrat de coopération, établi entre le distributeur et l’industriel, définit des
règles de gestion permettant d’approvisionner les entrepôts et les magasins.
Cette démarche possède plusieurs avantages :
• Réduction des stocks.
• Optimisation du remplissage du camion et donc réduction des coûts de transport.
• Anticipation des flux produits (production et logistique).
• Réduction des ruptures en entrepôts et en magasins.
Le cross-docking et la GPA sont les principales composantes de l’ECR (Efficient Consumer
Response ou efficacité et réactivité au service du consommateur).
L’ECR est une technique innovante mais délicate qui a été mise au point aux États-Unis à la fin
des années 1980 par le géant de la grande distribution Wall Mart et l’industriel Procter & Gamble
qui en ont retiré un avantage stratégique définitif et des bénéfices records. On estime qu’actuel-
lement 85 % des produits vendus par Wall Mart utilisent le cross-docking et la GPA. Le fournis-
seur est le plus souvent responsable de l’alimentation du rayon avec un système de pénalités en
cas de rupture de la disponibilité pour le client final.

D. Les déclinaisons de l’e-procurement


L’e-procurement (pour Electronic Procurement ou, en français : « fourniture électronique ») défi-
nit la gestion électronique des approvisionnements en recherchant l’automatisation des com-
mandes et des transactions.

68
UE 118 • Systèmes d’information de gestion

Il est donc intégré dans la fonction achat qui va des actions de sélection des fournisseurs
(e-sourcing16 : approvisionnement électronique) en amont au passage et suivi des commandes
(e-procurement) en aval.
Dans la démarche du e-procurement, les commandes sont effectuées électroniquement à partir
de catalogues en ligne appartenant à l’entreprise ou accessible sur le site Web des fournisseurs
(catalogues privés négociés lors du e-sourcing). Il s’agit d’une catégorie de commerce électro-
nique en mode B2B (Business to Business, d’entreprise à entreprise) qui présente plusieurs
avantages :
• Gestion globale de structures de services, de centres de coûts et des budgets.
• Sécurisation des procédures d’autorisation qui peuvent être facilement et librement mises en
place.
• Actualisation des données par l’existence de catalogues multifournisseurs qui permettent l’in-
tégration de nouveaux partenaires.
• Gestion complète des contrats.
• Amélioration de la qualité de l’information qui limite fortement les achats pirates ou les « mau-
vais » achats (contrôle interne : plus grande transparence entre l’acheteur et sa direction).
En pratique, l’utilisateur se connecte à partir du réseau interne ou Internet sur une plate-forme
électronique et consulte le catalogue d’articles. Après sélection, il commande les articles souhai-
tés et devra faire l’objet d’une validation interne selon le processus mis en place. La commande
est ensuite envoyée au fournisseur pour action.
Ainsi, l’e-procurement permet et simplifie la gestion électronique et centralisée de l’ensemble du
processus d’achat : demande de devis, établissement de bons de commande et facturation.
L’entreprise pourra raccourcir les délais de commande et de livraison et réduire ses coûts tout
en améliorant sa maîtrise des achats.

Schéma 2 : Fonctionnalités de l’outil d’e-procurement


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Cigref, cité dans Pascal Vidal et Philippe Planeix (2005).

16. L’e-sourcing a pour objectif d’optimiser l’amont de l’achat par la standardisation et l’automatisation de
la recherche, la sélection et la négociation avec les fournisseurs.

201181TDPA0413 69
Systèmes d’information de gestion • Série 4

E. Le prolongement de la fonction achat : la gestion de la chaîne


logistique : Supply Chain Management (SCM)
La chaîne logistique correspond à l’ensemble des éléments nécessaires à la logistique d’appro-
visionnement : achats, approvisionnement, gestion des stocks, transport, manutention. Il faut la
considérer de manière globale, c’est-à-dire en l’appréhendant à la fois au sein de l’entreprise
mais aussi en intégrant l’ensemble des fournisseurs et de leurs sous-traitants.

Schéma 3 : La chaîne logistique

Approvisionnement Approvisionnement

CLIENT CLIENT ENTREPRISE Production

Livraison Livraison

Approvisionnement Livraison

FOURNISSEUR Production

Approvisionnement Livraison

FOURNISSEUR Production

La Gestion de la chaîne logistique (GCL, en anglais Supply Chain Management : SCM) a pour
objectif de mettre en place des outils et méthodes afin de gérer les flux et les processus d’appro-
visionnement en les intégrant dans un processus global. Gérer la chaîne logistique, c’est ainsi
fluidifier les flux en cherchant à optimiser les coûts (coûts de possession des stocks, coûts
d’acheminement et coûts de rupture).
Ces outils et méthodes, permettant d’améliorer et d’automatiser l’approvisionnement tout en
réduisant les stocks et les délais de livraison, doivent s’appuyer sur plusieurs informations pré-
cises concernant les capacités de production de l’entreprise. Ces outils de SCM doivent per-

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
mettre de suivre le processus physique de cheminement des matières (notion de traçabilité) à
toutes les étapes du processus entre les différents acteurs de la chaîne logistique.
Il existe trois catégories de flux :
• Les flux de marchandises (allant de l’amont vers l’aval).
• Les flux financiers (allant de l’aval vers l’amont).
• Les flux d’information qui vont :
–– de l’amont vers l’aval en suivant les flux physiques ;
–– de l’aval vers l’amont en rapportant des données du côté du consommateur.

70
UE 118 • Systèmes d’information de gestion

Schéma 4
Anticiper l’ensemble des flux physiques de l’entreprise

Approvisionnement

Génération des
approvisionnements
en fonction
de la demande

Stocks

Demande Gestion physique


du stockage
Anticipation
de la demande Supply Chain Optimisation
Management transports
Optimisation de la
prévision de vente Optimisation
circuit de
distribution

Fabrication

Génération du plan
directeur de
production

Organisation de
flux de production

Pascal Vidal et Philippe Planeix, 2005.

Une récente étude réalisée, essentiellement en Asie et en Europe, par la société de service infor-
matique américaine Computer Sciences Corporation (CSC), dans son indice annuel 2006 sur la
SCM, montre que les projets d’amélioration des processus de gestion de la chaîne logistique
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

semblent s’essouffler sur l’année. Cette enquête a été adressée à 134 groupes industriels, dans
21 secteurs d’activité.
Les raisons de cette faiblesse proviendraient d’un décalage entre la démarche logistique et la
stratégie d’entreprise, le manque de vision et d’engagement de la direction générale, ainsi que
des difficultés à collaborer et à partager les meilleures pratiques.
Concernant l’utilisation effective et optimale des outils de SCM, 50 % de l’échantillon se situe
aux niveaux 1 et 2 sur une échelle de performance allant de 1 à 5.
Dans la recherche de solution afin d’optimiser le processus de SCM, les sociétés sondées
évoquent les progiciels de gestion intégrés, les systèmes de gestion d’entrepôts, la messagerie
électronique, ou encore les dispositifs de planification et d’ordonnancement des flux logistiques.
Il faut noter que les outils de gestion des approvisionnements (ou e-procurement) sont faible-
ment plébiscités.

201181TDPA0413 71
Systèmes d’information de gestion • Série 4

Schéma 5 : Fonctions utilisées pour améliorer les performances de la SCM


Messagerie électronique – EDI, XML 46 %

RFID/solutions de traçabilité 15 %

Système « just-in-time » basé sur kanbans 27 %

Système de management des transports 34 %

Système de gestion d’entrepôts 47 %

Analyse des dépenses et de la performance des fournisseurs 30 %

Outil de gestion de la relation fournisseurs 18 %

Outil de gestion de la relation clients 29 %

Système de gestion des politiques de planification 44 %

Système de gestion des événements de la chaîne logistique 13 %

SOA 8 %

CPRF 11 %

PLM 18 %

Système de planification et d’ordonnancement 40 %

E-procurement et externalisation informatisée 17,04 %

ERP 69 %

SCS 2006, cité dans Antoine CROCHET-DAMAIS (2006), Gestion de la chaîne logistique : les industriels
s’estiment peu performants, JDN Solutions, www.journaldunet.com, 25 octobre 2006.

VI. Entreprise resource planning (ERP)

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
ou progiciel de gestion intégré (PGI)

A. Définition
Michel Chokron définit le Progiciel de gestion intégré (PGI, en anglais ERP : Enterprise Resource
Planning) : comme « un logiciel qui couvre l’ensemble ou une partie des processus d’affaires
d’une entreprise ». Ce progiciel peut être offert aux entreprises dans son intégralité ou par
domaines fonctionnels. Il est conçu autour « d’un noyau dur de paramètres et de données com-
mun à toutes les fonctionnalités ».
Les principes de base d’un ERP sont :
• de développer des applications informatiques (comptabilité, gestion des stocks, paie, etc.) à
partir de modules indépendants entre eux dans le cadre d’une base de données unique et
commune ;
• d’utiliser un moteur workflow qui permet de propager une donnée entrante au sein du système
d’information dans tous les modules du système qui nécessitent son utilisation selon une pro-
grammation préalable.
Ainsi, un ERP peut être défini comme un « système d’information composé de plusieurs applica-
tions partageant une seule et même base de données, par le biais d’un système automatisé
prédéfini éventuellement paramétrable (un moteur de workflow)17 ».

17. Source : www.wikipedia.com.

72
UE 118 • Systèmes d’information de gestion

B. Les PGI dans les grandes entreprises


Le marché français des progiciels de gestion intégrés est dominé essentiellement par SAP,
PeopleSoft et Oracle qui se focalisent sur les grands comptes :
• Le leader mondial SAP se démarque par ses capacités d’intégration en milieu hétérogène grâce
à sa plate-forme Netweaver et se positionne essentiellement dans le secteur manufacturier.
• PeopleSoft, qui a racheté J.D. Edwards, se développe également dans le secteur manufactu-
rier, alors qu’il était présent dans le secteur des services.
• Oracle développe le domaine de la gestion des données (data management). Historiquement,
il est présent dans le secteur des services financiers et des produits de consommation.
Concernant les éditeurs essentiellement orientés PME/PMI (Adonix, Cegid, Generix, Interlogiciel,
Qualiac et Sage), leur couverture fonctionnelle offre une gamme moins large. Par exemple, Generix
et Qualiac n’intègrent pas le module de gestion des ressources humaines ; Cegid et Interlogiciel ne
couvrent que partiellement la gestion logistique ou les outils de CRM/SFA (Sales Force Automation).

Schéma 6
Grands comptes Middle market Open Source
Intentia Adonix Compiere
Oracle Cegid ERP5
PeopleSoft/J.D. Edwards Geac OFBiz
SAP Generix Value ERP
Interlogiciel
Navision (Microsoft)
Qualiac
Sage

JDN Solutions (2004), « Appréhender l’Enterprise Resource Planning ». Questions-clés, définitions, liens utiles, acteurs,
chiffres et citations : l’essentiel de ce qu’il faut savoir en un coup d’œil, www.journaldunet.com, 15 juillet 2004.

Schéma 7
Gestion
Gestion Gestion Gestion
Solution comptable Logistique
des RH/paie de production des entrepôts
et financière
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Adonix X X X X X
Cegid X X X X X
Generix X – – X X
Interlogiciel X partiel X X partiel
Oracle X X X X X
PeopleSoft X X X X X
Qualiac X – X X X
Sage X X partiel – –
SAP X X X X X

Gestion Gestion Gestion


Solution CRM/SFA Décisionnel
des achats commerciale de projet/collab.
Adonix X X X – –
Cegid X X X partiel partiel
Generix X X partiel – –
Interlogiciel X X partiel – –
Oracle X X X X X
PeopleSoft X X X X X
Qualiac X X partiel partiel –
Sage X X X partiel –
SAP X X X X X
Note : Faute d’informations fiables, Microsoft ne figure pas dans ce tableau.
Fabrice Deblock, Panorama des principaux ERP présents en France,
JDN Solutions, www.journaldunet.com, 11 juin 2004.

201181TDPA0413 73
Systèmes d’information de gestion • Série 4

Quelques chiffres clés18 :


• 36 milliards de dollars : marché mondial estimé des ERP pour 2008. En 2004, il représente
26,7 milliards.
• – 20 % : baisse enregistrée en 2003 des revenus des licences des éditeurs ERP sur le marché
français.
• 1,7 milliard de dollars : prix du rachat de J.D. Edwards par PeopleSoft.

C. Développement au sein des PME


Maryse Gros19 explique que, depuis plusieurs années, les Progiciels de gestion intégrés (PGI) ne
sont plus uniquement réservés aux grandes entreprises. L’offre s’étend désormais également
aux PME qui ont le choix entre une large gamme de solutions adaptées à leur budget et à leur
besoin de mise en place rapide (en deux ou trois mois pour les cas les plus courts). De plus, les
fournisseurs d’ERP développent également des applications verticales, prenant en compte les
spécificités des métiers.
Cependant, cette simplification d’accès ne doit occulter l’enjeu fort et risqué de la mise en place
d’un ERP. La PME devra engager une réflexion sur les adaptations nécessaires de son organisa-
tion en raison de l’impact dans son nouveau système d’information.
Selon une enquête réalisée par le cabinet d’étude IDC France à partir d’un échantillon de 300
PME parmi les 14 290 entreprises de 100 à 2 000 salariés, il apparaît qu’un peu plus de 1 100
PME françaises prévoient en 2006 d’acheter un progiciel intégré afin de gérer leurs activités
comptables, administratives, commerciales ou de production.

