Le COBIT - L’état de l’Art

7/30/2019 Le COBIT - Ltat de lArt

1/33

CNAM 2008 / 2009

GLG102 TECHNIQUES ET NORMES POUR LA QUALITE DU LOGICIEL

Le COBIT : Ltat de lArt

Socle de la gouvernance des SI


2/33

Dossier ralis par Eric LELEU

CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel1

Le

COBIT:Socle

de

la

gouvernanced

esSI

AUDITEUR

AUDITEUR NUMERODAUDITEUREric LELEU NPC008029

HISTORIQUE DES MODIFICATIONS

DATE AUTEUR DESCRIPTION VERSION

15/01/200

Eric LELEU Cration V_1.0

28/01/200

Eric LELEU Rdaction V_2.0

29/01/200

Eric LELEU Mise en forme, correction et V_3.0


3/33


CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel2

Le

COBIT:Socle

de

la

gouvernanced

esSI

LE COBIT : LETAT DE LART

SOCLE DE LA GOUVERNANCE DES SI

SOMMAIRE

PREAMBULE .................................................................................................................................... 3ILA GOUVERNANCE : DE QUOI S'AGIT-IL ? .............................................................................................. 4IILE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI............................................................................ 5IIIDEFINITION............................................................................................................................... 6IVLES OBJECTIFS DU COBIT .............................................................................................................. 8VLES DOMAINES DU COBIT ............................................................................................................. 10VILE COBIT POUR L'AUDITEUR INFORMATIQUE..................................................................................... 11VII-COMMENT EST UTILISE LE COBIT ................................................................................................... 12VIIILE COBIT :RAPPROCHEMENTENTRE AUDIT INTERNE ET DSI .......................................................... 14IX-CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI ....................................................................... 14

X-PRESENTATION DES 34 PROCESSUS.................................................................................................... 15

ALA PLANIFICATION & LORGANISATION .......................................................................................... 15BLACQUISITION & LINSTALLATION ............................................................................................... 17CLA LIVRAISON & LE SUPPORT ...................................................................................................... 19DLE MONITORING..................................................................................................................... 21

XILES PERSPECTIVES ...................................................................................................................... 22XII-CONCLUSION........................................................................................................................... 23LESREFERENCES :BIBLIOGRAPHIE / WEBOGRAPHIE .............................................................................. 24LEGLOSSAIRE ................................................................................................................................ 25LESANNEXES................................................................................................................................. 27

LISTE DES PROCESSUS DU COBIT EN FRANAIS ...................................................................................... 27LISTE DES PROCESSUS DU COBIT EN ANGLAIS ....................................................................................... 29EXEMPLE1DEFINIR LARCHITECTURE DE LINFORMATION.................................................................... 31EXEMPLE 2-GERER LES DONNEES ..................................................................................................... 32


4/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

PREAMBULE

Ce dossier a t ralis dans le cadre de lunit denseignement (UE) GLG102

Techniques et normes pour la qualit du logiciel.Le sujet trait est le COBIT. La rdaction de ce dossier a tent dexpliquer le plussimplement possible ce concept. Le but est de transcrire dans un langage simple etcomprhensible par tous, les caractristiques principales de cette mthodologie.

Mme si la rdaction de ce dossier ne fut pas simple, jai pris plaisir le constituer. Jesuis dailleurs plutt satisfait du rsultat.

Pour tre honnte, cette recherche fut un vrai challenge dans la mesure o il ma fallusurmonter la mconnaissance de ce thme.

Je vous propose, aprs un bref descriptif de la gouvernance des systmes dinformation,de dcouvrir ce quest le COBIT.


5/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

I LA GOUVERNANCE : DE QUOI S'AGIT-I L ?

Avant de dbuter ltude de COBIT, il convient de dfinir ce quest la gouvernance, termequi sera largement utilis tout au long de cette tude.

Le terme Gouvernance dsigne la capacit d'une organisation tre en mesure decontrler et de rguler son propre fonctionnement afin d'viter les conflits d'intrts lis la sparation entre les ayants-droits (actionnaires, direction, conseil dadministration) etles acteurs (employs, les fournisseurs, les clients, les banques, lenvironnement). Ilsagit de privilgier le partenariat entre les diffrents acteurs.

La gouvernance d'entreprise est l'ensemble des processus, rglementations, lois etinstitutions influant la manire dont l'entreprise est dirige, administre et contrle.


6/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

II LE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI

La Gouvernance des Technologies de lInformation (en Anglais Information Technology

Governance ou IT Governance ) est une sous discipline du gouvernementdentreprise axe sur la technologie de linformation et de la communication. Cettediscipline, en phase avec les objectifs de lentreprise, sintresse plus particulirement la gestion des risques, loptimisation des investissements et des ressources, lacration de valeurs et la performance des technologies de linformation.

