Vous êtes sur la page 1sur 61

COBIT 5

Ses apports pour le management et la gouvernance du SI

25 Janvier 2013

Patrick Stachtchenko
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 1

Thmes
1. 2. 3. 4. Evolution CobiT /COBIT Contexte du projet COBIT 5 COBIT 5 : ses apports COBIT 5 : la suite

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

Le monde de la Technologie en 10 ans!


MM$

Pourtant, le plus souvent, ce sont des entreprises avec des processus structurs sappuyant sur de bonnes pratiques ! Donc, pourquoi de telles diffrences ? Quels sont les facteurs qui ont men cette situation? Y-avait-il des proccupations de gouvernance et de management?
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 3

Bonnes pratiques de gouvernance/management ! Dilbert : Do vient la confiance ?

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

Confiance?
Articles dans les publications scientifiques
Forte augmentation du nombre darticles qui ont t retirs aprs leur publication (erreurs, fraudes, )
Chaque anne depuis 10 ans 6 000 % daugmentation sur cette priode de 10 ans! Causes : Dispositifs dincitations, pression concurrentielle, classement des universits,.?

AIG, Joseph Cassano, responsable des produits financiers (Aot 2007)


It is hard for us, without being flippant, to even see a scenario within any kind of realm of reason that would see us losing one dollar in any of these (credit default swap) transactions

Bernie Madoff (2007)


In todays regulatory environment, its virtually impossible to violate rules. This is something the public doesnt really understand . Its impossible for a violation to go undetected certainly not for a considerable period of time

Mario Andretti
If you are under control, then you are not going fast enough
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 5

CobiT / COBIT Evolution


De Control Objectives Governance and Management of Enterprise IT

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

CobiT / COBIT Evolution


1970s: Control Objectives
Orient audit Population vise : essentiellement des auditeurs

1991: ISACA Regional Presidents Council Meeting Paris


Soutien pour un nouveau Control Objectives Orient business Populations vises : management, utilisateurs de SI, auditeurs

1995 - 1 996: Modification du programme CISA


Aprs un processus de 5 ans, modification des domaines et du contenu en fonction dune tude des tches effectues Introduction de critres business : efficacit, efficience, matrise

1995 - 1 996: CobiT


Control Objectives for Information and related technology Focus Business en ligne avec le programme CISA
CISA / CobiT : Changement de contenu mais pas de changement du langage
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 7

CobiT / COBIT Evolution


1996 : CobiT (Control OBjectives for Information and related Technology) Mission : objectifs de contrles gnralement accepts concernant les SI pour une utilisation au quotidien par le management et les auditeurs
Bonnes pratiques

Le rfrentiel sappuie sur le fondement suivant Les ressources SI ont besoin dtre manages par un ensemble de pratiques IT regroupes naturellement pour fournir linformation dont ont besoin les organisations pour atteindre leurs objectifs Population vise Il a t conu non seulement pour tre utilis par les utilisateurs et les auditeurs en SI, mais aussi, et plus important encore, comme une checklist pour les propritaires de processus pour quils puissent avoir une responsabilit complte pour tous les aspects du processus Definitions Contrle : les directives, procdures, pratiques et structures organisationnelles concues pour fournir une assurance raisonnable que les objectifs business seront atteints et que les vnement non dsirs seront prvenus, dcels et corrigs. Objectif de contrle IT : lnonc du rsultat souhait ou de lobjectif atteindre par la mise en oeuvre de la procdure de contrle pour une activit informatique spcifique

Les objectifs versus le Patrick Stachtchenko langage? : Runion AFAI du 25 janvier 2013

CobiT / COBIT Evolution


1996 : Rfrentiel CobiT 1
7 critres business
Efficacit Efficience Confidentiality Integrit Disponibilit Conformit Fiabilit

5 ressources
Donnes Applications Technologie Locaux Personnes

4 domaines
Planification et organisation Acquisition et mise en oeuvre Exploitation et soutien Pilotage et suivi

32 processus (271 sub-processus et objectifs de contrle)


Connect aux besoins business Connected aux leviers Connected aux proccupations prendre en compte

Directives dAudit pour chaque processus


Qui doit te interview? Quelles informations doivent tre obtenues? Quels lments de preuve doivent tre considrs? Quels types de tests doivent tre effectus ? Quel type dinformation doit tre obtenu et quel type de travail doit tre effectu pour corroborer le niveau rel de risque?

