Académique Documents
Professionnel Documents
Culture Documents
Page 1
CobiT
R
Au sommaire
CobiT et la gouvernance TI. Prsentation gnrale de CobiT.
Historique de CobiT. Les cinq axes stratgiques. Les autres
rfrentiels de la gouvernance des TI. Le pilotage stratgique.
Le management de la scurit. ITIL : le management des
services. Le management des tudes. Les modles "qualit".
Apprhender CobiT. Documents et publications autour de
CobiT. qui s'adresse CobiT ? Les limites : ce que CobiT n'est
pas. Description dtaille des processus. Planifier et Organiser. Acqurir et Implmenter. Dlivrer et Supporter. Surveiller
et valuer. Mettre en oeuvre CobiT. CobiT pour l'audit. Le
code professionnel d'thique. La mission d'audit. Le contrle
interne. L'outil Quick Scan. CobiT fdrateur. Le pilotage
stratgique. Conjuguer ITIL et CobiT. CobiT et la norme
ISO/IEC 27002. CobiT et la norme ISO/IEC 27001. CobiT et
CMMi. La certification. Transformer la DSI. CobiT Quickstart.
Pour un dploiement tag. Annexes. Glossaire. Objectifs
du systme d'information et processus CobiT.
CobiT
Les auteurs
Dominique Moisand a occup divers postes
responsabilit au sein de PricewaterhouseCoopers
avant de crer en 1990 le cabinet ASK, conseil en
management et organisation, qui s'attache notamment amliorer la gouvernance des systmes
d'information des grands comptes. Vice-prsident
de lAFAI (Association franaise de laudit et du
conseil informatiques) pendant cinq ans, il a collabor plusieurs traductions des ouvrages de
lISACA et diverses publications : Matrise douvrage et matrise duvre, Audit des projets, Le
client pivot de la gouvernance Il anime avec
Fabrice Garnier de Labareyre des sminaires sur la
convergence des rfrentiels de la DSI.
frence incontournable au sein de la communaut des auditeurs informatiques depuis plus de dix ans, CobiT (Control
OBjectives for Information and related Technology) est
devenu un standard de la gouvernance des systmes dinformation.
Publies par lISACA (Information Systems Audit and Control
Association) et lITGI (Information Technology Governance Institute),
les dernires versions 4.0 et 4.1 rpondent tout particulirement aux
problmatiques de management des systmes dinformation.
9 782212 124279
ISBN : 978-2-212-12427-9
39
FABRICE
10/12/08
DOMINIQUE MOISAND
GARNIER DE LABAREYRE
12427_Cobit_17x23
D O M I N I Q U E M O I S A N D
FABRICE GARNIER DE LABAREYRE
CobiT
Implmentation ISO 27001
CobiT
Pour une meilleure gouvernance
des systmes d'information
D O M I N I Q U E M O I S A N D
F A B R I C E G A R N I E R D E L A B A R E Y R E
CobiT
Pour une meilleure gouvernance
des systmes d'information
DITIONS EYROLLES
61, bd Saint-Germain
75240 Paris Cedex 05
www.editions-eyrolles.com
Prface
Prolifration de modles et de sigles, contraintes de plus en plus fortes,
exigence croissante de matrise de leurs activits : les DSI ne savent plus
parfois quel saint se vouer.
Par o commencer ? ISO, CobiT, ITIL, Lean, CMMi? Pour le nophyte, cest
tout un nouveau continent explorer. Louvrage de Dominique Moisand et
de ses collaborateurs a pour premier mrite de resituer tous ces modles
dans leur perspective relle.
Issu de laudit, dans sa partie noble qui consiste non dnoncer les imperfections mais aider le responsable progresser dans son mtier, CobiT
est devenu un formidable outil dorganisation du mtier de DSI. Par son
approche rigoureuse des processus qui rglent la vie de linformatique en
entreprise, par ladoption progressive de rfrentiels (vocabulaire, concepts,
mesures) qui simposent toute notre profession, il devient la cl de vote
de la dmarche damlioration continue qui simpose tous.
Malgr tout, son adoption se heurte encore bien souvent au caractre parfois sotrique des manuels de rfrence, le manager oprationnel hsitant
se lancer dans un projet quil ne se sent pas capable de matriser.
Cet ouvrage vient combler cette lacune : dmystifier, rendre immdiatement accessibles les concepts soutenant la dmarche CobiT, et proposer
une manire simple et rapide de dmarrer le projet dutilisation de ce rfrentiel dans toutes les entreprises.
Grer une informatique dentreprise est une science encore jeune et imparfaite mais dont limportance ne cesse de crotre, avec lmergence acclre de ce monde numrique indispensable toute activit conomique.
Gageons que la lecture de ce livre dcidera nombre de DSI qui ne lont pas
encore fait sauter le pas, sengager dans cette voie de lexcellence.
Sans oublier le vieux proverbe plus ou moins chinois :
Les modles sont de bons serviteurs et de mauvais matres.
Didier Lambert, ancien prsident du Cigref
et DSI dEssilor
Historique de CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
CobiT et la gouvernance TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Lapport de CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
Le COSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
11
12
Le management de la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
14
14
15
16
19
20
ITIL V3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
21
22
22
24
24
VII
Le modle EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
25
Le dveloppement durable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
29
Description gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
29
30
32
36
destination de la direction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
37
37
37
Autres publications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
38
38
43
44
46
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
46
Partie II
Description dtaille des processus
Chapitre 4 Planifier et Organiser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
51
55
59
68
73
76
81
84
88
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
93
VIII
95
99
IX
Partie III
Mettre en uvre CobiT
Chapitre 8 CobiT pour laudit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
Le code professionnel dthique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197
La mission daudit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198
Lapport de CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199
Le contrle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200
Loutil Quick Scan de CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Quick Scan en quelques mots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
Quick Scan en questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203
223
223
224
224
225
225
227
231
Partie IV
Annexes
Annexe I Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235
Annexe II Objectifs du systme dinformation et processus CobiT . . . . . 243
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
XI
Avant-propos
Cet ouvrage sadresse tous ceux qui sintressent la gouvernance des
systmes dinformation. En raison du foisonnement des rfrentiels et des
standards, il est indispensable de situer CobiT V4.1 dans cet ensemble.
Nous avons retenu quatre grands courants qui alimentent cette recherche
incessante : lISACA (Information System Audit and Control Association), association base aux tats-Unis, trs active dans le monde entier et qui est
lorigine de CobiT ; le SEI (Software Engineering Institute) dont les recherches
ont abouti la cration de CMMi ; lOGC (Office of Government Commerce), trs
prsent en Grande-Bretagne, en particulier lorigine dITIL, et enfin lISO
(Organisation internationale de normalisation) qui accompagne ces travaux
en les insrant dans un cadre juridique normatif.
La premire partie de ce livre est consacre une prsentation gnrale de
CobiT et des autres rfrentiels. Le chapitre 1 rappelle lhistorique qui a
conduit des premires versions de CobiT, orientes rfrentiels daudit,
la srie des versions 4, axes en priorit guide de management . Le chapitre 2 brosse un rapide tableau des principaux rfrentiels auxquels le DSI
doit se confronter, soit parce quil sagit de standards de facto ou parce que
leur apport dans la gouvernance des systmes dinformation est incontournable. Le chapitre 3 permet dapprhender CobiT comme fdrateur des
principaux rfrentiels. Il reprend tout dabord lessentiel de la prsentation
de louvrage de lAFAI sur la V4.1 de CobiT, puis dcrit la multitude de
documents disponibles sur le site www.isaca.org (en anglais) la date
de parution de ce livre. Ce chapitre sert dintroduction la partie suivante.
La deuxime partie offre une lecture commente de CobiT en dtaillant ses
34 processus selon quatre chapitres, correspondant aux quatre domaines
de processus du rfrentiel : Planifier et Organiser, Acqurir et Implanter,
Dlivrer et Supporter, Surveiller et valuer. Au sein de ces chapitres, les
processus sont dcrits en respectant un plan standardis.
La troisime partie aborde la mise en uvre de CobiT, avec trois cibles : la
premire correspond laudit, le cur de cible initial de CobiT depuis
quinze ans environ, la deuxime place CobiT en fdrateur des autres rfrentiels de la gouvernance, et la troisime aborde le dploiement de CobiT
partir dexemples prcis. En synthse, nous proposons une sorte de
XIII
Avant-propos
XIV
PARTIE
CobiT et
la gouvernanceTI
La gouvernance des Technologies de lInformation (TI) regroupe
lensemble du systme de management (processus, procdures, organisation) permettant de piloter les TI. Cette proccupation est une dclinaison
de la volont dassurer une gouvernance dentreprise (corporate gouvernance).
Il existe un grand nombre de rfrentiels qui refltent les bonnes pratiques
mises au point au fil des annes. On peut sen tonner. La ralit est que
chacun deux part dune proccupation particulire : la scurit, la qualit,
les services offerts aux clients, laudit, le dveloppement de projet, etc.
Cest un mal ncessaire pour que chaque fonction se reconnaisse dans ses
propres pratiques. Simultanment se pose la question de la mise en place
dun cadre global, unique pour la DSI, qui rponde toutes les attentes.
CobiT se positionne la fois comme un rfrentiel daudit et un rfrentiel
de gouvernance. Sur le plan de la gouvernance, il se place demble en alignement avec les mtiers et la stratgie de lentreprise. Au-del de ces
positionnements, CobiT est conu, dvelopp et amlior en permanence
pour fdrer lensemble des rfrentiels en rapport avec les TI.
Lensemble de cette problmatique, gouvernance des TI, diversit des rfrentiels et convergence pour la DSI, est traite dans cette premire partie,
qui prsente galement la structure de base de CobiT.
Chapitre 1
Prsentation
gnrale de CobiT
Historique de CobiT
CobiT est le rsultat des travaux collectifs raliss par les principaux
acteurs de la profession, auditeurs internes ou externes, fdrs au sein de
lISACA (Information System Audit and Control Association). Cette association
mondiale base aux tats-Unis est dploye dans les plus grandes villes
du monde. Elle est reprsente en France par lAFAI (Association franaise
pour laudit et le conseil en informatique).
Dans ses premires versions, publies partir de 1996, CobiT (Control
OBjectives for Information and related Technology) se positionne comme un
rfrentiel de contrle. Il dcline sur le domaine IT les principes du
rfrentiel COSO (Committee of Sponsoring Organizations of the Treadway
Commission), publis pour la premire fois en 1992 et dont lobjectif est
daider les entreprises valuer et amliorer leur systme de contrle
interne.
La mise en chantier de CobiT rsultait donc de la volont des auditeurs
de rpondre aux exigences du COSO et de partager les mmes plans
daudit. La plupart des grands cabinets daudit internationaux (les big 6
lpoque) y ont particip. Cest ainsi devenu un standard de fait, au
moins pour les auditeurs informatiques. On y trouvait lessentiel de la
structuration actuelle en domaines, processus et objectifs de contrle
dtaills.
En 1998, lITGI (Information Technology Governance Institute) a t cr sur linitiative de lISACA, en rponse la place de plus en plus importante
occupe par les technologies de linformation. En effet, dans la plupart des
organisations ou des entreprises, lun des principaux facteurs de succs
rside dans la capacit des systmes dinformation apporter la fois la
La gnralisation de la loi SOX ou de ses dclinaisons locales ou sectorielles (IFRS, International Financial Reporting Standards, LSF, Loi de scurit
financire, normes Ble II) a considrablement renforc le rle des auditeurs. Ces dispositions rglementaires ont acclr la diffusion de CobiT
comme rfrentiel de contrle et de gouvernance des SI. Ensuite, lISACA a
publi successivement la version 4 (dcembre 2005) puis la version 4.1
(2007) de CobiT, en regroupant deux visions : le contrle et le management des systmes dinformation (SI) et, plus largement, des technologies
de linformation (TI)1.
CobiT et la gouvernance TI
Lapport de CobiT
En tant que rfrentiel de la gouvernance des systmes dinformation, le
primtre de CobiT dpasse celui dvolu la direction des systmes
dinformation pour englober toutes les parties prenantes des SI dans
lentreprise (stakeholders1). Ainsi, selon CobiT, la gouvernance des systmes dinformation est de la responsabilit des dirigeants et du conseil
dadministration, elle est constitue des structures et processus de commandement et de fonctionnement qui conduisent linformatique de
lentreprise soutenir les stratgies et les objectifs de lentreprise, et lui
permettre de les largir .
Contrles mtier, gnraux et applicatifs : limites
RESPONSABILITE METIER
Contrle mtier
RESPONSABILITE IT
Contrle gnral IT
RESPONSABILITE METIER
Contrle mtier
Planifier et
Organiser
Exigences de
fonctionnement
Exigences de
contrle
Acqurir et
Implmenter
Dlivrer et
Supporter
Services
automatiss
Surveiller et
Evaluer
CONTROLES APPLICATIFS
1. Stakeholders :
reprsente lensemble
des acteurs concerns
par la gouvernance
des SI, aussi bien
les actionnaires et
la direction gnrale
que les mtiers.
Ce terme est souvent
traduit par les parties
prenantes.
Les membres de lISACA utilisent CobiT dans de nombreux secteurs dactivit travers le monde. Les spcificits culturelles et les diffrences
davance de dveloppement sur le plan technologique ne semblent pas
limiter ladquation de CobiT pour lalignement des systmes dinformation
aux objectifs stratgiques de lentreprise.
Lapport de valeur
Consiste mettre en uvre la proposition de valeur
ajoute tout au long de la fourniture du service,
sassurer que linformatique apporte bien les bnfices
attendus sur le plan stratgique, sattacher optimiser
les cots et prouver la valeur intrinsque des SI.
Lalignement stratgique
Consiste sassurer que les plans informatiques restent
aligns sur les plans des mtiers, dfinir, tenir jour et
valider les propositions de valeur ajoute de
linformatique, aligner le fonctionnement de
linformatique sur le fonctionnement de lentreprise.
Apport de valeur
Gestion des
risques
La gestion des ressources
Consiste optimiser linvestissement dans les
ressources informatiques vitales et bien les grer :
applications, informations, infrastructures et personnes.
Les questions cls concernent loptimisation des
connaissances et de linfrastructure.
Gestion des
ressources
Mesure de la
performance
La mesure de la performance
Consiste en un suivi et une surveillance de la mise en
uvre de la stratgie, de laboutissement des projets,
de lutilisation des ressources, de la performance des
processus et de la fourniture des services, en utilisant
par exemple des tableaux de bord quilibrs qui
traduisent la stratgie en actions orientes vers le
succs dobjectifs mesurables autrement que par la
comptabilit conventionnelle.
Lalignement stratgique
Les activits informatiques prennent de plus en plus dimportance dans le
fonctionnement des mtiers de lentreprise. Il est donc indispensable que
la rponse de linformatique soit celle attendue par les mtiers. Prenons, par
exemple, une direction marketing qui souhaite lancer un nouveau produit
ou service. Il est indispensable de sassurer que les exemplaires de ce produit,
lorsquils seront disponibles, pourront tre commands puis facturs. Si le
canal de commande est le Web, la disponibilit de lapplication de commande en ligne doit tre assure avec lensemble des lments ncessaires
la commande du produit (rfrences, prix, conditions particulires, etc.).
Par alignement stratgique, il faut donc entendre la capacit fournir les
services souhaits en temps et en heure avec le niveau de qualit requis.
Dans le cas de notre direction marketing, cela signifie que le projet de mise
disposition de commande en ligne doit tre identifi et prioris ds la
rflexion amont par la direction marketing, ceci afin dtre dans les temps
au moment de lannonce du produit au march. Lalignement stratgique
se matrialise par un plan stratgique qui devra traiter des budgets
dinvestissements et de fonctionnement, des sources de financement, des
stratgies de fourniture et dachats tout en intgrant les exigences lgales
et rglementaires.
Lapport de valeur
Linformatique doit galement pouvoir apporter un gain identifiable dans
la bonne excution des processus mtier. Dans le cas de notre direction
marketing, lapport de valeur va se matrialiser par la mise en place dun
canal de distribution adressant une nouvelle clientle. Il permettra la vente
permanente du produit tout en saffranchissant des contraintes de la distribution classique organise autour dun lieu gographique et de plages
horaires plus limites que laccs Web. Dans le processus de distribution,
lapport de linformatique doit pouvoir tre mesur afin didentifier la
valeur apporte en termes de volume de ventes, de progression de chiffre
daffaires et de marge par rapport aux prvisions. Lapport de valeur se
concrtise par la matrise des processus de fonctionnement en termes
defficacit et defficience. Ceci vient complter le processus de pilotage
des investissements qui traitera des cots, des bnfices et des priorits
en fonction de critres dinvestissement tablis (ROI [Return On Investment],
dure damortissement, valeur nette actuelle).
La gestion des ressources
1. Make or buy : dcision stratgique de
coner une activit
un tiers ou de la dvelopper en interne.
Ainsi, par exemple,
les centres dappel
pour le support informatique sont souvent
cons des tiers. Les
raisons de ce choix
sont multiples : comptences mobiliser,
masse critique, professionnalisation,
logistique, temps de
mise en uvre, prix.
Les ressources pour mesurer lactivit informatique doivent tre optimales pour rpondre aux exigences des mtiers. Dans notre exemple de
direction marketing, cela revient dire que les ressources humaines et
technologiques sont mobilises au mieux en termes de volume, dexpertise/comptences, de dlai et de capacit. Cette gestion des ressources se
matrialise par une cartographie des comptences et un plan de recrutement/formation en ce qui concerne les ressources humaines. Cette gestion des ressources est articule la gestion des tiers afin doptimiser le
make or buy1.
Les ressources technologiques font partie du primtre et donneront lieu
un plan dinfrastructure. Celui-ci traitera des orientations technologiques, des acquisitions, des standards et des migrations. Dans ce cas,
la responsabilit du mtier consiste exprimer ses besoins, par exemple,
en termes de capacit (comme le nombre de clients en ligne simultanment).
Chapitre 2
Le pilotage stratgique
Nous allons ici aborder deux approches distinctes de la gouvernance
dentreprise, le COSO et le Balanced Scorecard (BSC).
Le COSO
Le COSO (Committee of Sponsoring Organizations of the Treadway Commission) a
publi en 1992 un cadre de rfrence pour le contrle interne afin daider
les entreprises valuer et amliorer leur systme de contrle interne. Le
contrle interne y est dcrit comme un processus tant sous la responsabilit dune instance constitue dans le but dassurer la ralisation dobjectifs regroups dans les domaines suivants :
efficacit et efficience des oprations ;
fiabilit des rapports financiers ;
conformit aux lois et rglements.
11
12
Contribution et alignement
Clients et utilisateurs
Indicateurs
Indicateurs
Budget informatique
Benchmarks
Performance de lentreprise
Futur et anticipation
Performances oprationnelles
Indicateurs
Approvisionnements
Conduite de projets
Maintenance des applications
Exploitation, Administration
Support...
Indicateurs
Influence sur :
Performances
Benchmarks et tendances
Cots standards
performances
cots
niveaux de services
13
Le management de la scurit
Plusieurs normes, mthodes et rfrentiels de bonnes pratiques en matire
de scurit des systmes dinformation sont disponibles. Ils constituent des
guides mthodologiques ainsi que les moyens de garantir une dmarche de
scurit cohrente.
LISO a entrepris un vaste effort de rationalisation des travaux existants,
donnant naissance la srie de normes ISO/IEC 27000. Ce nombre correspond la rservation dune srie de normes relatives la scurit. ce
jour, seules les normes 27000, 27001, 27002 et 27006 sont publies. Certaines sont obligatoires pour obtenir une certification, les autres ne sont
que de simples guides :
la norme ISO/IEC 27000 prsente le vocabulaire et les dfinitions du
domaine de la scurit, applicables chacun des standards ;
la norme ISO/IEC 27001 dcrit la politique du management de la scurit des systmes dinformation au sein dune entreprise qui sert de rfrence la certification ;
la norme ISO/IEC 27002 constitue le guide de bonnes pratiques de la
scurit des SI ;
la norme ISO/IEC 27003 a pour vocation dtre un guide dimplmentation ;
la norme ISO/IEC 27004 sera un nouveau standard pour le pilotage des
indicateurs et des mesures dans le domaine de la scurit des SI ;
la norme ISO/IEC 27005 sera un nouveau standard sur le management
des risques pour la scurit des SI ;
la norme ISO/IEC 27006 rsume les exigences applicables aux auditeurs
externes dans leur mission de certification sur lISO 27001.
14
Mettre en place et
exploiter le SMSI
tablir le SMSI
Plan
Do
Act
Check
Contrler et
revoir le SMSI
Maintenir et
amliorer le SMSI
15
1. La certication
dun systme de
management de la
scurit de linformation (SMSI) suppose
un cadre de rfrence
qui permette de tracer les mesures qui
ont t retenues et
celles qui ont t
cartes, cest le SoA
(Statement of Availability).
2. Limplmentation
dun processus nest
rien sans la mise en
uvre de sa boucle
damlioration ou
roue de Deming. Elle
consiste implmenter un processus, le
mettre en uvre, en
mesurer les rsultats
puis lamliorer et
ceci rgulirement.
Organisation de la scurit :
organisation humaine, implication hirarchique ;
notion de propritaire dune information et mode de classification ;
valuation des nouvelles informations ;
mode daccs aux informations par une tierce partie ;
cas de lexternalisation des informations.
Classification et contrle des biens.
Scurit du personnel.
Scurit physique :
organisation des locaux et des accs ;
protection contre les risques physiques (incendies, inondations) ;
systmes de surveillance et dalerte ;
scurit des locaux ouverts et des documents circulants.
Communication et exploitation :
prise en compte de la scurit dans les procdures de lentreprise ;
mise en uvre des systmes de scurisation (antivirus, alarmes).
Contrle daccs :
dfinition des niveaux dutilisateurs et de leur droit daccs ;
gestion dans le temps des droits.
Acquisition, dveloppement et maintenance des systmes.
Gestion des incidents.
Management de la continuit de service.
Conformit :
dispositions rglementaires ;
dispositions lgales ;
dispositions internes (politique).
La norme ISO/IEC 27002 est oriente processus et son application dpasse
de ce fait les simples aspects de technique informatique. Elle sintresse
lorganisation du personnel ainsi quaux problmes de scurit physique
(accs, locaux).
16
17
Niveau dvaluation
Critre
EAL1
Test fonctionnellement.
EAL2
Test structurellement.
EAL3
EAL4
EAL5
EAL6
EAL7
Le distinguo entre conu mthodiquement et conu de faon semiformelle ou formelle, rside dans lemploi ou non de techniques dingnierie scurise avres.
Les CC sont utiliss pour certifier les objectifs dvaluation (TOE) par
rapport aux niveaux dvaluation garantir (EAL).
Chaque certification concerne une cible prcise (dsignation du systme
ou du primtre concern par la certification). Une telle cible peut tre, par
exemple :
un systme dexploitation ;
un rseau informatique ;
une application.
La cible est libre, cest le demandeur qui la dfinit. Elle peut tre dcrite
soit par un constructeur, soit par toute autre organisation (entreprise
cliente, pays, administration) qui demande la certification dun produit.
Chaque certificat possde sa propre cible dvaluation, nomme TOE.
18
Les composants
La politique de scurit est dcrite laide de composants qui constituent
des ensembles dexigences de scurit. On trouve des composants fonctionnels (exigences fonctionnelles) et des composants dassurance (garanties apportes). Par exemple, une famille de composants est ddie la
protection des donnes de lutilisateur, une autre la gestion de la configuration.
PP (Protection Profile)
Pour guider les concepteurs et les valuateurs, il existe des ensembles de
critres prdfinis, les profils de protection (on en compte prs de 1 000).
Un PP dfinit un ensemble dobjectifs et dexigences pour une catgorie de
produits. Par exemple, le CELAR (Dlgation gnrale pour larmement,
DGA) a rdig un profil pour pare-feu protection leve afin dinterconnecter deux rseaux ayant des politiques de scurit diffrentes. Le
niveau vis est EAL5+.
ST (Security Target)
Le ST contient la description des menaces et des objectifs de scurit
du produit certifier. Il indique comment on veut valuer le produit
et jusquo on veut aller en matire de scurit. Le ST est rdig partir
du PP.
Au final, cest la DCSSI qui valide lagrment et dlivre le certificat.
19
La structure dITIL V21 fait apparatre sept domaines, dont les deux plus utiliss sont Fourniture des services (Service Delivery) et Soutien des services (Service Support). Ils correspondent la couverture de la certification ISO/IEC 20000.
Le domaine Fourniture des services concerne le moyen terme (planification et amlioration de la fourniture de services) et comprend :
la gestion des niveaux de services ;
la gestion financire ;
la gestion de la capacit ;
la gestion de la continuit de service informatique ;
la gestion de la disponibilit.
Le domaine Soutien des services se focalise sur le quotidien et comprend :
le centre de services (Service Desk) ;
la gestion des incidents ;
la gestion des problmes ;
la gestion des configurations ;
la gestion des changements ;
la gestion des mises en production.
Cette sparation en domaines est trs pratique dans la mesure o elle distingue des ensembles cohrents de processus tout en diffrenciant le quotidien (court terme) du moyen terme. Enfin, il est manifeste que
limplmentation de ces deux domaines constitue la fois une premire
tape pour la gouvernance TI et un minimum en la matire.
La prsentation de la certification ISO/IEC 20000 est lgrement diffrente
dans le regroupement des processus mais reprend lensemble des processus dITIL V2.
Par ailleurs, les cinq domaines couverts par ITIL V2 ne faisant pas lobjet de
certification sont :
Business Perspective, qui concerne les questions dorganisation (organisation
de la production, relations entre les diffrentes rles, fonctions et responsabilits, relations avec les fournisseurs et prestataires externes) ;
Application Management, qui concerne la gestion des relations entre tudes et
exploitation (support applicatif, changement logiciel, mise en production) ;
ICT Infrastructure Management, qui concerne le cycle de vie de linfrastructure (automatisation, maintenance, installation) ;
Security Management, qui concerne le pilotage de la scurit informatique ;
Planning to Implement Service Management, qui concerne la mise en place
dune orientation client au sein de la DSI.
chaque fois, ITIL adopte la mme description des bonnes pratiques
(objectifs, primtre, concepts, bnfices et difficults, mise en place, activits, indicateurs et annexes).
