CoBIT V0 18 19 06 2011

2003 Acadys - all rights reserved
Salah Eddine MAHRACH, CRISC

smahrach@menara.ma
2
Sommaire
I. Introduction
II. CoBIT et ses quatre domaines:
1. PO: Planifier et Organiser
2. AI: Acqurir et Implmenter
3. DS: Distribuer et Supporter
4. SE: Surveiller et Evaluer
III. Annexes:
1. Documents de rfrence de COBIT
2. Glossaire
3. QCM

3
Introduction
Le concept dindustrie du savoir contient
suffisamment de dynamite pour envoyer les
conomies traditionnelles sur orbite
Ken Boulding
Pour beaucoup d'entreprises, l'information et la technologie sur
laquelle elle s'appuie constituent les actifs les plus prcieux, mme
si elles sont souvent les moins bien perues.
4
Introduction
Valeur, risque et contrle constituent le cur de la gouvernance
des SI.
Le besoin de s'assurer de la valeur des SI, la gestion des risques
qui leur sont lis et les exigences croissantes de contrle sur
l'information sont dsormais reconnus comme des lments cls
de la gouvernance d'entreprise.
5
LIT Governance
La gouvernance des SI est de la responsabilit des dirigeants et du
conseil d'administration, et elle est constitue des structures et
processus de commandement et de fonctionnement qui conduisent
l'informatique de l'entreprise soutenir les stratgies et les objectifs
de l'entreprise, et lui permettre de les largir.

6
Domaines de lIT Governance
IT
Governance
Gestion
des Ressources
7
Domaines de lIT Governance
8
CoBIT: Cadre de rfrence
La mission de COBIT :

Elle consiste imaginer, mettre au point, publier et promouvoir un
cadre de rfrence de contrle de la gouvernance des SI, actualis,
reconnu dans le monde entier et faisant autorit. Ce cadre de
rfrence devra tre adopt par les entreprises et utilis
quotidiennement par les dirigeants, les professionnels de
l'informatique et les professionnels de l'assurance.
9
CoBIT: Cadre de rfrence
Centr sur les mtiers:
10
CoBIT: Critres dInformation de CoBIT
- Efficacit : la mesure par laquelle linformation contribue au rsultat des processus mtier par rapport
aux objectifs fixs ;

- Efficience : la mesure par laquelle linformation contribue au rsultat des processus mtier au
meilleur cot ;

- Confidentialit : la mesure par laquelle linformation est protge des accs non autoriss ;

- Intgrit : la mesure par laquelle linformation correspond la ralit de la situation ;

- Disponibilit : la mesure par laquelle linformation est disponible pour les destinataires en temps
voulu ;

- Conformit : la mesure par laquelle les processus sont en conformit avec les lois, les rglements et
les contrats ;

- Fiabilit : la mesure par laquelle linformation de pilotage est pertinente.
11
CoBIT: Ressources Informatiques
- Application : les systmes automatiss et les procdures pour traiter linformation.
- Personnes : les ressources humaines ncessaires pour organiser, planifier, acqurir,
dlivrer, supporter, surveiller et valuer les systmes dinformation et les services.
- Information : les donnes, comme entres ou sorties des systmes
dinformation, quelle que soit leur forme.
- Infrastructure : les technologies et les installations qui permettent le traitement des
applications.
12
CoBIT: Orient Processus
13
CoBIT: Les quatre domaines interdpendants de CoBIT
14
Domaine 1: Planifier et organiser
Les stratgies de l'entreprise et de l'informatique sont-elles
alignes ?
L'entreprise fait-elle un usage optimum de ses ressources ?
Est-ce que tout le monde dans l'entreprise comprend les
objectifs de l'informatique ?
Les risques informatiques sont-ils compris et grs ?
La qualit des systmes informatiques est-elle adapte aux
besoins mtiers ?
15
Domaine 2: Acqurir et implmenter
Est-on sr que les nouveaux projets vont fournir des solutions
qui correspondent aux besoins mtiers ?
Est-on sr que les nouveaux projets aboutiront en temps voulu
et dans les limites budgtaires ?
Les nouveaux systmes fonctionneront-ils correctement
lorsqu'ils seront mis en oeuvre ?
Les changements pourront-ils avoir lieu sans perturber les
oprations en cours ?
16
Domaine 3: Dlivrer et Support
Les services informatiques sont-ils fournis en tenant compte
des priorits mtiers ?
Les cots informatiques sont-ils optimiss ?
Les employs sont-ils capables d'utiliser les systmes
informatiques de faon productive et sre ?
La confidentialit, l'intgrit et la disponibilit sont-elles mises
en oeuvre pour la scurit de l'information ?
17
Domaine 4: Surveiller et Evaluer
La performance de l'informatique est-elle mesure de faon ce
que les problmes soient mis en vidence avant qu'il ne soit
trop tard ?
Le management s'assure-t-il que les contrles internes sont
efficaces et efficients ?
La performance de l'informatique peut-elle tre relie aux
objectifs mtiers ?
Des contrles de confidentialit, d'intgrit et de disponibilit
appropris sont-ils mis en place pour la scurit de
l'information ?
18
( + w +
Marquons une pause !!!!!!!!!!!!!!!!!!

