CoBIT V0 - 18_19 06 2011

Salah Eddine MAHRACH, [email protected] 2003 Acadys - all rights reserved

Sommaire

I. Introduction II. CoBIT et ses quatre domaines:1. 2. 3. 4. PO: Planifier et Organiser AI: Acqurir et Implmenter DS: Distribuer et Supporter SE: Surveiller et Evaluer

III. Annexes:1. Documents de rfrence de COBIT 2. Glossaire 3. QCM2

Introduction

Pour beaucoup d'entreprises, l'information et la technologie sur laquelle elle s'appuie constituent les actifs les plus prcieux, mme si elles sont souvent les moins bien perues.

Le concept dindustrie du savoir contient suffisamment de dynamite pour envoyer les conomies traditionnelles sur orbiteKen Boulding

3

Introduction

Le besoin de s'assurer de la valeur des SI, la gestion des risques qui leur sont lis et les exigences croissantes de contrle sur l'information sont dsormais reconnus comme des lments cls de la gouvernance d'entreprise. Valeur, risque et contrle constituent le c ur de la gouvernance des SI.

4

LIT Governance

La gouvernance des SI est de la responsabilit des dirigeants et du conseil d'administration, et elle est constitue des structures et processus de commandement et de fonctionnement qui conduisent l'informatique de l'entreprise soutenir les stratgies et les objectifs de l'entreprise, et lui permettre de les largir.

5

Domaines de lIT Governance

IT Governance

Gestion des Ressources

6

Domaines de lIT Governance

7

CoBIT: Cadre de rfrence

La mission de COBIT : Elle consiste imaginer, mettre au point, publier et promouvoir un cadre de rfrence de contrle de la gouvernance des SI, actualis, reconnu dans le monde entier et faisant autorit. Ce cadre de rfrence devra tre adopt par les entreprises et utilis quotidiennement par les dirigeants, les professionnels de l'informatique et les professionnels de l'assurance.

8

CoBIT: Cadre de rfrence

Centr sur les mtiers:

9

CoBIT: Critres dInformation de CoBIT

- Efficacit : la mesure par laquelle linformation contribue au rsultat des processus mtier par rapport aux objectifs fixs ; - Efficience : la mesure par laquelle linformation contribue au rsultat des processus mtier au meilleur cot ; - Confidentialit : la mesure par laquelle linformation est protge des accs non autoriss ; - Intgrit : la mesure par laquelle linformation correspond la ralit de la situation ; - Disponibilit : la mesure par laquelle linformation est disponible pour les destinataires en temps voulu ; - Conformit : la mesure par laquelle les processus sont en conformit avec les lois, les rglements et les contrats ; - Fiabilit : la mesure par laquelle linformation de pilotage est pertinente.

10

CoBIT: Ressources Informatiques

- Application : les systmes automatiss et les procdures pour traiter linformation.

- Infrastructure : les technologies et les installations qui permettent le traitement des applications.

- Information : les donnes, comme entres ou sorties des systmes dinformation, quelle que soit leur forme.

- Personnes : les ressources humaines ncessaires pour organiser, planifier, acqurir, dlivrer, supporter, surveiller et valuer les systmes dinformation et les services.

11

CoBIT: Orient Processus

12

CoBIT: Les quatre domaines interdpendants de CoBIT

13

Domaine 1: Planifier et organiser

Les stratgies de l'entreprise et de l'informatique sont-elles alignes ? L'entreprise fait-elle un usage optimum de ses ressources ? Est-ce que tout le monde dans l'entreprise comprend les objectifs de l'informatique ? Les risques informatiques sont-ils compris et grs ? La qualit des systmes informatiques est-elle adapte aux besoins mtiers ?

14

Domaine 2: Acqurir et implmenter

Est-on sr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins mtiers ? Est-on sr que les nouveaux projets aboutiront en temps voulu et dans les limites budgtaires ? Les nouveaux systmes fonctionneront-ils correctement lorsqu'ils seront mis en oeuvre ? Les changements pourront-ils avoir lieu sans perturber les oprations en cours ?

15

Domaine 3: Dlivrer et Support

Les services informatiques sont-ils fournis en tenant compte des priorits mtiers ? Les cots informatiques sont-ils optimiss ? Les employs sont-ils capables d'utiliser les systmes informatiques de faon productive et sre ? La confidentialit, l'intgrit et la disponibilit sont-elles mises en oeuvre pour la scurit de l'information ?

