Le COBIT - L'état de L'art

Le COBIT : Ltat de lArt
Socle de la gouvernance des SI
CNAM 2008 / 2009 GLG102 TECHNIQUES ET NORMES POUR LA QUALITE DU LOGICIEL
AUDITEUR
AUDITEUR
Eric LELEU
NUMERO DAUDITEUR
NPC008029
HISTORIQUE DES MODIFICATIONS
DATE
15/01/200 9 28/01/200 9 29/01/200 9
AUTEUR
Eric LELEU Eric LELEU Eric LELEU
DESCRIPTION
Cration Rdaction Mise en forme, correction et validation
VERSION
V_1.0 V_2.0 V_3.0
Le COBIT : Socle de la gouvernance des SI
Dossier ralis par Eric LELEU CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel
LE COBIT : LETAT DE LART

SOCLE DE LA GOUVERNANCE DES SI
SOMMAIRE
PREAMBULE .................................................................................................................................... 3 I LA GOUVERNANCE : DE QUOI S'AGIT-IL ? .............................................................................................. 4 II LE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI............................................................................ 5 III DEFINITION ............................................................................................................................... 6 IV LES OBJECTIFS DU COBIT.............................................................................................................. 8 V LES DOMAINES DU COBIT ............................................................................................................. 10 VI LE COBIT POUR L'AUDITEUR INFORMATIQUE..................................................................................... 11 VII - COMMENT EST UTILISE LE COBIT ................................................................................................... 12 VIII LE COBIT : RAPPROCHEMENT ENTRE AUDIT INTERNE ET DSI .......................................................... 14 IX - CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI ....................................................................... 14 X - PRESENTATION DES 34 PROCESSUS .................................................................................................... 15 A LA PLANIFICATION & LORGANISATION .......................................................................................... 15 B LACQUISITION & LINSTALLATION ............................................................................................... 17 C LA LIVRAISON & LE SUPPORT ...................................................................................................... 19 D LE MONITORING ..................................................................................................................... 21 XI LES PERSPECTIVES ...................................................................................................................... 22 XII - CONCLUSION ........................................................................................................................... 23 LES REFERENCES : BIBLIOGRAPHIE / WEBOGRAPHIE .............................................................................. 24 LE GLOSSAIRE ................................................................................................................................ 25 LES ANNEXES ................................................................................................................................. 27 LISTE DES PROCESSUS DU COBIT EN FRANAIS ...................................................................................... 27 LISTE DES PROCESSUS DU COBIT EN ANGLAIS ....................................................................................... 29 EXEMPLE 1 DEFINIR LARCHITECTURE DE LINFORMATION .................................................................... 31 EXEMPLE 2 - GERER LES DONNEES ..................................................................................................... 32 Le COBIT : Socle de la gouvernance des SI
Dossier ralis par Eric LELEU CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel
PREAMBULE
Ce dossier a t ralis dans le cadre de lunit denseignement (UE) GLG102 Techniques et normes pour la qualit du logiciel. Le sujet trait est le COBIT. La rdaction de ce dossier a tent dexpliquer le plus simplement possible ce concept. Le but est de transcrire dans un langage simple et comprhensible par tous, les caractristiques principales de cette mthodologie. Mme si la rdaction de ce dossier ne fut pas simple, jai pris plaisir le constituer. Je suis dailleurs plutt satisfait du rsultat. Pour tre honnte, cette recherche fut un vrai challenge dans la mesure o il ma fallu surmonter la mconnaissance de ce thme. Je vous propose, aprs un bref descriptif de la gouvernance des systmes dinformation, de dcouvrir ce quest le COBIT.
I LA GOUVERNANCE : DE QUOI S'AGIT-IL ?
Avant de dbuter ltude de COBIT, il convient de dfinir ce quest la gouvernance, terme qui sera largement utilis tout au long de cette tude. Le terme Gouvernance dsigne la capacit d'une organisation tre en mesure de contrler et de rguler son propre fonctionnement afin d'viter les conflits d'intrts lis la sparation entre les ayants-droits (actionnaires, direction, conseil dadministration) et les acteurs (employs, les fournisseurs, les clients, les banques, lenvironnement). Il sagit de privilgier le partenariat entre les diffrents acteurs. La gouvernance d'entreprise est l'ensemble des processus, rglementations, lois et institutions influant la manire dont l'entreprise est dirige, administre et contrle.
II LE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI

La Gouvernance des Technologies de lInformation (en Anglais Information Technology Governance ou IT Governance ) est une sous discipline du gouvernement dentreprise axe sur la technologie de linformation et de la communication. Cette discipline, en phase avec les objectifs de lentreprise, sintresse plus particulirement la gestion des risques, loptimisation des investissements et des ressources, la cration de valeurs et la performance des technologies de linformation. Selon le COBIT, la gouvernance des systmes dinformation est la structure de relations et de processus visant diriger et contrler lentreprise pour quelle atteigne ses objectifs en gnrant de la valeur, tout en trouvant le bon quilibre entre les risques et les avantages des technologies de lInformation et de leurs processus. Il sagit dune dmarche de Management. La Gouvernance des TI permet de rpondre aux questions suivantes : Comment sont prises les dcisions ? Qui prend les dcisions ? Qui est tenu pour responsable ? Comment le rsultat des dcisions est-il mesur et suivi ? Quels sont les risques ?
La Gouvernance des TI est un cercle vertueux permettant d'orienter et de contrler les processus de gestion : En donnant les orientations stratgiques des diffrents processus de gestion, En utilisant les processus mtier pour fournir les services demands, Chaque processus mtier doit rendre compte de l'accomplissement de ses objectifs. En contrlant le bon droulement des processus, en les amliorant et au besoin, en dfinissant de nouvelles orientations.
Le cercle vertueux de la Gouvernance d'un systme d'information
La clef de la gouvernance est le Contrle permettant d'atteindre des objectifs.
III DEFINITION
Qu'est-ce que le COBIT ? Le fonctionnement de la majorit des grandes entreprises, aujourd'hui, repose compltement sur le traitement de l'information. Cest dans un souci de transparence des informations que les SI se sont dvelopps et que leur contrle est devenu incontournable. Il est vital, pour leur avenir, que leur systme d'information soit en cohrence avec les objectifs et la stratgie globale de l'entreprise. Les dirigeants souhaitent finalement que les SI apportent de la valeur et de la performance dans lorganisation. Le COBIT (Control Objectives for Business Information and related Technology, soit en franais Control des objectifs des technologies de linformation), dvelopp en 1994 (et publi en 1996) par l'ISACA (The Information System Audit and Control Association) est un outil puissant qui a t conu pour uvrer dans ce sens. Il est noter que lISACA, cr en 1967, est reprsent en France depuis 1982 par l'AFAI (Association Franaise de lAudit et du conseil Informatique). Le COBIT est un rfrentiel de gouvernance des systmes d'information qui dcompose tout systme informatique en 34 processus, lesquels sont rpartis en quatre domaines fonctionnels : planning et organisation (Planning and Organization) (10 processus). acquisition et mise en place (Acquire and implement) (7 processus). fourniture du service et support (Deliver and Support) (13 processus). surveillance (Monitor) (4 processus).
Ces 4 domaines permettent de couvrir 318 objectifs. Ce rfrentiel s'adresse majoritairement deux grandes catgories d'acteurs : les auditeurs et consultants, les responsables des systmes d'information. Le COBIT : Socle de la gouvernance des SI
La direction gnrale ainsi que les diverses directions mtiers sont bien videmment concernes dans la mise en place et lutilisation de COBIT. Nous pouvons reprsenter de manire simplifie le COBIT de la manire suivante :
Planning et organisation
Acquisition et mise en place
Fourniture du service et support
Surveillance
Pour tre plus prcis, voici une reprsentation dtaille de COBIT :
Chaque processus met en uvre des ressources informatiques (applications, informations, infrastructures et personnes au sens comptences), fournit une information destine satisfaire les besoins mtiers exprims sous formes de critres (efficacit, efficience, confidentialit, intgrit, disponibilit, conformit, fiabilit) concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratgique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance).
En conclusion, la dfinition de COBIT est : Le COBIT : Socle de la gouvernance des SI COBIT est une mthodologie dvaluation des services informatiques au sein de lentreprise. Cette dmarche s'appuie sur un rfrentiel de 34 processus (bonnes pratiques collectes auprs d'experts SI) et sur des indicateurs d'objectifs (KGI) et de performance (KPI) permettant de mettre les processus sous contrle afin de disposer des donnes permettant l'entreprise d'atteindre ses objectifs (alignement des technologies sur la stratgie de lentreprise). C'est un cadre de contrle qui vise aider le management grer les risques (scurit, fiabilit, conformit) et les investissements. Il ne fournit pas dindications ou de recommandations caractre technique (choix technologiques, consolidation, gestion de crises). En dautres termes, COBIT se focalise sur ce que lentreprise a besoin de faire et non sur la faon dont elle doit le faire Le COBIT a volu au fil des annes. La version actuelle est indic V4.0.
IV LES OBJECTIFS DU COBIT

Le COBIT tabli des objectifs concernant les informations que doivent contenir et fournir un systme d'information performant. Ces objectifs sont les suivants (7) : L'efficacit, L'efficience, La confidentialit, L'intgrit, La disponibilit, La conformit, La fiabilit.
Pour atteindre ces objectifs, le systme d'information dispose et pourra utiliser les ressources suivantes (5) : Les comptences, Les applications, Les technologies, Le facility management , Les donnes.
Comme nous lavons prcis prcdemment, le COBIT a dfini 34 processus rpartis en 4 domaines en vue de grer ces diverses ressources et atteindre lensemble de ces objectifs. De manire simplifi, le COBIT est un rfrentiel pour la gouvernance des technologies de l'Information avec un objectif de contrle et d'audit vis vis de l'impact de l'utilisation de ces technologies dans l'entreprise et des risques qui y sont lis.
Les objectifs et les ressources permettent, une fois combins, de mettre en valeur une cartographie de la gestion du systme dinformation (formaliser les objectifs fixs et les contrler). Il est en effet possible de reprsenter dans un tableau la fois : les processus dun domaine choisi, les objectifs ainsi que les ressources.
L'impact du processus sur le critre d'information peut tre Primaire, Secondaire, ou vide. Les processus ont une responsabilit plus ou moins importante dans la gestion des ressources. Le lien entre les processus et les ressources ne mesure pas le niveau d'utilisation, mais le niveau de management de la ressource par le processus COBIT. Le tableau obtenu serait de la forme :
V LES DOMAINES DU COBIT