Selon le COBIT, la gouvernance des systmes dinformation est la structure de relationset de processus visant diriger et contrler lentreprise pour quelle atteigne ses objectifsen gnrant de la valeur, tout en trouvant le bon quilibre entre les risques et lesavantages des technologies de lInformation et de leurs processus. Il sagit dunedmarche de Management.

La Gouvernance des TI permet de rpondre aux questions suivantes :

Comment sont prises les dcisions ? Qui prend les dcisions ? Qui est tenu pour responsable ? Comment le rsultat des dcisions est-il mesur et suivi ? Quels sont les risques ?

La Gouvernance des TI est un cercle vertueux permettant d'orienter et de contrler lesprocessus de gestion :

En donnant les orientations stratgiques des diffrents processus de gestion, En utilisant les processus mtier pour fournir les services demands, Chaque processus mtier doit rendre compte de l'accomplissement de ses

objectifs. En contrlant le bon droulement des processus, en les amliorant et au besoin,

en dfinissant de nouvelles orientations.

Le cercle vertueux de la Gouvernance d'un systme d'information

La clef de la gouvernance est le Contrle permettant d'atteindre des objectifs.


7/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

III DEFINITION

Qu'est-ce que le COBIT ?

Le fonctionnement de la majorit des grandes entreprises, aujourd'hui, reposecompltement sur le traitement de l'information. Cest dans un souci de transparence desinformations que les SI se sont dvelopps et que leur contrle est devenuincontournable. Il est vital, pour leur avenir, que leur systme d'information soit encohrence avec les objectifs et la stratgie globale de l'entreprise. Les dirigeantssouhaitent finalement que les SI apportent de la valeur et de la performance danslorganisation.

Le COBIT (Control Objectives for Business Information and related Technology, soit enfranais Control des objectifs des technologies de linformation), dvelopp en 1994 (etpubli en 1996) par l'ISACA (The Information System Audit and Control Association) estun outil puissant qui a t conu pour uvrer dans ce sens.

Il est noter que lISACA, cr en 1967, est reprsent en France depuis 1982 par l'AFAI(Association Franaise de lAudit et du conseil Informatique).

Le COBIT est un rfrentiel de gouvernance des systmes d'information qui dcomposetout systme informatique en 34 processus, lesquels sont rpartis en quatre domainesfonctionnels :

planning et organisation (Planning and Organization) (10 processus). acquisition et mise en place (Acquire and implement) (7 processus). fourniture du service et support (Deliver and Support) (13 processus). surveillance (Monitor) (4 processus).

Ces 4 domaines permettent de couvrir 318 objectifs.

Ce rfrentiel s'adresse majoritairement deux grandes catgories d'acteurs :

les auditeurs et consultants, les responsables des systmes d'information.

La direction gnrale ainsi que les diverses directions mtiers sont bien videmment

concernes dans la mise en place et lutilisation de COBIT.

Nous pouvons reprsenter de manire simplifie le COBIT de la manire suivante :

Planning et organisation Acquisition et mise en place Fourniture du service et support

Surveillance


8/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

Pour tre plus prcis, voici une reprsentation dtaille de COBIT :

Chaque processus

met en uvre des ressources informatiques (applications, informations,infrastructures et personnes au sens comptences),

fournit une information destine satisfaire les besoins mtiers exprims sousformes de critres (efficacit, efficience, confidentialit, intgrit, disponibilit,conformit, fiabilit)

concerne un ou plusieurs des domaines de la gouvernance des SI (alignementstratgique, apport de valeur, gestion des risques, gestion des ressources,mesure de la performance).

En conclusion, la dfinition de COBIT est :

COBIT est une mthodologie dvaluation des services informatiques au sein delentreprise. Cette dmarche s'appuie sur un rfrentiel de 34 processus (bonnespratiques collectes auprs d'experts SI) et sur des indicateurs d'objectifs (KGI) et deperformance (KPI) permettant de mettre les processus sous contrle afin de disposer desdonnes permettant l'entreprise d'atteindre ses objectifs (alignement des technologiessur la stratgie de lentreprise).

C'est un cadre de contrle qui vise aider le management grer les risques (scurit,fiabilit, conformit) et les investissements.

Il ne fournit pas dindications ou de recommandations caractre technique (choixtechnologiques, consolidation, gestion de crises). En dautres termes, COBIT se focalisesur ce que lentreprise a besoin de faire et non sur la faon dont elle doit le faire

Le COBIT a volu au fil des annes. La version actuelle est indic V4.0.


9/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

IV LES OBJECTIFS DU COBIT

Le COBIT tabli des objectifs concernant les informations que doivent contenir et fournir

un systme d'information performant.Ces objectifs sont les suivants (7) :

L'efficacit, L'efficience, La confidentialit, L'intgrit, La disponibilit, La conformit, La fiabilit.

Pour atteindre ces objectifs, le systme d'information dispose et pourra utiliser lesressources suivantes (5) :

Les comptences, Les applications, Les technologies, Le facility management , Les donnes.

