Règlement d’organisation de la gouvernance du système d’information

  • Réf. 0367
  • Date de première publication : 28/09/2023

Le présent règlement a pour but de définir l’organisation et la gouvernance des systèmes d’information (SI) et de communication au sein de l’Université de Genève. Il vise en particulier à définir les rôles et responsabilités en matière de système d’information et sécurité des systèmes d’information entre les différentes entités concernées : facultés et centres interfacultaires, division des systèmes et des technologies de l'information et de la communication (DiSTIC), entités centrales et Rectorat.

1.1 Objectifs généraux et modèle d'organisation

Les principes d’organisation du système d’information et du numérique de l’UNIGE sont établis en considérant les objectifs généraux suivants :

  • Offrir à l’ensemble de la communauté universitaire un socle de services numériques communs, modernes, fiables, sécurisés et adaptés aux besoins de la grande majorité des métiers et des différentes populations d’utilisateur/trices en termes de numérique ;
  • Permettre le développement de services numériques spécifiques adaptés aux besoins plus particuliers des divisions, facultés et centres interfacultaires dans le cadre de leurs missions administratives ou académiques ;
  • Garantir le bon fonctionnement et la cohérence globale de ces services numériques au sein d’un système d’information vu comme un tout global fonctionnel, optimisé et sécurisé ;
  • Organiser les instances permettant de tenir compte des besoins et d’évaluer l’adéquation des solutions proposées aux utilisateurs ;
  • Optimiser le coût global de gestion du système d’information et des services numériques communs et spécifiques.

En conséquence, l’UNIGE choisit un modèle d’organisation qui :

  • confie à une entité centrale, la DiSTIC, la gestion du système d’information et du socle des services numériques communs de l’UNIGE ;
  • et offre des capacités locales d’adaptation et de développement du système d’information.

La section suivante définit plus précisément les notions de système d’information, de services et ressources numériques et de responsabilités y afférentes.

1.2 Définitions générales et responsabilités

Système d’information : ensemble organisé d’éléments en interaction, dont chacun concourt à la collecte, au traitement, à la classification, à la communication et à la conservation de l’information dans un environnement donné.
Les éléments en interaction sont :

  • des personnes,
  • des processus et des procédures,
  • des ressources matérielles et immatérielles appartenant au domaine des technologies de l’information et de la communication (ci-après : ressources matérielles et immatérielles).

Socle du système d’information, de communication et du numérique : l’ensemble des ressources matérielles et immatérielles communes au système d’information de l’UNIGE, à savoir notamment de l’ensemble :

  • des infrastructures informatiques et de télécommunication,
  • des plateformes logicielles communes,
  • des référentiels et des données de base partagés,
  • des règles, normes et standards en matière de technologies de l’information et de la communication.

Le système d’information de l’UNIGE est donc constitué d’un socle commun, de différents SI métiers transverses (RH, Finances, Étudiants, Recherche, etc.) et de différents éléments de SI locaux.

Dans ce cadre, la DiSTIC doit établir avec les facultés et les centres interfacultaires le référentiel des ressources matérielles et immatérielles précisant leur nature :

  • ressources communes sans possibilité de délégation de gestion locale (exemples : le réseau, le système de messagerie, le système d’annuaire d’entreprise)
  • ressources communes avec possibilité de délégation de gestion partielle (exemple : la configuration des postes de travail virtuels VDI)
  • ressources locales, i.e. avec délégation totale (exemple : serveurs d’astronomie)

Exemple illustrant la gestion des incidents et prestations

L’établissement d’une extension locale du SI via la mise en œuvre de ressources spécifiques doit faire l’objet d’une Convention entre la faculté (ou centre interfacultaire) concernée et la DiSTIC.Elle doit respecter les principes d’organisation locale du SI (cf. section 2) et les meilleures pratiques définies dans le cadre des processus faîtiers du SI (cf. section 3) définis dans le présent règlement.

 

2.1 Rectorat

Le Rectorat est l’organe exécutif et dirigeant de l’Université. Il est responsable de la politique générale de l’Université, de la stratégie et de la planification pluriannuelle ainsi que des relations extérieures, en particulier avec les autorités et les autres institutions d’enseignement et de recherche.  

À ce titre, le Rectorat fixe le cadre de gestion dans lequel doit évoluer le système d’information de l’UNIGE et :

  • nomme un vice-recteur en charge de la DiSTIC
  • approuve les éléments élaborés par la DiSTIC :
    • la stratégie du système d’information de l’UNIGE
    • les conventions spéciales entre les facultés et la DiSTIC
    • les règlements en matière de systèmes d’information
    • la politique de sécurité du système d’information
  • détermine les moyens – financiers et en ressources humaines – qu’il entend consacrer aux investissements et au fonctionnement du système d’information.
  • définit la Politique de gestion de l’information sous la responsabilité du Secrétariat général
  • définit la Politique de protection des données personnelles et nomme un Data Protection Officer (DPO).

2.2 Division des systèmes et des technologies de l'information et de la communication (DiSTIC)

La mission générale de la division des systèmes et des technologies de l'information et de la communication (DiSTIC) est d’accompagner l'université pour contribuer à la mise en œuvre de sa stratégie en fournissant des services numériques adaptés et intuitifs aux utilisateur/trices tout en veillant à la qualité et la cohérence globale du Système d'Information institutionnel.
De manière plus spécifique, la Division STIC est chargée, en collaboration avec les différentes entités désignées dans le présent règlement :

  • de l’élaboration et de la mise en œuvre :
    • de la stratégie des systèmes d’information et de communication de l’UNIGE
    • de la politique de sécurité de l’information
    • de la politique de gestion des identités numériques et des accès au SI
  • du développement, de l’entretien, de l’exploitation et du décommissionnement des systèmes d’information et de communication de l’UNIGE ainsi que des données qu’ils exploitent ;
  • d’élaborer et de gérer les budgets de fonctionnement et les crédits d’investissement relatifs aux systèmes d’information et de communication ;
  • d’élaborer les règlements et directives en matière de systèmes d’information et de communication, en particulier dans le domaine de l’information et de sa sécurité;
  • de préaviser tout projet de loi ou de règlement ayant des conséquences sur les systèmes d’information et de communication ;
  • de conduire les projets relatifs aux systèmes d’information et de communication, et d’en gérer le portefeuille ;
  • d'élaborer et suivre les plans directeurs conjointement avec les directions métiers concernées ;
  • d’assurer le bon fonctionnement, le cycle de vie technique, la cohérence, l’efficience, des services mis en place ;
  • de formaliser le niveau de ses services, pour répondre aux besoins des différentes facultés, centres interfacultaires, divisions centrales et autres entités, en adéquation avec les ressources à disposition et les moyens alloués ;
  • de veiller à l’utilisation de normes et standards reconnus ;
  • de conseiller les facultés et autres entités en matière de système d’information.

2.3 Les facultés et centres interfacultaires

2.3.1 Responsabilités en matière de système d'information et de sécurité/protection des données

En matière de systèmes d’information et de communication, les facultés et centres interfacultaires sont chargés :

  • de l’utilisation efficiente des ressources et des services fournis ;
  • de l’application et du contrôle au sein de leur organisation :
    • du respect de la législation, en particulier en matière de droits d’auteur et de protection des données, et plus spécifiquement sur la partie locale de leur système d’information,
    • de l’application du présent règlement ;
    • de la politique de la sécurité de l’information et des directives y relatives ;
  • de l’expression de leurs besoins spécifiques ;
  • de veiller à ce que les postes de travail s’alignent aux exigences de l’institution en portant une attention particulière :
    • à l’adéquation aux besoins des collaborateurs/trices ;
    • à l’efficacité du support associé aux postes de travail ;
    • à la maîtrise des coûts d’acquisition et de renouvellement des postes de travail ;
    • au suivi de la conformité et de la sécurité des postes de travail ;
    • au respect de l’environnement ;
  • de gérer le cycle de vie et le coût de l’équipement de son infrastructure et des logiciels en assurant une bonne gestion de son patrimoine (inventaire, utilisation de gestion de parc, mise à jour de la CMDB) ;
  • d’améliorer la compétence et la connaissance de ses utilisateurs autour de l’utilisation du poste de travail et des services à leur disposition ;
  • de garantir la bonne utilisation et la bonne gestion des logiciels utilisés sur son parc informatique.
     