19
CoBIT et les Contrles:
Les contrles gnraux sont ceux qui sont intgrs aux
processus et aux services informatiques. Ils concernent, par
exemple :
le dveloppement des systmes,
la gestion des changements,
la scurit,
l'exploitation.
On appelle communment "contrles applicatifs" les contrles
intgrs aux applications des processus mtiers. Ils
concernent, par exemple :
l'exhaustivit,
l'exactitude,
la validit,
l'autorisation,
la sparation des tches.
20
CoBIT et les modles de maturit
Que font nos confrres/concurrents et comment sommes-nous
positionns par rapport eux ?

Quelles sont les bonnes pratiques acceptables du march et
comment nous situons-nous par rapport elles ?

D'aprs ces comparaisons, peut-on dire que nous en faisons
assez ?

Comment identifie-t-on ce qu'il y a faire pour atteindre un
niveau appropri de gestion et de contrle de nos processus
informatiques ?
21
CoBIT et le modle de maturit
22
CoBIT et le modle de maturit
0: Inexistant
1: Initialis au cas par cas
2: Reproductible mais intuitif
3: dfini
4: Gr et mesurable
5: Optimis

23
Le cube CoBIT
24
Le cadre gnrale de CoBIT
25

Domaine CoBIT
Planifier et Organiser
26
PO1 Dfinir un plan informatique stratgique
PO2 Dfinir larchitecture de linformation
PO3 Dterminer lorientation technologique
PO4 Dfinir les processus, lorganisation et les relations de travail
PO5 Grer les investissements informatiques
PO6 Faire connatre les buts et les orientations du management
PO7 Grer les ressources humaines de linformatique
PO8 Grer la qualit
PO9 valuer et grer les risques
PO10 Grer les projets
27
Un plan de stratgie informatique est ncessaire pour grer et
orienter toutes les ressources informatiques vers les priorits
stratgiques de lentreprise. La DSI et les parties prenantes de
lentreprise ont la responsabilit de sassurer que la meilleure valeur
possible est obtenue des portefeuilles de projets et de services
28
Reprsentation schmatique des flux internes du processus PO1
29

30
PO2 Dfinir l'architecture de linformation
Les responsables des systmes informatiques doivent crer et
mettre rgulirement jour un modle dinformation de lentreprise et
dterminer quels sont les systmes appropris susceptibles
doptimiser lutilisation de cette information. Cela comprend
llaboration dun dictionnaire des donnes de lentreprise, des
rgles de syntaxe de donnes propres lentreprise, dun systme
de classification des donnes et de niveaux de scurit.
31

32

33
( + w +

34
PO3 Dterminer l'orientation technologique
Le SI dtermine lorientation technologique susceptible de favoriser
lactivit de lentreprise. Cela exige la cration et la maintenance d'un
plan d'infrastructure technologique et dun comit architecture des TI
qui fixe et gre les attentes clairement exprimes et ralistes de ce
que la technologie peut offrir en termes de produits, services et
mcanismes de livraison.
35
36

37
PO4 Dfinir les processus, l'organisation et les relations
de travail
On dfinit lorganisation de linformatique en prenant en compte les
besoins en personnel et en comptences, en prvoyant les
fonctions, les rles et les responsabilits, la supervision, lautorit, et
en sachant qui rend des comptes qui. Cette organisation fait partie
dun cadre de rfrence de processus informatiques qui assure la
transparence et le contrle ainsi que limplication de la direction
gnrale et de la direction oprationnelle.
38
de travail

39
de travail

40
Mettre en place et maintenir le budget oprationnel, pour les
programmes dinvestissements informatiques, un cadre de rfrence
qui couvre les cots, les bnfices, les priorits budgtaires, un
processus de budgtisation formalis et une gestion conforme au
budget. Travailler avec les parties prenantes pour identifier et
contrler les cots et bnfices totaux dans le contexte des plans
stratgiques et tactiques informatiques et initier des mesures
correctives lorsque cest ncessaire.
41