Comme nous lavons prcis prcdemment, le COBIT a dfini 34 processus rpartis en 4domaines en vue de grer ces diverses ressources et atteindre lensemble de ces

objectifs. De manire simplifi, le COBIT est un rfrentiel pour la gouvernance destechnologies de l'Information avec un objectif de contrle et d'audit vis vis de l'impactde l'utilisation de ces technologies dans l'entreprise et des risques qui y sont lis.


10/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

Les objectifs et les ressources permettent, une fois combins, de mettre en

valeur une cartographie de la gestion du systme dinformation (formaliser les

objectifs fixs et les contrler).

Il est en effet possible de reprsenter dans un tableau la fois :

les processus dun domaine choisi, les objectifs ainsi que les ressources.

L'impact du processus sur le critre d'information peut tre Primaire, Secondaire, ouvide.

Les processus ont une responsabilit plus ou moins importante dans la gestion desressources. Le lien entre les processus et les ressources ne mesure pas le niveaud'utilisation, mais le niveau de management de la ressource par le processus COBIT.

Le tableau obtenu serait de la forme :


11/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

V LES DOMAINES DU COBIT

Pour rappel, le COBIT est un rfrentiel de gouvernance des systmes d'information qui

dcompose tout systme informatique en 34 processus, lesquels sont rpartis en quatredomaines fonctionnels :

planning et organisation (Planning and Organization) (10 processus).Comment utiliser au mieux les technologies afin que l'entreprise atteigne sesobjectifs ?

o Choix de la stratgie permettant d'identifier les meilleures solutionsinformatiques pour permettre d'atteindre des objectifs mtiers.

o Mise en place de la stratgie, planification, communication et gestion. acquisition et mise en place (Acquire and implement) (7 processus).Comment dfinir, acqurir et mettre en uvre les technologies ncessaires en

adquation avec les business processus de l'entreprise ?

o Cration ou achat de solutions informatiques leur intgration aux processusmtiers.

o Gestion du changement et de la maintenance. fourniture du service et support (Deliver and Support) (13 processus).

Comment garantir l'efficacit, l'efficience des systmes technologiques en action ?

o Fourniture des services mtiers,o Scurisation, disponibilit des services.

surveillance (Monitor) (4 processus).Comment s'assurer que la solution mise en uvre corresponde bien aux besoinsde l'entreprise dans une perspective stratgique ?

o Mesure de la qualit des processus,o Mesure de l'atteinte des objectifs des processus,o Contrle et amlioration de l'organisation et des processus.

Les domaines COBIT


12/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

VI LE COBIT POUR L'AUDITEUR INFORMATIQUE

A la base, le COBIT a t dvelopp par des auditeurs informatiques. Cest ainsi que leCOBIT est utilis pour mener tout type d'audit autour du systme d'information. Ilsappuie en effet sur une liste de 318 objectifs de contrle permettant l'auditeur decadrer ses tudes.

Il est recommand lauditeur de rechercher un complment dinformation dans dautresrfrentiels comme ITIL en ce qui concerne la production, ou CMMI en ce qui concerne lagestion de projets.

Il est important de prciser que le rfrentiel d'audit et de contrle tabli, et notammentla liste des objectifs de contrle, est trs comprhensible et accessible. En effet, un

auditeur non informaticien est capable de mener de manire professionnelle, un auditdun systme dinformation.


13/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

VII - COMMENT EST UTILISE LE COBIT

Le principe :

COBIT ne distingue pas la grande entreprise de la petite entreprise. Il ne tient pascompte non plus du secteur dactivit auquel lentreprise appartient. Une PME ne pourracertainement pas faire tout ce que COBIT prescrit. Une entreprise industrielle na pas lesmmes besoins quune entreprise de services.

Il faudra donc dans chaque cas slectionner dans COBIT les lments retenir .Il est dailleurs prcis que COBIT est illustratif et non exhaustif : il fournit une basedexpertise dans laquelle chaque entreprise devra slectionner ce qui correspond sespriorits.

En conclusion, lutilisation de COBIT permet de distinguer trois tapes :

Dfinition des objectifs, Dtermination et gestion des ressources, Gestion des processus.

Lors des audits :

A partir du rfrentiel gnral, COBIT donne une liste dtaille de 318 objectifs decontrle qui permettent l'auditeur de cadrer son investigation.

COBIT est utilis comme une base solide de points de contrles, il aide la slection deszones critiques et leur valuation.

Mme s'il est parfois ncessaire de le complter en fonction des spcificits du sujet(pour un audit de scurit il conviendra par exemple d'ajouter les aspects propres auxdispositifs de scurit existants. Il en sera dailleurs de mme pour tout ce qui a trait audomaine lgal et rglementaire), COBIT permet de prendre en compte des points quin'auraient pas t voqus, faute d'y songer ou par manque de connaissance. Cest ainsique COBIT sert tablir les questions drouler lors des entretiens daudit.