Pour rappel, le COBIT est un rfrentiel de gouvernance des systmes d'information qui dcompose tout systme informatique en 34 processus, lesquels sont rpartis en quatre domaines fonctionnels : planning et organisation (Planning and Organization) (10 processus). Comment utiliser au mieux les technologies afin que l'entreprise atteigne ses objectifs ? o o Choix de la stratgie permettant d'identifier les meilleures solutions informatiques pour permettre d'atteindre des objectifs mtiers. Mise en place de la stratgie, planification, communication et gestion.
acquisition et mise en place (Acquire and implement) (7 processus). Comment dfinir, acqurir et mettre en uvre les technologies ncessaires en adquation avec les business processus de l'entreprise ? o o Cration ou achat de solutions informatiques leur intgration aux processus mtiers. Gestion du changement et de la maintenance.
fourniture du service et support (Deliver and Support) (13 processus). Comment garantir l'efficacit, l'efficience des systmes technologiques en action ? o o Fourniture des services mtiers, Scurisation, disponibilit des services.
surveillance (Monitor) (4 processus). Comment s'assurer que la solution mise en uvre corresponde bien aux besoins de l'entreprise dans une perspective stratgique ? o o o Mesure de la qualit des processus, Mesure de l'atteinte des objectifs des processus, Contrle et amlioration de l'organisation et des processus.
Les domaines COBIT
10
VI LE COBIT POUR L'AUDITEUR INFORMATIQUE
A la base, le COBIT a t dvelopp par des auditeurs informatiques. Cest ainsi que le COBIT est utilis pour mener tout type d'audit autour du systme d'information. Il sappuie en effet sur une liste de 318 objectifs de contrle permettant l'auditeur de cadrer ses tudes. Il est recommand lauditeur de rechercher un complment dinformation dans dautres rfrentiels comme ITIL en ce qui concerne la production, ou CMMI en ce qui concerne la gestion de projets. Il est important de prciser que le rfrentiel d'audit et de contrle tabli, et notamment la liste des objectifs de contrle, est trs comprhensible et accessible. En effet, un auditeur non informaticien est capable de mener de manire professionnelle, un audit dun systme dinformation.
11
VII - COMMENT EST UTILISE LE COBIT
Le principe : COBIT ne distingue pas la grande entreprise de la petite entreprise. Il ne tient pas compte non plus du secteur dactivit auquel lentreprise appartient. Une PME ne pourra certainement pas faire tout ce que COBIT prescrit. Une entreprise industrielle na pas les mmes besoins quune entreprise de services. Il faudra donc dans chaque cas slectionner dans COBIT les lments retenir. Il est dailleurs prcis que COBIT est illustratif et non exhaustif : il fournit une base dexpertise dans laquelle chaque entreprise devra slectionner ce qui correspond ses priorits. En conclusion, lutilisation de COBIT permet de distinguer trois tapes :
Dfinition des objectifs, Dtermination et gestion des ressources, Gestion des processus.
Lors des audits : A partir du rfrentiel gnral, COBIT donne une liste dtaille de 318 objectifs de contrle qui permettent l'auditeur de cadrer son investigation. COBIT est utilis comme une base solide de points de contrles, il aide la slection des zones critiques et leur valuation. Mme s'il est parfois ncessaire de le complter en fonction des spcificits du sujet (pour un audit de scurit il conviendra par exemple d'ajouter les aspects propres aux dispositifs de scurit existants. Il en sera dailleurs de mme pour tout ce qui a trait au domaine lgal et rglementaire), COBIT permet de prendre en compte des points qui n'auraient pas t voqus, faute d'y songer ou par manque de connaissance. Cest ainsi que COBIT sert tablir les questions drouler lors des entretiens daudit. Le COBIT : Socle de la gouvernance des SI
Lors du pilotage des systmes dinformations : Le COBIT sert aussi valuer les processus mis en place. Il permet de dfinir leur niveau de maturit. Ci-aprs une reprsentation graphique des rsultats permettant une Direction Gnrale de visualiser les points forts et les points faibles de son entreprise. On peut y dceler soit une certaine homognit des processus, soit au contraire des maillons faibles ncessitant une rvision de stratgie.
12
Le modle contient 5 niveaux de maturit:
NIVEAU 0
NOM INEXISTANT (Non-existent)
DESCRIPTION Les processus de gestion ne sont pas appliqus. Lentreprise nest pas consciente du besoin.
INITIAL (Initial)
Les processus sont ad hoc et dsorganiss. Lentreprise commence tre consciente du besoin mais rien nexiste pour la satisfaire.
REPETITIF (Repeatable)
Les processus suivent un modle rptable. Lentreprise traite le besoin au cas par cas, de faon informelle, en sappuyant sur les comptences de quelques individus. Les processus sont formaliss et communiqus. Les procdures ont t standardises et documentes mais les responsabilits restent individuelles. Il nexiste pas de reporting formel, ni de suivi de la qualit. Les processus sont surveills et mesurs. Les responsabilits sont claires, la qualit est suivie, les personnels sont forms, les outils sont automatiss.
DEFINI (Defined)
GERE ET MESURABLE (Managed)
OPTIMISE (Optimized)
L'amlioration du processus est gre. Lentreprise est au niveau gr et mesurable et en outre elle assure une veille afin de mettre jour ses mthodes et de se tenir en permanence la pointe de ltat de lart.
13
Le modle de maturit permet de dfinir : La situation actuelle de l'organisation, La situation des entreprises dans un domaine mtier quivalent, La stratgie d'amlioration de l'entreprise (ce vers quoi elle souhaite aller).
VIII LE COBIT : RAPPROCHEMENT ENTRE AUDIT INTERNE ET DSI
Pour la DSI (Direction des Systmes d'Information), le COBIT est frquemment utilis comme un outil d'auto valuation. C'est un moyen pour elle de dmontrer sa hirarchie, et ce de faon proactive, que son niveau de matrise des systmes d'information est relativement bon, sur tous les aspects relevant de sa responsabilit. Quant aux auditeurs, ils peuvent valider la qualit de l'valuation l'aide de ce mme outil.
IX - CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI
Les entreprises qui ont opt pour les modles de processus bass sur COBIT : possdent des processus plus simples et plus comprhensibles. ont une vision comprhensible par le management de ce que fait linformatique. possdent des processus prouvant la valeur ajoute des systmes dinformation. ont un meilleur alignement de linformatique sur lactivit de lentreprise du fait de lorientation mtier. ont une attribution claire des responsabilits du fait de lapproche par processus. sont aides dans leurs dcisions, leurs choix et leurs investissements (bnfique lentreprise) peuvent laborer partir du standard COBIT leurs propres standards afin dtre encore plus en phase avec les objectifs de lentreprise en terme de systmes dinformation. peuvent sauto valuer : par des audits et en valuant la maturit de leurs processus peuvent se comparer dautres entreprises ayant un mme domaine mtier grce lvaluation de la maturit des processus. ne sont pas impactes par les spcificits culturelles, les avances technologiques. Ces facteurs ne semblent pas limiter l'adquation de COBIT pour l'alignement des systmes d'information aux objectifs stratgiques de l'entreprise.
14
X - PRESENTATION DES 34 PROCESSUS
A LA PLANIFICATION & LORGANISATION