Le contenu et la perception?
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 9

CobiT / COBIT Evolution


1998 : CobiT 2 (Governance, Control and Audit for Information and related Technology)
Introduction de la Gouvernance des SI (cration de lIT Governance Institute) Ajout dune bote outils de mise en oeuvre

2000 : CobiT 3 (Governance, Control and Audit for Information and related Technology)
Notion de gouvernance des SI ajoute Ajout de Directives de Management (Modles de Maturit, Critres cls de succs, Indicateurs cls dobjectifs, Indicateurs cls de performance)

> 2000 : CobiT, un ensemble de publications


Board Briefing on IT Governance Management Guidelines IT Control objectives for Sarbanes Oxley IT Governance Implementation Guide
Control Practices IT assurance guide CobiT Framework Control Objectives CobiT Quickstart CobiT Security Baseline,

2005 : CobiT 4.0 (mise jour en 2007, CobiT 4.1) (Framework, Control Objectives, Management Guidelines, Maturity Models)
Extension du concept de gouvernance : 5 domaines de focalisation (Alignement stratgique, Cration de valeur, Management des Ressources, Management du risque, Mesure de la Performance) Directives de Management : entres, sorties, RACI, objectifs, mtriques, modles de maturit Objectifs et mtriques : objectifs dactivit, informatiques, des processus, et mtriques associes

Langage et confusion?
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 10

CobiT / COBIT Evolution


2006 : Val IT (mise jour en 2008, Val IT 2), Rfrentiel et ensemble de publications traitant la gouvernance des investissements business soutenus par les SI 2009 : Risk IT, Rfrentiel et ensemble de publications traitant la gouvernance et le management des risques SI 2010 : BMIS, Business Model for Information Security, Modle systmique de la scurit 2008 : ITAF, Cadre de rfrence de pratiques professionnelles pour laudit informatique
Positionnement / Confusion?
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 11

CobiT / COBIT Evolution


Risk IT Risk Management Val IT Value Management

Assess Risk & Opportunity CobiT IT related events IT activities

drive

Copyright ITGI

CobiT : Gouvernance/Risques/Valeur?
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 12

drive

CobiT / COBIT Evolution

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

13

COBIT 5 : Contexte du projet

2007 : Proccupations 2007 : TGF (Taking Governance Forward) 2008/2009 : Nouvelle stratgie de lISACA

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

14

COBIT 5 : Contexte du projet


Plusieurs nouvelles proccupations Business
Parties prenantes : nombreuses, intrts diffrents voire divergents, plusieurs propositions de valeur possible, diffrents niveaux dapptit au risque et de tolrance au risque, plusieurs possibilits de sourcing,.. Inter-dpendances : approche systmique, holistique, besoin de confiance,.. Langage et terminologie : confusion, vue incomplte,.. Absence de vue intgre exhaustive : silos, simple mais pas simpliste,.. Intgration du SI au business : bureau du DSI, fonctions business, projets, politiques, structures, comptences, risques, .. Management de linformation : TI/SI versus Information, Big Data, Applications,..
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 15

COBIT 5 : Contexte du projet


Plusieurs proccupations Rfrentiel
Multiplicit des rfrentiels : internes, externes Incohrences entre les diffrentes publications : internes, externes Terminologie : Confusion entre gouvernance et management, qualit and securit, risque et contrle, objectif business et objectif de contrle, pratiques de management and contrles, Absence de vue intgre Focasilation sur le fonction SI et les processus SI et non pas sur linformation et les processus autour de linformation En ligne avec lvolution du thought leadership? Primtre limit Pas une approche systmique Pas facile utiliser Pas facile maintenir Pas adaptable son propre contexte
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 16