Lors du pilotage des systmes dinformations :

Le COBIT sert aussi valuer les processus mis en place. Il permet de dfinir leur niveaude maturit.

Ci-aprs une reprsentation graphique des rsultats permettant une Direction Gnralede visualiser les points forts et les points faibles de son entreprise. On peut y dceler soitune certaine homognit des processus, soit au contraire des maillons faiblesncessitant une rvision de stratgie.


14/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

Le modle contient 5 niveaux de maturit:

NIVEAU NOM DESCRIPTION

0 INEXISTANT (Non-existent) Les processus de gestion ne sont pas appliqus. Lentreprise nest pas

consciente du besoin.

1 INITIAL (Initial) Les processus sont ad hoc et dsorganiss. Lentreprise commence tre

consciente du besoin mais rien nexiste pour la satisfaire.

2 REPETITIF (Repeatable) Les processus suivent un modle rptable. Lentreprise traite le besoin au

cas par cas, de faon informelle, en sappuyant sur les comptences de

quelques individus.

3 DEFINI (Defined) Les processus sont formaliss et communiqus. Les procdures ont t

standardises et documentes mais les responsabilits restent individuelles. Il

nexiste pas de reporting formel, ni de suivi de la qualit.

4 GERE ET MESURABLE

(Managed)

Les processus sont surveills et mesurs. Les responsabilits sont claires, la

qualit est suivie, les personnels sont forms, les outils sont automatiss.

5 OPTIMISE (Optimized) L'amlioration du processus est gre. Lentreprise est au niveau gr et

mesurable et en outre elle assure une veille afin de mettre jour ses

mthodes et de se tenir en permanence la pointe de ltat de lart.


15/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

Le modle de maturit permet de dfinir :

La situation actuelle de l'organisation, La situation des entreprises dans un domaine mtier quivalent, La stratgie d'amlioration de l'entreprise (ce vers quoi elle souhaite aller).

VIII LE COBIT : RAPPROCHEMENT ENTRE AUDIT INTERNE E T DSI

Pour la DSI (Direction des Systmes d'Information), le COBIT est frquemment utiliscomme un outil d'auto valuation. C'est un moyen pour elle de dmontrer sahirarchie, et ce de faon proactive, que son niveau de matrise des systmesd'information est relativement bon, sur tous les aspects relevant de sa responsabilit.

Quant aux auditeurs, ils peuvent valider la qualit de l'valuation l'aide de ce mmeoutil.

IX - CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI

Les entreprises qui ont opt pour les modles de processus bass sur COBIT :

possdent des processus plus simples et plus comprhensibles. ont une vision comprhensible par le management de ce que fait linformatique. possdent des processus prouvant la valeur ajoute des systmes dinformation. ont un meilleur alignement de linformatique sur lactivit de lentreprise du fait de

lorientation mtier. ont une attribution claire des responsabilits du fait de lapproche par processus. sont aides dans leurs dcisions, leurs choix et leurs investissements (bnfique

lentreprise) peuvent laborer partir du standard COBIT leurs propres standards afin dtre

encore plus en phase avec les objectifs de lentreprise en terme de systmesdinformation.

peuvent sauto valuer : par des audits et en valuant la maturit de leursprocessus

peuvent se comparer dautres entreprises ayant un mme domaine mtier grce lvaluation de la maturit des processus.

ne sont pas impactes par les spcificits culturelles, les avances technologiques.Ces facteurs ne semblent pas limiter l'adquation de COBIT pour l'alignement dessystmes d'information aux objectifs stratgiques de l'entreprise.


16/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

X - PRESENTATION DES 34 PROCESSUS

A LA PLANIFICATION & LORGANISATION

Ce domaine couvre la stratgie et les tactiques et concerne lidentification des moyenspermettant linformatique de contribuer le plus efficacement la ralisation desobjectifs commerciaux de lentreprise.

Au sein de ce domaine, on cherche savoir comment utiliser les technologies afin quelentreprise atteigne ses objectifs.

Il comporte 10 processus :

Dfinir un plan stratgique pour le SILa dfinition du plan stratgique doit amliorer la comprhension des apports et deslimites du SI, conforter la performance et mettre en vidence le niveau desinvestissements requis. On doit retrouver dans ce plan la stratgie et les priorits delentreprise. Il est important que ce plan soit accept par le personnel informatique et lesmtiers. Lexploitation du SI doit faire lobjet de SLA (service level agreements).

Dfinir larchitecture en informationIl sagit de ce que lon appel administration des donnes : construire et partager des

rfrentiels de qualit. Dterminer lvolution technique

Il sagit de dfinir la plate-forme informatique par une veille technologique constante etun dialogue entre la DSI et les mtiers utilisateurs.

Dfinir les processus et lorganisation du SIIl sagit dorganiser et de superviser la DSI, de grer ses ressources humaines (y comprisles ressources que lui procurent les fournisseurs), de grer ses relations avec les autresmtiers de lentreprise.