D. Les difficultés et risques liés à la mise en place d’un PGI


Comme nous l’avons expliqué, le choix de l’utilisation d’un ERP n’est pas sans risque. L’entreprise
doit impérativement gérer la mise en place dans le cadre d’une gestion de projet ou de conduite
de changement en engageant l’ensemble des acteurs de l’entreprise dans le processus.
Parmi les principales difficultés et risques à surmonter, nous pouvons identifier les points
suivants :
• Coûts parfois élevés (qui doivent prendre en compte également les frais de formation des

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
utilisateurs).
• Le périmètre fonctionnel est souvent plus large que les besoins de l’entreprise.
• Risque de sous-utilisation du progiciel (coût de la non-utilisation effective ou de la mauvaise
utilisation).
• Rigidité et lourdeur de certaines applications (surtout dans le cas d’une mauvaise utilisation).
• Difficultés liées à une appropriation longue et difficile des utilisateurs (d’où l’importance à la
fois du diagnostic initial et de l’adéquation des formations avec les objectifs et besoins de
l’entreprise).
• Importance d’une maîtrise des processus de l’entreprise afin de prendre en compte les traite-
ments spécifiques au niveau du paramétrage.
• Nécessité de mettre en place un service de maintenance continu.
• Dépendance vis-à-vis de l’éditeur en raison des lourdeurs et difficultés de changer de solution
informatique.
Il faut noter l’existence récente de plusieurs ERP libres qui permettent de réduire les inconvé-
nients de coût de rigidité et de dépendance à l’éditeur. De plus, l’utilisation de formats ouverts
rend plus facile les échanges de données à la fois en interne et vers l’extérieur.

18. Source : JDN solutions, www.journaldunet.com.


19. Gros Maryse, Maîtriser sa chaîne de gestion de bout en bout, www.lemondeinformatique.fr,
26 mai 2006.

74
UE 118 • Systèmes d’information de gestion

E. Atouts et limites de l’utilisation d’un PGI


Les progiciels de gestion intégrés proposent de multiples avantages (par rapport aux progiciels
simples) :
• Optimisation des processus de gestion (flux économiques et financiers).
• Homogénéité des informations et du système d’information.
• Utilisation du même système d’information au sein de l’entreprise permettant une meilleure
communication à la fois interne et externe.
• Réduction des coûts et des délais de mise.
• Partage du même système d’information permettant une communication interne et externe
plus simple et rapide.
• Réduction des coûts : absence d’interface entre les modules, maintenance corrective simplifiée
en raison de la prise en charge directe par l’éditeur au lieu du département informatique de
l’entreprise (la maintenance évolutive, notamment l’amélioration des fonctionnalités et l’évolution
des règles de gestion, étant bien entendu sous la responsabilité du service informatique).
• La formation peut être globalisée.
• Maîtrise des coûts et des délais de mise en œuvre et de développement.
La principale difficulté du développement des outils d’ERP réside dans le changement organisa-
tionnel auquel l’entreprise doit faire face afin de permettre l’optimisation de l’usage des fonction-
nalités (utilisation effective des outils). L’entreprise doit donc à la fois redéfinir son mode de
fonctionnement, repenser son processus métier et aborder ce défi dans le cadre d’une démarche
d’accompagnement du changement.
Ainsi, la principale limite de l’application des ERP réside dans la durée nécessaire à son appropria-
tion par l’ensemble des acteurs et département de l’organisation. La plupart des fournisseurs
mentionnent une durée d’implémentation de 3 à 6 mois, mais la pratique montre que l’ensemble
du processus varie en moyenne entre 1 an et 3 ans. Généralement, les retards proviennent moins
de problèmes techniques que d’une définition imprécise des besoins ou d’absence de réflexion
approfondie préalables sur l’organisation. Christophe Grand, associé AT Kearney, explique qu’il
faut parfois cinq ans pour déployer complètement un ERP dans un grand groupe.
Le coût d’un projet ERP est en moyenne estimé à 15 millions de dollars en prenant en compte
les coûts principaux (hardware, software, services et coûts internes). Généralement, les forma-
tions complémentaires nécessaires, le recrutement des compétences techniques non présentes
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

dans l’entreprise, la conversion et le nettoyage des données à récupérer sur d’autres systèmes
ne sont pas pris en compte dans le chiffrage, mais nécessite pour l’entreprise un complément
de coût directement imputable au projet. Également, il est estimé une durée de 8 mois de mise
en production afin d’obtenir les premiers bénéfices et les économies annuelles peuvent en
moyenne atteindre 1,6 million de dollars par an.

F. Perspectives (en liaison avec la dématérialisation


croissante des documents)
L’implantation d’un ERP est un choix important pour l’entreprise qui doit au préalable remettre à
plat son organisation avant de lancer l’implantation. De plus, l’usage croissant de documents
dématérialisés devra être intégré dans la préparation et le diagnostic de mise en place. On parle
alors de GED (Gestion électronique de documents ou, en anglais, Electronic Content Management,
noté ECM, ou Electronic Document Management, noté EDM) pour décrire l’utilisation de moyens
informatisés pour l’ensemble de la gestion d’un document électronique (fichier texte, fichier
tableur, image, vidéo, fichier audio, etc.).
Ce mouvement de dématérialisation se retrouve dans tous les domaines, comme le montre bien la
volonté du ministère de l’économie qui souhaite supprimer le bulletin de paie papier20. Après les
5,7 millions de télédéclarations de revenu réalisées en 2006, Bercy envisage donc de dématériali-
ser les 210 millions de fiches de paie émises chaque année en France. L’enjeu est de taille en rai-
son de l’économie potentielle s’élevant à 190 millions d’euros par an pour les entreprises.

20. Ludovic Tichit, Vers une dématérialisation des bulletins de paie, www.journaldunet.com., 2006.

201181TDPA0413 75
Systèmes d’information de gestion • Série 4

VII. Conclusions : Synthèses et perspectives


Le système d’information de l’entreprise est composé de plusieurs applications qui s’intègrent
les unes aux autres. Les principales applications utilisées sont les progiciels de gestion concer-
nant la gestion de production et gestion comptable, les ERP et les outils de CRM et de SCM.
Les différentes applications transactionnelles sont reliées par l’intermédiaire d’interfaces point à
point classiques ou à des technologies de type EAI (Enterprise Application Integration, ou IAE,
Intégration Applicative d’Entreprises). L’EAI correspond à l’ensemble des solutions logicielles et
des méthodes permettant d’assurer l’intégration des différentes composantes du système d’in-
formation. Il permet la communication entre elles des applications de l’entreprise en facilitant la
gestion des flux externes.
L’ensemble des données et des flux gérés à partir des différentes applications doivent être
consolidés au sein des entrepôts de données (datawarehouses) qui collectent et traitent des
données en vue du pilotage de l’organisation. Comme nous le verrons dans la section suivante,
ces entrepôts de données sont reliés à des outils d’aide à la décision qui doivent permettre la
gestion et la présentation d’informations utiles pour le management.

Pour aller plus loin : « Les logiciels métiers en pratique », un exemple d’application avec Cegid,
à consulter sur le site www.cnamintec.fr, dans l’UE 118 rubrique Ressources > Série 4.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

76
5

partie
Introduction aux systèmes
décisionnels

Face à la multiplicité des utilisateurs et à la diversité de leurs besoins, les systèmes opérants
n’étaient pas en mesure de répondre efficacement à leurs attentes notamment décisionnelles.
Les décideurs cherchaient à satisfaire ces attentes décisionnelles à partir des bases de produc-
tions OLTP (On Line Transactionnel Processing) qui ne se prêtaient guère aux requêtes déci-
sionnelles. En fait, les systèmes opérationnels ne fournissaient pas le niveau de consolidation,
d’historisation, de comparaison et de capacité d’analyse nécessaires à une vision transversale
incontournable pour la prise de décision. Bien au contraire, ces systèmes fournissaient une
définition hétérogène des indicateurs d’où une remise en cause des résultats toujours possible
et un rapprochement manuel des informations difficile (pas de traçabilité de l’historique, voire
pas d’historique, pas de suivi de la qualité des données, etc.). L’objectif était donc de transfor-
mer un système d’information qui avait une vocation de production en un système d’information
décisionnel. Il s’agit de la transformation des données de production en informations
stratégiques.

I. Le système d’information décisionnel (SID)

A. Définition
Les systèmes décisionnels sont dédiés au management de l’entreprise pour aider au pilotage
de l’activité. Ils offrent aux décideurs une vision transversale de l’entreprise. Ils sont conçus
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

spécifiquement pour l’aide à la décision. Alimentés par les applications métier de l’entreprise, les
SID permettent une vision transversale de l’établissement grâce à des informations en prove-
nance de différents métiers. ils stockent les informations de manière spécifique et permettent
ainsi des analyses poussées sur des thématiques précises pour déterminer la meilleure
décision à prendre. Entièrement dédié au pilotage de la performance, le SID met en œuvre une
grande richesse de fonctions : tableaux de bord pré-formatés, analyse multidimensionnelle,
simulation…

B. Exemples de requêtes décisionnelles


Le système d’information décisionnel a pour objectif de répondre à des questions telles que :
• Quel est le volume des achats de matières premières par produit, par région, pour le quatrième
trimestre 2008 ?
• Quel est le montant des achats par région et par catégorie ?
• Quel est le montant du chiffre d’affaires par région et par catégorie en 2008 ?
• Quel est le montant des crédits accordés par ville, par mois et par agent commercial ?
• Quel est le nombre de cartes bleues distribuées par trimestre, par agent commercial, par ville
et par catégorie de carte bleue (Visa, Master, Gold…) ?
• Quelle est la quantité des ventes d’ordinateurs portables, pour la région Picardie, par an, pour
les trois dernières années ?
• Quel est le type de produits dont les ventes baissent durant les trois premiers mois de l’année ?
• Quelle est la quantité de ventes par vendeur, par région, par mois ?

201181TDPA0413 77
Systèmes d’information de gestion • Série 4

La satisfaction de ces requêtes décisionnelles nécessite l’obtention de plusieurs perspectives


sur les données : Temporelle, Géographique, Produit… Ces perspectives sont appelées
Dimensions et sont, en principe, construites autour d’une approche multidimensionnelle per-
mettant d’organiser les données selon plusieurs axes d’analyse. L’idée de cette approche, ou
plus généralement, le concept d’un système d’information multidimensionnel fera l’objet du
développement suivant.

II. Le système d’information multidimensionnel (SIM)

A. Définition d’un SIM


Un SIM a pour objectif de présenter des indicateurs décisionnels issus du croisement de
plusieurs dimensions. Il s’agit de prendre en compte des besoins différenciés, évolutifs et de
satisfaire des requêtes à la demande et parfois imprévues.
Un système d’information multidimensionnel permet d’analyser un indicateur donné (agréga-
tion ou décomposition) selon plusieurs axes d’analyse distincts. Il s’agit de retrouver et
d’analyser rapidement les données provenant de diverses sources. Un SIM permet de four-
nir des données, aussi bien détaillées qu’agrégées, présentées selon différents points de
vue. Il permet de satisfaire des attentes nécessitant le croisement de données issues de plu-
sieurs dimensions. Un SIM se caractérise par une architecture intégrée avec une saisie unique
des données les plus élémentaires possibles. Il fournit deux genres de données :
• des informations désagrégées permettant de générer les décisions quotidiennes (la dimension
opérationnelle et tactique) ;
• des informations plus synthétiques indispensables pour les décisions stratégiques.

Exemple 1
Analyse des achats par :
• catégorie de produit (première dimension) +
• année (deuxième dimension) +
• acheteur ou commercial (troisième dimension) +

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
• zone géographique (quatrième dimension)…

Exemple 2
Un commercial souhaite afficher le chiffre d’affaires par Produit + Région. Puis, après
réflexion, il préfère une représentation par Région + Produit.
Le modèle multidimensionnel contient deux types d’attributs : les dimensions et les indica-
teurs (mesures). Ce sont les analyses de ces derniers qui intéressent l’utilisateur final.

B. Les dimensions et les membres


Une dimension peut être définie comme un thème ou un axe selon lequel les données seront
analysées. L’axe d’analyse est un angle de vue selon lequel on souhaite observer, décomposer
ou agréger l’indicateur (unité de mesure). Exemple de dimensions :
• Temps : années, trimestres, mois, jour…
• Hiérarchie : direction, service, unité et employé.
• Produit : cette dimension décrit les produits commercialisés par l’entreprise.
• Zone géographique : décrit la répartition géographique de différentes unités du groupe.

78
UE 118 • Systèmes d’information de gestion

Schéma 1 : L’articulation de quatre dimensions dans le cadre d’un SIM


Dimension géographique
Dimension
produit
Ville
Alimentation
Dimension
Département
hiérarchique
Employé
Région
Papeterie
Unité
Pays
Service
Hygiène
Direction

Dimension
Année Semestre Trimestre Mois
temporelle

Dans une perspective conceptuelle multidimensionnelle, ces dimensions font partie d’un hyper  cube
permettant la manipulation de ces dimensions. Par exemple, on peut instantanément changer de
dimension (drill through), détailler (drill down), agréger (drill up), simuler (forecast, what if).
Comme nous pouvons le constater (schéma ci-avant), une dimension contient des membres :
• Année/semestre/trimestre/mois/semaine/jour font partie de la dimension Temps.
• Alimentation/papeterie/hygiène font partie de la dimension Produit.
• Pays/Région/Département/Ville font partie de la dimension Géographique.
• Direction/service/unité/employé font partie de la dimension Hiérarchique.
Au fur et à mesure du développement de l’organisation et de l’analyse, les membres définis
peuvent changer. Par exemple, il est possible d’ajouter des produits et des clients.

C. Les mesures (les indicateurs ou les variables)


L’indicateur (unité de mesure) est un ensemble de faits que l’on veut observer. Il permet, en vue
de prise de décision, de mesurer et d’évaluer la performance d’une activité en analysant et en
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

suivant son évolution au fil du temps. Les mesures sont les valeurs numériques que l’on com-
pare (montant des ventes, quantité vendue, valeur des stocks, nombre de crédits accor-
dés, coût des travaux, nombre d’accidents…). Ces valeurs sont le résultat d’analyse des
données issues du croisement de différentes dimensions. Dans un cube, chaque cellule
contient, en principe, une mesure calculée (le CA de la papeterie au mois de février à Nancy).
Ce sont les analyses de ces mesures qui intéressent le décideur. Il est donc possible d’analyser
les indicateurs selon différents axes d’analyse.