COBIT 5 : Contexte du projet


Exemples de proccupations non traites qui ont pu poser problme
Mise en oeuvre incohrente, incomplte ou inapproprie des leviers de gouvernance et de management Schmas de rmunration et dvaluation inappropris ou incohrents menant des dcisions court terme (stock options, rsultats trimestriels, ) Composition inadapte des structures de gouvernance menant des opportunits rates ou des risques significatifs non identifis (sousrepresentation de certaines parties prenantes, comptences insuffisantes, critre de disponibilit plus important que celui de la comptence ou de lexprience,) Information insuffisante ou incomplte pour la prise de dcision menant des dcisions inappropries (pas assez de temps pour tudier le dossier, trop de dtail, information non structure, influence de certains lobbyistes,.),
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 17

COBIT 5 : Contexte du projet


2007 : TGF (Taking Governance Forward)
Dfinition dun systme de gouvernance
Un systme de gouvernance est constitu de tous les moyens et mcanismes qui vont permettre de multiples parties prenantes, diffrents niveaux dune entit, pour un but spcifique, davoir leur mot dire de manire organise dans la fixation des orientations et dans le suivi de la performance et de la conformit de manire crer pour elles des avantages (i.e.benefits) acceptables, en prenant des niveaux de risque acceptables et en utilisant les ressources limites de manire responsible

Etablissement dun rfrentiel de gouvernance

Positionnement de la Gouvernance IT dans le business Positionnement des diffrents rfrentiels internes et externes dans le modle de gouvernance
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 18

COBIT 5 : Contexte du projet


2008/2009 : Nouvelle Stratgie ISACA
1. Raliser le plein potentiel de COBIT
COBIT est largement connu et adopt, lui procurant une position de leadership et une forte notorit Pour construire partir de cette base, ISACA va tendre la famille de produits au travers de la cration de nouvelles proprits intellectuelles En outre, la proprit intellectuelle existante (e.g., sur la cration de valeur, sur la scurit, sur les risques,) sera incorpore dans la famille COBIT, conduisant un rfrentiel intgr et holistique de la gouvernance et du management des SI
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 19

COBIT 5 : Contexte du projet


2008/2009 : Nouvelle Stratgie ISACA

Objectifs
Fournir une rfrentiel renouvell de gouvernance et de management des SI faisant autorit et rpondant aux attentes du march en matire de rfrentiels (facile comprendre, facile utiliser, facile maintenir, intgr, mais pas simpliste) Fond sur CobiT, intgrant ou connectant les autres rfrentiels ou projets de recherche (Val IT, Risk IT, BMIS, ITAF, Board Briefing, Taking Governance Forward, ) Intgrant ou connectant les principaux rfrentiels externes (ITIL, ISO, )
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 20

COBIT 5 : Contexte du projet


Spcifications de conception
Innovant : intgrant les dernires rflexions (ISACA, autres rfrentiels, acadmiques, )
Incluant un Information reference model

Modulaire : flexible, permettant de multiple dimensions, navigation aise, permettant des vues multiples pour les diffrentes populations vises, Permettant des contributions communautaires : utilisant le potentiel de Web 2.0 Complet et intgr: traitant tous les lments critiques une gouvernance et un management efficace et efficient des SI Facile comprendre, facile utiliser, facile mantenir : utilisation de modles, permettant une personnalisation, base de couches, blocks rutilisables, migraion facile, aides la mise en oeuvre, Connect aux autres rfrentiels (ISACA, autres) : plans de migration, mapping, Permettant une valuation des capacits : modle des capacits des processus, Valid : revue dexperts, enqutes, sondages, exposs sondages publiques, Soutenu par des outils : outil en ligne, assistance,
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 21

COBIT 5
A Business Framework for the Governance and Management of Enterprise IT

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

22

COBIT 5 Structure de dveloppement


Framework Committee (11 membres) COBIT 5 Task Force (12 membres) COBIT 5 Development Team (6 personnes + staff) COBIT 5 Development Workshops
Londres : 30 experts Washington : 40 experts

Subject Matter Experts


Premire revue : >140 experts Seconde revue: > 160 experts >1400 commentaires

Expos sondage
Conception : > 600 responses, 3000 commentaires Volume 1 : Rfrentiel et Volume 2 : Processus : > 300 rponses

Plusieurs Task Forces for les extensions de COBIT 5 : Securit, Risque, Audit, IRM,
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 23

