Introduction

Introduction

Dans le cadre de l’enseignement de Cours Electifs en deuxième année aux Mines de Nancy, j’avais décidé de demander le cours « C2i Niveau 2 Métier de l’ingénieur ». En effet j’avais d’une part bien aimé le cours de première année de préparation au C2i Niveau 1 (même si les thèmes sont très différents pour le C2i Niveau 2), d’autre part j’estime qu’il est très important pour nous d’avoir un minimum de connaissances en termes de sécurité informatique, de recherches d’informations, et des notions concernant le travail collaboratif numérique. De plus, j’étais attiré par le fait que la plupart des séances étaient animées par un intervenant extérieur, exerçant dans le milieu professionnel, et parfois même un Alumni. Enfin, le fait qu’il y ait souvent des petits travaux en groupe m’attirait, dans la mesure où je trouve cela très formateur, et que cela nous place dans une situation professionnelle future.

Ce Dossier Numérique de Compétences vise d’une part à synthétiser les connaissances acquises lors des 14 séances de cours, d’autre part à faire un premier bilan des compétences acquises, dans l’optique du passage du C2i Niveau 2. A savoir entre autres : politique de confidentialité de l’entreprise, gestion de projets collaboratifs, veille informatique.

Il s’organise en les différentes synthèses des séances, enrichies le plus souvent par des recherches annexes, par les travaux que nous avons pu réaliser en groupe, et par une rapide énumération des connaissances et difficultés que j’ai pu rencontrer. Par souci de clarté, le bilan des interventions suivra l’ordre chronologique, sachant que ce dernier suit lui-même une logique par rapport à l’ordre dans lequel sont énumérées les compétences sur le site du Ministère (i.e. stratégies de collaboration et de recherche d’informations, sécurité de l’information, législation sur le numérique, pilotage de projets des systèmes d’information).

David Emadzadeh, élève en deuxième année aux Mines de Nancy

Rappel des différentes séances

Introduction

Dans le cadre du cours électif “C2I niveau 2 Métiers de l’Ingénieur” à l’Ecole des Mines de Nancy, j’ai suivi 14 séances de 3 heures chacunes, avec différents intervenants.

  • Séance 1 : 11 février

Mme Benmouffek + M Tisserant – Séance d’introduction et présentation des TIC (Technologies de l’Information et de Communication)

  • Séance 2 : 18 février

François Zaninotto, ancien élève de l’Ecole, Marmelab

  • Séance 3 : 25 février

Samuel Nowakowski, Loria

  • Séance 4 : 11 mars

Samuel Nowakowski, Loria

  • Séance 5 : 18 mars

Sylviane Kinzelin, Mines Nancy, Documentaliste

  • Séance 6 : 25 mars

Olivier Servas, ATILF (Analyse et Traitement Informatique de la Langue Française)

  • Séance 7 : 8 avril

Olivier Servas, ATILF (Analyse et Traitement Informatique de la Langue Française)

  • Séance 8 : 15 avril

Patrick Tafforeau, Professeur de Droit à l’Université de Lorraine

  • Séance 9 : 22 avril

Patrick Tafforeau, Professeur de Droit à l’Université de Lorraine

  • Séance 10 : 13 mai

Mansour Elghoul, consultant en Systèmes d’Information et Professeur Associé à l’UFR Maths-Info

  • Séance 11 : 20 mai

Bilan mi-parcours, Mme Benmouffek + M Tisserant

  • Séance 12 : 27 mai

Différentes présentations, Mme Benmouffek + M Tisserant

  • Séance 13 : 3 juin

Mansour Elghoul, consultant en Systèmes d’Information et Professeur Associé à l’UFR Maths-Info

  • Séance 14 : 10 juin

Jérôme Balezo, ENSEM

Conclusion

Conclusion

Au terme de ce Dossier Numérique de Compétences, je pense avoir acquis un certain nombre de connaissances et de compétences sur les différents domaines énumérés plus haut. Les interventions de différentes personnes ont été très enrichissantes, autant du point de vue de leur contenu que de l’impression que les intervenants m’ont laissé sur leur approche du monde professionnel. Le fait qu’ils aient tous une place différente dans l’entreprise rend chacune de ces interventions très intéressante, je tiens à remercier Mme Benmouffek et M. Tisserant pour cela. De plus, tous les intervenants nous ont présenté un aspect différent des compétences à avoir, ce qui rendait les séances d’autant plus enrichissantes pour nous.

Séance 1

Travail effectué en séance 1

La séance de présentation du cours de C2i s’est effectuée en plusieurs étapes. Nous avons commencé par travailler par groupes de 4 soit sur le e-Portfolio, soit sur le DNC, afin de définir précisément de quoi il s’agit.

J’ai travaillé sur le e-Portfolio :

Le principe d’un e-portfolio réside dans le fait de rassembler des documents dans lesquels une personne ou une organisation décrit ce qu’il a appris au cours de ses expériences (sociales ou professionnelles) et sélectionne les parties de ses projets à communiquer à un type particulier de public. La manière de communiquer doit être également déterminée.

But de l’E-portfolio :

Constituer une archive du travail d’une personne ou d’une organisation.
Il permet de retracer la progression d’une personne et peut servir à la validation d’acquis, ou à la valorisation de ses propres expériences et de ses compétences dans le cadre d’une carrière professionnelle.
Il permet de communiquer aux autres une image de soi plus riche que celle qu’on pourrait donner par un CV et permet de réfléchir sur soi-même et sa propre progression.
Plus largement, l’E-portfolio peut être étendu à un groupe de personnes plus large (groupe de travail, entreprise, association).

L’e-Portfolio possède un grand nombre d’avantages :

  • Il est accessible depuis n’importe où et n’importe quand ;
  • On peut y intégrer différent objets multimédias (images, sons et vidéos) ;
  • Il permet un meilleur apprentissage ;
  •  Il permet une bonne communication (qui de plus est asynchrone) entre enseignants, étudiants et parents ;
  • C’est un outil qui se trouve au centre des différentes méthodes d’inclusion numériques ;
  • Il permet d’établir une évaluation des compétences.

Il existe différents types d’e-Portfolio, classés selon leur objectif :

  • Professionnel : afin de communiquer sur ses actions, ses formations et activités
  • De développement : afin de montrer une évolution des connaissances et formations de la personne, à travers des bilans de compétence, des auto-évaluations…
  • De présentation : l’unique but est de démontrer ce que la personne sait faire, afin de convaincre pour une éventuelle embauche
  • D’évaluation : évaluer les compétences d’une personne sur un secteur en particulier

…sachant qu’en général les e-Portfolio sont inspirés des quatre types présentés.

 

Dans un second temps, nous avons dû faire des recherches sur Internet, concernant 7 questions qui relèvent de différents sujets abordés ultérieurement dans le cours :

Question 1) Citer 4 instances qui ont la qualité d’AAI (Autorité Administrative Indépendante) et qui, par leurs compétences spécifiques, sont particulièrement intéressées aux TIC

CNIL (Commission Nationale Informatique et Libertés), CSA (Conseil Supérieur de l’Audiovisuel), ARCEP (Autorité de Régulation des Communications Electroniques et des Postes), HADOPI (définie plus loin)

 

Question 2) Quelle autorité administrative indépendante se voit confier le respect des règles du droit de la concurrence pour toutes les activités liées aux TIC ?

Il s’agit de l’Autorité de la concurrence, qui remplace le Conseil de la concurrence.

 

Question 3) Pouvez-vous citer un organisme français de co-régulation de l’Internet constitué sous la forme d’une association à but non lucratif qui associe représentant de l’Etat, du secteur privé et de la société civile ?

Le Forum des droits sur l’Internet co-régule l’Internet en France. Il représente les trois acteurs nommés plus haut, et est concerné par le développement du numérique.

 

Question 4) Pouvez-vous citer les missions du Forum des droits sur l’Internet ?

Il doit principalement réguler les activités sur Internet. Ceci passe par la mise en contact des différents acteurs, informer le grand public et les utilisateurs, gérer et surmonter les éventuels conflits entre acteurs sur le Net, et assurer une coopération à grande échelle. Il ne jouit cependant pas d’un droit de décision.

 

Question 5) Que recouvre le principe dit du “end to end” (ou architecture de bout en bout”) ?

Il s’agit de simplifier le réseau, en plaçant les applications de manière stratégique (i.e. placer les éventuels problèmes complexes à sa frontière). Ce principe est en particulier applicable dans le domaine de la transmission d’informations : séparer physiquement les fonctions de traitement de l’information et celles de son transport.

 

Question 6) Qu’est-ce que l’HADOPI ?

Haute Autorité pour la Diffusion des Œuvres et la Protection des droits sur Internet. Elle vise à développer la diffusion légale, protéger l’auteur et les droits d’auteur, et informer l’internaute sur ses obligations sur le Net, et sur les précautions à avoir.

 

Question 7) Quelle portée la jurisprudence a-t-elle déjà assignée à la Netiquette en droit ?

La jurisprudence lui a déjà assigné la force d’usage afin de dénoncer le spamming.

 

Nous avons fini la séance par une nouvelle présentation (PowerPoint) ayant pour thème les chartes en entreprise :

Les Chartes en Entreprise sur la « bonne » utilisation des TIC – Exemples dans différents types de sociétés

 

  • Pourquoi rédiger une charte ?

A partir du moment où une entreprise dépasse le nombre de 20 salariés, elle est obligée d’afficher un règlement intérieur. Ce dernier doit établir les règles relatives à l’hygiène, la sécurité, la discipline à respecter en entreprise ainsi que les sanctions applicables en cas de non-respect de ces règles.

Par ailleurs, l’augmentation importante des risques liés aux Nouvelles Technologies d’Informations et de Communications (NTIC) mises à disposition des salariés ainsi que la volonté de mettre au clair les règles liées à leur utilisation et à leur accès, poussent les entreprises à établir des chartes de bonne utilisation des TIC, dans l’intérêt à la fois de l’entreprise et de ses employés.

 

  • Comment rédiger une charte Internet? → listing des informations à y mettre

La plupart du temps, il est conseillé de faire appel à un juriste. Les informations devant être présentes sont:

-destinataires de la charte, à qui elle s’applique

-ce qu’on appelle “systèmes d’information et de communication” et ce qui est concerné par la confidentialité (boites mail, sessions, réseau…)

-des conseils aux usagers (ex: ne pas noter ou transmettre les identifiants, prendre des mots de passe assez élaborés)

-si des sites internet sont bloqués au sein de l’entreprise

-des conseils plus généraux (envoyer des mails avec Accusé de Réception, les doubler de lettres postales si message important)

-d’autres recommandations, par ex. utilisation de la messagerie autorisée dans le cadre privé dans certaines conditions (ex: expliciter “Privé”)

-informer les usagers (i.e. les employés) que les données échangées sont susceptibles d’être lues par d’autres employés, en particulier par le service informatique

-les sanctions éventuelles et les responsabilités engagées le cas échéant

 

La plupart des grandes entreprises ou institutions utilisent les technologies de l’information et de la communication. À ce titre, elles se doivent de posséder une charte de bon usage des TIC. On peut donc citer de nombreux exemples d’entreprises qui possèdent ce type de charte.

  • Par exemple, l’Université de Lorraine possède sa propre charte d’utilisation des TIC nommée “Charte régissant l’usage des technologies de l’information et de communication au sein de l’Université de Lorraine” : “La présente charte définit les règles d’usages et de sécurité que l’Université de Lorraine et l’utilisateur s’engagent à respecter : elle précise les droits et devoirs de chacun”

 

  • Extrait de la charte informatique de Renault :

« Mettre toujours un mot de passe quand il est demandé.

  1. Changer de mot de passe régulièrement.
  2. Ne jamais prêter votre identifiant/mot de passe.
  3. Protéger spécifiquement vos fichiers confidentiels Renault.
  4. Ne jamais quitter votre poste de travail en laissant accessible une session en cours (mise en veille avec mot de passe après 5 minutes d’inactivité).
  5. Ne pas laisser à disposition des supports informatiques (disquette, cassette, CDRom,…) contenant des données confidentielles, dans un bureau ouvert.
  6. Ne pas oublier de récupérer, sur les fax, imprimantes ou photocopieurs, les documents sensibles que vous envoyez, imprimez ou photocopiez. »

 

Ces chartes sont souvent dénommées e-TIC. De telles chartes ne doivent pas se contenter d’évoquer de simples interdictions, elles doivent rappeler les définitions importantes car les domaines de compétence des employés sont différents. Il faut que les chartes soient très précises, sinon, elles risquent de ne pas être opposables aux employés.

