Support Cours Cobit Gouvernance SI PartieI&II (1)

Intervenant : M. Sofiane Mickael OUAALI

Control Objectives for Business and Related Techonology

Année 2013

Objectifs de la Formation

1. Comprendre les avantages à utiliser le référentiel CobiT

2. Connaître les 4 domaines d'un SI

3. Comprendre la structure des processus

4. Placer chaque activité dans le bon processus

5. Définir les niveaux de maturité de chaque activité

6. Utiliser les indicateurs adéquats

7. Valoriser les ressources du système

Le samedi ou Dimanche Matinée de 09h00 à 12h30 Pause 15 min Après midi de 13h30 17h00 Pause 15 min

Volume horaire : 2 ou 3 séances de formation

Organisation de la Formation

Note de Présence Note TP Note Examen

X - X

Note Fin Module

XX/20

Mode d’Evaluation de la Formation

Module 1 : Généralité et Principes de Base (Terminologie)

Module 2 : Référentiels, Normes SI et SSI Module 3 : Framework COBIT Module 4 : Utilisation du Cadre de Références Module 5 : Domaine 1 « PLANIFIER ET ORGANISER (PO) » Module 6 : Domaine 2 « ACQUÉRIR ET IMPLÉMENTER (AI) » Module 7 : Domaine 3 «DÉLIVRER ET SUPPORTER (DS)» Module 8 : Domaine 4 «SURVEILLER ET EVALUER (SE)» Module 9 : Nouveautés COBIT 5

Agenda de la Formation

Module 1: Généralités et Principes de Base (Terminologie)

Programme

1. Information 2. Données 3. Système Informatique 4. Système d’information 5. Schéma Directeur 6. TCO 7. ROI 8. Cahier des Charges 9. Gouvernance des Systèmes d’Information 10. Processus 11. Modèle RACI

I. Généralités & Principes de Bases (Terminologie)

1. Information


2. Données : Informations numériques et alphanumériques codées et lisibles par la machine, en vue de leur enregistrement, traitement, conservation et communication.

3. Système Informatique : Ensemble de matériels (Serveurs, Switchs, Ordinateurs …) et de logiciels permettant :

Acquérir les données Traiter les données Communiquer les données Stocker les données

Afin de répondre aux besoins des utilisateurs


4. Système d’Information Ensemble organisé de ressources :

Matériel, Logiciel, Personnel, Données, Procédures

Permettant d'acquérir, de stocker, de communiquer des informations sous différentes formes (textes, images, sons…) dans et vers des organisations.






5. Schéma Directeur :Document conçu pour préparer l’évolution et l’adaptation de l’environnement informatique d’une entreprise pendant une période donnée (généralement de 2 à 5 ans). Elaboré par un Comité Directeur regroupant les représentants de la direction générale de l'organisation.

Définir les axes stratégiques selon les objectifs de l'entreprise Repose sur l’identification d’un existant et de besoins futurs

Outil de planification qui permet de préparer les investissements

Réagir face à l’imprévu

Permet de définir des priorités en terme de réalisation des objectifs



6. TCO : Total Cost of Ownership est le Coût total de possession d'un bien (un système informatique) tout au long de son cycle de vie. Calcul du TCO :

Les aspects directs: (coûts matériels tels qu'ordinateurs, infrastructures réseaux, etc.

ou logiciels tels que le coût des licences) Coûts indirects : (coûts cachés) tels que la maintenance, l'administration, la formation

des utilisateurs et des administrateurs, l'évolution, le support technique et les coûts récurrents (consommables, électricité, loyer…)


A quoi sert le TCO ? Piloter son système d'information

Mesurer la dépense informatique

Réduire le coût total

7. ROI : (Return on Investment) est un Système de mesure de performance d'entreprise qui compare via un ratio les résultats nets d'un projet, avec ses coûts totaux