En tant que responsables de traitements de données, les facultés :

  • sont responsables de la gestion de leurs données (inventaire, gestion de la qualité, sensibilité, cycle de vie)
  • définissent :
    • les besoins complémentaires en matière de gestion et sécurité de l’information,
    • les autorisations et les contrôles d’accès à leurs données ;  
    • veillent à l’application de la loi sur l’information ;
    • peuvent édicter des règles et mesures de gestion et de sécurité spécifiques ; celles-ci ne doivent pas être en contradiction avec les règles générales.

 

2.3.2 Référents locaux

Mise en place
L’introduction de référents au niveau local est rendue nécessaire pour des questions de continuité d’activité en cas de changements majeurs, de législation sur la protection de données ou encore de cybersécurité.
La charge associée à ses missions de référents pourra être très différente d'une faculté à une autre, ou d’un centre interfacultaire à un autre, notamment en fonction de la taille de l'entité, du volume de données sensibles gérées, et de la taille du système d’information local en termes de serveurs et services numériques.
Sachant cela, la souplesse doit être privilégiée pour adapter le modèle aux contextes locaux, un délai de mise en œuvre de 12 mois est donc accordé. A l’issue de ce délai cette version 0 du document pourra être révisée et complétée, et des avenants spécifiques pour certaines facultés ou centres pourront y être ajoutés (il s’agira alors de la version 1 du ROGSI).
La DiSTIC, les facultés et centres exploiteront ce délai pour finaliser ensemble la mise en place effective de manière adaptée, sachant que dans certains contextes de nouvelles ressources pourront s’avérer nécessaires.
 

Référents fonctionnels
En plus des correspondants informatiques, chaque faculté / centre interfacultaire identifie un certain nombre de référents fonctionnels dont les responsabilités sont de :

  • participer à l’évolution de l’impact de changements majeurs,
  • relayer l’information,
  • fournir et maintenir en fonction un groupe d’utilisateur-trices avancé-es qui recevront les mises à jour des services afin de donner un retour et d’identifier les problématiques potentielles, avant un déploiement plus global,
  • participer à l’élaboration des politiques sur les données gérées localement (les règles, les processus, procédures et les standards) et notamment à la sensibilité des données.

Aucune connaissance technique n’est requise pour ces référents fonctionnels, seule la connaissance aiguë des « métiers » de l’entité est importante pour bien remplir ce rôle. Ils seront informés préalablement des projets et des changements apportés, des impacts des changements selon un planning défini préalablement avec les CI principaux de la faculté/centre interfacultaire concerné.

Référents protection de l’information
Chaque faculté et centre interfacultaire désigne en son sein un-e référent-e en matière de gouvernance et de protection de l’information. Pour la plupart des entités, les rôles de « référent fonctionnel » et « référent protection de l’information » pourront se confondre.
 
Le/la référent-e en matière de gouvernance et de protection de l’information endosse le rôle de « Chief data officer » sur son périmètre : il/elle s’assure de la bonne gestion du patrimoine des données exploité et géré par son entité et est garant de la cohérence avec la stratégie globale de l’université, tant sur la connaissance du patrimoine des données, que sur les politiques édictées ou encore les processus de gestion des données.  

Le DPO a la charge de former et de transmettre tout changement en matière de législation Cantonale ou Fédérale. Il facilitera la collaboration avec les facultés dans les démarches nécessitant des implications tierces.

Les missions des « référents protection de l’information » sont :

  • d’agir en tant que relais auprès de leur entité sur les questions de gestion et de protection de l’information et d'identifier les acteurs à impliquer (data owner, data steward)
  • d’identifier les actifs informationnels locaux sensibles, les risques et les besoins en protection de l’information
  • de participer au recensement des traitements de données personnelles (obligation légale LIPAD)
  • de participer à la gestion des incidents relatifs à la protection de l’information (obligation légale LIPAD+LSI)

Des formations seront dispensées sous la responsabilité de la DiSTIC pour permettre à ces référents d’assurer leur mission.

Référents cybersécurité
Chaque faculté et centre interfacultaire désigne en son sein au moins un-e référent-e cybersécurité.
Il/elle est le point de contact en ce qui concerne la sécurité des actifs informatiques (serveurs, équipements de stockage de données, équipements scientifiques, postes de travail…) notamment sur les aspects suivants :

  • application des mesures de protection pour les différents systèmes facultaires. Le niveau de sécurité dépend du niveau de sensibilité de l’information considérée ;
  • traitement amont des vulnérabilités critiques détectées par le système de veille sécuritaire de l’université ;
  • le cas échéant, traitement aval des incidents de sécurité sur le périmètre concerné.

Là encore il s’agit d’une fonction et pas nécessairement d’un poste. A la différence des profils précédents, il s’agit ici d’un profil technique (administrateur système, correspondant informatique…)

Ses missions consistent à :

  • contribuer à l’élaboration des règles, meilleures pratiques et procédures en matière de cybersécurité
  • superviser la sécurité des systèmes locaux
  • participer à la gestion des cyber-incidents locaux (obligation légale LIPAD+LSI)
  • être le relais cybersécurité auprès de son entité et être garant du respect des règles et bonnes pratiques de sécurité informatique à l’échelle locale
  • remonter les besoins techniques en sécurité informatique ou les difficultés d’application des mesures standards.

La DISTIC fournit les outils et l’accès aux informations (documentation infrastructure et sécurité) permettant un traitement efficace des alertes remontées au niveau des facultés.
Le/la référent-e sera également consulté-e dans les étapes de planification de changements touchant aux éléments de sécurités informatiques.

Formation / adaptation aux contextes locaux spécifiques
Les différent-es référent-es facultaires sont formé-es/sensibilisé-es préalablement afin qu’il/elles puissent accomplir leurs missions dans de bonnes conditions.

L’organisation précise pour chaque entité sera discutée avec le DPO et le RSSI, l’idée étant de favoriser un maximum de souplesse pour tenir compte de la grande diversité des structures.

 

2.3.3 Services informatiques facultaires

Certaines facultés disposent de plus de services informatiques constitués permettant de délivrer des services spécifiques, non pris en charge au niveau institutionnel.

Ces services informatiques doivent se coordonner étroitement avec la DiSTIC pour éviter le re-développement local de solutions potentiellement mutualisées.
Elles doivent également s’appuyer sur les processus, politiques, règles et méthodologies de SI définies par le Rectorat et la DiSTIC.  

Le cas échéant ces services peuvent via des collaborations ponctuelles bénéficier du soutien des experts de la division informatique. Ce soutien devra être défini de manière concertée pour permettre d’intégrer celui-ci aux planifications.
 

2.3.4 Les Commissions Informatiques Facultaires (CIF)

Chaque faculté ou centre interfacultaire, dispose d’une commission informatique (CIF) qui est chargée :

  • d’élaborer, de manière étroite avec la DiSTIC, la politique facultaire en matière de technologies et de gestion de l’information et de la communication (TIC)
  • de conseiller le décanat / la présidence sur les questions concernant les TIC
  • de procéder à un examen des besoins en la matière à moyen et à long terme afin de pouvoir les intégrer dans les plans de la faculté, et plus largement dans les plans généraux de l'Université
  •  de piloter les infrastructures informatiques au sein des facultés conformément à la politique de l’UNIGE.
  • de coordonner les activités des services informatiques et des correspondants informatiques
  • de faire remonter les besoins de la faculté/centre interfacultaire vers la COINF (Commission Informatique) ou la DiSTIC, qui pourront orienter le cas échéant leur prise en charge au sein des domaines métiers constitués.  

Pour les centres interfacultaires, trois variantes sont proposées :

  • constituer une CIF dédiée,
  • se rattacher à une CIF facultaire existante,
  • ou encore de constituer une CIF partagée pour plusieurs centres.

