Lexique SI pour PME
Ce lexique explique simplement les notions souvent utilisées autour du système d’information, de la cybersécurité, des sauvegardes, de la continuité d’activité et du pilotage SI.
Lecture dirigeant
Beaucoup de décisions SI sont difficiles à prendre parce que les termes utilisés sont techniques, flous ou employés différemment selon les prestataires. Ce lexique vise à donner une lecture simple, concrète et utile pour un dirigeant de PME.
Un audit cyber consiste à évaluer les points de fragilité d’une organisation : accès, mots de passe, sauvegardes, exposition internet, postes, messagerie, procédures et réaction en cas d’incident.
Exemple concret
Pour une PME, un audit cyber utile doit déboucher sur un plan d’action priorisé, compréhensible et réaliste, pas seulement sur une liste de failles techniques.
La cartographie SI consiste à représenter simplement les logiciels, serveurs, données, prestataires, flux et dépendances critiques de l’entreprise. Elle permet de comprendre ce qui existe et ce qui est sensible.
Exemple concret
Une cartographie peut montrer qu’un logiciel métier dépend d’un serveur ancien, d’une base de données non documentée ou d’un prestataire unique.
Une DSI externalisée consiste à confier le pilotage du système d’information à un intervenant externe, souvent à temps partiel. L’objectif n’est pas de remplacer les prestataires techniques, mais d’aider le dirigeant à décider, prioriser, cadrer les projets et suivre les risques.
Exemple concret
Une PME sans DSI interne peut faire appel à une DSI externalisée quelques jours par mois pour suivre les prestataires, arbitrer les priorités SI et structurer une feuille de route.
La DSI à temps partagé est une forme d’accompagnement régulier, mais non permanent. Elle permet à une PME de bénéficier d’un regard SI senior sans recruter un DSI à temps plein.
Exemple concret
Un dirigeant peut organiser un point mensuel avec une DSI à temps partagé pour suivre les projets, les budgets, la sécurité et les décisions à prendre.
La dette technique correspond aux choix, contournements ou retards de maintenance qui rendent le SI plus difficile à faire évoluer. Elle n’est pas toujours grave, mais elle devient risquée lorsqu’elle bloque les projets ou fragilise l’activité.
Exemple concret
Un ancien logiciel non maintenu peut continuer à fonctionner, mais rendre impossible une migration, une sauvegarde fiable ou une interconnexion avec un nouvel outil.
Le MFA ajoute une deuxième preuve d’identité lors de la connexion, en plus du mot de passe : application mobile, code temporaire, clé physique ou validation dédiée. C’est une mesure simple et très efficace pour protéger les accès sensibles.
Exemple concret
Même si un mot de passe est volé, un accès protégé par MFA est beaucoup plus difficile à compromettre.
Le MCO désigne l’ensemble des actions permettant de garder un système en fonctionnement : supervision, support, correctifs, sauvegardes, suivi des incidents et maintien de la disponibilité.
Exemple concret
Surveiller l’espace disque, vérifier les sauvegardes et corriger les incidents récurrents relèvent du MCO.
Le MCS complète le MCO avec une logique de sécurité : mises à jour, correction de vulnérabilités, durcissement, revue des accès, surveillance des risques et veille sur les menaces.
Exemple concret
Mettre à jour un serveur exposé sur internet ou supprimer des comptes inutilisés relève du MCS.
Un PCA décrit comment l’entreprise continue à fonctionner pendant une panne, une cyberattaque ou une indisponibilité majeure. Il ne concerne pas seulement l’informatique : il couvre aussi l’organisation, les priorités métier et les modes dégradés.
Exemple concret
Si le serveur de fichiers est indisponible, le PCA précise quelles activités doivent continuer, avec quels documents, quels outils alternatifs et quelles personnes responsables.
Un PRA décrit comment l’entreprise redémarre son informatique après un incident majeur : panne serveur, perte de données, cyberattaque ou indisponibilité d’un prestataire. Il précise qui fait quoi, dans quel ordre, avec quelles sauvegardes et sous quel délai.
Exemple concret
Après un ransomware, le PRA permet de savoir quels systèmes restaurer en premier, depuis quelles sauvegardes, avec quel délai de reprise acceptable.
Un prestataire informatique assure tout ou partie de l’exploitation technique : postes, serveurs, réseau, logiciels, sécurité ou support. Le prestataire est indispensable, mais il ne remplace pas toujours une fonction de pilotage SI côté direction.
Exemple concret
Une PME peut avoir un bon prestataire technique, mais manquer d’un interlocuteur pour challenger les devis, prioriser les projets ou formaliser les risques.
Un ransomware est un logiciel malveillant qui bloque ou chiffre les données de l’entreprise, puis demande une rançon. Le vrai sujet n’est pas seulement d’éviter l’attaque, mais aussi de savoir redémarrer vite si elle survient.
Exemple concret
Une PME touchée par un ransomware peut se retrouver sans fichiers, sans logiciel métier, sans facturation ou sans messagerie pendant plusieurs jours.
Le RGPD encadre la collecte et l’utilisation des données personnelles. Pour une PME, il s’agit surtout de savoir quelles données sont collectées, pourquoi, où elles sont stockées, qui y accède et combien de temps elles sont conservées.
Exemple concret
Un formulaire de contact doit expliquer clairement à quoi servent les informations transmises et comment exercer ses droits.
Le RSSI est le responsable de la sécurité du système d’information. Dans une PME, cette fonction est rarement présente à temps plein. Elle peut être partiellement portée par la direction, un prestataire ou un accompagnement externe.
Exemple concret
Un RSSI ou référent sécurité aide à prioriser les risques, structurer les règles d’accès, suivre les incidents et sensibiliser les utilisateurs.
Une sauvegarde est une copie de données ou de systèmes permettant de restaurer l’activité après une erreur, une panne ou une attaque. Une sauvegarde n’a de valeur que si elle est complète, accessible et régulièrement testée.
Exemple concret
Avoir une sauvegarde ne suffit pas : il faut savoir combien de temps prend la restauration et vérifier que les fichiers restaurés sont réellement exploitables.
Une sauvegarde immuable est une sauvegarde qui ne peut pas être modifiée ou supprimée pendant une durée définie. Elle protège l’entreprise contre certains scénarios de ransomware, où l’attaquant cherche aussi à chiffrer ou supprimer les sauvegardes.
Exemple concret
Une PME peut conserver une copie de sauvegarde protégée pendant plusieurs jours ou semaines, afin de disposer d’un point de restauration non altéré.
Le shadow IT désigne les outils utilisés dans l’entreprise sans validation ou visibilité de la direction informatique : comptes SaaS, fichiers partagés, applications gratuites, automatisations locales ou stockages personnels.
Exemple concret
Une équipe peut utiliser un outil en ligne pour gagner du temps, mais y stocker des données sensibles sans sauvegarde ni contrôle d’accès.
Aller plus loin
Un premier échange permet de traduire les sujets techniques en impacts concrets : risques, priorités, coûts, dépendances, prestataires et continuité d’activité.