 

Autre point : en cas de sanctions évoquées dans la charte, il faut suivre une procédure spécifique, sans quoi il y a risque de contravention s’élevant à 750€ pour des personnes physiques et 3750€ pour des personnes morales. Ceci est spécifié dans le code du travail.

En outre, selon le Code Pénal, il y a un risque de 300000€ d’amende et 5 ans d’emprisonnement s’il est explicité clairement une intention de collecter des informations nominatives des salariés, sans effectuer une déclaration préalable auprès de la CNIL.

 

Conclusion : après avoir instauré la charte, une courte formation des employés sera nécessaire. Une charte unique est difficile, dans la mesure où elle diffère selon l’environnement numérique du travail dans lequel l’employé se trouve.

 

“Piloter la maîtrise d’ouvrage des systèmes d’information”

Domaine D5

Compétence D5.1 : Comprendre les enjeux du système d’information du point de vue de la maîtrise d’ouvrage

Monsieur Elghoul, professeur associé à l’UFR Maths-Info et consultant en systèmes d’information, nous a présenté l’audit, et la sécurité des systèmes d’information (3 mai et 3 juin). J’ai particulièrement apprécié la présentation du métier d’auditeur puisque, contrairement à certains étudiants d’autres départements, ce métier ne m’avait jamais été présenté alors qu’il est essentiel de nos jours, d’un point de vue stratégique et de bon fonctionnement de l’entreprise. Il est aujourd’hui incontournable d’auditer les TIC.

L’audit des projets informatiques

L’objectif est de s’assurer que le projet se déroule normalement et que l’enchaînement des opérations se fasse de manière logique et efficace, de façon qu’on ait de fortes chances d’arriver à la fin de la phase de développement à une application qui sera performante et opérationnelle.

-conformité du projet aux objectifs généraux de l’entreprise

-mise en place d’une note de cadrage, d’un plan de management du projet ou d’un PAQ (Plan d’Assurance Qualité)

-qualité et complétude des études amont : étude de faisabilité et analyse fonctionnelle

-importance accordée aux tests, notamment aux tests faits par les utilisateurs

 

« Les bonnes pratiques » (audit des projets)

-existence d’une méthodologie de conduite des projets

-conduite des projets par étape quel que soit le modèle de gestion de projets (cascade, cycle de vie en V, W, en spirale…)

-respect des étapes et des phases du projet

-pilotage du développement et notamment des rôles respectifs du chef de projet et du comité de pilotage

-clarté et efficacité du processus de développement

-existence de procédures, de méthodes et de standards donnant des instructions claires aux développeurs et aux utilisateurs

-vérification de l’application effective de la méthodologie

-validation du périmètre fonctionnel faite suffisamment tôt dans le processus de développement

-gestion des risques du projet : une évaluation des risques doit être faite aux étapes clés du projet

 

Audit des applications (solutions, logiciels)

L’audit d’applications opérationnelles couvre un domaine plus large et s’intéresse au système d’information de l’entreprise. Ce sont des audits du système d’information : application comptable, paie, facturation, vente, production, achats, logistique…

Il s’agit d’auditer une application de gestion de façon à s’assurer qu’elle fonctionne correctement et lui apporter les améliorations souhaitables.

L’auditeur va notamment s’assurer du respect et de l’application des règles de contrôle interne. Il va en particulier vérifier que :

-les contrôles en place sont opérationnels et suffisants

-la performance est là

-les données saisies, stockées ou produites par les traitements sont de bonne qualité

-les traitements sont efficaces et donnent les résultats attendus

-l’application est correctement documentée

-les procédures mises en œuvre dans le cadre de l’application sont à jour et adaptées

-l’exploitation informatique de l’application se fait dans de bonnes conditions

-la fonction ou le processus couvert par l’application sont efficaces et productifs

Le but de l’audit d’une application opérationnelle est de donner au management une assurance raisonnable sur son fonctionnement. Ces contrôles sont par exemple réalisés par le Commissaire aux Comptes dans le cadre de sa mission légale d’évaluation des comptes d’une entreprise : est-ce que le logiciel utilisé est sûr, efficace et adapté ?

Pour effectuer l’audit d’une application opérationnelle, on va recourir aux objectifs de contrôle les plus courants.

L’auditeur doit s’assurer du contrôle de la conformité de l’application opérationnelle par rapport à la documentation utilisateur, et par rapport au cahier des charges d’origine, par rapport aux besoins actuels des utilisateurs.

La vérification des dispositifs de contrôle en place. Il doit exister des contrôles suffisants sur les données entrées, les données stockées, les sorties, les traitements…L’auditeur doit s’assurer qu’ils sont en place et donnent les résultats attendus.

L’évaluation de la fiabilité des traitements se fait grâce à l’analyse des erreurs ou des anomalies qui surviennent dans le cadre des opérations courantes. Pour aller plus loin, l’auditeur peut aussi être amené  à constituer des jeux d’essais pour s’assurer de la qualité des traitements. Il est aussi possible d’effectuer des analyses sur le contenu des principales bases de données afin de détecter d’éventuelles anomalies.

On doit aussi mesurer les performances de l’application pour s’assurer que les temps de réponse sont satisfaisants même en période de forte charge. L’auditeur va aussi s’intéresser au nombre d’opérations effectuées par le personnel dans des conditions normales d’utilisation (statistiques en termes de performances).

En conclusion, l’auditeur doit se charger d’évaluer la régularité, la conformité, la productivité, la pérennité de l’application opérationnelle.

Le sujet de la séance 13 est l’alignement de l’informatique sur la stratégie de l’entreprise (notamment sur la logistique, qui permet de réduire les coûts) : l’informatique est considéré comme une arme stratégique (réduire les coûts, être proactif = devancer les choses, dématérialiser…).

Initialement, le SI doit mémoriser et diffuser l’information, et permettre de la traiter. Il présente de nouvelles fonctions plus avancées, comme l’aide à la décision. Il est organisé par un ensemble de ressources : matériel, logiciel, personnel, données.

Son rôle et ses objectifs doivent être définis, soit :

-par le type de fonctions couvertes (SI marketing, SI des commandes clients…)

-par les caractéristiques des utilisateurs (SI pour les dirigeants, pour les acheteurs…)

Il ne faut pas confondre SI et informatique (i.e. la fin et les moyens). C’est à partir des années 90 que l’informatique commence à être exploitée pour remplir les objectifs stratégiques des entreprises.

L’évolution s’est faite en termes d’architecture et de moyens, d’organisation, et de stratégie.

A quoi sert un SI ? A gagner plus d’argent, en diminuant ses dépenses (réduire les coûts de production, d’approvisionnements, administratifs, par une refonte des processus d’entreprise qui serait impossible sans les TI), en augmentant ses recettes et en pilotant mieux son activité : augmentation de l’efficience interne de l’entreprise (« faire autant mais pour moins cher » : on imprime soi-même son e-billet ; on pèse soi-même ses légumes…). Il s’agit également de mieux connaître sa clientèle en la fidélisant, d’améliorer ses relations avec ses fournisseurs : augmentation de l’efficacité externe de l’entreprise (« faire mieux pour le même prix »).

Aussi, via les TIC, offrir de nouveaux services, s’ouvrir de nouveaux marchés…En conclusion le SI ne soutient pas la stratégie de l’entreprise. Il est la stratégie. Améliorer l’efficacité via originalité, productivité, qualité, rapidité.

Il est nécessaire de clairement séparer la stratégie des SI et la stratégie des TI (ne pas confondre le pourquoi et le comment).

Enfin, l’alignement de la stratégie de l’entreprise et de la stratégie du système d’information repose sur deux conditions préalables :

-compréhension et intégration de la stratégie de l’entreprise par la fonction système d’information dans son ensemble

-prise en compte des contraintes

 Compétence D5.2 : Identifier les acteurs et les étapes d’un projet « système d’information » pour  en assurer la conduite éclairée

Nous avons commencé la séance 10 par des définitions : qu’est-ce qu’un audit ? Qu’est-ce qu’un auditeur ? Que doit-on auditer ?

Il s ‘agit d’auditer avant, pendant et après le projet. Hors mis les projets, on audite aussi la sécurité (assurer le patrimoine de l’entreprise), une DSI (Direction des Systèmes d’Information), un site Web (peut booster les ventes).

  • Pourquoi auditer ?

On constate que l’informatique coûte cher, et devient bien sûr stratégique (par exemple, Air France a 1400 informaticiens), il créé de la valeur, et est un outil d’innovation. Les processus, les usines et les métiers sont dématérialisés, les SI sont distribués (répartis à travers le monde), les réseaux sociaux se développent. Il faut aussi garantir la continuité des organisations (pour éviter tout blocage, qui entraînerait une non-disponibilité provisoire), respecter les contraintes de normes, les exigences juridiques…

Le commanditaire de l’audit est un directeur général, directeur informatique, directeur opérationnel…Une lettre de mission précise le mandat à exécuter et donne les pouvoirs nécessaires à l’auditeur (donne la légitimité nécessaire).

L’audit est une procédure de contrôle de la comptabilité et de la gestion d’une entreprise. Il consiste en une vérification de la conformité aux règles de droit, de gestion d’une opération, d’une activité particulière ou de la situation générale d’une entreprise. C’est également un diagnostic informatique, juridique, social, fiscal. Il s’agit donc d’un examen de vérification de la conformité, par rapport à ce que ça devrait être.

Les activités de l’auditeur sont:

-observer le domaine audité

-analyser les faits observés

-écouter les explications des audités

-porter un jugement sur le domaine fonctionnel audité en se basant sur des référentiels largement reconnus

 

Compétence D5.3 : Exprimer son besoin dans toutes ses dimensions, et vérifier sa prise en compte par la maîtrise d’oeuvre, tout au long du projet

Un regard externe et neutre peut toujours apporter quelque chose à l’entreprise, un audit doit donc être vu comme une valeur. Cependant, les salariés ne sont pas naturellement enclins à aider les auditeurs (rétention d’information) : ils ont peur car tout devient transparent et contrôlable.

L’audit aide l’organisation à atteindre ses objectifs en évaluant, par une approche systématique et méthodique, ses processus de management des risques, de contrôle, et de gouvernement d’entreprise, et en faisant des propositions pour renforcer leur efficacité.

Un audit de qualité doit :

-déterminer la conformité des éléments du système aux exigences spécifiées

-déterminer l’aptitude du système à atteindre les objectifs spécifiés

-donner à une organisation la possibilité d’améliorer son système et son efficacité

-s’assurer que les activités informatiques d’une entreprise ou d’une administration se déroulent conformément aux règles et aux usages professionnels (les « bonnes pratiques »)

-estimer les risques technologiques susceptibles d’impacter les opérations de production

-définir les points à améliorer

-obtenir des recommandations pour faire face aux faiblesses de l’entreprise

– évaluer le niveau de maturité de l’informatique de l’entreprise

 

Les apports d’un audit sont :

-une mesure d’écart

-une source d’amélioration

-un facteur d’économie

-une occasion de considérer son système de façon objective

-une approche à la compréhension de son système

  • Différents types d’audit (Quoi auditer ?) :
  • La fonction informatique
  • Les études informatiques
  • Les projets informatiques (participe à la réduction du taux d’échec)
  • L’exploitation
  • La sécurité informatique
  • L’alignement stratégique (l’informatique répond-il aux besoins stratégiques ?)
  • La planification de l’informatique
  • Les réseaux et les télécommunications
  • Les achats informatiques
  • La qualité de service
  • L’externalisation (différent de la délocalisation)
  • Les applications opérationnelles (différentes des projets, qui eux sont en cours d’étude ou de réalisation, mais pas encore exploités)

 Compétence D5.4 : Respecter les exigences de l’interopérabilité et de l’accessibilité du point de vue de la maîtrise d’ouvrage

Aujourd’hui, on parle de gouvernance de l’entreprise : il s’agit de contrôler le rôle de tous les acteurs (partenaires actionnaires…) afin de tout rendre transparent, de réguler son fonctionnement afin d’éviter les conflits d’intérêts liés à la séparation entre les ayants-droits et les acteurs. Toutefois, ce n’est pas forcément suffisant, on passe plutôt à l’IT Governance (bonne gouvernance d’une entreprise et bonne gouvernance de l’informatique sont indissociables) : dispositif visant à réguler et optimiser le management des SI d’une organisation.

Dans un contexte de concurrence, pour faire la différence, il faut vraiment mettre l’accent sur le client.