8. Cahier des charges vise à :

Définir les besoins et les spécifications

Définir les modalités d'exécution

Définir les objectifs à atteindre

Sélectionner le prestataire (référentiel contractuel)

Formaliser les besoins dans le respect du code des marchés publics


9. Gouvernance SI : Le terme « Gouvernance» désigne la capacité d'une organisation à être en mesure de

contrôler et de réguler son propre fonctionnement a fin d'éviter les conflits d'intérêts liés à la séparation entre les ayants-droits (actionnaires , direction, conseil d’administration) et les acteurs (employés, les fournisseurs, les clients, les banques, l’environnement)

La gouvernance d'entreprise est l'ensemble des processus, réglementations, lois et institutions influant la manière dont l'entreprise est dirigée, administrée et contrôlée

La gouvernance des SI est de la responsabilité des dirigeants et du conseil d'administration, et elle est constituée des structures et processus de commandement et de fonctionnement qui conduisent l'informatique de l'entreprise à soutenir les stratégies et les objectifs de l'entreprise, et à lui permettre de les élargir.


9. Gouvernance SI : La Gouvernance SI permet de répondre aux questions suivantes : Comment sont prises les décisions ? Qui prend les décisions ? Qui est tenu pour responsable ? Comment le résultat des décisions est-il mesuré et suivi ? Quels sont les risques ? Gouvernance des TI est un cercle vertueux permet tant d'orienter et de contrôler les processus de gestion : En donnant les orientations stratégiques des différents processus de gestion

En utilisant les processus métier pour fournir les services demandés

Chaque processus métier doit rendre compte de l'accomplissement de ses objectifs

En contrôlant le bon déroulement des processus, en les améliorant et au besoin, en

définissant de nouvelles orientations


10. Processus (Process) : Un ensemble d’activités structurées conçues pour atteindre un objectif spécifique

Traite une ou plusieurs entrées définies et les transforme en résultats (sortie)

Peut inclure la définition de tout les rôles, responsabilités, outils et contrôles de gestion

nécessaires à la fourniture de résultats de manière fiable

Peut définir des politiques, des standards, des principes, des activités et des modes opératoires si c’est nécessaire



Propriétaire du Processus

Documentation du Processus

Objectifs du Processus

Rétroaction du Processus

Activités du Processus

Procédures du Processus

Instructions de Travail du Processus

Rôles du Processus

Améliorations du Processus

Métrique du Processus

Ressources du processus

Capacités du Processus

Politique du Processus

Entrées du Processus Sorties du Processus

Déclencheurs

Contrôle du Processus

Processus

Eléments du Processus

y compris les rapports et avis des Processus

11. Modèle RACI Est une matrice des responsabilités qui indique les rôles et les responsabilités des intervenants au sein de chaque processus et activité. Le modèle RACI Un outil utile pour aider à la définition des rôles et des responsabilités lors de la conception des processus RACI :

R : Responsible : Réalisation : Réalise l’activité. Il peut y avoir plusieurs R A : Accountable : Approbation : A l’autorité pour approuver le travail de R Il n’y a qu’un seul A. En général, il y a un rapport hiérarchique entre A et R (A est le manager de R) C : Consulted : Consultation : Est consulté par R La communication entre R et C est bidirectionnelle. Il peut y avoir plusieurs C I : Informed : Information : Est uniquement informé des travaux de R. Il peut y avoir plusieurs I

Référentiels & Normes SI et SSI


RACI apporte plusieurs avantages :

Les rôles et responsabilités sont clairement définis Encourage le travail en équipe, réduit l’incertain et éprouve la communication entre les différentes équipes La redondance des tâches est éliminées La productivité est augmentée


Enterprise Resource Planning(ERP) : Intègre tous les systèmes informatisés de support de l'entreprise (gestion de la production, relation commerciale, ressources humaines, comptabilité...)

