Académique Documents
Professionnel Documents
Culture Documents
Cobit Et Gouvernance PDF
Cobit Et Gouvernance PDF
CobiT D O M I N I Q U E M O I S A N D
DOMINIQUE MOISAND
GARNIER DE LABAREYRE
FABRICE GARNIER DE LABAREYRE
R
frence incontournable au sein de la communaut des audi-
teurs informatiques depuis plus de dix ans, CobiT (Control
OBjectives for Information and related Technology) est
devenu un standard de la gouvernance des systmes dinformation.
Publies par lISACA (Information Systems Audit and Control
CobiT
Les auteurs Association) et lITGI (Information Technology Governance Institute),
Dominique Moisand a occup divers postes
les dernires versions 4.0 et 4.1 rpondent tout particulirement aux
responsabilit au sein de PricewaterhouseCoopers problmatiques de management des systmes dinformation.
avant de crer en 1990 le cabinet ASK, conseil en
management et organisation, qui s'attache notam- Sappuyant sur la version 4.1 de CobiT, cet ouvrage en trois volets
ment amliorer la gouvernance des systmes replace ce rfrentiel dans le contexte global de la gouvernance des
d'information des grands comptes. Vice-prsident systmes dinformation. La premire partie dresse un panorama des
de lAFAI (Association franaise de laudit et du diffrents rfrentiels existants, en dcrivant leurs champs daction
conseil informatiques) pendant cinq ans, il a colla-
et leur positionnement vis--vis de CobiT. Dans la deuxime partie
bor plusieurs traductions des ouvrages de
lISACA et diverses publications : Matrise dou- sont dtaills les 34 processus de CobiT selon un plan standard, avec
vrage et matrise duvre, Audit des projets, Le mise en lumire de leurs forces et faiblesses. Enfin, la troisime par-
client pivot de la gouvernance Il anime avec tie expose des cas pratiques dutilisation et de dploiement de CobiT,
Fabrice Garnier de Labareyre des sminaires sur la correspondant un vritable mode demploi du rfrentiel. Cet
convergence des rfrentiels de la DSI.
ouvrage apportera ainsi des rponses pragmatiques tous ceux qui
Associ du cabinet ASK Conseil, Fabrice Garnier souhaitent implmenter CobiT dans leur systme dinformation
de Labareyre exerce le mtier de consultant dans ou le concilier avec dautres rfrentiels comme ITIL, CMMi ou
FABRICE
le domaine des technologies de linformation ISO 27001.
depuis plus de quinze ans. Frquemment conseil
de la Direction gnrale et de la DSI de grandes
entreprises, il intervient sur les missions strat-
giques relevant de la gouvernance des systmes
dinformation : pilotage des organisations, matrise Au sommaire
des grands projets, performance et qualit des ser-
vices, scurit de linformation Il est galement
CobiT et la gouvernance TI. Prsentation gnrale de CobiT.
Historique de CobiT. Les cinq axes stratgiques. Les autres
Implmentation ISO 27001
administrateur de lAFAI. rfrentiels de la gouvernance des TI. Le pilotage stratgique.
Le management de la scurit. ITIL : le management des
services. Le management des tudes. Les modles "qualit".
Apprhender CobiT. Documents et publications autour de
CobiT. qui s'adresse CobiT ? Les limites : ce que CobiT n'est
CobiT
qui sadresse ce livre ? pas. Description dtaille des processus. Planifier et Organi-
ser. Acqurir et Implmenter. Dlivrer et Supporter. Surveiller
Aux auditeurs et valuer. Mettre en oeuvre CobiT. CobiT pour l'audit. Le
Aux managers de linformatique code professionnel d'thique. La mission d'audit. Le contrle
interne. L'outil Quick Scan. CobiT fdrateur. Le pilotage
et aux DSI stratgique. Conjuguer ITIL et CobiT. CobiT et la norme
Aux chefs dentreprise
et aux directions financires
ISO/IEC 27002. CobiT et la norme ISO/IEC 27001. CobiT et
CMMi. La certification. Transformer la DSI. CobiT Quickstart.
Pour une meilleure gouvernance
Pour un dploiement tag. Annexes. Glossaire. Objectifs
Aux consultants et aux formateurs
Aux acteurs de linfogrance
du systme d'information et processus CobiT. des systmes d'information
ISBN : 978-2-212-12427-9
Code diteur : G12427
9 782212 124279
39
CobiT
Pour une meilleure gouvernance
des systmes d'information
CHEZ LE MME DITEUR
CobiT
Pour une meilleure gouvernance
des systmes d'information
DITIONS EYROLLES
61, bd Saint-Germain
75240 Paris Cedex 05
www.editions-eyrolles.com
Prface
Prolifration de modles et de sigles, contraintes de plus en plus fortes,
exigence croissante de matrise de leurs activits : les DSI ne savent plus
parfois quel saint se vouer.
Par o commencer ? ISO, CobiT, ITIL, Lean, CMMi? Pour le nophyte, cest
tout un nouveau continent explorer. Louvrage de Dominique Moisand et
de ses collaborateurs a pour premier mrite de resituer tous ces modles
dans leur perspective relle.
Issu de laudit, dans sa partie noble qui consiste non dnoncer les imper-
fections mais aider le responsable progresser dans son mtier, CobiT
est devenu un formidable outil dorganisation du mtier de DSI. Par son
approche rigoureuse des processus qui rglent la vie de linformatique en
entreprise, par ladoption progressive de rfrentiels (vocabulaire, concepts,
mesures) qui simposent toute notre profession, il devient la cl de vote
de la dmarche damlioration continue qui simpose tous.
Malgr tout, son adoption se heurte encore bien souvent au caractre par-
fois sotrique des manuels de rfrence, le manager oprationnel hsitant
se lancer dans un projet quil ne se sent pas capable de matriser.
Cet ouvrage vient combler cette lacune : dmystifier, rendre immdiate-
ment accessibles les concepts soutenant la dmarche CobiT, et proposer
une manire simple et rapide de dmarrer le projet dutilisation de ce rf-
rentiel dans toutes les entreprises.
Grer une informatique dentreprise est une science encore jeune et impar-
faite mais dont limportance ne cesse de crotre, avec lmergence acc-
lre de ce monde numrique indispensable toute activit conomique.
Gageons que la lecture de ce livre dcidera nombre de DSI qui ne lont pas
encore fait sauter le pas, sengager dans cette voie de lexcellence.
Sans oublier le vieux proverbe plus ou moins chinois :
Les modles sont de bons serviteurs et de mauvais matres.
V
Livre CobiT.book Page VI Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page VII Lundi, 1. dcembre 2008 2:48 14
Partie I
CobiT et la gouvernance TI
VII
Livre CobiT.book Page VIII Lundi, 1. dcembre 2008 2:48 14
Le modle EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
Le dveloppement durable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
Partie II
Description dtaille des processus
VIII
Livre CobiT.book Page IX Lundi, 1. dcembre 2008 2:48 14
IX
Livre CobiT.book Page X Lundi, 1. dcembre 2008 2:48 14
Partie III
Mettre en uvre CobiT
X
Livre CobiT.book Page XI Lundi, 1. dcembre 2008 2:48 14
Partie IV
Annexes
Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253
XI
Livre CobiT.book Page XII Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page XIII Lundi, 1. dcembre 2008 2:48 14
Avant-propos
Cet ouvrage sadresse tous ceux qui sintressent la gouvernance des
systmes dinformation. En raison du foisonnement des rfrentiels et des
standards, il est indispensable de situer CobiT V4.1 dans cet ensemble.
Nous avons retenu quatre grands courants qui alimentent cette recherche
incessante : lISACA (Information System Audit and Control Association), associa-
tion base aux tats-Unis, trs active dans le monde entier et qui est
lorigine de CobiT ; le SEI (Software Engineering Institute) dont les recherches
ont abouti la cration de CMMi ; lOGC (Office of Government Commerce), trs
prsent en Grande-Bretagne, en particulier lorigine dITIL, et enfin lISO
(Organisation internationale de normalisation) qui accompagne ces travaux
en les insrant dans un cadre juridique normatif.
La premire partie de ce livre est consacre une prsentation gnrale de
CobiT et des autres rfrentiels. Le chapitre 1 rappelle lhistorique qui a
conduit des premires versions de CobiT, orientes rfrentiels daudit,
la srie des versions 4, axes en priorit guide de management . Le cha-
pitre 2 brosse un rapide tableau des principaux rfrentiels auxquels le DSI
doit se confronter, soit parce quil sagit de standards de facto ou parce que
leur apport dans la gouvernance des systmes dinformation est incontour-
nable. Le chapitre 3 permet dapprhender CobiT comme fdrateur des
principaux rfrentiels. Il reprend tout dabord lessentiel de la prsentation
de louvrage de lAFAI sur la V4.1 de CobiT, puis dcrit la multitude de
documents disponibles sur le site www.isaca.org (en anglais) la date
de parution de ce livre. Ce chapitre sert dintroduction la partie suivante.
La deuxime partie offre une lecture commente de CobiT en dtaillant ses
34 processus selon quatre chapitres, correspondant aux quatre domaines
de processus du rfrentiel : Planifier et Organiser, Acqurir et Implanter,
Dlivrer et Supporter, Surveiller et valuer. Au sein de ces chapitres, les
processus sont dcrits en respectant un plan standardis.
La troisime partie aborde la mise en uvre de CobiT, avec trois cibles : la
premire correspond laudit, le cur de cible initial de CobiT depuis
quinze ans environ, la deuxime place CobiT en fdrateur des autres rf-
rentiels de la gouvernance, et la troisime aborde le dploiement de CobiT
partir dexemples prcis. En synthse, nous proposons une sorte de
XIII
Livre CobiT.book Page XIV Lundi, 1. dcembre 2008 2:48 14
Avant-propos
XIV
Livre CobiT.book Page 1 Lundi, 1. dcembre 2008 2:48 14
PARTIE I
CobiT et
la gouvernanceTI
La gouvernance des Technologies de lInformation (TI) regroupe
lensemble du systme de management (processus, procdures, organisa-
tion) permettant de piloter les TI. Cette proccupation est une dclinaison
de la volont dassurer une gouvernance dentreprise (corporate gouvernance).