16

Domaine 4: Surveiller et Evaluer

La performance de l'informatique est-elle mesure de faon ce que les problmes soient mis en vidence avant qu'il ne soit trop tard ? Le management s'assure-t-il que les contrles internes sont efficaces et efficients ? La performance de l'informatique peut-elle tre relie aux objectifs mtiers ? Des contrles de confidentialit, d'intgrit et de disponibilit appropris sont-ils mis en place pour la scurit de l'information ?

17

Marquons une pause !!!!!!!!!!!!!!!!!!

18

CoBIT et les Contrles:

Les contrles gnraux sont ceux qui sont intgrs aux processus et aux services informatiques. Ils concernent, par exemple : le dveloppement des systmes, la gestion des changements, la scurit, l'exploitation.

On appelle communment "contrles applicatifs" les contrles intgrs aux applications des processus mtiers. Ils concernent, par exemple : l'exhaustivit, l'exactitude, la validit, l'autorisation, la sparation des tches.19

CoBIT et les modles de maturit

Que font nos confrres/concurrents et comment sommes-nous positionns par rapport eux ? Quelles sont les bonnes pratiques acceptables du march et comment nous situons-nous par rapport elles ? D'aprs ces comparaisons, peut-on dire que nous en faisons assez ? Comment identifie-t-on ce qu'il y a faire pour atteindre un niveau appropri de gestion et de contrle de nos processus informatiques ?

20

CoBIT et le modle de maturit

21

CoBIT et le modle de maturit

0: Inexistant 1: Initialis au cas par cas 2: Reproductible mais intuitif 3: dfini 4: Gr et mesurable 5: Optimis

22

Le cube CoBIT

23

Le cadre gnrale de CoBIT

24

Domaine CoBIT Planifier et Organiser

25

PO1 Dfinir un plan informatique stratgique PO2 Dfinir larchitecture de linformation PO3 Dterminer lorientation technologique PO4 Dfinir les processus, lorganisation et les relations de travail PO5 Grer les investissements informatiques PO6 Faire connatre les buts et les orientations du management PO7 Grer les ressources humaines de linformatique PO8 Grer la qualit PO9 valuer et grer les risques PO10 Grer les projets

26

PO1 Dfinir un plan informatique stratgique

Un plan de stratgie informatique est ncessaire pour grer et orienter toutes les ressources informatiques vers les priorits stratgiques de lentreprise. La DSI et les parties prenantes de lentreprise ont la responsabilit de sassurer que la meilleure valeur possible est obtenue des portefeuilles de projets et de services

27


Reprsentation schmatique des flux internes du processus PO128


29

PO2 Dfinir l'architecture de linformation

Les responsables des systmes informatiques doivent crer et mettre rgulirement jour un modle dinformation de lentreprise et dterminer quels sont les systmes appropris susceptibles doptimiser lutilisation de cette information. Cela comprend llaboration dun dictionnaire des donnes de lentreprise, des rgles de syntaxe de donnes propres lentreprise, dun systme de classification des donnes et de niveaux de scurit.

30




32


33

PO3 Dterminer l'orientation technologique Le SI dtermine lorientation technologique susceptible de favoriser lactivit de lentreprise. Cela exige la cration et la maintenance d'un plan d'infrastructure technologique et dun comit architecture des TI qui fixe et gre les attentes clairement exprimes et ralistes de ce que la technologie peut offrir en termes de produits, services et mcanismes de livraison.

34

PO3 Dterminer l'orientation technologique


PO3 Dterminer l'orientation technologique

36

PO4 Dfinir les processus, l'organisation et les relations de travail On dfinit lorganisation de linformatique en prenant en compte les besoins en personnel et en comptences, en prvoyant les fonctions, les rles et les responsabilits, la supervision, lautorit, et en sachant qui rend des comptes qui. Cette organisation fait partie dun cadre de rfrence de processus informatiques qui assure la transparence et le contrle ainsi que limplication de la direction gnrale et de la direction oprationnelle.

37

PO4 Dfinir les processus, l'organisation et les relations de travail


PO4 Dfinir les processus, l'organisation et les relations de travail

39

PO5 Grer les investissements informatiques Mettre en place et maintenir le budget oprationnel, pour les programmes dinvestissements informatiques, un cadre de rfrence qui couvre les cots, les bnfices, les priorits budgtaires, un processus de budgtisation formalis et une gestion conforme au budget. Travailler avec les parties prenantes pour identifier et contrler les cots et bnfices totaux dans le contexte des plans stratgiques et tactiques informatiques et initier des mesures correctives lorsque cest ncessaire.