Customer Relationship Management(CRM) : Regroupe toutes les fonctions permettant d'intégrer les clients dans le système d'information

Supply Chain Management(SCM) : Regroupe toutes les fonctions permettant d'intégrer les fournisseurs et la logistique au système d'information

Human Resource Management(HRM) : SI pour la gestion RH

Product Data Management(PDM): Fonctions d'aide au stockage et à la gestion des données techniques (utilisé par les bureaux d'études)


Module 2 : Référentiels, Normes SI et SSI

Programme

1. ITIL 2. CMMI 3. PMBOK 4. ISO 20000 5. ISO 27001/27002 6. VAL IT 7. RISK IT


1. ITIL : Information Technology Infrastructure Library ITIL est une collection de bonnes pratiques pour assurer un management efficace du

Système d'Information

ITIL est développé pour améliorer l'efficacité des services informatiques


1. ITIL : Information Technology Infrastructure Library

La version 3 de ITIL se focalise sur le cycle de vie d'un service, ITIL V3 comporte 6 livres :

Introduction au cycle de vie des services ITIL Stratégie des services (Service Strategy) Conception des services (Service Design) Transition (passage en production) des services (Service Transition) Exploitation des services (Service Operation) Amélioration permanente des services (Continual Service Improvement)


2. CMMI : (Capability Maturity Model & Integration) est un modèle de référence, un ensemble structuré de bonnes pratiques, destiné à :

• Appréhender • Evaluer • Améliorer les activités des entreprises d'ingénierie


2. CMMI : (Capability Maturity Model & Integration) est un modèle de référence, un ensemble


3. PMBOK Guide du Project Management Institute définissant les champs de connaissance couvrant la gestion de projet, et recensant les bonnes pratiques professionnelles Le PMBOK définit les 5 groupes de processus de management de projet suivants: Démarrage Planification Exécution Surveillance et maîtrise Clôture Il aborde les dix domaines de compétences en management de projet, à savoir:

Le management de l'intégration Le management du contenu (périmètre) Le management des délais Le management des coûts Le management de la qualité Le management des ressources humaines Le management des communications Le management des risques Le management des approvisionnements Le management des parties prenantes (stakeholders) ajouté dans la 5ème édition Le PMBoK distribue un total de 47 processus dans ces groupes de processus et domaines de connaissance


4. ISO 20000 La norme ISO 20000 est un consensus pour une « qualité standard » de cette gestion des services informatiques Cette notion de gestion des services est décrite dans la norme en 13 processus inspirés du référentiel ITIL

Processus de fourniture des services

Gestion des niveaux de services Rapport de services Gestion de la continuité et de la disponibilité des services Budgétisation et comptabilisation des services Gestion de la capacité Gestion de la sécurité de l’information

Processus de gestion des relations entre clients et fournisseurs (Service Desk)

Gérer les relations commerciales Gérer les fournisseurs


4. ISO 20000

Processus de résolution de problèmes

Le contexte La gestion des incidents La gestion des problèmes

Processus de maintien pour le contrôle des systèmes d’informations

La gestion des configurations La gestion des changements

Processus de mise en production

Normes liées à la gestion des services et à l’ISO 20000


5. ISO/CE 27001/27002

standard de sécurité de l'information publié conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI, ou IEC

C’est une norme internationale de système de gestion de la sécurité de l'information


5. ISO 27001/27002

Phase Plan Fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 étapes :

Étape 1 : Définir la politique et le périmètre du SMSI Étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion Étape 4 : Choisir les mesures de sécurité à mettre en place

Phase Do

Met en place les objectifs Former et sensibiliser le personnel

Phase Check

Consiste à gérer le SMSI au quotidien à détecter les incidents en permanence pour y réagir rapidement

Phase Act

Mettre en place des actions correctives, préventives ou d’amélioration pour les incidents et écarts

constatés lors de la phase Check




6. VAL IT Val IT est un ensemble structuré de pratiques clés de management se rapportant à la

gouvernance des systèmes d'information VAL IT comporte deux volets :

un aspect risques, qui conduit à des pratiques d'audit et à des référentiels de bonnes pratiques comme

COBIT

un aspect performance


6. VAL IT VAL IT répond à 4 : (Business Case) Faisons-nous les choses appropriées (right things) ?

Faisons-nous les choses de façon appropriée (right way) ?