Il existe un grand nombre de rfrentiels qui refltent les bonnes pratiques
mises au point au fil des annes. On peut sen tonner. La ralit est que
chacun deux part dune proccupation particulire : la scurit, la qualit,
les services offerts aux clients, laudit, le dveloppement de projet, etc.
Cest un mal ncessaire pour que chaque fonction se reconnaisse dans ses
propres pratiques. Simultanment se pose la question de la mise en place
dun cadre global, unique pour la DSI, qui rponde toutes les attentes.
CobiT se positionne la fois comme un rfrentiel daudit et un rfrentiel
de gouvernance. Sur le plan de la gouvernance, il se place demble en ali-
gnement avec les mtiers et la stratgie de lentreprise. Au-del de ces
positionnements, CobiT est conu, dvelopp et amlior en permanence
pour fdrer lensemble des rfrentiels en rapport avec les TI.
Lensemble de cette problmatique, gouvernance des TI, diversit des rf-
rentiels et convergence pour la DSI, est traite dans cette premire partie,
qui prsente galement la structure de base de CobiT.
1
Livre CobiT.book Page 2 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 3 Lundi, 1. dcembre 2008 2:48 14
Chapitre 1
Prsentation
gnrale de CobiT
Historique de CobiT
CobiT est le rsultat des travaux collectifs raliss par les principaux
acteurs de la profession, auditeurs internes ou externes, fdrs au sein de
lISACA (Information System Audit and Control Association). Cette association
mondiale base aux tats-Unis est dploye dans les plus grandes villes
du monde. Elle est reprsente en France par lAFAI (Association franaise
pour laudit et le conseil en informatique).
Dans ses premires versions, publies partir de 1996, CobiT (Control
OBjectives for Information and related Technology) se positionne comme un
rfrentiel de contrle. Il dcline sur le domaine IT les principes du
rfrentiel COSO (Committee of Sponsoring Organizations of the Treadway
Commission), publis pour la premire fois en 1992 et dont lobjectif est
daider les entreprises valuer et amliorer leur systme de contrle
interne.
La mise en chantier de CobiT rsultait donc de la volont des auditeurs
de rpondre aux exigences du COSO et de partager les mmes plans
daudit. La plupart des grands cabinets daudit internationaux (les big 6
lpoque) y ont particip. Cest ainsi devenu un standard de fait, au
moins pour les auditeurs informatiques. On y trouvait lessentiel de la
structuration actuelle en domaines, processus et objectifs de contrle
dtaills.
En 1998, lITGI (Information Technology Governance Institute) a t cr sur lini-
tiative de lISACA, en rponse la place de plus en plus importante
occupe par les technologies de linformation. En effet, dans la plupart des
organisations ou des entreprises, lun des principaux facteurs de succs
rside dans la capacit des systmes dinformation apporter la fois la
3
Livre CobiT.book Page 4 Lundi, 1. dcembre 2008 2:48 14
4
Livre CobiT.book Page 5 Lundi, 1. dcembre 2008 2:48 14
CobiT et la gouvernance TI
Lapport de CobiT
En tant que rfrentiel de la gouvernance des systmes dinformation, le 1. Stakeholders :
primtre de CobiT dpasse celui dvolu la direction des systmes reprsente lensemble
dinformation pour englober toutes les parties prenantes des SI dans des acteurs concerns
lentreprise (stakeholders1). Ainsi, selon CobiT, la gouvernance des sys- par la gouvernance
des SI, aussi bien
tmes dinformation est de la responsabilit des dirigeants et du conseil
les actionnaires et
dadministration, elle est constitue des structures et processus de com- la direction gnrale
mandement et de fonctionnement qui conduisent linformatique de que les mtiers.
lentreprise soutenir les stratgies et les objectifs de lentreprise, et lui Ce terme est souvent
permettre de les largir . traduit par les parties
prenantes.
Planifier et
Organiser
Exigences de
fonctionnement
Acqurir et Dlivrer et Services
Implmenter Supporter automatiss
Exigences de
contrle
Surveiller et
Evaluer
CONTROLES APPLICATIFS
5
Livre CobiT.book Page 6 Lundi, 1. dcembre 2008 2:48 14
1. On entend par pro- Structur en processus1, CobiT prend en compte les besoins des mtiers,
cessus un ensemble et plus gnralement des parties prenantes, dans une logique damliora-
dactivits corrles tion continue. Le pralable toute diffusion de CobiT est donc la diffusion
qui transforme des dune culture de lamlioration au service des clients de la DSI. Cette approche
lments entrants en
rappelle lISO 9001.
lments sortants, les
activits tant elles- Les entres des processus CobiT sont bases sur les exigences ngo-
mmes dcrites dans cies des parties prenantes (mtiers, etc.) conduisant des objectifs.
des procdures. Ensuite, lexcution des processus est garantie par des responsabilits
clairement affectes et des mesures de performances face aux objectifs
fixs. La satisfaction des clients fait partie des mesures de perfor-
mance.
ce stade, loriginalit de CobiT est sans doute de crer systmatiquement
un lien entre parties prenantes et DSI, ce qui ncessite bien souvent une
petite rvolution culturelle aussi bien pour les acteurs de la DSI dans leur
tour divoire que pour les mtiers et la direction gnrale qui ignoreraient
superbement le caractre stratgique des SI. Le point cl sous-jacent
cette dmarche est linstauration de dialogues constructifs tous les
niveaux de lorganisation, entre parties prenantes et DSI.
Ce postulat pos, chaque processus propose une liste dobjectifs de contrle
qui nous semble solide et une vision du management du processus (acti-
vits principales, responsabilits et indicateurs) qui nous parat plutt
indicative et sujette contextualisation.
Le rfrentiel CobiT, avec ses 34 processus gnriques, est une proposition
qui pourra tre revue pour sadapter la cartographie propre de lorganisa-
tion considre. De la mme faon, on pourra facilement coupler CobiT
dautres rfrentiels du march (ISO 27001, ITIL pour Information Technology
Infrastructure Library ou CMMI pour Capability Maturity Model Integration) en
btissant un cadre de rfrence satisfaisant lensemble des exigences. Ceci
est dautant plus vrai que les processus de CobiT sont parfois globaux et
sinterprtent souvent comme des macroprocessus de rfrentiels plus
spcialiss. CobiT est donc un cadre fdrateur.
CobiT sert aussi comparer entre elles (benchmark) diffrentes entits de
lentreprise. Il permet galement, avec les restrictions dusage, de se com-
parer dautres entreprises. Plus couramment, il conduit la dfinition de
ses propres objectifs et leur valuation priodique.
6
Livre CobiT.book Page 7 Lundi, 1. dcembre 2008 2:48 14
Lalignement stratgique
Les activits informatiques prennent de plus en plus dimportance dans le
fonctionnement des mtiers de lentreprise. Il est donc indispensable que
la rponse de linformatique soit celle attendue par les mtiers. Prenons, par
exemple, une direction marketing qui souhaite lancer un nouveau produit
ou service. Il est indispensable de sassurer que les exemplaires de ce produit,
lorsquils seront disponibles, pourront tre commands puis facturs. Si le
canal de commande est le Web, la disponibilit de lapplication de com-
mande en ligne doit tre assure avec lensemble des lments ncessaires
la commande du produit (rfrences, prix, conditions particulires, etc.).
Par alignement stratgique, il faut donc entendre la capacit fournir les
services souhaits en temps et en heure avec le niveau de qualit requis.
7
Livre CobiT.book Page 8 Lundi, 1. dcembre 2008 2:48 14
Dans le cas de notre direction marketing, cela signifie que le projet de mise
disposition de commande en ligne doit tre identifi et prioris ds la
rflexion amont par la direction marketing, ceci afin dtre dans les temps
au moment de lannonce du produit au march. Lalignement stratgique
se matrialise par un plan stratgique qui devra traiter des budgets
dinvestissements et de fonctionnement, des sources de financement, des
stratgies de fourniture et dachats tout en intgrant les exigences lgales
et rglementaires.
Lapport de valeur
Linformatique doit galement pouvoir apporter un gain identifiable dans
la bonne excution des processus mtier. Dans le cas de notre direction
marketing, lapport de valeur va se matrialiser par la mise en place dun
canal de distribution adressant une nouvelle clientle. Il permettra la vente
permanente du produit tout en saffranchissant des contraintes de la dis-
tribution classique organise autour dun lieu gographique et de plages
horaires plus limites que laccs Web. Dans le processus de distribution,
lapport de linformatique doit pouvoir tre mesur afin didentifier la
valeur apporte en termes de volume de ventes, de progression de chiffre
daffaires et de marge par rapport aux prvisions. Lapport de valeur se
concrtise par la matrise des processus de fonctionnement en termes
defficacit et defficience. Ceci vient complter le processus de pilotage
des investissements qui traitera des cots, des bnfices et des priorits
en fonction de critres dinvestissement tablis (ROI [Return On Investment],
dure damortissement, valeur nette actuelle).
8
Livre CobiT.book Page 9 Lundi, 1. dcembre 2008 2:48 14
La mesure de la performance
La mesure de la performance rpond aux exigences de transparence et de 1. BSC, Balanced Sco-
comprhension des cots, des bnfices, des stratgies, des politiques et recard (ou tableau de
des niveaux de services informatiques offerts conformment aux attentes bord quilibr) : repr-
de la gouvernance des systmes dinformation. L encore, CobiT tente de sentation de la perfor-
faire le lien entre les objectifs de la gouvernance et les objectifs dcliner mance de lentreprise
selon 4 quadrants le
sur les processus ou les activits. Ce faisant, on cre du lien et on donne
nancier, la relation
du sens aux objectifs de performance des SI comme support aux mtiers. client, lanticipation
Ces mesures peuvent facilement se traduire par la mise en place dun BSC et loprationnel.
(Balanced Scorecard1) qui va offrir une vision densemble de la performance. Le BSC a t dve-
lopp en 1992 par
Robert S. Kaplan et
David Norton.
9
Livre CobiT.book Page 10 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 11 Lundi, 1. dcembre 2008 2:48 14
Chapitre 2
Le pilotage stratgique
Le COSO
Le COSO (Committee of Sponsoring Organizations of the Treadway Commission) a
publi en 1992 un cadre de rfrence pour le contrle interne afin daider
les entreprises valuer et amliorer leur systme de contrle interne. Le
contrle interne y est dcrit comme un processus tant sous la responsabi-
lit dune instance constitue dans le but dassurer la ralisation dobjec-
tifs regroups dans les domaines suivants :
efficacit et efficience des oprations ;
fiabilit des rapports financiers ;
conformit aux lois et rglements.