Ce domaine couvre la stratgie et les tactiques et concerne lidentification des moyens permettant linformatique de contribuer le plus efficacement la ralisation des objectifs commerciaux de lentreprise. Au sein de ce domaine, on cherche savoir comment utiliser les technologies afin que lentreprise atteigne ses objectifs. Il comporte 10 processus : Dfinir un plan stratgique pour le SI
La dfinition du plan stratgique doit amliorer la comprhension des apports et des limites du SI, conforter la performance et mettre en vidence le niveau des investissements requis. On doit retrouver dans ce plan la stratgie et les priorits de lentreprise. Il est important que ce plan soit accept par le personnel informatique et les mtiers. Lexploitation du SI doit faire lobjet de SLA (service level agreements). Dfinir larchitecture en information
Il sagit de ce que lon appel administration des donnes : construire et partager des rfrentiels de qualit. Dterminer lvolution technique
Il sagit de dfinir la plate-forme informatique par une veille technologique constante et un dialogue entre la DSI et les mtiers utilisateurs. Dfinir les processus et lorganisation du SI
Il sagit dorganiser et de superviser la DSI, de grer ses ressources humaines (y compris les ressources que lui procurent les fournisseurs), de grer ses relations avec les autres mtiers de lentreprise. Grer les investissements en SI
Les notions traites ce niveau concernent les cots, la rentabilit, le retour sur investissement Communiquer les buts et orientations de la direction
Il sagit de faire connatre les objectifs de lentreprise et du SI. Grer les ressources humaines du SI
COBIT suggre de rduire la dpendance par rapport des individus cls (comptences critiques) et de limiter le turn-over. Dossier ralis par Eric LELEU CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel
15
Grer la qualit
Il sagit de la qualit du SI (et non de celle des processus de production de lentreprise). Evaluer et grer les risques du SI
Il faut identifier tous les vnements qui peuvent avoir des consquences (ngatives ou positives) sur le fonctionnement de lentreprise : production, rglementation, partenariats, ressources humaines Il faut anticiper la rponse aux incidents, et grer un plan daction. Grer les projets
Il sagit tout dabord de la slection des projets retenir (priorisation). Il sagit ensuite de prendre en compte, dans la gestion de projet proprement dite, limplication les parties prenantes, linterdpendance entre projets, les changements qui surviennent dans la dfinition du projet (cot, calendrier, contenu et qualit).
16
B LACQUISITION & LINSTALLATION