COBIT 5 Livrables
Pages

Volume 1 : A Business Framework for the Governance and Management of Enterprise IT Volume 2 : Enabling Processes

94

230

78

Volume 3 : Implementation

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

24

COBIT 5 Livrables
Volume 1 : A Business Framework for the Governance and Management of Enterprise IT
Executive Summary Overview of COBIT 5 Principle 1 : Meeting Stakeholders Needs Principle 2 : Covering the Enterprise from End-to-end Principle 3 : Applying a Single Integrated Framework Principle 4 : Enabling a Holistic Approach Principle 5 : Separating Governance from Management Implementation Guidance The COBIT 5 Process Capability Model
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 25

COBIT 5 Livrables
Volume 1 : A Business Framework for the Governance and Management of Enterprise IT
Appendix A : References Appendix B : Detailed Mapping Enterprise Goals IT- related Goals Appendix C : Detailed Mapping IT-related Goals IT-related Processes Appendix D : Stakeholder Needs and Enterprise Goals Appendix E : Mapping of COBIT 5 with most relevant related standards and frameworks (ISO/IEC 38500, ITIL V3 2011 - ISO/IEC 20000, ISO/IEC 27000 Series, ISO/IEC 3100 Series, TOGAF, CMMI, PRINCE2) Appendix F : Comparison between COBIT 5 Information Reference Model and the COBIT 4.1 information criteria Appendix G : Detailed description of COBIT 5 Enablers Appendix H : Glossary

Appendix G: Detailed description of COBIT 5 Enablers


Introduction COBIT 5 Enabler : Principles, Policies and Frameworks COBIT 5 Enabler : Processes COBIT 5 Enabler : Organisational Structures COBIT 5 Enabler : Culture, Ethics and Behaviour COBIT 5 Enabler : Information COBIT 5 Enabler : Services, Infrastructures and Applications COBIT 5 Enabler : People, Skills and Competencies
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 26

COBIT 5 Livrables
Volume 2 : Enabling Processes
Introduction The Goals Cascade and Metrics for Enterprise Goals and IT-related Goals
COBIT 5 Goals Cascade : Stakeholders Drivers, Stakeholders Needs, Enterprise Goals, Enterprise Goals, IT Goals, Enabler Goals Using the COBIT 5 Goals Cascade 17 Enterprise Goals, 17 IT-related Goals, 59 IT-related Goals metrics Metrics : Enterprise, IT

The COBIT 5 Process Model


Enabler Performance Management

The COBIT 5 Process Reference Model


Governance and Management Processes (5 governance processes and 32 management processes) Model

COBIT 5 Process Reference Guide Contents


Inputs and Outputs Generic Guidance for Processes : EDM : Evaluate, Direct and Monitor APO : Align, Plan and Organize BAI : Build, Acquire and Implement DSS : Deliver, Service and Support MEA : Monitor, Evaluate and Assess 129 IT Process Goals 266 IT Process Goal Metrics 207 IT Practices 26 business and IT roles in IT Practices 1108 IT Activities

Appendix A : Mapping between COBIT 5 and legacy ISACA Frameworks Appendix B : Detailed Mapping Enterprise Goals and IT-related Goals Appendix C : Detailed Mapping IT-related Goals and IT-related Processes
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 27

COBIT 5 Livrables
Volume 3 : Implementation
Introduction Positioning GEIT Taking the first steps towards GEIT Identifying implementation challenges and success factors Enabling change Implementation life cycle tasks, roles and responsibilities Using the COBIT 5 components Appendix A : Mapping Pain Points to COBIT 5 Processes Appendix B : Example Decision Matrix Appendix C : Mapping Example Risk Scenarios to COBIT 5 Processes Appendix D : Example Business Case Appendix E : COBIT 4.1 Maturity Attribute Table
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 28

COBIT 5 : Caractristiques cls


5 principes
Focalis sur la cration de valeur pour les parties prenantes Couvrant lentreprise de bout en bout Rfrentiel Intgrateur Facilitant une approche holistique Structur autour de la Gouvernance et du Management Processus Information Principes & Politiques Culture, Ethique & Comportement Structures Organisationnelles Comptences Capacit de Services Avantages (Benefits), Risques, Resources 3 aspects de gouvernance (EDM) : 5 processus 4 aspects de management (PBRM) : 32 processes
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 29