40

PO5 Grer les investissements informatiques


PO5 Grer les investissements informatiques

42

PO6 Faire connatre les buts et orientations du management

Le management dveloppe un cadre de contrle des SI pour lentreprise, dfinit et communique les politiques. Il met en place un programme de communication permanent, approuv et soutenu par le management, pour articuler la mission, les objectifs de fourniture de services, les politiques et les procdures, etc.

43




45

PO7 Grer les ressources humaines de linformatique

Engager et conserver des collaborateurs comptents pour la cration et la fourniture de services informatiques lentreprise. Pour y arriver il faut suivre des pratiques dfinies et approuves en matire de recrutement, de formation, dvaluation, de promotion, et de dpart. Ce processus est critique car les personnes constituent un actif important, et la gouvernance et lenvironnement de contrle interne dpendent normment de la motivation et de la comptence du personnel.

46




48

PO8 Grer la qualit

Un systme de gestion de la qualit est dvelopp et actualis, ce qui implique des processus et des standards de dveloppement et dachat prouvs. Ceci est rendu possible par la planification, la mise en place et lactualisation dun systme de gestion de la qualit, et par des exigences, des procdures et des politiques de qualit clairement dfinies.

49

PO8 Grer la qualit


PO8 Grer la qualit

51

PO9 valuer et grer les risques

Un rfrentiel de gestion des risques est cr et maintenu niveau. Ce rfrentiel documente un niveau commun et agr de risques informatiques, de stratgies pour les rduire et de risques rsiduels. Tout impact potentiel dun vnement imprvu sur les objectifs de lentreprise est identifi, analys, et valu.

52




54

PO10 Grer les projets

Un programme et un cadre de rfrence de gestion de projets pour la gestion de tous les projets informatiques est en place. Ce cadre permet de sassurer que tous les projets sont correctement coordonns et que les priorits sont tablies. Il prvoit un plan matre, lattribution de ressources, la dfinition des livrables, lapprobation par les utilisateurs, une approche de livraison par tapes, une assurance qualit, un plan de tests formalis, des tests et une revue aprs mise en place pour sassurer que la gestion des risques et que lapport de valeur lentreprise sont effectives

55




57

Domaine CoBIT Acqurir et Implmenter

58

AI1 Trouver des solutions informatiques AI2 Acqurir des applications et en assurer la maintenance AI3 Acqurir une infrastructure technique et en assurer la maintenance AI4 Faciliter le fonctionnement et lutilisation AI5 Acqurir des ressources informatiques AI6 Grer les changements AI7 Installer et valider les solutions et les modifications

59

AI1 Trouver des solutions informatiques

Le besoin dune nouvelle application ou fonction impose une analyse avant achat ou cration pour sassurer que les exigences des mtiers seront satisfaites grce une approche efficace et efficiente. Ce processus recouvre la dfinition des besoins, la prise en compte de sources alternatives, lanalyse de la faisabilit technique et conomique, lanalyse des risques et du rapport cots/bnfices, et la dcision finale qui tranchera entre faire ou acheter.

60


Reprsentation schmatique des flux internes du processus AI 161


62

AI2 Acqurir des applications et en assurer la maintenance

Les applications sont rendues disponibles en fonction des exigences des mtiers. Ce processus recouvre la conception des applications, les contrles applicatifs et les exigences de scurit appropris quil faut y inclure, ainsi que leur dveloppement et leur configuration conformment aux standards. Cela permet aux entreprises de disposer des applications informatiques qui conviennent pour supporter correctement les tches mtiers

63




65

Marquons un stop !!!!!!!!!!!!!!!!!!

66

AI3 Acqurir une infrastructure technique et en assurer la maintenance Une entreprise dispose de processus pour lacquisition, la mise en place et la mise niveau de son infrastructure technique. Cela exige une approche planifie de lacquisition, de la maintenance et de la protection de linfrastructure en accord avec les stratgies technologiques adoptes et de disposer denvironnements de dveloppement et de tests. On est ainsi sr de disposer dun support technique permanent pour les applications mtiers.

67

AI3 Acqurir une infrastructure technique et en assurer la maintenance


AI3 Acqurir une infrastructure technique et en assurer la maintenance

69

AI4 Faciliter le fonctionnement et lutilisation

Les connaissances sur les nouveaux systmes sont rendues disponibles. Ce processus impose de produire de la documentation et des manuels pour les utilisateurs et pour linformatique, et de proposer des formations pour assurer une bonne utilisation et un bon fonctionnement des applications et de linfrastructure.