D. Granularité et hiérarchies
L’approche multidimensionnelle prévoit des hiérarchies multiples dans chaque axe d’analyse.
Autrement dit, une dimension comprend des membres (sous dimension) qui contiennent des sous
membres… Chacun de ces éléments appartient à un niveau hiérarchique (niveau donné de
granularité). Chaque dimension contient un nombre de niveaux hiérarchiques qui est déterminé
en fonction des besoins. Les hiérarchies organisent des relations parent-enfant entre les diffé-
rents niveaux d’une dimension. Elles sont représentées sous forme de structure arborescente.
Par exemple, dans la dimension Temps, il est possible de définir le membre année (niveau 1)
comme niveau supérieur de la hiérarchie. De même, le sous-membre trimestre (niveau 2) sera un
enfant de l’année et le sous-sous-membre mois (niveau 3) sera un enfant de trimestre.
Les membres dans une dimension sont organisés en hiérarchie. Chacun de ces membres peut
appartenir à un niveau hiérarchique différent (rayon/catégorie/produit x de la dimension
« Produits »). Il est également possible que tous les membres soient au même niveau de gra-
nularité (alimentation, papeterie et hygiène de la dimension « Produits »).

201181TDPA0413 79
Systèmes d’information de gestion • Série 4

E. Les formules
Les formules doivent fournir des règles de calcul (règles du croisement des dimensions) pour
chaque mesure. Il peut s’agir des règles simples : addition, ventilation, soustraction, division… ou
bien des fonctions : somme (quantité*PrixVente), moyenne {quantité*(PrixVente - PrixAchat)}.
La conception d’un SID selon une approche multidimensionnelle fait appel à la compréhension
des concepts tels que l’OLTP et l’OLAP. Ces idées feront partie du développement suivant.

III. Introduction OLTP & OLAP

A. OLTP (On Line Transaction Processus)


L’OLTP ou base de données transactionnelles est l’outil ou la technologie sur lequel se base le
fonctionnement des systèmes d’information opérationnels (les bases de production). Les bases
de données se basant sur l’OLTP sont structurées en tableaux dont les données sont normali-
sées et représentées sous forme aplatie “relations”. Cette normalisation mène en principe à une
représentation des indicateurs ou des variables selon deux dimensions. Ainsi, l’OLTP est le
modèle utilisé par les SGBD. Dans une base de données relationnelle, les données sont stoc-
kées sous formes de tables décomposées en colonnes et en lignes, chaque ligne représente un
enregistrement de la base de données. Rappelons que les bases de données relationnelles
s’articulent autour du modèle entité-relation dont le mécanisme de fonctionnement se caracté-
rise, entre autre, par :
• L’élimination de toute redondance dans la base de données (la division des données en de
nombreuses tables afin de retrouver les informations qu’une seule fois : 3NF).
• L’existence de nombreuses tables et jointures.
• Les données des systèmes opérationnels basés sur l’OLTP sont éparpillées, peu structurées
pour l’analyse décisionnelle. Elles sont focalisées sur la gestion des activités quotidiennes.

B. OLAP (On-Line Analytical Processing)


Le terme OLAP ou processus d’analyse en ligne de données porte sur l’utilisation de l’approche

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
multidimensionnelle pour la prise de décision. Ce terme date de 1993. Il fut introduit par E.F.
Codd. OLAP désigne une catégorie d’applications et de technologies permettant de collecter,
stocker, traiter et restituer des données multidimensionnelles, à des fins d’analyses décision-
nelles. L’OLAP est la technologie sur laquelle se base le fonctionnement d’un SID. Les bases de
données selon les règles de l’OLAP sont structurées en hyper cube à n dimensions dont les
données sont dé-normalisées et représentées sous forme multidimensionnelle. Il s’agit de
restructurer et de stocker dans un outil multidimensionnel les données issues de fichiers plats ou
de bases relationnelles.
L’outil OLAP renferme deux types d’objets qui sont les variables et les dimensions. Il struc-
ture un modèle multidimensionnel (cube ou hyper cube) dans lequel chaque cellule peut être
définie par sa position en hauteur, longueur et profondeur (les coordonnées d’une cellule).
L’OLAP permet de :
• établir de nouvelles relations transversales (non prévues) entre les données transactionnelles
des systèmes opérationnels ;
• transformer les données opérationnelles détaillées pour présenter au décideur une vue synthé-
tique et stratégique ;
• effectuer des conversions et des extractions nécessaires à partir des OLTP pour alimenter la
Base multidimensionnelle et préparer la prise de décision ;
• structurer, hiérarchiser, et stocker dans un format multidimensionnel (hyper-cube) au lieu de
tables les données en provenance des systèmes de production (fichiers plats, applications,
bases de données relationnelles…) ;
• fournir au final des tableaux de bord composés d’indicateurs décisionnels.

80
UE 118 • Systèmes d’information de gestion

C. L’articulation entre les outils OLTP et OLAP


Les outils OLTP/OLAP sont complémentaires. Les données OLAP sont dérivées des données
OLTP et sont regroupées dans des structures permettant des analyses poussées. Pour ce faire,
les outils OLAP accèdent à des données transactionnelles siégeant dans les bases de produc-
tion, pour les analyser selon différents points de vue.

Schéma 2 : L’articulation entre les outils OLTP et les OLAP

Système de pilotage

Système d’Information
Décisionnel

OLAP

OLTP OLTP OLTP

Système d’Information Opérationnel


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

201181TDPA0413 81
Systèmes d’information de gestion • Série 4

Iv. l’archItecture fonctIonnelle du système


d’InformatIon décIsIonnel
La chaîne décisionnelle a principalement pour objectif de fabriquer à partir des données sources
(transactionnelles) des données stratégiques visant à faciliter la prise de décision. Cette fabrica-
tion consiste à puiser, dans les bases sources (bases de production de l’entreprise et données
externes), des données opérationnelles qui seront nettoyées, réparées, préparées avant d’être
déversées dans un DataWarehouse. Les données dans ce dernier seront réorganisées et ache-
minées, en principe, vers plusieurs DataMarts. Le fonctionnement de la chaîne décisionnelle se
base essentiellement sur les composants suivants :

schéma 3 : architecture type d’un système d’information décisionnel :

DataMining
Analyse décisionnelle
Sommet stratégique
Affichage
multidimentionnel

Comptabilité

Marketing Gestion
des risques
DataMarts

Référentiel

1 DataWarehouse
et/ou tfhkdh jdgyiol

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
hdhju jkjuimoi

Transformation Chargement
ELT

Extraction

Données Comptabilité Marketing


externes

CRM DRH Système opératior


Call center E-bisness

a. les données sources


Les données sources constituent les principales sources d’alimentation du DW. Elles proviennent
des :

1. bases de production de l’entreprise (les systèmes opérationnels)


Les systèmes opérationnels sont des mines d’or informationnelles pour la prise de décision.
L’alimentation d’un DW exige au préalable la sélection de certaines données siégeant dans
les bases de production car toutes les données sources ne sont pas pertinentes pour la prise
de décision.

82
UE 118 • Systèmes d’information de gestion

2. Bases externes en provenance de l’environnement de l’entreprise


Les données externes sont celles qui ne sont pas générées par les bases de production. Elles
proviennent de l’environnement de l’entreprise et sont nécessaires pour la production des don-
nées décisionnelles. La détection des données externes nécessite une surveillance de la part du
front office du système d’information de l’entreprise pour pouvoir les identifier et s’assurer que
ce sont les bonnes données exploitables pour la prise de décision.
Les principales caractéristiques des données sources sont les suivantes :
• les différents formats trouvés dans les bases de données opérationnelles ne sont pas homogènes ;
• elles sont nombreuses et redondantes ;
• elles possèdent parfois différentes définitions pour qualifier, caractériser et décrire le compor-
tement des mêmes objets (sémantique mal définie) ;
• elles servent principalement au fonctionnement transactionnel de l’entreprise. Elles visent à
améliorer le quotidien transactionnel ;
• elles sont représentées en général selon un modèle bidimensionnel (deux axes de présentation) ;
• elles sont diffuses : différents environnements matériels et différents réseaux non interconnectés ;
• elles sont complexes : différents modèles logiques et physiques ;
• elles sont éparpillées : il existe souvent de multiples bases de production, conçues pour être
efficace pour les fonctions sur lesquelles elles sont spécialisées ;
• elles sont peu structurées pour l’analyse décisionnelle : la plupart des bases opérationnelles
ne permettent pas de tirer parti du quotidien transactionnel en vue d’une prise des décisions.
Les données sources seront transportées vers le DataWarehouse ou les DataMarts via des outils ETL.

B. Extract-Transform-Load (ETL)
Les outils ETL ont principalement pour objectif d’assurer l’acheminement des informations à partir
des données sources (bases de production et données externes) vers les outils décisionnels
(DataWarehouse et DataMarts). Ils constituent ainsi une interface entre en amont les données
sources et en aval les composants décisionnels de la chaîne. Ainsi le DataWarehouse est alimenté
par des extractions (E) périodiques. Avant le chargement (L), les données subissent d’importants
processus d’intégration, de nettoyage et de transformation (T). Cette alimentation par des données
transactionnelles peut se faire en batch ou au fil de l’eau. Les outils ETL ont pour vocation de :
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

• découvrir, analyser et extraire les données à partir de sources hétérogènes ;


• nettoyer et standardiser les données selon les règles établies par l’entreprise ;
• charger les données dans un entrepôt de données et/ou des DataMarts ;
• créer des interfaces nécessaires entre les modules, les applications, les bases de données… ;
• rafraîchir automatiquement et périodiquement les données et de préférence uniquement celles
qui ont été modifiées afin d’optimiser les performances de la chaîne décisionnelle.

C. Datawarehouse (DW)
Le DW ou l’entrepôt de données en français est le socle d’une mise en place d’un système de
Reporting et d’analyse selon plusieurs axes d’analyse. C’est également la colonne vertébrale de
la chaîne décisionnelle. Il contient des informations utiles pour la prise de décision en prove-
nance de sources hétérogènes (la paie, la gestion des ressources humaines, la gestion des
commandes…). La conception d’un DW se base, en principe, sur une approche multidimension-
nelle. Il s’agit donc de mettre en place un ou plusieurs cubes et/ou des tables relationnelles qu’il
va falloir remplir à partir des sources opérationnelles (OLTP). Une telle approche accélère le
temps de réponse, lors de la phase de restitution, car en acceptant la dé-normalisation (agréga-
tion et redondance) elle réduit au maximum les nombreuses jointures nécessaires dans le cadre
d’une modélisation relationnelle.
Selon Bill Inmon (1996) : Le DataWareHouse est une collection de données (orientées sujet
« thématique », intégrées, non volatiles et historisées) organisées pour le support d’un pro-
cessus d’aide à la décision.

201181TDPA0413 83
Systèmes d’information de gestion • Série 4

1. Les données sont thématiques (orientées sujet)


Contrairement aux données des systèmes de production qui sont généralement organisés par
processus fonctionnels, les données d’un DataWarehouse sont structurées et organisées autour
de thèmes par activités, des sujets majeurs et des métiers de l’entreprise, L’intérêt de cette orga-
nisation est de disposer de l’ensemble des informations utiles sur un sujet nécessitant une prise
de décision. Ce sujet est souvent transversal aux structures fonctionnelles et organisationnelles
de l’entreprise. Dans la pratique, une structure supplémentaire appelée DataMart (magasin de
données) peut être créée pour supporter l’orientation sujet. L’organisation des données théma-
tiquement par sujet permet :
• aux décideurs de procéder à des analyses portant sur des processus transversaux ;
• aux utilisateurs de consulter et de trier les données par thème ;
• d’optimiser l’accès aux données ainsi qu’à leur distribution.

2. Les données sont intégrées


Les données à exploiter pour la prise de décision proviennent de systèmes sources hétérogènes
(sous des formes différentes). Cela provoque, pour la prise de décision, un problème de cohé-
rence liée notamment à une architecture traditionnelle du système d’information composé d’un
empilement d’applicatifs verticaux non communicants entre eux. L’intégration des données vise
à offrir une vision homogène et cohérente de l’entreprise compréhensible pour tous les déci-
deurs. Ainsi, les données doivent êtres mises en forme et unifiées afin d’avoir un état cohérent
au sein d’un DW. Par exemple, la consolidation et l’homogénéisation de l’ensemble des informa-
tions concernant un type de client donné est nécessaire pour donner une vue cohérente de ce
client. Un enregistrement dans une base multidimensionnelle du DW peut être issu de l’intégra-
tion des données opérationnelles en provenance de plusieurs tables faisant partie de plusieurs
bases de production (Ventes, Comptabilité, CRM…).

3. Les données sont non volatiles et historisées


Par non volatile, il faut entendre une traçabilité interdisant la suppression des données per-
tinentes. Le chargement de nouvelles valeurs des données dans le DW, en provenance des
bases sources, ne doit pas effacer les anciennes valeurs de ces données. Ainsi, toutes les

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
valeurs chargées d’un indicateur doivent être gardées pour constituer une référence temporelle
garantissant une traçabilité de l’indicateur. Dans un système de production, les données sont
mises à jour à chaque nouvelle transaction. Exemple, le solde d’un compte bancaire est mis à
jour après chaque mouvement débiteur ou créditeur (retrait ou dépôt d’argent). Les anciens
soldes ne sont pas gardés. Par conséquent, les données sont volatiles car elles sont régulière-
ment mises à jour. L’interrogation d’une base de données relationnelle d’un système transaction-
nel s’effectue par des requêtes portent en principe sur les données actuelles. Il est difficile de
retrouver un ancien résultat.