42

43
PO6 Faire connatre les buts et orientations du management

Le management dveloppe un cadre de contrle des SI pour
lentreprise, dfinit et communique les politiques. Il met en place un
programme de communication permanent, approuv et soutenu par
le management, pour articuler la mission, les objectifs de fourniture
de services, les politiques et les procdures, etc.
44

45

46
Engager et conserver des collaborateurs comptents pour la cration
et la fourniture de services informatiques lentreprise. Pour y arriver
il faut suivre des pratiques dfinies et approuves en matire de
recrutement, de formation, dvaluation, de promotion, et de dpart.
Ce processus est critique car les personnes constituent un actif
important, et la gouvernance et lenvironnement de contrle interne
dpendent normment de la motivation et de la comptence du
personnel.
47

48

49
PO8 Grer la qualit
Un systme de gestion de la qualit est dvelopp et actualis, ce
qui implique des processus et des standards de dveloppement et
dachat prouvs. Ceci est rendu possible par la planification, la mise
en place et lactualisation dun systme de gestion de la qualit, et
par des exigences, des procdures et des politiques de qualit
clairement dfinies.
50
PO8 Grer la qualit

51
PO8 Grer la qualit

52
Un rfrentiel de gestion des risques est cr et maintenu niveau.
Ce rfrentiel documente un niveau commun et agr de risques
informatiques, de stratgies pour les rduire et de risques rsiduels.
Tout impact potentiel dun vnement imprvu sur les objectifs de
lentreprise est identifi, analys, et valu.
53

54

55
Un programme et un cadre de rfrence de gestion de projets pour
la gestion de tous les projets informatiques est en place. Ce cadre
permet de sassurer que tous les projets sont correctement
coordonns et que les priorits sont tablies. Il prvoit un plan
matre, lattribution de ressources, la dfinition des livrables,
lapprobation par les utilisateurs, une approche de livraison par
tapes, une assurance qualit, un plan de tests formalis, des tests
et une revue aprs mise en place pour sassurer que la gestion des
risques et que lapport de valeur lentreprise sont effectives
56

57

58

Domaine CoBIT
Acqurir et Implmenter
59
AI1 Trouver des solutions informatiques
AI2 Acqurir des applications et en assurer la maintenance
AI3 Acqurir une infrastructure technique et en assurer la maintenance
AI4 Faciliter le fonctionnement et lutilisation
AI5 Acqurir des ressources informatiques
AI6 Grer les changements
AI7 Installer et valider les solutions et les modifications
60
Le besoin dune nouvelle application ou fonction impose une analyse
avant achat ou cration pour sassurer que les exigences des
mtiers seront satisfaites grce une approche efficace et efficiente.
Ce processus recouvre la dfinition des besoins, la prise en compte
de sources alternatives, lanalyse de la faisabilit technique et
conomique, lanalyse des risques et du rapport cots/bnfices, et
la dcision finale qui tranchera entre faire ou acheter.
61

Reprsentation schmatique des flux internes du processus AI 1
62

63
AI2 Acqurir des applications et en assurer la maintenance
Les applications sont rendues disponibles en fonction des exigences
des mtiers. Ce processus recouvre la conception des applications,
les contrles applicatifs et les exigences de scurit appropris quil
faut y inclure, ainsi que leur dveloppement et leur configuration
conformment aux standards. Cela permet aux entreprises de
disposer des applications informatiques qui conviennent pour
supporter correctement les tches mtiers
64
AI2 Acqurir des applications et en assurer la
maintenance

65
AI2 Acqurir des applications et en assurer la
maintenance

66
( + w +
Marquons un stop !!!!!!!!!!!!!!!!!!
67
AI3 Acqurir une infrastructure technique et en assurer la
maintenance
Une entreprise dispose de processus pour lacquisition, la mise en
place et la mise niveau de son infrastructure technique. Cela exige
une approche planifie de lacquisition, de la maintenance et de la
protection de linfrastructure en accord avec les stratgies
technologiques adoptes et de disposer denvironnements de
dveloppement et de tests. On est ainsi sr de disposer dun support
technique permanent pour les applications mtiers.
68
maintenance

69
maintenance

70
Les connaissances sur les nouveaux systmes sont rendues
disponibles. Ce processus impose de produire de la documentation
et des manuels pour les utilisateurs et pour linformatique, et de
proposer des formations pour assurer une bonne utilisation et un bon
fonctionnement des applications et de linfrastructure.
71

