Très souvent abrégé en SI (on prononce les deux lettres). En gros, c'est le parc informatique d'une entreprise. Plus précisément c'est l'ensemble des trucs informatiques qu'elle possède ou utilise
Dans le langage courant, on emploie plutôt le terme de « parc informatique ». Ou même encore plus simplement on parle de « l'informatique » d'une entreprise ou du « réseau » d'une entreprise.
Cela englobe tout ce qui va traiter de l'information de manière numérique, donc :
L'expression « système d'information » est la manière formelle de désigner tout cet ensemble. Les normes vont notamment détailler comment "sécuriser un système d'information" (ISO 27002 par exemple), ou comment un système d'information peut être attaqué (ISO 27005), etc.
En gros vous pouvez employer ce terme quand vous voulez désigner d'un seul coup toute l'informatique d'une entreprise.
Quelques considérations utiles :
Premièrement, votre système d'information ce n'est pas seulement ce que vous possédez, c'est aussi ce que vous utilisez. Ça ne s'arrête pas à votre réseau. Si vous utilisez Office 365 par exemple, alors vos courriels sont gérés par Microsoft, au sein des Datacenter de Microsoft. Or vos courriels font partie de votre système d'information. Donc quand il s'agit de réfléchir à comment sécuriser son système d'information, on ne doit pas se cantonner à ce qu'on héberge soi même. C'est une erreur fréquente, notamment concernant la sauvegarde ou la double authentification (si vous le faites dans votre réseau mais pas pour vos actifs hébergés chez d'autres, vous avez un point faible).
Également, si vos employés accèdent à leurs courriels depuis leurs smartphones personnels, ces derniers font de fait partie de votre système d'information (puisque de l'information de votre entreprise s'y trouve), même s'ils ne vous appartiennent pas.
C'est pour ça qu'on préfère parler de système d'information plutôt que de parc informatique. En effet, ce second terme laisse trop penser qu'on ne s'intéresse qu'à ce qui se trouve entre nos murs.
Deuxièmement, initialement, le concept de système d'information s'étend aussi à tout ce qui sert à traiter/stocker l'information, même si ce n'est pas numérique. Donc les documents imprimés sur du papier, ou les employés qui ont connaissance d'informations, peuvent y être inclus par exemple. Élargir le concept de cette manière peut être pertinent notamment lorsque l'entreprise utilise des supports non numériques comme moyen de fonctionnement alternatif (on dit mode dégradé) en cas de pépin informatique.
Dans la partie vulnérabilité, nous avons notamment expliqué que certaines peuvent concerner des éléments non informatiques (une serrure absente sur une porte, une action critique réalisable sans contre-vérification, ...). C'est aussi pour prendre en compte ces cas là qu'on préfère le terme de système d'information. Et c'est notamment pour ça que le vrai nom de la cybersécurité c'est « sécurité des systèmes d'information » (abrégé SSI) et que l'agence nationale qui s'en occupe s'appelle l'ANSSI.
Troisièmement, le système d'information peut être, en partie, vu comme un empilement de couches d'abstraction. Du plus immatériel au plus palpable.
Par exemple on peut dire qu'une donnée est présente dans un fichier, lui-même utilisé par un humain, via un logiciel (par exemple Word), qui est lui-même installé sur un système d'exploitation, qui est lui même installé sur un poste de travail, qui lui-même communique au sein d'un réseau, lui-même hébergé au sein des locaux d'une entreprise. Tous les mots en gras de la phrase précédente sont des composants du système d'information. En effet l'information est présente au sein de chacun d'eux, à des niveaux d'abstraction différents.
Quelques exemples d'utilisation :