11
Livre CobiT.book Page 12 Lundi, 1. dcembre 2008 2:48 14
12
Livre CobiT.book Page 13 Lundi, 1. dcembre 2008 2:48 14
Indicateurs Indicateurs
Indicateurs Indicateurs
Influence sur :
Performances
performances
Benchmarks et tendances
cots
Cots standards
niveaux de services
13
Livre CobiT.book Page 14 Lundi, 1. dcembre 2008 2:48 14
Le management de la scurit
Plusieurs normes, mthodes et rfrentiels de bonnes pratiques en matire
de scurit des systmes dinformation sont disponibles. Ils constituent des
guides mthodologiques ainsi que les moyens de garantir une dmarche de
scurit cohrente.
LISO a entrepris un vaste effort de rationalisation des travaux existants,
donnant naissance la srie de normes ISO/IEC 27000. Ce nombre corres-
pond la rservation dune srie de normes relatives la scurit. ce
jour, seules les normes 27000, 27001, 27002 et 27006 sont publies. Cer-
taines sont obligatoires pour obtenir une certification, les autres ne sont
que de simples guides :
la norme ISO/IEC 27000 prsente le vocabulaire et les dfinitions du
domaine de la scurit, applicables chacun des standards ;
la norme ISO/IEC 27001 dcrit la politique du management de la scu-
rit des systmes dinformation au sein dune entreprise qui sert de rf-
rence la certification ;
la norme ISO/IEC 27002 constitue le guide de bonnes pratiques de la
scurit des SI ;
la norme ISO/IEC 27003 a pour vocation dtre un guide dimplmen-
tation ;
la norme ISO/IEC 27004 sera un nouveau standard pour le pilotage des
indicateurs et des mesures dans le domaine de la scurit des SI ;
la norme ISO/IEC 27005 sera un nouveau standard sur le management
des risques pour la scurit des SI ;
la norme ISO/IEC 27006 rsume les exigences applicables aux auditeurs
externes dans leur mission de certification sur lISO 27001.
14
Livre CobiT.book Page 15 Lundi, 1. dcembre 2008 2:48 14
15
Livre CobiT.book Page 16 Lundi, 1. dcembre 2008 2:48 14
Organisation de la scurit :
organisation humaine, implication hirarchique ;
notion de propritaire dune information et mode de classification ;
valuation des nouvelles informations ;
mode daccs aux informations par une tierce partie ;
cas de lexternalisation des informations.
Classification et contrle des biens.
Scurit du personnel.
Scurit physique :
organisation des locaux et des accs ;
protection contre les risques physiques (incendies, inondations) ;
systmes de surveillance et dalerte ;
scurit des locaux ouverts et des documents circulants.
Communication et exploitation :
prise en compte de la scurit dans les procdures de lentreprise ;
mise en uvre des systmes de scurisation (antivirus, alarmes).
Contrle daccs :
dfinition des niveaux dutilisateurs et de leur droit daccs ;
gestion dans le temps des droits.
Acquisition, dveloppement et maintenance des systmes.
Gestion des incidents.
Management de la continuit de service.
Conformit :
dispositions rglementaires ;
dispositions lgales ;
dispositions internes (politique).
La norme ISO/IEC 27002 est oriente processus et son application dpasse
de ce fait les simples aspects de technique informatique. Elle sintresse
lorganisation du personnel ainsi quaux problmes de scurit physique
(accs, locaux).
16
Livre CobiT.book Page 17 Lundi, 1. dcembre 2008 2:48 14
17
Livre CobiT.book Page 18 Lundi, 1. dcembre 2008 2:48 14
Tableau 2-1 : Niveaux dvaluation (EAL, Evaluation Assurance Level) des critres communs
18
Livre CobiT.book Page 19 Lundi, 1. dcembre 2008 2:48 14
Les composants
La politique de scurit est dcrite laide de composants qui constituent
des ensembles dexigences de scurit. On trouve des composants fonc-
tionnels (exigences fonctionnelles) et des composants dassurance (garan-
ties apportes). Par exemple, une famille de composants est ddie la
protection des donnes de lutilisateur, une autre la gestion de la confi-
guration.
PP (Protection Profile)
Pour guider les concepteurs et les valuateurs, il existe des ensembles de
critres prdfinis, les profils de protection (on en compte prs de 1 000).
Un PP dfinit un ensemble dobjectifs et dexigences pour une catgorie de
produits. Par exemple, le CELAR (Dlgation gnrale pour larmement,
DGA) a rdig un profil pour pare-feu protection leve afin dinter-
connecter deux rseaux ayant des politiques de scurit diffrentes. Le
niveau vis est EAL5+.
ST (Security Target)
Le ST contient la description des menaces et des objectifs de scurit
du produit certifier. Il indique comment on veut valuer le produit
et jusquo on veut aller en matire de scurit. Le ST est rdig partir
du PP.
Au final, cest la DCSSI qui valide lagrment et dlivre le certificat.
19
Livre CobiT.book Page 20 Lundi, 1. dcembre 2008 2:48 14
20
Livre CobiT.book Page 21 Lundi, 1. dcembre 2008 2:48 14
Figure 2-3 : Schma des processus de gestion des services de la norme ISO/IEC 20000-1:2005
ITIL V3
Apparue en 2007, la version V3 du rfrentiel ITIL est base sur cinq livres
principaux prconisant des bonnes pratiques, proposant des complments
par secteur ou par march ainsi que des modles gnriques (cartes de
processus, etc.).
Service Strategy dcrit la stratgie gnrale et lapport de valeur des services.
Il traite de lalignement avec les mtiers et la gouvernance des TI.
Service Design propose des procdures, des architectures et des documents
pour crer les processus de management des services.
Service Transition propose des guides pour intgrer concrtement les
processus de gestion des services entre mtiers et oprations.
Service Operation propose des guides pour raliser les objectifs de qualit
de service dans un souci defficacit et defficience.
Continual Service Improvement propose des guides pour identifier et am-
liorer les processus. Il combine les mthodes du management de la
qualit et la boucle damlioration PDCA.
ITIL V3 ne donne pas lieu la certification des organisations. Cette nou-
velle version met laccent sur la boucle damlioration continue des ser-
vices offerts aux clients de la DSI. Par rapport la version antrieure, elle
comprend galement une dimension stratgique qui se rapproche de
lalignement stratgique cher CobiT.
21
Livre CobiT.book Page 22 Lundi, 1. dcembre 2008 2:48 14
1. SPICE (Software Mentionnons pour mmoire la norme ISO/IEC 15504 (SPICE1) qui permet
Process Improvement de certifier la capacit des organisations produire du logiciel. Elle
and Capability dEter- sapplique plus aux logiciels industriels ou des systmes, et concerne
mination) est le nom rarement la DSI. Cette norme prsente des similarits avec le CMMI
du rfrentiel sous- (modle de maturit, par exemple).
tendant la norme
ISO/IEC 15004.
22
Livre CobiT.book Page 23 Lundi, 1. dcembre 2008 2:48 14
produire des logiciels. Les entreprises indiennes ont jou un rle majeur
dans la gnralisation du standard, en faisant un pralable de qualification
dans les consultations.
Le modle de maturit
Le CMMI sintresse la qualit de lorganisation et la matrise des pro-
cessus. Il propose une dmarche stricte pour valuer les processus et
dfinir des plans damlioration continue, ce qui constitue dailleurs le
standard des modles de maturit. Son modle de maturit en 5 tages est
devenu une rfrence de description des modles de maturit.
Initial
Procdures et autorit mal dfinies. La russite des projets dpend du
savoir-faire de quelques personnes cls. Aucune ou mauvaise applica-
tion des principes du gnie logiciel. Difficult matriser les cots et les
dlais.
Reproductible
Utilisation de mthodes standards pour grer les activits de dvelop-
pement. Le dveloppement est planifi et suivi. Lquipe matrise et
applique des rgles. Bonne gestion des cots et des dlais.
Dfini
Utilisation des mthodes du gnie logiciel et application des normes.
Lefficacit de chaque processus est vrifie et les meilleures pratiques
sont mises en avant. Processus bien dfini et raisonnablement compris.
Matris
Collecte et analyse systmatique des donnes sur les processus. Les
processus sont mesurs, les risques calculs et devancs. Processus
bien compris, quantifis, mesurs et raisonnablement matriss.
Optimis
Utilisation des donnes pour lamlioration itrative des processus,
capitalisation de lexprience. Tous les processus sont optimiss et toutes
les volutions sont apprhendes. Matrise des processus.
Deux modles de reprsentation sont proposs selon que lon sintresse
la maturit de chacun des processus ou celle de lorganisation.
Le modle continu (continuous) : moins utilis, il rpond un souci de
mise en avant partielle de certains processus.
Le modle tag (staged) : cest le modle original en cinq niveaux. Il
rpond un souci de progression et damlioration des processus.
Le niveau 1 est le niveau de dpart. Les organisations bien rodes se satis-
feront des niveaux 2 et 3, ce dernier attestant de processus jugs gnrale-
ment suffisamment optimiss et scuriss. Les niveaux 4 et 5 sont lapanage
23
Livre CobiT.book Page 24 Lundi, 1. dcembre 2008 2:48 14
Repre : le CMMI
Le dploiement de CMMI est un projet de transformation trs srieux. Il ncessite
la fois une bonne description des processus, un systme dinformation associ, une
vritable conduite du changement et la standardisation des pratiques en termes
de pilotage de projets. On compte au minimum 18 mois pour tre niveau 2, et
18 mois de plus pour passer niveau 3. En France, le nombre dorganisations de
niveau 3 est sans doute infrieur 10 !
24
Livre CobiT.book Page 25 Lundi, 1. dcembre 2008 2:48 14
Le modle EFQM
Le modle EFQM, propos par lEuropean Foundation for Quality Management,
est un modle dexcellence destin aux organismes qui dsirent satisfaire
de faon durable toutes les parties prenantes par leurs ralisations et leurs
mthodes.