20
Gestion de la scurit de
linformation
Budgtisation et
comptabilisation des
services informatiques
Processus de contrle
Gestion des configurations
Gestion des changements
Processus de mise
en production
Processus de
gestion
des relations
Processus de rsolution
Gestion des incidents
Figure 2-3 : Schma des processus de gestion des services de la norme ISO/IEC 20000-1:2005
ITIL V3
Apparue en 2007, la version V3 du rfrentiel ITIL est base sur cinq livres
principaux prconisant des bonnes pratiques, proposant des complments
par secteur ou par march ainsi que des modles gnriques (cartes de
processus, etc.).
Service Strategy dcrit la stratgie gnrale et lapport de valeur des services.
Il traite de lalignement avec les mtiers et la gouvernance des TI.
Service Design propose des procdures, des architectures et des documents
pour crer les processus de management des services.
Service Transition propose des guides pour intgrer concrtement les
processus de gestion des services entre mtiers et oprations.
Service Operation propose des guides pour raliser les objectifs de qualit
de service dans un souci defficacit et defficience.
Continual Service Improvement propose des guides pour identifier et amliorer les processus. Il combine les mthodes du management de la
qualit et la boucle damlioration PDCA.
ITIL V3 ne donne pas lieu la certification des organisations. Cette nouvelle version met laccent sur la boucle damlioration continue des services offerts aux clients de la DSI. Par rapport la version antrieure, elle
comprend galement une dimension stratgique qui se rapproche de
lalignement stratgique cher CobiT.
21
22
produire des logiciels. Les entreprises indiennes ont jou un rle majeur
dans la gnralisation du standard, en faisant un pralable de qualification
dans les consultations.
Le modle de maturit
Le CMMI sintresse la qualit de lorganisation et la matrise des processus. Il propose une dmarche stricte pour valuer les processus et
dfinir des plans damlioration continue, ce qui constitue dailleurs le
standard des modles de maturit. Son modle de maturit en 5 tages est
devenu une rfrence de description des modles de maturit.
Initial
Procdures et autorit mal dfinies. La russite des projets dpend du
savoir-faire de quelques personnes cls. Aucune ou mauvaise application des principes du gnie logiciel. Difficult matriser les cots et les
dlais.
Reproductible
Utilisation de mthodes standards pour grer les activits de dveloppement. Le dveloppement est planifi et suivi. Lquipe matrise et
applique des rgles. Bonne gestion des cots et des dlais.
Dfini
Utilisation des mthodes du gnie logiciel et application des normes.
Lefficacit de chaque processus est vrifie et les meilleures pratiques
sont mises en avant. Processus bien dfini et raisonnablement compris.
Matris
Collecte et analyse systmatique des donnes sur les processus. Les
processus sont mesurs, les risques calculs et devancs. Processus
bien compris, quantifis, mesurs et raisonnablement matriss.
Optimis
Utilisation des donnes pour lamlioration itrative des processus,
capitalisation de lexprience. Tous les processus sont optimiss et toutes
les volutions sont apprhendes. Matrise des processus.
Deux modles de reprsentation sont proposs selon que lon sintresse
la maturit de chacun des processus ou celle de lorganisation.
Le modle continu (continuous) : moins utilis, il rpond un souci de
mise en avant partielle de certains processus.
Le modle tag (staged) : cest le modle original en cinq niveaux. Il
rpond un souci de progression et damlioration des processus.
Le niveau 1 est le niveau de dpart. Les organisations bien rodes se satisferont des niveaux 2 et 3, ce dernier attestant de processus jugs gnralement suffisamment optimiss et scuriss. Les niveaux 4 et 5 sont lapanage
23
24
Le modle EFQM
Le modle EFQM, propos par lEuropean Foundation for Quality Management,
est un modle dexcellence destin aux organismes qui dsirent satisfaire
de faon durable toutes les parties prenantes par leurs ralisations et leurs
mthodes.
Le modle EFQM repose sur les principes fondamentaux suivants :
lorientation rsultats ;
lorientation clients ;
le leadership et la constance des objectifs ;
le management par les processus et les faits ;
le dveloppement et limplication des personnes ;
lapprentissage, linnovation et lamlioration ;
le dveloppement des partenariats ;
la responsabilit sociale/socitale de lorganisation.
La mise en uvre de ces principes sappuie sur trois phases de maturit
diffrentes :
la phase Initiation ;
la phase Ralisation ;
la phase Maturit.
Le modle EFQM est une reprsentation non normative dune organisation
selon neuf critres rpartis en deux catgories, moyens et rsultats.
Les critres de moyens concernent la faon dont lorganisation gre ses
activits cls. Ils sont les suivants :
leadership ;
personnel ;
25
politique et stratgie ;
partenariats et ressources ;
processus.
Les critres de rsultats concernent la faon dont les rsultats de lorganisation sont obtenus. Ils sont les suivants :
rsultats pour le personnel ;
rsultats pour les clients ;
rsultats pour la collectivit ;
rsultats performances cls.
Moyens
Rsultats
Rsultats
personnel
Personnel
Leadership
Politique et
stratgie
Processus
Partenariat &
ressources
Rsultats
client
Rsultats
Performance
Cls
Rsultat
collectivit
Innovation et apprentissage
Le modle EFQM a t conu pour fournir une reconnaissance de lexcellence travers un trophe annuel. Il se base sur une valuation des organisations candidates selon les neufs critres. Chaque catgorie de critres
est note sur 500 points. Lorganisation candidate qui a obtenu le plus
grand nombre de points se voit dcerner le trophe.
Le dveloppement durable
Sujet en vogue actuellement, le dveloppement durable est en mme
temps source de confusion. De quoi parle-t-on : du volet social ? du volet
cologique ? et sur quel primtre ? de la DSI pour elle-mme ou pour
lensemble des impacts des SI de lentreprise sur lenvironnement ?
En rgle gnrale, les fournisseurs communiquent sur le volet cologique
(Green IT) pour dmontrer leur engagement dans les conomies dnergie,
lconomie du papier ou le recyclage en gnral. Ils peuvent aussi, comme
SAP, en profiter pour commercialiser un module supplmentaire de lERP
pour aider leur client grer ces aspects.
26
En rsum
Il y a beaucoup de rfrentiels qui concernent la DSI ; ceci met en vidence
la ncessit de trouver un langage commun, de crer une convergence
entre ces diffrentes approches. En effet, mme si chacun dentre eux a sa
raison dtre, il nest pas possible de piloter une DSI sans en unifier le langage et les processus.
Parmi les incontournables, citons surtout : ITIL, ISO 27001/27002 et
ISO 14001, le tout dans une logique damlioration continue au service du
client (ISO 9001).
27
Chapitre 3
Apprhender
CobiT
Le rfrentiel CobiT a suscit toute une srie de travaux et de publications.
Dans les premires versions, V3 et antrieures, la publication principale
tait le guide daudit. partir de la version 4, cest le guide de management
qui est devenu le principal ouvrage descriptif de CobiT.
Dans ce chapitre, CobiT est dcrit en termes de structure gnrale et
dapproche travers plusieurs points de vue : celui du guide de management pour CobiT V4.1, qui constitue le document de base, puis ceux de
diverses ressources. En complment, il est utile de consulter priodiquement le site http://www.isaca.org pour connatre les dernires publications
proposes.
La suite de cet ouvrage a pour vocation de fournir un guide de lecture pour
tous ceux qui souhaitent mettre en uvre CobiT au sein de leur organisation
informatique.
Description gnrale
CobiT offre un cadre de rfrence de contrle structur des activits informatiques selon 34 processus rpartis en quatre domaines :
Planifier et Organiser ;
Acqurir et Implmenter ;
Dlivrer et Supporter ;
Surveiller et valuer.
29
Objectifs mtier
Information
Surveiller et Evaluer
SE1 Surveiller et valuer la performance
des SI
SE2 Surveiller et valuer le contrle
interne
SE3 Sassurer de la conformit
rglementaire
SE4 Grer la gouvernance des SI
Efficacit
Efficience
Confidentialit
Intgrit
Disponibilit
Conformit
Fiabilit
Ressources
Comptences
Information
Applications
Infrastructure
Planifier et Organiser
PO1 Dfinir un plan informatique
stratgique
PO2 Dfinir larchitecture de linformation
PO3 Dterminer lorientation technologique
PO4 Dfinir lorganisation,
les relations de travail
PO5 Grer linvestissement informatique
PO6 Faire connatre les buts et les
orientations du management
PO7 Grer les ressources humaines
PO8 Grer la qualit
PO9 Evaluer les risques
PO10 Grer les projets
Acqurir et Implmenter
Dlivrer et Supporter
DS1 Dfinir et grer les niveaux de
services
DS2 Grer les services tiers
DS3 Grer la performance et la capacit
DS4 Assurer un service continu
DS5 Assurer la scurit des systmes
DS6 Identifier et imputer les cots
DS7 Instruire et former les utilisateurs
DS8 Grer le service dassistance
client et les incidents
DS9 Grer la configuration
DS10 Grer les problmes
DS11 Grer les donnes
DS12 Grer lenvironnement physique
DS13 Grer lexploitation
AI1
AI2
AI3
AI4
AI5
AI6
AI7
30
31
Ces 20 objectifs mtier renvoient 28 objectifs informatiques, euxmmes lis aux processus CobiT, un mme objectif informatique tant
associ un ou plusieurs processus CobiT. Ainsi, CobiT offre une transitivit entre objectifs mtier et informatiques, processus et activits.
Cette structuration permet dobtenir une sorte de synthse de la gouvernance des SI.
Le guide de management
La page consacre au guide de management comprend un descriptif des
entres-sorties du processus, un RACI avec rles et responsabilits associs aux activits du processus, et enfin, une proposition dindicateurs de
contrle.
Les activits
CobiT distingue les objectifs de contrle (vision destine lauditeur) des
activits (vision management). Cette distinction peut surprendre car la
liste des activits reprend certains objectifs de contrle dans ses intituls.
Parfois, ces activits sont directement extraites de la description des
objectifs de contrle. De plus, les activits sont listes mais non dcrites.
Le lecteur doit donc faire leffort de dterminer dans la description des
objectifs de contrle ce qui relve de la description dactivit. Il devrait
dcortiquer chaque objectif de contrle en tentant disoler linformation
attache aux activits, aux instances/organisations, aux fonctions, aux
documents/livrables et enfin au contexte.
Pour la mise en uvre de CobiT, partir des activits est intressant condition
de ne pas sy enfermer. Il vaut mieux prendre cette liste comme un pensebte pour donner du corps une description personnalise en fonction
de lorganisation.
32
1. RACI : en anglais
Responsible, Accountable, Consulted,
Informed, traduit par
Responsabilit, Autorit (celui qui est
garant), Consult,
Inform. Lautorit (A)
dicte la politique
qui sera applique
par le responsable (R).
DF
Direction mtier
DSI
Responsable exploitation
Responsable architecture
Responsable dveloppements
Responsable administratif
A/R
A/R
ACTIVITS
33
Bureau projet
DG
Le modle de maturit
CobiT propose un modle de maturit gnrique faisant lobjet dune
dclinaison spcifique pour chacun des 34 processus. Ainsi, la mise en
uvre de chacun des 34 processus peut tre confronte des stades du
modle de maturit selon une chelle classique en la matire (voir figure 3-2).
En se limitant cette description gnrique, on peut donc mesurer de
faon globale la maturit de chaque processus et piloter leur amlioration.
m
Les
34
CobiT veut aller plus loin en groupant trois dimensions au modle de maturit, pour chacun des 34 processus. Il propose ainsi les dimensions suivantes :
quoi : contrle (initialis, reproductible, dfini, gr et optimis), stades
de 0 5 ;
combien : couverture en termes de primtre ;
comment : capacit raliser les objectifs.
En tudiant la description du modle de maturit1 par processus, il semble
que chaque stade caractrise un palier de mise en uvre en fonction de
son primtre de dploiement au sein de lentreprise. Il peut ainsi y avoir
confusion entre le primtre spcifique de dploiement dun processus
(dimension combien ) et le stade de maturit gnrique quil a atteint,
au sens du CMM (dimension contrle ).
Pour un mme processus, il est ainsi possible de fixer des objectifs diffrents de progression de la maturit en fonction de ltat de maturit
observ sur plusieurs primtres de sa mise en uvre. Pour un mtier ou
un systme donn, le processus peut tre valu au niveau 2 du modle de
maturit alors que, pour dautres, il peut ltre au niveau 3. Selon les exigences mtier et la criticit de linformatique sur les mtiers de lentreprise, la cible en termes de niveau de maturit peut tre diffrente.
Dans le cas dun primtre dvaluation de la maturit globale selon CobiT
(cest--dire tous les mtiers et tous les systmes), il serait donc rducteur
de dire par exemple quun processus donn est globalement au niveau 2 si,
selon les endroits o il est applicable, il se trouve au niveau 3, 4 ou 1.
Le modle de maturit CobiT est conu pour offrir une grande flexibilit
lvaluateur en fonction de ses objectifs et des besoins damlioration. Il est
adapt lactivit daudit du ou des processus considrs plutt qu une
activit de mise en uvre dune dmarche CobiT globale dans lentreprise.
En effet, il ny a aucune recommandation ni orientation quant la priorit
ou lordre de mise en uvre des processus. Les 34 processus du rfrentiel
CobiT ne sont pas prsents pour se loger dans un modle de maturit
tag avec une logique de mise en place progressive comme dans CMMI.
En revanche, un ordre de mise en place des processus CobiT peut tre
envisag mais, dans ce cas, il sera toujours spcifique chaque entreprise
en fonction de ses exigences mtier et de ses objectifs informatiques. Cest
dailleurs partir dune valuation initiale des 34 processus CobiT et selon
les exigences mtier quil sera possible de dfinir un plan de mise en place.
Ce plan spcifiera, processus par processus, les diffrents niveaux de
maturit atteindre en fonction des mtiers et de la criticit des systmes
informatiques associs. Nous navons donc pas repris, dans la suite de la
prsentation des processus, les lments spcifiques des modles de
maturit de CobiT.
35
1. Il y a au moins une
centaine de modles
de maturit dont un
bon nombre servent
des rfrentiels utiliss en DSI. Le prcurseur est celui du SEI
(Software Engineering Institute) qui a
donn le CMM (Capability Maturity
Model), conu pour
valuer la maturit
des organisations en
charge du dveloppement de logiciel. En
gnral, un modle
de maturit a cinq
niveaux : inexistant,
intuitif, dni, gr et
mesurable, optimis.
Board briefings
Comment les
dcideurs exercent-ils
leurs responsabilits?
Organes dcisionnels
Comment pouvons- nous mesurer
la performance?
Comment faire pour se comparer
aux autres?
Comment samliorer durablement?
Management Guidelines
Modles de maturit
Comment mettre
en uvre la
gouvernance dans
lentreprise?
Comment valuer
la structure de la
gouvernance des
SI?
COBIT et VAL IT
Control objectives
Implementation
Guide
Assurance Guide
Control practices
Implementation
Guide
Security Baseline
Key management
practices
Control Practices
COBIT Online
COBIT Foundation
training
COBIT implementation workshop
36
destination de la direction
Board Briefing on IT Governance, 2nd edition, IT Governance Institute, 2003
(http://www.isaca.org/ContentManagement/Content-Display.cfm?ContentID=39649). Pour plus de dtails, voir page 43.
Information Security Governance: Guidance for Boards of Directors and Executive
Management, 2nd edition, IT Governance Institute, 2006 (http://
www.isaca.org/AMTemplate.cfm?Section=Information_Security_
Governance_Guidance_for_Boards_of_Directors_and_Executive_Manag
ement&Template=/ContentManagement/ContentDisplay.cfm&ContentFileID=10227).
La srie Enterprise Value: Governance of IT Investments (VAL IT), IT Governance
Institute, comprenant trois publications :
The VAL IT Framework 2.0 ;
The Business Case, 2006 (http://www.isaca.org/AMTemplate.cfm?Section=
Deliverables&Template=/ContentManagement/ContentDisplay.cfm&
ContentID=24261) ;
Getting Started With Value Management (http://www.isaca.org/Template.cfm?Section=COBIT6&template=/ContentManagement/ContentDisplay.cfm&ContentID=25060).
37
IT Governance Implementation Guide: Using CobiT and VAL IT, 2nd edition, IT
Governance Institute, 2007. Pour plus de dtails, voir page 41.
Le site de CobiT Online. Pour plus de dtails, voir page 41.
CobiT Security Baseline: An Information Security Survival Kit, 2nd edition, IT
Governance Institute, 2007. Pour plus de dtails, voir page 42.
CobiT Quickstart, 2nd edition, IT Governance Institute, 2007.
CobiT Mapping, IT Governance Institute.
Les cours de formation : CobiT Foundation Course and Exam. Pour plus
de dtails, voir page 43.
Autres publications
IT Alignment: Who Is in Charge?, IT Governance Institute, 2005 (http://
www.itgi.org/AMTemplate.cfm?Section=Deliverables&Template=/
ContentManagement/ContentDisplay.cfm&ContentID=33921).
Optimizing Value Creation from IT Investments, IT Governance Institute, 2005.
Information Risks: Whose Business Are They?, IT Governance Institute, 2005
(http://www.itgi.org/AMTemplate.cfm?Section=Deliverables&Template=/ContentManagement/ContentDisplay.cfm&ContentID=33919).
Governance of Outsourcing, IT Governance Institute.
Measuring and Demonstrating the Value of IT, IT Governance Institute.
CobiT est une structure vivante et volutive, plusieurs projets sont
dailleurs en cours de dveloppement. Les informations sy rfrant sont
disponibles sur le site de lISACA.
Toutes les publications rfrences ci-dessus sont disponibles en tlchargement sur le site de lISACA (http://www.isaca.org) et sur celui de lITGI
(http://www.itgi.org).
38
39
40
CobiT Online
CobiT Online est un service Web auquel tout le monde peut accder, ds
lors que lon est membre de lISACA et inscrit au service. En utilisant la
personnalisation du site ISACA My CobiT, on peut construire et tlcharger
sa version de CobiT.
41
42
43
cobitcampus3.is
aca.org/isaca/
Catalog/
index.aspx.
est faite ici se focalise sur une vision dynamique de chaque processus en vue
de les implanter dans une organisation. Dans les chapitres qui vont suivre,
nous dcrirons, pour chaque processus, une vue densemble du processus
selon un triptyque (exigences mtier vis--vis du SI, domaines de gouvernance et ressources informatiques). Une vision dynamique du processus
sera ensuite expose sur la base dun parti pris en ce qui concerne les
activits incontournables du processus en se basant sur une analyse des
objectifs de contrle et des RACI existant dans CobiT. Enfin, des commentaires sur les conditions de mise en uvre et de mesure des processus
seront proposs aprs la description des processus.
Ainsi, les chapitres suivants sadressent ceux qui souhaitent disposer dune
roadmap (feuille de route) pour lancer une dmarche de mise en uvre de
CobiT au sein de leur entreprise. Ils ont pour but de leur donner les cls de
lecture de CobiT afin de les aider implmenter les processus.
TE
E
EI TEE
E
LI
E
IT
TE
ITTE
NEC
LITI LIT
TI A
RITI E
AI TCE
TE
E
C
I
IA I BIL
N
C
MI
RM
LITE
E
IICEN
EGGR E NTONNIB
FAI C
D
F
BIILI
T
I
F
OR
E
FFO
FIC
PO
F
NT
IAAB
E IC
D
N
I
E
S
I
P
F
I
F
N
N
N
I
F
I
O
F
NFDDIS
CO
EF
CO
EF
CO
PERSONNES
INFRAST RUCTURE
INFO RMATI ON
Process us
Domaine s
ES
RC
OU
SS
E
R
44
IQ
AT
RM
FO
IN
S
UE
Notons dailleurs que lISACA a depuis plus de 10 ans lanc une certification mondiale des auditeurs de systme dinformation (CISA, Certified Information Systems Auditor).
La structuration et la compltude des objectifs de contrle fait de CobiT le
cadre de rfrence idal pour toute forme dinvestigation.
Le cube CobiT (figure 3-4) illustre lorganisation du rfrentiel autour de
trois dimensions : processus (et activits), segmentation de linformation
et ressource concerne.
45
1. Le dcoupage en
34 processus rpartis
en 4 domaines donne
une vision synthtique de la gouvernance TI. En
revanche, certains
processus peuvent
tre jugs comme
trop globaux, un peu
comme des macroprocessus. La description
dtaille des activits
et des objectifs de
contrle donne un
niveau de granularit intermdiaire.
En rsum
CobiT est un outil fdrateur qui permet dinstaurer un langage commun
pour parler de la gouvernance des systmes dinformation, tout en intgrant les apports dautres rfrentiels ou, de faon plus gnrale, les spcificits de lentreprise.
46
Il prsente lavantage davoir t conu pour une approche globale et, pour
le pilotage, linconvnient dtre issu de laudit, ce qui fait que son volet
guide de management est mconnu.
Son implmentation suppose un accompagnement tenace en termes de
conduite du changement et une approche raisonnable sur le primtre
couvrir en premier lieu.
47
II
PARTIE
Description dtaille
des processus
CobiT est largement dcrit dans la documentation publie par lISACA et
traduite pour partie en franais par lAFAI. Les quatre chapitres qui suivent
dcrivent ses 34 processus, regroups par domaines (PO, AI, DS et SE), afin
que le lecteur ait une vue densemble de chacun mais aussi du cadre
global. Les forces et faiblesses du rfrentiel sont mises en exergue : ainsi,
le modle de maturit na pas t repris car il semble trop complexe et
imprcis mettre en uvre. Il ne sagit pas non plus de laisser croire que
le dploiement de CobiT partirait dun modle unique et immuable pour
toutes les DSI. Limportant est dabord de comprendre et de se persuader
des avantages de CobiT pour structurer lensemble de ses processus.
La description de chaque processus suit un plan dtaill : vue densemble, sa
raison dtre, objectifs et primtre, reprsentation schmatique, planification
et mise en uvre, mesures et contrles, rles et responsabilits, entres et
sorties du processus. La reprsentation schmatique du processus tente en
particulier une mise en perspective de ses activits dans une boucle damlioration (dfinir, mettre en uvre, amliorer, contrler).
Le guide de management pour CobiT V4.1 publi par lAFAI constitue un
excellent document complmentaire la description qui suit.
49
Chapitre 4
Planifier
et Organiser
Les processus dcrits dans ce chapitre traitent de la stratgie et de la tactique permettant doptimiser la contribution des SI latteinte des objectifs
mtier de lentreprise.
Les processus de ce domaine sont les suivants :
PO1 Dfinir un plan informatique stratgique
PO2 Dfinir larchitecture de linformation
PO3 Dterminer lorientation technologique
PO4 Dfinir les processus, lorganisation et les relations de travail
PO5 Grer les investissements informatiques
PO6 Faire connatre les buts et les orientations du management
PO7 Grer les ressources humaines de linformatique
PO8 Grer la qualit
PO9 valuer et grer les risques
PO10 Grer les projets
PO1
51
La planification stratgique informatique est ncessairement relie larchitecture dentreprise et son processus de planification globale. Elle joue un
rle essentiel pour contrler et diriger toutes les ressources informatiques,
en conformit avec la stratgie commerciale et les priorits de lentreprise.
Vue densemble
Le processus PO1 rsulte principalement dune volont de mettre en place une
stratgie des systmes dinformation performante (alignement stratgique)
qui rponde au critre defficacit du systme dinformation pour les mtiers.
Cette volont conduit les DSI sinvestir davantage dans la stratgie globale en simpliquant dans la connaissance des mtiers et le contexte de
lentreprise, tout en matrisant le risque informatique, pour dfinir un plan
informatique stratgique. Cela permet de matriser le potentiel du systme
dinformation actuel et danticiper lvolution de toutes les ressources informatiques selon le critre defficience.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
APPLICATIONS
INFORMATIONS
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le plan informatique stratgique amne le DSI mieux piloter son budget et
avoir une vision des investissements long et moyen termes. Concrtement, il
se dcline en plans informatiques tactiques, ou schmas directeurs SI, indiquant des objectifs concis court terme ainsi quen plans daction et de tches
compris et accepts par les mtiers et linformatique. Il en ressort des portefeuilles de projets et des offres de services traduisant les besoins mtier.
Lobjectif avou est aussi de rendre cohrentes et transparentes les dpenses
des projets, en communiquant et en impliquant les parties prenantes fonctionnelles informatiques et les mtiers.
52
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO1 doit permettre de matriser les objectifs prsents dans le
tableau 4-1.
Tableau 4-1 : Objectifs du processus PO1
Obj. 01
Obj. 02
Description du processus
Performance
des TI
Portefeuilles de
programmes
AMELIORER
LIER LES OBJECTIFS METIER ET LES OBJECTIFS INFORMATIQUES
AGIR SUR LES ECARTS
DE FAON APPROPRIEE
IDENTIFIER LES DEPENDANCES ENTRE LINFORMATIQUE
ET LA STRATEGIE DE LENTREPRISE
Plan
stratgique
COMMUNIQUER
Plans
tactiques
FAIRE VALIDER
LES PLANS
ET LES PORTEFEUILLES
CONTROLER
SURVEILLER LES RESULTATS
ATTENDUS DES PROGRAMMES
ALERTER EN CAS DECART
METTRE EN UVRE
GERER LES PLANS TACTIQUES
Portefeuilles
de projets, de
services et
dinvestissements
53
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs Obj. 01 et Obj. 02 prsents plus
haut. Ces mesures portent principalement sur la couverture par le plan
stratgique des besoins mtier.
La mesure de la mise en uvre de ce processus passe surtout par le suivi
des volutions des plans SI (stratgiques et tactiques) par rapport aux
plans quivalents de lentreprise et au taux de participation des mtiers
la gestion des programmes dinvestissement.