7 catgories de leviers
4 dimensions gnriques par levier parties prenantes objectifs cycle de vie bonnes pratiques (attributs) 2 types dInicateurs de performance lead indicators lag indicators

Cration de valeur : 3 objectifs


Levier processus

COBIT 5 : Principes

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

30

COBIT 5 P1 : Focalis sur les parties prenantes Cration de valeur


Qui sont les Parties Prenantes? Quels sont leurs intrts? Quelles avantages (benefits) ? Avantages (Benefits) pour qui? Quels niveau de risques ? Risques pour qui? Quelles ressources? Ressources de qui et pour qui?

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

31

COBIT 5 P1 : Focalis sur les parties prenantes


Cascade des objectifs
Mcanismes pour traduire les facteurs business dclenchant en objectifs business, objectifs SI et objectifs leviers spcifiques, exploitables et personnalises Ces besoins concernent les objectifs de gouvernance de tout type dentreprise : crer des avantages (benefits), un niveau de risque acceptable en utilisant les ressources de manire optimise Cette traduction permet ltablissement dobjectifs spcifiques chaque niveau et pour chaque domaine de lentreprise en appui aux objectifs densemble et aux attentes des parties prenantes Les besoins des Parties Prenantes sont influencs par un certain nombre de facteurs Modification de Stratgie Modification denvironnement business et rglementaire Evolutions technologiques, .
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 32

COBIT 5 P2 : Couvrant lentreprise de bout en bout

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

33

COBIT 5 P3 : Rfrentiel intgrateur


Align avec les autres rfrentiels pertinents, ce qui permet dutiliser COBIT 5 en tant que rfrentiel gnral de gouvernance et de management Intgre lensemble des rfrentiels existants de lISACA en un seul rfrentiel Propose une architecture simple pour structurer lensemble des rfrentiels, directives, bonnes pratiques et autres tudes (livres blancs,...)
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 34

COBIT 5 P4 : Facilitant une approche holistique


COBIT 5 Leviers : Modle systmique avec des leviers inter-agissant
Les interconnections illustrent le fait quun levier A besoin dinputs des autres leviers pour tre efficace (e.g. les processus ont besoin dinformation, les structures organisationnelles ont beoin de personnes, les personnes ont besoin de comptences et de comportememts, et vice versa) Livre des outputs au service dautres leviers e.g. les processus livre de linformation, les comptences et les comportements font que les processus soient efficients, Ex : Le besoin dune information scurise ncessite quun certain nombre de directives et de procdures soit cr et mis en oeuvre. Ces directives leur tour ncessite que des pratiques soient mis en oeuvre. Nanmoins, si la culture dentreprise et du personnel nest pas approprie les procdures et les processus ne seront pas trs efficaces
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 35

COBIT 5 P4 : Facilitant une approche holistique


Tous les leviers ont des dimensions communes qui : Fournissent une manire simple, structur et commune de traiter les leviers Permettent une entit de manager ses interactions complexes Favorisent des rsultats positifs de ces leviers

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

36

COBIT 5 P5 : Structur autour de la Gouvernance et du Management


Gouvernance (EDM)
La Gouvernance sassure que Les besoins, conditions et options des parties prenantes soient valus pour dterminer des objectifs dentreprise quilibrs et accepts dtre atteints Les orientations soient fixes au travers de prioritisation et prise de dcision Le suivi de la perfomance de la conformit soit effectu par rapport aux orientation et objectifs pr-dtermins

Management (PBRM)
Le Management planifie, construit, exploite et suit les activits de manire aligne avec les orientations fixes par les organes de gouvernance pour atteindre les objectifs dentreprise

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

37

COBIT 5 Modle de Rfrence des Processus


Il illustre tous les processus IT normalement trouve dans une entreprise, fournissant un modle de rfrence commun comprhensible aussi bien par les managers business et informatiques. Le modle propos est complet mais nest pas le seul possible Chaque entit doit dfinir ses propres processus en prenant en compte son contexte spcifique

Combien de processus illustrs? Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 37!