Grer les investissements en SILes notions traites ce niveau concernent les cots, la rentabilit, le retour surinvestissement

Communiquer les buts et orientations de la directionIl sagit de faire connatre les objectifs de lentreprise et du SI.

Grer les ressources humaines du SICOBIT suggre de rduire la dpendance par rapport des individus cls (comptencescritiques) et de limiter le turn-over.


17/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

Grer la qualitIl sagit de la qualit du SI (et non de celle des processus de production de lentreprise).

Evaluer et grer les risques du SIIl faut identifier tous les vnements qui peuvent avoir des consquences (ngatives oupositives) sur le fonctionnement de lentreprise : production, rglementation,partenariats, ressources humaines Il faut anticiper la rponse aux incidents, et grer unplan daction.

Grer les projetsIl sagit tout dabord de la slection des projets retenir (priorisation).

Il sagit ensuite de prendre en compte, dans la gestion de projet proprement dite,limplication les parties prenantes, linterdpendance entre projets, les changements quisurviennent dans la dfinition du projet (cot, calendrier, contenu et qualit).


18/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

B LACQUISITION & LINSTALLATION

Ce domaine concerne la ralisation de la stratgie informatique, lidentification,

lacquisition, le dveloppement et linstallation des solutions informatiques et leurintgration dans les processus commerciaux.

Au sein de ce domaine, COBIT cherche dfinir, acqurir et mettre en uvre destechnologies en les alignant avec les processus mtiers de lentreprise.


Dfinir les solutions automatisesIl sagit dquiper les agents oprationnels en outils automatiques et de fournir desindicateurs de contrle aux managers oprationnels. Il faut trouver des solutions

ralisables et conomiques : cela suppose le recours des tudes de faisabilit.

Acqurir et entretenir les logiciels applicatifsIl sagit de rdiger les spcifications (gnrales, dtailles et techniques), de dfinir leshabilitations et rgles de scurit, dintgrer les acquisitions sur la plate-forme delentreprise, de raliser ou faire raliser les logiciels spcifiques, dassurer le suivi de laralisation et des modifications des exigences, de mettre en place la gestion deconfiguration et la maintenance.

Acqurir et entretenir la plate-forme techniqueIl sagit de fournir lentreprise une plate-forme matrielle et logicielle convenable enregard des besoins des applications et de ltat de lart technique. Cette plate-forme doitpouvoir satisfaire les besoins applicatifs connus et elle devra satisfaire les besoins futurs.Elle doit tre convenablement dimensionne (taille des processeurs et des mmoires,dbit des rseaux) et mettre en uvre des solutions darchitecture bien choisies. Il fautquelle soit convenable sur un plan qualitatif comme quantitatif.

Elle doit comporter les outils de contrle et de scurit et les responsabilits doiventavoir t dfinies. Son entretien doit tre assur. Elle doit comporter un environnementpour tester les modifications qui lui sont apportes. Elle doit tre quipe dune gestionde configuration.

Permettre l'exploitation et l'utilisationIl sagit dans ce processus de documenter les applications sur les aspects techniques,oprationnels et de niveaux de service.

Grer les achatsIl sagit dquiper le SI dune direction des achats. Elle y appliquera la politique delentreprise en matire dachats, grera les contrats avec les fournisseurs, les droits deproprits sur le logiciel et contrlera la qualit des fournitures (dveloppements etinfrastructure).


19/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

Grer les volutionsIl sagit de la gestion des volutions du SI interne la DSI. Il sagit de documenter,autoriser, suivre et faire connatre les changements techniques.

Installer et recetter les solutions et les changementsCe processus concerne les oprations de recette, dessai sur site pilote et de dploiementdun nouveau produit.

Un plan de test est obligatoire pour mener bien ce processus.


20/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

C LA LIVRAISON & LE SUPPORT

Ce domaine concerne la livraison des prestations informatiques exiges, ce qui comprend

lexploitation, la scurit, les plans durgence et la formation.Au sein de ce domaine, COBIT a pour objectif de garantir lefficacit et lefficience dessystmes technologiques en action.


Dfinir et grer les niveaux de serviceCe processus concerne la qualit du service rendu aux utilisateurs, les service levelagreements .

Le SLA doit tre dfini en fonction des exigences et associ un OLA ( operating levelagreement) qui prcise le niveau que doivent atteindre les services techniques en vuede rpondre aux SLA (dbit des rseaux, dimension des mmoires).

Grer les services fournis par lextrieurIl sagit de documenter les relations avec les fournisseurs, de grer les risques(confidentialit, prennit du fournisseur et du produit, pnalits...) et de mettre enuvre un suivi de la performance des fournisseurs.

Grer les performancesIl sagit dtre en mesure de fournir la charge de travail anticipe, de minimiser le risquede blocage, de grer la pnurie en cas de sous-capacit (prioriser les tches, allocationde ressources). Toute panne doit faire lobjet dun rapport se concluant par desrecommandations.