Composition des CIFs
La composition de la CIF est établie conformément au règlement d’organisation des différents secteurs de la faculté. Elle est en principe constituée :

  • d’un membre du décanat ou professeur-e désigné-e par celui-ci (Président-e)
  • de l’administrateur/trice de la faculté,
  • d’un membre de la direction STIC,
  • de représentant-es de sections et/ou départements (membres du corps des CER et professeur-es),
  • de représentant-es de services locaux liés aux technologies de l’information (service et correspondants informatiques, audio-visuel, etc.),
  • du/de la référent-e protection de l’information de la faculté ou centre considéré,
  • éventuellement de représentant-es étudiant-es.

Le/la membre de la direction STIC présent-e au sein de la CIF permettra de faire remonter les besoins facultaires, mais également d’informer la faculté/le centre interfacultaires des nouveautés/changements dans le SI.
Les membres sont désignés à chaque période administrative par l’autorité compétente de la faculté/centre interfacultaire.
Il est recommandé que la CIF se réunisse quatre (4) fois par an en séance plénière. La fréquence exacte est toutefois laissée à l’appréciation de la faculté/centre interfacultaire.

 

2.3.5 Correspondant-es informatiques

Dans les différentes entités de l'université, les correspondant-es informatiques apportent un support de proximité aux utilisateur/trices de leur entité, en étroite collaboration avec la Division STIC et en s'appuyant sur les processus et les services institutionnels.

Parmi leurs responsabilités :

  • s’informer des nouveautés, présentations, formations, recommandations, directives, FAQ, et diffuser cette information aux utilisateur/trices
  • informer sur les dispositifs en place (exemple : le CAD)
  • sensibiliser l'utilisateur/trice aux règles et directives sur l'utilisation des données et des ressources informatiques de l'UNIGE (notamment en matière de sécurité) et participer à leur diffusion
  • conseiller et assister les utilisateur/trices
  • installer et assurer le bon fonctionnement des postes de travail institutionnels du personnel et des étudiant-es localisés sur son secteur d'intervention, de leurs périphériques, des équipements réseau et des serveurs
  • participer à la définition et à la création d'images logicielles pour les besoins spécifiques
  • gérer le parc matériel et logiciel, tenir à jour l'inventaire des ressources et licences informatiques
  • prendre en charge les déclarations d'incidents (tickets) et en assurer le suivi sur la plate-forme institutionnelle ITSM
  • coordonner et intervenir sur les opérations de support de proximité.

 

2.3.6 Autres gestionnaires locaux du SI

En dehors des correspondant-es informatiques, il peut exister également un certain nombre d’autres gestionnaires locaux du SI qui n’apportent pas de support de proximité : administrateur/trices de systèmes, webmasters, gestionnaires d’équipements scientifiques, prestataires externes gérant des services numériques facultaires…

Ces acteur/trices du SI jouent donc un rôle actif sur le SI et doivent être identifiés afin :

  • de leur apporter les informations / sensibilisations nécessaires et adaptées à leur profil,
  • connaître les ressources locales du SI dont il-elles ont la charge,
  • optimiser l’intégration dans le SI de l’université et mettre à jour la cartographie,
  • avoir une vision sur les mesures de sécurité en place,
  • apporter le support nécessaire.

2.4 COINF (COmmission INFormatique)

La COINF est une commission commune à toutes les facultés et centres interfacultaires qui a pour de rôle de :

  • proposer ou valider des éléments de la stratégie de l’université en matière de technologies de l’information et de la communication (TIC) et de gestion de l’information, pour prise de décision par le rectorat
  • prendre connaissance et préaviser pour le rectorat certains projets dans le domaine des TIC, en veillant à leur cohérence et à leur conformité à la politique de l’université
  • mandater la division du système et des technologies de l'information et de la communication (DiSTIC) ou des groupes ad hoc, s’appuyant sur les structures de l’université, pour des mandats d’expertise
  • d’assurer d’une bonne collaboration avec les commissions informatiques des facultés et centre interfacultaires (CIF)
  • le cas échéant, canaliser les demandes vers les COCSIM appropriés.

À ce rôle stratégique, s’ajoute désormais un rôle opérationnel lié aux changements majeurs impactant les utilisateur/trices. La COINF est consultée en amont de ceux-ci pour participer à la réflexion et veiller à bonne information des parties prenantes. Certains changements, notamment lorsqu’ils sont motivés pour des questions de sécurité, nécessitent une réaction rapide. Aussi, le traitement de ceux-ci peut nécessiter la convocation de séances ad-hoc avec peu d’anticipation.  

La COINF est également consultée dans le cadre de l’élaboration du portefeuille de projets de SI à soumettre pour arbitrage au rectorat.

Au-delà des missions décrites ci-dessus, la COINF dispose d’un budget annuel alloué par le rectorat, lui permettant d’accorder un cofinancement ponctuel à certains projets.

Composition
La COINF est formée :

  • du/de la vice-recteur/trice en charge du SI (président-e),
  • du/de la président-e du collège de direction de la DiSTIC (vice-président-e)
  • de 2 représentant-es par faculté (président-e académique de la CIF et administrateur/trice de facultés),
  • de représentant-es de chaque centre interfacultaires selon les modalités choisies pour les CIF de ces centres
  • des DSI adjoint-es
  • du RSSI
  • de représentant-es du Bureau de la Transition Numérique
  • de l’administrateur/trice de la COINF

La commission informatique se réunit cinq (5) fois par an en séance plénière.

2.5 Groupes d'experts

Selon les besoins, il est possible de constituer des groupes ad hoc permettant de bénéficier de l’expertise disponible au sein de l’UNIGE (groupes de recherche, ingénieur-es IT, correspondant-e IT,…).

La présence de correspondant-es informatiques au sein de ces groupes de travail apportera la vision du terrain, renforcera la collaboration et facilitera l’acceptation des changements.

Ces groupes remonteront leurs recommandations à l’entité les ayant mandatés.

2.6 Les Divisions

De manière similaire aux facultés et centres, les divisions et entités centrales sont responsables :

  • de l’utilisation efficiente des ressources et des services fournis,
  • de l’application et du contrôle au sein de leur organisation des règles en matière de gestion, de sécurité et protection de l’information,
  • dans le cadre des projets relatifs à leur domaine d’activité :
    • de la documentation de leurs objectifs, de leur organisation, de leurs processus, de leurs activités et des services attendus,
    • de l’anticipation et de la mise en œuvre des changements au sein de leur organisation (gestion du changement et planning de mise en œuvre)
    • des « tests utilisateur/trices » ou d’acceptation des services
    • de la prise en compte des besoins facultaires au travers de leurs organes de gouvernance de systèmes d’information.

Certaines divisions disposent également de correspondant-es informatiques et/ou de gestionnaires locaux du SI.

Vision globale : vision établie et diffusée au sein de l’organisation
Organisation avec les instances en charge de l’effort d’innovation
Veille technologique éclairant les efforts d’innovation et la stratégie
Proactivité pour conduire les initiatives d’innovationLe système d’information s’appuie sur des vecteurs-clés de développement, encore appelés processus faîtiers :

0367_Image2.png

A chaque processus faîtier est associée une entité/personne responsable de l’établissement du processus et de son suivi (efficacité, indicateurs, risques, consolidation…). A ce titre, cette entité/personne décline le processus en plusieurs activités qu’elle documente et communique aux parties prenantes.

Chaque processus est décrit dans le règlement via une fiche de synthèse et les éléments d’organisation principaux (politiques, rôles et responsabilités, ressources matérielles et immatérielles, comités et interactions…).

3.1 Stratégie

Objectif Intégrer les enjeux du numérique dans le plan stratégique de l’UNIGE
Activités et pratiques  principales
  • Processus de planification et de transformation
  • Contenu stratégique : intégration des cibles-métiers et technologiques
  • Communication pour la compréhension et l’adhésion des métiers
  • Indicateurs financiers et non-financiers définis
Acteur/
Entité responsable
Rectorat – Vice-recteur/trice en charge de l’Université numérique et de la   DiSTIC

3.2 Innovation

Objectif Diffuser la culture numérique et promouvoir les technologies innovantes
Activités et pratiques  principales
  • Vision globale : vision établie et diffusée au sein de l’organisation
  • Organisation avec les instances en charge de l’effort d’innovation
  • Veille technologique éclairant les efforts d’innovation et la stratégie
  • Proactivité pour conduire les initiatives d’innovation
Acteur/
Entité responsable
Bureau de la transformation numérique
Pôle d’innovation numérique et Cellule R&D


3.2.1 Bureau de la stratégie numérique

Dans sa mission, la DiSTIC peut s’appuyer sur le Bureau de la Transformation Numérique, en charge de la définition, du pilotage, du suivi et de la communication du Plan d’action de la Stratégie numérique de l’Université de Genève. Les deux entités se coordonnent pour maintenir l’alignement de leurs stratégies respectives.