Ce domaine concerne la ralisation de la stratgie informatique, lidentification, lacquisition, le dveloppement et linstallation des solutions informatiques et leur intgration dans les processus commerciaux. Au sein de ce domaine, COBIT cherche dfinir, acqurir et mettre en uvre des technologies en les alignant avec les processus mtiers de lentreprise. Il comporte 7 processus : Dfinir les solutions automatises
Il sagit dquiper les agents oprationnels en outils automatiques et de fournir des indicateurs de contrle aux managers oprationnels. Il faut trouver des solutions ralisables et conomiques : cela suppose le recours des tudes de faisabilit. Acqurir et entretenir les logiciels applicatifs
Il sagit de rdiger les spcifications (gnrales, dtailles et techniques), de dfinir les habilitations et rgles de scurit, dintgrer les acquisitions sur la plate-forme de lentreprise, de raliser ou faire raliser les logiciels spcifiques, dassurer le suivi de la ralisation et des modifications des exigences, de mettre en place la gestion de configuration et la maintenance. Acqurir et entretenir la plate-forme technique
Il sagit de fournir lentreprise une plate-forme matrielle et logicielle convenable en regard des besoins des applications et de ltat de lart technique. Cette plate-forme doit pouvoir satisfaire les besoins applicatifs connus et elle devra satisfaire les besoins futurs. Elle doit tre convenablement dimensionne (taille des processeurs et des mmoires, dbit des rseaux) et mettre en uvre des solutions darchitecture bien choisies. Il faut quelle soit convenable sur un plan qualitatif comme quantitatif. Elle doit comporter les outils de contrle et de scurit et les responsabilits doivent avoir t dfinies. Son entretien doit tre assur. Elle doit comporter un environnement pour tester les modifications qui lui sont apportes. Elle doit tre quipe dune gestion de configuration. Permettre l'exploitation et l'utilisation
Il sagit dans ce processus de documenter les applications sur les aspects techniques, oprationnels et de niveaux de service. Grer les achats
Il sagit dquiper le SI dune direction des achats. Elle y appliquera la politique de lentreprise en matire dachats, grera les contrats avec les fournisseurs, les droits de proprits sur le logiciel et contrlera la qualit des fournitures (dveloppements et infrastructure).
17
Grer les volutions
Il sagit de la gestion des volutions du SI interne la DSI. Il sagit de documenter, autoriser, suivre et faire connatre les changements techniques. Installer et recetter les solutions et les changements
Ce processus concerne les oprations de recette, dessai sur site pilote et de dploiement dun nouveau produit. Un plan de test est obligatoire pour mener bien ce processus.
18
C LA LIVRAISON & LE SUPPORT