72

73
On a besoin dacqurir des ressources informatiques. Elles
comprennent les personnes, le matriel, le logiciel et les services.
Cela exige de dfinir et dappliquer des procdures de recrutement
et dachat, la slection des fournisseurs, ltablissement
darrangements contractuels, et lacte lui-mme de se procurer ces
ressources. Cest ainsi quon peut assurer lentreprise toutes les
ressources informatiques requises au bon moment et au meilleur
cot.
74

75

76
Tous les changements, y compris la maintenance et les correctifs
durgence, concernant linfrastructure et les applications de
lenvironnement de production sont grs et contrls de faon
formelle. Les changements (y compris ceux relatifs aux procdures,
processus, paramtres systmes et services) sont enregistrs dans
un fichier, valus et autoriss avant mise en place, et confronts
aux rsultats attendus ds leur mise en oeuvre. Cela rduit les
risques de consquences ngatives pour la stabilit ou lintgrit de
lenvironnement de production
77

78

79
Il faut mettre en exploitation les nouveaux systmes lorsque la phase
de dveloppement est acheve. Cela exige deffectuer les bons tests
sur les donnes dans un environnement ddi, de dfinir les
instructions de dploiement et de migration, un planning de livraison
et la mise en production proprement dite, et des revues aprs mise
en place. Cela garantit que les systmes oprationnels sont en
phase avec les attentes et les rsultats recherchs.
80

81

82
( + w +

83

Domaine CoBIT
Dlivrer et Supporter
84
DS1 Dfinir et grer les niveaux de services
DS2 Grer les services tiers
DS3 Grer la performance et la capacit
DS4 Assurer un service continu
DS5 Assurer la scurit des systmes
DS6 Identifier et imputer les cots
DS7 Instruire et former les utilisateurs
DS8 Grer le service dassistance client et les incidents
DS9 Grer la configuration
DS10 Grer les problmes
DS11 Grer les donnes
DS12 Grer lenvironnement physique
DS13 Grer lexploitation
85
Une communication efficace entre les responsables informatiques et
les clients mtiers propos des services demands est facilite par
des accords sur les services informatiques et sur les niveaux de
services, et par leur dfinition et leur documentation
86

Reprsentation schmatique des flux internes du processus DS 1
87

88
Le besoin de garantir que les services fournis par des tiers
(fournisseurs et partenaires) satisfont les exigences des mtiers
impose un processus de gestion des services tiers. Ce processus
exige de dfinir clairement les rles, responsabilits et les attentes
dans les contrats avec des tiers, et aussi deffectuer des revues et
une surveillance de lefficacit et de la conformit de tels contrats.
89

90

91
La bonne gestion des performances et des capacits des ressources
informatiques exige quun processus les passe rgulirement en
revue. Ce processus comporte la prvision des besoins futurs en
fonction des exigences de charge de travail, de stockage et des
imprvus. Ce processus assure que les ressources informatiques qui
appuient les exigences des mtiers sont constamment disponibles.
92

93

94
Le besoin dassurer la continuit des services informatiques exige de
dvelopper, de maintenir et de tester des plans de continuit des SI,
dutiliser des capacits de stockage de sauvegardes hors site et
dassurer une formation priodique au plan de continuit. Un
processus de service continu efficace rduit les risques et les
consquences dune interruption majeure des services informatiques
aux fonctions et processus mtiers cls.
95

96

97
Le besoin de maintenir lintgrit de linformation et de protger les
actifs informatiques exige un processus de gestion de la scurit. Ce
processus comporte la mise en place et la maintenance de rles et
responsabilits, politiques, plans et procdures informatiques. La
gestion de la scurit implique aussi une surveillance de la scurit,
des tests priodiques et des actions correctives lors dincidents ou
de dcouverte de failles dans la scurit.
98

99

100
( + w +

101
La ncessit dun systme loyal et quitable pour affecter les cots
informatiques aux mtiers exige quils soient chiffrs avec prcision
et quun accord soit conclu avec les utilisateurs mtiers sur une juste
rpartition.
102

103

104
La formation efficace de tous les utilisateurs des systmes
informatiques, y compris les informaticiens, exige de connatre les
besoins en formation de chaque groupe dutilisateurs. Outre
lidentification des besoins, ce processus doit aussi dfinir et mettre
en oeuvre une stratgie de formation efficace et en mesurer les
rsultats.
105