The basic economic resource is no longer capital, nor natural resources, nor labor. It is and will be knowledge” (P. Drucker)

Il s’agit alors, à la suite de différentes affaires révélées dans la presse (notamment double comptabilité qui masque des pertes), de redonner confiance aux actionnaires, créanciers et employés, par la mise en place d’une gouvernance d’entreprise.

De la gouvernance d’entreprise à la gouvernance des SI :

  • Aligner le système d’information avec la stratégie d’entreprise
  • Mettre en adéquation les structures et moyens organisationnels avec la stratégie et les objectifs de l’entreprise
  • Maîtriser, contrôler et mesurer la performance du système d’information

Le mécanisme de gouvernance s’appuie sur 3 grands axes : stratégie (définit les objectifs de la DSI) pilotage (atteindre les objectifs fixés et contrôler le SI), organisation (structure l’activité informatique de l’entreprise au travers d’un cadre de référence).

Les composantes de l’IT Governance sont :

-alignement sur la stratégie de l’entreprise et les processus

-management des ressources et des infrastructures

-gestion de la gouvernance et des ressources humaines

-maîtrise des risques sur le plan technologique et structurel

-maturité des infrastructures et des processus

 

Mais il existe des problèmes qui s’opposent à la propagation de la gouvernance :

-elle ne peut s’exercer qu’au travers d’indicateurs de performance et d’objectifs précis

-manque de maturité au niveau des entreprises françaises avec frein des dirigeants d’entreprise qui ont tout d’abord encore tendance à calculer les coûts informatiques plutôt que la valeur créée par leur système d’information

 

Conclusion

  • La gouvernance informatique est indispensable, mais périlleuse car on ne dispose pas encore de moyens précis et efficaces de mesure des coûts et des gains liés au SI
  • Sans ces indicateurs, il reste difficile pour un dirigeant de fixer des niveaux optimums de ressource et de déterminer des attentes en termes de valeur générée

 

Exemple : une voiture ne se vend pas bien (prix élevé). Comment changer ça ?

3 solutions : abandonner, se maintenir ou partir à la hausse

èAméliorer la communication, changer les caractéristiques du produit…Mais ce ne sont pas des idées durables. Une bonne idée serait de réduire le coût : cela permet de réduire le prix (sans toutefois toucher aux bénéfices), donc permet d’élargir le public.

 

Compétence D5.5 : Interpréter un document de modélisation de données ou de processus métiers

Cette sous-section n’a pas été très développée dans les différentes séances du cours. Le référentiel du Ministère indique que « l’ingénieur doit savoir interpréter des schémas identifiant les différents utilisateurs du SI et les cas d’utilisation qui les concernent ». Nous avons visionné plusieurs schémas de ce type lors des différentes interventions : il s’agit de comprendre le rôle de tous les intervenants d’un SI, et de les représenter en une vue synthétique, via un langage de modélisation (UML Langage de Modélisation Unifié pour un langage orienté objet, Merise pour la gestion de projets internes, et hiérarchiser les problèmes rencontrés).

“Maîtriser la sécurité de l’information et des systèmes d’information”

Domaine D4

Compétence D4.1 : Maîtriser les processus d’une politique de sécurité pour participer à sa mise en place

La présentation de O. Servas concerne les PSSI : Politique de Sécurité des Systèmes d’Information, avec analyse de risques.

Les objectifs principaux sont pour nous de (re)découvrir des concepts sur la sécurité de l’information et des systèmes d’information.

Nous avons commencé la séance par la définition de quelques termes fondamentaux :

Sécurité : situation objective, reposant sur des conditions matérielles, économiques, politiques, qui entraîne l’absence de dangers pour les personnes ou de menaces pour les biens et qui détermine la confiance.

Confiance : croyance spontanée et acquise en la valeur morale, affective, professionnelle…d’une autre personne, qui fait qu’on est incapable d’imaginer de sa part tromperie, trahison ou incompétence.

Connaissance : action ou fait d’apprendre quelque chose par l’étude et/ou la pratique. Comprendre Internet c’est connaître les RFC (Request for Comments) (exemples : http, ftp…).

Valeur : personnelle, difficilement quantifiable. Par opposition au coût ou au prix, qui sont eux parfaitement quantifiables et mesurables et sont donc des grandeurs objectives dans notre société.

Liberté : « logiciel libre » fait référence à la liberté pour les utilisateurs d’exécuter, de copier, de distribuer, d’étudier, de modifier et d’améliorer le logiciel. Plus précisément, elle fait référence à quatre types de liberté pour l’utilisateur du logiciel.

 

En cas de fraude, de téléchargement illégal (Hadopi), de non-respect des droits d’auteur et des conditions d’utilisation, la législation du pays avertit, puis punit ! Toutefois, tous les pays n’ont pas le même politique de sanction.

Après ces premières slides, nous sommes passés à des exemples plus concrets de ce qui est présent –ou manquant !- dans nos machines et sur les serveurs que nous utilisons. Il est –de mon point de vue de non initié- incroyable de constater tant de données, comportements et stéréotypes cachées, de manière malveillante ou non !

J’ai par exemple appris l’existence des Easter eggs : il s’agit de programmes, applications, animations… cachés dans des fonctions que l’on utilise (comme Word, Chrome…). Un bon nombre d’Easter Eggs sont répertoriés sur la page Wikipedia (http://fr.wikipedia.org/wiki/Easter_egg). J’ai appris qu’ils étaient présents sur Linux, Android, Windows…Qu’ils ne concernent pas uniquement des applications de bureautique, mais aussi des navigateurs comme Chrome. Dans la mesure où aucune mauvaise intention n’est supposée, je trouve ces clins d’œil très amusants !

Comme déjà évoqué lors de la conférence de M. Zaninnotto, les entreprises appliquent parfois le principe du Bring Your Own Device, ce n’est cependant pas le cas pour les universitaires et dans le domaine de la recherche, pour des raisons de sauvegarde des données, et de sécurité. Mon tuteur de stage 2A m’a informé qu’un ordinateur local sera mis à ma disposition dès mon arrivée: ils souhaitent éviter la connexion de terminaux externes au réseau interne de l’entreprise.

Ainsi apparaît la notion de Gestion des Données.

Encore une fois, apparaît la nécessité (à tout niveau que ce soit : utilisation de l’ordinateur comme loisir, pour les études ou en milieu professionnel) de faire des sauvegardes régulièrement.

Internet est un système d’interconnexion de machines et constitue un réseau informatique mondial, utilisant un ensemble de protocoles standardisé. En réalité, ce sont notre machine et les autres qui constituent Internet (adresse IP, Mac adresse = adresse caractérisant l’interface de la carte réseau, qu’elle soit Wifi ou Ethernet, nom de domaine…). Si on va régulièrement sur un site, on est tracé (même s’il existe des façons de se « cacher »). J’avais déjà appris ça, mais ça m’étonne aujourd’hui encore, sachant qu’on se sent libre et en toute impunité lorsqu’on est devant son ordinateur…

La quantité de données sur Internet est tout simplement énorme: 1021 octet ! Il est de plus très difficile de supprimer des données qui y ont été publiées. Je trouve ça étrange que les données ne puissent pas être supprimées, dans la mesure où ça faciliterait peut-être la tâche des informaticiens, au lieu de devoir chercher toujours plus d’espace de stockage.

Il nous a aussi renvoyé sur le site de la CNIL, qui nous permet de savoir nos droits, nos libertés, nos responsabilités vis-à-vis d’Internet (http://www.cnil.fr/). Y est présenté un quizz express permettant de rendre l’internaute conscient des données qu’il laisse, après une analyse très superficielle de son ordinateur (http://www.cnil.fr/vos-droits/vos-traces/experience/). Du coup, il est assez angoissant de penser à toutes les données que peut récupérer un pirate connaisseur…

En somme, il s’agit pour l’internaute actuel de faire attention aux cookies (donc faire le ménage parmi les cookies, régulièrement), aux traceurs sur Internet, à la protection de la vie privée.

Après avoir souligné ce point, M. Servas est « passé du côté des malfaiteurs », j’entends par là qu’il nous a parlé des arnaques sur Internet (2 d’entre nous s’étant déjà fait avoir), et des attaques potentielles que l’on risque de subir (lui-même ayant été hacké sur son site !).

Il y a de nombreuses arnaques sur Internet, on peut les répertorier notamment sur arnaques-internet.com. Il existe –du moins pour les sites hébergés en France- des moyens d’attaquer ces sites en cas d’arnaque.

A titre d’exemple il y a récemment eu des arnaques aux bitcoins sur le monde virtuel (faisant notamment chuter son cours).

Les arnaques concernant le paiement sur Internet sont très nombreuses (mails frauduleux, sites leurres, fenêtres pop-up…). Si le site est français, il y a possibilité d’engager des poursuites (notamment en prenant le numéro Siren de l’entreprise).

Nous sommes revenus à des définitions pour embrayer sur les moyens de défense face aux attaques :

Vulnérabilité : permettre à un individu d’exécuter des commandes en tant qu’utilisateur à part entière, d’accéder à des données malgré leur caractère confidentiel, de se faire passer pour quelqu’un d’autre, de provoquer un déni de service.

Risque : danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité.

Il s’agit en effet de limiter au maximum la vulnérabilité (par analyses antivirus, mises à jour…) pour pallier aux failles de sécurité et se protéger du mieux possible. Cependant, aucun système d’exploitation n’est à l’abri (malgré les idées reçues, notamment sur Mac).

Les attaques ne se font pas uniquement sur des personnes, mais aussi sur des sites. Différents types d’attaques sont énumérés, dont voici une liste non exhaustive :

-interruption de service (qui consiste à envoyer plein de requêtes à un site). Par exemple, Ping (qui est en outre facile à réaliser…)

-interception de trafic

-altération de l’intégrité des données

-mascarade, usurpation d’identité

 

Les causes de telles attaques, i.e. les paramètres sur lesquels influencer, sont essentiellement : un mot de passe trop faible ou trop simple, des paramétrages par défaut mal adaptés, des logiciels obsolètes, pas de mise à jour, pas de suivi de l’activité…

Il y a certes souvent besoin d’être administrateur pour agir sur un ordinateur, cependant bénéficier des droits d’administrateur est aisé pour un connaisseur.

Enfin, tout le monde est capable de créer un virus (publication et choix du vecteur de transmission, incubation du virus et phase de duplication dans le ou les systèmes infectés). Les phases actives du virus : détection, mise au point d’une parade, anti-virus. Malheureusement, certains virus ont des conséquences dévastatrices, et des coûts exorbitants s’en suivent…

Concernant le système Windows, M. Servas conseille fortement l’utilisation d’un antivirus, de bien installer les mises à jour sécurité, et de sauvegarder à la fois système et données. Enfin de ne pas utiliser le compte Administrateur, mais un compte Utilisateur.

Il existe des logiciels (comme Hijackthis) qui permettent de « scanner » l’ordinateur, et d’en ressortir les fichiers à supprimer pour le préserver en toute sécurité.

Enfin, M. Servas a fini par nous conseiller de télécharger Microsoft Baseline Security pour la prochaine fois (qui réalise une analyse globale de la sécurité de l’ordinateur).

 

Compétence D4.2 : Distinguer les acteurs de la mise en place de la politique de sécurité et identifier leurs responsabilités légales

M. Zaninotto nous a dit qu’une information sur Internet n’est pas forcément libre d’accès, en effet elle est souvent publiée sous une licence qui définit les droits et les devoirs du lecteur. Il existe aussi des licences libres (qui présentent au moins l’obligation de nommer l’auteur), et des licences libres sans obligation (les open sources). Si la source ne présente pas de licence, on n’a pas le droit d’exploiter l’outil.

En entreprise, l’employé n’a pas le droit de cliquer sur « J’accepte » sans accord préalable des organes décisionnels. En effet ce serait mettre en jeu la responsabilité de toute l’entreprise par ce simple clic.

L’informatique mélange la vie professionnelle et la vie privée. Entre l’ordinateur et le smartphone ou la tablette, l’employé a toujours moyen de répondre aux demandes de l’employeur sous de brefs délais. Il s’agit pour lui de veiller à ne pas trop en faire et à se préserver du burn-out.

Inversement, si on utilise l’ordinateur professionnel pour envoyer des mails personnels, chater ou autre, à la fois l’entreprise et l’employé sont responsables…Il s’agit donc d’être très vigilant sur ce que l’on fait en entreprise (sachant par exemple que l’employeur ne peut exiger d’avoir accès aux courriels d’un employé).