Ce domaine concerne la livraison des prestations informatiques exiges, ce qui comprend lexploitation, la scurit, les plans durgence et la formation. Au sein de ce domaine, COBIT a pour objectif de garantir lefficacit et lefficience des systmes technologiques en action. Il comporte 13 processus : Dfinir et grer les niveaux de service
Ce processus concerne la qualit du service rendu aux utilisateurs, les service level agreements . Le SLA doit tre dfini en fonction des exigences et associ un OLA ( operating level agreement ) qui prcise le niveau que doivent atteindre les services techniques en vue de rpondre aux SLA (dbit des rseaux, dimension des mmoires). Grer les services fournis par lextrieur
Il sagit de documenter les relations avec les fournisseurs, de grer les risques (confidentialit, prennit du fournisseur et du produit, pnalits...) et de mettre en uvre un suivi de la performance des fournisseurs. Grer les performances
Il sagit dtre en mesure de fournir la charge de travail anticipe, de minimiser le risque de blocage, de grer la pnurie en cas de sous-capacit (prioriser les tches, allocation de ressources). Toute panne doit faire lobjet dun rapport se concluant par des recommandations. Assurer la continuit du service
Il sagit dassurer une exploitation en continu minimisant le risque de panne sur les fonctions cruciales. (Gestion de crise en cas dincident, solutions de repli) Le COBIT : Socle de la gouvernance des SI Assurer la scurit du SI
Une quipe doit tre ddie au sein de la DSI la scurit. Elle met en uvre un plan de scurit, dfinit la gestion des identifications et habilitations, dtecte les attaques, documente les incidents, assure le chiffrement, met en uvre les protections antivirus, firewalls Elle protge les donnes sensibles. Identifier et imputer les cots
Il sagit dvaluer le cot du SI et de limputer aux utilisateurs (refacturation).
19
Former et entraner les utilisateurs
Il sagit de former le personnel en tenant compte des besoins de lentreprise, de ses valeurs, du contenu du SI (infrastructure et applications), des besoins de comptences et des mthodes de formation (cours magistral, Intranet). Grer les incidents et le service desk
Il sagit de fournir un dpannage en cas dincident. Le service desk reoit les appels tlphoniques et les oriente vers lquipe comptente. Il assure la traabilit de la rponse lincident. Grer la configuration
Il faut tablir un rfrentiel du matriel, du logiciel, des paramtres, de la documentation, comportant des identifiants, des numros de version, des dtails sur les licences Ce rfrentiel doit tre jour (toujours exacte) et tre utilis pour prvenir la mise en place de logiciels non autoriss. Grer les problmes
Traiter un problme, cela suppose que lon ait su dtecter des incidents rpts et que lon ait pu en consquence amliorer le fonctionnement de lentreprise. Grer les donnes
Il ne sagit pas de ladministration des donnes mais de la gestion physique des donnes : back-up et restauration des donnes, disponibilit, dispositifs de saisie et traitements, scurit Grer lenvironnement physique
Il sagit de la gestion des locaux, des accs (primtre de scurit), de lalimentation lectrique et tlcoms, des risques divers (tempte). Grer lexploitation
Il sagit de lorganisation mise en place entre les acteurs (passage des consignes dune quipe la suivante), la supervision de la plate-forme, Le COBIT : Socle de la gouvernance des SI Dossier ralis par Eric LELEU CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel
20
D LE MONITORING
Permet au management dvaluer la qualit et la conformit des processus informatiques aux exigences de contrle. Au sein de ce domaine, COBIT cherche vrifier si la solution mise en place est en adquation avec les besoins de lentreprise dans une vision stratgique. Ce domaine comporte 4 processus : Suivre et valuer la performance du SI
Il sagit de dfinir des indicateurs de performance du SI (cot, rentabilit, niveau de service, alignement stratgique) et dagir si lon constate des drapages. Suivre et valuer le contrle interne
Il sagit de dfinir un contrle interne au SI puis de rendre compte de son efficacit. Il est conseill de faire des benchmarks, de faire procder des audits externes, de faire porter le contrle galement sur les fournisseurs, de dfinir et mettre en uvre les actions pour remdier aux dfauts constats. Assurer la conformit la rglementation
Le SI doit tre conforme la rglementation notamment dans les domaines du commerce lectronique, des changes de donnes, de la confidentialit, du contrle interne, du reporting financier, de la proprit intellectuelle, de lhygine et de la scurit, et des rgulations spcifiques au secteur dactivit. Assurer la gouvernance du SI
Il sagit de dfinir les structures de lorganisation, les processus, les pouvoirs de dcision, les rles et responsabilits de faon pouvoir sassurer que le SI est conforme aux priorits et la stratgie de lentreprise. Il est conseill de faire appel un auditeur externe pour valider cette organisation. Le COBIT : Socle de la gouvernance des SI
21
XI LES PERSPECTIVES
En 2006, l'AFAI, le CIGREF et INEUMConsulting ont ralis une enqute sur la maturit des entreprises franaises vis--vis de lIT Gouvernance. Il en est rsult que 75% des rponses taient infrieures 2,5 / 6 ce qui correspond un dbut de formalisation. Il est indniable que des marges de progression importantes sont envisageables dans les annes venir.
22
XII - CONCLUSION
Vous vous demandez probablement en quoi ce sujet se rapproche des normes. Jai volontairement vit de faire rfrence aux normes durant cette prsentation de COBIT et ce pour chacune des diffrentes parties traites. Je souhaitais conclure en faisant un parallle entre COBIT et les normes. COBIT peut tre assimil ou tout au moins rapproch des normes car : Il a une approche structurante : dcomposition de tout systme informatique en 4 domaines, 34 processus et 318 objectifs. Il a une couverture dutilisation internationale. COBIT est un outil fdrateur qui permet dinstaurer un langage commun pour parler de la gouvernance des SI. COBIT est capable de sintgrer dautres rfrentiels tels quISO9000, ITIL, COSO En dautres termes, dans le cadre dune approche qualit de type ISO9000, trs oriente processus, COBIT se rvle tre un outil prcieux. L'ISO 27000 et ITIL peuvent tre considrs comme des mises en application du COBIT dans le domaine du service IT et de la scurit. On constate que la dmarche est digne dune mthodologie, continuellement documente et dveloppe par les experts en systmes dinformation.
Jespre sincrement que ce dossier pourra tre utile dautres personnes. Il sera mis disposition sur mon site personnel comme dautres supports de cours. (http://home.nordnet.fr/~ericleleu).
23
LES REFERENCES : BIBLIOGRAPHIE / WEBOGRAPHIE
De nombreuses informations ont t trouves sur Internet. La liste des sites visits courant Dcembre 2008 et Janvier 2009 sont : http://www.delvaux-conseil.com/JPDelvaux_Integration2005.ppt http://www.univ-angers.fr/docs/etudquassi/COBIT.pdf http://www.aud-it.ch/cobit.htm http://fr.wikipedia.org/wiki/Cobit http://www.afai.asso.fr
http://cigref.typepad.fr/itgifrance/files/place_gouvernance_SI_dans_gouvernance_generale.pdf
http://www.guideinformatique.com/fiche-cobit-741.htm http://www.piloter.org/gouvernance/COBIT_gouvernance_SI.htm http://www.commentcamarche.net/contents/qualite/cobit.php3 http://www.btcweb.com/btc/fr/services/organisation/cobit/index.html http://www.volle.com/travaux/cobit.htm http://www.volle.com/travaux/cobitimp.htm http://www.bonneaud.net/cobit/

