| Introduction à COBIT |  |
COBIT
Gouvernance des systèmes d'information
COBIT un modèle de référence utilisé pour l'audit et la maîtrise des systèmes d'information.
En quoi le référentiel COBIT peut vous être utile?
- Comme source d'idées sur les meilleurs pratiques, processus, rôles et livrables
- D'accélerer l'amélioration en suggérant les priorités, la cible et les solutions possibles
- De comparer le niveau de maturité d'une organisation informatique
- De donner des règles du jeux, de "gouverner"
- De pouvoir atteindre et de démontrer la conformité à une norme.
Le modèle COBIT est centré sur la gourvernance des processus de gestion d'une direction informatique.
"La Gouvernance des Technologies de l'Information contient une structure de relations et processus pour diriger et contrôler l'entreprise dans le but d'atteindre les objectifs de l'entreprise en ajoutant de la valeur tout en équilibrant le risque versus le rendement des TI et de ses processus."
La Gouvernance des TI permet de répondre aux questions suivantes:
- Comment sont prises les décisions?
- Qui prend les décisions?
- Qui est tenu pour responsable?
- Comment le résultat des décisions est-il mesuré et suivi?
- Quels sont les risques?
La Gouvernance des TI est un cercle vertueux permettant d'orienter et de contrôler les processus de gestion en:
- Donnant les orientations stratégiques des différents processus de gestion,
- Utilisant les processus métier pour fournir les services demandés,
- Chaque processus métier doit rendre compte de l'accomplissement de ses objectifs
- De controler le bon déroulement des processus et de les améliorer au besoin en définissant de nouvelles orientations.
Le cercle vertueux de la Gouvernance d'un système d'information
La clef de la gouvernance est le Contrôle permettant d'atteindre des objectifs dans une des catégories suivantes:
- Effectivité et efficacité des opérations
- Fiabilité des informations, notamment financières
- Conformité avec les lois, règlements et engagements contractuels applicables
Domaines du COBIT
COBIT 318 objectifs de contrôle détaillés regroupés en 34 objectifs de contrôles de haut niveau correspondant à des processus de gestion, d'où le terme de COBIT: Control Objectifs for Information Technologie.
Les processus de COBIT sont regroupés en quatre domaines:
- Planning et organisation :
- Choix de la stratégie permettant d'identifier les meilleures solutions informatiques pour permettre d'atteindre des objectifs métiers.
- Mise en place de la stratégie, plannification, communication et gestion selon différentes perspectives.
- Acquisition et mise en place
- Création ou achat de solutions informatiques leur intégration aux processus métiers.
- Gestion du changement et de la maintenance.
- Fourniture et soutien
- Fourniture des services métiers disponibilité,
- Sécurisation, disponibilité des services
- Surveillance
- Mesure de la qualité des processus
- Mesure de l'atteinte des objectifs des processus
- Controle et de amélioration de l'organisaiton et des processus
Les domaines COBIT
Processus de COBIT
Chaque domaine contient un ensemble de processus. COBIT décrit 34 processus de gestion correspondant chacun à un Objectif de contrôle de haut niveau, les 34 objectifs de contrôle de haut niveau regroupent 318 objectifs de contrôles détaillés.
| Domaine | # processus | Processus / Objectfs de controle de haut niveau |
| Planning & Organisation | PO1 | Define a strategic IT plan |
| PO2 | Define the information architecture | |
| PO3 | Determine technological direction | |
| PO4 | Define the IT organisation and relationships | |
| PO5 | Manage the IT investment | |
| PO6 | Communicate management aims and direction | |
| PO7 | Manage human resources | |
| PO8 | Ensure compliance with external requirements | |
| PO9 | Assess risks | |
| PO10 | Manage projects | |
| PO11 | Manage quality | |
| Acquisition & Implementation | AI1 | Identify automated solutions |
| AI2 | Acquire and maintain application software | |
| AI3 | Acquire and maintain technology infrastructure | |
| AI4 | Develop and maintain procedures | |
| AI5 | Install and accredit systems | |
| AI6 | Manage changes | |
| Delivery & Support | DS1 | Define and manage service levels |
| DS2 | Manage third-party services | |
| DS3 | Manage performance and capacity | |
| DS4 | Ensure continuous service | |
| DS5 | Ensure systems security | |
| DS6 | Identify and allocate costs | |
| DS7 | Educate and train users | |
| DS8 | Assist and advise customers | |
| DS9 | Manage the configuration | |
| DS10 | Manage problems and incidents | |
| DS11 | Manage data | |
| DS12 | Manage facilities | |
| DS13 | Manage operations | |
| Monitoring | M1 | Monitor the processes |
| M2 | Assess internal control adequacy | |
| M3 | Obtain independent assurance | |
| M4 | Provide for independent audit |
Les processus de COBIT sont décrit dans des documents PDF téléchargeables gratuitement sur www.isaca.org:
COBIT QuickStart
Une introduction générale à COBIT.
COBIT Framework
Description des 34 processus et des objectifs de contrôle associés.