La stratégie numérique vise à embrasser le numérique dans sa dimension académique, sans se limiter au déploiement d’outils numériques et aux seuls aspects technologiques. Pour l’Université de Genève, le numérique est ainsi conçu comme :

  • un objet d’enseignement et de recherche
  • un outil d’enseignement et de recherche
  • un enjeu de société.

La stratégie numérique et la stratégie des systèmes d’information ne se superposent donc pas totalement bien que certains projets puissent figurer dans ces deux dimensions.
DiSTIC et Bureau de la Transition Numérique coopèrent donc étroitement sur certains sujets.

 

3.2.2 Pôle d'innovation numérique et Cellule R&D

Pour les activités liées au cycle de vie des projets d’innovation (veille, idéation, prototypage,  développement et intégration dans le SI), le Bureau de la transformation numérique peut s’appuyer sur le Pôle d’innovation numérique (CUI) et la cellule Recherche et Développement (R&D) de la DiSTIC. Ces derniers constituent deux instruments clés pour le processus d’innovation et la transformation numérique de l’UNIGE. Leur contribution se situe au niveau de la veille, de l’idéation, de l’exploration de nouvelles technologies, de récolte des besoins nécessitant une innovation, de résolution de problèmes, pouvant aller jusqu’au développement.

Leurs activités fédèrent les étudiant-es, les chercheur-euses, les facultés, des membres de la DiSTIC pour développer des services innovants pour la communauté universitaire.

3.3 Portefeuille de projets/programmes et projets

Objectifs Optimiser la valeur du patrimoine SI et gérer ses évolutions
Maîtriser la réalisation des projets et solutions
Activités et pratiques  principales

 

  • Référentiel des projets unique pour la gestion globale
  • Business case pour chaque projet fait avec les métiers et la DSI
  • Innovation intégrée dans le portefeuille de projets
  • Gestion des priorités de lancement basée sur les business cases
  • Suivi et recadrage des projets lancés, basés sur un reporting fiable et exhaustif
  • Objectifs métiers des projets explicités, cohérents et partagés
  • Gouvernance des projets claire, légitime et reconnue
  • Méthode de gestion projets conforme aux objectifs visés
  • Conformité du projet et sécurité intégrée dès la phase de conception
  • Pilotage des jalons pour le suivi des dérives des objectifs
  • Recette technique et fonctionnelle avant mise en production
  • Bilan de projet pour tirer les enseignements nécessaires

Acteur/
Entité responsable

Rectorat – Vice-recteur/trice en charge de l’Université numérique et de la   DiSTIC


Les instances

3.3.1 Bureau de Gouvernance du SI (BGSI)
La Gouvernance générale du SI est une mission exécutive, sous la responsabilité directe du Rectorat, qui comprend les responsabilités suivantes :

  • Consolider les portefeuilles métiers en un portefeuille institutionnel,
  • Prioriser dans le portefeuille institutionnel les projets soumis par les différents domaines fonctionnels et consolider les coûts prévisionnels
  • Soumettre les demandes de budget correspondantes
  • Répartir les enveloppes budgétaires allouées par le RVR pour les projets de SI, et arbitrer au sein du portefeuille institutionnel les conflits de ressources inter-projets
  • Valider les projets à cadrer, valider les projets à réaliser, quittancer les projets déployés
  • Suivre l’avancement des projets du portefeuille institutionnel et traiter les alertes remontées par les différents domaines fonctionnels.

La responsabilité faîtière est endossée par le Rectorat qui est épaulé dans cette mission par le bureau de gouvernance du SI dont la composition est la suivante :

  • Vice-recteur/trice en charge du SI (Présidente)
  • Président-e du collège de direction STIC (Vice-président-e)
  • DSI adjoint-es
     

3.3.2 COCSIM (Comité de Coordination des SI Métiers)
Chacun des domaines fonctionnels est coordonné par un COCSIM, qui exerce par délégation de la Gouvernance générale du SI les responsabilités suivantes :

  • Définir la stratégie IT au sein de son domaine fonctionnel et l’exprimer dans un document de référence (« livre bleu »)
    • Veiller à y associer les facultés/centres interfacultaires et leurs correspondant-es informatiques
    • S’appuyer également sur les conseils consultatifs mis en place dans les larges projets/programmes
  • Valider le bienfondé des demandes qui lui sont remontées et les prioriser dans le portefeuille métier
  • Définir les objectifs à atteindre par quadrimestre et suivre leur atteinte
  • Effectuer les re-priorisations rendues nécessaires par l’évolution du contexte
  • Présenter au Bureau GSI le portefeuille métier et les projets à valider, ainsi que les éventuels arbitrages à effectuer au niveau institutionnel
  • Suivre l’avancement de son portefeuille métier et s’assurer de la bonne tenue des indicateurs
  • Traiter les alertes, prendre les décisions de sa compétence et remonter ce qui doit l’être au Bureau GSI

La composition des COCSIM est la suivante :

  • Responsable du domaine métier (Président-e)
  • DSI adjoint-e en charge du domaine fonctionnel
  • Parties prenantes désignées / invitées
  • Représentant-e de gestion de projets
  • Les profils des parties prenantes étant très différents selon le domaine métier, leur choix est laissé à l’appréciation de la Direction du domaine métier concerné et validé par le-la Vice-recteur-trice en charge.

Il est de la responsabilité des COCSIM de veiller à ce que les besoins facultaires soient suffisamment intégrés aux feuilles de routes des différents domaines.
 

3.3.3 Comités consultatifs des programmes de transformation
La plupart des programmes de transformation actuels font appel à des comités consultatifs permettant de considérer les attentes des différentes facultés et centres interfacultaires ; le cas échéant, certains besoins exprimés pourront être réorientés vers ce canal.

 

Les processus

3.3.4 Priorisation des besoins et processus budgétaire
Le système d’information institutionnel est un écosystème en évolution permanente, que ce soit pour le maintenir opérationnel en tenant compte des contraintes technologiques, de l'évolution du contexte et des nouveaux besoins, pour l'adapter à la croissance de l'institution ou pour mettre en œuvre des transformations stratégiques.

Ses évolutions nécessitant la mobilisation et la planification de ressources humaines (compétences) ou financières (moyens) font l’objet d’un arbitrage institutionnel par le rectorat dans le cadre de l’établissement et la consolidation du portefeuille SI institutionnel.

Courant juin, le rectorat, épaulé par le bureau GSI, propose à chacun des COCSIM une cible budgétaire pour l’ensemble de leurs projets de SI pour l’année à venir.

Sur base des besoins et de leur catégorisation (obligatoire, indispensable, nécessaire, souhaitable) et en considérant la cible proposée, durant l’été, chacun des COCSIM élabore le portefeuille de projets supportant ses demandes. Chaque portefeuille métier se présente sous la forme d’une liste où chacun des projets fait l’objet d’une ligne proposant :

  • une description succincte
  • les risques à ne pas faire
  • les moyens demandés, y compris, le cas échéant, des coûts induits à terme.  

En complément à cette liste, il est recommandé de fournir une description en quelques pages du projet demandé, soit sous la forme d’une « demande de changement » établie selon un modèle standard, soit sous la forme d’un « mandat de projets » structuré.

Les différentes facultés/centres interfacultaires, notamment via leur CIF, sont invités à contacter les COCSIM pour veiller à intégrer leurs éventuels besoins au sein des portefeuilles métiers. La COINF peut également faire remonter des demandes selon le même mécanisme.

Les différents portefeuilles métiers sont consolidés par le bureau GSI en un portefeuille institutionnel qui est remonté au niveau du Rectorat pour arbitrage ; celui-ci a lieu lors d’une séance RVR (Recteur-Vice-Recteurs) durant le mois de novembre.