D. Référentiel (Les métadonnées)


La mise en place d’un DW ne peut pas être réalisée sans celle d’un référentiel ou d’un diction-
naire de données. Il comprend les métadonnées permettant d’expliquer et d’exploiter les
données de la chaîne décisionnelle. Dans un référentiel sont stockées des informations sur :
• toutes les données de la chaîne décisionnelle (Bases de productions, données externes,
DataWarehouse, DataMarts…) ;
• les étapes de la construction du DW et des DM ;
• le mécanisme multidimensionnel du passage d’un niveau de données à un autre lors de l’ex-
ploitation du DW et des DM.
Les métadonnées qui siègent dans le référentiel d’un DW sont des données sur les données
(des données qui décrivent d’autres données). Les métadonnées décrivent les règles qui
régissent le fonctionnement dans la chaîne décisionnelle (ex. : la description de l’organisation
concernant l’entreposage des données en provenance de sources très hétérogènes).

84
UE 118 • Systèmes d’information de gestion

E. DataMarts (DM)
Un DataMart est un magasin de données composant un sous-ensemble de l’entrepôt de données
(DW). Il est thématique et orienté vers un sujet particulier (finance, comptabilité, commercial, RH,
marketing, achat, stock, CRM, SCM…). Il a pour vocation de répondre à un groupe spécifique de
décideurs ou à un usage particulier (comptabilité, marketing, CRM…). Ce mini DW (DataMart)
donne ainsi une vision départementale ou métier des données. Il s’agit de réorganiser le
DataWarehouse en restructurant les données dans plusieurs magasins. Les informations impor-
tées dans ces magasins sont souvent modélisées selon une approche multidimensionnelle.

F. DataMining
DataMining signifie littéralement un forage des données ou exploration des données. Il s’agit
d’un ensemble de techniques qui permettent d’extraire, à partir des DW et des DM, des connais-
sances afin de décrire le comportement actuel et de prédire les actions futures des clients, des
fournisseurs, des partenaires, des employés… C’est un processus de fouille, d’analyse et
d’interrogation portant sur les données de la chaîne décisionnelle. L’objectif est de transfor-
mer les données en connaissances. Un DataMining permet donc d’améliorer la valeur des don-
nées contenues dans le DW.
Un DataMining est une analyse de type exploration de données. Elle porte sur l’étude com-
portementale de la clientèle, sur la recherche de corrélations entre les données, entre les événe-
ments, les phénomènes et sur la détection de profils ainsi que l’affiliation à un profit. Cette
analyse permet de répondre à des questions telles que :
• De quel guichet Monsieur Dupont se sert-il pour effectuer ses opérations bancaires ? Se sert-il
de celui situé à côté de son domicile ou bien de son lieu du travail ?
• Quelle est la probabilité qu’un tel client achète du thé s’il achète du gâteau ?
En répondant à ces questions, l’analyse de type exploration de données détecte des éléments
discriminants pour ensuite cibler les clients potentiels et prévoir les ventes futures. Ainsi, cette
exploration permet de découvrir des modèles implicites facilitant la compréhension du sens
des données et d’en déceler les relations et les corrélations multidimensionnelles entre les
magasins (points de ventes), les profils de clients, les types des ventes…
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

G. Les outils de restitution et de pilotage


Les outils de restitutions ont pour objectifs de satisfaire à partir des DW et DM les attentes déci-
sionnelles. Une fois que les données sont chargées dans le DW et les DM, les utilisateurs peuvent
y accéder pour exécuter leurs requêtes ad hoc, élaborer leur propre modèle décisionnel, analyser et
visualiser les indicateurs. La restitution peut être considérée comme le but ultime du processus
d’entreposage des données. Elle a pour objectif d’aider les décideurs à accéder rapidement
aux indicateurs stratégiques leur facilitant une prise de décision. Ces outils souvent multidi-
mensionnels permettent aux utilisateurs non informaticiens de manipuler et de ventiler les
indicateurs selon plusieurs axes d’analyse. Ils assurent une facilité d’accès, aux DW et DM, pour
que les utilisateurs puissent naviguer dans les données suivant une logique intuitive. Une navigation
de l’agrégat vers le détail et vice-versa est donc possible. Les décideurs vont pourvoir zoomer par
axes les données d’un cube pour mieux comprendre et analyser l’activité de l’entreprise.

Tableau 1 : Exemple des outils de restitution et de pilotage


Solutions Produits Éditeurs
Impromptu Cognos
BrioQuery Brio Technology
Rapports et requêtes
Business Objects Business Objects Inc
Crystel Reports Seagate Software

Ces outils sont utilisés par les décideurs qui ne connaissent pas forcément l’informatique déci-
sionnelle. Ce sont donc des outils de Reporting assez facile à manipuler par les utilisateurs métier.

201181TDPA0413 85
Systèmes d’information de gestion • Série 4

V. Présentation simplifiée d’un système


d’information décisionnel
Il est possible d’établir un parallélisme entre le schéma 4 et les différents composants d’un SID :
• Bases de données relationnelles (Reims, Nancy et Limoges) = systèmes opérationnels ou
bases de production au sein du système d’information dans son ensemble ;
• Cube = OLAP, Datawearhouse, Datamarts… ;
• Tableau croisé dynamique = outils de reporting et d’interrogation d’un système décisionnel.

Schéma 4 : Architecture simplifiée d’un système d’information décisionnel

BD
Reims

BD
Nancy
Feuille

BD Cube
= de données
Excel

Limoges

A. Présentation d’un cube


L’illustration conceptuelle de l’approche multidimensionnelle se base sur la forme d’un cube qui
permet d’illustrer trois dimensions dont le croisement donne lieu à des indicateurs décisionnels.

Exemple applicatif

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
La société DE a réalisé un chiffre d’affaires de 310 000 € au premier trimestre 2009. Ce montant
comprend les trois secteurs commercialisés par l’entreprise : Alimentation, papeterie et
hygiène. L’application comptable ne permet pas aux décideurs d’avoir assez de détail sur la
décomposition de ce chiffre selon plusieurs d’axes d’analyse. En revanche lorsque le système
d’information se base sur l’approche multidimensionnelle il est possible d’obtenir des données
décisionnelles beaucoup plus riches. L’exemple illustre un cube dont les dimensions sont :
• Zone géographique (régions ou Villes), Produits et Temps.
Les indicateurs à obtenir dans cet exemple sont les CA selon différentes possibilités de
croisements :
• Zone géographique/Produits.
• Produits/Temps.
• Zone géographique/Temps.
• Zone géographique/Produits/Temps.

86
UE 118 • Systèmes d’information de gestion

Limoges L 5 28 35 65 Limoges L 0 20 15
Nancy N 15 15 45 75 Nancy N 5 15 30
Reims R 70 60 40 170 Reims R
France F

Produits A 90 100 120 310 Alimentation B 35 15 25


8
7
Alimentation B 40 50 70 160
Papeterie C 20 35 5
12
Papeterie C 30 40 20 90 8
Hygiène D 15 10 10
Hygiène D 20 10 30 60

1 2 3
1 2 3 4
Janv. Fev. Mars
Janv. Fev. Mars 1er Tri.

Limoges L 0 20 15 Limoges L
Nancy N

Alimentation B 0 20 15
Alimentation B 5 15 30

8
Papeterie C 5 5 8
Papeterie C 5 0 7

12

Hygiène D 5 0 8 Hygiène D 0 0 12

1 2 3 1 2 3
Janv. Fev. Mars Janv. Fev. Mars

Afin de faciliter la compréhension de l’incarnation de l’approche multidimensionnelle dans un


cube, nous expliquons la figure 5. Il s’agit d’une illustration conceptuelle qui montre dans le
même cube une opération de drill-down21 détaillant le chiffre d’affaires (des produits vendus en
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

France au premier trimestre) par :


• Type de produit (Alimentation, Papeterie et Hygiène).
• Zone géographique (Reims, Nancy et Limoges).
• Échelle temporelle (Janvier, Février et Mars).
Les trois dimensions : Temps, Produits, Zone Géographique (largeur x hauteur x profondeur) du
cube sont ventilées à travers quatre tranches :
• La tranche22 de façade (16 cellules) contient les produits vendus (France) avec leurs détails.
• La deuxième tranche concerne la ville de Reims.
• La troisième correspond à la ville de Nancy.
• La quatrième affiche les données de Limoges.
Le croisement de ces trois dimensions donne lieu à 64 cellules (figure 5). Cela signifie que le
cube peut contenir au maximum 64 valeurs (une et une seule par cellule). S’agissant de la signi-
fication de chaque cellule, elle peut s’expliquer de la manière suivante :
Le CA 9023 dans la cellule (FA1) représente le prix des produits vendus en France au mois de
janvier. La ventilation de ce chiffre est la suivante :
• 40 pour l’alimentation (cellule FB1), 30 pour la papeterie (FC1) et 20 pour l’hygiène (FD1).

21. Une opération de drill-down déploie, afin de ventiler, chaque cellule d’un cube en plusieurs autres cellules.
22. L’opération de drill-down est prise uniquement en compte pour le cube dans son ensemble.
23. Il est à noter que les CA, dans le cube, sont exprimés en K€.

201181TDPA0413 87
Systèmes d’information de gestion • Série 4

Selon un autre axe d’analyse (zone géographique24), le même CA 90 (FA1) est réparti en :
• 70 pour Reims (RA1), 15 pour Nancy (NA1) et 5 pour Limoges (LA1).
De même que, les cellules (FA2) et (FA3) affichent le prix des produits vendus, respectivement,
pour les mois février et mars.
Quant à la première colonne, à partir, de la droite elle fournit les montants totaux des produits
écoulés au premier trimestre : les 310 (FA4) représentent, selon l’axe du produit, l’ensemble des
produits vendus dans toute la France. La ventilation de ce chiffre est la suivante :
• 160 pour l’alimentation (FB4), 90 pour la papeterie (FC4) et 60 pour l’hygiène (FD4).
Ces mêmes 310 (FA4) réalisés au premier trimestre se répartissent – selon la dimension zone
géographique – entre :
• 170 pour Reims (RA4), 75 pour Nancy (NA4) et 65 pour Limoges (LA4).
Ces 310 sont également désagrégés selon l’axe temporel en :
• 90 pour le mois de janvier (FA1), 100 pour février (FA2) et 120 pour mars (FA3).
Ainsi les 64 chiffres, affichés dans les cellules (petits cubes), représentent les valeurs des indica-
teurs à obtenir. Dans cet exemple, les chiffres d’affaires ont été choisis comme indicateur. Il est
possible de choisir une autre variable telle que la quantité des ventes, la marge, le prix de
revient… Au total, nous constatons que ce cube permet de désagréger le CA total de 310 000 €
(en provenance du système opérant) en 64 indicateurs (figure 5). La décomposition du cube en
tranches Reims, Nancy et Limoges (figures 6, 7 et 8) illustre les valeurs des indicateurs ad hoc.

B. Interrogation d’un cube par un tableau croisé dynamique (TCD)


Afin de pouvoir interroger d’une manière simple le cube de la société DE, nous retranscrivons les
données concernant les tranches Reims, Nancy et Limoges dans une feuille Excel interrogeable
(voir schéma 4) par un TCD. Ce dernier calcule et affiche les valeurs des variables issues des
croisements des différents axes d’analyse du cube (figures 6). Par conséquent notre illustration
se base sur les constats suivants :
• un cube composé de trois dimensions = un TCD croisant aussi trois axes d’analyse ;
• les valeurs des variables issues du croisement des dimensions dans le cube (figure 6) = les

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
valeurs des variables dans le tableau croisé dynamique (tableau 5 ci-après) ;
• chaque cellule du cube représentant la valeur d’une variable (issue du croisement des trois
membres en provenance des trois dimensions) doit être retranscrite en un enregistrement
(ligne) dans la feuille Excel. Cet enregistrement doit contenir cette même valeur ainsi que les
trois membres qui ont contribué à sa création. Par exemple la cellule contenant la valeur 35,
dont les coordonnées sont RC 2 (figure 6) doit être retranscrite en un enregistrement dans une
feuille Excel (ligne 17 tableau 2 ci-après).

24. Les 16 petits cubes sur le dessus (figure 5) concernent la dimension « zone géographique ». En d’autres
termes, ils montrent la répartition des CA France entre les trois villes.