Le modle EFQM repose sur les principes fondamentaux suivants :
lorientation rsultats ;
lorientation clients ;
le leadership et la constance des objectifs ;
le management par les processus et les faits ;
le dveloppement et limplication des personnes ;
lapprentissage, linnovation et lamlioration ;
le dveloppement des partenariats ;
la responsabilit sociale/socitale de lorganisation.
La mise en uvre de ces principes sappuie sur trois phases de maturit
diffrentes :
la phase Initiation ;
la phase Ralisation ;
la phase Maturit.
Le modle EFQM est une reprsentation non normative dune organisation
selon neuf critres rpartis en deux catgories, moyens et rsultats.
Les critres de moyens concernent la faon dont lorganisation gre ses
activits cls. Ils sont les suivants :
leadership ;
personnel ;
25
Livre CobiT.book Page 26 Lundi, 1. dcembre 2008 2:48 14
politique et stratgie ;
partenariats et ressources ;
processus.
Les critres de rsultats concernent la faon dont les rsultats de lorga-
nisation sont obtenus. Ils sont les suivants :
rsultats pour le personnel ;
rsultats pour les clients ;
rsultats pour la collectivit ;
rsultats performances cls.
Moyens Rsultats
Personnel Rsultats
personnel
Rsultats
Politique et
Leadership stratgie Processus Rsultats Performance
client
Cls
Innovation et apprentissage
Le dveloppement durable
Sujet en vogue actuellement, le dveloppement durable est en mme
temps source de confusion. De quoi parle-t-on : du volet social ? du volet
cologique ? et sur quel primtre ? de la DSI pour elle-mme ou pour
lensemble des impacts des SI de lentreprise sur lenvironnement ?
En rgle gnrale, les fournisseurs communiquent sur le volet cologique
(Green IT) pour dmontrer leur engagement dans les conomies dnergie,
lconomie du papier ou le recyclage en gnral. Ils peuvent aussi, comme
SAP, en profiter pour commercialiser un module supplmentaire de lERP
pour aider leur client grer ces aspects.
26
Livre CobiT.book Page 27 Lundi, 1. dcembre 2008 2:48 14
En rsum
Il y a beaucoup de rfrentiels qui concernent la DSI ; ceci met en vidence
la ncessit de trouver un langage commun, de crer une convergence
entre ces diffrentes approches. En effet, mme si chacun dentre eux a sa
raison dtre, il nest pas possible de piloter une DSI sans en unifier le lan-
gage et les processus.
Parmi les incontournables, citons surtout : ITIL, ISO 27001/27002 et
ISO 14001, le tout dans une logique damlioration continue au service du
client (ISO 9001).
27
Livre CobiT.book Page 28 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 29 Lundi, 1. dcembre 2008 2:48 14
Chapitre 3
Apprhender
CobiT
Description gnrale
CobiT offre un cadre de rfrence de contrle structur des activits infor-
matiques selon 34 processus rpartis en quatre domaines :
Planifier et Organiser ;
Acqurir et Implmenter ;
Dlivrer et Supporter ;
Surveiller et valuer.
29
Livre CobiT.book Page 30 Lundi, 1. dcembre 2008 2:48 14
Objectifs de la
Objectifs mtier
gouvernance
Information
Efficacit
Efficience
Planifier et Organiser
Confidentialit
Surveiller et Evaluer
Intgrit PO1 Dfinir un plan informatique
SE1 Surveiller et valuer la performance Disponibilit stratgique
des SI Conformit PO2 Dfinir larchitecture de linformation
SE2 Surveiller et valuer le contrle PO3 Dterminer lorientation technologique
Fiabilit
interne PO4 Dfinir lorganisation,
SE3 Sassurer de la conformit Ressources les relations de travail
rglementaire PO5 Grer linvestissement informatique
Comptences
SE4 Grer la gouvernance des SI PO6 Faire connatre les buts et les
Information
orientations du management
Applications PO7 Grer les ressources humaines
Infrastructure PO8 Grer la qualit
PO9 Evaluer les risques
PO10 Grer les projets
30
Livre CobiT.book Page 31 Lundi, 1. dcembre 2008 2:48 14
31
Livre CobiT.book Page 32 Lundi, 1. dcembre 2008 2:48 14
Le guide de management
La page consacre au guide de management comprend un descriptif des
entres-sorties du processus, un RACI avec rles et responsabilits asso-
cis aux activits du processus, et enfin, une proposition dindicateurs de
contrle.
Les activits
CobiT distingue les objectifs de contrle (vision destine lauditeur) des
activits (vision management). Cette distinction peut surprendre car la
liste des activits reprend certains objectifs de contrle dans ses intituls.
Parfois, ces activits sont directement extraites de la description des
objectifs de contrle. De plus, les activits sont listes mais non dcrites.
Le lecteur doit donc faire leffort de dterminer dans la description des
objectifs de contrle ce qui relve de la description dactivit. Il devrait
dcortiquer chaque objectif de contrle en tentant disoler linformation
attache aux activits, aux instances/organisations, aux fonctions, aux
documents/livrables et enfin au contexte.
Pour la mise en uvre de CobiT, partir des activits est intressant condition
de ne pas sy enfermer. Il vaut mieux prendre cette liste comme un pense-
bte pour donner du corps une description personnalise en fonction
de lorganisation.
32
Livre CobiT.book Page 33 Lundi, 1. dcembre 2008 2:48 14
Responsable administratif
Responsable exploitation
Responsable architecture
Direction mtier
Bureau projet
DSI
DG
DF
ACTIVITS
33
Livre CobiT.book Page 34 Lundi, 1. dcembre 2008 2:48 14
Les
34
Livre CobiT.book Page 35 Lundi, 1. dcembre 2008 2:48 14
CobiT veut aller plus loin en groupant trois dimensions au modle de matu-
rit, pour chacun des 34 processus. Il propose ainsi les dimensions suivantes :
quoi : contrle (initialis, reproductible, dfini, gr et optimis), stades
de 0 5 ;
combien : couverture en termes de primtre ;
comment : capacit raliser les objectifs.
En tudiant la description du modle de maturit1 par processus, il semble 1. Il y a au moins une
que chaque stade caractrise un palier de mise en uvre en fonction de centaine de modles
son primtre de dploiement au sein de lentreprise. Il peut ainsi y avoir de maturit dont un
confusion entre le primtre spcifique de dploiement dun processus bon nombre servent
(dimension combien ) et le stade de maturit gnrique quil a atteint, des rfrentiels utili-
ss en DSI. Le prcur-
au sens du CMM (dimension contrle ).
seur est celui du SEI
Pour un mme processus, il est ainsi possible de fixer des objectifs diff- (Software Enginee-
rents de progression de la maturit en fonction de ltat de maturit ring Institute) qui a
observ sur plusieurs primtres de sa mise en uvre. Pour un mtier ou donn le CMM (Capa-
un systme donn, le processus peut tre valu au niveau 2 du modle de bility Maturity
maturit alors que, pour dautres, il peut ltre au niveau 3. Selon les exi- Model), conu pour
gences mtier et la criticit de linformatique sur les mtiers de lentre- valuer la maturit
des organisations en
prise, la cible en termes de niveau de maturit peut tre diffrente.
charge du dveloppe-
Dans le cas dun primtre dvaluation de la maturit globale selon CobiT ment de logiciel. En
(cest--dire tous les mtiers et tous les systmes), il serait donc rducteur gnral, un modle
de dire par exemple quun processus donn est globalement au niveau 2 si, de maturit a cinq
selon les endroits o il est applicable, il se trouve au niveau 3, 4 ou 1. niveaux : inexistant,
intuitif, dni, gr et
Le modle de maturit CobiT est conu pour offrir une grande flexibilit mesurable, optimis.
lvaluateur en fonction de ses objectifs et des besoins damlioration. Il est
adapt lactivit daudit du ou des processus considrs plutt qu une
activit de mise en uvre dune dmarche CobiT globale dans lentreprise.
En effet, il ny a aucune recommandation ni orientation quant la priorit
ou lordre de mise en uvre des processus. Les 34 processus du rfrentiel
CobiT ne sont pas prsents pour se loger dans un modle de maturit
tag avec une logique de mise en place progressive comme dans CMMI.
En revanche, un ordre de mise en place des processus CobiT peut tre
envisag mais, dans ce cas, il sera toujours spcifique chaque entreprise
en fonction de ses exigences mtier et de ses objectifs informatiques. Cest
dailleurs partir dune valuation initiale des 34 processus CobiT et selon
les exigences mtier quil sera possible de dfinir un plan de mise en place.
Ce plan spcifiera, processus par processus, les diffrents niveaux de
maturit atteindre en fonction des mtiers et de la criticit des systmes
informatiques associs. Nous navons donc pas repris, dans la suite de la
prsentation des processus, les lments spcifiques des modles de
maturit de CobiT.
35
Livre CobiT.book Page 36 Lundi, 1. dcembre 2008 2:48 14
Organes dcisionnels
Comment pouvons- nous mesurer
la performance? Management Guidelines
Comment faire pour se comparer
aux autres? Modles de maturit
Comment samliorer durablement?
Gestion de lactivit et des technologies
Quelle est la Comment mettre Comment valuer
structure de la en uvre la la structure de la
gouvernance gouvernance dans gouvernance des
des SI? lentreprise? SI?
Control practices
Control objectives Implementation
Guide
Security Baseline
Key management
practices COBIT Online Control Practices
COBIT Foundation
training
COBIT implemen-
tation workshop
36
Livre CobiT.book Page 37 Lundi, 1. dcembre 2008 2:48 14
destination de la direction
Board Briefing on IT Governance, 2nd edition, IT Governance Institute, 2003
(http://www.isaca.org/ContentManagement/Content-Display.cfm?Content-
ID=39649). Pour plus de dtails, voir page 43.
Information Security Governance: Guidance for Boards of Directors and Executive
Management, 2nd edition, IT Governance Institute, 2006 (http://
www.isaca.org/AMTemplate.cfm?Section=Information_Security_
Governance_Guidance_for_Boards_of_Directors_and_Executive_Manag
ement&Template=/ContentManagement/ContentDisplay.cfm&Content-
FileID=10227).