Les tâches sont-elles effectuées correctement (done well) ?

En tirons-nous les bénéfices attendus ?


The strategic question

The architecture question

The value question

The delivery question

6. VAL IT Domaine 1 : Gouvernance de la Valeur (GV ou VG pour Value Governance) a pour objectif de s'assurer que :

le concept de valeur est présent dans les pratiques de management

le processus de décision est organisé

Les indicateurs sont fournis pour la vérification de l'atteinte des objectifs


6. VAL IT Domaine 1 : Gouvernance de la Valeur (GV ou VG pour Value Governance)

Liste des processus

VG1 : établir un leadership informé et impliqué,

VG2 : définir et mettre en place les processus (et les structures associées, les rôles, les responsabilités),

VG3 : définir les caractéristiques des différents portefeuilles de projets (composition, poids relatifs...),

VG4 : aligner et intégrer la gestion de la valeur dans la gestion financière de l'entreprise,

VG5 : établir une surveillance efficace de la gouvernance (et identifier les dérives),

VG6 : mettre en place un processus d'amélioration continue des pratiques.


6. VAL IT Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management) vise à optimiser à :

construire le portefeuille d'investissement

identifier les ressources nécessaires à chaque projet

définir les seuils d'investissement, évaluer, classer puis sélectionner (ou rejeter) les projets à lancer,

gérer globalement le portefeuille d'investissements en termes de risques et rentabilité

surveiller les performances et en rendre-compte


6. VAL IT Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management)

Liste des processus PM1 : établir une stratégie claire et définir la structure de la cible en termes d'investissements

PM2 : déterminer les sources et la disponibilité des budgets

PM3 : gérer la disponibilité des ressources humaines

PM4 : évaluer et sélectionner les programmes à financer

PM5 : monitorer et rendre compte de la performance des portefeuilles d'investissement

PM6 : optimiser la performance des portefeuilles par une revue régulière des opportunités et risques


6. VAL IT Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management )

vise à assurer :

la rentabilité de chaque investissement ou "programme"

L’amélioration des compétences des managers opérationnels dans :

a) l'identification des exigences de leur métier

b) la capacité d'apprécier les approches alternatives, c) la définition, rédaction et maintien des business cases détaillés au long de la vie du projet, d) l'affectation des responsabilités et de la propriété du projet, e) de la gestion du cycle de vie complet du programme, retrait inclus, f) du suivi régulier de la performance et des comptes-rendus


6. VAL IT Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management )

Liste des processus

IM1 : développer et évaluer le business case initial du programme

IM2 : comprendre les implications des candidats-programmes

IM3 : développer le plan du programme,

IM4 : préparer le budget sur le cycle de vie complet

IM5 : construire le business case complet, détaillé

IM6 : lancer le programme et gérer sa vie

IM7 : mettre à jour les portefeuilles opérationnels

IM8 : mettre à jour le business case à mesure de l'acquisition d'informations nouvelles

IM9 : monitorer le programme et rendre-compte

IM10 : procéder au retrait du programme en fin de vie


6. VAL IT


7. RISK IT RISK IT est le référentiel de management du système d’information et des technologies par

les risques RISK IT un guide de principes directeurs et de bonnes pratiques

RISK IT aide les entreprises à mettre en place une gouvernance ad hoc, à identifier et à gérer efficacement les risques informatiques

RISK IT comprend deux documents : Référentiel RISK IT

Guide Utilisateur RISK IT

aide à mettre en place le modèle détaille les concepts fournit de nombreux conseils cartographie s’appuyant sur 36 scénarios de risque informatique propose des bonnes pratiques de contrôle et de management tirées des référentiels COBIT et Val IT


7. RISK IT (Référentiel RISK IT)


Module 3 : Framework COBIT

Programme

1. Stratégie/Tactique/Opération 2. COBIT 3. COBIT Historique des Versions 4. Package COBIT

Framework COBIT

Framework COBIT

Tactique

Comment ?