88
UE 118 • Systèmes d’information de gestion

Tableau 2 : Retranscription des tranches


Reims, Nancy et Limoges dans une feuille Excel

Tableau 3 : Sélection de la plage des données


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

201181TDPA0413 89
Systèmes d’information de gestion • Série 4

Tableau 4 : TCD interrogeant le cube (figure 5)

Tableau 5 : TCD interrogeant la tranche Reims (figure 6)

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

90
UE 118 • Systèmes d’information de gestion

Tableau 6 : TCD interrogeant la tranche Limoges (figure 8)


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

201181TDPA0413 91
UE 118 • Systèmes d’information de gestion

Exercice autocorrigé

Ne pas envoyer à la correction

Exercice : Cas de synthèse : Cas Formatico

Énoncé

Remarques
Le fichier Excel est à télécharger sur le site de www.cnamintec.fr (Ressources Série 4).
Formatico est une société spécialisée dans l’organisation de stages professionnels pour des
personnes qui sont :
• des salariés des entreprises (formation continue) ;
• des personnes en recherche d’emploi et qui, dans ce cas, sont adressées par Pôle emploi ;
• des individuels (congé formation ou autre).
Lorsque les stagiaires sont envoyés par leur entreprise, celle-ci assure le paiement de la forma-
tion. Il n’est pas rare qu’une entreprise envoie plusieurs de ses salariés suivre un ou plusieurs
stages, voire commande un stage réservé uniquement pour ses salariés.
Les stagiaires peuvent également être adressés par Pôle emploi qui, dans ce cas, prend en
charge le coût de la formation selon un accord passé avec Formatico.
Il y a également des individuels qui peuvent s’inscrire à un stage. Ces inscriptions sont margi-
nales et Formatico souhaite conserver les raisons qui les ont motivés à s’inscrire (par exemple
une reconversion, obtenir une promotion…). Ces raisons sont mémorisées dans la propriété
« objectif » figurant dans le MCD.
Il existe un barème de prix différents en fonction du type de stagiaire (individuels, chômeurs ou
salariés).
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Plusieurs enseignants encadrent ces stages : ils sont soit permanents, soit occasionnels. Les
heures réalisées sont variables et dépendent des stages. Plusieurs formateurs peuvent intervenir
sur une session de formation.
Les thèmes des stages sont variés :
• informatique (formations sur logiciels : Excel niveau 1 et 2, Access niveau  1 et 2, Word,
Powerpoint, Sage Comptabilité, Sage Immobilisations, Sage Gestion commerciale, Gestion de
Cabinet, PGI Cegid niveau 1 et 2, etc.) ;
• communication écrite ou orale ;
• management ;
• gestion (introduction à la comptabilité, comptabilité approfondie, finance, contrôle de gestion,
fiscalité…) ;
• droit (social, des sociétés…).
Certains stages nécessitent un prérequis. Par exemple pour suivre le stage Excel niveau 2, il faut
avoir suivi avec succès le stage Excel niveau 1.
Pour chaque stage, il y a plusieurs sessions.
Un stagiaire ne peut faire l’objet que d’une inscription à une session de formation.
Une application sur logiciel SGBDR existe et vous avez en annexe 1 un extrait du modèle de
données de cette application.
Cependant certains éléments ne sont pas correctement gérés par l’application actuelle et il vous
sera demandé d’y remédier.

201181TDPA0413 93
Systèmes d’information de gestion • Série 4

Dossier 1 : Gestion des stages


À partir des annexes 1 et 2, répondez aux questions suivantes :

TRAVAIL À FAIRE
1. Expliquez les cardinalités de l’association Prérequis.
2. Que signifie le symbole XT présent sous l’entité Stagiaire ?
3. Quel est l’identifiant d’une session ? Expliquez.
4. Écrivez le schéma relationnel.
5. Écrivez en SQL les requêtes permettant de connaître :
a. La liste des formateurs (N°, nom, prénom) par domaine de stage.
b. La liste des stages nécessitant d’avoir suivi un autre stage (N° Stage, LibelléStage, N° stage
prérequis).
c. Combien de stages existe-t-il pour le domaine Droit (N° DomStage = 6) ?
d. Combien de sessions par stage ont eu lieu en 2012 ?
e. Quelles sont les sessions qui ont eu moins de 10 inscrits en 2012 ?
f. Quel est le total des heures de formation par formateurs depuis le 1er janvier 2013 ?
g. Quelle est la durée moyenne d’un stage ?
h. Quels sont les formateurs (N°, nom, prénom) qui n’ont pas travaillé en mars 2013 ?
6. Écrivez la requête permettant d’augmenter le tarif des stages d’informatique de 5 %.
Formatico souhaite supprimer tous les enregistrements des stagiaires qui n’ont pas suivi de
stage depuis 5 ans. M. Dupuy a écrit la requête suivante à cette fin :
DELETE FROM Stagiaire
WHERE N° St NOT IN (SELECT N° ST FROM Inscription, Session
WHERE Inscription.N° Session=Session.N° Session
AND Year(debutsession)>=YEAR(NOW())-5)) ;

7. Suppression d’enregistrements

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
a. Cette requête vous paraît-elle juste ? Justifiez en expliquant ligne par ligne ce qu’exécute
cette requête.
Lorsque M. Dupuy exécute la requête, le SGBDR lui renvoie le message suivant :
« Impossible de supprimer ou de modifier l’enregistrement car il existe des enregistrements
connexes dans des tables associées ».
b. À quoi est dû ce message d’erreur ? Comment devrait procéder M. Dupuy pour apurer la
base de données des anciens stagiaires ?

Dossier 2 : Extension du modèle des données


Un certain nombre d’éléments ne sont pas pris en charge par l’application actuelle. Il vous est
demandé de modifier le MCD pour prendre en compte les éléments ci-après :
• Les formateurs sont soit permanents, soit vacataires. Pour les permanents, il est nécessaire d’en-
registrer le numéro du contrat de travail, la date d’embauche, le nombre annuel d’heures du contrat.
Pour les vacataires, il est nécessaire de conserver la date de sélection et le mode de contact (can-
didature spontanée, agence intérimaire, recommandation d’un autre formateur).
• Formatico travaille avec plusieurs agences intérimaires et souhaiterait conserver dans sa base
de données le nom de l’agence, son adresse ainsi que le nom et numéro de téléphone de son
contact dans l’agence.
• Pour chaque domaine de stage, un formateur compétent du domaine est nommé responsable,
c’est ce responsable qui décide du contenu des stages, choisit et gère les intervenants des
stages sous sa responsabilité.

94
UE 118 • Systèmes d’information de gestion

• À chaque session de stage, Formatico nomme un responsable de la session qui doit être obli-
gatoirement un formateur intervenant de la session.
• À la fin de chaque session de stage, il y a une évaluation du stagiaire par un des formateurs de
la session. Cette évaluation sera remise au stagiaire et à l’organisme qui a payé la formation.
Comme les stagiaires peuvent revenir plusieurs fois, il faut pouvoir conserver un historique de
ces évaluations.

8. Complétez le modèle de données en annexe 1.

Dossier 3 : Recrutement des formateurs


Lorsque Formatico lance une nouvelle session pour un stage, elle demande d’abord par mail à
ses formateurs permanents (FP) compétents dans le domaine du stage s’ils peuvent assurer la
session.
Deux jours après l’envoi du mail, le formateur responsable de ce domaine de stage (FR) choisit
parmi les formateurs permanents qui ont répondu oui et bloque le créneau horaire de ces forma-
teurs dans le planning.
S’il manque toujours des formateurs pour la session, le FR contacte par mail les vacataires (V)
compétents dans le domaine de stage pour leur proposer d’assurer la session de stage.
Les vacataires ont alors 48 heures pour répondre. Le FR étudie les réponses et choisit parmi
ceux qui ont répondu « oui ». Le FR les informe tous par mail de sa décision et un contrat est
alors envoyé au(x) vacataire(s) retenus.
Si jamais tous les formateurs n’ont pas été trouvés pour la session, le responsable envoie un mail
aux différentes agences d’intérim pour rechercher de nouveaux formateurs vacataires.
Deux jours plus tard, le FR étudie les dossiers transmis et effectue la sélection.
• Si le dossier de l’intérimaire n’est pas satisfaisant, il est rejeté et l’agence d’intérim informée
que le dossier ne convenait pas.
• En revanche, si le dossier de l’intérimaire est satisfaisant, il peut y avoir deux cas de figure :
–– l’intérimaire est retenu et le contrat signé est retournée à l’agence d’intérim ;
–– la candidature convient mais toutes les places sont déjà pourvues, le dossier du candidat est
saisi dans la base pour une éventuelle autre session et le candidat est informé que son dos-
sier est en réserve.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

9. Présentez le processus de traitement de recrutement des formateurs.

Dossier 4 : Gestion des heures des enseignants


Chaque mois, tous les enseignants doivent remplir une fiche d’imputation où ils indiquent le
nombre d’heures de cours réalisé par session de formation (cf. annexe 3 : Feuille d’imputation
de temps des formateurs).
Les enseignants permanents sont annualisés, c’est-à-dire qu’ils doivent fournir un nombre
d’heures sur l’année selon leur contrat de travail et que chaque mois ils perçoivent leur salaire.
En fin d’année scolaire, un contrôle des heures effectuées est réalisé. Les heures de cours dis-
pensés au-delà du forfait annuel sont rémunérées en heures supplémentaires.
Les enseignants vacataires sont payés en fonction du nombre d’heures de cours réellement
dispensés.
Actuellement, toutes les feuilles des formateurs sont saisies chaque mois sur Excel ce qui est
fastidieux et source de lenteur et d’erreurs.
Il est prévu de mettre en place une application intranet où tous les formateurs saisiront directe-
ment leurs heures à la fin de chaque session.
En annexe 4 figure la feuille de calcul récapitulative des heures prévues et réalisées au cours de
l’année scolaire par tous les formateurs. Une fonction personnalisée doit être mise en place pour
calculer pour les enseignants permanents le nombre d’heures supplémentaires annuelles. Les
enseignants ne font pas forcément toutes les heures prévues (vacataires qui font moins d’heures,
permanents en congés…).

201181TDPA0413 95
Systèmes d’information de gestion • Série 4

10. Il vous est demandé d’écrire l’algorithme de cette fonction personnalisée.


11. Comment doit-on procéder pour implanter cette fonction personnalisée dans le tableur
puis l’utiliser dans la feuille de calcul ?
La mise en place de l’intranet va nécessiter d’installer de nouveaux matériels et services. Les
formateurs devront pouvoir accéder depuis l’extérieur, avec leurs ordinateurs portables au
réseau de Formatico.
Le réseau actuel de Formatico vous est présenté en annexe 5.
12. Quelle est la classe d’adresse du réseau Formatico ? Combien d’hôtes peut-on adresser
dans un tel réseau ? Justifiez vos réponses.
M. Dupuy, responsable administratif, vient de recevoir un nouvel ordinateur portable. Il doit le
paramétrer pour l’intégrer au réseau de Formatico.
13. Proposez un paramétrage pour l’ordinateur de M. Dupuy : adresse IP, masque de sous-
réseau, adresse de passerelle par défaut.
14. Après avoir rappelé ce qu’est un intranet, vous indiquerez quelles sont les adaptations
qu’il sera nécessaire de réaliser pour mettre en place cet intranet chez Formatico.
15. Quels sont les risques en matière de sécurité informatique liés à l’intranet et quelles
mesures convient-il de prendre pour s’en prémunir ?
À terme, Formatico souhaite développer un extranet où les stagiaires (soit directement, soit par
Pôle emploi, soit par leur entreprise) pourront s’inscrire en ligne aux différentes sessions de for-
mations et accéder à des ressources en lignes.
16. Pour respecter la loi Informatique et Libertés, quelles sont les obligations que devra res-
pecter la société Formatico ?

Dossier 5 : Gestion de la facturation


La facturation est gérée sur tableur.
Les clients « grand compte » (entreprise et Pôle emploi) reçoivent une facture par mois récapitu-
lant tous les stages suivis, avec le nombre de stagiaires inscrits.
Pour les clients individuels, la facture est remise à l’inscription aux stages.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Une remise est appliquée en fonction du nombre global d’inscriptions figurant sur la facture
(cf. barème de remise) et du type de client (individuel, entreprise ou Pôle emploi).
Un récapitulatif, par domaine de stage, du nombre d’inscrits et du montant facturé est égale-
ment fourni en même temps que la facture à des fins statistiques.
17. Après avoir pris connaissance des différents éléments en annexe 6, vous compléterez le
tableau suivant. Vos formules devront gérer les messages d’erreur éventuels.

Formules de calcul à trouver sur la feuille de calcul « Facture »


À recopier
Cellules Formule
jusqu’en
F4
D11
E29
E30
E32
E38
G45

96
UE 118 • Systèmes d’information de gestion

Annexe 1 Modèle de données Formatico


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Téléchargez l’annexe sur le site www.cnamintec.fr dans l’UE 118 rubrique Ressources > Série 4.

Annexe 2 Compléments d’informations


Voici un extrait des différents domaines de stage :

201181TDPA0413 97
98
Systèmes d’information de gestion • Série 4

Annexe 3 Feuille d’imputation de temps des formateurs

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
UE 118 • Systèmes d’information de gestion

Annexe 4 Feuille récapitulative des heures effectuées


par les enseignants

La fonction personnalisée est à implanter dans la cellule G3.

Annexe 5 Réseau actuel de l’entreprise Formatico


Le réseau local comporte un serveur de données, un routeur, 80 postes de travail :
• 10 postes dits « administratifs » ;
• 70 postes dits « pédagogiques » (4 salles de 16 postes et 6 postes en salle des professeurs).
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Chaque bureau administratif et chaque salle (de classe ou des professeurs) sont équipés d’une
imprimante laser (10 au total).
Les adresses IP du réseau ont été définies ainsi :
• Serveur de données : 192.168.24.1
• Routeur : 192.168.24.254
• Imprimantes : plage d’adresses réservées : 192.168.24.10 à 192.168.24.30
• Postes de travail :
–– Administratif : plage d’adresses réservées : 192.168.24.41 à 192.168.24.80
–– Pédagogiques : plage d’adresses réservées : 192.168.24.81 à 192.168.24.180

201181TDPA0413 99
Systèmes d’information de gestion • Série 4

Annexe 6 Gestion de la facturation sur tableur


Dans l’application tableur qui sert à la facturation, les noms suivants ont été définis :

Extrait de la feuille de calcul « Client »

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

100
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

201181TDPA0413
Feuille de calcul « Facture »

101
UE 118 • Systèmes d’information de gestion
Systèmes d’information de gestion • Série 4

Feuille de calcul « Données »

Corrigé

Dossier 1 : Gestion des stages

1. Expliquez les cardinalités de l’association Prérequis.


Prérequis est association réflexive. Elle traduit le fait que pour certains stages, il faut avoir déjà
suivi un autre stage. Par exemple, le stage Excel niveau 2 nécessite d’avoir suivi, comme prére-
quis, le stage Excel niveau 1.
Un stage nécessite d’avoir suivi 0 ou un stage en prérequis (le stage Excel niveau 1 ne nécessite
aucun prérequis alors que le stage Excel niveau 2 nécessite d’avoir suivi au préalable le stage
Excel niveau 1).
Un stage est prérequis à 0 ou plusieurs stages.