La srie Enterprise Value: Governance of IT Investments (VAL IT), IT Governance
Institute, comprenant trois publications :
The VAL IT Framework 2.0 ;
The Business Case, 2006 (http://www.isaca.org/AMTemplate.cfm?Section=
Deliverables&Template=/ContentManagement/ContentDisplay.cfm&
ContentID=24261) ;
Getting Started With Value Management (http://www.isaca.org/Tem-
plate.cfm?Section=COBIT6&template=/ContentManagement/Content-
Display.cfm&ContentID=25060).
37
Livre CobiT.book Page 38 Lundi, 1. dcembre 2008 2:48 14
IT Governance Implementation Guide: Using CobiT and VAL IT, 2nd edition, IT
Governance Institute, 2007. Pour plus de dtails, voir page 41.
Le site de CobiT Online. Pour plus de dtails, voir page 41.
CobiT Security Baseline: An Information Security Survival Kit, 2nd edition, IT
Governance Institute, 2007. Pour plus de dtails, voir page 42.
CobiT Quickstart, 2nd edition, IT Governance Institute, 2007.
CobiT Mapping, IT Governance Institute.
Les cours de formation : CobiT Foundation Course and Exam. Pour plus
de dtails, voir page 43.
Autres publications
IT Alignment: Who Is in Charge?, IT Governance Institute, 2005 (http://
www.itgi.org/AMTemplate.cfm?Section=Deliverables&Template=/
ContentManagement/ContentDisplay.cfm&ContentID=33921).
Optimizing Value Creation from IT Investments, IT Governance Institute, 2005.
Information Risks: Whose Business Are They?, IT Governance Institute, 2005
(http://www.itgi.org/AMTemplate.cfm?Section=Deliverables&Tem-
plate=/ContentManagement/ContentDisplay.cfm&ContentID=33919).
Governance of Outsourcing, IT Governance Institute.
Measuring and Demonstrating the Value of IT, IT Governance Institute.
CobiT est une structure vivante et volutive, plusieurs projets sont
dailleurs en cours de dveloppement. Les informations sy rfrant sont
disponibles sur le site de lISACA.
Toutes les publications rfrences ci-dessus sont disponibles en tlchar-
gement sur le site de lISACA (http://www.isaca.org) et sur celui de lITGI
(http://www.itgi.org).
38
Livre CobiT.book Page 39 Lundi, 1. dcembre 2008 2:48 14
39
Livre CobiT.book Page 40 Lundi, 1. dcembre 2008 2:48 14
40
Livre CobiT.book Page 41 Lundi, 1. dcembre 2008 2:48 14
CobiT Online
CobiT Online est un service Web auquel tout le monde peut accder, ds
lors que lon est membre de lISACA et inscrit au service. En utilisant la
personnalisation du site ISACA My CobiT, on peut construire et tlcharger
sa version de CobiT.
41
Livre CobiT.book Page 42 Lundi, 1. dcembre 2008 2:48 14
42
Livre CobiT.book Page 43 Lundi, 1. dcembre 2008 2:48 14
43
Livre CobiT.book Page 44 Lundi, 1. dcembre 2008 2:48 14
est faite ici se focalise sur une vision dynamique de chaque processus en vue
de les implanter dans une organisation. Dans les chapitres qui vont suivre,
nous dcrirons, pour chaque processus, une vue densemble du processus
selon un triptyque (exigences mtier vis--vis du SI, domaines de gouver-
nance et ressources informatiques). Une vision dynamique du processus
sera ensuite expose sur la base dun parti pris en ce qui concerne les
activits incontournables du processus en se basant sur une analyse des
objectifs de contrle et des RACI existant dans CobiT. Enfin, des commen-
taires sur les conditions de mise en uvre et de mesure des processus
seront proposs aprs la description des processus.
Ainsi, les chapitres suivants sadressent ceux qui souhaitent disposer dune
roadmap (feuille de route) pour lancer une dmarche de mise en uvre de
CobiT au sein de leur entreprise. Ils ont pour but de leur donner les cls de
lecture de CobiT afin de les aider implmenter les processus.
Le cube CobiT
EXIGENCES MET IER
TE
IT
E E LI TE
EI TEE E
AI TCE NEC TI A RITI E LITI LIT ITTE TE
C IEC N IA I BIL MI
RM LITE
F FAI C FIICEN I D E
T
EEGGR E NTONNIB OR
FFO BIILI
E IC E FIC F I NT I D S
PPO N IAAB
F F N IN I N F I
EF EF CO NFDDIS CO O F
CO
Domaine s
PERSONNES
INFRAST RUCTURE
PROCESS US INFO RMATIQUES
Process us
INFO RMATI ON
APPLI CATI ONS
S
UE
IQ
AT
RM
FO
IN
ES
RC
OU
ESS
R
44
Livre CobiT.book Page 45 Lundi, 1. dcembre 2008 2:48 14
Notons dailleurs que lISACA a depuis plus de 10 ans lanc une certifica-
tion mondiale des auditeurs de systme dinformation (CISA, Certified Infor-
mation Systems Auditor).
La structuration et la compltude des objectifs de contrle fait de CobiT le
cadre de rfrence idal pour toute forme dinvestigation.
Le cube CobiT (figure 3-4) illustre lorganisation du rfrentiel autour de
trois dimensions : processus (et activits), segmentation de linformation
et ressource concerne.
45
Livre CobiT.book Page 46 Lundi, 1. dcembre 2008 2:48 14
En rsum
46
Livre CobiT.book Page 47 Lundi, 1. dcembre 2008 2:48 14
Il prsente lavantage davoir t conu pour une approche globale et, pour
le pilotage, linconvnient dtre issu de laudit, ce qui fait que son volet
guide de management est mconnu.
Son implmentation suppose un accompagnement tenace en termes de
conduite du changement et une approche raisonnable sur le primtre
couvrir en premier lieu.
47
Livre CobiT.book Page 48 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 49 Lundi, 1. dcembre 2008 2:48 14
PARTIE II
Description dtaille
des processus
CobiT est largement dcrit dans la documentation publie par lISACA et
traduite pour partie en franais par lAFAI. Les quatre chapitres qui suivent
dcrivent ses 34 processus, regroups par domaines (PO, AI, DS et SE), afin
que le lecteur ait une vue densemble de chacun mais aussi du cadre
global. Les forces et faiblesses du rfrentiel sont mises en exergue : ainsi,
le modle de maturit na pas t repris car il semble trop complexe et
imprcis mettre en uvre. Il ne sagit pas non plus de laisser croire que
le dploiement de CobiT partirait dun modle unique et immuable pour
toutes les DSI. Limportant est dabord de comprendre et de se persuader
des avantages de CobiT pour structurer lensemble de ses processus.
La description de chaque processus suit un plan dtaill : vue densemble, sa
raison dtre, objectifs et primtre, reprsentation schmatique, planification
et mise en uvre, mesures et contrles, rles et responsabilits, entres et
sorties du processus. La reprsentation schmatique du processus tente en
particulier une mise en perspective de ses activits dans une boucle damlio-
ration (dfinir, mettre en uvre, amliorer, contrler).
Le guide de management pour CobiT V4.1 publi par lAFAI constitue un
excellent document complmentaire la description qui suit.
49
Livre CobiT.book Page 50 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 51 Lundi, 1. dcembre 2008 2:48 14
Chapitre 4
Planifier
et Organiser
51
Livre CobiT.book Page 52 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus PO1 rsulte principalement dune volont de mettre en place une
stratgie des systmes dinformation performante (alignement stratgique)
qui rponde au critre defficacit du systme dinformation pour les mtiers.
Cette volont conduit les DSI sinvestir davantage dans la stratgie glo-
bale en simpliquant dans la connaissance des mtiers et le contexte de
lentreprise, tout en matrisant le risque informatique, pour dfinir un plan
informatique stratgique. Cela permet de matriser le potentiel du systme
dinformation actuel et danticiper lvolution de toutes les ressources infor-
matiques selon le critre defficience.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le plan informatique stratgique amne le DSI mieux piloter son budget et
avoir une vision des investissements long et moyen termes. Concrtement, il
se dcline en plans informatiques tactiques, ou schmas directeurs SI, indi-
quant des objectifs concis court terme ainsi quen plans daction et de tches
compris et accepts par les mtiers et linformatique. Il en ressort des porte-
feuilles de projets et des offres de services traduisant les besoins mtier.
Lobjectif avou est aussi de rendre cohrentes et transparentes les dpenses
des projets, en communiquant et en impliquant les parties prenantes fonc-
tionnelles informatiques et les mtiers.
52
Livre CobiT.book Page 53 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO1 doit permettre de matriser les objectifs prsents dans le
tableau 4-1.
Description du processus
La figure 4-2 reprsente les flux internes du processus PO1.
DEFINIR
PO1 Dfinir un plan informatique stratgique
Performance Portefeuilles de
Stratgies mtier
des TI programmes
AMELIORER
LIER LES OBJECTIFS METIER ET LES OBJECTIFS INFORMATIQUES
AGIR SUR LES ECARTS
DE FAON APPROPRIEE
IDENTIFIER LES DEPENDANCES ENTRE LINFORMATIQUE
ET LA STRATEGIE DE LENTREPRISE
Plan
stratgique DEFINIR LE PLAN INFORMATIQUE STRATEGIQUE
CONTROLER
COMMUNIQUER Plans SURVEILLER LES RESULTATS
DEFINIR LES PLANS INFORMATIQUES TACTIQUES
tactiques ATTENDUS DES PROGRAMMES
FAIRE VALIDER
LES PLANS
ALERTER EN CAS DECART
ET LES PORTEFEUILLES
METTRE EN UVRE
GERER LES PLANS TACTIQUES
Portefeuilles
de projets, de GERER LES PORTEFEUILLES DE PROJETS ET DE SERVICES
services et
dinvestissements GERER LE PORTEFEUILLE DINVESTISSEMENTS INFORMATIQUES
53
Livre CobiT.book Page 54 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs Obj. 01 et Obj. 02 prsents plus
haut. Ces mesures portent principalement sur la couverture par le plan
stratgique des besoins mtier.
La mesure de la mise en uvre de ce processus passe surtout par le suivi
des volutions des plans SI (stratgiques et tactiques) par rapport aux
plans quivalents de lentreprise et au taux de participation des mtiers
la gestion des programmes dinvestissement.