Rles et responsabilits
Le directeur gnral
Compte tenu de la finalit de ce processus, le responsable de ce processus,
son propritaire ou encore son pilote est trs logiquement la direction de
lentreprise, par lentremise dun de ses directeurs gnraux. Seule la direction gnrale peut se porter garante de lalignement stratgique de la DSI
aux objectifs de lentreprise.
Le responsable mtier
Au sein de ce processus, chaque mtier a la responsabilit de sassurer que
ses objectifs mtier sont bien pris en compte et relis des objectifs informatiques afin que la contribution de linformatique au mtier soit concrtise.
54
PO 1 : Dfinir un plan
stratgique
Plan informatique
stratgique
Plan informatique tactique
Portefeuille de pr ojets
Portefeuille de services
Str atgie dachats et de
four niture
PO2
Parmi les actifs de lentreprise, linformation prend une place croissante aussi
bien pour la bonne marche des processus mtier que pour laide la dcision.
Des drives et des dysfonctionnements au niveau des systmes dinformation se rpercutant sur la bonne marche de lentreprise sont craindre si
la DSI ne garantit pas la qualit de linformation quelle met disposition
des activits mtier et si elle ne met pas en place les ressources et les
outils pour la contrler.
Cette matrise au sein dune DSI est conditionne par la connaissance de
son patrimoine applicatif et la source, par la connaissance de la nature
des informations traites. La modlisation des informations mtier contribue
cet effort, en permettant la mise en place de systmes appropris optimisant lutilisation de cette information.
55
Vue densemble
Le processus PO2 met en avant la ncessit de disposer de ressources
informatiques pour lesquelles les informations sont utilises de faon
optimise et scurise (alignement stratgique, apport de valeur, gestion
des risques, etc.), qui rpondent aux critres defficience, dintgrit, defficacit et de confidentialit.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
INFRASTRUCTURES
PERSONNES
CONFORMITE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La modlisation de donnes permet dviter bien des cueils, lobjectif
tant de maintenir leur cohrence et dviter leur redondance ainsi que
lmergence de systmes dinformation parallles traitant de linformation
en doublon.
La classification de linformation travers un schma valid, prenant en
compte la criticit et la sensibilit des donnes (publiques, confidentielles, secrtes) par rapport au cur de lactivit, contribue dfinir des
niveaux de scurit et statuer sur le propritaire de linformation.
Se posent ensuite les questions de maintenabilit et dvolutivit du systme. Cest pourquoi assurer lintgrit et la cohrence de toutes les donnes stockes ou archives au format lectronique fait aussi partie des
objectifs du processus.
Cest sur ces bases que la DSI est en meilleure position pour faciliter le
dveloppement de systmes rpondant aux besoins spcifiques des
mtiers.
56
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO2 doit permettre de matriser les objectifs prsents dans le
tableau 4-2.
Tableau 4-2 : Objectifs du processus PO2
Obj. 01
Obj. 04
Obj. 05
Obj. 11
Le primtre du processus comprend lensemble des donnes numrises ou informatises dans les systmes grs par la DSI ou par les
mtiers.
Description du processus
DEFINIR
DEFINIR UN MODELE DINFORMATION DE LENTREPRISE
Dictionnaire(s)
de donnes
COMMUNIQUER
Systme de
classification
FACILITER LE
DEVELOPPEMENT
DAPPLICATIONS
AMELIORER
MAINTENIR A JOUR LE MODELE DINFORMATION,
LE(S) DICTIONNAIRE(S) DE DONNEES
ET LE SYSTEME DE CLASSIFICATION
FAVORISER LA
COMPREHENSION
COMMUNE
DES DONNEES
CONTROLER
CONTROLER LINTEGRITE ET LA COHERENCE
DE TOUTES LES DONNEES
METTRE EN UVRE
PLANIFIER LES SI A PARTIR DES 3 ELEMENTS DEFINIS
Procdures
et outils de
classification
57
Mesures et contrles
Les mesures permettant de sassurer de lefficacit du processus portent
principalement sur le taux de donnes hors du modle dinformation de
lentreprise et sur les carts par rapport aux rgles de classification des
donnes.
La mesure de la mise en uvre de ce processus passe par le suivi de la frquence dvolution du modle de donnes, le taux de donnes sans propritaire, le nombre de mtiers impliqus dans lidentification et la
classification des donnes.
Rles et responsabilits
Le rle du pilote de ce processus est dlicat car sa mise en uvre ncessite une prise de conscience collective de lintrt dun modle darchitecture de linformation. La direction gnrale doit dlguer ce rle au bon
niveau, un mtier seul ne pouvant prendre le leadership. Le DSI, en tant
quinterlocuteur de tous les mtiers, peut jouer ce rle de pilote. Il lui
faudra alors une lgitimit suffisante pour assurer ce rle avec succs.
Le responsable mtier
Au sein de ce processus, chaque mtier a la responsabilit de sassurer que
les donnes font bien lobjet dune identification et dune classification,
conformment aux rgles tablies.
58
Le responsable architecture
Les donnes de lentreprise deviennent un actif essentiel. Le responsable
darchitecture doit sassurer de la cohrence, voire de la convergence, des
modles de donnes lis aux diverses applications. Il est le garant du
dictionnaire des donnes de lentreprise.
PO 3, AI 2, DS1, DS4,
DS5, DS11, DS12
PO2 : Dfinir
lar chitecture de
linformation
Systme de classification des
donnes
Plan optimis de systmes
mtier
Dictionnair e de donnes
Ar chitecture de linformation
Classification attribue aux
donnes
Pr ocdures et outils de
classification
PO3
Les volutions technologiques ouvrent sans cesse de nouvelles possibilits stratgiques aux entreprises. La veille technologique est donc fondamentale non seulement pour optimiser les performances et les cots, mais
aussi pour crer de nouvelles opportunits aux mtiers.
En coordination troite avec les mtiers, la DSI doit initier une politique de
suivi des orientations technologiques. Cette dernire sappuie sur lanalyse
des technologies et des infrastructures informatiques existantes ainsi que
59
sur ltude des technologies mergentes susceptibles damliorer la couverture mtier. Elle constitue le plan dorientation technologique.
Vue densemble
Le processus PO3 a pour objectif principal de sassurer que les infrastructures informatiques (et les applications quelles supportent) rpondront
au mieux aux exigences defficacit et defficience des mtiers.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Moins lenvironnement informatique est standard, plus le changement
engendr par une stratgie de migration ou un plan dacquisition est
complexe et coteux, en ressources comme en dlais.
Lun des objectifs du plan dinfrastructure technologique est doptimiser
les orientations relatives lacquisition de ressources informatiques qui
doivent conduire des conomies dchelle dans les effectifs et les investissements informatiques.
Lamlioration de lintgration des infrastructures et des applications
doit se traduire par des standards, par une meilleure utilisation des ressources et des capacits ainsi que par la rduction des cots relatifs aux
acquisitions technologiques, travers des plates-formes limites en
nombre et en spcificit.
Un autre objectif de ce plan dinfrastructure consiste grer les orientations pour offrir une meilleure interoprabilit entre les plates-formes et
les applications.
60
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO3 doit permettre de matriser les objectifs prsents dans le
tableau 4-3.
Tableau 4-3 : Objectifs du processus PO3
Obj. 07
Obj. 15
Description du processus
PUBLIER LES
STANDARDS
TECHNIQUES
AMELIORER
DEFINIR LUTILISATION FUTURE ET STRATEGIQUE
DES NOUVELLES TECHNOLOGIES
COMMUNIQUER
FAIRE VALIDER
LE PLAN
DEFINIR
ETUDIER LES TECHNOLOGIES ACTUELLES ET FUTURES
Plan
dinfrastructure
technologique
VEILLER
METTRE EN UVRE
Standards
techniques
CONTROLER
VERIFIER LA CONFORMITE AUX STANDARDS
ET AUX LIGNES DIRECTRICES
61
Mesures et contrles
Les mesures pour sassurer de lefficacit du processus PO3 portent principalement sur le nombre dcarts par rapport aux standards techniques et
sur lhtrognit des diffrentes plates-formes techniques dployes
dans lentreprise.
La mesure de la mise en uvre de ce processus passe par le suivi du
nombre de runions du comit darchitecture et par la frquence dvolution
du plan dinfrastructure.
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de sassurer de la dfinition et de la validation des orientations
technologiques.
Le responsable architecture
Il est en charge de la bonne excution des travaux demands par le comit
darchitecture.
Le comit darchitecture
Il assiste le DSI dans sa prise de dcision quant aux orientations technologiques et il pilote les activits de veille et les travaux relatifs la conception
de larchitecture technique du SI.
62
PO3 : Dterminer
lorientation
technologique
Opportunits technologiques
Standards techniques
Mises jour rgulires de
ltat de la technologie
Plan dinfrastructure
technique
Besoins en infrastructures
PO4
63
Vue densemble
Le processus PO4 sintresse lorganisation et aux ressources en personnels afin de leur attribuer des fonctions en vue de structurer lorganisation.
Il rpond ainsi aux exigences defficacit et defficience de la DSI vis--vis
des mtiers en optimisant la gestion de ses ressources humaines et en
dveloppant une culture de la gestion des risques.
GOU VERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPLICATIONS
APPORT DE
VALEUR
CONFIDENTIALITE
INFORMATIONS
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Figure 4-10 : Dnir les processus, lorganisation et les relations de travail : PO4
Pourquoi ?
Le propre dune organisation informatique fiable et performante rside
dans sa capacit dadaptation et de ractivit rpondre aux attentes
clients.
Dans ce but, lorganisation doit tendre vers un alignement mtier-informatique et ainsi, rpondre aux exigences et aux stratgies en personnel qui
soutiennent les objectifs mtier.
Un cadre de rfrence des processus informatiques est indispensable pour
clarifier les activits cls, les rles, les postes cls, la proprit et la responsabilit des donnes et des systmes.
Cette mise au clair conduit un renforcement des rles et des responsabilits favorisant la performance individuelle. Le cadre de rfrence conduit
galement la mise en place dun processus efficace de recrutement de
comptences appropries. La dcision de faire voluer le personnel, ou au
contraire de faire appel la sous-traitance dans un cadre de contrle bien
dfini, sen trouve facilite.
64
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO4 doit permettre de matriser les objectifs prsents dans le
tableau 4-4.
Tableau 4-4 : Objectifs du processus PO4
Obj. 01
Obj. 02
Obj. 05
Description du processus
DEFINIR
DEFINIR UN CADRE DE REFERENCE
DES PROCESSUS INFORMATIQUES
COMMUNIQUER
Rfrentiel des
processus
informatiques
IMPLIQUER LES TI
DANS LES
PROCESSUS
DE DECISION
CONNAITRE LES
ROLES, LES
RESPONSABILITES
ET LES RELATIONS
CONTROLER
Documentation
des rles et
responsabilits
METTRE EN UVRE
METTRE EN PLACE UN COMITE STRATEGIQUE INFORMATIQUE
65
Mesures et contrles
Afin de contrler le bon fonctionnement de lorganisation informatique, une supervision adapte la fonction informatique doit
permettre de sassurer que les rles et les responsabilits sont bien
exercs, et dvaluer la performance sous la forme dindicateurs cls. La
mesure de lefficacit de ce processus passe par le suivi du nombre darbitrages effectus pour rsoudre les conflits de dcision du fait dune mauvaise
ou insuffisante attribution de responsabilits.
66
Rles et responsabilits
Les instances et lires
Le comit stratgique informatique
Il est rattach au plus haut niveau de lentreprise. Il sassure de la bonne
gouvernance du SI et conseille la direction de lentreprise dans les orientations stratgiques et les choix dinvestissement informatique en fonction
des besoins des mtiers. Selon la taille et la criticit de lentreprise, il est
prsid par le prsident de lentreprise ou un directeur gnral dlgu.
Le comit de pilotage informatique
Il est compos de cadres reprsentant les mtiers et linformatique afin de
mettre en uvre la stratgie informatique dfinie par la direction de
lentreprise. Il assure le pilotage des investissements informatiques et des
activits de service (priorits/arbitrages, rsolution des conflits daccs aux
ressources).
La filire qualit
Il sagit de dfinir une organisation ddie propre mettre en uvre la
politique et les objectifs qualit en fonction des exigences des mtiers.
La filire scurit et les risques informatiques
Il sagit de dfinir une organisation ddie propre mettre en uvre la
politique et les objectifs scurit, en ligne avec lanalyse des risques lis
aux systmes dinformation.
Les fonctions
Le directeur des systmes dinformation
Son rle est de sassurer de la dfinition et de la validation de lorganisation
ainsi que du cadre de rfrence des processus informatiques.
Le responsable de la scurit des systmes dinformation (RSSI)
Il anime la filire scurit et sassure que le processus DS5 est bien mis en
uvre.
Le responsable dassurance qualit (RAQ)
Il anime la filire qualit et sassure que le cadre de rfrence des processus
est appliqu et que le processus PO8 est bien mis en uvre.
67
Tous
PO5
68
Vue densemble
GOU VERNANCE SI
EXIGENCES METIER
RESSOURCES
NFORMATIQUES
I
EFFICACITE
ALIGNEMENT
STRATEGIQUE
APPORT DE
VALEUR
EFFICIENCE
APPLICATIONS
CONFIDENTIALITE
INFORMATIONS
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Afin de rendre possible une gestion des investissements informatiques,
ltablissement dun rfrentiel de gestion financire est ncessaire. Des
modles de cots doivent tre dfinis, lesquels apportent une clarification
et aident la validation du budget. Les priorits budgtaires se dclinent
ensuite sur les portefeuilles de projets et de services, refltant lalignement
entre les objectifs informatiques et les exigences du mtier, sur la base de
la transparence et du dialogue.
Le processus de budgtisation se prsente comme un processus de prise
de dcision pour la prvision et laffectation budgtaire. Il contribue
quilibrer les cots et ajuster les prvisions dans une dmarche damlioration continue.
Au quotidien, la gestion des cots permet didentifier rapidement les
carts par rapport au budget et permet dutiliser au mieux les ressources
informatiques dans un objectif de rentabilit.
La gestion des bnfices doit permettre de prendre des dcisions sur la
suite donner concernant un portefeuille dinvestissement, comme poursuivre, ajuster ou abandonner le programme.
Le processus PO5, travers la transparence des dpenses et la notion de
retour sur investissement, conduit aussi la bonne tenue des relations
entre les parties prenantes informatiques et mtiers.
69
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le processus PO5 doit permettre de matriser les objectifs prsents dans le
tableau 4-5.
Tableau 4-5 : Objectifs du processus PO5
Obj. 12
Obj. 24
Obj. 28
Sassurer que linformatique fait preuve dune qualit de service efciente en matire
de cots, damlioration continue et de capacit sadapter des changements futurs.
Description du processus
Rapport
Cots /
Bnfices
COMMUNIQUER
METTRE EN
EVIDENCE LES
ECARTS
AMELIORER
AMELIORER LA CONTRIBUTION DES SI
AUX RESULTATS DE LENTREPRISE
AIDER A ETABLIR
DES PRIORITES
BUDGETAIRES
FAIRE VALIDER
LES BUDGETS
DEFINIR
ANALYSER LA RENTABILITE DES PORTEFEUILLES
DINVESTISSEMENTS, DES SERVICES
ET DES ACTIFS INFORMATIQUES
Ecarts
Cots /
Prvisions
METTRE EN UVRE
CONTROLER
70
Mesures et contrles
Les mesures pour sassurer de lefficacit du processus portent principalement sur le nombre dcarts par rapport aux prvisions budgtaires et
sur le ratio cots/bnfices des investissements informatiques pour les
mtiers.
La mesure de la mise en uvre de ce processus passe principalement par
le suivi du taux de projets ou de services dont le cot est valu.
Rles et responsabilits
Le comit de pilotage informatique
Il est compos de cadres reprsentant les mtiers et linformatique pour
mettre en uvre le programme dinvestissement informatique dcid par
la direction de lentreprise. Il assure le pilotage des investissements informatiques et des activits de service (priorits/arbitrages, rsolution des
conflits daccs aux ressources, etc.). Il est le pilote de ce processus.
71
Le directeur gnral
Compte tenu de la finalit de ce processus, le directeur gnral en est
le client ; il en est galement le garant dans la mesure o il arbitre les
programmes dinvestissement. charge ensuite au DSI de russir la
transformation de ces investissements en valeur pour lentreprise.
Le responsable mtier
Au sein de ce processus, chaque mtier a la responsabilit de sassurer que
les dcisions, engagements de budget et arbitrages budgtaires ne se font
pas au dtriment de lapport de valeur, et que le rapport cots/bnfices
est celui escompt.
Rapports cots/bnfices
Budgets informatiques
Portefeuille actualis des
projets
Portefeuille actualis des
services
72
PO6
Vue densemble
Le processus PO6 sintresse la bonne mise en place dun programme de
communication vers les diffrentes parties prenantes afin de dvelopper
une culture de gestion des risques et dalignement stratgique. Il rpond
ainsi aux exigences defficacit de la DSI vis--vis des mtiers.
GOU VERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPLICATIONS
APPORT DE
VALEUR
CONFIDENTIALITE
INFORMATIONS
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Figure 4-16 : Faire connatre les buts et les orientations du management : PO6
73
Pourquoi ?
La politique de la DSI ne saurait se dcider dans labsolu. Elle est le
rsultat dun certain nombre de contingences : besoins satisfaire,
valeur attendue de la technologie, budgets, niveau de risque acceptable,
thique, comptences, rglementations en vigueur, etc. Il est donc
ncessaire de bien comprendre le contexte de lentreprise pour dcider
des politiques informatiques adaptes.
Les parties prenantes ont besoin dun cadre de contrle afin de mieux
piloter leurs investissements et les services offerts. Donner ce cadre une
dimension purement financire serait trop restrictif. Il est ncessaire dune
part de faire accepter aux utilisateurs et aux mtiers les orientations proposes par la DSI issues des politiques et dautre part, de communiquer
autour des oprations de contrle afin de coller au plus prs aux proccupations de lentreprise.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO6 doit permettre de matriser les objectifs prsents dans le
tableau 4-6.
Tableau 4-6 : Objectifs du processus PO6
Obj. 12
Obj. 13
Sassurer dune bonne utilisation et des bonnes performances des applications et des solutions informatiques.
Obj. 19
Obj. 20
Sassurer que les transactions mtier automatises et les changes dinformations sont ables.
Obj. 21
Obj. 22
Sassurer quun incident ou une modication dans la fourniture dun service informatique na quun impact minimum sur lactivit.
Le processus PO6 couvre lensemble des mcanismes relatifs la communication du DSI vis--vis de son personnel et des tiers externes et, plus
gnralement, de la DSI avec les mtiers.
74
Description du processus
La figure 4-17 reprsente les flux internes du processus PO6.
DEFINIR
DEFINIR LES ELEMENTS DUN ENVIRONNEMENT DE CONTROLE
COMMUNIQUER
FAIRE VALIDER
LES POLITIQUES INFORMATIQUES
EXPLIQUER LES POLITIQUES
ET IMPLIQUER LE PERSONNEL
Politiques
informatiques
METTRE EN UVRE
FAIRE APPLIQUER LES POLITIQUES INFORMATIQUES
Objectifs et
orientations
informatiques
Mesures et contrles
La mesure de lefficacit de ce processus passe par le suivi du nombre
de personnes qui connaissent et comprennent les politiques informatiques et sy conforment. En dautres termes, il sagit de personnes capables didentifier leur contribution la bonne mise en uvre de ces
politiques.
La mesure de la mise en uvre de ce processus passe par le suivi de la frquence des actes de communication et des volutions des politiques en
fonction du contexte des activits informatiques et mtiers.
75
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de sassurer que le processus de communication des buts et
orientations du management est bien mis en uvre. Il est le pilote de ce
processus.
Le personnel de la DSI
Limportance donne la communication et la clarification des objectifs
se traduit par la cohsion des quipes. In fine, les personnels de la DSI doivent
comprendre et appliquer les politiques dictes.
Tous
Plans informatiques
stratgiques et tactiques
Portefeuille de projets
Portefeuille de services
Guide de gestion des risques
lis aux SI
Rapport sur lefficacit des
contrles du SI
PO7
76
Vue densemble
Le processus PO7 gre les ressources humaines de la DSI. Il sintresse la
bonne gestion prvisionnelle des comptences de la DSI, afin de sassurer
que les quipes seront en mesure de sadapter pour faire face aux volutions technologiques (alignement stratgique) et en faire bnficier les
mtiers. Il rpond ainsi aux exigences defficacit et defficience de la DSI
vis--vis des mtiers.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
APPLICATIONS
INFORMATIONS
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
77
Pourquoi ?
Le processus PO7 aborde la question des ressources humaines du point de
vue de la DSI : Quelles sont les ressources et comptences ncessaires ?
Comment anticiper les besoins, recruter les ressources ncessaires et
maintenir les comptences ? De quelles comptences veut-on sentourer :
des experts informatiques, des experts des domaines mtier de lentreprise, des chefs de projet, des pilotes aviss de prestations externalises ?
Pour rpondre ces questions, il faut dvelopper une vritable politique RH au sein de la DSI et pour la DSI (description de postes, gestion
des comptences et des comptences cls, valuation, formation, volution
de carrire, etc.).
Par ailleurs, il est habituel de compter des effectifs supplmentaires sous
forme de contrats de sous-traitance avec dlgation de personnel, dans les
locaux du client. Ces sous-traitants sont en gnral grs par le service
achats et le commanditaire de la DSI, sans implication du responsable des
ressources humaines. Du point de vue de la gestion globale des comptences, cest insuffisant. Il faudrait associer lensemble de ces personnels
externes la gestion des comptences de faon en optimiser lemploi et
suivre les performances correspondantes.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO7 doit permettre datteindre les objectifs prsents dans le
tableau 4-7.
Tableau 4-7 : Objectifs du processus PO7
OBJ. 05
OBJ. 09
78
Description du processus
La figure 4-20 reprsente les flux internes du processus PO7.
DEFINIR
AMELIORER
Poltiques RH
Fiches de
postes
Tableau des
comptences
SI
CONTROLER
VERIFIER LACQUISITION DES COMPETENCES
METTRE EN UVRE
79
Mesures et contrles
La mesure de lefficacit de ce processus passe principalement par le suivi
du pourcentage de personnes dont le profil couvre la cartographie cible
des comptences de la DSI. Dautres indicateurs peuvent complter cette
mesure defficacit, par exemple, le suivi de postes cls non pourvus en
interne ou de remplaants identifis.
La mesure de la mise en uvre de ce processus passe par le suivi du plan
de formation par rapport la cartographie cible des comptences, le suivi
du taux de ralisation des valuations des collaborateurs ainsi que le taux
de couverture des postes par une fiche de fonction.
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de sassurer que ce processus est bien mis en uvre et quil
respecte la politique RH de lentreprise en matire de gestion des ressources
humaines. Il est le pilote de ce processus.
Le responsable des ressources humaines (RRH)
Le responsable des ressources humaines est lmanation de la DRH au sein
de la DSI, charg de faire concider les objectifs et les procdures de la DSI et
de la DRH. Il tient jour le rfrentiel des comptences, pilote les rsultats
des valuations annuelles, participe la dtermination des objectifs, pilote
le recrutement et conseille le DSI en matire de ressources humaines.
Tous
Documentation relative
lorganisation, aux
relations, aux rles et
responsabilits des SI
Etude de faisabilit des
exigences des mtiers
Politiques et procdures
RH des SI
Tableau de comptences
SI
Fiches de poste
Comptences et
connaissances des
utilisateurs et formation
individuelle
Besoins spcifiques de
formation
Rles et responsabilits
80
PO8
Grer la qualit
La notion de systme de management de la qualit (SMQ) a t popularise par la famille de normes ISO/IEC 9000. Les principes dvelopps dans
ce processus en proviennent. Il sagit donc de btir un systme cohrent
bas sur une politique qualit dcline en objectifs qualit cohrents avec
le plan informatique stratgique. Ceci sera traduit en procdures et
mthodes, avec le souci de dfinir des indicateurs de mesure pour amliorer en permanence la qualit mais aussi faire progresser paralllement le
systme de management qualit lui-mme.
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le processus PO4 dfinit un cadre de rfrence des processus informatiques.
Un systme de management de la qualit doit imprativement complter ce
cadre de rfrence par la dtermination dindicateurs de mesure et de seuils
dobjectifs atteindre, sous peine de tomber rapidement dans loubli. Lexprience prouve que la mesure des rsultats par des tiers est souvent rejete.
Lorsque cette mesure est destine amliorer le fonctionnement et aboutit
81
donc remettre en cause certaines pratiques, cest encore plus dlicat. Il est
trs difficile dancrer une culture de lamlioration continue, do lide de
laligner au processus de management (objectifs individuels).
Enfin, le systme de management de la qualit donne tout son sens aux
activits de la DSI en les alignant, dune part, avec les objectifs stratgiques
et, dautre part, avec les souhaits des utilisateurs des SI.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le processus PO8 doit permettre datteindre les objectifs prsents dans le
tableau 4-8.
Tableau 4-8 : Objectifs du processus PO8
OBJ. 16
OBJ. 25
Livrer les projets temps et dans les limites budgtaires en respectant les standards de
qualit.
Description du processus
La figure 4-23 reprsente les flux internes du processus PO8.
DEFINIR
DEFINIR UN SYSTEME DE GESTION DE LA QUALITE (SGQ)
COMMUNIQUER
RESPECTER LES
STANDARDS
PROMOUVOIR
LAMELIORATION
CONTINUE
Standards de
qualit, de
dveloppement
et dacquisition
Plan gnral
qualit
AMELIORER
IDENTIFIER LES ACTIONS
CORRECTIVES ET PREVENTIVES
AMELIORER LE SGQ
IDENTIFIER LES STANDARDS DE DEVELOPPEMENT
ET DACQUISITION
ETABLIR UN PLAN GENERAL QUALITE
CONTROLER
SURVEILLER EN PERMANENCE
LA CONFORMITE AU SGQ
METTRE EN UVRE
METTRE EN PLACE ET ACTUALISER LE SGQ
82
Mesures et contrles
La mesure de lefficacit de ce processus passe principalement par le suivi
des objectifs qualit, par exemple, le pourcentage de rduction des
dfauts, incidents et problmes rencontrs lors des activits de service de
la DSI. Dautres indicateurs peuvent complter cette mesure defficacit, tels
que le respect des dlais, le respect des cots des projets et des conventions
de service passs avec les directions mtiers.