2. Que signifie le symbole XT présent sous l’entité Stagiaire ?

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Le symbole XT signifie qu’il y a une contrainte de partition, c’est-à-dire qu’il y a couverture et
disjonction. Les stagiaires sont donc soit des individuels, soit des chômeurs, soit des salariés
(une seule de ces possibilités à la fois). Ils ne peuvent pas être dans un autre cas.

3. Quel est l’identifiant d’une session ? Expliquez.


Session est une entité faible qui n’existe que relativement à l’entité forte Stage. Son identifiant
est donc composé de N° Stage + N° session.

4. Écrivez le schéma relationnel.


Il y a plusieurs difficultés :
• l’association réflexive Pré Requis ;
• l’identification relative d’une session par rapport à un stage ;
• et les entités spécialisées Agence et Entreprise.
Stage (N° Stage, Libellé stage, Durée stage, tarif stage, #N° stage Prérequis, #N° Dom Stage)
Domaine Stage (N° Dom Stage, NomDom Stage)
Est Competent (#N° Dom Stage, #N° F)
Formateur (N° F, Nom F, Prénom F, Date Naiss F, Adr F, CP F, Ville F, Tel F)
Enseigne (#N° F, #N° Stage, #N° Session, NBH)
Session (#N° Stage, #N° Session, Début session, Fin session)
Inscription (#N° Stage, #N° Session, #N° St)
Stagiaire (N° St, Nom ST, Prénom St, Date naiss St, Adr St, CP St, Ville St)
Individuel (N° St, Objectif)

102
UE 118 • Systèmes d’information de gestion

Chômeur (N° St, Début P en Ch PE, Fin P en Ch PE, #N° Ag PE)


Salarié (N° St, Poste occupé, #N° Entr)
Agence Pôle emploi (N° Ag PE, Nom Ag PE, Prénom Ag PE, Adr Ag PE, CP Ag PE, Ville Ag PE,
Nom Ag PE, Tel contact Ag PE)
Entreprise (N° Entr, Nom Entr, Adr Entr, CP Entr, Ville Entr, Nom contact Entr, Tel contact Entr)

5. Écrivez en SQL les requêtes permettant de connaître :


a. Liste des formateurs (N°, nom, prénom) par domaine de stage (N°).
SELECT N° DomStage, N° F, Nom F, Prénom F
FROM Formateur, Est competent
WHERE Formateur.N° F= Est competent.N° F
ORDER BY N° DomStage ;

b. Liste des stages nécessitant d’avoir suivi un autre stage (N° Stage, LibelléStage, N° stage
prérequis).
SELECT N° Stage, LibelléStage, N° stage prérequis
FROM Stage
WHERE N° stage prérequis IS NOT NULL ;

c. Le nombre de stages pour le domaine Droit (N° DomStage = 6).


SELECT Count(*) AS [NB de stage pour le domaine Droit]
FROM Stage
WHERE N° Dom Stage = 6 ;

d. Le nombre de sessions par stage ayant débuté en 2012.


SELECT N° Stage, Count(*) AS [Nombre de sessions par stage en 2012 ]
FROM Session
WHERE Year(Début session)= 2012
GROUP BY N° Stage ;

e. Les sessions qui ont eu moins de 10 inscrits en 2012 (date début).


SELECT N° Stage, N° Session, Count(*)AS [les sessions qui ont eu moins de 10 inscrits en 2012 ]
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

FROM Inscription, Session


WHERE Inscription.N° Session= Session.N° Session
AND Inscription.N° Stage= Session.N° Stage
AND YEAR(Début session)= 2012
GROUP BY N° Stage, N° Session
HAVING Count(*)<10 ;

f. Le total des heures de formation par formateurs depuis le 1er janvier 2013. ?


SELECT N° F, SUM(NBH) AS [total des heures de formation par formateurs depuis le 1er janvier
2013]
FROM Enseigne, Session
WHERE Enseigne.N° session= Session.N° Session
AND Enseigne. N° Stage = Session. N° Stage
AND Début Session > #1/1/2013 #
GROUP BY N° F ;
Ici, il faut bien faire la double jointure du fait de l’identification relative d’une Session.

g. La durée moyenne d’un stage.


SELECT AVG(Durée Stage) AS [durée moyenne d’un stage]
FROM Stage ;

201181TDPA0413 103
Systèmes d’information de gestion • Série 4

h. Les formateurs (N°, nom, prénom) qui n’ont pas travaillé en mars 2013.
SELECT N° F, NOM F, PrénomF
FROM Formateur
WHERE N° F NOT IN (SELECT N° F FROM Enseigne, session
WHERE Enseigne.N° session= Session.N° Session
AND Enseigne. N° Stage = Session. N° Stage
AND Début Session BETWEEN #1/3/2013 # AND #31/3/2013 # ) ;

6. Écrivez la requête permettant d’augmenter le tarif des stages d’informatique de 5 %.


UPDATE STAGE
SET Tarif Stage = Tarif Stage*1.05
WHERE N° Dom Stage IN (SELECT N° Dom Stage
FROM Domaine Stage
WHERE Nom Dom Stage LIKE "Informatique") ;

7. Suppression d’enregistrements
a. Cette requête vous paraît-elle juste ? Justifiez en expliquant ligne par ligne ce qu’exé-
cute cette requête.
Du fait de l’identification relative de l’entité faible Session par rapport à l’entité forte Stage, il
manque la jointure suivante : AND Inscription.N°  Stage= Session.N°  Stage (la jointure entre
Session et Stage se réalise sur les deux champs communs à savoir : N° Stage et N° Session).
La requête va supprimer de la table stagiaire tous les enregistrements pour lesquels le N° Stagiaire
n’est pas dans la sous requête.
La sous requête permet de connaître tous les stagiaires qui ont été inscrits à un stage dans les
5 dernières années (l’année de la session est supérieure ou égale à l’année en cours – 5 ans).

b. À quoi est dû ce message d’erreur ? Comment devrait procéder M. Dupuy pour apurer
la base de données des anciens stagiaires ?
Le message d’erreur « Impossible de supprimer ou de modifier l’enregistrement car il existe des

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
enregistrements connexes dans des tables associées » est dû au fait qu’il existe des enregistrements
associés aux enregistrements qui vont être supprimés dans la table Stagiaires. Ces enregistrements
associés sont dans les tables Inscription, Individuel, Chômeur et Salarié. En effet, la clé primaire de
la table inscription est la concaténation des clés primaires des tables Session et Stagiaire. Si on sup-
prime un enregistrement de Stagiaire, l’intégrité référentielle ne sera plus respectée dans la table
inscription ; cela signifie qu’un enregistrement de la table inscription ne pourra plus être relié au sta-
giaire auquel il était relié (données non reliées et perte d’informations).
Pour apurer la base de données des anciens stagiaires, il faut d’abord supprimer les enregistre-
ments les concernant dans les tables Individuel, Chômeur, Salarié et Inscription, puis on pourra
supprimer les enregistrements de la table Stagiaire.

104
UE 118 • Systèmes d’information de gestion

Dossier 2 : Extension du modèle des données

8. Complétez le modèle de données en annexe 1.


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

 Remarques
Il était nécessaire de spécialiser l’entité Formateur avec 2 sous-types : Permanent et Vacataire.
Chaque sous-type n’a pas d’identifiant puisqu’il hérite de celui de l’entité générique à savoir N° F.
Un formateur étant soit un vacataire soit un permanent, il y a donc une contrainte de partition
(notée + ou XT) – il y a couverture et disjonction.
Un vacataire peut être envoyé par une agence d’intérim (entité à créer avec un identifiant et les
propriétés qui figurent dans l’énoncé) ou recommandé par un autre formateur ou tout simple-
ment suite à une candidature spontanée (donc pas de contrainte entre Envoyé et Recommandé).
Recommandé et Envoyé sont des CIF avec comme cardinalité minimum du côté Vacataire).
Un stagiaire reçoit une évaluation à la fin (cardinalités 0,n) de chaque session donc création
d’une CIM porteuse de la propriété « Commentaires Évaluation ». Cette évaluation est donnée
par un seul formateur donc la CIM est transformée en pseudo entité qui va être reliée à
Formateur par une CIF.
Une session est sous la responsabilité d’un seul formateur lequel fait forcément parti des
enseignant de la session (contrainte d’inclusion entre est resp et Enseigne).
Un domaine de stage est placé sous la responsabilité d’un et un seul formateur (CIF Est Resp
entre Formateur et Domaine de Stage). Certains formateurs ne sont responsables d’aucn
domaine de stage et un formateur est responsable au maximum d’un domaine de stage (car-
dinalité 0,1 du côté de formateur). Ce formateur responsable doit être compétent dans ce
domaine de stage d’où la contrainte d’inclusion entre Est Resp et Est compétent.

201181TDPA0413 105
Systèmes d’information de gestion • Série 4

Dossier 3 : Présentez le processus de traitement de recrutement des formateurs.

9. Présentez le processus de traitement de recrutement des formateurs.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Dossier 4 : Gestion des heures des enseignants

10. Il vous est demandé d’écrire l’algorithme de cette fonction personnalisée.


FONCTION Heure_sup(Type_enseignant  : chaîne de caractères, NB_H_annuelles_prévues  : entier,
NB_H_annuelles_réalisées : entier) : entier
SI Type_enseignant = "vacataire" ALORS
SINON SI NB_H_annuelles_réalisées > NB_H_annuelles_prévues ALORS
Heure_sup NB_H_annuelles_réalisées - NB_H_annuelles_prévues
FINSI
FINSI
FIN FONCTION

106
UE 118 • Systèmes d’information de gestion

 Remarques
Ici, il faut écrire une fonction personnalisée. La fonction personnalisée admet dans ces argu-
ments les variables d’entrée. La variable de sortie est Heure_sup.
Deux structures conditionnelles imbriquées permettent de calculer le nombre d’heures supplé-
mentaires lorsque l’enseignant est un vacataire (test sur Type_enseignant).

11. Comment doit-on procéder pour implanter cette fonction personnalisée dans le tableur
puis l’utiliser dans la feuille de calcul ?
Depuis le classeur, il faut vérifier que les macros sont activées puis lancer VBA (Alt + F11) et
programmer la fonction personnalisée.
Voici la fonction personnalisée en VBA : (à titre d’illustration – non nécessaire pour répondre à la
question)

Public Function h_sup(Type_Ens As String, nb_h_P As Integer, nb_h_r As Integer) As Integer


If Type_Ens = "vacataire" Then
ElseIf nb_h_r > nb_h_P Then
h_sup = nb_h_r - nb_h_P
End If
End Function

Puis il faut se placer dans la cellule G3 de la feuille de calcul et insérer la fonction personnalisée
en précisant ses trois arguments d’entrée (type enseignant, nombre d’heures prévues, nombre
d’heures réelles).
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Ensuite, il suffit de recopier la formule vers le bas.

12. Quelle est la classe d’adresse du réseau Formatico ? Combien d’hôtes peut-on adres-
ser dans un tel réseau ? Justifiez vos réponses.
L’adresse du réseau de Formatico est 192.168.24.0
L’octet de poids fort est compris entre 192 et 223, donc c’est une adresse de classe C.
(19210 = 110000002, les bits de poids fort sont à 110 donc c’est une adresse de classe C)
Dans une adresse de classe C, l’identifiant réseau est sur 3 octets, et l’identifiant hôte sur 1 octet,
on ne dispose donc que de 1 octet pour coder les hôtes, soit 8 bits.

201181TDPA0413 107
Systèmes d’information de gestion • Série 4

On peut donc obtenir 28 adresses, soit 256. Pour les postes de travail il faut ôter 2 adresses, tous
les bits à 1 de la partie hôte (qui correspond à l’adresse du réseau) et tous les bits à 1 pour cette
partie (qui correspond à l’adresse de diffusion du réseau).
Le nombre d’hôtes que l’on peut adresser dans ce réseau est donc de (28 – 2), soit 254.
Soit :

256 adresses

– 1 adresse du réseau
– 1 adresse de diffusion
= 254 adresses disponibles

13. Proposez un paramétrage pour l’ordinateur de M. Dupuy : adresse IP, masque de sous-


réseau, adresse de passerelle par défaut.
Paramétrage ordinateur :
Adresse IP : 192.168.24.52
Dans le contexte actuel, toute adresse disponible dans la plage d’adresses réservées au poste
administratif est valable.
Masque : 255.255.255.0 (ou /24)
Passerelle par défaut :192.168.24.254 (adresse du routeur).

14. Après avoir rappelé ce qu’est un intranet, vous indiquerez quelles sont les adaptations
qu’il sera nécessaire de réaliser pour mettre en place cet intranet chez Formatico.
Un intranet est un ensemble de services qui reposent sur les technologies Internet mais qui sont
réservés au personnel de l’entreprise qui y a accès grâce à un login et un mot de passe.
L’accès peut être local ou distant.
Il faut installer un serveur web (http, qui va héberger l’intranet de Formatico) et un serveur de
messagerie.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Les postes accèderont à l’intranet grâce à un client léger (navigateur web).

15. Quels sont les risques liés à l’intranet et quelles mesures convient-il de prendre pour
s’en prémunir ?
Il faut protéger le réseau local par un pare-feu.
Si l’intranet est accessible depuis l’extérieur, il faudra installer une zone tampon pour éviter les
intrusions et la compromission des données. Il faudra donc installer une DMZ.
À terme, Formatico souhaite développer un extranet où les stagiaires (soit directement, soit par
Pôle emploi, soit par leur entreprise) pourront s’inscrire en ligne aux différentes sessions de for-
mations et accéder à des ressources en lignes.