Rles et responsabilits
Le directeur gnral
Compte tenu de la finalit de ce processus, le responsable de ce processus,
son propritaire ou encore son pilote est trs logiquement la direction de
lentreprise, par lentremise dun de ses directeurs gnraux. Seule la direc-
tion gnrale peut se porter garante de lalignement stratgique de la DSI
aux objectifs de lentreprise.
Le responsable mtier
Au sein de ce processus, chaque mtier a la responsabilit de sassurer que
ses objectifs mtier sont bien pris en compte et relis des objectifs infor-
matiques afin que la contribution de linformatique au mtier soit concr-
tise.
54
Livre CobiT.book Page 55 Lundi, 1. dcembre 2008 2:48 14
55
Livre CobiT.book Page 56 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus PO2 met en avant la ncessit de disposer de ressources
informatiques pour lesquelles les informations sont utilises de faon
optimise et scurise (alignement stratgique, apport de valeur, gestion
des risques, etc.), qui rpondent aux critres defficience, dintgrit, deffi-
cacit et de confidentialit.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE
CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La modlisation de donnes permet dviter bien des cueils, lobjectif
tant de maintenir leur cohrence et dviter leur redondance ainsi que
lmergence de systmes dinformation parallles traitant de linformation
en doublon.
La classification de linformation travers un schma valid, prenant en
compte la criticit et la sensibilit des donnes (publiques, confiden-
tielles, secrtes) par rapport au cur de lactivit, contribue dfinir des
niveaux de scurit et statuer sur le propritaire de linformation.
Se posent ensuite les questions de maintenabilit et dvolutivit du sys-
tme. Cest pourquoi assurer lintgrit et la cohrence de toutes les don-
nes stockes ou archives au format lectronique fait aussi partie des
objectifs du processus.
Cest sur ces bases que la DSI est en meilleure position pour faciliter le
dveloppement de systmes rpondant aux besoins spcifiques des
mtiers.
56
Livre CobiT.book Page 57 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO2 doit permettre de matriser les objectifs prsents dans le
tableau 4-2.
Obj. 11 Sassurer de lintgration progressive des solutions informatiques aux processus mtier.
Description du processus
La figure 4-5 reprsente les flux internes du processus PO2.
DEFINIR
PO2 Dfinir larchitecture de linformation
Dictionnaire(s)
de donnes ELABORER LE(S) DICTIONNAIRE(S) DES DONNEES
AMELIORER
Procdures
et outils de METTRE EN PLACE DES PROCEDURES ET DES OUTILS
classification DE CLASSIFICATION DES DONNEES
57
Livre CobiT.book Page 58 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mesures permettant de sassurer de lefficacit du processus portent
principalement sur le taux de donnes hors du modle dinformation de
lentreprise et sur les carts par rapport aux rgles de classification des
donnes.
La mesure de la mise en uvre de ce processus passe par le suivi de la fr-
quence dvolution du modle de donnes, le taux de donnes sans pro-
pritaire, le nombre de mtiers impliqus dans lidentification et la
classification des donnes.
Rles et responsabilits
Le rle du pilote de ce processus est dlicat car sa mise en uvre nces-
site une prise de conscience collective de lintrt dun modle darchitec-
ture de linformation. La direction gnrale doit dlguer ce rle au bon
niveau, un mtier seul ne pouvant prendre le leadership. Le DSI, en tant
quinterlocuteur de tous les mtiers, peut jouer ce rle de pilote. Il lui
faudra alors une lgitimit suffisante pour assurer ce rle avec succs.
Le responsable mtier
Au sein de ce processus, chaque mtier a la responsabilit de sassurer que
les donnes font bien lobjet dune identification et dune classification,
conformment aux rgles tablies.
58
Livre CobiT.book Page 59 Lundi, 1. dcembre 2008 2:48 14
Le responsable architecture
Les donnes de lentreprise deviennent un actif essentiel. Le responsable
darchitecture doit sassurer de la cohrence, voire de la convergence, des
modles de donnes lis aux diverses applications. Il est le garant du
dictionnaire des donnes de lentreprise.
PO2 : Dfinir
lar chitecture de
linformation
Plan infor matique str atgique
Plan infor matique tactique
Etude de faisabilit exigences Systme de classification des
des mtier s donnes
Revues post- dmarr age Plan optimis de systmes
Infor mations sur la mtier
per for mance et la capacit Dictionnair e de donnes
Entr e de la per for mance dans Ar chitecture de linformation
le planning SI Classification attribue aux
donnes
Pr ocdures et outils de
classification
59
Livre CobiT.book Page 60 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus PO3 a pour objectif principal de sassurer que les infrastruc-
tures informatiques (et les applications quelles supportent) rpondront
au mieux aux exigences defficacit et defficience des mtiers.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE
CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Moins lenvironnement informatique est standard, plus le changement
engendr par une stratgie de migration ou un plan dacquisition est
complexe et coteux, en ressources comme en dlais.
Lun des objectifs du plan dinfrastructure technologique est doptimiser
les orientations relatives lacquisition de ressources informatiques qui
doivent conduire des conomies dchelle dans les effectifs et les inves-
tissements informatiques.
Lamlioration de lintgration des infrastructures et des applications
doit se traduire par des standards, par une meilleure utilisation des res-
sources et des capacits ainsi que par la rduction des cots relatifs aux
acquisitions technologiques, travers des plates-formes limites en
nombre et en spcificit.
Un autre objectif de ce plan dinfrastructure consiste grer les orienta-
tions pour offrir une meilleure interoprabilit entre les plates-formes et
les applications.
60
Livre CobiT.book Page 61 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO3 doit permettre de matriser les objectifs prsents dans le
tableau 4-3.
Description du processus
La figure 4-8 reprsente les flux internes du processus PO3.
PO3 Dterminer lorientation technologique
DEFINIR AMELIORER
ETUDIER LES TECHNOLOGIES ACTUELLES ET FUTURES DEFINIR LUTILISATION FUTURE ET STRATEGIQUE
DES NOUVELLES TECHNOLOGIES
VEILLER
PUBLIER LES
STANDARDS METTRE EN UVRE SURVEILLER LES TENDANCES DE
TECHNIQUES LENVIRONNEMENT METIER
Standards
techniques METTRE EN PLACE UN FORUM INFORMATIQUE
CONTROLER
VERIFIER LA CONFORMITE AUX STANDARDS
ET AUX LIGNES DIRECTRICES
61
Livre CobiT.book Page 62 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mesures pour sassurer de lefficacit du processus PO3 portent princi-
palement sur le nombre dcarts par rapport aux standards techniques et
sur lhtrognit des diffrentes plates-formes techniques dployes
dans lentreprise.
La mesure de la mise en uvre de ce processus passe par le suivi du
nombre de runions du comit darchitecture et par la frquence dvolution
du plan dinfrastructure.
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de sassurer de la dfinition et de la validation des orientations
technologiques.
Le responsable architecture
Il est en charge de la bonne excution des travaux demands par le comit
darchitecture.
Le comit darchitecture
Il assiste le DSI dans sa prise de dcision quant aux orientations technolo-
giques et il pilote les activits de veille et les travaux relatifs la conception
de larchitecture technique du SI.
62
Livre CobiT.book Page 63 Lundi, 1. dcembre 2008 2:48 14
PO3 : Dterminer
lorientation
Plan informatique stratgique technologique
Plan informatique tactique
Plan optimis des systmes
mtier
Architecture de linformation
Mises jour des standards
Opportunits technologiques
techniques Standards techniques
Information sur la Mises jour rgulires de
performance et la capacit
ltat de la technologie
Plan dinfrastructure
technique
Besoins en infrastructures
63
Livre CobiT.book Page 64 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus PO4 sintresse lorganisation et aux ressources en person-
nels afin de leur attribuer des fonctions en vue de structurer lorganisation.
Il rpond ainsi aux exigences defficacit et defficience de la DSI vis--vis
des mtiers en optimisant la gestion de ses ressources humaines et en
dveloppant une culture de la gestion des risques.
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Figure 4-10 : Dnir les processus, lorganisation et les relations de travail : PO4
Pourquoi ?
Le propre dune organisation informatique fiable et performante rside
dans sa capacit dadaptation et de ractivit rpondre aux attentes
clients.
Dans ce but, lorganisation doit tendre vers un alignement mtier-informa-
tique et ainsi, rpondre aux exigences et aux stratgies en personnel qui
soutiennent les objectifs mtier.
Un cadre de rfrence des processus informatiques est indispensable pour
clarifier les activits cls, les rles, les postes cls, la proprit et la responsa-
bilit des donnes et des systmes.
Cette mise au clair conduit un renforcement des rles et des responsabi-
lits favorisant la performance individuelle. Le cadre de rfrence conduit
galement la mise en place dun processus efficace de recrutement de
comptences appropries. La dcision de faire voluer le personnel, ou au
contraire de faire appel la sous-traitance dans un cadre de contrle bien
dfini, sen trouve facilite.
64
Livre CobiT.book Page 65 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO4 doit permettre de matriser les objectifs prsents dans le
tableau 4-4.
Obj. 02 Ragir aux exigences de la gouvernance en accord avec les orientations du CA.
Description du processus
La figure 4-11 reprsente les flux internes du processus PO4.
DEFINIR
PO4 Dfinir les processus, lorganisation
processus
COMMUNIQUER informatiques
IDENTIFIER LES PROPRIETAIRES DES DONNEES
IMPLIQUER LES TI ET DES SYSTEMES DINFORMATION
DANS LES
CONTROLER
PROCESSUS EVALUER REGULIEREMENT LES
DE DECISION DEFINIR LES ROLES ET RESPONSABILITES DES SI BESOINS EN RESSOURCES
65
Livre CobiT.book Page 66 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Afin de contrler le bon fonctionnement de lorganisation infor-
matique, une supervision adapte la fonction informatique doit
permettre de sassurer que les rles et les responsabilits sont bien
exercs, et dvaluer la performance sous la forme dindicateurs cls. La
mesure de lefficacit de ce processus passe par le suivi du nombre darbi-
trages effectus pour rsoudre les conflits de dcision du fait dune mauvaise
ou insuffisante attribution de responsabilits.