La mesure de la mise en uvre de ce processus passe par le suivi du taux de
projets respectant les procdures et standards qualit, le taux de couverture
des audits internes et le pourcentage des processus faisant lobjet de revue.
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de dfinir la politique qualit et les objectifs qualit qui en
dcoulent. Il est le commanditaire des activits de contrle qualit (audits
qualit internes et revues de processus) et pilote ce processus, responsabilit quil peut toutefois dlguer son RAQ (responsable dassurance
qualit).
La lire qualit
Elle a pour mission daider la mise en uvre de la politique qualit et
datteindre les objectifs qualit conformment aux exigences des
mtiers.
Le responsable dassurance qualit
Il anime la filire qualit par dlgation du DSI et sassure que le processus PO8 est bien mis en uvre.
83
Tous
Standards dacquisition
Standards de
dveloppement
Exigences de standards de
qualit et de mtriques
Actions pour lamlioration
de la qualit
Plan informatique
stratgique
Plans dtaills des projets
Plans dactions correctives
PO9
84
Vue densemble
Le processus PO9 vise mettre en place une stratgie de rduction des risques cohrente avec la stratgie SI (alignement stratgique) afin de dvelopper une culture de gestion des risques. Il rpond ainsi aux exigences de
confidentialit, dintgrit et de disponibilit du SI vis--vis des mtiers.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Un risque se caractrise par sa fentre dapparition, sa probabilit doccurrence et son impact.
Repre : le risque
Trois lments pour le dcrire :
sa fentre dapparition (par exemple, la chute de neige nest pas envisage en
juillet) ;
sa probabilit doccurrence (il y a beaucoup de chance davoir du verglas en mars) ;
son impact (les avions ne pourront pas dcoller).
La combinaison des trois facteurs peut conduire au risque faible qui a des chances
de se produire souvent, au risque exceptionnel fort impact, ou toute autre combinaison.
85
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO9 doit permettre datteindre les objectifs prsents dans le
tableau 4-9.
Tableau 4-9 : Objectifs du processus PO9
OBJ. 14
OBJ. 17
OBJ. 18
Montrer clairement les consquences pour lentreprise des risques lis aux objectifs et aux ressources informatiques.
Description du processus
La figure 4-26 reprsente les flux internes du processus PO9.
DEFINIR
COMMUNIQUER
DEVELOPPER
LAPPETENCE
POUR LE RISQUE
AMELIORER
DEFINIR LES PRATIQUES DE GESTION DES RISQUES
ET DE CONTROLE
Plan
dactions
METTRE EN UVRE
EVALUER
86
Mesures et contrles
La mesure de lefficacit de ce processus passe principalement par le pourcentage de rduction des incidents de scurit rencontrs lors des activits
de service de la DSI dus des risques non identifis.
La mesure de la mise en uvre de ce processus passe par le suivi du
nombre dactifs faisant lobjet de lanalyse des risques et dun plan de traitement des risques associ.
Rles et responsabilits
La mise en uvre du processus passe par la cration dune fonction en
charge du contrle interne et du management de la scurit au sein de la DSI.
Ceci renvoie la norme ISO/IEC 27001. noter que cette fonction ne saurait
se confondre avec la fonction de gestion de la scurit informatique au sens
technique, laquelle renvoie la norme ISO/IEC 17799 (ou ISO/IEC 27002).
Cependant, cette fonction ne suffit pas assurer le fonctionnement du processus PO9 qui doit galement sappuyer sur des instances transverses
incluant la direction gnrale, les directions mtiers et la direction financire.
87
PO10
88
projets sont loin datteindre leurs objectifs ; dautres vont jusqu mettre en
avant quil faut rencontrer une bute (budget, dlais, qualit) pour provoquer
un lectrochoc qui fera sortir le projet de limpasse en substituant une gestion de projet inefficace une gestion de crise haut niveau.
.
Vue densemble
Le processus PO10 sintresse principalement la bonne mise en place
dun rfrentiel de gestion de programme et de projet (application et
infrastructure) pour un bon alignement stratgique. Il rpond ainsi aux exigences defficacit et defficience du SI vis--vis des mtiers.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
APPORT DE
VALEUR
EFFICIENCE
APPLICATIONS
CONFIDENTIALITE
INFORMATIONS
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Une gestion en mode projet1 a souvent du mal coexister avec les modles
dorganisation hirarchiques et les modes de gestion quils impliquent.
Les projets sont bien souvent dcoups en activits affectes des entits
89
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO10 doit permettre datteindre les objectifs prsents dans le
tableau 4-10.
Tableau 4-10 : Objectifs du processus PO10
OBJ. 01
OBJ. 02
OBJ. 25
90
Description du processus
La figure 4-29 reprsente les flux internes du processus PO10.
DEFINIR
Portefeuille
projets
Guides
de
gestion
COMMUNIQUER
AMELIORER
PRODUIRE UN RETOUR DEXPERIENCE
IMPLIQUER LES
PARTIES PRENANTES
AUX PROJETS
INFORMATIQUES
CONTROLER
Rapport
Performance
MESURER LA PERFORMANCE
DU PROJET
METTRE EN UVRE
Plans
projets
VERIFIER LA FOURNITURE
DES RESULTATS
ET BENEFICES PREVUS
91
Mesures et contrles
La mesure de lefficacit de ce processus passe principalement par le pourcentage de projets respectant les dlais, les cots et la qualit.
La mesure de la mise en uvre de ce processus passe par le pourcentage
de projets respectant le rfrentiel de gestion de projet (mthode, procdures, standards, etc.). Dautres indicateurs comme le nombre de projets
faisant lobjet de revue ou le taux de participation active des parties
prenantes peuvent tre suivis.
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de sassurer quun rfrentiel de gestion des projets et des
programmes est bien dfini et mis en uvre.
La direction mtier
Son rle est de sassurer quelle est bien associe la gestion des projets
et des programmes selon un cadre de gestion bien dfini.
Lofce des projets (PMO)
Son rle est de mettre en place les mcanismes de gestion des projets
(planning, plans qualit, budgets, risques, revues, etc.) et dassurer le
contrle des projets.
92
En rsum
Le domaine PO dcrit les 10 processus stratgiques de la gouvernance des
systmes dinformation. Il sapplique aussi bien des DSI importantes
qu des DSI qui ont externalis la plupart de leurs projets ou de leurs
oprations.
On peut envisager de coupler CobiT dautres rfrentiels, mais ce
domaine PO restera incontournable.
93
Chapitre 5
Acqurir
et Implmenter
Les processus dcrits dans ce chapitre traitent de lidentification, du dveloppement ou de lacquisition des solutions informatiques, de leur mise
en uvre et de leur intgration aux processus mtier, ainsi que de la modification et de la maintenance des systmes existants.
Les processus de ce domaine sont les suivants :
AI1 Trouver des solutions informatiques
AI2 Acqurir des applications et en assurer la maintenance
AI3 Acqurir une infrastructure technique et en assurer la maintenance
AI4 Faciliter le fonctionnement et lutilisation
AI5 Acqurir des ressources informatiques
AI6 Grer les changements
AI7 Installer et valider des solutions et des modifications
AI1
Face un besoin exprim sur une nouvelle application ou sur une nouvelle
fonction, la DSI doit tre force de proposition. Ainsi, il convient tout
dabord danalyser la demande en se posant les bonnes questions.
Ce besoin exprim est-il compatible avec les impratifs stratgiques
mtier ?
Comment peut-il se traduire en termes de solutions informatiques ?
Comment sintgre-t-il dans le programme dinvestissement informatique ?
Peut-on sattendre un retour sur investissement ou une cration de
valeur significative ?
Autant de questions dterminantes pour entamer ou non la suite du processus
95
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Il sagit de traduire les besoins fonctionnels de lentreprise en solutions
informatiques efficaces et efficientes. Ceci passe par des tudes de faisabilit, des business cases et un ventail de solutions permettant de dcider.
96
Cet exercice doit concilier les besoins et les exigences mtier actualiss,
leurs volutions futures mais galement lmergence de nouvelles technologies.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI1 doit permettre de matriser les objectifs prsents dans le
tableau 5-1.
Tableau 5-1 : Objectifs du processus AI1
OBJ. 01
OBJ. 06
Description du processus
DEFINIR
DEFINIR LES EXIGENCES METIER
ET LES IMPERATIFS TECHNIQUES
DEFINIR LES RISQUES ASSOCIES AUX PROCESSUS METIER
COMMUNIQUER
EMETTRE DES
RECOMMANDATIONS
AU COMMANDITAIRE
METIER
FAIRE APPROUVER
LES ETUDES ET LES
SOLUTIONS PAR LE
COMMANDITAIRE
METIER
CONTROLER
EVALUER LES BENEFICES
INFORMATIQUES
DES SOLUTIONS PROPOSEES
Etude de
faisabilit
METTRE EN UVRE
MENER UNE ETUDE DE FAISABILITE
POUR LA MISE EN PLACE DES EXIGENCES
GERER LINTEGRITE, LEXACTITUDE ET LACTUALITE
DES EXIGENCES METIER
METTRE EN PLACE UN PROCESSUS DAPPROBATION
DES EXIGENCES ET DES SOLUTIONS PROPOSEES
97
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs prsents dans le tableau 5-1. Ces
mesures portent principalement sur la satisfaction des mtiers quant aux
solutions proposes, en particulier le rapport cots/bnfices, la pertinence des tudes ralises en amont par rapport aux rsultats aprs
dploiement (ROI en particulier), lcart entre les spcifications initiales et
les changements demands en cours de projet.
La mesure de la mise en uvre de ce processus passe principalement par
le suivi du nombre dtudes de faisabilit et danalyse de risques ralises.
Plus gnralement, on vrifiera dans quelle mesure le processus de dcision
global est respect.
Rles et responsabilits
Le responsable mtier et le propritaire du processus mtier
Au sein de ce processus, chaque mtier a la responsabilit de sassurer que
ses exigences mtier, les risques et la faisabilit ont bien t tudis, et
que les bnfices des solutions proposes ont bien t valus afin de
pouvoir approuver la meilleure solution.
98
AI2
99
techniques et fonctionnelles (transformation ou remplacement) ncessaires pour saligner aux processus mtier.
Cet objectif se traduit par une succession dtapes, appele cycle de
dveloppement logiciel .
Aprs les tapes de dfinition du besoin, la traduction des exigences en
spcifications de dveloppement gnrales, dtailles et documentes,
prenant en compte les orientations technologiques et larchitecture de
linformation est essentielle. Une fois cette tape valide, le dveloppement
informatique commence.
Tout au long de cette tape, les mcanismes de dveloppement sont soumis
des principes tels que le respect des standards en matire de configuration
et darchitecture de linformation, la rdaction dun plan dassurance qualit,
la prsence de contrles et de validations, le respect des exigences de scurit (accs, donnes) et la mise en place de pistes daudit.
Une fois les dveloppements termins, tests, valids et mis en production, il
ne reste plus qu garantir la prennit du fonctionnement de lapplication
qui conduit, en dernier lieu, laborer un plan de maintenance.
Ce cycle de dveloppement est cependant perturb par larrive dvolutions tout au long du processus de dveloppement, impliquant de
reprendre tout ou partie des activits prcdemment menes pour intgrer
ces volutions.
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
100
Pourquoi ?
Les oublis ou les dfauts majeurs commis lors des tapes de conception
peuvent savrer prjudiciables et difficilement rattrapables durant les
dveloppements ou la phase de test, car ils entranent des retours en
arrire coteux. Ainsi, ces tapes sont essentielles pour garantir la qualit
des dveloppements futurs, en conformit avec les exigences mtier.
Le processus AI2 est une sorte de macroprocessus couvrant lensemble du
cycle de vie du dveloppement ou de lacquisition de logiciel. CobiT ne
rentre pas plus dans le dtail des mthodes de conception, de tests, de
gestion de projets, que dans la description des processus ncessaires
une bonne gestion du cycle de vie. En ce sens, ce processus mrite dtre
ensuite dtaill avec un rfrentiel plus spcialis et orient projet comme
PRINCE2, CMMI ou encore PMBOK.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI2 doit permettre de matriser les objectifs prsents dans le
tableau 5-2.
Tableau 5-2 : Objectifs du processus AI2
OBJ. 06
OBJ. 07
101
le dveloppement dapplication ;
la maintenance.
noter que ce processus est li au processus AI7 (voir section AI7 Installer et valider des solutions et des modifications de ce chapitre), qui
traite des tests et de la mise en production des applications ainsi que de
leurs volutions.
Description du processus
La figure 5-5 reprsente les flux internes du processus AI2.
Spcifications
de conception
gnrales
Spcifications
de conception
dtailles
COMMUNIQUER
FAIRE APPROUVER
LES SPECIFICATIONS
Spcifications
des contrles
de scurit
DEFINIR
TRADUIRE LES EXIGENCES METIER
EN SPECIFICATIONS DE CONCEPTION GENERALES
DETAILLER LES SPECIFICATIONS ET LES BESOINS TECHNIQUES
DEFINIR LES SPECIFICATIONS DES CONTROLES DE SECURITE
DES APPLICATIONS (sauvegarde, contrle daccs, etc.)
DEFINIR LE PROCESSUS DE DEVELOPPEMENT
DES APPLICATIONS
DEFINIR UN PLAN DASSURANCE QUALITE DES LOGICIELS
(processus de test, de vrification et de validation, etc.)
VALIDER CHAQUE
ETAPE CLE DU
DEVELOPPEMENT
METTRE EN UVRE
ADAPTER ET IMPLEMENTER
LES APPLICATIONS ACQUISES
CONTROLER
APPLIQUER LES CONTROLES
DE SECURITE DES APPLICATIONS
VERIFIER LA CONFORMITE DES
APPLICATIONS AUX SPECIFICATIONS
DE CONCEPTION, AUX STANDARDS DE
DEVELOPPEMENT ET AUX EXIGENCES
DE QUALITE
REEVALUER LA CONCEPTION
EN CAS DE MODIFICATIONS MAJEURES
102
mettre laccent sur les priorits afin de livrer au final une application qui
satisfait aux conditions de rentabilit.
Paralllement, le plan dassurance qualit des logiciels ayant pour
objet de spcifier les critres de qualit et les processus de validation et
de vrification, dont les tests est aussi un document incontournable.
Ce plan fournit galement un cadre de travail pour le processus AI7
sintressant toutes les phases de tests, de recette, dinstallation et de
mise en production.
Dans ltape qui suit la phase de conception, la russite des dveloppements tient au respect des exigences formalises dans les documents de
conception, au respect du plan dassurance qualit, lintgration du systme en conformit larchitecture existante, la configuration standard
et la pertinence des tests.
Un mcanisme de contrle doit tre mis en place pour sassurer que les
rsultats des dveloppements rpondent aux exigences mtier et que la
confidentialit des donnes, lintgrit, la scurit et la disponibilit du
systme sont compatibles avec les processus mtier.
Ce processus concerne galement llaboration dun plan de maintenance
des applications, qui doit obir aux procdures de gestion du changement
en vigueur dans le cadre des volutions et aux procdures de gestion des
incidents en cas de dysfonctionnement.
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi du nombre de projets respectant les cots, la qualit,
les fonctions et les dlais. Ces mesures portent principalement sur la satisfaction des utilisateurs quant aux fonctionnalits proposes, en particulier
sur les bnfices apports dans le mtier.
La mesure de la mise en uvre de ce processus passe principalement par
le suivi du plan dassurance qualit de chaque projet applicatif.
Rles et responsabilits
Lofce des projets (PMO)
Il sassure du bon droulement du projet en laborant le plan dassurance
qualit, conformment aux exigences auxquelles sont soumis les projets
applicatifs et en vrifiant que ses dispositions sont bien en uvre.
Le responsable dveloppements
Il est en charge de la ralisation des diffrentes tapes du projet applicatif.
Il sassure galement de la bonne collaboration des mtiers lorsque des
activits requirent leur validation.
103
Dictionnair e de donnes
Schmas de classification des
donnes
Plan optimis des systmes mtier
Mises niveau rgulires de ltat
de lar t de la technologie
Comptes r endus cots/bnfices
Standar ds dacquisition et de
dveloppement
Guides de gestion des pr ojets
Plans de projets dtaills
Etude de faisabilit des exigences
des mtier s
Description du processus de
changement
AI3
104
Vue densemble
Le processus AI3 rsulte principalement de la matrise des activits visant
acqurir et entretenir linfrastructure en ligne avec les stratgies et les
choix technologiques (gestion des ressources matrielles) qui rpondent
principalement au critre defficience du systme dinformation.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Compte tenu des implications budgtaires qui peuvent tre importantes et
en conformit avec le plan dinfrastructure technologique, le plan dacquisition dune infrastructure technique doit obligatoirement tre mis en place. Il
doit tre en phase avec le plan stratgique informatique, larchitecture de
linformation, les orientations technologiques et la stratgie dachat.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le processus AI3 doit permettre de matriser les objectifs prsents dans le
tableau 5-3.
Tableau 5-3 : Objectifs du processus AI3
OBJ. 05
OBJ. 08
OBJ. 15
105
Description du processus
La figure 5-8 reprsente les flux internes du processus AI3.
DEFINIR
DEFINIR UN PLAN DACQUISITION DES TECHNOLOGIES
AMELIORER
REVISER PERIODIQUEMENT LINFRASTRUCTURE
EN FONCTION DES EXIGENCES METIER ET DE SECURITE
Exigences de
lenvironnement
physique
Exigences de
surveillance des
systmes
CONTROLER
SUIVRE ET EVALUER LUTILISATION DES COMPOSANTS
DE LINFRASTRUCTURE SELON LEUR SENSIBILITE
METTRE EN UVRE
NEGOCIER LACQUISITION DE LINFRASTRUCTURE
AUPRES DE FOURNISSEURS AGREES
106
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi de la capacit grer lobsolescence des infrastructures. Ceci passe par la mesure du respect des standards technologiques et
des procdures dacquisition.
Rles et responsabilits
Le directeur des systmes dinformation
Il est le garant des choix stratgiques concernant les infrastructures. Il en
dlgue la responsabilit oprationnelle au responsable exploitation.
Le responsable exploitation
Il est en charge de la bonne ralisation des diffrentes tapes dacquisition
des infrastructures dans le respect des procdures et des processus
dacquisition de lentreprise. Il sassure de la collaboration des responsables
architecture et administratif.
Dcisions dacquisition
Systme configur tester/installer
Exigences de lenvironnement
physique
Mises jour des standards techniques
Exigence de surveillance des
systmes
Connaissance de linfrastructure
Contrats dexploitation prvus
initialement
107
AI4
Faciliter le fonctionnement
et lutilisation
Il nest pas rare dentendre que les incidents ou les problmes remonts
par les utilisateurs et recenss par les services dassistance trouvent leurs
racines dans une mauvaise utilisation ou dans lignorance de la fonctionnalit dune application.
Partant de ce constat, on attribue parfois ce type de problme un manque
dinformation sur lutilisation de la fonctionnalit en question ou, plus
largement, une absence ou une lacune dans laccompagnement des utilisateurs (formation, documentation, prise en main).
Afin dassurer une bonne utilisation et un bon fonctionnement des applications et de linfrastructure, il est donc ncessaire de proposer des formations, de rdiger de la documentation et des manuels pour les utilisateurs
et linformatique.
Cest ce prix que lon peut esprer utiliser correctement la plupart des
fonctionnalits dune application.
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
108
Pourquoi ?
En principe, toute livraison dinfrastructure ou de systme doit tre
accompagne dune formation, dun guide dexploitation ou dun mode
opratoire. Il arrive que cette documentation ne soit pas suffisamment
complte, quelle soit obsolte ou gare ou que de nouveaux utilisateurs travaillent sur une application sans formation pralable. Dans
tous les cas, il faut mettre en uvre les solutions qui garantissent
la meilleure appropriation possible pour toute solution informatique.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI4 doit permettre de matriser les objectifs prsents dans le
tableau 5-4.
Tableau 5-4 : Objectifs du processus AI4
OBJ. 03
OBJ. 11
OBJ. 13
OBJ. 16
109
Description du processus
DEFINIR
DEFINIR UNE STRATEGIE POUR RENDRE
LA SOLUTION EXPLOITABLE
PLANIFIER LA PRODUCTION DE LA DOCUMENTATION
COMMUNIQUER
AMELIORER
AMELIORER LA DOCUMENTATION
SI NECESSAIRE
COMMUNIQUER AUX
UTILISATEURS
FINAUX
Manuels de
procdures
COMMUNIQUER AU
PERSONNEL DU
SUPPORT ET
AU PERSONNEL
DEXPLOITATION
Manuels
dexploitation,
dassistance
technique et
dadministration
CONTROLER
EVALUER LES RESULTATS
DE LA FORMATION
VERIFIER LA DISPONIBILITE,
LEXHAUSTIVITE ET LEXACTITUDE
DE LA DOCUMENTATION
METTRE EN UVRE
DEVELOPPER LA DOCUMENTATION
DE TRANSFERT DES CONNAISSANCES
PRODUIRE LES SUPPORTS
ET DISPENSER LA FORMATION
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi des incidents causs par une mauvaise connaissance
110
Rles et responsabilits
Le propritaire du processus mtier
Il est responsable de la bonne ralisation de ce processus. ce titre, il en
est le pilote et est en charge de la diffusion des lments de transfert de
connaissance aux utilisateurs.
Les responsables exploitation et dveloppements
Ils sont responsables de la bonne ralisation des diffrentes tapes de production de la documentation et des actions de formation/communication
pour les utilisateurs.
AI4 : Faciliter le
fonctionnement et
lutilisation
111
AI5
Lacquisition de ressources informatiques englobe le personnel, les services, le matriel et les logiciels. Un processus gnral dacquisition
informatique doit tre dfini et appliqu afin de fournir lentreprise
toutes les ressources informatiques requises en temps voulu et au
meilleur cot.
Le processus comprend les procdures dachats, la slection des fournisseurs, la gestion des relations contractuelles avec les tiers, et fixe les
conditions dacquisition des ressources.
Lobjectif est de dfinir une politique dachat informatique compatible
avec les plans stratgiques, tactiques et le programme dinvestissement
informatique. Celle-ci vise la prise en compte des exigences mtier travers lapport de nouveaux systmes, le dveloppement des infrastructures
et lacquisition des comptences.
Cette politique conduit faire des achats contrls visant ou prservant
les intrts de lentreprise. Elle doit aussi mener vers plus de transparence
dans les relations avec le fournisseur.
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Le processus AI5 rsulte principalement du besoin de matrise de la gestion de toutes les ressources du systme dinformation (applications,
112
informations, infrastructures et personnes) pour une contribution optimale aux mtiers (apport de valeur) qui rpondent principalement aux
critres defficacit et defficience du systme dinformation.
En cas dexternalisation des activits (lexploitation notamment), la matrise des risques doit tre assure de bout en bout. Ceci ncessite que le
fournisseur soit averti de toutes les exigences lies la scurit quil doit
prendre en compte.
Pourquoi ?
Une gestion efficace des achats permet la fois de faire des conomies,
de rduire les risques lis aux tiers et de se conformer aux dispositions
lgales. Le processus dacquisition de ressources informatiques prcise
les tapes de contrle et de validation en relation avec le service achats :
la stratgie achat SI, la dcision finale dans le choix du fournisseur, la
ngociation des modalits dacquisition avec le fournisseur, la partie
gestion des contrats fournisseurs vue sous langle achat et la relation
fournisseur.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI5 doit permettre de matriser les objectifs prsents dans le
tableau 5-5.
Tableau 5-5 : Objectifs du processus AI5
OBJ. 07
OBJ. 08
OBJ. 09
OBJ. 24
113
Description du processus
DEFINIR
DEFINIR DES PROCEDURES ET DES STANDARDS DACQUISITION
DEFINIR UNE PROCEDURE DE GESTION
DES CONTRATS FOURNISSEURS
CONTROLER
Exigences de
gestion des
relations avec
les tiers
METTRE EN UVRE
ETABLIR UNE LISTE DE FOURNISSEURS ACCREDITES
Accords
contractuels
dacquisition
114
etc.). La ngociation finale seffectue en principe avec le service informatique sur les aspects techniques de la proposition, et avec le service achats
en ce qui concerne les aspects financiers et les clauses dacquisition.
En plus de lacheteur, la DSI doit aussi travailler en troite collaboration
avec un conseiller juridique pour la mise au point dun contrat. En dehors
de lobjet et des modalits laccompagnant, le contrat ne doit pas omettre
des clauses concernant les responsabilits lgales, financires et civiles, la
proprit intellectuelle, les licences, la scurit, les conditions de rsiliation du contrat, les garanties, les pnalits et les mcanismes dvolution
qui influencent les prix (units duvre, travaux supplmentaires).
Le mtier sera aussi associ au processus dacquisition lorsquil est concern
(dveloppements applicatifs, assistance la matrise douvrage).
La gestion des contrats fournisseurs permet de dfinir des objectifs de performance et damlioration sur la dure (voir chapitre 6, section DS2
Grer les services tiers ). Par exemple, le fournisseur peut apporter une
contribution continue la qualit du service offert travers un SLA1 (Service
Level Agreement). Lacquisition de logiciel, de ressources de dveloppement,
dinfrastructure, damnagements dquipements et de services qui leurs
sont lis, doit saccompagner de garanties obligatoires permettant une
fourniture de systmes fonctionnant comme attendus, rsistants aux
pannes et permettant une gestion efficace des incidents.
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
AI5 concernent le suivi du pourcentage dachats conformes aux procdures
et aux politiques dacquisition.
La mesure de la mise en uvre de ce processus passe principalement par
le suivi du dlai de traitement des achats.
Rles et responsabilits
Le directeur des systmes dinformation
Il est responsable de la bonne ralisation de ce processus et, ce titre, il
en est le pilote. Ds que la DSI devient importante, on nomme un correspondant achats de linformatique qui centralise la relation avec le service
achats.