38

COBIT 5 Contenu du Guide Enabling Processes


Identification du Processus : Index, Nom, Zone, Domaine Description du processus But du processus Objectifs IT associs and Mtriques correspondants

17 Objectifs IT, 59 Mtriques IT Objectifs des Processus et mtriques correspondants


Gouvernance : 15 Objectifs de Processus IT et 37 mtriques des Processus IT
Management : 114 Objectifs de Processus IT et 229 mtriques des Processus IT

Tableaux RACI : 26 rles Business et IT concerns par les 207 pratiques IT Descriptions dtailles des pratiques
Description, inputs et outputs avec leur origine/destination, activits Gouvernance : 12 Pratiques IT de Gouvernance et 79 activits IT de Gouvernance Management : 195 Pratiques IT de Management et 1029 activits IT de Management

Rfrences et guides
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 39

COBIT 5 Information : Cycle


Figure 35COBIT 5 MetadataInformation Cycle

Generate and Process

Business Processes IT Processes

Drive

Data

Value

Information
Transform Transform

Knowledge
Create

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

40

COBIT 5 Information : Critres


Qualit intrinsque : valeurs des donnes en conformit aveC les valeurs relles
Exactitude : correcte et fiable Objectivit : non biaise et impartial Crdibilit : considre comme vraie et crdible Rputation : bien considre en termes de source et de contenu

Qualit contextuelle et reprsentationnelle : sapplique la tache de lutilisateur de linformation et est prsent de manire claire et intlligible
Pertinence : applicable et utile pour la tche effectuer Exhaustivit : pas absente et un niveau suffisant pour la tche effectuer Actualit : suffisamment jour pour la tche effectuer Quantit dinformation approprie : approprie pour la tche effectuer Reprsentation concise : reprsente de manire compacte Reprsentation constante : prsente dans le mme format Interprtabilit :dans des langages, symboles et units appropris, et dfinitions claires Comprhensibilit : facilement comprhensible Facilit de manipulation : facile manipuler et appliquer aux diffrentes tches

Qualit de scurit et daccs : disponible et laquelle on peut accder


Disponibilit : disponible lorsque cela est requis, ou facilement et rapidement rcuprable Accs restreint : accs restreint aux entits autorises et actions dsires
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 41

COBIT 5 Information : Attributs


A. Niveau physique: Media de linformation (papier, signaux lectriques, ondes sonores) B Niveau empirique: Canal daccs (interfaces utilisateurs) C. Niveau syntactique: Code/langage/format D. Niveau smantique: Sens de linformation
Type dinformation: financier/non financier, interne/externe, valeurs prvisionnelles/valeurs observes Actualit de linformation: information sur la pass, le prsent, le futur Niveau daggrgation: ventes par anne, trimestre, mois,

E. Niveau pragmatique: Utilisation de linformation


Priode de rtention: pendant combien de temps faut-il conserve linformation avant de la dtruire Statut de linformation: information est oprationnelle ou historique Nouveaut: nouvelle connaissance ou confirmation de la connaissance existente (i.e. information vs confirmation) Contingence: est requise pur prcder cette information (pour quelle soit considre comme de linformation)

F. Niveau social: Contexte (contrats, loi, culture)


Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 42

COBIT 5 Information : Attributs


La conception et les spcifications du nouveau systme doivent indiquer : Niveau physique O est conserve linformation? Niveau empiriqueComment peut-on y avoir accs? Niveau syntactiqueComment sera-t-elle structure et codifie? Niveau smantiqueQuelle sorte dinformation? Quel est le niveau dinformation? Niveau pragmatiqueQuels sont les dlais de rtention? Quelles autres informations sont requises pour que cette information soit utile et utilisable?