66
Livre CobiT.book Page 67 Lundi, 1. dcembre 2008 2:48 14
Rles et responsabilits
Les instances et lires
Le comit stratgique informatique
Il est rattach au plus haut niveau de lentreprise. Il sassure de la bonne
gouvernance du SI et conseille la direction de lentreprise dans les orienta-
tions stratgiques et les choix dinvestissement informatique en fonction
des besoins des mtiers. Selon la taille et la criticit de lentreprise, il est
prsid par le prsident de lentreprise ou un directeur gnral dlgu.
Le comit de pilotage informatique
Il est compos de cadres reprsentant les mtiers et linformatique afin de
mettre en uvre la stratgie informatique dfinie par la direction de
lentreprise. Il assure le pilotage des investissements informatiques et des
activits de service (priorits/arbitrages, rsolution des conflits daccs aux
ressources).
La filire qualit
Il sagit de dfinir une organisation ddie propre mettre en uvre la
politique et les objectifs qualit en fonction des exigences des mtiers.
La filire scurit et les risques informatiques
Il sagit de dfinir une organisation ddie propre mettre en uvre la
politique et les objectifs scurit, en ligne avec lanalyse des risques lis
aux systmes dinformation.
Les fonctions
Le directeur des systmes dinformation
Son rle est de sassurer de la dfinition et de la validation de lorganisation
ainsi que du cadre de rfrence des processus informatiques.
Le responsable de la scurit des systmes dinformation (RSSI)
Il anime la filire scurit et sassure que le processus DS5 est bien mis en
uvre.
Le responsable dassurance qualit (RAQ)
Il anime la filire qualit et sassure que le cadre de rfrence des processus
est appliqu et que le processus PO8 est bien mis en uvre.
67
Livre CobiT.book Page 68 Lundi, 1. dcembre 2008 2:48 14
68
Livre CobiT.book Page 69 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOU VERNANCE SI EXIGENCES METIER
NFORMATIQUES
I
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Afin de rendre possible une gestion des investissements informatiques,
ltablissement dun rfrentiel de gestion financire est ncessaire. Des
modles de cots doivent tre dfinis, lesquels apportent une clarification
et aident la validation du budget. Les priorits budgtaires se dclinent
ensuite sur les portefeuilles de projets et de services, refltant lalignement
entre les objectifs informatiques et les exigences du mtier, sur la base de
la transparence et du dialogue.
Le processus de budgtisation se prsente comme un processus de prise
de dcision pour la prvision et laffectation budgtaire. Il contribue
quilibrer les cots et ajuster les prvisions dans une dmarche dam-
lioration continue.
Au quotidien, la gestion des cots permet didentifier rapidement les
carts par rapport au budget et permet dutiliser au mieux les ressources
informatiques dans un objectif de rentabilit.
La gestion des bnfices doit permettre de prendre des dcisions sur la
suite donner concernant un portefeuille dinvestissement, comme pour-
suivre, ajuster ou abandonner le programme.
Le processus PO5, travers la transparence des dpenses et la notion de
retour sur investissement, conduit aussi la bonne tenue des relations
entre les parties prenantes informatiques et mtiers.
69
Livre CobiT.book Page 70 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le pro-
cessus PO5 doit permettre de matriser les objectifs prsents dans le
tableau 4-5.
Obj. 28 Sassurer que linformatique fait preuve dune qualit de service efciente en matire
de cots, damlioration continue et de capacit sadapter des changements futurs.
Description du processus
La figure 4-14 reprsente les flux internes du processus PO5.
DEFINIR AMELIORER
PO5 Grer les investissements informatiques
Ecarts
METTRE EN
Cots /
EVIDENCE LES
ECARTS Prvisions METTRE EN UVRE
METTRE EN PLACE UN REFERENTIEL CONTROLER
DE GESTION FINANCIERE POUR LES SI
COMPARER LES COUTS ET LA VALEUR DES SI
PAR RAPPORT AUX PREVISIONS
METTRE EN PLACE UN PROCESSUS DE BUDGETISATION
ET DE GESTION DES COUTS
EVALUER LES CONSEQUENCES DES ECARTS
SUR LES PROGRAMMES
METTRE EN PLACE UN PROCESSUS
DE SURVEILLANCE DES BENEFICES
70
Livre CobiT.book Page 71 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mesures pour sassurer de lefficacit du processus portent principa-
lement sur le nombre dcarts par rapport aux prvisions budgtaires et
sur le ratio cots/bnfices des investissements informatiques pour les
mtiers.
La mesure de la mise en uvre de ce processus passe principalement par
le suivi du taux de projets ou de services dont le cot est valu.
Rles et responsabilits
Le comit de pilotage informatique
Il est compos de cadres reprsentant les mtiers et linformatique pour
mettre en uvre le programme dinvestissement informatique dcid par
la direction de lentreprise. Il assure le pilotage des investissements infor-
matiques et des activits de service (priorits/arbitrages, rsolution des
conflits daccs aux ressources, etc.). Il est le pilote de ce processus.
71
Livre CobiT.book Page 72 Lundi, 1. dcembre 2008 2:48 14
Le directeur gnral
Compte tenu de la finalit de ce processus, le directeur gnral en est
le client ; il en est galement le garant dans la mesure o il arbitre les
programmes dinvestissement. charge ensuite au DSI de russir la
transformation de ces investissements en valeur pour lentreprise.
Le responsable mtier
Au sein de ce processus, chaque mtier a la responsabilit de sassurer que
les dcisions, engagements de budget et arbitrages budgtaires ne se font
pas au dtriment de lapport de valeur, et que le rapport cots/bnfices
est celui escompt.
72
Livre CobiT.book Page 73 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus PO6 sintresse la bonne mise en place dun programme de
communication vers les diffrentes parties prenantes afin de dvelopper
une culture de gestion des risques et dalignement stratgique. Il rpond
ainsi aux exigences defficacit de la DSI vis--vis des mtiers.
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
INFRASTRUCTURES
GESTION DES DISPONIBILITE
RESSOURCES
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Figure 4-16 : Faire connatre les buts et les orientations du management : PO6
73
Livre CobiT.book Page 74 Lundi, 1. dcembre 2008 2:48 14
Pourquoi ?
La politique de la DSI ne saurait se dcider dans labsolu. Elle est le
rsultat dun certain nombre de contingences : besoins satisfaire,
valeur attendue de la technologie, budgets, niveau de risque acceptable,
thique, comptences, rglementations en vigueur, etc. Il est donc
ncessaire de bien comprendre le contexte de lentreprise pour dcider
des politiques informatiques adaptes.
Les parties prenantes ont besoin dun cadre de contrle afin de mieux
piloter leurs investissements et les services offerts. Donner ce cadre une
dimension purement financire serait trop restrictif. Il est ncessaire dune
part de faire accepter aux utilisateurs et aux mtiers les orientations pro-
poses par la DSI issues des politiques et dautre part, de communiquer
autour des oprations de contrle afin de coller au plus prs aux proccu-
pations de lentreprise.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO6 doit permettre de matriser les objectifs prsents dans le
tableau 4-6.
Tableau 4-6 : Objectifs du processus PO6
74
Livre CobiT.book Page 75 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 4-17 reprsente les flux internes du processus PO6.
DEFINIR
et les orientations du management
Objectifs et
orientations
APPLIQUER UN PROGRAMME DE COMMUNICATION PERMANENT
informatiques
Mesures et contrles
La mesure de lefficacit de ce processus passe par le suivi du nombre
de personnes qui connaissent et comprennent les politiques informa-
tiques et sy conforment. En dautres termes, il sagit de personnes capa-
bles didentifier leur contribution la bonne mise en uvre de ces
politiques.
La mesure de la mise en uvre de ce processus passe par le suivi de la fr-
quence des actes de communication et des volutions des politiques en
fonction du contexte des activits informatiques et mtiers.
75
Livre CobiT.book Page 76 Lundi, 1. dcembre 2008 2:48 14
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de sassurer que le processus de communication des buts et
orientations du management est bien mis en uvre. Il est le pilote de ce
processus.
Le personnel de la DSI
Limportance donne la communication et la clarification des objectifs
se traduit par la cohsion des quipes. In fine, les personnels de la DSI doivent
comprendre et appliquer les politiques dictes.
Plans informatiques
stratgiques et tactiques
Portefeuille de projets
Rfrentiel de contrle des
Portefeuille de services
SI de lentreprise
Guide de gestion des risques
Politiques informatiques
lis aux SI
Rapport sur lefficacit des
contrles du SI
76
Livre CobiT.book Page 77 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus PO7 gre les ressources humaines de la DSI. Il sintresse la
bonne gestion prvisionnelle des comptences de la DSI, afin de sassurer
que les quipes seront en mesure de sadapter pour faire face aux volu-
tions technologiques (alignement stratgique) et en faire bnficier les
mtiers. Il rpond ainsi aux exigences defficacit et defficience de la DSI
vis--vis des mtiers.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
77
Livre CobiT.book Page 78 Lundi, 1. dcembre 2008 2:48 14
Pourquoi ?
Le processus PO7 aborde la question des ressources humaines du point de
vue de la DSI : Quelles sont les ressources et comptences ncessaires ?
Comment anticiper les besoins, recruter les ressources ncessaires et
maintenir les comptences ? De quelles comptences veut-on sentourer :
des experts informatiques, des experts des domaines mtier de lentre-
prise, des chefs de projet, des pilotes aviss de prestations externalises ?
Pour rpondre ces questions, il faut dvelopper une vritable poli-
tique RH au sein de la DSI et pour la DSI (description de postes, gestion
des comptences et des comptences cls, valuation, formation, volution
de carrire, etc.).
Par ailleurs, il est habituel de compter des effectifs supplmentaires sous
forme de contrats de sous-traitance avec dlgation de personnel, dans les
locaux du client. Ces sous-traitants sont en gnral grs par le service
achats et le commanditaire de la DSI, sans implication du responsable des
ressources humaines. Du point de vue de la gestion globale des comp-
tences, cest insuffisant. Il faudrait associer lensemble de ces personnels
externes la gestion des comptences de faon en optimiser lemploi et
suivre les performances correspondantes.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO7 doit permettre datteindre les objectifs prsents dans le
tableau 4-7.
78
Livre CobiT.book Page 79 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 4-20 reprsente les flux internes du processus PO7.