Enfin, nous avons traité de la sécurité en général.

Qui mieux qu’un criminel peut utiliser tous les moyens informatiques et les transformer en richesse ?

Au cours du cursus professionnel, il est quasiment certain que toute personne se fait hacker, et/ou voler des données, pour deux raisons : d’une part il n’y a pas de système qui soit à l’abri, d’autre part il est très facile de lancer des attaques informatiques. D’où l’intérêt du RSSI (responsable de la sécurité des systèmes informatiques) dans une entreprise. Ceci explique également pourquoi les outils informatiques en entreprise sont beaucoup plus onéreux que ceux pour le secteur personnel : il faut gérer toutes les menaces de sécurité, étudier l’aspect licences…

 

Compétence D4.3 : Identifier et hiérarchiser les informations afin de les exploiter de façon adéquate

A titre d’illustration, voici deux travaux que nous avons eu à faire lors de la séance 12, concernant la recherche d’informations et leur exploitation « intelligente ».

TP sur les enjeux économiques de la régulation des TIC en Afrique

http://www.ferloo.com/Montres-intelligentes-Samsung-Sony-et-Qualcomm-sont-a-l-heure_a3348.html

Article

Des montres connectées commencent à se développer (Samsung, Sony, Qualcomm…) avec l’expansion des smartphones. C’est un marché très prometteur.

Elles sont liées aux smartphones, tablettes via Bluetooth, permettent de gérer le baladeur audio, de prendre des photos, de recevoir des SMS, des mails, et des appels. La différenciation entre elles se fait via la compatibilité (adaptabilité des montres aux terminaux), le prix et l’autonomie de ces montres.

Les montres ne sont pas des outils indépendants, mais se définissent comme des extensions des terminaux (hors mis les photos, on ne peut rien faire directement).

Contrairement à la Galaxy Gear (250€), la Qualcomm Toq (350€) est compatible avec tous les terminaux Android, mais est la plus chère (par comparaison avec la Sony Smartwatch : 180€, qui elle permet aussi d’écouter de la musique, tout comme la Gear).

La tendance actuelle est enfin de renforcer l’étanchéité des montres, afin qu’elles permettent de prendre des photos même sous l’eau.

Réflexion personnelle

  • Le prix de ces montres me rend encore très réticent à en acheter une, surtout que son achat suit logiquement l’acquisition d’un smartphone. En effet, quand on achète le dernier smartphone d’une marque, il faut déjà dépenser plus de 500€ en général. Si en plus on souhaite acquérir la montre connectée associée, il faudra dépenser plusieurs centaines d’euros en plus, pour un objet qu’en définitif je ne trouve pas très utile.
  • De plus, je ne saisis pas encore totalement l’intérêt de ces montres : sachant que pour qu’elles fonctionnent, le smartphone ne doit pas être très éloigné de la montre, on peut supposer que l’utilisateur –qui porte la montre à son poignet- aura son téléphone dans sa poche. Donc quand il reçoit un mail ou un appel, je comprends difficilement pourquoi il aurait plutôt tendance à regarder sa montre plutôt que sortir son téléphone de sa poche, et ainsi avoir accès à beaucoup plus d’options (répondre, augmenter le son…).
  • En somme, je pense qu’une montre connectée représente plus une menace qu’autre chose : menace de dépendre de l’autonomie de cette montre –en plus de la dépendance à celle du téléphone, de la tablette, de l’ordinateur…-, de dépendre de la connectivité encore plus qu’avec un téléphone…
  • Enfin, avec le nombre croissant de tâches qu’est capable de réaliser un smartphone, je pense que celui-ci peut se substituer à d’autres appareils, et ne doit pas nécessairement appeler l’achat d’autres appareils connectés.
  • Pour finir, fait intéressant : Apple, qui est toujours à la pointe des innovations en termes de smartphones, n’a pas encore proposé de montre connectée. C’est peut-être parce que leurs études ont montré que ce marché ne serait pas si prometteur qu’il le semble.

Articles sur le Numérique, l’Ingénieur et l’Entreprise

Thème : gestion des données sur le Cloud

“Les bienfaits de la résilience du Cloud et ce qu’elle ne garantit pas”, http://blog.ontrack.fr/les-bienfaits-resilience-du-cloud-ce-quelle-garantit-pas/

Le Cloud est doté d’une faculté d’adaptabilité (la résilience): doté d’une certaine souplesse, il peut à la fois s’adapter à une multitude de supports (smartphones, tablettes, ordinateurs…) et à des fluctuations indépendantes de la volonté de l’utilisateur (par ex pertes de données). La récupération des données serait rendue possible à partir d’un identifiant et d’un mot de passe.

De plus le Cloud se synchronise automatiquement, ce qui permet d’avoir les documents à jour sur tous les supports en instantané. On peut ainsi travailler à partir de n’importe où, n’importe quand.

Mais cela est risqué pour des données sensibles, puisque la connaissance d’un mot de passe pourrait suffire pour y accéder. Pour contourner ces risques, il faut mettre en œuvre des stratégies de sécurité : les modes d’accès multi-facteurs : possibilité d’une « clé » (ex : mot de passe supplémentaire, téléphone, périphérique à connecter à l’interface, lieu d’où a lieu l’opération…) qui assurerait que l’utilisateur seul peut avoir accès aux données.

Il faudrait de plus que chaque document sur le Cloud soit multi-sauvegardé, afin qu’une suppression –involontaire ou malveillante- sur un des supports ne supprime pas les données du document.

Ainsi, avec la multiplication des supports d’information et de travail, la résilience du Cloud est son plus grand atout. Elle peut également se retourner contre ses utilisateurs, avec le risque pour eux de perdre leurs données, ou pire, de les voir libérées dans la Nature. D’où l’intérêt et la nécessité de protéger les données qu’on met sur le Drive, notamment par des sauvegardes à différents endroits, et sur différents supports. Même si cela pose des contraintes de capacité et de matériel.

 

Compétence D4.4 : Évaluer la sûreté des procédures et connaître la limite des outils permettant de traiter l’information, selon le lieu et le mode d’accès

Lors de la présentation de S. Nowakowski, nous avons (re)découvert des outils de travail collaboratif comme Prezi, Dropbox, Coggle, et pu les utiliser. J’ai notamment appris que lorsqu’on dépose des documents sur Dropbox ou Prezi entre autres, on est dépossédé de nos droits sur ces documents ! Cela m’a vraiment étonné et j’utilise moins ces outils maintenant, surtout pour des présentations « sensibles » (exemple : atelier Artem avec des données sur le groupe Cora).

Lors de la présentation de M. Zaninotto, nous avons évoqué l’outil informatique en lui-même.

L’idée essentielle est que la tendance actuelle pour les entreprises est de passer d’un mode d’achat à un mode de location :

  • L’Iaas (Infrastructure as a Service) concerne la gestion des ressources informatiques. Il s’agit de rendre plus commodes les moyens informatiques (l’entreprise achètera de la capacité brute). Le fournisseur leader en Cloud Iaas est actuellement Amazon Web Service.
  • Le Paas (Platform as a Service) permet aux entreprises d’acheter des utilisateurs simultanés
  • Le Saas (Software as a Service), qui est la troisième évolution de la tendance. Il vise à louer des applications au lieu de les acheter (pack Office, Photoshop…).
  • Ainsi l’Iaas est une location partielle de serveurs, le Paas une location partielle de serveurs avec des fonctions précises, et le Saas une location des services-même.

Il est en outre de plus en plus question de la tendance “Bring your Own Device”: il s’agit pour l’employé de venir au boulot avec son propre ordinateur portable et de le brancher sur le réseau de l’entreprise le temps du travail. Un des principaux problèmes de cette nouvelle tendance est que, si l’employé doit télécharger un logiciel nécessaire pour ses fonctions, et qu’il quitte l’entreprise, de savoir comment cette dernière va récupérer la licence…Le BYOD pose d’autres problèmes : la sécurité, l’assurance de l’ordinateur, et rend l’employé responsable de la configuration de sa machine (elle doit être assez puissante pour permettre l’exercice de ses fonctions).

De plus, à partir du moment où l’employé apporte son ordinateur dans l’entreprise, il accepte la responsabilité que ses informations soient diffusées dans l’entreprise. Celle-ci se doit en amont de prévenir l’employé de tout ce à quoi il s’expose en termes de responsabilités et de risques, avant de l’autoriser à pratiquer le BYOD.

 

Compétence D4.5 : Estimer les risques accidentels et intentionnels afin que soient prises les dispositions nécessaires

Dans l’intervention de M. Zaninotto, nous avons vu que l’entreprise doit également informer l’employé des quotas d’utilisation des serveurs (taille de la messagerie…), dont les capacités sont souvent insuffisantes ! On est obligé de faire « le ménage » régulièrement (une fois par an), ce qui est consommateur de temps. Les fichiers créés au sein de l’entreprise ne sont pas stockés sur le disque dur local de l’ordinateur (risque de perte des données si l’ordinateur plante), mais sur un répertoire partagé (sur lequel les employés ont aussi un quota), qui lui est sauvegardé régulièrement.

En plus des ordinateurs, le service informatique s’occupe d’autres outils auxquels on prête peut-être moins d’attention (badges, serveur vocal, serveur Exchange…), et il peut effectuer des mises à jour à distance.

Pour son espace partagé, une entreprise loue une partie d’un Data Center, appelé une baie de disques.

Deux entreprises françaises (Cloudwatt et Numergy), financées par l’Etat à hauteur de 450 M€, développent un « cloud à la française », tel que les Data Center soient en France. Il faut alors distinguer le cloud privé (les serveurs appartiennent à une entreprise) du cloud public.

Puis M. Zaninotto nous a présenté le domaine du Disaster Recovery, qui présente le Plan de Continuation d’Activité  et le Plan de Reprise d’Activité.

L’idée principale est la suivante : si les serveurs plantent, l’entreprise doit pouvoir continuer son activité. Ainsi, une infrastructure de sécurité tourne en même temps que l’infrastructure maîtresse (PCA) ; ou l’infrastructure maîtresse doit pouvoir être rétablie rapidement (typiquement, en quelques jours) (PRA).

Ceci nécessite un doublement des infrastructures, et est très coûteux, surtout que l’infrastructure de sécurité est quasiment inutilisée (sauf pour des tests). C’est en raison des coûts élevés que le Cloud est de plus en plus utilisé pour développer des PCA et des PRA (sachant que le premier aspect du Cloud, i.e. son offre de base, consiste en la sauvegarde de données comme sur Dropbox, ou Google Drive).

Un problème majeur du Cloud est cependant qu’il est polluant (il consomme 3 % de l’énergie mondiale, ce qui est énorme), surtout que les serveurs chauffent beaucoup donc doivent être climatisés (ce qui participe au phénomène de pollution).

En guise de transition avec la partie suivante, il nous a été rappelé qu’autant Dropbox que Google Drive ne sont pas prisés des entreprises françaises, pour la raison que ce sont des applications américaines : l’entreprise française n’est pas très encline à déposer des données sur un serveur américain…

Nous avons en effet enchaîné sur la confidentialité informatique.

En réponse au Patriot Act américain (qui oblige une entreprise comme Google, Microsoft, Hotmail, à mettre à disposition des institutions américaines les données privées), l’Union Européenne a voté il y a moins de dix ans le Safe Harbor, qui vise à concilier les droits de protection sur la vie privée avec ce Patriot Act. Par là-même, le Safe Harbor travaille sur des questions de confidentialité et de sécurité.

La législation n’est pas la même aux Etats-Unis et en Europe : par exemple en France, toute institution ou entreprise souhaitant stocker des données personnelles a l’obligation d’en informer la CNIL (Commission Nationale Informatique et Libertés).

Concernant le service informatique, le statut est clairement explicité par la loi : il est soit hébergeur soit éditeur. LeMonde.fr est par exemple éditeur, alors que Youtube est hébergeur (il ne contrôle pas les vidéos qui y sont déposées, donc n’en est pas responsable). La jurisprudence annonce de gros changements de législation en perspective ; sachant que dans les deux cas (hébergeur et éditeur) la fonction « signaler un abus » doit être proposée sur le site. C’est au rôle de la Direction des Affaires Juridiques de veiller au respect de la Loi dans l’entreprise.

Dans un second temps, nous avons poursuivi la présentation de M. Servas lors de la séance du 8 avril.