Opérations

Y aller !

Stratégie

Où aller ?

STRATEGIE : C'est l'art de diriger et de coordonner des actions pour atteindre un objectif. La stratégie a un objectif global et à plus long terme

TACTIQUE : L'art d'utiliser de manière optimale les modes opératoires et les moyens dont on dispose, pour emporter un gain ou une décision

Framework COBIT

COBIT (Control Objectives for Information and related Technology, Objectifs de contrôle de l’Information et des Technologies Associées)

COBIT s’adresse à différents utilisateurs :

Le management pour lequel il offre un moyen d’aide à la décision

Les utilisateurs directs pour lesquels il permet d’apporter des garanties sur la sécurité et les contrôles des services informatiques

Les auditeurs et les consultants auxquels il propose des moyens d’interventions reconnus internationalement

Framework COBIT

Package COBIT Il comprend 6 publications : Executive summary (résumé de la vue d’ensemble de la méthodologie CobiT)

Framework (cadre de référence explicatif de la méthode, des domaines et processus)

Control objectives (215 objectifs de contrôle : ces objectifs sont directement orientés vers le management

et les équipes responsables des services informatiques)

Audit guidelines (le guide de l’audit) ; il s’agit de déceler, d’analyser et expliquer les failles d’un système et les risques qui en découlent ainsi que de leur apporter des solutions

Implementation Tool Set (les outils de la mise en œuvre du CobiT)

Management Guidelines (le guide du management modèle de maturité pour évaluer, sur une échelle de 5 degrés, le niveau d’évolution de chacun des processus

L’objectif est d’assurer l’adéquation durable entre les technologies, les processus métiers et la stratégie de l’entreprise

Framework COBIT

Framework COBIT

27001/2

Framework COBIT

Pourquoi COBIT ? savoir en particulier si la gestion des SI permet :

d'atteindre les objectifs

d'avoir assez de résilience pour apprendre et s'adapter

de gérer judicieusement les risques auxquels ils doivent faire face

de savoir bien identifier les opportunités et d'agir pour en tirer parti

aligner la stratégie de l'informatique sur celle de l'entreprise

assurer aux investisseurs et aux actionnaires que l'entreprise respecte une "norme de

prudence et de diligence" relative à la réduction des risques informatiques

répercuter la stratégie et les objectifs de l'informatique dans l'entreprise

Framework COBIT

Pourquoi COBIT ? savoir en particulier si la gestion des SI permet :

faire en sorte que l'investissement informatique produise de la valeur

apporter les structures qui faciliteront la mise en œuvre de cette stratégie et de ces

objectifs

susciter des relations constructives entre les métiers et l'informatique, et avec les partenaires externes

mesurer la performance des SI

d'établir un lien avec les exigences métiers de l'entreprise

de rendre leurs performances transparentes par rapport à ces exigences

d'organiser leurs activités selon un modèle de processus largement reconnu

d'identifier les principales ressources informatiques à mobiliser

de définir les objectifs de contrôle de management à envisager

Framework COBIT

COBIT pour Qui ?