Assurer la continuit du serviceIl sagit dassurer une exploitation en continu minimisant le risque de panne sur lesfonctions cruciales. (Gestion de crise en cas dincident, solutions de repli)

Assurer la scurit du SIUne quipe doit tre ddie au sein de la DSI la scurit. Elle met en uvre un plan descurit, dfinit la gestion des identifications et habilitations, dtecte les attaques,documente les incidents, assure le chiffrement, met en uvre les protections antivirus,firewalls Elle protge les donnes sensibles.

Identifier et imputer les cotsIl sagit dvaluer le cot du SI et de limputer aux utilisateurs (refacturation).


21/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

Former et entraner les utilisateursIl sagit de former le personnel en tenant compte des besoins de lentreprise, de sesvaleurs, du contenu du SI (infrastructure et applications), des besoins de comptences etdes mthodes de formation (cours magistral, Intranet).

Grer les incidents et le service deskIl sagit de fournir un dpannage en cas dincident. Le service desk reoit les appelstlphoniques et les oriente vers lquipe comptente. Il assure la traabilit de larponse lincident.

Grer la configurationIl faut tablir un rfrentiel du matriel, du logiciel, des paramtres, de ladocumentation, comportant des identifiants, des numros de version, des dtails sur leslicences Ce rfrentiel doit tre jour (toujours exacte) et tre utilis pour prvenir la

mise en place de logiciels non autoriss.

Grer les problmesTraiter un problme, cela suppose que lon ait su dtecter des incidents rpts et quelon ait pu en consquence amliorer le fonctionnement de lentreprise.

Grer les donnesIl ne sagit pas de ladministration des donnes mais de la gestion physique desdonnes : back-up et restauration des donnes, disponibilit, dispositifs de saisie ettraitements, scurit

Grer lenvironnement physiqueIl sagit de la gestion des locaux, des accs (primtre de scurit), de lalimentationlectrique et tlcoms, des risques divers (tempte).

Grer lexploitationIl sagit de lorganisation mise en place entre les acteurs (passage des consignes dunequipe la suivante), la supervision de la plate-forme,


22/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

D LE MONITORING

Permet au management dvaluer la qualit et la conformit des processus informatiques

aux exigences de contrle.Au sein de ce domaine, COBIT cherche vrifier si la solution mise en place est enadquation avec les besoins de lentreprise dans une vision stratgique.

Ce domaine comporte 4 processus :

Suivre et valuer la performance du SIIl sagit de dfinir des indicateurs de performance du SI (cot, rentabilit, niveau deservice, alignement stratgique) et dagir si lon constate des drapages.

Suivre et valuer le contrle interne

Il sagit de dfinir un contrle interne au SI puis de rendre compte de son efficacit. Il estconseill de faire des benchmarks, de faire procder des audits externes, de faireporter le contrle galement sur les fournisseurs, de dfinir et mettre en uvre lesactions pour remdier aux dfauts constats.

Assurer la conformit la rglementationLe SI doit tre conforme la rglementation notamment dans les domaines ducommerce lectronique, des changes de donnes, de la confidentialit, du contrleinterne, du reporting financier, de la proprit intellectuelle, de lhygine et de la

scurit, et des rgulations spcifiques au secteur dactivit.

Assurer la gouvernance du SIIl sagit de dfinir les structures de lorganisation, les processus, les pouvoirs de dcision,les rles et responsabilits de faon pouvoir sassurer que le SI est conforme auxpriorits et la stratgie de lentreprise. Il est conseill de faire appel un auditeurexterne pour valider cette organisation.


23/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

XI LES PERSPECTIVES

En 2006, l'AFAI, le CIGREF et INEUMConsulting ont ralis une enqute sur la maturitdes entreprises franaises vis--vis de lIT Gouvernance. Il en est rsult que 75% desrponses taient infrieures 2,5 / 6 ce qui correspond un dbut de formalisation.

Il est indniable que des marges de progression importantes sont envisageables

dans les annes venir.


24/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

XII - CONCLUSION

Vous vous demandez probablement en quoi ce sujet se rapproche des normes. Jaivolontairement vit de faire rfrence aux normes durant cette prsentation de COBITet ce pour chacune des diffrentes parties traites. Je souhaitais conclure en faisant unparallle entre COBIT et les normes.

COBIT peut tre assimil ou tout au moins rapproch des normes car :

- Il a une approche structurante : dcomposition de tout systme informatique en 4domaines, 34 processus et 318 objectifs.

- Il a une couverture dutilisation internationale.- COBIT est un outil fdrateur qui permet dinstaurer un langage commun pour

parler de la gouvernance des SI.

- COBIT est capable de sintgrer dautres rfrentiels tels quISO9000, ITIL,COSO En dautres termes, dans le cadre dune approche qualit de typeISO9000, trs oriente processus, COBIT se rvle tre un outil prcieux.

- L'ISO 27000 et ITIL peuvent tre considrs comme des mises en application duCOBIT dans le domaine du service IT et de la scurit.