106

107
Apporter des rponses efficaces et au bon moment aux requtes et
aux problmes des utilisateurs exige un processus bien conduit de
gestion du service dassistance et de gestion des incidents. Ce
processus comporte la mise en place dun service dassistance qui
soccupe de l'enregistrement et de l'escalade des incidents, de
lanalyse des tendances et des causes, et des solutions
108

109

110
Assurer lintgrit des configurations matrielles et logicielles exige de
constituer et de tenir jour un rfrentiel de configuration prcis et complet.
Ce processus doit comporter la collecte des informations de la configuration
initiale, ltablissement de configurations de base, la vrification et laudit des
informations de configuration, et la mise jour du rfrentiel de configuration
lorsque cest ncessaire. Une gestion efficace de la configuration facilite une
plus grande disponibilit du systme, la rduction des problmes de
production et une rsolution plus rapide de ceux-ci.
111

112

113
Une gestion efficace des problmes exige de les identifier, de les classer,
danalyser leurs causes initiales et de leur trouver des solutions. Le processus
de gestion des problmes implique aussi de formuler des recommandations
damlioration, de tenir jour les enregistrements des problmes et de vrifier
o en sont les actions correctives. Un processus efficace de gestion des
problmes favorise la disponibilit des systmes, amliore les niveaux de
services, rduit les cots, rpond mieux aux besoins des clients et augmente
donc leur satisfaction.
114

115

116
Une gestion efficace des donnes impose didentifier les exigences
qui les concernent. Le processus de gestion des donnes ncessite
aussi de mettre en place des procdures efficaces pour grer la
mdiathque, les sauvegardes et la restauration des donnes, et
llimination des mdias de faon approprie. Une gestion efficace
des donnes aide garantir la qualit et la disponibilit au moment
opportun des donnes mtiers.
117

118

119
La protection des quipements informatiques et du personnel exige
des installations matrielles bien conues et bien gres. Le
processus de gestion de lenvironnement matriel comporte la
dfinition des exigences du site physique, le choix des installations
adquates et la conception de processus efficaces de surveillance
des facteurs environnementaux et de gestion des accs physiques.
120

121

122
Pour un traitement complet et exact des donnes il faut une gestion
efficace des procdures de traitement des donnes et une
maintenance applique du matriel informatique. Ce processus
implique de dfinir des politiques et des procdures dexploitation
ncessaires une gestion efficace des traitements programms, de
protger les sorties sensibles, de surveiller linfrastructure et
deffectuer une maintenance prventive du matriel
123

124

125

Domaine CoBIT
Surveiller et Evaluer
126
SE1 Surveiller et valuer la performance des SI
SE2 Surveiller et valuer le contrle interne
SE3 Sassurer de la conformit aux obligations externes
SE4 Mettre en place une gouvernance des SI
127
SE1 Surveiller et valuer les performances des SI
Une gestion efficace des SI exige un processus de surveillance. Ce
processus inclut la dfinition d'indicateurs pertinents de performance,
la publication systmatique et en temps opportun de rapports sur la
performance, et une raction rapide aux anomalies. Il faut une
surveillance pour sassurer quon fait ce quil faut conformment aux
orientations et aux politiques dfinies.
128

Reprsentation schmatique des flux internes du processus SE 1
129

130
tablir un programme efficace de contrle interne de linformatique
impose de bien dfinir un processus de surveillance. Ce processus
comporte la surveillance et les rapports sur les anomalies releves,
les rsultats des autovaluations et des revues par des tiers.
131

132

133
Un processus de revue est ncessaire pour garantir efficacement la
conformit aux lois, aux rglements et aux obligations contractuelles.
Ce processus implique didentifier les obligations de conformit,
dvaluer et doptimiser la rponse donner, davoir lassurance
dtre conforme aux obligations et, au final, dintgrer les rapports sur
la conformit des SI ceux du reste de lentreprise.
134

135

136
Mettre en place un rfrentiel de gouvernance efficace impose de
dfinir des structures organisationnelles, des processus, un
leadership, des rles et des responsabilits pour sassurer que les
investissements informatiques de lentreprise sont aligns sur ses
stratgies et ses objectifs et quils travaillent pour eux.
137

138

139
Merci pour votre attention

CoBIT V0 18 19 06 2011

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CoBIT V0 18 19 06 2011

Transféré par

Droits d'auteur :

Formats disponibles

2003 Acadys - all rights reserved

Salah Eddine MAHRACH, CRISC

Vous aimerez peut-être aussi