Les parties prenantes internes à l’entreprise qui ont intérêt à voir les investissements

informatiques générer de la valeur sont :

celles qui prennent les décisions d’investissements celles qui définissent les exigences celles qui utilisent les services informatiques

Les parties prenantes internes et externes qui fournissent les services informatiques sont :

celles qui gèrent l’organisation et les processus informatiques celles qui en développent les capacités celles qui exploitent les systèmes d’information au quotidien

Les parties prenantes internes et externes qui ont des responsabilités dans le contrôle et le risque sont :

celles qui sont en charge de la sécurité, du respect de la vie privée et/ou des risques celles qui sont en charge des questions de conformité celles qui fournissent des services d’assurance ou qui en ont besoin

Framework COBIT

Quoi ? un cadre de référence pour la gouvernance et le contrôle des SI doivent respecter les spécifications générales suivantes : Fournir une vision métiers qui permette d’aligner les objectifs de l’informatique sur ceux de l’entreprise

Établir un schéma par processus qui définisse ce que chacun d’eux recouvre, avec une structure précise

qui permette de s’y retrouver facilement

Faire en sorte que l’ensemble puisse être généralement accepté, en se conformant aux meilleures pratiques et aux standards informatiques, et en restant indépendant des technologies spécifiques

Fournir un langage commun, avec son glossaire, qui puisse être généralement compris par toutes les parties prenantes

Aider à remplir les obligations réglementaires en se conformant aux standards généralement acceptés de la gouvernance des entreprises et du contrôle informatique tels que les pratiquent les régulateurs et les auditeurs externes

Framework COBIT

Basé sur les processus (4 domaines, 34 processus, 210 activités)

Planification/Organisation

Acquisition /Développement/Mise en place

Fonctionnement/Soutien

Surveillance/Evaluation/Contrôle/Suivi

Framework COBIT

Basé sur des Critères «Business » (7 critères) Efficacité

Efficience

Confidentialité

Intégrité

Disponibilité

Conformité

Fiabilité

youness

Highlight

Framework COBIT

1. L'Efficacité qualifie toute information pertinente utile aux processus métiers, livrée au moment

opportun, sous une forme correcte, cohérente et utilisable

2. L'Efficience qualifie la mise à disposition de l'information grâce à l'utilisation optimale (la plus productive et la plus économique) des ressources

3. La Confidentialité concerne la protection de l'information sensible contre toute divulgation non autorisée

4. L'Intégrité touche à l'exactitude et à l'exhaustivité de l'information ainsi qu'à sa validité au regard des valeurs de l'entreprise et de ses attentes

5. La Disponibilité qualifie l'information dont peut disposer un processus métier tant dans l'immédiat qu'à l'avenir. Elle concerne aussi la sauvegarde des ressources nécessaires et les moyens associés

6. La Conformité consiste à se conformer aux lois, aux réglementations et aux clauses contractuelles auxquelles le processus métier est soumis, c'est-à-dire aux critères professionnels imposés par l'extérieur comme par les politiques internes

7. La Fiabilité concerne la fourniture d'informations appropriées qui permettent au management de piloter l'entreprise et d'exercer ses responsabilités fiduciaires et de gouvernance

youness

Highlight

youness

Highlight

youness

Highlight

youness

Highlight

youness

Highlight

youness

Highlight

youness

Highlight

Framework COBIT

RESSOURCES INFORMATIQUES Les ressources informatiques identifiées par COBIT : Les applications sont, entre les mains des utilisateurs, les ressources logicielles automatisées et les

procédures manuelles qui traitent l'information.

L'information est constituée des données sous toutes leurs formes, saisies, traitées et restituées par le système informatique sous diverses présentations, et utilisées par les métiers.

L'infrastructure est constituée de la technologie et des équipements (machines, systèmes d'exploitation, systèmes de gestion de bases de données, réseaux, multimédia, ainsi que l'environnement qui les héberge et en permet le fonctionnement) qui permettent aux applications de traiter l'information.

Les personnes sont les ressources qui s'occupent de planifier, d'organiser, d'acheter, de mettre en place, de livrer, d'assister, de surveiller et d'évaluer les systèmes et les services informatiques. Ces personnes peuvent être internes, externes ou contractuelles selon les besoins.