70




72

AI5 Acqurir des ressources informatiques

On a besoin dacqurir des ressources informatiques. Elles comprennent les personnes, le matriel, le logiciel et les services. Cela exige de dfinir et dappliquer des procdures de recrutement et dachat, la slection des fournisseurs, ltablissement darrangements contractuels, et lacte lui-mme de se procurer ces ressources. Cest ainsi quon peut assurer lentreprise toutes les ressources informatiques requises au bon moment et au meilleur cot.

73




75

AI6 Grer les changements Tous les changements, y compris la maintenance et les correctifs durgence, concernant linfrastructure et les applications de lenvironnement de production sont grs et contrls de faon formelle. Les changements (y compris ceux relatifs aux procdures, processus, paramtres systmes et services) sont enregistrs dans un fichier, valus et autoriss avant mise en place, et confronts aux rsultats attendus ds leur mise en oeuvre. Cela rduit les risques de consquences ngatives pour la stabilit ou lintgrit de lenvironnement de production

76

AI6 Grer les changements


AI6 Grer les changements

78

AI7 Installer et valider les solutions et les modifications

Il faut mettre en exploitation les nouveaux systmes lorsque la phase de dveloppement est acheve. Cela exige deffectuer les bons tests sur les donnes dans un environnement ddi, de dfinir les instructions de dploiement et de migration, un planning de livraison et la mise en production proprement dite, et des revues aprs mise en place. Cela garantit que les systmes oprationnels sont en phase avec les attentes et les rsultats recherchs.

79




81


82

Domaine CoBIT Dlivrer et Supporter

83

DS1 Dfinir et grer les niveaux de services DS2 Grer les services tiers DS3 Grer la performance et la capacit DS4 Assurer un service continu DS5 Assurer la scurit des systmes DS6 Identifier et imputer les cots DS7 Instruire et former les utilisateurs DS8 Grer le service dassistance client et les incidents DS9 Grer la configuration DS10 Grer les problmes DS11 Grer les donnes DS12 Grer lenvironnement physique DS13 Grer lexploitation84

DS1 Dfinir et grer les niveaux de services

Une communication efficace entre les responsables informatiques et les clients mtiers propos des services demands est facilite par des accords sur les services informatiques et sur les niveaux de services, et par leur dfinition et leur documentation

85


Reprsentation schmatique des flux internes du processus DS 186


87

DS2 Grer les services tiers

Le besoin de garantir que les services fournis par des tiers (fournisseurs et partenaires) satisfont les exigences des mtiers impose un processus de gestion des services tiers. Ce processus exige de dfinir clairement les rles, responsabilits et les attentes dans les contrats avec des tiers, et aussi deffectuer des revues et une surveillance de lefficacit et de la conformit de tels contrats.

88




90

DS3 Grer la performance et la capacit

La bonne gestion des performances et des capacits des ressources informatiques exige quun processus les passe rgulirement en revue. Ce processus comporte la prvision des besoins futurs en fonction des exigences de charge de travail, de stockage et des imprvus. Ce processus assure que les ressources informatiques qui appuient les exigences des mtiers sont constamment disponibles.

91




93

DS4 Assurer un service continu

Le besoin dassurer la continuit des services informatiques exige de dvelopper, de maintenir et de tester des plans de continuit des SI, dutiliser des capacits de stockage de sauvegardes hors site et dassurer une formation priodique au plan de continuit. Un processus de service continu efficace rduit les risques et les consquences dune interruption majeure des services informatiques aux fonctions et processus mtiers cls.

94




96

DS5 Assurer la scurit des systmes

Le besoin de maintenir lintgrit de linformation et de protger les actifs informatiques exige un processus de gestion de la scurit. Ce processus comporte la mise en place et la maintenance de rles et responsabilits, politiques, plans et procdures informatiques. La gestion de la scurit implique aussi une surveillance de la scurit, des tests priodiques et des actions correctives lors dincidents ou de dcouverte de failles dans la scurit.

97




99


100

DS6 Identifier et imputer les cots

La ncessit dun systme loyal et quitable pour affecter les cots informatiques aux mtiers exige quils soient chiffrs avec prcision et quun accord soit conclu avec les utilisateurs mtiers sur une juste rpartition.

101




103

DS7 Instruire et former les utilisateurs

La formation efficace de tous les utilisateurs des systmes informatiques, y compris les informaticiens, exige de connatre les besoins en formation de chaque groupe dutilisateurs. Outre lidentification des besoins, ce processus doit aussi dfinir et mettre en oeuvre une stratgie de formation efficace et en mesurer les rsultats.