http://www.numeraladvance.com/Role_des_Normes/Normes_pour_SI/COBIT/Le_COBIT.htm
24
LE GLOSSAIRE
AUDIT : Processus systmatique, indpendant et document permettant de recueillir des informations objectives pour dterminer dans quelle mesure les lments du systme cible satisfont aux exigences des rfrentiels du domaine concern. BENCHMARK : En informatique, un benchmark est un banc d'essai permettant de mesurer les performances d'un systme pour le comparer d'autres. CMMI : (Capability Maturity Model & Integration) - est un modle de rfrence, un ensemble structur de bonnes pratiques, destin apprhender, valuer et amliorer les activits des entreprises d'ingnierie. Il est largement employ par les entreprises d'ingnierie informatique, les DSI et les industriels pour valuer et amliorer leurs propres dveloppements de produits. COBIT : Control Objectives for Business Information and related Technology, soit en franais Control des objectifs des technologies de linformation. COSO : COSO est lacronyme abrg de Committee Of Sponsoring Organizations of the Tread way Commission. Il s'agit d'une commission qui a un but non lucratif et qui a tabli en 1992 une dfinition standard du contrle interne et cr un cadre pour valuer son efficacit. DSI : Direction des Services Informatiques EFFICIENCE : Lefficience dsigne le fait de raliser un objectif avec le minimum de moyens engags possibles FACILITY MANAGEMENT : Le Facility Management consiste en une gestion globale des fonctions support de l'entreprise (services gnraux) par des prestataires de services tiers spcialiss. La problmatique principale du Facility Management est d'amliorer la qualit des prestations dans le cadre d'une rduction des couts. ISO 9000 : ISO 9000 dsigne un ensemble de normes relatives la gestion de la qualit publies par l'Organisation internationale de normalisation (ISO). ISO 27000 : ISO/CEI 27000 est le nom rserv pour un nouveau standard de scurit de l'information publi conjointement par l'Organisation internationale de normalisation (ISO) et la Commission lectrotechnique internationale (CEI, ou IEC en anglais), faisant partie de la suite ISO/CEI 27000. IT (TI en franais) : Information Technology , soit Technologie des systmes dinformations. ITIL : ITIL (Information Technology Infrastructure Library, soit en franais "Bibliothque pour l'infrastructure des technologies de l'information") est un ensemble d'ouvrages recensant les bonnes pratiques ("best practices") pour la gestion des services informatiques. Dossier ralis par Eric LELEU CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel
25
OLA : Operating level agreements - Dfinit les relations qui existent entre les diffrents groupes support. L'accord dcrit entre autre les responsabilits et les tches oprationnelles qui incombent chacun des groupes supports. SERVICE DESK : En informatique, le support technique est l'assistance donne par un tlassistant, ou un service, un utilisateur pour l'aider rsoudre un problme logiciel (software) ou matriel (hardware), ou simplement pour lui donner une information dont il a besoin. Dans le langage ITIL, on parle de centre de services. SI : Systme dinformations SLA : Service level agreements - Document qui dfinit la qualit de service requise entre un prestataire et un client. Il s'agit d'un contrat dans lequel on formalise la qualit du service attendu. STRATEGIE : C'est l'art de diriger et de coordonner des actions pour atteindre un objectif. La stratgie a un objectif global et plus long terme. TACTIQUE : L'art d'utiliser de manire optimale les modes opratoires et les moyens dont on dispose, pour emporter un gain ou une dcision. L'enjeu est local et limit dans le temps.
26
LES ANNEXES LISTE DES PROCESSUS DU COBIT EN FRANAIS

Planification et organisation PO1 - Dfinir un plan informatique stratgique PO2 - Dfinir l'architecture de l'information PO3 - Dterminer l'orientation technologique PO4 - Dfinir l'organisation et les relations de travail PO5 - Grer l'investissement informatique PO6 - Faire connatre les buts et les orientations du management PO7 - Grer les ressources humaines PO8 - Se conformer aux exigences externes PO9 - valuer les risques PO10 - Grer les projets PO11 - Grer la qualit
Acquisition et mise en place AMP1 AMP2 AMP3 AMP4 AMP5 AMP6 Trouver des solutions informatiques Acqurir des applications et en assurer la maintenance Acqurir une infrastructure et en assurer la maintenance Dvelopper les procdures et en assurer la maintenance Installer les systmes et les valider Grer les changements
Distribution et support DS1 - Dfinir et grer des niveaux de service DS2 - Grer des services tiers DS3 - Grer la performance et la capacit DS4 - Assurer un service continu DS5 - Assurer la scurit des systmes DS6 - Identifier et imputer les cots DS7 - Instruire et former les utilisateurs DS8 - Assister et conseiller les clients DS9 - Grer la configuration DS10 - Grer les problmes et les incidents DS11 - Grer les donnes DS12 - Grer les installations DS13 - Grer l'exploitation
27
Surveillance S1 S2 S3 S4 Surveiller les processus valuer l'adquation du contrle interne Acqurir une assurance indpendante Disposer d'un audit indpendant
28
LISTE DES PROCESSUS DU COBIT EN ANGLAIS
Planning & Organisation PO1 - Define a strategic IT plan PO2 - Define the information architecture PO3 - Determine technological direction PO4 - Define the IT organisation and relationships PO5 - Manage the IT investment PO6 - Communicate management aims and direction PO7 - Manage human resources PO8 - Ensure compliance with external requirements PO9 - Assess risks PO10 - Manage projects PO11 - Manage quality
Acquisition & Implementation AI1 AI2 AI3 AI4 AI5 AI6 Identify automated solutions Acquire and maintain application software Acquire and maintain technology infrastructure Develop and maintain procedures Install and accredit systems Manage changes
Delivery & Support DS1 - Define and manage service levels DS2 - Manage third-party services DS3 - Manage performance and capacity DS4 - Ensure continuous service DS5 - Ensure systems security DS6 - Identify and allocate costs DS7 - Educate and train users DS8 - Assist and advise customers DS9 - Manage the configuration DS10 - Manage problems and incidents DS11 - Manage data DS12 - Manage facilities DS13 - Manage operations
29
Monitoring M1 - Monitor the processes M2 - Assess internal control adequacy M3 - Obtain independent assurance M4 - Provide for independent audit
30
EXEMPLE 1 DEFINIR LARCHITECTURE DE LINFORMATION