Pour chacun des projets arbitrés négativement, le rectorat explique son choix via un commentaire.

Les différents COCSIM sont informés en retour du résultat des différents arbitrages les concernant.


3.3.5 Gestion des projets et programmes
Chaque projet de système d’information est géré par une chefferie de projet (maîtrise d’ouvrage & maîtrise d’œuvre), dont la mission est de délivrer les services convenus, avec la qualité attendue, dans les temps et dans le respect des moyens alloués.

A chaque projet majeur est associé un comité de pilotage (COPIL), qui exerce les responsabilités suivantes :

  • Veiller au bon déroulement du projet dans le cadre fixé par la Gouvernance SI, en assurant le suivi des résultats / livrables, des échéances, des charges et des coûts, des risques, des prises de positions de la CAT
  • Prendre les décisions importantes du projet dans le cadre fixé, et remonter aux instances de Gouvernance du SI les écarts significatifs et propositions d’arbitrage

La composition type d’un COPIL est la suivante :

  • Représentant-e de la direction métier (Président-e)
  • DSI adjoint-e ou responsable de pôle concerné de la DiSTIC
  • Parties prenantes du projet.

Pour ce qui est de programmes de transformation majeurs, il est conseillé d’adjoindre au COPIL un conseil consultatif constitué de membres issus des différentes facultés ou centres pour alimenter le COPIL dans ses réflexions et également relayer l’information.

Au départ de tout projet/programme, une demande doit être formalisée de manière suffisante.  La forme peut être différente selon la nature/l’ampleur du projet.  

Elle doit dans tous les cas reprendre :  

  • la description du contexte dans lequel s’inscrit la demande,
  • les principaux objectifs visés,
  • une brève description de la solution envisagée.

Pour les « petits » projets (moins de 15 jours-personne), un descriptif libre sera considéré suffisant, dans la mesure où il permet de répondre aux questions ci-dessus.  

Pour les projets plus conséquents, une description plus formelle est demandée via l’usage de l’un ou l’autre des modèles de documents suivants :  

  • Formulaire de demande  
  • Ou Mandat de projet.

L’usage du modèle « Mandat de projet » est exigé pour l’ensemble des projets ayant trait au plan d’action de la stratégie numérique et est fortement recommandé pour la description des projets soumis à une demande de financement sur « réserve stratégique ».   

Une feuille de route avec les principaux livrables doit être annexée au dossier. La planification fine sera réalisée en fixant des objectifs à court terme tel qu’exposé dans le prochain chapitre.


3.3.6 Planification
La planification des projets s’effectue désormais selon une approche « agile », en fixant des objectifs sur des périodes courtes. L’année est divisée en 3 périodes de quatre mois (Janvier-Avril, Mai-Août et Septembre-Décembre).

Les COCSIM définissent et maintiennent une feuille de route de haut niveau de leurs projets. Au terme de chacune des périodes, les chefferies de projet proposent pour la période suivante des objectifs concourant à cette feuille de route avec des critères d’atteinte mesurables. En fin de période, les chefferies de projets statuent sur l’atteinte ou non atteinte des différents objectifs. Les objectifs non atteints ne peuvent être reconduits sur la prochaine période, sauf à démontrer que les conditions ont suffisamment changé pour envisager un succès.  

Chacun des projets fait également l’objet d’un reporting synthétique selon un modèle décrivant la « météo » du projet, les faits marquants et difficultés rencontrées, les objectifs atteints sur la dernière période et les objectifs planifiés pour la prochaine période.

Le reporting et les objectifs sont validés par les différents COCSIM avant consolidation puis remontée vers le rectorat, les directions des services centraux et diffusion large au sein des différentes facultés/centres interfacultaires.


3.3.7 Acquisition et développements locaux
Certaines facultés souhaitent procéder/procèdent parfois à des développements spécifiques pour satisfaire des besoins locaux.

Le paragraphe suivant vise à encadrer de tels développements en permettant de satisfaire les besoins locaux tout en abordant les questions de maintenance sur le long terme.

Le cadre que la faculté / le centre interfacultaire propose à ses partenaires de fixer pour délimiter son autonomie se définit comme suit :

  • il s’agit d’applications légères qui ne sollicitent aucune adaptation et n'enfreignent aucune règle sur la protection des données pour accéder aux bases de données du système d’information UNIGE (utilisation des API existants),
  • les applications sont très spécifiques au fonctionnement de la faculté, par opposition à un besoin qui serait de toute évidence commun à l’ensemble des facultés et justifierait le développement d’une application sur le plan institutionnel,
  • les plates-formes matérielles et environnements de production sont conformes aux standards DiSTIC et tels qu’ils sont mis à disposition par cette dernière dans le catalogue des prestations (notamment la convention de service avec les facultés pour l’hébergement de serveurs virtuels).

Droits et obligations de la faculté / du centre interfacultaire :

  • la faculté/le centre est tenu d’annoncer à la commission d’architecture de la DiSTIC (CAT) les développements qu’elle entreprend dans le cadre de la présente convention, et de lui en communiquer le cahier des charges,
  • la faculté/le centre est seul responsable de la maintenance corrective et évolutive de ses applications, ainsi que du support aux utilisateurs ; elle doit en particulier prévoir les ressources nécessaires pour les futures mises à jour des infrastructures et librairies de développement utilisées ;
  • la faculté/le centre peut sous-traiter certains développements dans la mesure où elle les finance elle-même.

Droits et obligations de la DiSTIC : 

  • sur la base du cahier des charges fourni par la faculté, la CAT peut si elle l’estime utile, exiger un passage devant le comité opérationnel de la sécurité du SI
  • le Centre d’Accueil des Demandes (CAD) n’assure aucun support sur ces applications, et, si sollicité par des utilisateurs, limite son intervention à l’émission d’un ticket à l’attention des correspondant-es informatiques de la faculté,
  • la DiSTIC ne sera en aucun cas tenue de reprendre à sa charge les développements réalisés, par exemple en cas de défection d’une ressource de développement ou d’un sous-traitant.

3.4 Gestion des Services numériques

Objectif Fournir des services numériques conformes aux attentes des métiers et des utilisateur/trices
Activités et pratiques  principales
  • Catalogue de services numériques institutionnels à disposition des utilisateur/trices
  • Gestion des demandes clients/utilisateur/trices mise en place sur les services existants
  • Contrats de service mis en place et gérés
  • Amélioration continue de la qualité de services perçue par les utilisateurs/trices
  • Activité de production pilotée à l’aide de tableaux de bord
  • Gestion de la solution de support informatique
Acteur/
Entité responsable
Directeur/trice SI adjoint, en charge de « Gestion des services et de l’environnement numérique de travail »


3.4.1 Gestion des demandes (prestations et gestion d'incidents)
La gestion des demandes s’appuie sur les bonnes pratiques ITIL. La cible est de rétablir le fonctionnement normal du service aussi rapidement que possible en garantissant la satisfaction utilisateur/trice.
 