104




106

DS8 Grer le service dassistance client et les incidents

Apporter des rponses efficaces et au bon moment aux requtes et aux problmes des utilisateurs exige un processus bien conduit de gestion du service dassistance et de gestion des incidents. Ce processus comporte la mise en place dun service dassistance qui soccupe de l'enregistrement et de l'escalade des incidents, de lanalyse des tendances et des causes, et des solutions

107




109

DS9 Grer la configuration

Assurer lintgrit des configurations matrielles et logicielles exige de constituer et de tenir jour un rfrentiel de configuration prcis et complet. Ce processus doit comporter la collecte des informations de la configuration initiale, ltablissement de configurations de base, la vrification et laudit des informations de configuration, et la mise jour du rfrentiel de configuration lorsque cest ncessaire. Une gestion efficace de la configuration facilite une plus grande disponibilit du systme, la rduction des problmes de production et une rsolution plus rapide de ceux-ci.

110




112

DS10 Grer les problmes

Une gestion efficace des problmes exige de les identifier, de les classer, danalyser leurs causes initiales et de leur trouver des solutions. Le processus de gestion des problmes implique aussi de formuler des recommandations damlioration, de tenir jour les enregistrements des problmes et de vrifier o en sont les actions correctives. Un processus efficace de gestion des problmes favorise la disponibilit des systmes, amliore les niveaux de services, rduit les cots, rpond mieux aux besoins des clients et augmente donc leur satisfaction.

113




115

DS11 Grer les donnes

Une gestion efficace des donnes impose didentifier les exigences qui les concernent. Le processus de gestion des donnes ncessite aussi de mettre en place des procdures efficaces pour grer la mdiathque, les sauvegardes et la restauration des donnes, et llimination des mdias de faon approprie. Une gestion efficace des donnes aide garantir la qualit et la disponibilit au moment opportun des donnes mtiers.

116




118

DS12 Grer lenvironnement physique

La protection des quipements informatiques et du personnel exige des installations matrielles bien conues et bien gres. Le processus de gestion de lenvironnement matriel comporte la dfinition des exigences du site physique, le choix des installations adquates et la conception de processus efficaces de surveillance des facteurs environnementaux et de gestion des accs physiques.

119




121

DS13 Grer lexploitation

Pour un traitement complet et exact des donnes il faut une gestion efficace des procdures de traitement des donnes et une maintenance applique du matriel informatique. Ce processus implique de dfinir des politiques et des procdures dexploitation ncessaires une gestion efficace des traitements programms, de protger les sorties sensibles, de surveiller linfrastructure et deffectuer une maintenance prventive du matriel

122




124

Domaine CoBIT Surveiller et Evaluer

125

SE1 Surveiller et valuer la performance des SI SE2 Surveiller et valuer le contrle interne SE3 Sassurer de la conformit aux obligations externes SE4 Mettre en place une gouvernance des SI

126

SE1 Surveiller et valuer les performances des SI

Une gestion efficace des SI exige un processus de surveillance. Ce processus inclut la dfinition d'indicateurs pertinents de performance, la publication systmatique et en temps opportun de rapports sur la performance, et une raction rapide aux anomalies. Il faut une surveillance pour sassurer quon fait ce quil faut conformment aux orientations et aux politiques dfinies.

127


Reprsentation schmatique des flux internes du processus SE 1128


129

SE2 Surveiller et valuer le contrle interne

tablir un programme efficace de contrle interne de linformatique impose de bien dfinir un processus de surveillance. Ce processus comporte la surveillance et les rapports sur les anomalies releves, les rsultats des autovaluations et des revues par des tiers.

130




132

SE3 Sassurer de la conformit aux obligations externes

Un processus de revue est ncessaire pour garantir efficacement la conformit aux lois, aux rglements et aux obligations contractuelles. Ce processus implique didentifier les obligations de conformit, dvaluer et doptimiser la rponse donner, davoir lassurance dtre conforme aux obligations et, au final, dintgrer les rapports sur la conformit des SI ceux du reste de lentreprise.

133




135

SE4 Mettre en place une gouvernance des SI

Mettre en place un rfrentiel de gouvernance efficace impose de dfinir des structures organisationnelles, des processus, un leadership, des rles et des responsabilits pour sassurer que les investissements informatiques de lentreprise sont aligns sur ses stratgies et ses objectifs et quils travaillent pour eux.

136


137


138

L

Merci pour votre attention

139