Framework COBIT

RESSOURCES INFORMATIQUES

Framework COBIT

Gouvernance SI, focalisée sur 5 domaines : 1. Alignement stratégique

2. Création et gestion de la valeur

3. Mesure de la performance

4. Gestion des ressources

5. Gestion des risques

IT Governance

Resource Management

Framework COBIT

Framework COBIT

Contenu : pour chaque processus SI Description du processus

Objectifs , Ressources, Critères et Domaines de focalisation concernées

Indicateurs Identification des Objectifs de contrôle et des bonnes pratiques associées Directives pour le management

Entrants et sortants

Identification des activités et des indicateurs (métriques)

RACI (Responsible, Accountable, Consulted, Informed) pour chaque activité Niveaux de maturité (5 niveaux)

Framework COBIT

Chaque processus COBIT met en oeuvre des ressources informatiques (applications, informations, infrastructures et personnes au

sens compétences)

fournit une information destinée à satisfaire les besoins métiers exprimés sous formes de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité)

concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratégique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance)

Framework COBIT

Framework COBIT

Framework COBIT

Framework COBIT

youness

Highlight

youness

Highlight

Framework COBIT

COMMENT COBIT RÉPOND À CES BESOINS 1. Centré sur les métiers

2. Orienté processus

3. Basé sur des contrôles

4. Fondé sur la mesure

youness

Highlight

Framework COBIT

1. Centré sur les métiers

youness

Highlight

Framework COBIT

Framework COBIT

2. Orienté Processus

Le cadre COBIT propose un modèle de processus de référence et un langage commun gérer les activités

informatiques Un modèle de processus encourage la propriété des processus, ce qui favorise la définition des

responsabilités opérationnelles et des responsabilités finales (responsabilité de celui qui agit et responsabilité de celui qui est comptable du résultat)

Planifier et Organiser (PO) : fournit des orientations pour la fourniture de solutions (AI) et la

fourniture de services (DS)

Acquérir et Implémenter (AI) : fournit les solutions et les transmets pour les transformer en services

Délivrer et Supporter (DS) : reçoit les solutions et les rend utilisables par les utilisateurs finals

Surveiller et Evaluer (SE) : surveille tous les processus pour s'assurer que l'orientation fournie est respectée

DOMAINES COBIT : DOMAINE 1 : PLANIFIER ET ORGANISER (PO)

PO1 Définir un plan informatique stratégique

PO2 Définir l’architecture de l’information

PO3 Déterminer l’orientation technologique

PO4 Définir les processus, l’organisation et les relations de travail

PO5 Gérer les investissements informatiques

PO6 Faire connaître les buts et les orientations du management

PO7 Gérer les ressources humaines de l’informatique

PO8 Gérer la qualité

PO9 Évaluer et gérer les risques

PO10 Gérer les projets

Framework COBIT

DOMAINES COBIT : DOMAINE 2 : ACQUÉRIR ET IMPLÉMENTER (AI)

AI1 Trouver des solutions informatiques

AI2 Acquérir des applications et en assurer la maintenance

AI3 Acquérir une infrastructure technique et en assurer la maintenance

AI4 Faciliter le fonctionnement et l’utilisation

AI5 Acquérir des ressources informatiques

AI6 Gérer les changements

AI7 Installer et valider les solutions et les modifications

Framework COBIT

DOMAINES COBIT : DOMAINE 3 : DÉLIVRER ET SUPPORTER (DS)

DS1 Définir et gérer les niveaux de services DS2 Gérer les services tiers DS3 Gérer la performance et la capacité DS4 Assurer un service continu DS5 Assurer la sécurité des systèmes DS6 Identifier et imputer les coûts DS7 Instruire et former les utilisateurs DS8 Gérer le service d’assistance client et les incidents DS9 Gérer la configuration DS10 Gérer les problèmes DS11 Gérer les données DS12 Gérer l’environnement physique DS13 Gérer l’exploitation

Framework COBIT

DOMAINES COBIT : DOMAINE 4 : SURVEILLER ET EVALUER (SE)