3.4.2 Centre de services (Centre d'Accueil des Demandes - CAD)
Le Centre de services est chargé :

  • d’accueillir les demandes de service des utilisateur/trices liées au système d’information, de les diagnostiquer et les enregistrer dans l’outil ITSM (tickets)
  • de résoudre les demandes et incidents pouvant être traités à son niveau et aiguiller les tickets nécessitant une expertise particulière vers le/la bon-ne interlocuteur/trice de la chaîne de support
  • de participer à l’enrichissement de la base de connaissances liée à la gestion des incidents
  • de remonter les alertes vers les responsables de traitements (services owners et data owners)
  • d’informer ses utilisateur/trices en cas de panne de service
  • d’assurer le support 1er niveau des cartes multiservices

Ses plus-values sont :

  • Pour les utilisateur-trices
    • de disposer d’un dépannage rapide et efficace (temps de réponse, un unique canal…)  
    • d’être informé-es des pannes en cours
  • Pour la DiSTIC, les correspondants-e informatiques, les ARE-i (moniteur/trices informatiques)
    • de diminuer le nombre d’incidents traités au 2ème et 3ème niveau  
    • d’être informé rapidement des incidents d’infrastructure ou les pannes (tour de guet)
    • d’être informé des incidents en cours (communication dw.unige.ch)
  • Pour tous
    • de garantir un service de secours (Auditeur/trices perdu-es, étudiant-es sans ARE-i ou sans réponse, professeur-es honoraires et PA/PENS sans Cis ou en escalade)
    • de rattraper les problèmes de non-qualité (processus inadapté, méconnaissance, mauvaise organisation, manque de ressources des autres entités)
    • de participer aux processus d’amélioration des produits et des services

3.5 Gouvernance et gestion des données

Objectif Gérer et valoriser les données de l'UNIGE
Activités et pratiques  principales
  • Référentiel des données pour les gérer comme actif majeur
  • Valorisation : utilisation des données pour créer de la valeur pour l’institution
  • Sécurisation mise en place pour protéger les données de l’institution
  • Respect de la réglementation relative aux données
  • Éthique sur les actions menées pour un numérique responsable
Acteur/
Entité responsable
Secrétariat général
Data manager


La gouvernance des données est régie par un certain nombre de principes essentiels :

  • Alignement stratégique : les activités de management des données (qui sont régies par la gouvernance des données) sont guidées par une stratégie de données (quelles données, pour faire quoi, et comment), qui elle-même est guidée par la stratégie de l’entreprise/institution.
  • Orientation métier : la gouvernance des données est avant tout un programme métier, qui va venir régir les interactions des métiers avec la donnée et orienter certaines décisions SI concernant les données
  • Responsabilité partagée : la gouvernance des données se base sur un système de responsabilité partagée entre le métier, le SI, et les professionnels du data management
  • Multi-niveaux : la gouvernance des données s’opère à différents niveaux de l’institution : niveau global, comme local, avec tous les niveaux possibles entre les deux
  • Cadre opérationnel : la gouvernance des données requiert une coordination entre les différents acteurs et domaines fonctionnels. En conséquence, le programme de gouvernance des données doit établir un cadre opérationnel pour définir les interactions et les responsabilités

Orientation des principes : la gouvernance des données est avant tout la recherche de changements dans les comportements vis-à-vis des données et doit se baser avant tout sur des principes desquels vont venir se décliner des corpus de règles.

C’est le Secrétariat général qui a en charge de définir la politique de gestion de l’information / des données de l’Université de Genève qui permet de donner les orientations principales en termes de définition des données à valeur en particulier les données patrimoniales et de cycle de vie des données numériques comprenant notamment la gestion de l’archivage des données numériques.

La DiSTIC a à sa charge la gestion des référentiels de données du système d’information commun. Chaque entité locale doit elle-même gérer ses propres données et référentiels de données selon les principes définis dans la politique de gestion de l’information.


3.5.1 Comité de gouvernance de l'information

Missions
Le comité de gouvernance de l’information :

  • propose les Stratégies et Politiques en termes d’information en tenant compte de la stratégie de l’institution (inventaire, classification, cycle de vie des données, protection, conformité, qualité)
  • définit les objectifs et les indicateurs de la démarche de gouvernance et les bénéfices escomptés
  • évalue la réalisation des objectifs et les bénéfices de la démarche, et suit les indicateurs du programme
  • évalue la maturité de l’organisation en termes de management des données
  • définit la stratégie de déploiement et la roadmap de travail

Concrètement, le comité :

  • définit et met à jour les politiques (principes et règles) et standards
  • approuve et communique l’inventaire des informations stratégiques avec leur domaine d’appartenance (propriétaire), leur classification générale et les classifications métiers qui en découlent
  • s’assure de la bonne application de :
    • La Politique de traitement des données (gestion, archivage, protection des données)
    • La LIPAD à l’Université
    • La Politique de sécurité de l’information de l’UNIGE
  • définit et gère le modèle opérationnel de gouvernance de l'information
  • soutient les projets orientés « données »
  • assure la coordination avec la gouvernance du SI notamment les liens avec
    • L’architecture SI
    • Les processus de SI notamment la gestion de projets et programmes
  • participe au partage de la connaissance et à la conduire le changement par des actions de communication, d’acculturation, de formation des acteurs de la donnée

Participation et contribution :

  • au registre des traitements de données personnelles,
  • au plan de traitement des risques relatifs à la sécurité de l’information,
  • aux dossiers de conformité des services Cloud,
  • aux incidents majeurs relatifs à la gestion de l’information,
  • aux audits relatifs à la gestion de l’information.

Composition

  • Membres permanents
    • Secrétaire général (préside)
    • Chief Data Officer
    • Data Protection Officer
    • Responsable de la sécurité de l’information
    • Responsable des référentiels de données du SI
    • Président-e du collège de direction de la DiSTIC
    • Gestionnaire des risques
  • Autres membres selon besoin
    • Directrice juridique
    • Représentants métier notamment data owners
    • Représentants facultaires - Directeur/trices SI adjoints

3.6 Sécurité de l'information et protection des données personnelles

Objectif

Garantir la confidentialité, l’intégrité et la disponibilité des actifs informationnels sensibles
Assurer la conformité légale vis-à-vis de la LIPAD et du RGPD

Activités et pratiques  principales
  • Établir les politiques de sécurité du système d’information et de protection des données personnelles
  • Gérer les risques relatifs à la sécurité de l’information et aux données personnelles
  • Établir les règles, standards et meilleures pratiques de protection de l’information
  • Sensibiliser/former les métiers, les gestionnaires du SI et les utilisateur-trices finaux
  • Gérer les incidents de sécurité
Acteur/
Entité responsable

Responsable de la sécurité du système d’information
Data Protection Officer


La DiSTIC et le Rectorat prennent conjointement avec les responsables de traitements de données centraux et facultaires, toutes les mesures appropriées pour :

  • préserver la sécurité de l’information et
  • appliquer les dispositions de la loi sur l’information du public, l’accès aux documents et la protection des données personnelles.
     

3.6.1 Le/la Responsable de la sécurité du système d'information
Le rôle du responsable de la sécurité des systèmes d'information (ci-après RSSI) est principalement d’identifier et de gérer les risques liés au système d’information dans son ensemble, en s’assurant des quatre axiomes fondamentaux :

  • la disponibilité des systèmes et des données,
  • l’intégrité des données,
  • la confidentialité des données,
  • la traçabilité des opérations permettant la preuve de l’échange ou du traitement des données.

Cette approche par les risques est fondamentale car elle assure que les mesures de sécurité du SI seront choisies pour traiter les risques spécifiques à l’université en respectant les options de traitement du risque retenues par la Direction. On peut parler de concept de « sécurité adaptée ».
Le RSSI rassemble les exigences de sécurité dans la politique de sécurité et s'assure de la mise en œuvre de celles-ci.
Il supervise et coordonne les activités opérationnelles de sécurité effectuées par les experts de la sécurité du système d’information de la DiSTIC.


3.6.2 Politique / Référentiel de la sécurité du système d'information
Il est important que la Direction (Rectorat et Direction du SI) définisse des dispositions générales claires en accord avec ses objectifs et qu’elle démontre son soutien et son engagement vis-à-vis de la sécurité de l’information en mettant en place et en maintenant la Politique de sécurité du système d’information (PSSI) pour toute l’université.

La PSSI constitue le principal document de référence en matière de sécurité du SI. Elle reflète la vision stratégique de l’université et montre l’importance qu’accorde la Direction à son Système d’Information et matérialise les principes et les règles de sécurité à appliquer et à respecter afin de maintenir le niveau de sécurité cible.

L’élaboration de la PSSI se base sur les résultats de l’analyse des risques SSI afin de faciliter :

  • la détermination des éléments stratégiques,
  • le choix des principes à développer,
  • l’élaboration des règles,
  •  la cohérence avec les objectifs de sécurité identifiés.

Les thèmes suivants y sont développés :

  • les définitions notamment :
    • les critères d’évaluation de la sécurité : disponibilité, intégrité, confidentialité, et traçabilité
    • les critères de classification de l’information (publique, sensible, confidentielle)
    • le niveau de sensibilité des systèmes (Niveau I, II et III)
  • les rôles et responsabilités,
  • la gestion des risques et des vulnérabilités SSI,
  • les principes de gestion des informations, des fichiers et des systèmes,
  • les principes de gestion du cycle de vie des systèmes et applications,
  • les principes de gestion des systèmes et applications,
  • les règles d’utilisation des systèmes et applications,
  • le rappel des contraintes légales et réglementaires.