115
1. La ngociation dun
contrat de services
aboutit un niveau de
service contractualis
(ou SLA, Service Level
Agreement). Latteinte
de ce niveau de service
et son amlioration
peuvent tre intgres
dans les contrats
conclus avec les tiers.
DS2, AI7
AI6
116
Vue densemble
Le processus AI6 rsulte principalement du besoin de matrise de tous
les composants en production du systme dinformation (gestion des
ressources) pour ragir aux volutions des besoins des mtiers (apport
de valeur) qui rpondent principalement aux critres defficacit, defficience, de disponibilit et dintgrit du systme dinformation.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La gestion des changements est un processus crucial pour limiter
les risques dinstabilit de lenvironnement de production. Ce processus contribue une responsabilisation accrue de lutilisateur qui
doit canaliser ses demandes et une meilleure organisation au sein de
linformatique qui doit les traiter. Il pose aussi des principes de transparence dans les relations entre les parties prenantes mtier et informatiques.
Comme beaucoup de processus en liaison avec lexploitation, le processus
AI6 est frquemment partag avec des tiers (infogrants, exploitants), ce
qui accrot encore la ncessit de le rendre efficace et transparent.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
117
OBJ. 01
OBJ. 06
OBJ. 16
OBJ. 22
Sassurer quun incident ou une modication dans la fourniture dun service informatique na
quun impact minimum sur lactivit.
OBJ. 26
Description du processus
La figure 5-17 reprsente les flux internes du processus AI6.
DEFINIR
DEFINIR LES PROCEDURES DE GESTION DES CHANGEMENTS
(y compris les modifications et les correctifs durgence)
AMELIORER
METTRE A JOUR LES SYSTEMES,
LA DOCUMENTATION UTILISATEUR
ET LES PROCEDURES
COMMUNIQUER
METTRE EN UVRE
OBTENIR
LAUTORISATION DE
MISE EN UVRE
CONTROLER
FAIRE CONNAITRE
LES MODIFICATIONS
APPORTEES
118
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi du pourcentage de changements qui ont gnr des
incidents.
La mesure de la mise en uvre de ce processus passe principalement par
le suivi des changements ne respectant pas le circuit formel.
119
Rles et responsabilits
Le directeur des systmes dinformation
Il doit sassurer que ce processus est bien mis en place et que le reporting
des changements est oprationnel. Ce processus est un maillon cl dans
lamlioration du fonctionnement global de la DSI. Il sert en particulier
rguler et organiser les flux de nouveauts en production.
Le responsable exploitation
Il est en charge de la bonne ralisation de ce processus et, ce titre, il en
est le pilote. En collaboration avec les responsables dveloppements et
mtiers, il sassure que les changements sont bien matriss.
Le responsable dveloppements
Il participe toutes les tapes du traitement des changements relatifs aux
applications.
Description du processus de
changement
Rapport sur le statut des changements
Autorisation de changement
120
AI7
Cest aprs une dcision dfinitive que tout nouveau systme peut tre
lgitimement mis en exploitation. Derrire cette dcision lourde de consquence, se cache un ensemble de tches importantes, planifies et ralises lors de la phase de dveloppement.
Lors de cette phase, certaines tches demeurent incontournables, telles que
llaboration dun programme de tests dans un environnement ddi impliquant les parties prenantes mtier et informatiques, un planning de recettes
et de formation ainsi quun plan dimplmentation contenant les instructions
de dploiement, de migration et le calendrier de mise en production.
Chaque tape est fondamentale et doit tre valide au fur et mesure pour
assurer le succs dans la mise en place et lutilisation prenne des systmes oprationnels.
Des revues aprs mise en place peuvent suivre pour offrir une visibilit sur
les rsultats attendus, et ainsi permettre dagir en consquence.
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
121
Pourquoi ?
La phase de test est une tape critique qui conditionne la russite des projets. Souvent mis sous la pression de lurgence, le responsable des tests
doit tre ferme pour viter de ngliger cette tape. Cest pourquoi, il est
fondamental de dfinir et de piloter ce processus, ce qui permettra de
suivre la qualit de la fin du cycle de vie du dveloppement des logiciels.
Ltape de mise en exploitation est dlicate et ncessite une documentation prcise et complte. Quel que soit le nom quon lui donne (plan
dimplmentation, dossier dexploitation ou guide dinstallation), il est
ncessaire de disposer dun document qui fournit une description des
procdures de dploiement, dinstallation, de gestion des incidents, du
stockage du logiciel, des modifications effectues entre deux versions et
des solutions de remplacement ou de retour en arrire.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI7 doit permettre de matriser les objectifs prsents dans le
tableau 5-7.
Tableau 5-7 : Objectifs du processus AI7
OBJ. 01
OBJ. 11
OBJ. 13
OBJ. 16
OBJ. 20
OBJ. 21
Sassurer que les services et linfrastructure informatique peuvent rsister/se rtablir convenablement en cas de panne due une erreur,
une attaque dlibre ou un sinistre.
122
Description du processus
La figure 5-20 reprsente les flux internes du processus AI7.
DEFINIR
Plan
dimplmentation
COMMUNIQUER
Programme
de tests
CONTROLER
OBTENIR
LAPPROBATION
DES PARTIES
CONCERNEES
METTRE EN UVRE
METTRE EN PLACE UN ENVIRONNEMENT DE TEST
REPRESENTATIF DE LENVIRONNEMENT DE PRODUCTION
123
passage dune version dun logiciel une autre, ou dune application une
autre.
La migration des donnes fait lobjet dun processus part entire au sein
du processus AI7.
Aprs les tests de modifications et de recette dfinitive, le transfert en production doit tre ralis selon un calendrier bien tabli.
Le passage du systme de lenvironnement de dveloppement et de tests
celui de la production exige de grandes prcautions. Il demande lautorisation du propritaire du systme qui a lassurance que le nouveau sera mis
en production aprs dsactivation de lancien.
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi du pourcentage dincidents qui ont suivi la validation
des solutions installes ainsi que la satisfaction des mtiers. On sattachera aussi identifier les causes des carts (jeu de test inadquat, changement de spcification, donnes inexactes).
La mesure de la mise en uvre de ce processus passe principalement par
le suivi de ralisation des activits de ce celui-ci, conformment au plan
dassurance qualit de la solution ( travers les audits et les inspections
mens).
Rles et responsabilits
Le propritaire du processus mtier
Il est responsable de la dcision de mise en production ; il est le client de ce
processus. En gnral, les projets informatiques sont plutt en retard et les
mtiers poussent ce que la mise en production intervienne au plus vite. Le
responsable du processus doit donc prendre le risque de mettre en service
une solution insuffisamment teste ou incomplte fonctionnellement.
Le responsable exploitation
Il doit fournir lenvironnement de tests appropri et raliser les tests
techniques. Il travaille en collaboration avec le responsable dveloppements
et le propritaire processus mtier.
124
Le responsable dveloppements
Il est en charge de la spcification des tests et de leur ralisation, en particulier en ce qui concerne les tests applicatifs.
Standards technologiques
Documentation sur les propritaires
des processus
Standards de dveloppement
Guides de gestion des projets
Plans de projets dtaills
Systme configur tester /
installer
Manuel utilisateur, dexploitation,
dassistance, technique et
dadministration
Articles achets
Autorisation de changement
En rsum
Le domaine AI couvre lensemble des projets, applicatifs ou infrastructures, lensemble des correctifs et, en bref, tout changement intervenant
sur le primtre des systmes dinformation. Il sapparente au chapitre
Service Transition du rfrentiel ITIL V3.
Certains trouveront que le pilotage des projets proprement parler ny figure
pas. Il est vrai que le processus AI2, qui couvre la fois le dveloppement et
la maintenance dapplications, mrite dtre dtaill. Cest ce niveau quil
faut coupler les mthodes de gestion de projet qui existent par ailleurs.
En revanche, ce domaine a le mrite de dcrire des processus qui sont trop
souvent ignors, tel le processus AI4 (faciliter le fonctionnement et lutilisation), ou ngligs, tels que les processus AI1 (dcision de faire ou non)
et AI6/7 (gestion des changements, tests et mise en production).
125
Chapitre 6
Dlivrer
et Supporter
Ce domaine concerne la mise en uvre des services : exploitation informatique, gestion de la scurit, gestion de la continuit de service, assistance
aux utilisateurs, gestion des donnes et des quipements.
Les processus de ce domaine sont les suivants :
DS1 Dfinir et grer les niveaux de services
DS2 Grer les services tiers
DS3 Grer la performance et la capacit
DS4 Assurer un service continu
DS5 Assurer la scurit des systmes
DS6 Identifier et imputer les cots
DS7 Instruire et former les utilisateurs
DS8 Grer le service dassistance aux clients et les incidents
DS9 Grer la configuration
DS10 Grer les problmes
DS11 Grer les donnes
DS12 Grer lenvironnement physique
DS13 Grer lexploitation
DS1
127
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
128
Pourquoi ?
Les DSI se demandent parfois quel est lintrt de mettre en place une gestion de niveaux de services alors mme que les clients, utilisateurs et responsables mtier, sen dsintressent. Ce dsintrt apparent masque
souvent une exigence absolue qui leur vite une discussion perue comme
un compromis ce qui semble leur tre d.
La ngociation, puis la gestion des niveaux de services, signe donc une
sorte de maturit de la relation entre mtiers et DSI. La communication
qui en rsulte sera la base dune meilleure comprhension mutuelle, que
ce soit des enjeux mtier ou des contraintes pesant sur le SI.
Enfin, cette rgulation des services de la DSI par la demande est lune des
conditions dune bonne gouvernance, que ce soit en termes de qualit, de
cots ou de ressources.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS1 doit permettre de matriser les objectifs prsents dans le
tableau 6-1.
Tableau 6-1 : Objectifs du processus DS1
OBJ. 01
OBJ. 03
OBJ. 12
129
Description du processus
DEFINIR
DEFINIR UN CADRE DE REFERENCE
POUR LA GESTION DES NIVEAUX DE SERVICES
COMMUNIQUER
ETABLIR UN
ACCORD COMMUN
SUR LE NIVEAU
DE SERVICE
EXIGE
Portefeuille
des services
informatiques
METTRE EN UVRE
ELABORER UN CATALOGUE/PORTEFEUILLE
DES SERVICES INFORMATIQUES
FORMALISER LES CNS
(disponibilit, fiabilit, niveau dassistance, etc.)
RENDRE COMPTE
AUX PARTIES
PRENANTES DES
NIVEAUX DE
SERVICES
ATTEINTS
AMELIORER
CRER UN PLAN DAMELIORATION
DES SERVICES INFORMATIQUES
CONTROLER
SURVEILLER EN PERMANENCE LA PERFORMANCE
DES NIVEAUX DE SERVICES
FAIRE UNE REVUE DES CNS ET DES CONTRATS ASSOCIES
130
Mesures et contrles
Les mesures les plus couramment utilises viennent du pilotage des centres dassistance (pourcentage de rsolution dans un dlai donn), des
mesures de fiabilit des composants (nombre de coupure des tlcommunications par jour) ou des statistiques prleves sur les mainframes (temps
de rponse). La principale difficult consiste passer de ces KPI1 techniques attaches un aspect du service offert un KGI ayant un sens pour le
mtier. Cette chane dengagements permet au client final de se concentrer
sur des objectifs mtier (KGI) et la DSI de les dcliner en objectifs techniques (KPI).
Rles et responsabilits
Le directeur des systmes dinformation
Le DSI a un rle majeur dans linstauration dune communication claire
avec les mtiers, base sur la comprhension mutuelle, lexplication, la
mesure, ainsi que sur la dynamique densemble qui tire les uns et les
autres vers un comportement positif. Sans participation du DSI, il nexiste
pas de cadre de niveaux de services partag. Le DSI doit tre linterlocuteur
des directions mtiers comme les responsables des centres de services
sont les interlocuteurs des utilisateurs.
La cellule mthodes et qualit (MAQ)
Le rle de la cellule MAQ est de piloter, relancer, challenger et mesurer la
performance des services au regard des engagements. Elle doit surtout
animer la boucle damlioration continue, en impulsant les actions correctives prioritaires qui simposent.
Le service dassistance et le responsable exploitation
Sous la responsabilit du chef dexploitation, les responsables des centres
de services sont en charge du pilotage oprationnel de la relation avec le
souci de grer lescalade vers le management de la DSI si ncessaire.
131
1. Les indicateurs
(KPI : key performance indicators)
mesurent les performances au niveau
technique et contribuent la ralisation
dobjectifs au niveau
des mtiers, euxmmes mesurs par
des KGI (key goal
indicators).
DS2
Les activits de la DSI sont de plus en plus imbriques des services contractualiss auprs de tiers. Ces derniers deviennent partie intgrante des
processus de la DSI quand il sagit den garantir lefficacit et lefficience.
Les oprationnels sont invitablement amens banaliser les rapports
entre individus, quils soient internes ou externes lentreprise. Dans ce
contexte, comment maintenir la vigilance ncessaire ? Il faut, quelque part,
instancier un processus de gestion des services contractualiss avec les
tiers.
132
Vue densemble
En termes de gouvernance, les services tiers renvoient deux proccupations, savoir lapport de valeur et la gestion des risques dans un souci
defficacit et defficience.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La gestion des tiers rpond la fois au souci de piloter correctement les
engagements contractuels et celui de se poser les bonnes questions
sur le moyen terme. En travaillant troitement avec la fonction achats,
il sagit de maintenir une veille du march afin doptimiser le couple
apport de valeur/risque, en fonction du segment considr. Il est clair,
par exemple, que la maintenance applicative dun ERP nest pas
mettre au mme niveau que la maintenance des PC sur le plan des
risques.
On observe couramment en la matire un manque danticipation qui rvle
la mauvaise implmentation de ce processus.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le processus DS2 doit permettre de matriser les objectifs prsents dans le
tableau 6-2.
133
OBJ. 03
Sassurer de la satisfaction des utilisateurs naux lgard des offres et des niveaux de services.
OBJ. 10
OBJ. 12
Sassurer de la transparence et de la bonne comprhension des cots, bnces, stratgie, politiques et niveaux de services des SI.
Description du processus
La figure 6-5 reprsente les flux internes du processus DS2.
IDENTIFIER
CONTROLER
Catalogue
fournisseurs
METTRE EN UVRE
FORMALISER LE PROCESSUS DE GESTION DES RELATIONS
FOURNISSEURS (rles et responsabilits, objectifs, livrables, etc.)
134
Mesures et contrles
La mesure et les contrles des services tiers sont clairement aligns avec
les dispositions contractuelles. Le tableau de bord de mesure des services
fournis par les tiers doit donc tre soigneusement prpar au stade du
cahier des charges pour viter davoir dployer un effort supplmentaire
pour dfinir, alimenter et ngocier les tableaux de bord de suivi du service.
Il est souhaitable que la partie prenante propose avec le service les outils
de mesure avec une possibilit daudit.
Rles et responsabilits
Les achats
Les achats informatiques de lentreprise jouent un rle dterminant dans
la russite de ce processus ds lors quils fonctionnent troitement avec
les services internes la DSI.
135
PC, etc.) quil faudra fdrer pour avoir une politique DSI homogne vis-vis des tiers.
Trs frquemment, ce processus est confi aux oprationnels qui sont trop proches des tiers dans le quotidien pour rellement mener ce processus bien.
Le responsable des relations avec les utilisateurs doit tre fortement
impliqu dans la ngociation des services tiers.
DS3
Vue densemble
La gestion des ressources, en particulier dans les grands comptes, renvoie
des cycles qui ncessitent de bien anticiper partir de ltat de ses ressources propres et de lvolution des demandes. Le processus DS3 est donc
un processus amont critique pour les processus stratgiques que sont PO2
(architecture), PO3 (orientation technologique) et PO5 (investissements).
136
GOU VERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
APPLICATIONS
INFORMATIONS
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le pilotage des activits de la DSI est bas sur la recherche du meilleur
compromis entre les performances exiges et les capacits informatiques.
Cette proccupation sinscrit aussi bien dans le trs court terme (quelle
attitude observer face des imprvus ?) que dans le moyen terme o il
sagit de planifier au mieux les volutions dans le souci constant
dapporter la meilleure rponse (qualit et prix) aux exigences mtier.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS3 doit permettre de matriser les objectifs prsents dans le
tableau 6-3.
Tableau 6-3 : Objectifs du processus DS3
OBJ. 01
OBJ. 15
OBJ. 23
Sassurer que les services informatiques sont disponibles dans les conditions requises.
137
Description du processus
La figure 6-8 reprsente les flux internes du processus DS3.
138
Mesures et contrles
Le processus DS3 est une source dalimentation importante du processus
de contrle SE1 (voir chapitre 7, section SE1 Surveiller et valuer la
performance des SI ). Il maintient une vision des paramtres cls du pilotage des ressources : temps de rponse, charges des quipements, indisponibilit, pannes, carts par rapport aux prvisions des mtiers, carts
par rapport aux plans dvolution des infrastructures, etc.
Ce processus ncessite la mise en place et lalimentation dune base de
donnes de lensemble des lments concourant la mesure de la performance et de la disponibilit. Dans le rfrentiel ITIL, on parle de la
CMDB (Configuration Management Database) pour regrouper toutes les
informations sur les composants et les ressources et alimenter une vue
qui part du composant lmentaire (bottom-up) pour apprcier la disponibilit.
Au-del du simple reporting, le processus DS3 demande de modliser lutilisation des ressources et dtre force de proposition pour rpondre aux
questions poses lors du processus PO2 sur lvolution de larchitecture
du systme dinformation.
Rles et responsabilits
Le processus DS3 doit la fois sappuyer sur des ressources permanentes
(reporting) et mobiliser des instances au plus haut niveau de la DSI (modlisation, prvisions, plans durgence).
Le responsable exploitation
Il doit sassurer en permanence que les performances et les capacits informatiques, actuelles et futures, permettent de respecter les engagements pris.
139
DS3 : Grer la
performance et la
capacit
Spcifications de disponibilit,
continuit et reprise
Exigences de surveillance des
systmes
Contrats de services (CS)
DS4
Au-del du respect des contrats de services qui sont le lot quotidien des DSI, il
est indispensable denvisager les situations de crise voire de catastrophe pour
tenter de mettre en place des plans daction qui en rduisent les impacts.
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
140
Pourquoi ?
Assurer un service continu signifie offrir le meilleur compromis en fonction
de la dgradation du systme dinformation travers lapplication dun
plan de continuit appropri et prouv. Cette rponse gradue la
dfaillance du systme ne peut pas tre improvise dans lurgence.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS4 doit permettre de matriser les objectifs prsents dans le
tableau 6-4.
Tableau 6-4 : Objectifs du processus DS4
OBJ. 21
OBJ. 22
OBJ. 23
Parmi les processus DS, quatre processus relvent surtout de la gestion des risques : DS4, DS5 (scurit), DS11 (donnes) et DS12 (environnement physique).
Le plan de continuit constitue la dernire rponse lorsque les trois autres
processus (donnes, environnement, scurit) se sont rvls dfaillants.
Lensemble des services informatiques est concern par le processus DS4.
Il sagit non seulement de prvoir les situations entranant un problme
majeur pour les mtiers, mais aussi denvisager pour chacune dentre elles
un vritable systme dinformation provisoire en attendant le retour la
normale. Les mtiers sont concerns parce que la convention de service va
141
Description du processus
La figure 6-11 reprsente les flux internes du processus DS4.
DEFINIR
AMELIORER
COMMUNIQUER
FAIRE
COMPRENDRE AU
METIER LES
DELAIS ET LES
COUTS DE
RESTAURATION
METTRE EN UVRE
DEVELOPPER DES PLANS DE CONTINUITE DES SI
CONTROLER
142
Mesures et contrles
Un certain nombre de contrles sont prvus sur lexistence de plans de
continuit, leur mise jour, leur test, les engagements des services tiers
(salles blanches, etc.). Tous ces contrles sont ncessaires mais seul lexercice grandeur nature est probant.
Une seconde catgorie de contrles porte sur les hypothses qui ont prsid la conception du plan de continuit, le faisceau de risques envisags
en hypothse la construction de ce plan.
Rles et responsabilits
Le responsable exploitation
Il est en charge, en concertation avec les autres responsables de la DSI
(responsable dveloppements, responsable administratif des SI, responsable de loffice des projets), de prparer et maintenir un plan de continuit de services adapt aux besoins des mtiers.
DS4 : Assurer un
service continu
143
DS5
Vue densemble
La contribution la gestion des risques (processus PO9, voir chapitre 4,
section PO9 valuer et grer les risques ) est lobjectif essentiel de ce
processus qui sintresse lensemble des ressources informatiques (applications, informations, infrastructures et personnes).
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Pour assurer la scurit des systmes dinformation, il faut maintenir
les ressources associes de faon rduire les vulnrabilits impactant
144
les mtiers. Cela passe par un processus ddi qui donne une vision de
lensemble des ressources informatiques au regard des exigences de scurit.
Objectifs et primtre
Le processus DS5 couvre peu prs le spectre de la norme ISO/IEC 27002
(anciennement ISO/IEC 17799). Vis--vis des 28 objectifs globaux assigns
au systme dinformation (voir annexe 2, Objectifs du systme dinformation et processus CobiT ), le processus DS5 doit permettre de matriser
les objectifs prsents par le tableau 6-5.
Tableau 6-5 : Objectifs du processus DS5
OBJ. 14
OBJ. 19
Sassurer que l'information critique et condentielle nest pas accessible ceux qui ne doivent pas y accder.
OBJ. 20
OBJ. 21
Sassurer que les services et linfrastructure informatique peuvent rsister/se rtablir convenablement en cas de panne due une erreur,
une attaque dlibre ou un sinistre.
OBJ. 26
La gestion des risques informatiques sintresse lensemble de lentreprise, de ses ressources informatiques (infrastructure, donnes, applications) et des acteurs (utilisateurs, internes ou externes, clients, hackers)
susceptibles de sintroduire dans les systmes. Elle ne prend pas en
compte les risques lis aux projets (processus PO10, voir chapitre 4, section
PO10 Grer les projets ).
En cas dexternalisation dactivits vers un tiers, il est important que la
gestion des risques soit garantie de bout en bout et donc, que les exigences de scurit ncessaires applicables aux tiers soient dtermines et
mises en uvre par ces derniers (processus DS2).
145
Description du processus
La figure 6-14 reprsente les flux internes du processus DS5.
DEFINIR
DEFINIR UN PLAN DE SECURITE INFORMATIQUE GENERAL
(exigences mtier, risques informatiques, culture de la scurit, etc.)
COMMUNIQUER
COMMUNIQUER AUX
PARTIES PRENANTES
ET AUX UTILISATEURS
CONTROLER
EFFECTUER UNE REVUE PERIODIQUE
DE LA GESTION DES DROITS DACCES
ET DES PRIVILEGES UTILISATEURS
SENSIBILISER
A LA SECURITE PAR LA
FORMATION (DS7)
METTRE EN UVRE
COMMUNIQUER A LA
GESTION DES
INCIDENTS (DS8)
EVALUER REGULIEREMENT
LA VULNERABILITE DES SI
(mesures de prvention, dtection, neutralisation)
146
Concernant les risques lis aux personnes (internes, externes, malveillantes ou non), on suivra en permanence les volutions rglementaires
et les politiques internes associes (domaine priv du salari, obligations
dinformation, dclarations aux autorits, etc.). Ce domaine couvre la gestion des identits, la gestion des comptes utilisateurs en liaison troite
avec les enjeux applicatifs des processus mtier, la gestion des cls de chiffrement, la gestion de la confidentialit sur les plans de scurit euxmmes, les changes de donnes sensibles et la dtection des logiciels
malveillants. Le risque li aux problmes dhabilitation sera particulirement pris en compte et rpercut sur le processus DS2 pour les tiers (accs
des infogrants, par exemple).
Pour les risques lis aux ressources informatiques, le processus couvrira
la scurit des rseaux, des serveurs, des postes de travail et plus gnralement la scurit de toutes les ressources ncessaires au fonctionnement
des SI.
Une attention particulire sera apporte des processus transverses entre
mtiers et DSI comme larchivage et la dmatrialisation. Ce genre de processus met en uvre des politiques de scurit trs disparates et obissant des objectifs diffrents selon que cest un mtier ou la DSI qui sen
occupe. Par exemple, larchivage de contrats ou leur numrisation au sein
des entits mtier fait-il lobjet des mmes rgles de scurit que ce qui
est appliqu la DSI ?
Le plan de scurit doit tre rgulirement test et actualis, que ce soit
au travers daudits, de sondages ou de contrles automatiques.
Enfin, une hirarchie des incidents de scurit peut tre tablie et communique, en particulier au centre de services, pour que la dtection
dincidents (processus DS8) identifie immdiatement les alertes de
scurit.
Mesures et contrles
La mise en place dun tableau de bord de la scurit sappuie sur la classification des incidents de scurit qui sont rpertoris et classs en
niveaux de risques. Ceci permet davoir une communication claire avec
les mtiers.
Le tableau de bord sera aliment pour partie par les outils de contrle
interne automatiss (applications, espions, etc.), par les exploitants et par
les incidents remonts en DS8 par le centre de services.
Enfin, on tracera galement les tests du plan de scurit, le processus
damlioration de ce plan, vis--vis des objectifs un an et trois ans.
147
Rles et responsabilits
Le directeur des systmes dinformation
Le DSI est clairement en charge de ce processus dont il dlgue la responsabilit, en particulier aux responsables de son quipe (exploitation
architecture, dveloppements), au contrle interne de la DSI et aux responsables des domaines applicatifs.
Le propritaire du processus mtier
Il est responsable de la dtermination et du suivi des droits daccs aux
utilisateurs.
DS5 : Assurer la
scurit des systmes
Architecture de linformation
Classifications attribues aux
donnes
Standards informatiques
Evaluation des risques
Spcifications de contrles de
scurit des applications
Contrats dexploitation (CE)
S6
148
Vue densemble
Ce processus concerne en priorit la gestion des ressources parce quil ny
a pas de gestion des ressources efficiente sans une identification claire des
cots. Cette gestion sapplique lensemble des ressources informatiques.