Si on se connecte dans un environnement bien défini, on est obligé d’appliquer une stratégie bien particulière (par exemple, on peut être amené à changer de mot de passe tous les mois…).

Ces problématiques traitées lors de la première séance (virus, intrusions malveillantes…) se transposent également aux systèmes des smartphones, alors que les données y sont très sensibles, et permettraient de très bien connaître le propriétaire en cas d’intrusion (contacts, multimédia…).

Il existe de très nombreux protocoles (HTTP, FTP, DNS, SNMP, DHCP…), définis dans les RFC (vus la séance précédente). En plaçant des éléments qui structurent le réseau (en fonction de comment on veut faire les choses), on peut ainsi construire une architecture réseau sécurisée.

Sur le Web, parmi les deux mécanismes de protocole (http et https), seul https est sécurisé car crypté. Le cryptage des données permet de rendre inaccessible certains types d’information (pour des questions évidentes de sécurité). Par exemple, les virements monétaires en https sont sécurisés et cryptés. Cela permet de répondre aux besoins de confidentialité, de contrôle d’accès, d’intégrité des données, d’identification et de non répudiation (M. Servas nous a indiqué le site http://www.bibmath.net/crypto/index.php : à titre d’exemple, le codage de César rend les messages illisibles, par décalage de trois lettres dans l’alphabet).

Il existe deux types de chiffrement :

  • Chiffrement symétrique : le destinataire du message possède la clé pour déchiffrer le message. Ce chiffrement se révèle très puissant et intéressant, mais pose des problèmes de clé (le destinataire doit avoir de nombreuses clés, pour pouvoir déchiffrer tout message).
  • Chiffrement asymétrique : une clé pour l’émetteur, une pour le destinataire. Il n’y a donc plus les problèmes soulevés par le chiffrement symétrique. Concernant la cryptographie asymétrique, on voit apparaître une condition nécessaire pour la sécurité : le nombre de clé possibles doit être suffisant pour qu’il ne soit pas possible en un temps raisonnable de les essayer toutes (ex : une clé de série sur 128 bits donne 2128 possibilités !). Dans un tel cas on peut raisonnablement penser que l’algorithme en question est sûr.

La stéganographie consiste à lire une ligne sur deux (cf correspondance entre George Sand et Alfred de Musset) : il s’agit par-là de cacher des informations dans un autre contenu (ici dans du texte). On peut aussi cacher un filigrane (billets de banque), ou cacher de l’information dans des images (astuce détectable via la taille de l’image), par exemple pour y introduire le copyright.

La signature électronique est une autre méthode pour protéger les données.

Ensuite, les certificats permettent d’être sûr de la clé publique d’une personne. Ces certificats, délivrés par une Autorité de Certification, contiennent un certain nombre de données personnelles (une politique de certification étant l’étude des moyens de collecte des informations, de leur validation et de la création des certificats, c’est-à-dire l’ensemble de règles indiquant ce pour quoi le certificat est applicable et par qui, et quelles sont les conditions de leur mise en œuvre au sens juridique, administratif et technique).

A titre d’exemple : https://igc.services.cnrs.fr/search_user_certificate/?CA=CNRS2-Standard&lang=fr&body=search_user.html avec « Servas » dans la barre de recherche. On télécharge alors le certificat. Il faut le rajouter dans le navigateur Chrome, afin qu’il soit pris en compte lorsqu’on est sur le site du CNRS.

Ce qui ressort est donc qu’il n’y a pas un seul outil qui peut garantir une sécurité optimale ou intégrale. Il faut utiliser un ensemble de systèmes pour assurer la sécurité, du moins pour minimiser les risques.

Après une présentation des outils, nous avons abordé le Droit, qui passe par la déontologie, les chartes d’utilisation des ressources (au sein de l’UL, des Mines…d’où l’importance de lire les chartes avant de les signer), et les règles et lois sur Internet (droit d’auteur, marques, bases de données, vie privée…).

  • http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/ propose des recommandations pour la politique de sécurité, en entreprise notamment : sécurité de messagerie, des réseaux, des systèmes industriels…Il propose également une autoformation.
  • Nul n’est à l’abri d’une action malveillante ou de messages non sollicités. On peut alors signaler un contenu illicite, ou un abus. Notamment, le site http://www.cert.ssi.gouv.fr/ répertorie les vulnérabilités dans le monde. Pour chacune, il faut apporter un correctif afin d’éviter l’utilisation de la vulnérabilité. Le problème majeur étant que les attaquants aussi ont accès aux vulnérabilités…
  • Ce qu’il faut en retenir est que tout bouge, et en permanence. Il est crucial de se tenir au courant afin de limiter l’exposition aux risques.

Comme dit plus haut, il devient également possible de s’autoformer en prévention des risques. En cas d’attaque constatée (infection par des chevaux de Troie ou virus), des sites répertorient les démarches à adopter : http://www.securite-informatique.gouv.fr/gp_article98.html.

Si on a vraiment été piraté (ordinateur ou même téléphone portable), il faut porter plainte. Ne serait-ce que pour faire marcher l’assurance, et se protéger d’éventuelles utilisations malveillantes de notre appareil détourné (par exemple si le pirate utilise notre machine pour attaquer ailleurs). Il faut également contacter la Répression des Fraudes.

M. Servas a insisté sur la fatalité des attaques : il est quasiment certain que chacun de nous se fera un jour pirater, attaquer, et perdra toutes ses données. D’où, encore une fois, l’extrême importance de sauvegarder ses données en lieu sûr.

Nous avons enfin parlé des normes.

Il s’agit en effet d’établir des règles qui, si elles doivent s’appliquer partout, doivent respecter certaines normes. Ce sont des documents de référence, fondés sur un consensus couvrant un large intérêt. En somme, ce sont des labels de confiance. A titre d’exemple, la norme ISO 27000 / Sécurité de l’information décrit les exigences pour la mise en place d’un Système de Management de la Sécurité de l’Information. Le problème des normes ISO, est qu’elles sont payantes et très chères…

Comme critères, on répertorie notamment le critère TCSEC (évaluer la fiabilité des systèmes informatiques centralisés, élaboré par les Etats-Unis) et le critère ITSEC (en France).

L’analyse de risque en 8 étape obéit au schéma : Identifier ce qu’il faut protéger – identifier les menaces – identifier les points faibles – estimer la probabilité de risques – calculer les prévisions  de pertes annuelles pour chaque point faible – identifier les mesures protectrices nécessaires – estimer la réduction du point faible pour chaque mesure protectrice – sélectionner les meilleures mesures de protection.

L’autoformation évoquée plus haut s’applique également à l’analyse de risques : http://www.securite-informatique.gouv.fr/autoformations/ebios/co/publications_web.html (screenshot ci-dessous).

Enfin, les SMSI (Système de Management de la Sécurité de l’Information) fonctionnent selon un modèle cyclique en 4 étapes (PCDA : Plan, Do, Act, Check) = roue de Deming :

-définir la politique et le périmètre du SMSI

-identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité (-> EBIOS)

-traiter le risque et identifier le risque résiduel par un plan de gestion

-choisir les mesures de sécurité à mettre en place

 

En conclusion, nous avons vu avec M. Servas quels sont les principaux risques auxquels nous nous exposons en utilisant l’outil informatique. J’ai pu saisir l’importance fondamentale de conserver mes données ailleurs que sur mon ordinateur, et serai plus vigilant à l’avenir, à la fois sur les messages d’erreur, les conventions que je coche sans réfléchir lors de l’installation de logiciels, et mon utilisation d’outils divers.

“Organiser des collaborations professionnelles avec le numérique”

Domaine D3

Compétence D3.1 : Organiser un travail collaboratif en utilisant les technologies numériques

La deuxième séance avec S. Nowakowski a été consacrée à un travail de groupe, à 4. J’ai travaillé sur « L’Homme, un document comme les autres » (Olivier Ertzscheid) et notre rendu est un Prezi (http://prezi.com/yee13wro9cti/le-contexte-dune-economie-sociale-des-documents/), dans lequel nous avons intégré une carte conceptuelle Coggle. Nous avons ensuite débattu de ces différentes présentations, et des impressions de chacun sur les outils utilisés, et sur la façon dont ils ont été exploités.

Compétences D3.2 / D3.3 : Coordonner et animer des activités collaboratives dans un environnement numérique; Adapter, modifier et transmettre des données en respectant l’interopérabilité dans un contexte de travail collaboratif professionnel

Nous devions lors de la séance 3 rendre une réflexion personnelle sur notre propre utilisation des outils numériques collaboratifs, que voici :

Depuis le début de ma scolarité aux Mines, j’utilise des outils numériques de travail collaboratif, que j’ai découvert pour la plupart lors du séminaire informatique de début d’année. Je n’utilise pas tous les outils qui ont été présentés lors de la séance du 24 février, pour deux raisons essentiellement : certains ne me sont pour l’instant pas utiles, et d’autres que je ne pense pas forcément à utiliser lorsque j’en aurais une potentielle utilité.

  • Tout d’abord, j’utilise fréquemment Doodle pour convenir de rendez-vous à plusieurs –et pas uniquement dans le domaine scolaire (famille, amis, événement sportif…). L’utilisation est instinctive, pratique et rapide. Au lieu de devoir contacter chaque personne individuellement, on voit les disponibilités des autres en temps réel. C’est très utile surtout lors d’échéances à court terme, et où contacter chaque personne demanderait trop de temps.
  • Lorsque nous avons des travaux de groupe à faire (tels que des exposé, présentations, rédactions de TD à plusieurs), utiliser Google Drive est commode (concernant les textes et tableaux surtout): c’est beaucoup plus pratique (à mon sens) qu’un document Office en publipostage, et encore une fois toutes les personnes concernées voient le document en temps réel, peuvent le modifier et ajouter leur contribution…De plus, comme le document est en ligne, pas besoin de l’enregistrer sur clé ou sur d’avoir son propre ordinateur pour travailler, une connexion internet suffit. Je trouve ça vraiment pratique, dans la mesure où il est possible de travailler en groupe à distance, tout en communiquant (fonction Chat du Drive). Nous utilisons également des Drive pour les compte-rendus, les programmes des réunions des différentes associations de l’Ecole, et aussi pour travailler sur les projets (comme le projet 2A). Le seul problème est que ce système n’est gérable que pour un petit nombre ; au-delà de 5-6 personnes je trouve que ça devient plus difficile à gérer.

Nous utilisons également Dropbox pour les mêmes fonctions (atelier Artem, compte-rendu de visite d’entreprise), cela dit maintenant que je sais qu’on perd les droits de confidentialité lorsqu’on dépose un document dessus, je vérifierai plus ce que je place sur ces plateformes (c’est pour cela que je n’ai jamais utilisé Prezi, malgré l’esthétique séduisante !).

Je préfère cependant faire les diaporamas sur l’ordinateur puis les mettre en ligne, je trouve que les fonctionnalités du Drive sont restreintes concernant ce type de documents…

Dans le même principe, nous utilisons fréquemment le site Facebook pour travailler : quasiment tous les étudiants possèdent un compte Facebook qu’ils regardent quotidiennement. Ainsi, nous créons un groupe de travail pour un projet (ex : nous avons un groupe pour la promotion 2012, un groupe pour le département I2E, un groupe pour l’atelier Artem, un groupe pour le Bureau des Sports…), bénéficions d’une discussion entre membres du groupe, nous pouvons publier différents fruits de notre travail sur le mur du groupe, ce qui permet en plus un suivi écrit du travail effectué.

  • Cependant, Twitter n’est pour l’instant que très peu utilisé (pas du tout à ma connaissance aux Mines) pour du travail collaboratif…Peut-être car nous ne voyons pas les avantages par rapport à Facebook.
  • Je n’utilise pour l’instant pas du tout l’agenda Google, dans la mesure où je dispose de la même fonction sur mon smartphone. Ni les murs virtuels, dont je ne vois pas encore l’intérêt (ça viendra peut-être dans le monde professionnel), de même pour Evernote…J’avoue que j’aurais peur de me perdre dans toutes les données dessus !

En conclusion, les outils numériques facilitent grandement le travail collaboratif, même si je dois avouer être très loin de les exploiter au maximum ! Je pense cependant que l’utilisation qu’on en fait dépend de sa situation (étudiant, professionnel…).

Les rapports aux autres membres du travail à effectuer se trouvent allégés voire améliorés par l’usage de ces outils. En effet c’est entre autres une parade aux problèmes d’incompatibilité d’emploi du temps des différentes personnes, qui permet, lorsqu’on doit se voir, de se concentrer uniquement sur la soutenance orale par exemple.