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

43

COBIT 5 Structures Organisationnelles: Attributs


Composition : Les structures sont composes de membres qui sont ou reprsentent des parties prenantes internes et externes. Ils ont un rle spcifique en fonction du contexte de la structure Primtre : Frontires des droits dcisionnels de la structure organisationnelle Niveau dautorit: Dcisions que la structure est autorise prendre Principes oprationnels : Modalits pratiques de fonctionnement de la structure (frquence des runions, documentation, rgles,) Pouvoirs de dlgation : Structure peut dlguer ces droits dcisionnels (ou un sosu-ensemble) dautres structures qui lui sont rattaches Procdures descalade : Le circuit descalade dcrit les actions ncessaires en cas de problmes pour prendre des dcisions
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 44

COBIT 5 Principes, Directives et Rfrentiels: Attributs


Hierarchie : principes, politiques, directives, normes, rglements, standards, recommendations, avis, guides, Primtre Validit Principes Oprationnels
Consquences suite la non conformit avec une politique Mcanismes pour traiter les exceptions Manire par laquelle la conformit avec une politique sera vrifie et mesure

Politiques doivent tre alignes aux niveaux dapptit et de tolrance au risque


Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 45

COBIT 5 Personnes et Comptences: Attributs


Position Education Qualifications Exprience Savoir/Connaissance Savoir faire Savoir tre
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 46

COBIT 5 Culture, Ethique et Comportements Attributs


Aussi bien pour les organisations que pour les individus Valeurs Comportement
Prise de risques Non conformit Rsultats (positif, negatif, ) : apprendre, blmer,

Incitations Elments disuasifs


Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 47

COBIT 5 Capacits de services : Attributs


Services : Applications, Infrastructure, . Niveaux de service Architecture Rutilisation Acquisition / Dveloppement Simplicit Agilit Ouverture

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

48

COBIT 5 Guide de Mise en Oeuvre

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

49

COBIT 5 Evaluation de Capacit des Processus


Le modle de maturit des processus de COBIT 4.1 remplac par le modle de capacit bas sur ISO/IEC 15504 pour saligner et appuyer une initiative spcifique de l ISACA: Programme dvaluation de COBIT Plusieurs bnfices associes
Focalisation sur le fait de confirmer quun processus atteint son but et livre les rsultats attendus Simplification du contenu appuyant lvaluation du processus Fiabilit et rptabilit amliores des activits dvaluation de la capacit des processus, diminution des dbats et dsaccords entre parties prenantes sur les rsultats des valuations. Amlioration de lutilisabilit des rsultats de lvaluation, dans la mesure o la nouvelle approche tablit une base pour des valuations plus formelles et rigoureuses, pour des besoins aussi bien internes quexternes. Conformit avec un standard gnralement accept dvaluation des processus et donc meilleur soutien du march pour ce type dapproche
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 50

COBIT 5 Modle de Capacit des Processus Comparaison

COBIT 5 Modle de Capacit des Processus Comparaison

COBIT 5 Sommaire des caractristiques nouvelles


Augmentation de la couverture horizontale de linformation et de la technologie associe en tant quactif de lentreprise
Complet : couvre non seulement les processus mais aussi les autres leviers ncessaire une gouvernance et un management efficace et efficient des SI
7 categories de leviers : structures organisationnelles, principes et directives, etc

Approche systmique : interdpendence dynamique des interconnections Couvre lensemble du cycle de vie (cration la destruction)

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

53

COBIT 5 Sommaire des caractristiques nouvelles


Augmentation de la couverture verticale avec le business
Point de dpart : parties prenantes et cration de valeur pour elles (bnfices pour qui? risques pour qui? ressources de et pour qui?) Cascade des objectifs : partir des objectifs business, aux objectifs SI, aux objectifs des leviers Mtriques de rsultats et mtriques de performance des leviers Modle dvaluation de la capacit des leviers Modles gnriques de gouvernance et de management (objectifs, leviers, critres de qualit, capacit, etc..) pouvant couvrir toutes les fonctions de lentreprise Modle relative linformation: linformation est la plus forte connection entre le business et la technologie
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 54

COBIT 5 Sommaire des caractristiques nouvelles


Intgre ou se connecte aux autres rfrentiels
ISACA : COBIT 4.1, VAL IT, RISK IT, BMIS Externes : ISO, ITIL,

Permet la personnalisation en fonction de son contexte spcifique


Reli aux objectifs des parties prenantes Intgrant les processus et activits spcifiques son entreprise Utilisant des critres de qualit contextuels Aides/directives spcifiques pour des contextes spcifiques