- On constate que la dmarche est digne dune mthodologie, continuellementdocumente et dveloppe par les experts en systmes dinformation.

Jespre sincrement que ce dossier pourra tre utile dautres personnes. Il sera mis disposition sur mon site personnel comme dautres supports de cours.(http://home.nordnet.fr/~ericleleu).


25/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

LES REFERENCES : BIBLIOGRAPHIE / WEBOGRAPHIE

De nombreuses informations ont t trouves sur Internet. La liste des sites visitscourant Dcembre 2008 et Janvier 2009 sont :

- http://www.delvaux-conseil.com/JPDelvaux_Integration2005.ppt- http://www.univ-angers.fr/docs/etudquassi/COBIT.pdf- http://www.aud-it.ch/cobit.htm- http://fr.wikipedia.org/wiki/Cobit- http://www.afai.asso.fr- http://cigref.typepad.fr/itgifrance/files/place_gouvernance_SI_dans_gouvernance_generale.pdf- http://www.guideinformatique.com/fiche-cobit-741.htm

- http://www.piloter.org/gouvernance/COBIT_gouvernance_SI.htm- http://www.commentcamarche.net/contents/qualite/cobit.php3- http://www.btcweb.com/btc/fr/services/organisation/cobit/index.html- http://www.volle.com/travaux/cobit.htm- http://www.volle.com/travaux/cobitimp.htm- http://www.bonneaud.net/cobit/- http://www.numeraladvance.com/Role_des_Normes/Normes_pour_SI/COBIT/Le_COBIT.htm


26/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

LE GLOSSAIRE

AUDIT : Processus systmatique, indpendant et document permettant de recueillir desinformations objectives pour dterminer dans quelle mesure les lments du systmecible satisfont aux exigences des rfrentiels du domaine concern.

BENCHMARK : En informatique, un benchmark est un banc d'essai permettant demesurer les performances d'un systme pour le comparer d'autres.

CMMI : (Capability Maturity Model & Integration) - est un modle de rfrence, unensemble structur de bonnes pratiques, destin apprhender, valuer et amliorer lesactivits des entreprises d'ingnierie. Il est largement employ par les entreprisesd'ingnierie informatique, les DSI et les industriels pour valuer et amliorer leurs

propres dveloppements de produits.

COBIT : Control Objectives for Business Information and related Technology, soit enfranais Control des objectifs des technologies de linformation.

COSO : COSO est lacronyme abrg de Committee Of Sponsoring Organizations of theTread way Commission. Il s'agit d'une commission qui a un but non lucratif et qui a tablien 1992 une dfinition standard du contrle interne et cr un cadre pour valuer sonefficacit.

DSI : Direction des Services Informatiques

EFFICIENCE : Lefficience dsigne le fait de raliser un objectif avec le minimum demoyens engags possibles

FACILITY MANAGEMENT : Le Facility Management consiste en une gestion globale desfonctions support de l'entreprise (services gnraux) par des prestataires de servicestiers spcialiss. La problmatique principale du Facility Management est d'amliorer laqualit des prestations dans le cadre d'une rduction des couts.

ISO 9000 : ISO 9000 dsigne un ensemble de normes relatives la gestion de la qualitpublies par l'Organisation internationale de normalisation (ISO).

ISO 27000 : ISO/CEI 27000 est le nom rserv pour un nouveau standard de scuritde l'information publi conjointement par l'Organisation internationale de normalisation(ISO) et la Commission lectrotechnique internationale (CEI, ou IEC en anglais), faisantpartie de la suite ISO/CEI 27000.

IT (TI en franais) : Information Technology , soit Technologie des systmesdinformations.

ITIL : ITIL (Information Technology Infrastructure Library, soit en franais "Bibliothquepour l'infrastructure des technologies de l'information") est un ensemble d'ouvragesrecensant les bonnes pratiques ("best practices") pour la gestion des services

informatiques.


27/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

OLA : Operating level agreements - Dfinit les relations qui existent entre lesdiffrents groupes support. L'accord dcrit entre autre les responsabilits et les tchesoprationnelles qui incombent chacun des groupes supports.

SERVICE DESK : En informatique, le support technique est l'assistance donne par un

tlassistant, ou un service, un utilisateur pour l'aider rsoudre un problme logiciel(software) ou matriel (hardware), ou simplement pour lui donner une information dont ila besoin. Dans le langage ITIL, on parle de centre de services.

SI : Systme dinformations

SLA : Service level agreements - Document qui dfinit la qualit de service requiseentre un prestataire et un client. Il s'agit d'un contrat dans lequel on formalise la qualitdu service attendu.

STRATEGIE : C'est l'art de diriger et de coordonner des actions pour atteindre unobjectif. La stratgie a un objectif global et plus long terme.

TACTIQUE : L'art d'utiliser de manire optimale les modes opratoires et les moyensdont on dispose, pour emporter un gain ou une dcision. L'enjeu est local et limit dansle temps.