Aprs identification claire et prcise des cots (fiabilit de linformation)
sur les ressources informatiques, le processus sintresse lapport de
valeur pour les mtiers et la mesure de la performance. Cela aboutit
dune part limputation des cots pour les mtiers et dautre part, la
mesure de lefficience de lutilisation des ressources.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Lexprience montre que le processus didentification des cots est complexe. La DSI est un service de support qui, en gnral, na pas sa comptabilit propre. Il faut donc reconstituer une comptabilit analytique. titre
dexemple, calculer les cots sur un projet conduit additionner des
dpenses internes (salaires, charges, locaux, etc.) et des dpenses externes
(sous-traitants, centres de services), ce qui amne retraiter des lments
disparates.
Le second cueil vient du niveau de granularit viser pour tre pertinent.
Jusquo aller dans les consommables ? Comment grer les achats imputables
aux SI raliss par les mtiers ?
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
149
OBJ. 12
OBJ. 24
OBJ. 28
Sassurer que linformatique fait preuve dune qualit de services efciente en matire de cots,
damlioration continue et de capacit sadapter des changements futurs.
Il ressort que lobjectif principal de ce processus est dinstaurer une transparence pour un pilotage de la performance par les cots. Cette identification
des cots doit conduire une meilleure apprciation de la valeur apporte en
cherchant le meilleur compromis cot/niveau de service.
Lensemble des cots imputables au SI est dans le primtre de ce processus. En toute logique, les dpenses informatiques, quelles soient
effectues par les mtiers ou par la DSI, entrent dans ce primtre. Il
sagit de recrer un compte dexploitation partir de donnes comptables
parses couvrant lensemble des ressources informatiques.
La refacturation aux services utilisateurs nest pas une obligation, mais
le rsultat dune dcision qui ne sera possible quune fois le processus
DS6 rd.
Description du processus
DEFINIR
COMMUNIQUER
IMPLIQUER LES METIERS
DANS LA DEFINITION DU
MODELE DES COUTS
FAIRE COMPRENDRE
AUX METIERS LES
NIVEAUX DE
FACTURATION DES
SERVICES
RENDRE COMPTE EN
TOUTE TRANSPARENCE
AUX UTILISATEURS DES
SERVICES
AMELIORER
AMELIORER LA RENTABILITE GRACE A UNE
UTILISATION DOCUMENTEE ET COMPRISE
DES SERVICES INFORMATIQUES
CONTROLER
REALISER DES REVUES ET DES TESTS
COMPARATIFS DU MODELE DE COUTS ET DE
REFACTURATION
METTRE EN UVRE
ETABLIR UNE CORRESPONDANCE ENTRE LES SERVICES
INFORMATIQUES ET LES PROCESSUS METIER
CALCULER ET AFFECTER LES COUTS REELS
DES SERVICES INFORMATIQUES
150
Mesures et contrles
La capacit identifier lensemble des cots dans les systmes de gestion
de lentreprise est une premire mesure qui suppose une forme de plan de
compte analytique.
La mise au point dun contrle de gestion de linformatique permettant
disoler des units duvre associer des quantits consommes est un
rsultat probant.
Limputation aux mtiers des dpenses informatiques les concernant nest
possible que si les deux premires tapes sont finalises.
151
De faon gnrale, le suivi des cots, mme partiel, est un indicateur qui
peut servir se comparer (benchmark) vis--vis de standards du march
(par exemple, le cot de possession des PC) ou entre des situations semblables en interne (comparaison entre filiales).
Lune des rgles de base consiste viter de trop brouiller les repres
dune anne lautre de manire pouvoir isoler des tendances sur quelques annes.
Rles et responsabilits
Le responsable administratif des SI
Il est charg de mettre en place et de suivre le systme de gestion.
Les grandes DSI se dotent dun contrle de gestion interne pour piloter ce
processus qui ne peut pas tre compltement confi la direction administrative et financire.
La direction nancire
Elle joue un rle majeur dans laide la DSI pour construire le systme de
gestion et lalimenter. Cest avec son support que la DSI mettra en uvre
son systme de gestion.
PO5, SE1
DS6 : Identifier et
imputer les cots
152
DS7
Il est courant dentendre que les utilisateurs de la bureautique ne connaissent que 10 % des possibilits offertes par les outils mis leur disposition.
Ce qui est peut tre tolrable pour des progiciels grand public ne saurait
ltre pour le SI interne.
La mise en uvre des composants du SI ne pourra tre efficace que si la
documentation, la formation et laccompagnement des utilisateurs sont
adapts aux besoins et comptences de ces derniers.
Vue densemble
Lune des conditions de lefficacit et de lefficience du SI rside dans
la capacit des utilisateurs en tirer le maximum de bnfices pour les
mtiers.
Autrement dit, la fonction de transformation qui mne lapport de valeur
pour les mtiers passe pour une bonne partie par la formation des utilisateurs. Il en est de mme pour la gestion des risques, lalignement stratgique et la gestion des ressources.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le processus DS7 formalise clairement une exigence daccompagnement
des SI par la monte en comptence des utilisateurs pour en tirer bnfice.
153
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS7 doit permettre de matriser les objectifs prsents dans le
tableau 6-7.
Tableau 6-7 : Objectifs du processus DS7
OBJ. 03
Sassurer de la satisfaction des utilisateurs naux lgard des offres et des niveaux de services.
OBJ. 13
Sassurer dune bonne utilisation et des bonnes performances des applications et des solutions
informatiques.
OBJ. 15
On voit que les objectifs de la formation portent sur ladquation entre le systme dinformation et les besoins des utilisateurs. En clair, il sagit de runir
les meilleures conditions pour que les mtiers disposent dun systme dinformation performant, que ce soit sur le plan des niveaux de services dfinis, de
ladquation des applications aux besoins ou des performances de linfrastructure, le tout en relation avec les comptences des utilisateurs.
Il concerne lensemble des programmes de formation ncessaires aux utilisateurs pour bien tirer profit du systme dinformation.
Description du processus
DEFINIR
AMELIORER
METTRE A JOUR
LE PROGRAMME DE FORMATION
SELON LES RESULTATS DES EVALUATIONS
METTRE EN UVRE
EVALUER
154
Mesures et contrles
Lun des contrles consiste vrifier la pertinence des programmes de
formation et leur dploiement effectif auprs des utilisateurs.
Il faut aussi prendre en compte les statistiques dappels du centre de services pour identifier parmi les causes les plus frquentes celles qui peuvent tre rduites laide de complments de formation. Le centre
dappels initie ainsi une sorte de boucle damlioration pour le SI, travers
la formation ou, si cest justifi, par des changements.
Rles et responsabilits
Le directeur des systmes dinformation
Le DSI est le pilote de ce processus et sappuie sur son quipe pour dterminer les besoins en savoir et formation, et pour concevoir les formations
ncessaires (en tant quexpert technique).
La direction des ressources humaines
Elle intervient, par lintermdiaire du service formation, pour la conception
des formations (en tant quexpert de lingnierie pdagogique), leur planification et leur dploiement.
155
AI4, SE1
Comptences et connaissances
des utilisateurs
Formation individuelle
Besoins spcifiques en formation
Matriels de formation
Besoins de transferts de
connaissances pour la mise en
place de solutions
Contrats dexploitation (CE)
Exigences de formations spcifiques
la sensibilisation la scurit
Rapports sur la satisfaction des
utilisateurs
DS8
Vue densemble
En premire approche, le processus doit rpondre aux attentes du client et
concrtiser un apport de valeur concret du systme dinformation en satisfaisant les exigences defficacit et defficience. Simultanment, le service
dassistance est porteur de mesures de performance.
Le processus DS8 porte sur les applications et les personnes. Cette vision
semble privilgier lassistance aux utilisateurs dapplications sans inclure
les infrastructures ou les donnes.
156
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Figure 6-22 : Grer le service dassistance aux clients et les incidents : DS8
Pourquoi ?
Il est indispensable dorganiser et de structurer lassistance aux utilisateurs de faon saligner sur les bonnes pratiques en la matire : enregistrement des demandes, traabilit des affectations pour rsolution,
respect des engagements de services, gestion dune base des problmes et
des solutions ( transformer en FAQ). Cela doit conduire amliorer lefficacit et lefficience du centre de services, son cot ainsi que le service
rendu et la satisfaction des utilisateurs.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS8 doit permettre de matriser les objectifs prsents dans le
tableau 6-8.
Tableau 6-8 : Objectifs du processus DS8
OBJ. 03
OBJ. 13
Sassurer dune bonne utilisation et des bonnes performances des applications et des solutions informatiques.
OBJ. 23
Le primtre du processus semble orient sur les personnes et les applications. Concrtement, lensemble des ressources informatiques entre dans
157
le primtre du centre dassistance, que ce soit au premier niveau dintervention ou au second niveau.
Tous les services utilisateurs ou clients finaux (e-services) sont concerns,
mme si les modalits daccs au service sont plus ou moins filtres (keyusers, correspondants).
Ce processus est en relation avec le processus DS5 en ce qui concerne les
incidents lis la scurit.
Description du processus
La figure 6-23 reprsente les flux internes du processus DS8.
DEFINIR
DEFINIR DES PROCEDURES DENREGISTREMENT ET DE
CLASSIFICATION DES INCIDENTS (gravit et consquences)
DEFINIR DES PROCEDURES DE SUIVI
ET DE RESOLUTION DES INCIDENTS
CONTROLER
SURVEILLER LA RESOLUTION
DES DEMANDES DANS LES TEMPS CONVENUS
MESURER LA SATISFACTION DES UTILISATEURS
SUR LA QUALITE DU SERVICE
METTRE EN UVRE
METTRE EN PLACE UN SERVICE DASSISTANCE CLIENT
COMMUNIQUER
INFORMER LE CLIENT
DE LETAT
DAVANCEMENT
DE SA DEMANDE
OBTENIR LACCORD
CLIENT POUR LA
CLOTURE
1. Un centre de services
est en gnral organis
avec un premier niveau
qui rsout, dans un
temps limit, les cas les
plus faciles, puis un
second voire un troisime
niveau pour des incidents
plus complexes. En cas
dchec de rsolution, il
est prvu une procdure
descalade an de dnir
un plan daction face
un incident non rsolu.
158
Mesures et contrles
Le centre dassistance est une vritable mine de renseignements sur le
fonctionnement de linformatique selon ses clients, la satisfaction des utilisateurs, les incidents rptitifs ayant une causalit commune (les problmes), les lments de capacit, de disponibilit et enfin, latteinte des
objectifs en termes de niveau de service contract.
Parmi les contrles, on sattache en particulier vrifier la bonne prise en
compte des demandes clients (enregistrement, qualification, affectation,
communication vers le client), lexistence de procdures descalade (pour
les incidents non rsolus dans les dlais), le mcanisme de clture dincidents
et enfin, le tableau de bord et les analyses de tendances.
Rles et responsabilits
Le service client
Le centre dassistance aux clients est en gnral constitu comme un ple
part entire sous la responsabilit des services (oprateur, exploitant ou
autre).
Ce service nest pas rattach aux tudes ou aux projets mais il devra peser
sur les choix faire en matire de maintenance applicative, par exemple,
de faon rpondre aux besoins dtects auprs des utilisateurs au travers
lassistance.
159
Demande de service/demande de
changement
Rapports dincidents
Rapports sur la performance des
processus
Rapports sur la satisfaction des
utilisateurs
DS9
Grer la configuration
Vue densemble
La gestion de la configuration permet en tout premier lieu de conjuguer
apport de valeur et gestion des ressources dans un souci defficacit.
160
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Le processus DS9 prend en compte les exigences defficience, de disponibilit et dintgrit, et contribue la gestion des risques.
Pourquoi ?
La gestion de la configuration suppose tout dabord de tracer tous les changements pour tenir jour la base de donnes de lensemble des configurations informatiques. partir de l, la gestion de la configuration consiste
optimiser, prvoir et anticiper ses volutions.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS9 doit permettre de matriser les objectifs prsents dans le
tableau 6-9.
Tableau 6-9 : Objectifs du processus DS9
OBJ. 14
OBJ. 15
161
Description du processus
La figure 6-26 reprsente les flux internes du processus DS9.
Rapport dinterventions
et de rgularisations
DEFINIR
AMELIORER
METTRE EN UVRE
CONTROLER
Rfrentiel de
configuration
Mesures et contrles
Les indicateurs de bon fonctionnement du processus sont essentiellement
les carts entre la ralit et la configuration enregistre, avec leurs impacts
en termes de gestion des incidents, doptimisation de la configuration et
de gestion des risques.
Rles et responsabilits
Le gestionnaire de la conguration
Le rle de gestionnaire de la configuration sappuie sur les responsables
exploitation, architecture et dveloppements pour la mise jour du rfrentiel de configuration. Par ailleurs, il peut se faire aider dune instance de
dcision en matire de choix dvolutions.
162
DS9 : Grer la
configuration
DS10
Vue densemble
Lapport de valeur est la principale contribution de ce processus la gouvernance informatique, dans un souci defficience et defficacit.
Enfin, le processus DS10 alimente la fois la mesure de la performance et
la gestion des risques avec un focus sur la disponibilit des systmes pour
les mtiers.
163
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La gestion des incidents est focalise sur la satisfaction des utilisateurs
dans le cadre des niveaux de services contracts, alors que la gestion des
problmes sintresse lradication des problmes rcurrents. Ce processus est donc la source de la dcision sur les changements oprer sur
le systme dinformation. Il agit comme une boucle damlioration du
systme.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS10 doit permettre de matriser les objectifs prsents dans le
tableau 6-10.
Tableau 6-10 : Objectifs du processus DS10
OBJ. 03
OBJ. 16
OBJ. 17
164
Description du processus
La figure 6-29 reprsente les flux internes du processus DS10.
DEFINIR
CONTROLER
METTRE EN UVRE
COMMUNIQUER
EMETTRE DES
DEMANDES DE
MODIFICATIONS A LA
GESTION DES
CHANGEMENTS (AI6)
SURVEILLER EN PERMANENCE
LES CONSEQUENCES
SUR LES SERVICES INFORMATIQUES
Mesures et contrles
Outre le contrle de lexistence du processus et de sa bonne gestion, on
mesure en gnral le nombre de problmes ouverts un moment donn
ainsi que leurs dlais de rsolution et de clture.
Rles et responsabilits
Le responsable de la gestion des problmes
Se trouvent impliqus la fois un responsable de la gestion des problmes
(ventuellement ddi) et une instance mlant divers acteurs concerns.
165
Demande de changement
Historique des problmes
Rapports sur la performance des
processus
Problmes connus, erreurs connues et
solutions de contournement
Autorisation de modification
Rapports dincidents
Configuration informatique/dtail
des actifs
Historiques des erreurs
DS11
Les donnes constituent un actif essentiel des entreprises quil faut grer
en termes de conservation, de fiabilit et de protection.
166
Vue densemble
La mise disposition des informations constitue un apport de valeur
essentiel pour les utilisateurs. Cet objectif doit associer une bonne gestion
des risques sur ces donnes dans le cadre de la gestion des ressources.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Les exigences mtier privilgier sont lintgrit et la fiabilit des donnes. noter que la confidentialit, la disponibilit et la conformit des
donnes sont prises en compte dans dautres processus.
Pourquoi ?
Les systmes dinformation produisent et stockent des volumes de donnes considrables. Chaque tape technologique se traduit par un changement dchelle dans les stockages de donnes : le commerce en ligne avec
la trace des transactions, les photos et leur rsolution croissante, et prsent
la vido.
Les cots correspondants augmentent considrablement. Il sagit donc de
grer cet actif au mieux des intrts de lentreprise et des mtiers.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
167
OBJ. 04
OBJ. 19
Sassurer que l'information critique et condentielle nest pas accessible ceux qui ne doivent
pas y accder.
OBJ. 27
Description du processus
La figure 6-32 reprsente les flux internes du processus DS11.
DEFINIR
AMELIORER
METTRE EN UVRE
CONTROLER
168
Mesures et contrles
Il faudra contrler la compltude, la fiabilit et la mise jour de la mdiathque dans son rle de recensement de lensemble des informations.
Les procdures de sauvegarde et darchivage font lobjet dexcutions
rgulires dont on vrifiera la mise en uvre et les rsultats (cycles de
sauvegarde, supports darchivage, stockage, liens avec le PRA).
Le test densemble (rcupration des informations) est un contrle essentiel
mener sur le processus.
On mesurera en particulier les incidents et les problmes relevant de ce
processus et conduisant une indisponibilit des donnes pour les utilisateurs.
Enfin, on vrifiera la cohrence du processus global de gestion des donnes
entre les mtiers et la DSI.
169
Rles et responsabilits
Le responsable exploitation
Le service exploitation est habituellement responsable de lensemble du
processus de sauvegarde, darchivage et de scurisation des donnes. Il
sagit du volet industriel du processus, lequel est bien souvent insr
dans un contrat tiers.
Le contrle interne
Il est souhaitable de confier une entit de contrle interne la DSI la responsabilit de tester les dispositions prises dans le plan de gestion des
donnes : essais de rcupration, examen des indicateurs de pilotage et
des incidents.
Cette instance pourra aussi avoir un rle dans le cadre des relations avec
les mtiers afin de complter le fonctionnement industriel du processus
avec des exigences mtier plus nuances (donnes critiques, rgles de
mise au rebut, rgles dhistorisation, etc.).
DS13, SE1
170
DS12
Lenvironnement physique sous-tend le fonctionnement des installations informatiques et doit ce titre faire lobjet dune gestion
adapte.
Il sagit de choisir les installations adquates et de concevoir des processus efficaces de gestion des accs physiques permettant de limiter les
risques dinterruption de lactivit du fait de dommages subis par le matriel
ou le personnel.
Vue densemble
Le processus de gestion de lenvironnement physique relve essentiellement
de la gestion des risques dans une optique doptimisation des ressources
informatiques dinfrastructures.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
171
Pourquoi ?
Lenvironnement physique, comprenant les sites dhbergement des installations et les alimentations (lectricit, fluides et lignes de communication), doit tre gr pour protger les ressources informatiques des
sinistres possibles (dtrioration ou destruction accidentelle, accs indsirables, vols, sabotages et malveillance).
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS12 doit permettre de matriser les objectifs prsents dans le
tableau 6-12.
Tableau 6-12 : Objectifs du processus DS12
OBJ. 14
OBJ. 19
OBJ. 21
Sassurer que les services et linfrastructure informatique peuvent rsister/se rtablir convenablement en cas de panne due une erreur, une
attaque dlibre ou un sinistre.
OBJ. 22
Sassurer quun incident ou une modication dans la fourniture dun service informatique na quun impact minimum sur lactivit.
Le primtre du processus comprend les sites physiques et les quipements ou raccordements permettant aux installations informatiques
de fonctionner. Seront pris en considration tous les risques de rupture
dalimentation de fluides, dlectricit ou des tlcommunications.
Les vulnrabilits lies lenvironnement sont galement tudies de
faon y apporter une rponse dans le cadre des plans de secours. ce
titre, on sintressera en particulier aux risques dintrusion physique et de
vol ou aux risques lis aux facteurs environnementaux (inondations,
incendie, explosions, etc.).
Le primtre doit inclure aussi bien les sites propres lentreprise que
les sites grs par des tiers, mme si les modalits de gestion sont diffrentes.
172
Description du processus
DEFINIR
DEFINIR DES MESURES DE SECURITE PHYSIQUE
CONFORMES AUX EXIGENCES METIER
DEFINIR LES PROCEDURES DAUTORISATION
ET DACCES PHYSIQUES AUX SITES
DEFINIR DES MESURES DE PROTECTION
CONTRE LES FACTEURS ENVIRONNEMENTAUX
CONTROLER
METTRE EN UVRE
CHOISIR LE(S) SITE(S) PHYSIQUE(S)
DES EQUIPEMENTS INFORMATIQUES
ETABLIR LES RESPONSABILITES CONCERNANT
LA SURVEILLANCE ET LA SECURITE PHYSIQUE
173
Mesures et contrles
Les mesures lies au processus conduisent laborer un tableau de bord
des incidents segments par domaine, site et criticit : intrusions, facteurs
environnementaux, pertes de disponibilit (et leurs impacts).
Les sites sous la responsabilit de tiers doivent faire lobjet de mesures et
de contrles spars de faon faire peser les exigences damlioration
dans les dispositifs contractuels. On aura soin en particulier daligner les
indicateurs de mesure aux obligations contractuelles (pnalits, responsabilit civile, etc.).
Les contrles porteront sur les tests priodiques des plans de secours,
la pertinence des procdures et la formation des personnes concernes.
Rles et responsabilits
Le responsable exploitation
Il est en charge de lensemble du processus. Il doit ensuite dlguer sa
responsabilit par site ou par tiers contractant.
SE1
DS12 : Grer
lenvironnement
physique
174
DS13
Grer lexploitation
Le processus de gestion de lexploitation concerne lensemble du fonctionnement et de la maintenance des ressources informatiques.
Ce processus conduit dfinir des procdures dexploitation permettant une
gestion efficace des traitements programms et une protection des donnes
sensibles, afin de garantir les niveaux de services dexploitation ; il est aussi
ncessaire de surveiller et de maintenir linfrastructure informatique.
Vue densemble
Le processus DS13 est un processus oprationnel orient sur loptimisation de lensemble des ressources informatiques dans une optique defficacit et defficience.
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Lexploitation des ressources informatiques devient de plus en plus
industrialise au sens de lautomatisation et du caractre rptitif des
tches. Les oprations de base ne laissent pas place limprovisation ce
qui signifie que la totalit des tches dexploitation fait lobjet de procdures prcises et dtailles, y compris les demandes de drogations ou les
exceptions.
175
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS13 doit permettre de matriser les objectifs prsents dans le
tableau 6-13.
Tableau 6-13 : Objectifs du processus DS13
OBJ. 03
Sassurer de la satisfaction des utilisateurs naux lgard des offres et des niveaux de services.
OBJ. 21
Sassurer que les services et linfrastructure informatique peuvent rsister/se rtablir convenablement en cas de panne due une erreur, une attaque dlibre ou un sinistre.
OBJ. 23
Sassurer que les services informatiques sont disponibles dans les conditions requises.
Description du processus
La figure 6-38 reprsente les flux internes du processus DS13.
DEFINIR
CONTROLER
METTRE EN UVRE
176
Mesures et contrles
Les mesures sexercent essentiellement sur le plan de la disponibilit
et des performances : nombre dinterruptions de services, pourcentage
de traitements effectus en respect du planning de production, causes
des interruptions (inadaptation des procdures, non-respect des procdures par le personnel, indisponibilits matrielles, etc.).
La stabilit de lensemble peut tre apprcie au travers du nombre de
changements effectus par type de ressource (personnel, applications,
infrastructures).
Les vnements indsirables (incidents, problmes) feront lobjet de tickets
dincident destination des processus concerns.
Rles et responsabilits
Le responsable exploitation
Il est naturellement le pilote et le responsable du processus.
177
DS13 : Grer
lexploitation
Tickets dincidents
Historiques des erreurs
Rapports sur la performance des
processus
En rsum
Le domaine DS dcrit compltement les conditions de fourniture des services informatiques. Il dcrit en premier lieu les relations avec les mtiers
(DS1) et avec les tiers (DS2). Ce prambule permet de cadrer contractuellement lensemble des services.
Pour lessentiel, ce domaine est le plus proche des processus dITIL correspondants. Seul le DS7 semble ne pas tre dcrit dans ITIL.
178
Chapitre 7
Surveiller
et valuer
Les processus dcrits dans ce chapitre traitent de la gestion de la performance, de la surveillance du contrle interne, du respect des normes rglementaires et de la gouvernance.
Les processus de ce domaine sont les suivants :
SE1 Surveiller et valuer la performance des SI
SE2 Surveiller et valuer le contrle interne
SE3 Sassurer de la conformit aux obligations externes
SE4 Mettre en place une gouvernance des SI
SE1
Vue densemble
Le processus SE1 rsulte principalement dune volont de mettre en place
un mcanisme de mesure de la performance du systme dinformation qui
permette de rpondre aux critres defficacit et defficience du systme
dinformation pour les mtiers.
179
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Cette volont amne la DSI dresser des tableaux de bord et un mcanisme de reporting propre informer la direction gnrale et le conseil
dadministration de lentreprise de la contribution de linformatique aux
mtiers de lentreprise et de latteinte des objectifs fixs.
Pourquoi ?
Le processus SE1 centralise les indicateurs de fonctionnement des processus CobiT des domaines PO, AI et DS. Il permet donc de construire un
tableau de bord du fonctionnement de la DSI.
La mesure de la performance de linformatique conduit le DSI planifier
des actions correctives pour remdier aux carts constats grce au
tableau de bord. Ceci est la base de la boucle damliorations de tous les
processus de CobiT.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le processus SE1 doit permettre de matriser les objectifs prsents dans le
tableau 7-1.
Tableau 7-1 : Objectifs du processus SE1
OBJ. 01
OBJ. 02
180
OBJ. 12
OBJ. 28
Sassurer que linformatique fait preuve dune qualit de service efciente en matire de cots, damlioration continue et de capacit
sadapter des changements futurs.
Description du processus
La figure 7-2 reprsente les flux internes du processus SE1.
DEFINIR
COMMUNIQUER
FAIRE VALIDER
LES OBJECTIFS
PAR LE METIER
ET LES AUTRES
PARTIES
PRENANTES
Objectifs de
performances,
de mesures, etc.
Plan dactions
correctives
AMELIORER
RENDRE COMPTE
DE LA
PERFORMANCE A
LA DIRECTION
GENERALE
Rapport de
gestion
METTRE EN UVRE
EVALUER
EVALUER PERIODIQUEMENT LA PERFORMANCE
PAR RAPPORT AUX OBJECTIFS
181
dans les processus des mtiers), et la mise en place des actions issues de
ces analyses ainsi qu leur suivi.
Le processus SE1 est aliment par les rsultats de la majeure partie des
processus oprationnels, en particulier DS et AI. Un cadre prcis permet de
collecter les informations pour les rendre pertinentes dans le cadre de la
surveillance.