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

55

COBIT 5 Sommaire des caractristiques nouvelles


Facile comprendre, utiliser et maintenir
Structure flexible et exhaustive Modles gnriques qui peuvent couvrir nimporte lequel des fonctions de lentreprise Langage cohrent Concepts clarifis: gouvernance, management, qualit, securit, Base de connaissances commune Abilit fournir des vues spcifiques pour des populations, problmatiques et leviers particuliers Aide prvue avec des outils en ligne : remplacement de COBIT Online, Web 2.0, centres de connaissance par sujet, .
Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 56

Benefices lis lutilisation de COBIT 5


Au niveau de lenterprise
Augmentation de la confiance dans la cration de valeur au travers dune gouvernance et dun managementt efficace de linformation et des technologies associes Augmentation de la satisfaction des utilisateurs business avec les services informatiques, linformatique tant considr comme levier cl Amlioration de la conformit avec les lois, rglementations et politiques Amlioration de la transparence dans la prise de dcision

Fonction Informatique plus focalise sur le business


Plus dagilit, dalignement avec le business, doptimisation des ressources et des risques

Augmentation des contributions des utilisateurs de COBIT 5


Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 57

COBIT 5 Suite

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

58

COBIT 5 : Prochains livrables

Patrick Stachtchenko : Runion AFAI du 25 janvier 2013

59

COBIT 5 : Prochains livrables


Vues tendues de COBIT 5
Publi : Securit (220 pages de bonnes pratiques de gouvernance et de managemet couvrant les 7 leviers avec des exemples)
principes (3) et directives (13) type de comptences (7) structures organisationnelles (5) type dinformation (10) et parties prenantes (34) type de comportements (8) capacits de services (27) objectifs des processus (79), pratiques (188), activits (378) et mtriques (154)

En cours : Risque, Assurance, Information Reference Guidance Autres ? (Avantages i.e. Benefits, PME, Directions Gnrales, Privacy, etc)

COBIT Online development : Facteur cl du succs oprationnel de COBIT 5


Identification des fonctionnalits : confrence calls, enqute auprs de 600 personnes, groupe de travail, Possibilit dintgrer des volutions ou guides pratiques supplmentaires ? Connexion linitiative Stratgie 2022 de lISACA (Membership des organisations?, Guides sectoriels?, .)

Rfrentiel de Gouvernance et de Management intgr (Business et IT) : Illustrations et guides pratiques ?


Patrick Stachtchenko : Runion AFAI du 25 janvier 2013 60

COBIT 5 Futur?
Impact des tendances IT sur les rfrentiels/guides
Internet of things (10 B appareils accdant internet, 20 50 B appareils en rseau, 1,7 B de mobiles accdant nternet)
Proccupations : autonomisation des utilisateurs, problmes organisationnels Gartner : Les utilisateurs prendront plus de contrle des appareils quils utilisent

Explosion de linformation Digitale (5 dernires annes x 10, 10 prochaines annes x 50)


Proccupations : cration de valeur, traitement des donnes personnelles, structures orgnanisationnelles Gartner : Avant 2015, > 85% des entreprises du Fortune 500 seront dfaillantes en matire dexploitation du big data pour leur avantage concurrentiel Rle du DSI: leaders de services business, intgrateurs de service business, rles diffus entre le DSI et le business, plus architecte de solutions et managers de fournisseurs Gartner : Avant 2015, 35% des dpenses corporate IT seront manages lextrieur de la DSI. Les DSI auront coordonner ceux qui ont les budgets, dlivrent les services, scurisent les donnes, et les utilisateurs qui souhaiteront mettre en oeuvre et utiliser lIT leur propre rythme. InformationWeek Priorit N 2 du DSI: Make IT one with the business

Fournisseurs Cloud : augmentation de leur diffusion et de leur dpendance


Gartner : A la fin 2016, > 50% des 1000 companies les plus importantes dans le monde auront des donnes clients dans le public cloud . 40% des entreprises feront dune attestation indpendante de test de securit du cloud un prrequis pour lutilisation de leurs services dans le cloud

Focalisation plus importante sur les risques oprationnels

Gouverner et Manager lintroduction de ces tendances est une 61 des proccupations IT les plus importantes