28/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

LES ANNEXES

LISTE DES PROCESSUS DU COBIT EN FRANAIS

Planification et organisation

PO1 - Dfinir un plan informatique stratgique PO2 - Dfinir l'architecture de l'information PO3 - Dterminer l'orientation technologique PO4 - Dfinir l'organisation et les relations de travail PO5 - Grer l'investissement informatique PO6 - Faire connatre les buts et les orientations du management PO7 - Grer les ressources humaines PO8 - Se conformer aux exigences externes PO9 - valuer les risques PO10 - Grer les projets PO11 - Grer la qualit

Acquisition et mise en place

AMP1 - Trouver des solutions informatiques AMP2 - Acqurir des applications et en assurer la maintenance AMP3 - Acqurir une infrastructure et en assurer la maintenance AMP4 - Dvelopper les procdures et en assurer la maintenance AMP5 - Installer les systmes et les valider AMP6 - Grer les changements

Distribution et support

DS1 - Dfinir et grer des niveaux de service DS2 - Grer des services tiers DS3 - Grer la performance et la capacit DS4 - Assurer un service continu DS5 - Assurer la scurit des systmes DS6 - Identifier et imputer les cots DS7 - Instruire et former les utilisateurs DS8 - Assister et conseiller les clients DS9 - Grer la configuration DS10 - Grer les problmes et les incidents DS11 - Grer les donnes DS12 - Grer les installations DS13 - Grer l'exploitation


29/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

Surveillance

S1 - Surveiller les processus S2 - valuer l'adquation du contrle interne S3 - Acqurir une assurance indpendante S4 - Disposer d'un audit indpendant


30/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

LISTE DES PROCESSUS DU COBIT EN ANGLAIS

Planning & Organisation

PO1 - Define a strategic IT plan PO2 - Define the information architecture PO3 - Determine technological direction PO4 - Define the IT organisation and relationships PO5 - Manage the IT investment PO6 - Communicate management aims and direction PO7 - Manage human resources PO8 - Ensure compliance with external requirements PO9 - Assess risks PO10 - Manage projects PO11 - Manage quality

Acquisition & Implementation

AI1 - Identify automated solutions AI2 - Acquire and maintain application software AI3 - Acquire and maintain technology infrastructure AI4 - Develop and maintain procedures AI5 - Install and accredit systems AI6 - Manage changes

Delivery & Support

DS1 - Define and manage service levels DS2 - Manage third-party services DS3 - Manage performance and capacity DS4 - Ensure continuous service DS5 - Ensure systems security DS6 - Identify and allocate costs DS7 - Educate and train users DS8 - Assist and advise customers DS9 - Manage the configuration DS10 - Manage problems and incidents DS11 - Manage data DS12 - Manage facilities DS13 - Manage operations


31/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

Monitoring

M1 - Monitor the processes M2 - Assess internal control adequacy M3 - Obtain independent assurance M4 - Provide for independent audit


32/33



Le

COBIT:Socle

de

la

gouvernanced

esSI

EXEMPLE 1 DEFINIR LARCHITECTURE DE LINFORMATION

PLANIFICATION et ORGANISATION

PO2 Dfinir larchitecture de linformation

Objectif : Optimiser lorganisation des systmes informatiques

. Dveloppement plus rapide

dapplications

. Rduction du dlai de ralisation

des SI majeurs

. Rduction des redondances de

donnes. Interoprabilit entre systmes et

applications

. Nombre de modifications

dapplications entreprises pour se

raligner sur le modle de donnes

. Nombre dincidents dans les

applications dus aux incohrences du

modle de donnes. Quantit de travail refaire due

aux incohrences du modle de

donnes

. Dlai entre les modifications de

larchitecture de linformation et

celles apportes aux applications

. Il existe une fonction dadministration des donnes de lentreprise ayant une autorit suffisante pour administrer le

modle de donnes et les standards dinformations

. On a document, communiqu et appliqu les standards darchitecture de linformation

. Un modle de donnes refltant lactivit de lentreprise a t dfini et pilote larchitecture de linformation

Indicateurs

Cl de

performance

Indicateurs

cl dobjectif

Facteurs cl de succs


33/33

Le

COBIT:Socle

de

la

gouvernanced

esSI

EXEMPLE 2 - GERER LES DONNEES

DISTRIBUTION SUPPORT

DS11 Grer les donnes

Objectif : Sassurer que les donnes restent compltes, exactes et valides au cours de leur traitement

. Rduction du nombre de donnes

dfectueuses comme redondance,

duplication et incohrence.

. Nombre de contrles automatiques

dintgrit des donnes lances

indpendamment des applications

. On utilise des outils efficaces de transfert de donnes dune plate-forme lautre sans perte dintgrit ni de fiabilit.

Indicateurs

Cl de

performance

Indicateurs

cl dobjectif

Facteurs cl de succs

Documents

Le COBIT - L’état de l’Art