SE1 Surveiller et évaluer la performance des SI

SE2 Surveiller et évaluer le contrôle interne

SE3 S’assurer de la conformité aux obligations externes

SE4 Mettre en place une gouvernance des SI

Framework COBIT

Framework COBIT

Framework COBIT

Les politiques, les procédures, les pratiques et les structures organisationnelles conçues

pour fournir l'assurance raisonnable que les objectifs métiers seront atteints et que les événements indésirables seront prévenus ou détectés et corrigés

Les objectifs de contrôle SI :

accroître la valeur ou à réduire le risque

fournir l'assurance raisonnable que les objectifs métiers seront atteints et que les événements

indésirables seront prévenus ou détectés et corrigés Le choix des objectifs de contrôle :

sélectionnant ceux qui sont applicables

désignant ceux qui seront mis en œuvre

choisissant la façon de les mettre en œuvre (fréquence, durée, automatisation, etc.)

acceptant le risque de ne pas mettre en œuvre des objectifs qui pourraient s'appliquer

3. Basé sur le contrôle

Framework COBIT

Framework COBIT

Chacun des processus informatiques de COBIT est associé à une description et à un certain nombre d'objectifs de contrôle

Les objectifs de contrôle sont identifiés par un domaine de référence à deux caractères (PO,

AI, DS et SE), plus un numéro de processus et un numéro d'objectif de contrôle

PC1 Buts et objectifs du processus Définir et communiquer des buts et objectifs spécifiques, mesurables, incitatifs, réalistes, axés sur les résultats et opportuns (SMARRT, Specific, Measurable, Actionable, Realistic, Results-oriented and Timely) pour l'exécution efficace de chaque processus informatique. S'assurer qu'ils sont reliés aux objectifs métiers et soutenus par des métriques adaptées PC2 Propriété des processus Affecter un propriétaire à chaque processus informatique et définir clairement les rôles et les responsabilités du propriétaire du processus PC3 Reproductibilité du processus Définir et mettre en place chaque processus informatique clé de façon à ce qu'il soit reproductible et qu'il produise invariablement les résultats escomptés. Fournir un enchaînement logique, flexible et évolutif d'activités qui conduiront aux résultats souhaités et suffisamment souple pour gérer les exceptions et les urgences

Framework COBIT

PC4 Rôles et Responsabilités Définir les activités clés et les livrables finaux du processus Attribuer et communiquer des rôles et responsabilités non ambigus, pour une exécution efficace et

efficiente des activités clés et de leur documentation, ainsi que la responsabilité des livrables finaux du processus

PC5 Politique, Plans et Procédures Déterminer et indiquer comment tous les plans, les politiques et les procédures qui génèrent un

processus informatique sont documentés, étudiés, gérés, validés, stockés, communiqués et utilisés pour la formation

Répartir les responsabilités pour chacune de ces activités et, au moment opportun, vérifier si elles sont correctement effectuées

S'assurer que les politiques, plans et procédures sont accessibles, corrects, compris et à jour

PC6 Amélioration des performances du processus Identifier un ensemble de métriques fournissant des indications sur les résultats et les performances du

processus Définir des cibles reflétant les objectifs du processus et des indicateurs de performance permettant

d'atteindre les objectifs du processus Définir le mode d'obtention des données Comparer les mesures réelles et les objectifs et, si nécessaire, prendre des mesures pour corriger les

écarts Aligner les métriques, les objectifs et les méthodes avec l'approche globale de surveillance des

performances des SI

Framework COBIT

4. Fondé sur la Mesure Les modèles de maturité sont créés à partir du modèle qualitatif général auquel on ajoute progressivement, de niveau en niveau, des principes issus des attributs suivants :

sensibilisation et communication politiques, plans et procédures outils et automatisation compétences et expertise responsabilité opérationnelle et responsabilité finale désignation des objectifs et métriques

Framework COBIT

Framework COBIT

Documents

Support Cours Cobit Gouvernance SI PartieI&II (1)