Le processus SE1 permet de proposer une valuation de la performance
des SI et den suivre lvolution. Lensemble fait lobjet de comptes-rendus
destins la direction gnrale ou aux rapports annuels.
Enfin, la surveillance conduit un plan dactions correctives qui est le
rsultat de lanalyse des causes des carts et des dysfonctionnements. Le
plan dactions correctives doit faire apparatre les responsabilits associes
et les modalits de suivi de celles-ci.
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs prsents au tableau 7-1. Ces mesures
portent principalement sur la couverture par des revues de lensemble des
processus, sur le nombre dactions rellement mis en uvre selon les
conditions de dlais et de rsultats fixs initialement, et sur la satisfaction
des parties prenantes quant la qualit du reporting.
La mesure de la mise en uvre de ce processus passe principalement par
le taux de couverture de lensemble des processus par des mtriques, le
respect de la frquence de publication des tableaux de bord ainsi que le
taux dautomatisation de la production des tableaux de bord.
Rles et responsabilits
Le directeur gnral
Compte tenu de la finalit de ce processus, le client sera trs logiquement
la direction de lentreprise. Elle attend un reporting de qualit conformment
lapproche de la surveillance quelle a fixe.
Le directeur des systmes dinformation
Son rle est de sassurer que ce processus est bien mis en uvre, conformment aux exigences de la direction gnrale. Le DSI est le pilote de ce
processus.
Le contrle interne
On parle parfois de fonction audit au sein de la DSI, ce qui nest pas
conforme aux rgles de sparation des tches en la matire. Nous prfrons parler de contrle interne pour qualifier la fonction qui va se charger
182
SE1 : Surveiller et
valuer la performance
des SI
Rapports cots/bnfices
Rapports sur la performance des
projets
Rapports sur le statut des
changements
Rapports sur la performance des
processus
Rapports sur la satisfaction des
utilisateurs
Rapports sur lefficacit des
contrles des SI
Rapports sur la conformit des
activits aux obligations externes
Etat de situation de la gouvernance
des SI
SE2
Il sagit du contrle que la DSI doit mettre en place pour sassurer que les
contrles et les vrifications mis en uvre pour valuer la performance du
SI sont bien exploits et toujours appropris. Dans le rfrentiel CobiT, le
contrle interne est dlgu chacun des responsables (tudes, exploitation) de la DSI. Cependant, il existe une fonction de contrle interne qui
vrifie que lensemble du processus fonctionne.
Vue densemble
Le processus SE2 rsulte principalement dune volont de mettre en place
un mcanisme de surveillance du contrle interne afin dapprcier les risques de drives du fonctionnement de la DSI (gestion des risques) et ainsi
183
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
de sassurer de lapport de valeur du SI. Ceci permet de rpondre aux critres defficacit et defficience du systme dinformation pour les mtiers.
Pourquoi ?
Le fonctionnement de la DSI est soumis de multiples contraintes et ce
qui tait performant un moment donn ne le sera probablement plus
un autre. De plus, la routine des activits de contrle et labsence de recul des
acteurs de ces activits peuvent aboutir des manquements ou des erreurs
dapprciation.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus SE2 doit permettre de matriser les objectifs prsents dans le
tableau 7-2.
Tableau 7-2 : Objectifs du processus SE2
OBJ. 14
OBJ.17
OBJ. 21
Sassurer que les services et linfrastructure informatique peuvent rsister/se rtablir convenablement en cas de panne due une erreur,
une attaque dlibre ou un sinistre.
OBJ. 27
184
Description du processus
DEFINIR
AMELIORER
METTRE EN UVRE
COMMUNIQUER
RENDRE COMPTE
AUX PARTIES
PRENANTES
Rapport sur
lefficacit
des contrles
des SI
RAPPORTER AU
MANAGEMENT
LES ANOMALIES
DETECTEES
SURVEILLER
CONDUIRE UN PROGRAMME PERMANENT
DAUTO-EVALUATION DU CONTROLE
SURVEILLER LA PERFORMANCE
DES REVUES INDEPENDANTES, DES AUDITS
ET DES INVESTIGATIONS
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs prsents au tableau 7-2. Ces
mesures portent principalement sur le nombre de faiblesses identifies qui
185
Rles et responsabilits
Le directeur des systmes dinformation
Il doit sassurer que ce processus est bien dfini et mis en uvre. Le DSI
est le pilote de ce processus en liaison avec laudit interne de lentreprise.
Les responsables de la DSI
Les principaux responsables de la DSI (tudes, exploitation, etc.) sont en
charge des contrles effectuer sur les processus qui leur reviennent.
Le contrle interne
Le contrle interne contribue ce processus puisquil est charg de prsenter la faon dont il sorganise pour ensuite produire le tableau de bord
DSI.
SE1
SE2 : Surveiller et
valuer le contrle
interne
186
SE3
Sassurer de la conformit
aux obligations externes
Les entreprises sont de plus en plus soumises des exigences rglementaires lies aux mtiers dont lvolution est souvent rapide. La contribution du SI aux mtiers expose la DSI lobligation de conformit. De plus,
les clients de lentreprise peuvent avoir leurs propres exigences vis--vis
des mtiers qui simposent la DSI, en particulier lorsque les produits et
les services de la DSI sont livrs aux clients de lentreprise.
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La conformit rglementaire est une obligation lgale (par exemple, la
conformit SOX ou lIFRS, ou encore la dclaration des donnes personnelles la CNIL). La conformit aux exigences des clients ressortit du
contrat qui lie les parties (exemple dobligation contractuelle : la confidentialit de certaines informations).
187
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le processus SE3 doit permettre de matriser lobjectif prsent dans le tableau 7-3.
Tableau 7-3 : Objectifs du processus SE3
OBJ. 27
Le primtre du processus englobe donc lensemble des lois et des rglements qui sappliquent linformatique de lentreprise.
Ce processus intgre aussi la prise en compte des obligations contractuelles.
Description du processus
La figure 7-8 reprsente les flux internes du processus SE3.
DEFINIR
Catalogue des
exigences lgales et
rglementaires
METTRE EN UVRE
COMMUNIQUER
RENDRE COMPTE
AU MANAGEMENT
SENSIBILISER LE
PERSONNEL
INFORMATIQUE A
LA CONFORMITE
Rapport sur
la conformit
des activits
informatiques
AMELIORER
SUIVRE LES ACTIONS CORRECTIVES
ENTREPRISES EN CAS DE NON-CONFORMITE
EVALUER
EVALUER LA CONFORMITE DES POLITIQUES, DES NORMES ET
DES PROCEDURES AUX EXIGENCES REGLEMENTAIRES
EVALUER LA CONFORMITE DES ACTIVITES INFORMATIQUES AUX
POLITIQUES, AUX NORMES ET AUX PROCEDURES
188
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification de lobjectif prsent au tableau 7-3. Ces
mesures portent principalement sur le nombre de non-conformits dtectes
ds lors quune action corrective a t mise en uvre.
La mesure de la mise en place de ce processus passe principalement par la vrification du dlai entre lapparition dune nouvelle exigence et sa prise en
compte dans les pratiques de la DSI, et la vrification du dlai entre la dtection
dune non-conformit et la mise en uvre dune action corrective associe.
Rles et responsabilits
Le directeur des systmes dinformation
Il sassure que ce processus est bien dfini et mis en uvre, et ce titre, il
en est la fois le garant et le responsable.
SE3 : S assurer de la
conformit aux
obligations externes
Exigences lgales et
rglementaires
189
SE4
Vue densemble
GOUVERNANCE SI
EXIGENCES METIER
RESSOURCES
INFORMATIQUES
EFFICACITE
ALIGNEMENT
STRATEGIQUE
EFFICIENCE
APPORT DE
VALEUR
CONFIDENTIALITE
APPLICATIONS
INFORMATIONS
GESTION DES RISQUES
INTEGRITE
GESTION DES
RESSOURCES
DISPONIBILITE
MESURE DE
LA PERFORMANCE
CONFORMITE
INFRASTRUCTURES
PERSONNES
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Il sagit de lessence mme de CobiT. Le processus SE4 pilote dune
certaine faon la conformit de lentreprise aux bonnes pratiques de la
gouvernance SI.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
190
OBJ. 02
OBJ. 12
Sassurer de la transparence et de la bonne comprhension des cots, bnces, stratgie, politiques et niveaux de services des SI.
OBJ. 27
OBJ. 28
Sassurer que linformatique fait preuve dune qualit de service efciente en matire de cots,
damlioration continue et de capacit sadapter des changements futurs.
Description du processus
AMELIORER
DESIGNER LE LEADERSHIP
Rapport sur la
gouvernance
des SI
IMPLIQUER LE METIER
DANS LES PRISES DE
DECISION LIEES AUX SI
CONTROLER
METTRE EN UVRE
COMMUNIQUER
LAPPETENCE POUR LE
RISQUE INFORMATIQUE
191
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs prsents au tableau 7-4. Ces
mesures portent principalement sur le nombre dcarts dtects dans la
mise en uvre de la gouvernance.
La mesure de la mise en uvre de ce processus passe principalement par
celle du nombre de personnes sensibilises et formes aux principes de
gouvernance, y compris au plus haut niveau de lentreprise (conseil
dadministration, direction gnrale), et du temps consacr par la direction
gnrale et le conseil dadministration aux aspects lis au SI (le nombre de
rapports denqutes de satisfaction demands et produits).
Rles et responsabilits
Le conseil dadministration et le directeur gnral
Il sagit dune responsabilit dvolue au plus haut niveau de direction de
lentreprise (le conseil dadministration avec lassistance de la direction gnrale). Son rle est de sassurer que toutes les instances parties prenantes dans
la gouvernance des SI ont bien t mises en place et sont oprationnelles.
192
En rsum
Les processus du domaine SE dcrivent 4 niveaux de surveillance et dvaluation de lensemble du dispositif (PO, AI et DS). Le processus SE1 est
central du fait de son rle de contrle interne de lensemble. Il doit servir
de point de dpart la boucle damlioration des processus dploys (un
peu comme l amlioration continue dans ITIL V3).
Le processus SE2 est plus difficile cerner, car il est mis en place pour surveiller le bon fonctionnement du prcdent. Cela impose quun responsable indpendant, de prfrence laudit interne, soit dsign.
Le processus SE3 a le mrite disoler le contrle de la conformit. Enfin,
SE4 donne un moyen dauditer la mise en place de la gouvernance des SI.
193
PARTIE
III
Mettre en uvre
CobiT
Les grandes directions des systmes dinformation font parfois penser
des petites entreprises qui seraient pilotes partir de la production
industrielle et du service de recherche et dveloppement. Cest assez
normal, pensera-t-on, puisque la direction informatique doit trouver au
sein de son entreprise lensemble des services de support complmentaires ses activits.
Les services de support (contrle de gestion, achats, ressources humaines,
communication) offrent un cadre incontournable en garantissant le fonctionnement de processus cls. Cependant, ils se rvlent inadapts la
prise en compte des spcificits de la DSI pour la gouvernance des SI.
Implanter CobiT, cest se mettre dans une perspective de plus grande autonomie de gestion en dclinant en particulier les fonctions de support de
lentreprise au sein de la direction informatique et pour le SI au sens large.
Ceci tant, il est illusoire et dangereux de vouloir embrasser trop large car
il sagit toujours in fine de projets de transformation.
Au cours des chapitres suivants, nous allons prsenter quelques exemples
de mise en uvre, tirs de cas rels, avec diffrents angles dattaque.
195
Chapitre 8
197
La mission daudit
Une mission daudit part dune lettre de mission fixant le primtre de
laudit et les responsabilits attribues. Ensuite, lauditeur doit construire
un rfrentiel daudit qui tablira une transparence totale entre la mission
confie et les investigations mener.
CobiT est utilis comme une base solide de points de contrle, il permet
de slectionner les processus critiques et de les valuer. Il est parfois
ncessaire de le complter en fonction des spcificits du sujet (pour un
audit de scurit, il conviendra, par exemple, dajouter les aspects propres
aux dispositifs de scurit existants ; il en sera de mme pour tout ce qui a
trait au domaine lgal et rglementaire). Enfin, CobiT permet des auditeurs non informaticiens de mener de faon professionnelle des audits
informatiques intgrs aux audits gnraux.
Les objectifs de contrle de CobiT constituent une excellente base pour
prparer un rfrentiel daudit. Il suffit ensuite, au cas par cas, de les
toffer de tests dtaills en fonction de la spcificit du primtre
auditer (ils sont parfois dcrits dans des publications spcialises
publies par lISACA).
Le tableau 8-1 donne une ide du formalisme dun rfrentiel daudit qui
procde par tape et prcise des objectifs de contrle, lesquels sont
ensuite dtaills.
Tableau 8-1 : Structure dun rfrentiel daudit
Obtenir linformation
tape 1
Test dtaill
Procdures
Identier et recueillir toutes les procdures qui existent concernant la continuit de service et le plan de secours en cas de
sinistre.
198
tape 2
Test dtaill
tape 3
Objectifs de contrle
Vrier que le plan de secours en cas de sinistre majeur est adapt
pour garantir la remise en route du systme dinformation en
temps voulu, en accord avec les exigences des mtiers.
Test dtaill
Lapport de CobiT
La structure de CobiT offre lauditeur une classification trs solide :
domaines, processus, objectifs de contrle ;
critres dinformation (efficacit, efficience, confidentialit, intgrit,
disponibilit, conformit et fiabilit) ;
ressources (applications, infrastructure, information et personnes).
cette structure se rattache un dtail gnrique pour chaque objectif
de contrle, prsent comme suit dans le document IT Assurance Guide:
Using CobiT :
Objectif de contrle
Inducteurs de valeur
Inducteurs de risques
Cette notion de valeur lie un objectif de contrle est tout fait intressante puisquelle tend le primtre du contrle, en incluant non seulement
la matrise des risques, mais aussi la cration de valeur.
199
On trouve ensuite un plan de contrle pour cet objectif, puis des tests
dtaills. titre dexemple, lobjectif de contrle DS5.8 sur la gestion des
cls de chiffrement donne lieu quatre pages extrmement prcises de
tests raliser. Et si ce niveau de dtail se rvlait insuffisant, il suffirait de
puiser dans dautres publications (voir chapitre 3, Prsentation dtaille
de CobiT ) pour en dfinir encore un autre.
Enfin, ce rfrentiel peut tre enrichi pour prendre en compte des aspects
techniques pointus.
Le contrle interne
La loi Sarbanes-Oxley et ses dclinaisons, IFRS (International Financial
Reporting Standards) et LSF (Loi sur la scurit financire), ont mis
laccent sur le contrle interne et les responsabilits des dirigeants. Le
prsident de toute socit anonyme doit prsenter un rapport sur les procdures de contrle interne mises en place. De son ct, le commissaire aux
comptes met un rapport sur les procdures de contrle interne relatives
llaboration et au traitement de linformation comptable et financire.
Les entreprises ont donc lobligation de rendre compte des procdures de
contrle interne et, ce titre, le systme dinformation est concern trois
niveaux :
la prise en compte de linformatique comme domaine de gouvernance
de lentreprise ;
les contrles propres la fonction informatique, y compris les procdures
de scurit ;
linsertion de contrles embarqus dans les processus automatiss.
Le guide IT Control Objectives for Sarbanes-Oxley, 2nd edition peut servir de base
une approche dtaille de lvaluation du contrle interne du systme
dinformation. Il sappuie sur CobiT et liste les objectifs de contrle de la
fonction informatique ainsi que les principales applications informatiques
qui supportent les processus de lentreprise.
Le contrle interne peut seffectuer de faon continue grce des outils :
les CAAT (Computer Assisted Audit Techniques ou techniques daudit assist par
ordinateur). Le guide G3 Use of Computer-Assisted Audit Techniques (CAATs),
relatif lusage des techniques daudit assist par ordinateur, est particulirement instructif sur :
la comptence de lauditeur pour lutilisation des CAAT ;
la confiance accorder aux CAAT elles-mmes ;
la confiance accorder aux donnes traites.
200
201
202
En rsum
CobiT est le rfrentiel incontournable de laudit de la gouvernance des
systmes dinformation. Sa structure, ses objectifs de contrle dtaills,
les travaux incessants de recherche et les publications associes en font un
outil vivant et reconnu.
203
Chapitre 9
CobiT fdrateur
Le pilotage stratgique
Lune des conditions essentielles du pilotage stratgique est lengagement
de la direction gnrale et des mtiers. De la mme faon, la stratgie
dentreprise est une condition ncessaire sa dclinaison sur le domaine
des TI.
Le Balanced Scorecard (BSC) est une reprsentation intressante pour
illustrer le pilotage stratgique des SI. Certains clients nous demandent
souvent sil est ncessaire que le BSC soit adopt au niveau de lentreprise.
Il est certain que ce serait bon signe mais ce nest pas indispensable la
tenue dun BSC sur la gouvernance des TI.
Les sections suivantes prsentent lutilisation des quatre cadrans du BSC.
205
Comment
garantir
lalignement
du SI aux
mtiers et le
meilleur
apport de
valeur ?
Mesures
Cibles
Clients et utilisateurs
Initiatives
Comment
respecter nos
engagements
vis--vis des
clients et des
utilisateurs ?
Objectifs
Mesures
Cibles
Initiatives
Vision et
stratgie
Comment
anticiper sur la
technologie, les
ressources, les
tiers pour tre
dans de
meilleures
conditions
oprationnelles ?
Mesures
Cibles
Initiatives
Objectifs
Mesures
Cibles
Initiatives
206
207
10
Les processus
CobiT pris en
charge par ITIL
Surveiller et valuer
Acqurir et implmenter
10 11 12 13
Dlivrer et supporter
Aucun
Complet
Source ISACA
Une publication (COBIT Mapping : mapping of ITIL V3 with COBIT 4.1) est
consacre aux correspondances (mapping) entre CobiT et ITIL ; elle dcrit
deux niveaux de comparaison. Un niveau global compare les objectifs
dITIL aux objectifs globaux de CobiT. Pour un dtail plus fin, on se base sur
la granularit des objectifs de contrle de CobiT. ITIL a t dtaill en sousparties associes un ou plusieurs objectifs de contrle de CobiT.
Ceux qui sintressent ainsi aux correspondances entre CobiT et dautres
rfrentiels ne manqueront pas dtre frapps du degr trs lev de similitude entre les processus concerns. Sur ITIL V2 par exemple, il semble
que lon puisse pratiquement substituer les 10 processus correspondants
de CobiT et rciproquement.
En revanche, deux diffrences apparaissent clairement : la premire concerne
la compltude, et CobiT couvre dlibrment lensemble de la gouvernance des TI ; la seconde concerne le classement en domaines. CobiT
privilgie le distinguo entre la fourniture des services (domaine DS) et tout
ce qui concerne la mise en uvre (domaine AI) correspondant des changements impactant les ressources informatiques.
208
209
210
211
le service tudes tait assez peu homogne. Un systme de management de la qualit et des procdures de gestion de projets existaient
mais, dans les faits, les pratiques taient assez varies et les outils
disparates (Excel), voire inexistants.
Dans ce contexte, les principaux indicateurs de pilotage qui mergent
durablement sont ceux qui servent aussi grer les contrats tiers, dans la
mesure o ils sous-tendent des enjeux financiers.
En rsum, lanalyse de la situation doit prendre en compte le contexte de
la DSI et de lentreprise. Le changement doit se faire un peu partout simultanment, il ne peut y avoir immobilisme dun ct (les mtiers ou les
tudes, par exemple) et rvolution de lautre (les services de la DSI). La
mise en uvre de lopration peut sanalyser comme une monte progressive en maturit. En ce sens, lancer simultanment une approche stratgique sur les processus PO et une refonte des services autour dITIL (ou
des processus DS) peut se rvler efficace si elle est bien manage.
Ensuite, il faut faire bouger les tudes et tablir la jonction entre les
processus PO et AI.
Intgration
Dans cet exemple, la DSI dcide dimplanter simultanment CobiT et ITIL
en crant un rfrentiel dentreprise commun. Il faut dire que les services
partent dune situation o un grand travail a t effectu sur la structuration du centre dassistance aux utilisateurs, la certification ISO 9001 de la
production (avec une culture des indicateurs et de lamlioration) et la
mise en place dun outil de gestion des incidents.
La dure qui spare le
cas prcdent de
celui-ci est de lordre
de trois ans. Il nous
semble que, pour la
plupart, les grandes
DSI sont plus proches
de ce cas rcent que
du prcdent.
212
213
La scurit
Jusqu un pass rcent, la scurit sest limite la protection des systmes
informatiques concerns par le stockage et le traitement des informations
plutt que de la protection de linformation elle-mme. Avec CobiT, la scurit devient lune des composantes de la gouvernance en proposant des
bonnes pratiques de gouvernance de la scurit de linformation. Cette
dernire rejoint ainsi lunivers de la gestion des risques.
La scurit de linformation nest plus seulement un sujet de technicien
mais devient un enjeu de direction gnrale et mtiers. CobiT, en dveloppant lalignement stratgique et lapport de valeur des systmes dinformation, met bien en vidence les risques que labsence de mesure de scurit
de linformation fait courir lentreprise.
CobiT aborde la gouvernance de la scurit de linformation en sintressant :
la prise en compte de la scurit de linformation dans lalignement
stratgique ;
la prise de mesures appropries pour limiter les risques et leurs consquences potentielles un niveau acceptable ;
la connaissance et la protection des actifs ;
la gestion des ressources ;
la mesure pour sassurer que les objectifs de scurit sont bien atteints ;
lapport de valeur par loptimisation des investissements en matire de
scurit de linformation ;
les bnfices retirs ;
lintgration de la scurit de linformation dans les processus.
Globalement, CobiT aborde la scurit de linformation dans plus de
20 processus sur 34. Mais les processus suivants font apparatre une
dimension scurit importante dans les objectifs de contrle :
PO6 Faire connatre les buts et orientations du management
PO9 valuer et grer les risques
DS4 Assurer un service continu
DS5 Assurer la scurit des systmes
214
CobiT et CMMI
Les raisons du dploiement de CMMI sont de deux ordres : la ncessit
datteindre un certain niveau de maturit pour satisfaire des obligations
contractuelles ou amliorer le pilotage des tudes, et lamlioration de la
performance. Dans les grandes DSI, il sagit surtout de performance, des processus et des quipes. On part donc du principe que latteinte dun niveau de
maturit CMMI entranera de facto des gains (dure, cot, qualit).
215
216
CMMI nest pas un rfrentiel de gouvernance des TI. Pour sen assurer, il
suffit dexaminer le tableau 9-1, traduit du mapping entre CobiT et CMMI
(publication COBIT Mapping: Mapping of CMMi with COBIT v4.1). Il donne une
ide de lampleur des objectifs de contrle non couverts par CMMI et qui
sont pourtant dployer si lon vise un minimum de gouvernance des TI.
Tableau 9-1 : Les objectifs de CobiT nayant pas de correspondance dans CMMI
Scurit.
Environnement physique.
217
La certification
La certification ISO 9001 obit des rgles strictes, en particulier concernant la structuration des processus en domaines (management, support,
ralisation). Pour conjuguer CobiT et la certification, deux scnarios sont
possibles.
Scnario 1 : certifier ISO 9001 lensemble de la DSI en sappuyant sur les
bonnes pratiques CobiT, voire en y ajoutant les bonnes pratiques CMMI,
ITIL et ISO/IEC 17799.
Scnario 2 : identifier et slectionner dans le rfrentiel CobiT, quelques
processus suffisamment matures pour les intgrer au primtre de certification ISO 9001 de lentreprise.
Scnario 1
Conditions de mise en uvre
Ce scnario implique la mise en uvre de tous les processus de la DSI et
de toutes les bonnes pratiques CobiT, CMMI, ITIL et ISO/IEC 17799.
Il impose de dfinir un systme de management de la qualit (SMQ) ddi
la DSI qui accueille les processus en cours de dfinition, avec tout le rfrentiel documentaire exig par la norme ISO 9001 :
le manuel qualit ;
les 6 procdures documentes :
matrise de la documentation ;
matrise des enregistrements qualit ;
audit interne ;
matrise du produit non conforme ;
actions correctives ;
actions prventives.
mise en uvre des revues de direction.
218
Scnario 2
Conditions de mise en uvre
Ce scnario nimplique pas de dfinir une structure complte de processus. Il sagit de slectionner, dans le modle propos par CobiT, les
processus les plus matures ou les plus dterminants afin de les piloter
selon la logique du systme management global de lentreprise.
Pour tre certifiables, les processus slectionns doivent tre dploys au
sein de la DSI, et tre suffisamment mrs pour tre mesurs ou, pour les
plus critiques, pilots.
Ce scnario ncessite de dfinir une cartographie prsentant une cohrence entre les processus slectionns pour la DSI et ceux dj dfinis pour
lentreprise.
Effort de mise en uvre
La dmarche de la DSI sintgre compltement dans la dmarche globale
de management de lentreprise. Seules des actions dharmonisation documentaire sont ncessaires. Ce scnario ncessite de se coordonner avec
les autres directions de lentreprise et la direction gnrale.
Intrt pour la DSI
Ce scnario permet la DSI dinsrer sa dmarche processus dans un programme dexcellence de la direction de lentreprise. Ainsi, les calendriers
de la DSI dans ses dmarches et celui de la direction gnrale peuvent
saligner. Cet alignement laisse alors la DSI le temps de progresser dans
219
Scnario 1
Scnario 2
Principe
Effort DSI
2 3 ans
Par tranches de 1 an
Dlai de mise
en uvre
Intrt
pour la DSI
Exemples de dploiement
Scnario 1
tudions un exemple de mise en place du scnario 1 pour une entreprise
ayant engag une dmarche de certification ISO 9001 et ISO/IEC 27001, en
sappuyant sur les bonnes pratiques CobiT et ITIL.
Le choix de cette DSI a t motiv par un besoin de reconnaissance de la
qualit des prestations offertes, car celle-ci tait exige par les clients des
directions mtiers de lentreprise, cest--dire le march.