L'approbation de la politique de sécurité du système d'information incombe au rectorat. La PSSI est publiée dans le memento de l’Université et son accès est public afin qu’elle soit consultable par le plus grand nombre.

La Politique de sécurité du SI (PSSI) est indispensable car elle explicite les objectifs et les grands principes de gestion de la sécurité de l'information à l'Université de Genève. Mais elle reste souvent trop abstraite :

  • pour les concepteur/trices d’applications et les administrateur/trices en charge de la configuration des systèmes ou de l’implémentation d’outils techniques, et du développement d’applications et services numériques,
  • pour les utilisateur/trices qui doivent connaître et respecter les règles d'utilisation des ressources informatiques,
  • pour les métiers et facultés qui n'auront pas les leviers pour évaluer et mettre en œuvre les mesures de protection nécessaires pour sécuriser leurs actifs informationnels.

Pour répondre à cette problématique, la PSSI est déclinée concrètement en règles générales de sécurité. Ces règles sont elles-mêmes détaillées comme suit :

  • une charte d'usage des ressources numériques, regroupant les règles d’utilisation des ressources du SI, à destination des utilisateur/trices finaux (collaborateur/trices, étudiant-es, prestataires...) ;
  • un ensemble de directives et de procédures de sécurité (PS) qui décline les règles organisationnelles et techniques qui permettent de gérer concrètement la sécurité du SI ;
  • un ensemble de meilleures pratiques et de standards reconnus internationalement et applicables à l'Université.

Référentiel de la sécurité du système d’informationL'ensemble de ces documents constitue le Référentiel de la sécurité du SI. Chaque document a un objet et un public cible qui lui est propre :

Document Objet Public cible Validation Diffusion
Politique de sécurité du système d’information (PSSI) Principes et objectifs de sécurité Tous Rectorat Memento (accès public)
Politique de sécurité du système d’information (PSSI) Exigences minimales de sécurité Tous Direction DiSTIC (et Rectorat le cas échéant) Memento (accès public)
Chartes d’usage des ressources numériques Règles d'utilisation du SI Utilisateur/trices (collaborateur/trices, étudiant-es, externes...) Rectorat Memento (accès interne) ET diffusion directe à chaque utilisateur/trice
Directives et procédures de sécurité (PS) Règles de gestion du SI Propriétaires d'actifs du SI et parties prenantes Direction DiSTIC et RSSI Selon public cible de chaque directive/procédure

Eléments d'organisation
L’organisation de la sécurité de l’information s’appuie sur 3 niveaux (gouvernance, fonctionnel, opérationnel) comme suit :

0367_Image4.png

3.6.3 Comité de protection de l'information
Il s’agit de la principale plate-forme d'échange, de concertation, d'information et de collaboration avec les facultés et les métiers dans le domaine de la sécurité de l'information et de la protection des données personnelles afin notamment de contribuer à :

  • apporter le support méthodologique nécessaire pour respecter localement les politiques de sécurité de l’information et de protection des données personnelles
  • identifier les actifs informationnels et les traitements de données personnelles sensibles sur l’ensemble de l’UNIGE
  • renforcer la protection de l’information à l’UNIGE à un niveau adapté aux risques encourus

Contribuer, avec le RSSI et le DPO, à :

  • l’établissement des classifications de l’information locales / métiers,
  • l’établissement du catalogue des traitements de données personnelles
  • l’identification des besoins et des risques relatifs à la gestion de l’information
  • la mise en œuvre des mesures de protection des données nécessaires, en s’assurant de la mise à disposition des ressources nécessaires
  • la sensibilisation des utilisateurs/trices au respect des bonnes pratiques
  • l’évaluation de la conformité des nouveaux services numériques notamment cloud

Il se compose des membres permanents suivants :

  • Responsable de la sécurité de l’information (co-préside)
  • Data Protection Officer (co-préside)
  • Data Manager (à renforcer/pérenniser)
  • Référent-es protection de l’information des domaines métiers
  • Référent-es protection de l’information des facultés ou centres

et peut inclure d’autres membres selon besoin.

3.6.4 Comité cybersécurité
Missions

Principale plate-forme d'échange de concertation, d'information et de collaboration avec les facultés et les métiers dans le domaine de la sécurité informatique / cybersécurité afin notamment de contribuer à:

  • Renforcer la sécurité des actifs de support, à un niveau adapté et homogène aux risques encourus,
  • Favoriser une approche proactive (supervision de la sécurité) plus que réactive (gestion des incidents de sécurité)

Contribuer avec les experts SSI à :

  • L’élaboration des règles, meilleures pratiques et procédures en matière de cybersécurité,
  • L’inventaire des actifs de support et l’identification de propriétaire technique et métier
  • L’application locale des mesures de protection nécessaires et des standards minimaux de sécurité
  • La supervision et le traitement des vulnérabilités locales
  • La participation à la supervision locale de la sécurité (via le SOC, centre de cyberdéfense)

Composition

  • Les experts de la sécurité du SI de l’équipe de sécurité du SI (co-préside)
  • Le Responsable de la sécurité de l’information (co-préside)
  • Les référents Cybersécurité de la DiSTIC des facultés et centres interfacultaires
  • Directeur/trice SI adjoint-e, en charge de « Gestion des services et de l’environnement numérique de travail »
  • Directeur/trice adjoint-e en charge de l’Infrastructure et du Cloud computing
  • Si besoin, experts en sécurité et architecture informatique.

3.7 Gestion de l'environnement numérique de travail

Objectif Fournir un environnement de travail numérique moderne et adapté aux enjeux académiques
Activités et pratiques  principales
  • Gestion des postes de travail, physiques et virtuels
  • Gestion des imprimantes, des cartes et des accès physiques
  • Gestion des espaces bureautiques
  • Gestion des logiciels et des licences
  • Gestion des changements dans l’environnement numérique de travail
  • Inventaire logiciel et matériel
  • Centre de formation autour de l’environnement numérique de travail
Acteur/
Entité responsable
Directeur/trice SI adjoint-e, en charge de « Gestion des services et de l’environnement numérique de travail »

3.8 Gestion de l'infrastructure du SI

Objectif Déployer et maintenir une infrastructure technologique moderne, fiable, cohérente et performante.
Activités et pratiques  principales
  • Gestion du réseau et des solutions communications unifiées
  • Gestion des infrastructures et systèmes
  • Gestion de la messagerie électronique
  • Gestion des bases de données
  • Gestion de progiciels
  • Gestion d’équipements de sécurité informatique
  • Maintien opérationnel du socle du SI
  • Inventaire logiciel et matériel du parc infrastructure
  • Gestion des changements sur le parc infrastructure
  • Gestion des datacenters principaux (Dufour et Biotech)
  • Gestion de la continuité d’activité et plan de reprise d’activité informatique
Acteur/
Entité responsable
Directeur/trice adjoint-e en charge de l’Infrastructure et du Cloud computing


L’infrastructure technologique fournit le socle qui permet le déploiement efficace des diverses services et solutions numériques gérées par l’Université de Genève.
Il est donc indispensable que celle-ci soit moderne, fiable, cohérente et performante.

3.8.1 Conseil consultatif du changement (CAB : Change Advisory Board)
Le CAB est l’autorité de changement pour les mises en production qui impactent les utilisateurs du service. (Voir Habilitation du changement)
Ce conseil autorise les changements. Il aide dans l’évaluation de la priorité des changements et dans leur programmation.
Le CAB de la DISTIC gère la mise en production des services institutionnels et se réunit une fois par semaine.
Il se compose des DSI adjoints et du responsable du centre de services.
 

3.8.2 Habilitation du changement
Les mises en production sont soumises à une habilitation des changements.
La personne ou le groupe qui autorise un changement est appelé autorité de changement.
Le niveau de validation dépend de l’importance du changement à effectuer.