COBIT Control objectives
Description des objectfs de controle détaillé pour les 34 processus de COBIT
Management Guideline
Document orienté action permettant de répondre aux questions suivantes:
- Jusqu'où devons nous aller?
- Où se trouve l'équilibre coût / bénéfice?
- Quels sont les indicateurs de performance?
- Quels sont les facteurs clefs du succès?
- Quels sont les risques si les objectifs ne sont pas accomplis?
- Comment évaluer notre situation?
COBIT Toolset
Guide décrivant les activités pour utiliser COBIT.
Framework COBIT
Le framework COBIT définit 3 critères de haut niveaux applicables sur les informations produites par le processus:
- Qualité
- Sécurité
- Financier
Ces 3 critères de haut niveau se décomposent en 7 critères détaillés applicables sur les informations produites:
- Effectivité
(effectiveness)
- Pertience, livraison à temps, corretement et utilisable.
- Efficacité
(efficiency)
- Mesure l'efficacité, le rendement, les ressoucres utilisées par rapport aux résultats produits
- Confidentialité
(Confidentiality)
- Protection des informations confidentielles
- Intégrité
(Integrity)
- Cohérence et la complétude des informations produites et leur validitées en fonction des attentes du métier.
- Disponibilité
(Availability)
- Disponibilité des informations lorsque le métier en a besoin, et sauvegarde pour utilisation lorsque le métier en aura besoin..
- Conformité (Compliance)
- Compatibilité avec les lois ou contrats, avec les contraintes externes à l'entreprise.
- Fiabilité
(Reliability)
- Fiabilité de l'information produite à la direction.
L'impact du processus sur le critère d'information peut être Primaire, Secondaire, ou vide.
Les processus ont une responsabilité plus ou moins importante dans la gestion des ressources:
- Personnel
- Applications
- Technologies
- Equipements
- Données
Le lien entre les processus et les ressources ne mesure pas le niveau d'utilisation, mais le niveau de management de la ressource par le processus COBIT.
Exemple de description d'un processus dans le framework COBIT :
Management Guideline COBIT
Le guide de management COBIT permet de:
- Situer le niveau de maturité des 34 processus par rapport à un modèle de maturité
- Définir les facteurs clefs de succès de chaque processus
- Mesurer l'accomplissement des objectifs
- Définir des indicateurs de performance
Le modèle de maturité de COBIT
Le modèle de maturité permet d'évaluer le niveau de chaque processus de gestion. Le modèle contient 5 niveaux de maturité:
| Niveau | Nom | Description |
| 0 | Non-existent | Les processus de gestion ne sont pas appliqués |
| 1 | Initial | Les processus sont ad hoc et desorganisés |
| 2 | Repeatable | Les processus suivent un modèle répétable |
| 3 | Defined | Les processus sont formalisés et communiqués |
| 4 | Managed | Les processus sont suveillés et mesurés |
| 5 | Optimised | L'amélioration du processus est géré |
Le modèle de maturité permet de définir:
- La situation actuelle de l'organisation
- La situation des entreprises dans un domaines métier équivalent
- Les standards internationnaux
- La stratégie d'amélioration de l'entreprise, là où elle souhaite aller
Le Management Guideline COBIT décrit les 5 niveaux de maturité pour chacun des 34 processus de gestion, permettant la définition précise du niveau de maturité d'une organisation informatique.
Les facteurs clefs de succés (FCS)
Les FCSdécrivent les points et actions les plus importantes permettant à la direction de renforcer le Controle sur les processus de gestion. Les FCS décrivent les choses les plus importantes à faire pour que les processus de gestion des TI atteignent leurs objectifs et qui concernent:
- La stratégie,
- La technique,
- L'organisation,
- Les processus et procédures.
Les FCS sont définis à différents niveaux: stratégique, tactique et opérationnel.
Les Indicateurs clefs d'objectifs (KGI)
Indicateurs mesurant le QUOI, l'accomplissement des objectifs des processus de COBIT sur les axes utilisateur et financier:
- Disponibilité des informations pour supporter les besoins du métier,
- Absence de risque sur l'intégrité ou la confidentialité,
- Cout des processus et des opérations
- Confirmation de fiabilité, d'effectivité et de conformité des processus
Ils sont exprimés par une valeur (pourcentage par exemple), une tendance (haussière, plate, baissière) et l'écart par rapport à la cible.
Les indicateurs clefs de performance (KPI)
Indicateurs mesurant comment les processus et organisation utilisent les ressources pour atteindre leurs objectifs. Ces indicateurs concernent la performance des processus internes mais aussi le niveau de compétences et d'innovation.
Exemple:
Pour aller plus loin:
Les documents officiels de COBIT en anglais: www.isaca.org
Le site de l'AFAI contenant des documents traduits en français, et les documents de COBIT traduit en français (livres): http://www.afai.fr
IT gouvernance institute: http://www.itgi.org/
Un article simple de présentation de COBIT en français : http://www.guideinformatique.com