16. Pour respecter la loi Informatique et Libertés, quelles sont les obligations que devra
respecter la société Formatico ?
• Effectuer une déclaration des traitements de données à caractère personnel.
• Prendre toutes les mesures garantissant la sécurité et la confidentialité des données ainsi
collectées.
• Demander le consentement de la personne pour la conservation de ses données.
• Garantir le droit d’accès et de rectification des données aux personnes (droit d’informations).

108
UE 118 • Systèmes d’information de gestion

Dossier 5 : Gestion de la facturation

17. Après avoir pris connaissance des différents éléments en annexe 6, vous compléterez
le tableau suivant.
Formules de calcul à trouver sur la feuille de calcul « Facture »
À recopier
Cellules Formule
jusqu’en
=SI(ESTNA(RECHERCHEV($F$3 ;Liste_Clients ;2 ;FAUX)) ;"Numéro Client
F4
inconnu" ;RECHERCHEV($F$3 ;Liste_Clients ;2 ;FAUX))
=SI(ESTVIDE($A11) ;"" ;SI(ESTNA(RECHERCHEV($A11 ;Stage ;2 ;FAUX)) ;"Stage
D11 D28
inexistant" ;RECHERCHEV($A11 ;Stage ;2 ;FAUX)))
E29 =SOMME(E11 :E28)
E30 =NBVAL(A11 :A28)
E32 =RECHERCHEV(E29 ;Barème_remise ;RECHERCHEV(F9 ;Barème_stagiaire ;2 ;FAUX)+2 ;VRAI)
E38 E43 =SOMME.SI($C$11 :$C$28 ;$C38 ;$E$11 :$E$28)
G45 =NB.SI(E11 :E28 ;15)

Une difficulté pour la formule de la cellule E32 où il faut faire 2 RECHERCHEV imbriquées.
La première RECHERCHEV recherche, à partir du nombre de stagiaires inscrits (cellule E29- 1er
argument) dans la table Barème_remise (2e argument), le taux de remise qui est contenu dans la
colonne (3e argument) obtenue en faisant une recherche exacte (4e argument = FAUX) de la caté-
gorie d’entreprise (1er argument de la RECHERCHEV imbriquée) dans la table Barème_stagiaire
en renvoyant la colonne 2 auquel a été rajouté le nombre 2 (pour les 2 premières colonnes mini
et maxi de Barème_remise). Il s’agit d’une recherche dans des tranches et donc la fonction doit
admettre des valeurs proches (4e argument = VRAI).
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

201181TDPA0413 109
Systèmes d’information de gestion • Série 4

Lexique
EDI : Échange de données informatisées.
Deux ordinateurs qui échangent à travers une liaison-réseau des fichiers de données font de
l’EDI. Une procédure EDI suppose un échange entre une application informatique de l’émetteur
et une application informatique du récepteur.
TDFC est une procédure relevant de l’EDI. L’ordinateur d’un centre relais échange à travers une
liaison réseau (avec un protocole de communication de type Tedeco ou Pesit ou FTP) des fichiers
déclaratifs avec le CSI de Strasbourg.
Un fichier déclaratif peut contenir plusieurs déclarations et son format est décrit dans un cahier
des charges publié pour chaque campagne annuelle.
EFI : Échange de formulaires informatisés par Internet.
Les nouvelles techniques d’échange d’informations, dans le contexte Internet, sont utilisées par
la DGFIP pour permettre à une entreprise (ou son conseil) de récupérer sur un ordinateur « ser-
veur » de la DGFIP le formulaire déclaratif dématérialisé et les logiciels permettant d’aider à sa
saisie. Le formulaire complété sera ensuite émis électroniquement vers les services informa-
tiques de la DGFIP.
Contrairement à l’EDI, l’émetteur EFI n’est pas une application informatique de l’entreprise, mais
(schématiquement) une personne devant son micro-ordinateur. Pour les déclarations sociales le
portail net-entreprise du GIP-MDS utilise uniquement le mode EFI.
Télétransmission : Procédure permettant de transmettre des documents sous forme dématé-
rialisée à travers un réseau informatique.
Téléprocédure : Dispositif permettant aux usagers (les personnes physiques ou morales contri-
buables) de remplir leurs obligations déclaratives sans utiliser les déclarations papiers, mais en
utilisant les techniques modernes d’échange de données informatisées de type EDI ou EFI.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Cette notion est plus riche que celle de télétransmission puisqu’elle suppose la prise en charge
dématérialisée non seulement des envois de déclarations, mais également de l’ensemble des
fonctions déclaratives comme la saisie contrôlée ou le paiement.
Le cahier des charges EDI TDFC : Mis à jour annuellement des nouveautés de la loi de Finances,
ce document est disponible sous forme dématérialisée : via le site Internet du ministère
(www.‌minefi.gouv.fr) où il est téléchargeable. Il est aussi disponible sur le site www.edificas.org.
Le cahier des charges décrit les caractéristiques fonctionnelles et techniques de la procédure
EDI-TDFC. Il permet aux partenaires EDI et aux éditeurs de logiciels de développer les pro-
grammes qui traduisent les données comptables et fiscales au format EDI-TDFC. Les modalités
de transfert vers la DGFIP sont aussi spécifiées (support, réseaux…).
Émetteur-transporteur-récepteur : En matière de télétransmission TDFC :
• L’émetteur est le contribuable ou le cabinet d’expertise comptable.
• Le transporteur est le partenaire EDI choisi par le contribuable ou le cabinet.
• Le récepteur est le CSI de Strasbourg de la DGFIP.
OGA : « Organisme de gestion agréé », ce peut être un CGA (Centre de gestion agréé) pour les
entreprises commerciales ou artisanales, ou bien une AGA (Association de gestion agréée) pour
les professions libérales.

110
UE 118 • Systèmes d’information de gestion

Index

Accès physiques 23 Mot de passe 22


Anti-virus 24 NIDS 24
Cnil 53, 58 OLAP 80
Correspondant informatique et libertés (Cil) OLTP 80
55 Pare-feu 24
CRM, Customer Relationship Management Piratage social 22
62 Politique de sécurité des systèmes
Cube 86 d’information (PSSI) 15
DataMart 85 Progiciel 61
Défaillance 19 Progiciel horizontal 62
Déni de service 13 Progiciel vertical 62
Disponibilité 19 Proxy 26
DMZ 25 Redondance 19
EDI, Electronic Data Interchange 33 RH 62
Edifact 34 Sauvegarde 20
E-procurement 68 Sauvegarde cumulative 20
ERP (PGI) 72 Sauvegarde incrémentale 20
ETL 83 Sauvegarde intégrale 20
Fiabilité 19 SCM, Supply Chain Management 62, 70
Firewall 24 Sécurité des accès 21
FTP 25 SIM, Système d’information
Granularité 79 multidimensionnel 78
IDS 24 Sureté de fonctionnement 19
Impact 12 Système décisionnel 77
Injection de codes SQL 13 TCD, Tableau croisé dynamique 88
Jeu d’essai 61 Tolérances aux fautes 19
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Loi Informatique et libertés 53 VoIP 25


Menace 12 Vulnérabilité 12

201181TDPA0413 111
UE 118

Devoir 6
Systèmes d’information de gestion
Année 2013-2014

À envoyer à la correction
Auteur : Laurence ALLEMAND

Remarques
• Si le texte du sujet, de ses questions ou de ses annexes vous conduit à formuler une ou plusieurs
hypothèses, il vous est demandé de la (les) mentionner explicitement dans votre copie.
• Il vous est demandé d’apporter un soin particulier à la présentation de votre copie. Toute information
calculée devra être justifiée.
• Le devoir est noté sur 100 points, la note sera ensuite ramenée à un résultat sur 20 points.

Exercice : Cas Valgo

Créée en 1830, la filature du Valgo est située dans les Hautes Alpes. Cette entreprise familiale fabrique
une vingtaine de fils à tricoter différents à base de matières naturelles. Elle travaille également à façon
pour des éleveurs qui lui font confiance pour transformer les toisons de leur troupeau en fils précieux
(angora, mohair, pure laine, etc.) mais aussi avec des créateurs qui apprécient de concevoir leurs collec-
tions avec ses fils nobles.
La filature du Valgo dispose sur place d’un magasin où toute la gamme de fils à tricoter est disponible.
Le stock de laine est sur place et géré manuellement.
Au fil des années, un catalogue de modèles gratuits s’est constitué. Ces modèles de tricot sont élaborés
soit par des employés de la filature soit par des clients, qui deviennent alors des clients « Or » pour un
an.
La société se lance dans la vente en ligne de ses laines à tricoter et vous sollicite pour l’aider dans ce
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

projet.

Dossier 1. Vente au comptoir (12 points)


Auparavant, les ventes auprès des particuliers se faisaient exclusivement au comptoir où la facturation
s’effectue sur tableur. Les seuls produits vendus sont la laine (en pelotes ou en écheveaux selon la pré-
sentation) et les accessoires (aiguilles à tricoter et crochets).

TRAVAIL À FAIRE
1. À l’aide des annexes 1 à 5, analyser cette application tableur pour compléter les formules dans
l’annexe A - Formules de la feuille de calcul « Facture comptoir ».

Dossier 2. Conditions de vente (6 points)


Avec l’évolution du système d’information, il vous est demandé de réfléchir à un algorithme qui permet
de calculer, à partir du montant des produits commandés (laines et/ou accessoires), le montant dû en
fonction des conditions de vente. Sur le site de vente en ligne, toutes les commandes seront expédiées
(service uniquement disponible pour la France métropolitaine).
2. À l’aide des annexes 5 et 6, écrire cet algorithme sur l’annexe B - Algorithme.

Dossier 3. Vente en ligne (31 points)


En vue de la vente en ligne de la laine de la filature du Valgo, un modèle de données a été élaboré. À l’aide
des annexes 1 à 6 :

201181TDPA0413 113

Systèmes d’information de gestion • Devoir 6

3. Justifier les cardinalités des associations Présenter, Composition et Teinte. Quel est l’identifiant de Bain ?
4. Pourquoi aucune donnée concernant les frais de port ne figure dans le MCD ?
5. Que signifient les lettres XT entre les entités AIGUILLE et CROCHET ?
6. Que signifient les lettres XT entre les associations CREER 1 et CREER 2 ?
7. Une commande peut-elle comprendre à la fois des pelotes de laines et des aiguilles à tricoter ?
Expliquer.
8. Compléter le modèle logique de données fourni en annexe 8.
9. Écrire les requêtes SQL permettant de connaître :
a. l’état du stock de laine (Cf. extrait ci-dessous) ;

b. le nombre de qualités ;
c. la quantité moyenne de laine commandée ;
d. le chiffre d’affaires réalisé en 2012 avec les accessoires ;
e. le chiffre d’affaires réalisé en 2012 par qualité ;
f. la liste de tous les clients, par ville, inscrits sur le site mais qui n’ont pas encore passé de commande
(Nom, Prénom, Ville, Mail).
10. Écrire la requête SQL permettant de mettre à jour la donnée « Client Or » (elle prendra alors la

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
valeur N) pour les clients « Or » depuis plus d’un an mais qui n’ont pas redéposé un modèle pendant
cette même année.

Dossier 4. Prise en compte des nouveaux besoins (12 points)


Il vous est demandé de prendre en compte les nouveaux besoins de gestion de la filature du Valgo
(Cf. Annexe 9).
11. Compléter le MCD fourni en annexe C pour prendre en compte ces nouveaux besoins.

Dossier 5. Gestion des commandes (16 points)


Pour les commandes en ligne, les clients règlent soit par carte bancaire soit par chèque. Dès que la
commande est validée « En attente de règlement », l’état du stock est mis à jour automatiquement.
Pour les paiements par carte bancaire, dès que le paiement est confirmé par la banque, la commande
est notée « réglée » puis préparée et expédiée. La date d’expédition est alors saisie.
Pour les paiements par chèque, dès que le chèque est réceptionné par la filature du Valgo, la commande
est notée « réglée » puis préparée et expédiée. La date d’expédition est alors saisie.
Si le chèque n’est pas réceptionné dans les 7 jours ouvrés, la commande est annulée et l’état du stock
remis à jour.
Si jamais le chèque est reçu après ce délai et que le stock permet de satisfaire la commande, la com-
mande est notée « réglée » puis préparée et expédiée. La date d’expédition est alors saisie et l’état du
stock mis à jour. Dans le cas contraire, le chèque est retourné au client.
12. Modéliser le processus de gestion des commandes.

114

UE 118 • Systèmes d’information de gestion

Dossier 6. Réseau et sécurité des données (23 points)


Une nouvelle commerciale, Mme Vinciane, vient d’être embauchée. La filature du Valgo lui achète un
nouvel ordinateur portable.
13. À l’aide de l’annexe 10, indiquer la classe d’adresses du réseau de la filature du Valgo et préciser
la façon de la déterminer. Combien d’hôtes peut-on connecter sur ce réseau ? Justifier le calcul.
14. Proposer un paramétrage sur le réseau de la filature du Valgo pour l’ordinateur portable de
Mme Vinciane : adresse IP, masque de sous-réseau, adresse de passerelle par défaut.
15. Quels sont les risques, en termes de sécurité informatique, associés au point d’accès Wifi et com-
ment la filature du Valgo peut-elle s’en protéger ?
Afin de mettre en place rapidement son site Web de vente en ligne, et étant donné les faibles moyens
informatiques de la filature du Valgo, celle-ci a choisi de faire héberger son site auprès d’un hébergeur de
sites Web OVH.
À l’aide de l’annexe 10, répondre aux questions suivantes :
16. Qu’est-ce qu’un nom de domaine ? Pourquoi la filature du Valgo doit-elle acquérir un nom de
domaine ?
17. Qu’est-ce qu’un CMS ? Quels sont les avantages d’un CMS ?
18. Indiquer quels sont les risques qui pèsent sur le site Web de la filature du Valgo.
19. Les solutions d’OVH semblent-elles pertinentes pour limiter ces risques ? Argumenter la réponse.
20. Indiquer les obligations de la filature du Valgo concernant les données saisies sur le formulaire
« Inscription » par les visiteurs de son site web.
21. Préciser les mentions à faire apparaître sur ce formulaire.