“Maîtriser les stratégies de recherche, d’exploitation et de valorisation de l’information numérique”

Domaine D2

Compétence D2.1 : Élaborer et mettre en oeuvre une stratégie de recherche d’informations en contexte professionnel

On trouve un article sur une base de données, un document sur un catalogue (livres, thèses, DVD…).

Nous avons vu différents outils de recherche d’information :

-CAROLE est  un catalogues des BU de l’Université de Lorraine (http://bu.univ-lorraine.fr/ressources/catalogues (droit, lettres…))

-SUDOC  http://www.sudoc.abes.fr/DB=2.1/?COOKIE=U10178,Klecteurweb,D2.1,E2aef6b6f-205,I250,B341720009+,SY,A%5C9008+1,,J,H2-26,,29,,34,,39,,44,,49-50,,53-78,,80-87,NLECTEUR+PSI,R193.50.135.197,FN

-PETALE : http://petale.univ-lorraine.fr/advanced-search.html?submenuKey=advanced&menuKey=all

-il existe un système de prêts entre bibliothèques de Nancy (ce qui m’a notamment servi pour le projet 2A)

 

A titre d’application, nous avons effectué par groupes de 4 des recherches sur les thèmes des projets 2A de chacun d’entre nous.

Techniques de l’Ingénieur est une base de données, disposant d’articles en français uniquement, depuis 1946. En tant qu’étudiant de l’UL on dispose d’un compte, donnant accès à plus de 120 000 références. On peut avoir des informations sur l’auteur, voire le contacter. Il est enfin possible de mettre les documents soit sur un support de stockage, soit sur le compte qu’on se sera créé.

Google Scholar  propose des documents gratuits, disponibles sur Internet en format PDF (et qu’on ne trouve pas forcément sur les bases de l’UL). C’est plus intéressant que de passer par Google « tout court ». Par exemple, quand on recherche « Tube de Ranque » (mon sujet de projet 2A), on remarque beaucoup plus de résultats pertinents qu’avec Techniques de l’Ingénieur, mais en anglais également.

Web of Science  recense des articles, et des comptes-rendus de conférences surtout.  Il est accessible via l’ENT également (Lorraineclic), uniquement par mots-clés en anglais, avec ou sans guillemets selon si on veut ou non l’expression exact. En général les articles dans les revues ont une plus grande valeur scientifique. On peut sélectionner par langue, par université, date de publication…Il arrive parfois que l’université ne propose pas le texte en ligne. Dans ce cas, il faut contacter l’auteur directement, ou cliquer sur « où trouver ce document ».

Je reproduis ici les réponses aux différentes questions posées, en tant que complément à l’intervention de M. Tafforeau :

1)      De quelles autorisations les époux Monnet ont-ils besoin pour que le concert ait lieu sans qu’ils risquent d’être assignés en justice pour contrefaçon?

2)      Quelles autorisations sont nécessaires pour que la retransmission sur la radio Classic Chic FM ait lieu licitement?

3)      La chaîne France 9 devait-elle obtenir une autorisation de filmer et/ou de diffuser les extraits?

4)      L’héritier de Richard Bonnière, la Gassion et Petra Ka peuvent-ils intenter un procès contre la radio sur le fondement du droit d’auteur et/ou des droits voisins ?

 

Ce cas pratique soulève le problème juridique de la propriété littéraire et artistique, problème omniprésent dans une société de culture et de civilisation à la portée du grand public. En effet, deux intérêts s’opposent : d’une part, la culture pour tout le monde et le droit à l’information, et d’autre part, la protection des auteurs, peu importe la valeur et le genre, du simple fait de la création artistique.

 

1)

http://www.sacem.fr/cms/home/utilisateurs/organiser/concert-spectacle-variete/concert-spectacle-varietes-intro

http://www.sacd.fr/Vous-etes-diffuseur.113.0.html

http://www.irma.asso.fr/L-organisation-de-spectacles

 

  • Il faut prévenir la SACEM 15 jours avant la manifestation et remplir un contrat général de représentation (indiquant entre autre le programme de diffusion).  Il s’agira d’acquitter une redevance à l’auteur via la SACEM, proportionnelle aux recettes. Ainsi, la SACEM délivrera aux époux l’autorisation d’utiliser les œuvres inscrites sur son répertoire, soit la musique du compositeur Bonnière (redevance dont bénéficiera son héritier).

En outre, il n’est pas nécessaire de demander une autorisation de diffusion concernant les textes, puisque Ancielle n’a jamais été inscrit à la SACEM et que le délai nécessaire à ce que ses œuvres tombent dans le domaine public est passé.

Il s’agit enfin d’afficher le nom des auteurs sur les programmes et affiches, ainsi que le nom de la diva et de la pianiste au moins sur les programmes (même si ces dernières ne sont inscrites à aucune société de perception et de répartition des droits).

  • Les organisateurs ont besoin de l’autorisation du théâtre afin de produire la pièce en ses murs, mais pas de celle du décorateur.
  • En théorie, aucune modification que ce soit (musique, texte) ne sera autorisée par la SACEM, dans la mesure où le spectacle doit être reproduit fidèlement.

2)

http://www.sacem.fr/cms/home/utilisateurs/diffuser/a-la-radio-ou-a-la-tv/conditions-d-autorisation

 

La radio doit également demander une autorisation à la SACEM (pour la musique de Bonnière mais pas pour les textes, puisqu’Ancielle n’est inscrit à aucune société de perception), les redevances étant calculées à partir des recettes du diffuseur (i.e. le théâtre), et une autorisation auprès du diffuseur lui-même. Il faut également l’autorisation des interprètes (la diva et la pianiste).

 

3)

http://www.adagp.fr/fr/utilisateur/utiliser-oeuvre/audiovisuel

http://www.irma.asso.fr/De-la-captation-d-un-spectacle-a

http://www.parisfilm.fr/data/document/parisfilm-guide-tournagesfr.pdf

 

Il faut tout d’abord obtenir l’autorisation du propriétaire des lieux pour tourner au sein du théâtre.

Pour diffuser dans son JT l’image de la diva, la chaîne doit obtenir son autorisation (droit à l’image), mais pas celle de la pianiste puisqu’elle n’apparaît pas dans le reportage.

Il faut se rapprocher de l’ADAGP (si l’œuvre y est répertoriée). Il s’agit donc de formuler une demande d’autorisation, qui permettra de diffuser à la télévision une œuvre, moyennant le paiement de droits.

Le cas échéant (càd si le reportage filmait une partie de la représentation, avec du texte et/ou de la musique), c’est auprès des titulaires des droits d’auteurs que la chaîne devrait demander l’autorisation de filmer et de diffuser.

 

4)

D’une part, la radio avait obtenu l’autorisation de diffuser la représentation fidèle aux œuvres de Bonnière et de Ancielle. Or, ce qui a été diffusé, en raison de l’erreur de Méleau, n’est pas une représentation fidèle de l’œuvre, mais sera considéré comme une interprétation, voire une création originale. Par conséquent, la radio n’avait pas l’autorisation de diffuser ceci, et les interprètes peuvent se retourner contre la radio (d’autant plus qu’une demande avait été faite de ne pas diffuser ceci). Ils peuvent réclamer des dommages et intérêts.

D’autre part, l’héritier de Bonnière est en droit de se retourner contre la radio, puisque celle-ci a diffusé une représentation qui, via les hués et les omissions, dégrade clairement l’œuvre de Richard Bonnière, voire la dévalorise.

 

Compétence D2.2 : Élaborer et mettre en oeuvre une stratégie de veille informationnelle en contexte professionnel

La veille informatique a essentiellement été présentée par Jérôme Balezo (ENSEM).

Cette dernière conférence du cours de C2i traitait ainsi de veille informationnelle, et de son lien avec l’intelligence économique.

L’information est au centre de toute activité numérique (prise de décision, outil de stratégie, de communication). De même, la compétitivité entre entreprises est soumise à leur capacité d’innovation, leur connaissance de l’environnement concurrentiel.

Concernant les techniques de recherche d’information sur le Net, il existe deux façons de suivre ces informations : de manière automatisée (Push) et de manière manuelle (Pull), qui est cependant chronophage et rébarbative.

Nous avons commencé par des définitions de la veille informatique :

  • On part d’un problème décisionnel, la récolte d’information permet alors de réduire les incertitudes lors de cette prise de décision.
  • C’est une activité continue en grande partie itérative, visant à une surveillance active de l’environnement technologique, commercial…pour en anticiper les évolutions (selon l’AFNOR, 1998).
  • C’est l’ensemble des stratégies mises en place pour rester informé, en y consacrant le moins de temps possible en utilisant des processus de signalement automatisés (JP. Lardy, 2007).

Il s’agit donc du fait de surveiller constamment, d’où la nécessité de définir clairement ce qu’on va surveiller (le champ d’action). Le but est de déterminer un signal faible : analyse de tous les éléments récupérés, leur compréhension et leur interprétation.

L’information qu’on recueille peut être :

blanche : obtenue légalement, accessible à tous, mais peu de valeur stratégique

grise : plus difficilement accessible, valeur ajoutée et souvent informelle

noire : acquise de façon illégale, très stratégique, espionnage industriel

Enfin, on peut distinguer différents types de veille : concurrentielle (sur un marché), technologique (brevets), juridique, commerciale.

Puis nous sommes passés à des définitions de l’intelligence économique :

  • ensemble des actions coordonnées de recherche, de traitement et de distribution en vue de son exploitation, de l’information utile aux acteurs économiques. Ces actions sont menées également avec toutes les garanties de protection nécessaires à la préservation du patrimoine de l’entreprise.
  • processus de collecte, de traitement et de diffusion de l’information visant à réduire la part de l’aléatoire

 

La démarche à adopter est :

1/ identification du problème décisionnel

2/ traduction du problème décisionnel en problèmes de recherche d’information

3/ identification des sources pertinentes (permet de gagner du temps)

4/ collecte des informations

5/ traitement des infos collectées pour obtenir des indicateurs

6/ interprétation des indicateurs

7/ décision (rapport final le plus neutre possible)

Le processus de veille est le fondement du processus d’IE. Elle fait partie (avec le knowledge management, la sécurité, le lobbying, l’e-reputation) d’un processus global, qui est celui d’IE.

Enfin, nous avons fini la séance par un Travail Pratique : il s’agit de se créer un compte et de mettre en place une veille (Netvibes, Talkwalker, Mention, WebofScience) concernant une thématique de notre choix :

http://www.netvibes.com/privatepage/1#General: avec les flux RSS, on va suivre un site en particulier. Pour s’inscrire à des flux RSS (par ex sur le site du Monde) il faut cliquer sur l’icône orange.

https://web.mention.com/?#alert/775975 : j’ai créé une alerte « Mines nancy » ; classe les alertes par date

http://www.talkwalker.com/fr/alerts/ : on reçoit les alertes directement sur notre mail

http://apps.webofknowledge.com.bases-doc.univ-lorraine.fr/WOS_GeneralSearch_input.do?product=WOS&search_mode=GeneralSearch&SID=Y2IQVJGT34WDPjm6BoF&preferencesSaved= (il faut se créer un compte pour recevoir les alertes)

Dans Google, si on recherche uniquement des PDF : rajouter dans la barre de recherche « filetype :pdf » (les astuces sont détaillées sur http://outils.abondance.com/)

Nous avons ensuite fait un travail dirigé, sur la veille informatique.

Le but est de « veiller » sur différentes informations pour un thème que l’on a choisi. Etant données les actualités sportives du week-end j’ai décidé, après m’être inscrit sur les différents sites à étudier, de créer des alertes ayant pour thème Rafael Nadal (il a gagné Roland-Garros dimanche).

Netvibes

(http://www.netvibes.com/privatepage/1#General)

  • Il est possible de créer un onglet avec le résultat de la recherche Google « Rafael Nadal ».
  • Sinon, il n’est pas possible de créer un tel flux. La seule possibilité est de créer des Widgets sur la thématique Sport dans l’onglet Catégories. Ainsi, dès que l’un des sites de sport publiera un article sur Rafael Nadal, celui-ci apparaîtra dans ma page Netvibes.
  • Ensuite, sur le site de l’Equipe (par exemple, un site d’actualités sportives) http://www.lequipe.fr/rss/ on sélectionne Netvibes pour s’inscrire au flux RSS de la page « Tennis ».

L’inconvénient d’un tel système est, à mon sens, la nécessité d’aller sur le site pour avoir les informations. Certes la veille est automatisée, mais je la qualifierais donc plutôt de semi-automatisée.