Il existe trois types de changement qui sont gérés de façon différente :

Les changements standard : il s’agit de changements préautorisés, à faible risque, qui sont bien compris et qui peuvent être implémentés sans nécessiter d’autorisation supplémentaire. Ils sont déclarés dans l’outil ITSM et apparaissent dans le calendrier des changements.  

Les changements normaux : Il s’agit de changements devant être planifiés, évalués et autorisés. L’autorité de changement dépend du risque et de l’impact du changement.

  • Si l’impact du changement est limité, il est validé par le CAB de l’entité qui fournit le service.  La DiSTIC pour les services institutionnels, la faculté impliquée pour les services institutionnels.
  • Si le changement touche différents services ou division de l’organisation. Le CAB est complété par la COINF qui valide le changement. Dans le cas, où le risque ou le coût est trop important, le changement est validé par le rectorat

Les changements normaux sont déclarés dans l’outil ITSM et apparaissent dans le calendrier des changements.

Les changements urgents : il s’agit des changements qui doivent être implémentés le plus tôt possible. Par exemple pour résoudre un incident ou implémenter un correctif de sécurité. Le processus d’évaluation et d’autorisation sont accélérés.

3.9 Architecture

Objectif

Aligner l’architecture du SI avec les enjeux stratégiques
Faire évoluer le SI afin qu'il accompagne efficacement les missions de l’UNIGE et anticipe ses transformations

Activités et pratiques  principales
  • Cartographie des applications, données, flux et infrastructures
  • Feuille de route / schéma directeur déclinant la stratégie numérique de l’entreprise
  • Core et Fast IT cohabitent avec l’intégration de multiples clouds
  • Communication vers les métiers pour partager les enjeux et impacts
  • Règles et principes d’architecture avec des modalités d’application
  • Gouvernance de l’architecture basée sur un cadre de référence et prise en compte des évolutions
Acteur/
Entité responsable
Responsable « Architecture Applicative du SI »


3.9.1 Commission d'architecture du SI (CAT)
La commission d’architecture du SI a pour objectif principal d’aligner l’architecture du système d’information (SI) avec les enjeux stratégiques institutionnels ainsi que les politiques définies par ses différentes instances.

Missions

  • Connaître : la commission s’assure qu’une cartographie du SI est à jour et exploitable. La cartographie couvre les domaines des processus, des données, les applications ainsi que les technologies.
  • Identifier : la commission s’assure que les besoins d’évolution du SI, les risques liés au SI ainsi que les opportunités d’amélioration sont identifiés.
    • Gestion des risques. La commission s’assure que les risques liés au SI sont connus, évalués et priorisés. Son domaine de responsabilité couvre entre autres l’inadéquation du SI par rapport aux différentes politiques, les risques liés à l’obsolescence ou les risques systémiques.
    • Urbanisation et efficience. La commission promeut l’usage de technologie standard et s’assure que lorsque c’est possible les services institutionnels sont privilégiés.
    • Évolution. La commission identifie les besoins d’évolutions du SI et de ses politiques
  • Adresser : la commission adresse les besoins et risques identifiés. Elle définit des cibles, dépose des projets d’évolution et suit les actions menées. Elle agit soit en son nom propre soit en soumettant des demandes auprès des différentes instances du SI.
  • Valider : la commission valide les évolutions du SI sur les aspects non-fonctionnels. Elle s’assure notamment que les exigences auprès des projets sont connues et documentées. En cas de besoin elle arbitre sur le périmètre non-fonctionnel.
  • Conseiller : la commission fournit des recommandations auprès des projet et demandes d’évolution.

Contribution

  • La commission contribution au processus de gestion du portefeuille projet en soumettant des projets d’évolution du SI.
  • La commission contribue au processus de gestion des projets en fournissant les outils pour évaluer les impacts et prioriser les actions ainsi que la gestion du changement. Elle s’assure notamment que les différents aspects nécessaires à l’évolution du projet sont connus et adressés : sécurité, gestion des données, etc.
  • La commission contribue à maitriser les budgets et les performances en privilégiant les technologies et applications standards.
  • La commission contribue au processus de gestion des risques en pilotant et adressant les risques liés au SI.
  • La commission supporte la stratégie institutionnelle en définissant des cibles d’évolution.

Moyens

  • La commission s’appuie sur les équipes architecture, données et sécurité de la DiSTIC pour coordonner les actions souhaitées et fournir conseil dans leurs domaines respectifs.
  • La commission s’appuie sur les différentes instances du SI pour fournir les prestations qui sont dans leurs domaines de responsabilités
  • La commission mandate des groupes de travail sur les sujets qu’elle souhaite approfondir.
  • La commission s’appuie des représentants pour chacun des métiers ou facultés gérant en propre un SI.

Composition

Membres permanents

  • DSI-adjoint-es ou leurs représentant-es
  • RSSI ou son/sa représentante
  • L’architecte applicatif
  • Data manager ou son/sa représentant-e

Membre selon besoin

  • Représentant-es métier
  • Représentant-es facultaires
  • Expert-e dans un domaine particulier
  • Représentant-e d’un groupe de travail
     

3.9.2 Gestion des identités numériques et des accès

Objectif Gérer les identités numériques, gérer  les accès aux services numériques UNIGE
Activités et pratiques  principales
  • Enregistrement des collaborateurs-trices, des étudiants-es, des personnes externes
  • Gestion des changements : départs, mutations
  • Attribution et gestion des comptes UNIGE et d'autorisations d’accès aux services numériques de base (réseau UNIGE, compte de messagerie, entre autres)
  • Lien avec des gestionnaires d'identités partenaires (SWITCH edu-ID)
Acteur/
Entité responsable
Responsabilité opérationnelle du groupe PERSIS composé exclusivement de membres de la DiSTIC


Composition  du groupe PERSIS : architecte de SI, référent sécurité de la DiSTIC, responsables des référentiels des identités, des comptes, des autorisations et des annuaires d’infrastructure.

3.10 Marketing et communication

Objectif Valoriser les services numériques et communiquer sur les enjeux technologiques
Activités et pratiques  principales
  • Fonction marketing de la DiSTIC organisée et orientée clients du SI et utilisateur-trice-s
  • Plan de communication formalisé et partagé
  • Communication interne de la DiSTIC
  • Communication interne à l’université
  • Communication en situation de crise anticipée
Acteur/
Entité responsable
Responsable de la communication de la DiSTIC

3.11 Gestion des compétences numériques

Objectif Organiser et manager les talents et les compétences des acteurs du numérique
Activités et pratiques  principales
  • Objectifs des RH anticipant les futurs besoins de la DSI
  • Référentiel des compétences formalisé
  • Gestion prévisionnelle des compétences en adéquation
  • Réalisation de l’évaluation des compétences
  • Plan de recrutement pour répondre aux besoins SI
  • Développement des compétences : offre de formation SI et numérique
Acteur/
Entité responsable
Collège de direction DiSTIC

3.12 Gestion des fournisseurs

Objectif Piloter les relations avec les fournisseurs de solutions et services numériques
Activités et pratiques  principales
  • Stratégie et gouvernance des services externalisés définies
  • Étude d’opportunité et de faisabilité
  • Démarche incluant une transition et une conduite du changement
  • Gestion organisée et au quotidien des services
  • Clôture et réversibilité définies en fonction des enjeux métiers
  • Relation fournisseurs organisée et suivie
Acteur/
Entité responsable

DSI adjoint-es
Administrateurs/trices de faculté/centre pour les acquisitions locales

3.13 Budget et performance

Objectif Piloter le budget et la performance du SI
Activités et pratiques  principales
  • Objectifs de performance SI alignés avec ceux de l’université
  • Indicateurs sur la mesure de la performance et l’atteinte des objectifs
  • Budget géré selon le processus d’arbitrage défini par le rectorat et la division financière
  • Coûts complets des services calculés pour co-responsabiliser les métiers
  • Projets suivis selon les coûts, délais, qualité et fonctionnalités
Acteur/
Entité responsable

Collège de direction STIC

 

 


Version Objet de la modification Date de publication
1 Nouveau document 28.09.2023
Vérificateur/trice Thierry Mengelle (Directeur SI adjoint)
Approbateur/trice Didier Raboud (Secrétaire général)

Dernières modifications : 02/12/2024