Annexe 1 Le processus de fabrication des pelotes


La préparation
Aujourd’hui, la laine est reçue par la filature déjà lavée.
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

La première opération consiste à constituer un ou plusieurs


lots de la composition désirée appelés « battue ».

Le cardage
Il s’agit de transformer la laine battue en mèches continues cylindriques rassemblant la quantité de fibres
choisie pour l’élaboration du fil. Ces mèches s’enroulent sur des rouleaux en gâteaux parallèles.

La filature
La mèche issue du rouleau passe dans les « ren-
videurs », et en ressort sur un manchon sous la
forme de fil tordu, qu’il faudra ensuite retordre
pour le rendre tricotable (c’est le retordage).
Le fil est alors mis en écheveaux puis dégraissé
et essoré. Ensuite vient la teinture.

201181TDPA0413 115

Systèmes d’information de gestion • Devoir 6

La teinture
La teinture est une phase essentielle dans la fabrication
des fils à tricoter. Le problème essentiel à résoudre est la
reproductibilité d’un bain à l’autre. La moindre variation
dans la fibre se traduit par un changement dans la
nuance.
Chaque couleur est obtenue en fonction d’une formule
chimique spécifique.
Ensuite les écheveaux sont rincés à l’eau claire, essorés
et passés au séchoir.

La finition : la mise en pelote


La dernière opération consiste à dévider les écheveaux en pelotes (pour certaines qualités).
Enfin, les pelotes sont munies de leur bande comportant les informations qui caractérise la qualité et leur
bain, puis rangées à la main dans leur emballage définitif.

Annexe 2 Catalogue des produits

Extrait du catalogue pour la qualité nommée Ankara


« Description de cette qualité : Ankara est le plus doux de tous les fils !...
Taille d’aiguilles conseillée : n° 4 et 5
Taille Échantillon (pour 10 × 10 cm) : 22 mailles et 30 rangs
Présentation : Pelote de 25 g - 100 m environ
Entretien : Lavage à la main, 30° maximum - essorer sans tordre - séchage à plat

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Composition de la qualité nommée Ankara : 80 % angora français - 20 % mérinos

Prix
Les clients étant principalement des particuliers, les prix affichés sont toujours TTC.
Le taux de TVA est 19,6 %. »

Annexe 3 La gestion des bains


Les couleurs sont identifiées par un numéro, un nom et la formule chimique pour l’obtenir. Pour chaque
qualité, le gérant choisit les différentes couleurs qui seront proposées. Une même couleur pourra se
retrouver dans plusieurs qualités. De nouvelles couleurs sont conçues régulièrement pour s’adapter aux
tendances de la mode, les formules sont toujours mémorisées même si elles ne sont pas toujours pro-
posées dans une qualité.
Certaines qualités, comme la Valgo 4 fils, ne sont pas colorées. Dans ce cas, chaque fabrication sera
quand même identifiée par un numéro de bain car chaque fabrication aura une teinte naturelle
différente.
Pour tricoter ou crocheter un ouvrage, les pelotes de laine utilisées doivent provenir, pour une qualité et
couleur donnée, du même bain. Les bains sont numérotés séquentiellement pour une même qualité.
Il peut arriver qu’une cliente ait besoin d’une pelote d’un certain bain pour finir son ouvrage. Dans ce cas,
elle doit contacter le comptoir pour connaître les disponibilités pour le bain donné de la qualité.

116

UE 118 • Systèmes d’information de gestion

Le suivi des stocks de laine par qualité, par couleur et par bain est donc primordial pour satisfaire au
mieux les clientes.
Un stock d’alerte par couleur et par qualité est mémorisé dans le système d’information. Lorsque ce
stock d’alerte est atteint, cela signifie qu’il faut lancer une nouvelle fabrication.
Une commande d’une cliente pour une qualité et une couleur sera toujours assurée avec des pelotes
provenant du même bain.
Sur le site de vente en ligne, la gestion des bains sera ainsi assurée : si la quantité disponible n’est pas
suffisante, cela apparait sur le site et la commande est bloquée.
Ainsi une cliente qui souhaite commander 15 pelotes de la qualité Ankara couleur Glycine alors qu’il n’y
a pas 15 pelotes du même bain en stock mais 10, verra le message suivant s’afficher : « Plus que 10
pelotes d’Ankara Glycine du même bain disponibles. Choisissez une autre couleur, modifiez vos quanti-
tés ou revenez dans quelques jours… ».

Annexe 4 Vente au comptoir sur tableur


Ci-dessous un exemple de facture au comptoir (feuille de calcul « Facture comptoir »).
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Les saisies en colonne B sont réalisées grâce à des zones de liste déroulante.

201181TDPA0413 117

Systèmes d’information de gestion • Devoir 6

Extrait de la feuille de calcul « Catalogue Accessoires »


Avant la création du site de vente en ligne, les accessoires vendus au
comptoir étaient surtout du dépannage pour les clientes. Le choix
était très limité et le prix en fonction du type d’accessoire.

Extrait de la feuille de calcul « Catalogue_Laine »

Extrait de la Feuille de calcul « Clients »

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Gestionnaire de noms

118

UE 118 • Systèmes d’information de gestion

Annexe 5 Conditions de vente


Certains « bons » clients ou les clients qui proposent des modèles gratuits deviennent des clients « Or »
et bénéficient à ce titre d’une réduction de 10 %.
Les frais de port sont gratuits à partir de 45 € (net commercial) de commande ; en dessous de ce mon-
tant, un forfait de 5 € est facturé (service disponible uniquement pour les clients de France Métropolitaine,
les autres clients sont invités à contacter directement le comptoir par téléphone et ne seront pas étudiés
ici).

Annexe 6 Dictionnaire des données


Nom Signification Type
Client_Or (O/N)  Si le client est un client Or, la donnée Client_Or prend pour valeur O Booléen
Frais_port  Montant des frais de port d’une commande en France Monétaire
Métropolitaine (5 €)
Montant_à_Payer  Montant total à payer, soit le montant total des produits Monétaire
commandés éventuellement diminué de la réduction « client or » et/
ou augmenté des frais de port.
Montant_Pdt_Cde  Montant de l’ensemble des produits commandés (laine, Monétaire
accessoires) au tarif catalogue
Num_Cde Numéro de la commande client Entier
Tx_Réduction_Ct_Or Taux de réduction dont bénéficie le client Or soit 10 % Réel
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

201181TDPA0413 119

120
Systèmes d’information de gestion • Devoir 6

Annexe 7 MCD Vente en ligne de la filature du Valgo

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite


UE 118 • Systèmes d’information de gestion

Annexe 8 Modèle logique des données à compléter


Qualité (Nom_Q  ;Description _Q  ; Taille_Aig_conseillées, Taille_crochet_conseillé, Taille_
echantillon_Q, Présentation_Q, Conseil_entretien_Q, PV_Q)
Couleur (Num_C, Nom_C, Formule_C)
Matière (Num_M, Nom_M, Commentaire_M)
Client (Num_Clt, Nom_Clt, Prénom_Clt, Mail_Clt, Adresse1_Clt, Adresse2_Clt, CP_Clt, Ville_
Clt, Date_création_Clt, Client_Or, Date_Clt_Or, Mdp_Clt)
Employé (Num_Empl, Nom_Empl, Prénom_Empl)
Taille (Num_Taille, Taille, Type_Taille)

Annexe 9 Nouveaux besoins

Gestion des promotions


Des promotions sont proposées régulièrement. Elles consistent en un pourcentage de réduction sur cer-
taines qualités de laine. Afin de mieux analyser l’efficacité de ces promotions, on souhaite les mémoriser
dans le système d’information. Chaque promotion a une date de début et de fin, un nom et sera identifiée
par un numéro.

Élargissement de la gamme des accessoires


La gamme d’accessoires est étendue aux boutons. Pour chaque référence de bouton, il faudra mémori-
ser le diamètre, le prix de vente, la quantité en stock, la matière (nacre, métal, PVC, bois…), la couleur et
une photo par couleur.

Fournisseurs d’accessoires
D’autre part, afin d’améliorer la gestion des stocks pour tous les accessoires qui ne sont pas fabriqués mais
achetés auprès de fournisseurs, la filature du Valgo veut désormais conserver dans sa base de données les
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

coordonnées des fournisseurs (Nom, adresse complète, nom du contact, mail, délai moyen de livraison) ainsi
que les produits approvisionnés avec leur prix d’achat et la quantité minimale de la commande.

Kits
Enfin, la filature du Valgo se lance dans de nouveaux produits : les kits. Il s’agit de proposer aux clients
dans un joli paquet tout le nécessaire pour réaliser un ouvrage : modèle, laine (qualité et couleur) et
accessoires tels que les boutons.
Ci-dessous l’exemple de kit « Écharpe vague framboise » qui est vendu 15 € et dont voici la
description :
« Le kit comprend :
• La laine nécessaire à la réalisation de l’écharpe
• Les explications du modèle
Les aiguilles ne sont pas fournies dans ce kit. Pour tricoter l’écharpe, il vous faut une paire d’aiguilles 4,5
et un crochet 3,5. »
Voici les photos associées à ce kit (maximum 2 photos par kit) :

201181TDPA0413 121

Systèmes d’information de gestion • Devoir 6

Annexe 10 Réseau de la filature du Valgo


Ci-dessous le schéma du réseau actuel de la filature du Valgo :

La filature a un abonnement auprès d’un FAI qui lui a fourni le routeur ADSL.
Le serveur joue le rôle de serveur de données et d’impression.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Annexe 11 Site Web
Le site Web de la filature est conçu avec le CMS Joomla et est hébergé chez un prestataire externe OVH.
Ce prestataire de service permet également à la filature d’acquérir un nom de domaine. Elle a choisi
www.filvalgo.com.
Voici un extrait de l’offre Pro de ce prestataire :

122


Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

201181TDPA0413
123
UE 118 • Systèmes d’information de gestion
Systèmes d’information de gestion • Devoir 6

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

« Haute Sécurité et Haute Capacité


OVH fait le choix pour vous de la sécurité ET de la capacité. Tous les hébergements disposent de la
capacité de stockage maximum (suivant l’offre d’hébergement), tout en bénéficiant des sauvegardes
snapshots.
Vous bénéficiez de 3 snapshots1 quotidiens et de 3 snapshots hebdomadaires, ce qui vous met à l’abri
de vos erreurs de manipulation ou de celles de vos collaborateurs (qui n’a jamais supprimé un fichier par
erreur ?)
En plus, OVH possède une copie supplémentaire de votre site (pour des raisons de sécurité interne) sur
site géographique différent. »

1. C’est la photographie, à un moment précis, de l’état d’une base de données.

124

UE 118 • Systèmes d’information de gestion

« Haute Disponibilité
L’hébergement mutualisé bénéficie aussi des technologies les plus avancées afin de vous fournir une
qualité de service des plus élevées.
OVH a mis en œuvre une infrastructure robuste.

Les données
Le stockage des données de l’espace WEB de vos sites s’effectue sur des serveurs de fichiers haute-
performances comportant plusieurs dizaines de disques durs.

Des serveurs spécialisés


Les serveurs WEB et Emails
Plus de 1000 serveurs dédiés uniquement à l’espace WEB travaillent en parallèle grâce à des répartiteurs
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

de charge en redondance pour traiter les requêtes de vos visiteurs.


La répartition de charge et la redondance des serveurs assurent, en cas de panne d’un ou de plusieurs
serveurs, de garder votre site pleinement accessible.
Il n’y a aucune coupure, pas de ralentissement, tout est transparent. Grâce à ce système, nous pouvons
vous assurer une disponibilité de vos sites de 99,9  %. C’est ce que nous appelons la
haute-disponibilité.
Le même principe de stockage et de répartition de charges est en place pour les serveurs gérant les
emails.

Les serveurs de bases SQL


Les bases MySQL de vos sites sont stockées sur des serveurs spécifiques, eux aussi uniquement réser-
vés à cet usage.
Chaque serveur SQL, particulièrement puissant, possède plusieurs disques durs montés en RAID-1.
Ainsi, si le disque d’un serveur venait à poser problème, un autre disque prendrait automatiquement le
relais, sans aucune perte de donnée. C’est cela aussi la haute-disponibilité chez OVH.

Les autres serveurs


Les mêmes technologies sont utilisées pour les serveurs hébergeant les espaces FTP Anonyme et les
espaces REAL pour le streaming audio et vidéo. »

201181TDPA0413 125

Systèmes d’information de gestion • Devoir 6

Annexe 12 Formulaire d’inscription

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite
Annexe A Formules de la feuille de calcul « Facture comptoir » à rendre
avec la copie

Remarque
Les formules doivent permettre de gérer les messages d’erreur éventuels. Fichier Excel disponible en
téléchargement sur le site www.cnamintec.fr

126

UE 118 • Systèmes d’information de gestion

Annexe B Algorithme à compléter et à rendre avec la copie


Algorithme Calcul du montant à payer
Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

Var Num_Cde : Entier


Var Montant_Pdt_Cde : Monétaire
Var Client_Or (O/N) : Booléen
Var Montant_à_Payer : Monétaire
Const : Frais_port = 5 € : Monétaire
Const : Tx_Réduction_Ct_Or = 10 % : Réel
Début

Fin

201181TDPA0413 127

Systèmes d’information de gestion • Devoir 6

Annexe C MCD à compléter et à rendre avec la copie


À télécharger sur le site www.cnamintec.fr.

Document de travail réservé aux élèves de l’Intec – Toute reproduction sans autorisation est interdite

128

You might also like