Talkwalker

(http://www.talkwalker.com/fr/alerts/)

On tape « Rafael Nadal » dans Recherche, toutes les langues, avec une fréquence hebdomadaire. Ainsi, dès lors que sera publié un article sur Rafael Nadal sur le Web, je recevrai un email pour m’en informer et me préciser de quel article il s’agit. J’ai reçu un premier email de notification seulement quelques minutes après m’être inscrit sur le site !

J’ai également créé d’autres alertes susceptibles de parler de Nadal : « Roland Garros », « Tennis », « Wimbledon »…

Sur la page http://www.talkwalker.com/alerts/manage , on peut gérer les alertes que l’on a créées, éventuellement désactiver l’alerte, modifier la fréquence…Je trouve cela intéressant, en fonction des événements sportifs potentiels (par exemple réduire la fréquence en période de vacances…).

Taper sur « aperçu » avant de valider l’alerte permet d’avoir un aperçu des informations que l’on recevra par mail, et au besoin d’affiner la recherche. Par exemple, j’ai remarqué que les premiers résultats n’étaient pas dans une langue que je connais, j’ai donc sélectionné « Français ». Le seul problème, à mon sens, est qu’il n’est pas possible de sélectionner plusieurs langues…

Mention

(https://fr.mention.com/)

Je commence par renseigner mon adresse mail, puis dans la barre de recherche je tape « Rafael Nadal » : la différence par rapport à Talkwalker est que les requêtes couvrent aussi les réseaux sociaux : https://web.mention.com/#alert/775976/q/Rafael nadal.

Les résultats correspondent surtout à des tweets, mais on trouve aussi des articles et des vidéos.

Le seul problème, je pense, est qu’en cas d’événement (typiquement, une victoire de Nadal dans un tournoi) il y ait simultanément beaucoup de tweets, de likes, de publications, et donc que ma page devienne vite saturée !

Ce qui me « dérange » un peu sur Mention est que, en cas de mauvais réglage des paramètres de confidentialité, les publications (pour peu qu’elles contiennent les mots-clé « Rafael » et/ou « Nadal ») Facebook, Twitter ou autres, apparaissent sur toutes les pages Mention les ayant renseignés…Cela pose d’évidents problèmes de confidentialité…

Les alertes sont classées par ordre chronologique, certaines sont classées prioritaires (drapeau rouge) car leur source est considérée comme populaire. On peut donc, dans une première lecture de la page Mention, se limiter aux publications prioritaires pour se faire une rapide idée des actualités récentes concernant Nadal.

Web of Science

(http://apps.webofknowledge.com.bases-doc.univ-lorraine.fr/WOS_GeneralSearch_input.do?product=WOS&search_mode=GeneralSearch&SID=Y2IQVJGT34WDPjm6BoF&preferencesSaved=)

On s’inscrit avec son identifiant univlorraine. Il s’agit cette fois de publications intra Université de Lorraine.

En renseignant dans le champ « Rafael Nadal », on ne trouve qu’une publication, Celebrity endorsers’ performance on the “ground” and on the “floor”. Cependant, il ne s’agit pas d’informations sur l’actualité récente du joueur, comme on pouvait s’y attendre.

J’élargis le champ de recherche, en renseignant cette fois « Roland Garros » : on obtient cette fois 6 résultats, essentiellement des publications sur des études comparatives entre types de joueurs, ou des analyses sur ses caractéristiques.

Conclusion

Mettre une veille en place me semble extrêmement intéressant, afin de suivre l’actualité de manière générale et diversifiée (réseaux sociaux, média…). J’ai pris ici un thème sportif, mais à l’avenir je pense installer des veilles dans différents domaines qui m’intéressent (géopolitique, enjeu du nucléaire, …) et également sur mes projets ou travaux scolaires. Il faut cependant parfois savoir affiner la recherche (synonymes…).

Pour clôre cette compétence, il est important de préciser que les stratégies adoptées concernaient la veille informationnelle dans tout domaine. Elles s’appliquent donc aisément au contexte professionnel, sujet de la compétence D2.2.

Compétence D2.3 : Élaborer une stratégie de développement et de valorisation des compétences professionnelles

François Zaninotto, est élève de la promotion 1994 de Mines Nancy (option IS). Il dirige actuellement Marmelab, atelier d’innovation digitale au sein d’Artem.

Sujet de l’intervention : « Les connaissances informatiques dans le monde de l’entreprise : comment utiliser l’outil informatique au quotidien ? »

L’informatique professionnel est en décalage négatif par rapport à l’informatique personnel : les ordinateurs personnels sont plus puissants, le coût d’achat est moindre en entreprise car les groupes font pression sur les fournisseurs, qui en réponse fournissent des outils moins performants, les unités professionnelles ont moins d’autorisations (par exemple les salariés ne jouissent pas des droits d’administrateur…). Certaines entreprises travaillent encore sous Windows XP car une migration vers un système d’exploitation supérieur coûte très cher. Les entreprises préfèrent aussi pourvoir les postes avec des ordinateurs fixes, puisque ceux-ci se volent moins facilement. Le revers de la médaille est qu’ils sont littéralement cadenassés, donc les salariés peuvent plus difficilement se les approprier. En conclusion, le PC en milieu professionnel est bridé (un proxy interdit l’accès à certains sites, impossibilité de télécharger un quelconque logiciel…).

A titre d’exemple dans le secteur bancaire, les ordinateurs ne sont pas munis de ports USB (sinon la fuite d’information est très facile). Il est donc plus difficile de se familiariser avec de telles machines, qui ne présentent pas les mêmes caractéristiques que celles du domicile, et on doit prendre de nouvelles habitudes (transférer les informations non plus par clé mais par exemple par la messagerie).

De plus, les dirigeants de l’entreprise (Directeur Administratif et Financier notamment) ne peuvent fournir une nouvelle machine qu’au prix de multiples démarches, et d’un long délai…Du matériel élaboré (comme l’iPad) devient alors symbole de statut professionnel au sein de l’entreprise, et est réservé à un très faible nombre.

Le matériel informatique étant considéré amorti au bout de trois ans, cela oblige les services à pratiquer le capacity planning : anticiper l’évolution des besoins de l’entreprise en matériel (et en support immatériel) informatique, gérer les capacités machines…. Ces tâches sont organisées par le CIO (directeur des services informatiques), qui doit aussi réduire les coûts informatiques, et gérer les équipes de gestion informatique.

Le poste de CIO est à ne pas confondre avec celui de CTO qui est le directeur technique, en charge de l’informatique métier.

 

Lors de la séance suivante, Samuel Nowakowski nous a présenté les outils du numérique, via une présentation Prezi (http://prezi.com/w-brr_yohyev/passerelle-numerique-cartes-mentales/?utm_campaign=share&utm_medium=copy).

Il existe notamment des cartes conceptuelles et des cartes heuristiques (qui servent à définir l’information qu’on va manipuler).

Une carte conceptuelle est un objet informatique composé de concepts, liens et ressources (exemple : liens internet, documents électroniques). Les concepts et liens s’illustrent avec des objets graphiques (objets graphiques : tels que formes, lignes ; et qui possèdent des attributs tels que du texte, des couleurs, une position, un alignement). Les objets graphiques forment des propositions, qui elles-mêmes construisent un réseau de concepts.

Les objectifs d’une carte conceptuelle sont :

-représenter et organiser l’univers d’une question de départ, d’un texte…

-fournir une image plus parlante pour l’esprit, quand le langage écrit et oral atteint ses limites (une structure en carte est nettement plus explicative)

-faciliter l’apprentissage et l’appropriation de concepts difficiles

-travailler en groupe et communiquer ses idées en public

 

Il s’agit donc de présenter quelque chose de complexe, sans pour autant être limité par les difficultés du langage.

En effet, une représentation conceptuelle simple (pour représenter et hiérarchiser la présentation, et dépasser les limites descriptives du langage parlé et écrit) favorise la compréhension, la mémorisation, la créativité. C’est ainsi plus simple de passer par exemple d’une langue à l’autre.

Les différents types de cartes sont les chaînes (raisonnement séquentiel et causal), les étoiles (acquisition de connaissances cloisonnées), et des réseaux (interconnexions de concepts).

Les méthodes pour établir une carte sont alors de:

-élaborer et valider la question de départ à laquelle la carte conceptuelle tentera de répondre (claire et précise, pertinente et utile, ciblée : faisable en temps et connaissances disponibles)

-recenser les concepts (généraux associés à la question de départ, puis les concepts plus spécifiques par exemple ceux associés qui permettent de détailler les concepts généraux)

-à partir de cette liste, établir le schéma d’ensemble de la carte, regrouper et hiérarchiser les concepts

-relier les concepts entre eux pour former des propositions. Valider que cela fonctionne selon différents sens de lecture

-enrichir en ajoutant des exemples ou des ressources (URL, images…)

-pourquoi pas d’ajouter des détails. Notamment des sous-concepts, des relations, une boite pour faire des regroupements, des formes, des couleurs et une taille de police unique pour tous les exemples, enfin donner un titre accrocheur à la carte.

En conclusion, une bonne carte ne se limite pas à des relations entre des concepts. Elle doit raconter quelque chose, exposer une thèse. M. Nowakowski a fini par évoquer des alternatives aux cartes conceptuelles : le brainstorming, la prise de notes, la gestion de projet.

“Connaître et respecter les droits et obligations liés aux activités numériques en contexte professionnel”

Domaine D1

Compétence D1.1: Respecter et intégrer la législation relative à la protection des libertés individuelles

Les libertés individuelles sont plus difficiles à faire respecter sur Internet que dans le monde matériel, dans la mesure où les moyens de sanction et de surveillance sont moins développés. Cependant, l’internaute a des droits affirmés et reconnus. En France par exemple, il peut saisir la CNIL s’il considère que ses droits sont bafoués. On a également récemment eu l’affaire du droit d’oubli chez Google (voir plus loin), qui prouve que l’on cherche de plus en plus à renforcer la législation relative à la protection des libertés individuelles. Retour sur l’AAI (Autorité Administrative Indépendante) :

  • CNIL (Informer, Réguler, Protéger, Contrôler, Sanctionner et Anticiper). Une entreprise doit désigner un correspondant CNIL (40% juristes, 40% informaticiens, 20% divers), qui doit tenir la liste des traitements de données personnelles, reçoit des réclamations et des demandes…
  • CSA
  • ARJE (Autorité de Régulation des Jeux en Ligne)
  • HADOPI
  • ARCEP (Autorité de Régulation des Communications Electroniques et des Postes) : régulation des télécommunications (mobiles…)
  • Tous ces organismes sont indépendants, actifs, établissent des lois par rapport aux usages d’Internet
  • Problème : ce sont des organisations françaises, alors qu’Internet est quelque chose d’international

Droit à l’oubli : Le 13 mai, la Cour Européenne de Justice a décidé d’instaurer un droit à l’oubli sur tous les moteurs de recherche. La CNIL supporte les particuliers qui voudraient entamer de telles démarches (pour sa prise en compte et son examen), mais les détracteurs dénoncent une opposition à la liberté de l’information.  Le problème, déjà évoqué, est que la CNIL ne peut gérer que les conflits français, alors que la décision de la C.E.J. concerne l’Europe. Le droit à l’oubli représente 1/3 des requêtes adressées à la CNIL (les gens souhaitant maîtriser leur vie numérique).

  • L’Autorité de la Concurrence assure le respect des droits de la concurrence pour toutes les activités liées aux TIC, contrôle les marchés quelques soient les activités concernées ou le statut (privé ou public) des opérateurs, sanctionne les abus de position dominante ou les ententes illicites entre les opérateurs intervenant dans la société de l’information.