La DSI sest donc dote dun systme de management intgr (qualit et
scurit de linformation). La cartographie des processus est structure
selon les trois catgories de processus : management, ralisation et support. Pour llaborer, la DSI a pioch parmi les 34 processus de CobiT en
slectionnant des pratiques ou activits issues des objectifs de contrle et
en les regroupant en macroprocessus. Cette slection a t opre en fonction de la capacit de la DSI les mettre en uvre dans un avenir court
terme, cette capacit ayant t apprcie aprs lvaluation du niveau de
maturit des pratiques existantes. La logique est ensuite damliorer ces
processus dans le temps via la dmarche de progrs continue induite par
la mise en place du systme de management.
220
Scnario 2
prsent, tudions un exemple de mise en place du scnario 2 pour une
entreprise ayant engag une dmarche dexcellence cible sur lobtention
du prix EFQM.
Pour tre intgrs dans le primtre de certification de lentreprise, les processus slectionns de CobiT doivent cependant rpondre aux exigences
classiques dune dmarche processus. Les critres sont les suivants :
le processus est dfini, dcrit et document ;
le processus est mis en uvre ;
le processus est mesur et des indicateurs sont mis en place ;
le primtre dapplication couvre lensemble de la DSI ;
le processus est ouvert vers lextrieur (orientation client).
Par ailleurs, les processus sont classs en trois catgories :
les processus de management ;
les processus de ralisation ;
les processus supports.
Les processus de management
Dans cette catgorie, trois processus ont t identifis :
PO1 Dfinir un plan informatique stratgique pour le SI
PO10 Manager les projets SI (guide de la gouvernance des SI)
PO9 valuer et grer les risques (dfinir la politique de scurit de
gestion de linformation de lentreprise)
Les processus de ralisation
Au niveau de la DSI, les processus de ralisation sont de deux types : le
dveloppement du SI (grer le projet et fabriquer la solution) et la production (exploitation du SI).
Processus de dveloppement du SI (domaine AI)
Mise en uvre des processus CMMI de niveau 2 sur lensemble de la
DSI.
Processus de gestion des services (domaine DS)
La dmarche ITIL est utilise pour dfinir les processus de gestion des
services (fourniture et soutien des services) en suivant le modle de
maturit de litSMF (IT Service Management Forum) pour la priorit de mise
en place (1 an par niveau).
221
En rsum
CobiT a choisi de se positionner en fdrateur. Aucun rfrentiel na ce
jour la couverture que CobiT propose sur lensemble des TI. Les travaux
permanents qui sont engags et lesprit douverture qui prside au sein des
groupes de bnvoles justifient cette image de fdrateur. Les autres standards ont une vision beaucoup plus limite, se contentant de querelles aux
frontires, chacun briguant la position de leader. Tant quil y aura des
mondes aussi inconciliables que les tudes (projets) et les services, CobiT
aura son rle jouer !
222
Chapitre 10
Transformer la DSI
Le parti pris de cette implmentation est de sattaquer une transformation de fond de la DSI. Les thmes aborder sont incontournables, mme
si certains prennent plus de temps que dautres. CobiT peut paratre compliqu mettre en uvre et, surtout, demander des pralables importants.
Comment aborder et rsoudre ce problme ?
Nous proposons deux solutions :
la premire, celle de lISACA, consiste dployer une partie restreinte
de CobiT dans certaines conditions, cest CobiT Quickstart ;
la seconde propose un modle de maturit tir de lexprience pour un
dploiement de CobiT en diffrentes tapes.
CobiT Quickstart
Prsentation
CobiT Quickstart peut tre considr comme un point de dpart pour une
extension ultrieure lensemble de CobiT, ou comme un objectif, en particulier pour les PME et aussi pour les entreprises pour lesquels les TI ne
constituent pas un enjeu stratgique proprement parler.
CobiT Quickstart concerne les parties prenantes au sein des entreprises
concernes : auditeurs, responsables des TI et acteurs de la mise en place de
la gouvernance des TI. Pour eux, cette premire approche simplifie est une
chance de lancer le projet sur un primtre raisonnable. CobiT Quickstart est
un puissant outil de dmarrage qui suggre les choses intelligentes
faire , mme si dans de nombreux cas, il faudra ajouter des contrles complmentaires pour constituer la base dune gouvernance efficace de tous les
processus informatiques. CobiT Quickstart est donc une version allge de
CobiT, plus facile daccs et plus simple mettre en uvre.
223
Le contenu
CobiT Quickstart conserve la structuration classique de CobiT en
domaines, processus et objectifs de contrle. Le modle de maturit est
supprim et le RACI simplifi. Ainsi, sont conservs :
31 processus sur les 34 prsents dans CobiT.
Ils manquent les processus DS6 (Identifier et imputer les cots), DS7
(Instruire et former les utilisateurs) et SE4 (Mettre en place une gouvernance des SI) ;
59 objectifs de contrle dtaills sur les 210 prsents dans CobiT V4.1.
Leur description renvoie aux objectifs de contrle dtaills de CobiT,
rfrencs par leur numro dobjectifs. Pour chaque objectif, deux
trois facteurs cls de succs sont prsents alors quune dizaine est propose dans CobiT.
On parle de bonnes pratiques mettre en uvre plus que dobjectifs
de contrle, ce qui manifeste la volont de prsenter CobiT Quickstart
comme un outil pour le management.
224
Une srie de tableaux illustre les liens entre les 62 bonnes pratiques et les
principaux axes de gouvernance TI.
Le premier tableau rpartit des attributs risques selon deux catgories
de thmes .
Les cinq premiers thmes correspondent aux domaines de la gouvernance
des TI (alignement stratgique, apport de valeur, gestion des ressources,
gestion des risques et gestion des performances).
Les neuf thmes suivants rsument concrtement les principales proccupations des dirigeants (optimisation des cots, dlivrance de service,
externalisation, scurit, architecture, intgration des systmes, priorits et planification, contrles programms et scurit des applications).
Le second tableau rpartit les objectifs de contrle de CobiT Quickstart
selon les mmes thmes gnraux.
Pour rsumer, CobiT Quickstart est orient bonnes pratiques et guide de
management des TI plus quaudit ; il peut convenir une premire implmentation. Il met de ct le processus DS6, lequel peut reprsenter effectivement un trs gros effort. Toutefois, mme si le nombre dobjectifs est
divis par trois, il reste un grand nombre de processus dployer, ce qui
reprsente demble une lourde charge et ne rsout pas la question de la
conduite du changement au sein de la DSI.
225
parties prenantes et des objectifs de gouvernance qui se font jour. Les principaux obstacles au dploiement de CobiT sont les suivants.
Le systme de mesure des indicateurs de fonctionnement
Dans le meilleur des cas, il est htrogne avec une couverture correcte ; le plus souvent, il est htroclite, incomplet et surtout centr
autour des domaines qui bnficient de systmes dinformation existants (automates dexploitation, centre dassistance, comptabilit,
facturation, paie, achats). Les lments sont donc parfois mesurs avec
une finalit qui nest pas celle de CobiT.
De la mme manire, le pilotage des projets informatiques mriterait
dtre outill pour produire des indicateurs cohrents (temps pass,
cots, estimations, etc.).
En rsum, limplmentation de CobiT ncessiterait de disposer dun
modle de donnes adapt, propre la DSI, conu dans une logique de
gouvernance IT.
Le contrle de gestion de la DSI
Il se base gnralement sur la comptabilit de la socit sans quil
existe un plan analytique de la DSI. Le pralable avant didentifier et
dimputer les cots peut se rvler trs lourd.
La culture du management des processus
Il est fondamental que les quipes aient une culture de lamlioration
de processus, ce qui suppose daccepter de parler des dysfonctionnements pour dpasser le stade lmentaire du chacun pour soi. Cette
culture a pu tre cre au fur et mesure de la mise en place des processus
(ISO 9001, etc.).
Les contrats avec les tiers
La gestion des tiers sest faite au fil du temps. Son efficacit passe
parfois par la rengociation de contrats (fournisseurs, constructeurs,
intgrateurs, infogrants, diteurs, etc.) et lharmonisation des primtres externaliss. Dans la ralit, certains contrats stalent sur de
longues dures et le travail dharmonisation et de ngociation ne
peut prendre place que dans certains intervalles de temps, plus ou
moins espacs.
Les relations avec les mtiers
La relation avec les mtiers concerne lensemble de la DSI, aussi bien
les services fournir et la scurit que les projets ou la maintenance.
Ces relations sont plus ou moins formalises et propres sinscrire dans
une refonte des processus de la DSI.
Les mthodes mises en uvre sur les projets
Les entreprises ont trs souvent leur propre bibliothque de procdures
et de mthodes pour le cycle de dveloppement de logiciels. Dans les
226
faits, il est rare que les mthodes soient dployes de faon uniforme, et
exceptionnel de dterminer un systme dinformation complet pour
piloter les projets.
Cette liste non exhaustive dobstacles rencontrs couramment donne une
ide de la difficult de transformer une DSI.
Niveau 0
Cest linexistence de processus formaliss et dploys. On est au niveau le
plus artisanal de lorganisation.
Niveau 1 Scurit et fonctionnement
Le choix stratgique se porte en priorit sur la mise en uvre dune politique de scurit et le bon fonctionnement de la DSI. Cela correspond
plusieurs processus dployer, essentiellement dans les domaines AI et
DS qui contrlent la grande partie des ressources TI.
Groupe 1 Scurit, conformit SOX et disponibilit :
PO9 valuer et grer les risques
AI3 Acqurir une infrastructure technique et en assurer la maintenance
AI6 Grer les changements
AI7 Installer et valider des solutions et des modifications
DS1 Dfinir et grer les niveaux de services
DS2 Grer les services tiers
DS4 Assurer un service continu
DS5 Assurer la scurit des systmes
DS8 Grer le service dassistance client et les incidents
DS9 Grer la configuration
DS10 Grer les problmes
DS13 Grer lexploitation
227
228
229
230
En rsum
CobiT peut donner limage dun idal inaccessible : 34 processus avec
chacun son niveau de maturit, ses sous-processus, ces mesures et objectifs. Par o prendre le problme du dploiement ? Il est manifeste que
lorganisation doit suivre un rythme appropri, certains processus passant
en priorit par rapport dautres.
condition de respecter ces prcautions, le dploiement de CobiT, surtout
en association avec ITIL, est un objectif facile atteindre pour la majeure
partie des DSI. La difficult principale, on sy attendait, est informatique :
quelle application dvelopper pour grer les processus CobiT ?
231
PARTIE
IV
Annexes
AnnexeI
Glossaire
A
Agilit
Lagilit informatique est un concept utilis dans le domaine des systmes dinformation. Il est mis en uvre par un certain nombre de
mthodes visant avoir une grande ractivit face aux volutions des
besoins des mtiers, grce une collaboration troite avec le client
tout au long du dveloppement.
Alignement stratgique
Lalignement stratgique consiste :
sassurer que les plans stratgiques restent aligns sur les plans des
mtiers ;
dfinir, mettre jour et valider les propositions de valeur ajoute de
linformatique ;
aligner le fonctionnement de linformatique sur le fonctionnement de
lentreprise.
Apport de valeur
Lapport de valeur consiste :
mettre en uvre la proposition de valeur ajoute tout au long du cycle
de fourniture de services ;
sassurer que linformatique apporte bien les bnfices attendus sur le
plan stratgique ;
235
Partie IV Annexes
Architecture informatique
Cadre de rfrence intgr pour faire voluer ou tenir jour les technologies existantes et en acqurir de nouvelles afin datteindre les objectifs
stratgiques et les objectifs mtier.
B
Balanced Scorecard (BSC)
Tableau de bord prospectif (ou quilibr), dclin selon quatre axes :
laxe Contribution et alignement, qui reprsente la valeur pour lentreprise des investissements informatiques consentis ;
laxe Clients et utilisateurs, qui reprsente lvaluation de la DSI par les
utilisateurs et clients des systmes ;
laxe Futur et anticipation, qui reprsente la veille quil faut mener pour
optimiser le systme dinformation (choix dinvestissement, ressources
humaines) afin de rpondre aux besoins et aux enjeux venir de
lentreprise ;
laxe Performances oprationnelles, qui reprsente les processus informatiques.
C
Catalogue des services
Document produit par la direction informatique dans le but dinformer ses
clients et ses utilisateurs sur les services et linfrastructure disponible.
Conformit
Mesure par laquelle les processus sont en conformit avec les lois, les
rglements et les contrats.
Condentialit
Mesure par laquelle linformation est protge des accs non autoriss.
236
AnnexeI Glossaire
Contrle interne
Politiques, procdures, pratiques et structures organisationnelles conues
pour fournir une assurance raisonnable que les objectifs mtier seront
atteints et que les vnements indsirables seront prvenus ou dtects et
corrigs.
D
Dictionnaire de donnes
Base de donnes prcisant, pour chaque donne, le nom, le type, les
valeurs minimale et maximale, la source, les autorisations daccs, le(s)
programme(s) applicatif(s) utilisant cette donne.
Disponibilit
Mesure par laquelle linformation est disponible pour les destinataires en
temps voulu.
E
Efcacit
Mesure par laquelle linformation contribue au rsultat des processus
mtier par rapport aux objectifs fixs.
237
Partie IV Annexes
Efcience
Mesure par laquelle linformation contribue au rsultat des processus
mtier au meilleur cot.
F
Fiabilit
Correspond laptitude dun systme fonctionner durablement avec un
minimum dincidents ou dinterruptions.
G
Gestion des ressources
La gestion des ressources consiste optimiser linvestissement dans les
ressources informatiques vitales et bien les grer (applications, informations, infrastructures et personnes).
Gouvernance
La gouvernance dcrit comment un systme est dirig et contrl. Elle
associe le pilotage, cest--dire sassurer que les dcisions actuelles prparent convenablement lavenir, et le contrle, cest--dire mesurer lcart par
rapport ce qui tait prvu (CIGREF).
238
AnnexeI Glossaire
Gouvernance dentreprise
Ensemble des responsabilits et pratiques assures par le conseil
dadministration et la direction gnrale, dont le but est de fixer la stratgie, de garantir que les objectifs sont atteints et que les risques sont
grs correctement, et de vrifier que les ressources de lentreprise sont utilises bon escient.
I
Incident
Tout vnement qui ne fait pas partie du fonctionnement standard dun
service et qui cause, ou peut causer, une interruption ou une rduction de
la qualit de ce service.
Infrastructures
Technologies, ressources humaines et quipements qui permettent le
traitement des applications.
Intgrit
Mesure par laquelle linformation correspond la ralit de la situation.
K
Key Goal Indicator (KGI)
Indicateur li un processus donn permettant de vrifier que ce processus
atteint ses objectifs.
239
Partie IV Annexes
M
Mesure de la performance
La mesure de la performance consiste en un suivi et une surveillance de la
mise en uvre de la stratgie, de laboutissement des projets, de lutilisation des ressources, de la performance des processus et de la fourniture
des services.
O
Operational Level Agreement (OLA)
Voir Contrat dexploitation.
P
Problme
Origine inconnue dun ou plusieurs incidents existants ou potentiels.
R
Risque
Potentialit dune menace donne exploiter les points faibles dun actif
ou dun groupe dactifs pour provoquer des pertes et/ou des dommages
ces actifs. Il se mesure en gnral par une combinaison de consquences
et de probabilits doccurrence.
S
Service Level Agreement (SLA)
Voir Contrat de service.
240
AnnexeI Glossaire
U
Underpinning Contract (UC)
Niveaux de services ngocis avec les tiers.
241
AnnexeII
Objectifs
du systme
dinformation
et processus CobiT
Les tableaux suivants, classs par domaine, rcapitulent lensemble des
liens entre les 28 objectifs du systme dinformation et les 34 processus
CobiT.
243
Partie IV Annexes
Obj. 11
Obj. 12
Obj 13
Obj. 14
Obj. 15
244
Obj. 01
Processus
PO1 : Dnir un plan informatique
stratgique
Objectifs
Tableau II-1 : Objectifs du systme dinformation et processus du domaine Planier et Organiser (suite)
Obj. 16
Obj. 17
Obj. 18
Obj. 19
Obj. 21
Processus
PO1 : Dnir un plan informatique
stratgique
Objectifs
245
Partie IV Annexes
Obj. 01
Processus
AI1 : Trouver des solutions
informatiques
Objectifs
Obj. 11
Obj. 12
Obj. 13
Obj. 14
Obj. 15
246
Tableau II-2 : Objectifs du systme dinformation et processus du domaine Acqurir et Implmenter (suite)
Obj. 17
Obj. 18
Obj. 19
Obj. 16
Processus
AI1 : Trouver des solutions
informatiques
Objectifs
Obj. 21
247
Partie IV Annexes
Obj. 01
Processus
DS1 : Dnir et grer
Objectifs
Obj. 11
Obj. 12
Obj. 13
Obj. 14
Obj. 15
248
Tableau II-3 : Objectifs du systme dinformation et processus du domaine Dlivrer et Supporter (suite)
Obj. 16
Obj. 17
Obj. 18
Obj. 19
Obj. 21
249
Obj. 27
Processus
DS1 : Dnir et grer
Objectifs
Partie IV Annexes
Obj. 01
Obj. 02
Obj. 03
Obj. 04
Obj. 05
Obj. 06
Obj. 07
Obj. 08
Obj. 09
Obj. 10
Obj. 11
Obj. 12
Obj. 13
Obj. 14
Obj. 15
Obj. 16
Obj. 17
250
Processus
Objectifs
Tableau II-4 : Objectifs du systme dinformation et processus du domaine Surveiller et valuer (suite)
Obj. 19
Obj. 20
Obj. 21
Obj. 22
Obj. 23
Sassurer que les services informatiques sont disponibles dans les conditions
requises.
Obj. 24
Obj. 25
Livrer les projets temps et dans les limites budgtaires en respectant les
standards de qualit.
Obj. 26
Obj. 27
Obj. 28
251
Montrer clairement les consquences pour lentreprise des risques lis aux
objectifs et aux ressources informatiques.
Obj. 18
Processus
Objectifs
Index
budget 69
Agilit 235
AI1 Trouver des solutions
informatiques 95
AI2 Acqurir des applications et
en assurer la maintenance 99
AI3 Acqurir une infrastructure
technique et en assurer la
maintenance 104
AI4 Faciliter le fonctionnement et
lutilisation 108
cadre de rfrence
processus informatique 64
centre de services 209
CMMI (Capability Maturity Model
Integration) 22, 215
CobiT
Quick Scan 201
Quickstart 223
CobiT Online 41
CobiT version 4 4
CobiT version 4.1 4
253
Index
domaines de la gouvernance
communication 73
comptences 77
alignement stratgique 7
conception 102
apport de valeur 8
contrat
dexploitation (CE) 128
de services (CS) 128
donnes 237
critres
confidentialit 31, 85, 144, 236
conformit 31, 187, 236
disponibilit 31, 85, 117, 171, 237
efficacit 31, 52, 60, 64, 69, 73, 77,
81, 89, 96, 101, 109, 117, 121, 128,
133, 137, 141, 153, 156, 160, 163,
175, 179, 184, 190, 237
efficience 31, 56, 60, 64, 69, 77, 81,
89, 101, 105, 109, 113, 117, 128, 133,
137, 149, 156, 163, 175, 179, 184,
190, 238
fiabilit 31, 149, 167, 238
intgrit 31, 56, 85, 117, 141, 144,
167, 171, 239
cycle de dveloppement 100
D
Dfinir et grer les niveaux de
services (DS1) 127
Dfinir larchitecture de
linformation (PO2) 55
Dfinir les processus, lorganisation
et les relations de travail (PO4) 63
Dfinir un plan informatique
stratgique (PO1) 51
Dterminer lorientation
technologique (PO3) 59
dictionnaire des donnes 58
E
EFQM (European Foundation for
Quality Management) 25
environnement de tests 123
valuer et grer les risques (PO9) 84
externalisation 113, 145
254
Index
Faciliter le fonctionnement et
lutilisation (AI4) 108
G
Grer lenvironnement physique
(DS12) 171
gestion de services
ITIL V2 19
ISO/IEC 20000 20
ITIL V3 19, 21
gouvernance
domaines
alignement stratgique 52, 56,
73, 77, 81, 85, 89, 96, 101, 128,
187, 190, 235
L
loi Sarbanes-Oxley 4, 40, 200
255
Index
M
management des risques 85
Manager les projets (PO10) 88
Mettre en place une gouvernance
des SI (SE4) 190
modle de maturit 34
CMMI 23
CobiT 15
tag 225
offre de services 52
organisation 64
objectifs
mtier 51
Obj. 01 53, 57, 65, 90, 97, 118, 122,
129, 137, 180
Obj. 02 53, 65, 90, 180, 191
Obj. 03 109, 129, 134, 154, 157, 164,
176
Obj. 04 57, 168
Obj. 05 57, 65, 78, 105
Obj. 06 97, 101, 118
Obj. 07 61, 101, 113
Obj. 08 105, 113
Obj. 09 78, 113
Obj. 10 134
Obj. 11 57, 109, 122
Obj. 12 70, 74, 129, 134, 150, 181,
191
Obj. 13 74, 109, 122, 154, 157
Obj. 14 86, 145, 161, 172, 184
Obj. 15 61, 105, 137, 154, 161
Obj. 16 82, 109, 118, 122, 164
P
PCA (Plan de continuit des
activits) 87
pilotage stratgique 205
plan
dinfrastructure technologique 60,
104
de compte 151
de continuit informatique 142
de maintenance de linfrastructure
106
de traitement des risques 87
informatique
stratgique 8, 51, 112
tactique 52, 112
PO1 Dfinir un plan informatique
stratgique 51
PO2 Dfinir larchitecture de
linformation 55
256
Index
Q
qualit
ISO 9001 24, 215, 218
ISO/IEC 9001 81
R
rfrentiel
daudit 198
de comptences 79
responsabilits
achats 135
cellule mthodes et qualit 131
centre dassistance 159
comit darchitecture 62
257
Index
ressources
application 31
information 31
infrastructure 31
personnes 31
scurit
informatique 14, 144, 214
ISO/IEC 15408 16
ISO/IEC 17799 15
ISO/IEC 27001 14, 87, 215
ISO/IEC 27002 14, 15, 145, 214
slection des fournisseurs 112
V
VAL IT 41
veille
rglementaire 188
technologique 59
258
Page 1
CobiT
R
Les auteurs
Dominique Moisand a occup divers postes
responsabilit au sein de PricewaterhouseCoopers
avant de crer en 1990 le cabinet ASK, conseil en
management et organisation, qui s'attache notamment amliorer la gouvernance des systmes
d'information des grands comptes. Vice-prsident
de lAFAI (Association franaise de laudit et du
conseil informatiques) pendant cinq ans, il a collabor plusieurs traductions des ouvrages de
lISACA et diverses publications : Matrise douvrage et matrise duvre, Audit des projets, Le
client pivot de la gouvernance Il anime avec
Fabrice Garnier de Labareyre des sminaires sur la
convergence des rfrentiels de la DSI.
Associ du cabinet ASK Conseil, Fabrice Garnier
de Labareyre exerce le mtier de consultant dans
le domaine des technologies de linformation
depuis plus de quinze ans. Frquemment conseil
de la Direction gnrale et de la DSI de grandes
entreprises, il intervient sur les missions stratgiques relevant de la gouvernance des systmes
dinformation : pilotage des organisations, matrise
des grands projets, performance et qualit des services, scurit de linformation Il est galement
administrateur de lAFAI.
frence incontournable au sein de la communaut des auditeurs informatiques depuis plus de dix ans, CobiT (Control
OBjectives for Information and related Technology) est
devenu un standard de la gouvernance des systmes dinformation.
Publies par lISACA (Information Systems Audit and Control
Association) et lITGI (Information Technology Governance Institute),
les dernires versions 4.0 et 4.1 rpondent tout particulirement aux
problmatiques de management des systmes dinformation.
Sappuyant sur la version 4.1 de CobiT, cet ouvrage en trois volets
replace ce rfrentiel dans le contexte global de la gouvernance des
systmes dinformation. La premire partie dresse un panorama des
diffrents rfrentiels existants, en dcrivant leurs champs daction
et leur positionnement vis--vis de CobiT. Dans la deuxime partie
sont dtaills les 34 processus de CobiT selon un plan standard, avec
mise en lumire de leurs forces et faiblesses. Enfin, la troisime partie expose des cas pratiques dutilisation et de dploiement de CobiT,
correspondant un vritable mode demploi du rfrentiel. Cet
ouvrage apportera ainsi des rponses pragmatiques tous ceux qui
souhaitent implmenter CobiT dans leur systme dinformation
ou le concilier avec dautres rfrentiels comme ITIL, CMMi ou
ISO 27001.
Au sommaire
CobiT et la gouvernance TI. Prsentation gnrale de CobiT.
Historique de CobiT. Les cinq axes stratgiques. Les autres
rfrentiels de la gouvernance des TI. Le pilotage stratgique.
Le management de la scurit. ITIL : le management des
services. Le management des tudes. Les modles "qualit".
Apprhender CobiT. Documents et publications autour de
CobiT. qui s'adresse CobiT ? Les limites : ce que CobiT n'est
pas. Description dtaille des processus. Planifier et Organiser. Acqurir et Implmenter. Dlivrer et Supporter. Surveiller
et valuer. Mettre en oeuvre CobiT. CobiT pour l'audit. Le
code professionnel d'thique. La mission d'audit. Le contrle
interne. L'outil Quick Scan. CobiT fdrateur. Le pilotage
stratgique. Conjuguer ITIL et CobiT. CobiT et la norme
ISO/IEC 27002. CobiT et la norme ISO/IEC 27001. CobiT et
CMMi. La certification. Transformer la DSI. CobiT Quickstart.
Pour un dploiement tag. Annexes. Glossaire. Objectifs
du systme d'information et processus CobiT.
FABRICE
14:59
CobiT
10/12/08
DOMINIQUE MOISAND
GARNIER DE LABAREYRE
12427_Cobit_17x23
D O M I N I Q U E M O I S A N D
FABRICE GARNIER DE LABAREYRE
CobiT
Implmentation ISO 27001