PLANIFICATION et ORGANISATION PO2 Dfinir larchitecture de linformation
Objectif : Optimiser lorganisation des systmes informatiques

Indicateurs cl dobjectif Indicateurs Cl de performance
. Dveloppement plus rapide dapplications . Rduction du dlai de ralisation des SI majeurs . Rduction des redondances de donnes . Interoprabilit entre systmes et applications
Facteurs cl de succs
. Nombre de modifications dapplications entreprises pour se raligner sur le modle de donnes . Nombre dincidents dans les applications dus aux incohrences du modle de donnes . Quantit de travail refaire due aux incohrences du modle de donnes . Dlai entre les modifications de larchitecture de linformation et celles apportes aux applications
. Il existe une fonction dadministration des donnes de lentreprise ayant une autorit suffisante pour administrer le modle de donnes et les standards dinformations . On a document, communiqu et appliqu les standards darchitecture de linformation . Un modle de donnes refltant lactivit de lentreprise a t dfini et pilote larchitecture de linformation
31
EXEMPLE 2 - GERER LES DONNEES

DISTRIBUTION SUPPORT DS11 Grer les donnes
Objectif : Sassurer que les donnes restent compltes, exactes et valides au cours de leur traitement
Indicateurs cl dobjectif Indicateurs Cl de performance
. Rduction du nombre de donnes dfectueuses comme redondance, duplication et incohrence.
. Nombre de contrles automatiques dintgrit des donnes lances indpendamment des applications
Facteurs cl de succs
. On utilise des outils efficaces de transfert de donnes dune plate-forme lautre sans perte dintgrit ni de fiabilit.
32

Le COBIT - L'état de L'art

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Le COBIT - L'état de L'art

Transféré par

Droits d'auteur :

Formats disponibles

Le COBIT : Ltat de lArt

Socle de la gouvernance des SI

CNAM 2008 / 2009 GLG102 TECHNIQUES ET NORMES POUR LA QUALITE DU LOGICIEL

HISTORIQUE DES MODIFICATIONS

Le COBIT : Socle de la gouvernance des SI

LE COBIT : LETAT DE LART

Le COBIT : Socle de la gouvernance des SI

I LA GOUVERNANCE : DE QUOI S'AGIT-IL ?

Le COBIT : Socle de la gouvernance des SI

II LE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI

Le COBIT : Socle de la gouvernance des SI

Le cercle vertueux de la Gouvernance d'un systme d'information

La clef de la gouvernance est le Contrle permettant d'atteindre des objectifs.

Acquisition et mise en place

Fourniture du service et support

Pour tre plus prcis, voici une reprsentation dtaille de COBIT :

IV LES OBJECTIFS DU COBIT

Le COBIT : Socle de la gouvernance des SI

Le COBIT : Socle de la gouvernance des SI

V LES DOMAINES DU COBIT

Les domaines COBIT

Le COBIT : Socle de la gouvernance des SI

VI LE COBIT POUR L'AUDITEUR INFORMATIQUE

Le COBIT : Socle de la gouvernance des SI

VII - COMMENT EST UTILISE LE COBIT

Le modle contient 5 niveaux de maturit:

NOM INEXISTANT (Non-existent)

Le COBIT : Socle de la gouvernance des SI

GERE ET MESURABLE (Managed)

VIII LE COBIT : RAPPROCHEMENT ENTRE AUDIT INTERNE ET DSI

IX - CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI

Le COBIT : Socle de la gouvernance des SI

X - PRESENTATION DES 34 PROCESSUS

A LA PLANIFICATION & LORGANISATION

Le COBIT : Socle de la gouvernance des SI

Le COBIT : Socle de la gouvernance des SI

B LACQUISITION & LINSTALLATION

Le COBIT : Socle de la gouvernance des SI

Grer les volutions

Le COBIT : Socle de la gouvernance des SI

C LA LIVRAISON & LE SUPPORT

Il sagit dvaluer le cot du SI et de limputer aux utilisateurs (refacturation).

Former et entraner les utilisateurs

Le COBIT : Socle de la gouvernance des SI

Le COBIT : Socle de la gouvernance des SI

LES REFERENCES : BIBLIOGRAPHIE / WEBOGRAPHIE

Le COBIT : Socle de la gouvernance des SI

Le COBIT : Socle de la gouvernance des SI

Le COBIT : Socle de la gouvernance des SI

LES ANNEXES LISTE DES PROCESSUS DU COBIT EN FRANAIS

Le COBIT : Socle de la gouvernance des SI

Le COBIT : Socle de la gouvernance des SI

LISTE DES PROCESSUS DU COBIT EN ANGLAIS

Le COBIT : Socle de la gouvernance des SI

Le COBIT : Socle de la gouvernance des SI

EXEMPLE 1 DEFINIR LARCHITECTURE DE LINFORMATION

Objectif : Optimiser lorganisation des systmes informatiques

Le COBIT : Socle de la gouvernance des SI

EXEMPLE 2 - GERER LES DONNEES

. Rduction du nombre de donnes dfectueuses comme redondance, duplication et incohrence.

Le COBIT : Socle de la gouvernance des SI

Vous aimerez peut-être aussi