Compétence D1.2: Respecter et intégrer la législation sur les œuvres numériques liées au domaine professionnel

M. Tafforeau, Professeur à la Faculté de Droit de Nancy, nous a surtout présenté le domaine D1 du C2i niveau 2 : tout l’aspect législations et réglementations. Il existe des Droits d’auteur et des droits « voisins » des Droits d’auteur. Les œuvres circulant essentiellement dans un format numérique, surtout sur Internet, le phénomène numérique a donc facilité la circulation des œuvres et des objets protégés par un droit voisin. Internet n’est cependant pas une zone de non-droits (comme les radios libres), le Droit d’auteur y est applicable, même s’il y est moins effectif : il est difficile de surveiller tout ce qui s’y passe. De plus, le public (autrefois simple récepteur) peut maintenant participer à la communication des informations, et devient lui-même éditeur de contenu. Internet est ainsi participatif (constaté sur Deezer, Youtube, Wikipedia…), notamment via  le téléchargement ascendant (uploading : poster sur un site ou un blog des éléments de son propre ordinateur) et descendant (downloading, vers l’ordinateur), et le peer-to-peer (développés plus loin), où il y a de grandes chances que la source soit illicite. Le Droit d’auteur a été instauré en France (propriété littéraire et artistique) dans la DDHC de 1789. Les droits voisins du droit d’auteur ont été instaurés par la loi Lang (1985). En 1992 a été publié le Code de la propriété intellectuelle (http://www.legifrance.gouv.fr/). On constate de plus en plus de sources provenant de l’U.E. (directives mises en place et qui exigent de la part des Etats membres l’adoption de lois), alors que de nombreux traités internationaux tentent aussi de faire reconnaître l’existence de droits intellectuels et artistiques. La définition de la Propriété intellectuelle comporte quant à elle deux branches : la propriété littéraire et artistique, et la propriété industrielle. En 1998 a été créé en France un droit spécifique sur le contenu des bases de données (recueil de documents de toute sorte, sur support papier ou électronique). Il y a deux types de droit : droit moral et droit patrimonial.

  • Le droit moral consiste en un droit de divulgation (révéler l’œuvre au public), droit au respect de son nom, au respect moral (de l’œuvre), droit de retrait et de repentir (concerne surtout les auteurs plasticiens, qui ont le droit de faire retirer du commerce leurs œuvres, quitte à indemniser l’éditeur), i.e. l’auteur peut modifier son œuvre, et peut exiger que le public ne soit désormais mis en contact qu’avec l’œuvre modifiée (ex : pièce de théâtre).  L’artiste interprète n’a lui pas le droit de divulgation.
  • Le droit pécuniaire : évaluable en argent qui consiste en le droit de représentation et le droit de reproduction (de l’enregistrement, des programmes de radio et télévision).

Le critère, pour appliquer la propriété industrielle, est la nouveauté (une création de forme originale). Une œuvre de l’esprit peut quant à elle être déposée dès qu’elle est originale, i.e. qu’elle porte l’empreinte de la mentalité de l’auteur.  Les auteurs d’œuvres graphiques et plastiques peuvent se faire reverser un pourcentage (autour de 3% en général) de la revente de leur œuvre, si celle-ci est faite par un professionnel. La durée de protection des œuvres était de 50 ans jusqu’en 1995, elle est depuis de 70 ans (commence au 1e janvier après le décès de l’auteur), pour les œuvres musicales. Depuis 1997, les œuvres non musicales aussi sont concernées, ainsi toutes les œuvres sont protégées pendant toute la vie de l’auteur + 70 ans. Le multimédia utilise souvent des œuvres protégées. Pour constituer un site web ou un blog, il faut souvent obtenir l’autorisation des auteurs sur des éléments qu’on y intègre (sauf si ce délai des 70 ans est passé). Les démarches (et les paiements…) sont multiples suivant les œuvres réalisées : ADAGP (arts graphiques et plastiques), SACEM (musique), SACD (pièces de théâtre), SCAM (documentaires, reportages qui peuvent aussi passer à la radio)…réunis dans les SRPD (sociétés de protection des droits d’auteur) : http://www.sesam.org/. On pense ne pas payer de droits d’auteurs, mais en réalité on en paye via des redevances sur les appareils d’enregistrement. Le schéma de fonctionnement se résume à : auteur à SPRD à utilisateurs, alors que les paiements se font dans l’autre sens. Un auteur doit cotiser 100€ pour adhérer à la SPRD à vie. Il s’engage en échange à déclarer toutes les œuvres qu’il créé. Qu’en est-il du droit moral et du droit patrimonial ? Si l’œuvre est protégée, il s’agit de respecter le droit d’auteur en indiquant le nom de l’artiste. Il faut également une autorisation de communication publique pour diffuser l’œuvre (le public dispose du droit à la mise à disposition des œuvres via la location ou le prêt). Nous sommes ensuite passés à la deuxième partie de l’intervention : la recherche de l’effectivité du droit d’auteur et des droits voisins sur Internet. Depuis 2006, il y a un nouveau droit des exceptions, basé sur l’article L122-5 du Code de la P.I. : elles ne doivent ni porter atteinte à l’exploitation morale de l’œuvre, ni causer de préjudices à l’auteur. Il s’agit alors de créer un Droit sur les mesures techniques de protection et d’information, puisque les nouvelles sanctions, toujours plus lourdes, ne se révèlent pas nécessairement plus efficaces. Ces mesures sont des dispositifs qui visent à limiter, voire empêcher, les accès non réglementaires. A titre d’exemple, si une copie est autorisée, la copie de cette copie ne l’est pas. Il s’agit donc de faire en sorte par exemple que les copies soient de moins bonne qualité, que le fichier s’autodétruise…Tout en s’interdisant de faire passer des virus !  Il est aussi possible d’intégrer au fichier des informations qui peuvent le suivre et le rendent traçable. Toutes ces mesures sont protégées par la loi (300 000€ d’amende et 3 ans de prison max). Hadopi vise à réguler les mesures techniques de protection, et à prévenir les utilisateurs. Créée en 2009, elle repose sur l’obligation de l’internaute de sécuriser son accès à Internet. Sinon, il reçoit une réponse graduée pour le téléchargement illicite ou le peer-to-peer. On aboutit alors à une procédure judiciaire à très long terme. Ce qui est recherché est surtout l’aspect dissuasif pour faire reculer l’utilisation illicite des œuvres (http://www.hadopi.fr/sites/default/files/page/images/Schema_Reponse_Graduee_0.png). Hadopi n’étant pas un tribunal, elle n’a pas le droit de sanctionner. Elle peut cependant transmettre l’information à un tribunal après la 3e recommandation, et délibération. Il y a eu pour l’instant moins de 10 condamnations, mais plus de 10 000 envois de 1e recommandation. Depuis juillet 2013, Hadopi ne suspend plus l’accès des utilisateurs à Internet. L’article R 335-5 caractérise par « négligence caractérisée » le fait de ne pas avoir sécurisé sa connexion Internet, une telle négligence pouvant causer des envois de recommandation de l’Hadopi. Pour illustrer ses propos, M. Tafforeau nous a proposé une étude de cas à résoudre, visant à savoir qui doit demander quelles autorisations lors de la représentation et de la (re)transmission d’un spectacle.

Compétence D1.3: Respecter et intégrer les aspects légaux liés à la protection et à l’accessibilité des données professionnelles

Lors de la cinquième séance, nous avons essentiellement été sensibilisés au plagiat, et à la recherche de documents sur les bases de l’Université de Lorraine. Un exemples de plagiat est de copier textuellement un passage sans en mentionner la source, ou insérer dans un document des données provenant de sources externes sans indiquer la provenance, résumer l’idée originale d’un auteur en l’exprimant dans ses propres mots mais sans indiquer la provenance, ou encore traduire un texte. Il existe des logiciels pour détecter le plagiat (à partir de 5%), et une phrase plagiée peut parfois suffire. M. Tafforeau nous a ensuite appris que les bases de données bénéficient d’un traitement particulier : on peut les protéger de deux façons : droit d’auteur et droit sui generis. Ils ne protègent pas la même chose (respectivement la disposition des matières, et les informations/données elles-mêmes), donc un cumul est parfaitement possible entre les deux droits. Pour une base de données non électronique, le propriétaire ne peut interdire une extraction d’informations à des fins privées. L’article L.122-5 stipule ainsi : « Lorsque l’œuvre a été divulguée, l’auteur ne peut interdire : 1° Les représentations privées et gratuites effectuées exclusivement dans un cercle de famille ; 2° Les copies ou reproductions réalisées à partir d’une source licite et strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective ».

Compétences

Compétences requises

Dans cette section, je rappelle les compétences exigées par le C2i Niveau 2 – Métiers de l’ingénieur (source: http://www.enseignementsup-recherche.gouv.fr/pid20536/bulletin-officiel.html?cid_bo=56848), ainsi que les séances de cours qui s’y attachent.

Domaine D1 : Connaître et respecter les droits et obligations liés aux activités numériques en contexte professionnel

La création et le traitement de données numériques sont régis par un ensemble de lois, règlements et jurisprudences que tout professionnel doit connaître et respecter dans le cadre de l’exercice de son activité. Cela signifie notamment être en mesure de distinguer clairement des données numériques à caractère personnel de données numériques à caractère professionnel ; de traiter et diffuser dans un cadre légal des données professionnelles contenant ou non des informations à caractère personnel ; d’adapter son comportement et ses usages en fonction des dispositifs légaux auxquels sont soumis les utilisateurs.

Compétence D1.1 Respecter et intégrer la législation relative à la protection des libertés individuelles (séance 12)
Compétence D1.2 Respecter et intégrer la législation sur les œuvres numériques liées au domaine professionnel (séances 8-9)
Compétence D1.3 Respecter et intégrer les aspects légaux liés à la protection et à l’accessibilité des données professionnelles (séances 5-8-9)

Domaine D2 : Maîtriser les stratégies de recherche, d’exploitation et de valorisation de l’information numérique

L’information est aujourd’hui au coeur de toute activité économique. Elle peut être considérée, d’une part, comme un outil d’aide à la décision et, d’autre part, comme une ressource instrumentale d’une stratégie de communication. Dans ce contexte, le professionnel doit être en mesure d’identifier ses besoins en terme d’information ; être capable de localiser l’information adéquate ; d’évaluer et exploiter l’information retenue.
Compétence D2.1 Élaborer et mettre en œuvre une stratégie de recherche d’informations en contexte professionnel (séances 5-8-9)
Compétence D2.2 Élaborer et mettre en œuvre une stratégie de veille informationnelle en contexte professionnel (séance 14)
Compétence D2.3 Élaborer une stratégie de développement et de valorisation des compétences professionnelles (séances 2-3-4)

Domaine D3 : Organiser des collaborations professionnelles avec le numérique

Les nouveaux outils de communication permettent actuellement de renforcer les activités collaboratives au sein des organismes professionnels. Ils permettent de récolter, combiner et gérer des connaissances produites collectivement au travers de projets pilotés à distance. Le professionnel qui participe à la conduite d’un projet collaboratif doit ainsi être en mesure d’identifier les outils numériques nécessaires à la mise en œuvre d’un projet ; d’animer et de coordonner à distance des groupes de travail ; de prendre en compte les contraintes techniques et organisationnelles liées à l’échange d’informations numériques.

Compétence D3.1 Organiser un travail collaboratif en utilisant les technologies numériques (séance 4)
Compétence D3.2 Coordonner et animer des activités collaboratives dans un environnement numérique (séance 3)
Compétence D3.3 Adapter, modifier et transmettre des données en respectant l’interopérabilité dans un contexte de travail collaboratif professionnel (séance 3)

4. Domaines spécifiques spécialité « métiers de l’ingénieur »
Domaine D4 : Maîtriser la sécurité de l’information et des systèmes d’information

Compétence D4.1 Maîtriser les processus d’une politique de sécurité pour participer à sa mise en place (séances 6-7)
Compétence D4.2 Distinguer les acteurs de la mise en place de la politique de sécurité et identifier leurs responsabilités légales (séance 2)
Compétence D4.3 Identifier et hiérarchiser les informations afin de les exploiter de façon adéquate (séance 12)
Compétence D4.4 Évaluer la sûreté des procédures et connaître la limite des outils permettant de traiter l’information, selon le lieu et le mode d’accès (séances 3-4)
Compétence D4.5 Estimer les risques accidentels et intentionnels afin que soient prises les dispositions nécessaires (séances 2-6-7)

Domaine D5 : Piloter la maîtrise d’ouvrage des systèmes d’information

Compétence D5.1 Comprendre les enjeux du système d’information du point de vue de la maîtrise d’ouvrage (séances 10-13)
Compétence D5.2 Identifier les acteurs et les étapes d’un projet « système d’information » pour en assurer la conduite éclairée (séances 10-13)
Compétence D5.3 Exprimer son besoin dans toutes ses dimensions, et vérifier sa prise en compte par la maîtrise d’œuvre, tout au long du projet (séances 10-13)
Compétence D5.4 Respecter les exigences de l’interopérabilité et de l’accessibilité du point de vue de la maîtrise d’ouvrage (séances 10-13)
Compétence D5.5 Interpréter un document de modélisation de données ou de processus métiers