DEFINIR
AMELIORER
PO7 Grer les ressources humaines
de responsabilit et de supervision)
79
Livre CobiT.book Page 80 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
La mesure de lefficacit de ce processus passe principalement par le suivi
du pourcentage de personnes dont le profil couvre la cartographie cible
des comptences de la DSI. Dautres indicateurs peuvent complter cette
mesure defficacit, par exemple, le suivi de postes cls non pourvus en
interne ou de remplaants identifis.
La mesure de la mise en uvre de ce processus passe par le suivi du plan
de formation par rapport la cartographie cible des comptences, le suivi
du taux de ralisation des valuations des collaborateurs ainsi que le taux
de couverture des postes par une fiche de fonction.
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de sassurer que ce processus est bien mis en uvre et quil
respecte la politique RH de lentreprise en matire de gestion des ressources
humaines. Il est le pilote de ce processus.
80
Livre CobiT.book Page 81 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le processus PO4 dfinit un cadre de rfrence des processus informatiques.
Un systme de management de la qualit doit imprativement complter ce
cadre de rfrence par la dtermination dindicateurs de mesure et de seuils
dobjectifs atteindre, sous peine de tomber rapidement dans loubli. Lexp-
rience prouve que la mesure des rsultats par des tiers est souvent rejete.
Lorsque cette mesure est destine amliorer le fonctionnement et aboutit
81
Livre CobiT.book Page 82 Lundi, 1. dcembre 2008 2:48 14
donc remettre en cause certaines pratiques, cest encore plus dlicat. Il est
trs difficile dancrer une culture de lamlioration continue, do lide de
laligner au processus de management (objectifs individuels).
Enfin, le systme de management de la qualit donne tout son sens aux
activits de la DSI en les alignant, dune part, avec les objectifs stratgiques
et, dautre part, avec les souhaits des utilisateurs des SI.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le pro-
cessus PO8 doit permettre datteindre les objectifs prsents dans le
tableau 4-8.
Description du processus
La figure 4-23 reprsente les flux internes du processus PO8.
DEFINIR
DEFINIR UN SYSTEME DE GESTION DE LA QUALITE (SGQ)
AMELIORER
IDENTIFIER LES ACTIONS
COMMUNIQUER CORRECTIVES ET PREVENTIVES
IDENTIFIER LES STANDARDS INFORMATIQUES
Standards de
PO8 Grer la qualit
82
Livre CobiT.book Page 83 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
La mesure de lefficacit de ce processus passe principalement par le suivi
des objectifs qualit, par exemple, le pourcentage de rduction des
dfauts, incidents et problmes rencontrs lors des activits de service de
la DSI. Dautres indicateurs peuvent complter cette mesure defficacit, tels
que le respect des dlais, le respect des cots des projets et des conventions
de service passs avec les directions mtiers.
La mesure de la mise en uvre de ce processus passe par le suivi du taux de
projets respectant les procdures et standards qualit, le taux de couverture
des audits internes et le pourcentage des processus faisant lobjet de revue.
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de dfinir la politique qualit et les objectifs qualit qui en
dcoulent. Il est le commanditaire des activits de contrle qualit (audits
qualit internes et revues de processus) et pilote ce processus, responsa-
bilit quil peut toutefois dlguer son RAQ (responsable dassurance
qualit).
La lire qualit
Elle a pour mission daider la mise en uvre de la politique qualit et
datteindre les objectifs qualit conformment aux exigences des
mtiers.
83
Livre CobiT.book Page 84 Lundi, 1. dcembre 2008 2:48 14
Standards dacquisition
Plan informatique
Standards de
stratgique
dveloppement
Plans dtaills des projets
Exigences de standards de
Plans dactions correctives qualit et de mtriques
Actions pour lamlioration
de la qualit
84
Livre CobiT.book Page 85 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus PO9 vise mettre en place une stratgie de rduction des ris-
ques cohrente avec la stratgie SI (alignement stratgique) afin de dve-
lopper une culture de gestion des risques. Il rpond ainsi aux exigences de
confidentialit, dintgrit et de disponibilit du SI vis--vis des mtiers.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Un risque se caractrise par sa fentre dapparition, sa probabilit doccur-
rence et son impact.
Repre : le risque
Trois lments pour le dcrire :
sa fentre dapparition (par exemple, la chute de neige nest pas envisage en
juillet) ;
sa probabilit doccurrence (il y a beaucoup de chance davoir du verglas en mars) ;
son impact (les avions ne pourront pas dcoller).
La combinaison des trois facteurs peut conduire au risque faible qui a des chances
de se produire souvent, au risque exceptionnel fort impact, ou toute autre com-
binaison.
85
Livre CobiT.book Page 86 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO9 doit permettre datteindre les objectifs prsents dans le
tableau 4-9.
OBJ. 18 Montrer clairement les consquences pour lentreprise des risques lis aux objectifs et aux res-
sources informatiques.
1. Actif : tout lment reprsentant de la valeur pour lorganisme (ISO 27001).
Description du processus
La figure 4-26 reprsente les flux internes du processus PO9.
DEFINIR
P09 Evaluer et grer les risques
METTRE EN UVRE
IDENTIFIER LES EVENEMENTS IMPACTANT EVALUER
LES OBJECTIFS METIER ET INFORMATIQUES
EVALUER LES RISQUES ASSOCIES
AUX EVENEMENTS
IDENTIFIER LE PROPRIETAIRE DU RISQUE
ET LES PROPRIETAIRES DES PROCESSUS CONCERNES
EVALUER LES REPONSES AUX RISQUES
86
Livre CobiT.book Page 87 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
La mesure de lefficacit de ce processus passe principalement par le pour-
centage de rduction des incidents de scurit rencontrs lors des activits
de service de la DSI dus des risques non identifis.
La mesure de la mise en uvre de ce processus passe par le suivi du
nombre dactifs faisant lobjet de lanalyse des risques et dun plan de trai-
tement des risques associ.
Rles et responsabilits
La mise en uvre du processus passe par la cration dune fonction en
charge du contrle interne et du management de la scurit au sein de la DSI.
Ceci renvoie la norme ISO/IEC 27001. noter que cette fonction ne saurait
se confondre avec la fonction de gestion de la scurit informatique au sens
technique, laquelle renvoie la norme ISO/IEC 17799 (ou ISO/IEC 27002).
Cependant, cette fonction ne suffit pas assurer le fonctionnement du pro-
cessus PO9 qui doit galement sappuyer sur des instances transverses
incluant la direction gnrale, les directions mtiers et la direction financire.
87
Livre CobiT.book Page 88 Lundi, 1. dcembre 2008 2:48 14
La direction mtier
Son rle est de valider les rsultats de lvaluation des risques la concernant
et les rponses proposes par le projet de plan de traitement des risques.
La direction nancire
Son rle est dapprouver les rsultats de lvaluation des risques et les
rponses proposes dans le projet de plan de traitement des risques en fonc-
tion des prjudices financiers encourus, et den assurer le financement et le
suivi.
88
Livre CobiT.book Page 89 Lundi, 1. dcembre 2008 2:48 14
projets sont loin datteindre leurs objectifs ; dautres vont jusqu mettre en
avant quil faut rencontrer une bute (budget, dlais, qualit) pour provoquer
un lectrochoc qui fera sortir le projet de limpasse en substituant une ges-
tion de projet inefficace une gestion de crise haut niveau.
. De nombreuses causes sont voques lappui de ces constats. Les plus
courantes stigmatisent le manque de maturit des mtiers (la matrise
douvrage) ou invoquent la spcificit des projets informatiques, qui
sappuient sur des technologies en constante volution, pour expliquer les
drives et les dceptions. Au-del, quen est-il rellement des mthodes et
processus mis en uvre en matire de projets ?
Lapproche du processus PO10 consiste faire peser en interne la DSI
une exigence de professionnalisme qui stendra progressivement aux
acteurs concerns par les projets.
Vue densemble
Le processus PO10 sintresse principalement la bonne mise en place
dun rfrentiel de gestion de programme et de projet (application et
infrastructure) pour un bon alignement stratgique. Il rpond ainsi aux exi-
gences defficacit et defficience du SI vis--vis des mtiers.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
89
Livre CobiT.book Page 90 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus PO10 doit permettre datteindre les objectifs prsents dans le
tableau 4-10.
OBJ. 25 Livrer les projets temps et dans les limites budgtaires en respectant
les standards de qualit.
90
Livre CobiT.book Page 91 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 4-29 reprsente les flux internes du processus PO10.
Guides
de RAPPORTER LES RESULTATS CONTROLER
DEFINIR UN CADRE DE GESTION DES PROJETS gestion AUX PARTIES PRENANTES
ASSURER UN CONTROLE DU PROJET
DEFINIR LE PERIMETRE DE GESTION DE PROJET ET DES CHANGEMENTS APPORTES
91
Livre CobiT.book Page 92 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
La mesure de lefficacit de ce processus passe principalement par le pour-
centage de projets respectant les dlais, les cots et la qualit.
La mesure de la mise en uvre de ce processus passe par le pourcentage
de projets respectant le rfrentiel de gestion de projet (mthode, proc-
dures, standards, etc.). Dautres indicateurs comme le nombre de projets
faisant lobjet de revue ou le taux de participation active des parties
prenantes peuvent tre suivis.
Rles et responsabilits
Le directeur des systmes dinformation
Son rle est de sassurer quun rfrentiel de gestion des projets et des
programmes est bien dfini et mis en uvre.
La direction mtier
Son rle est de sassurer quelle est bien associe la gestion des projets
et des programmes selon un cadre de gestion bien dfini.
92
Livre CobiT.book Page 93 Lundi, 1. dcembre 2008 2:48 14
En rsum
Le domaine PO dcrit les 10 processus stratgiques de la gouvernance des
systmes dinformation. Il sapplique aussi bien des DSI importantes
qu des DSI qui ont externalis la plupart de leurs projets ou de leurs
oprations.
On peut envisager de coupler CobiT dautres rfrentiels, mais ce
domaine PO restera incontournable.
93
Livre CobiT.book Page 94 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 95 Lundi, 1. dcembre 2008 2:48 14
Chapitre 5
Acqurir
et Implmenter
95
Livre CobiT.book Page 96 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Il sagit de traduire les besoins fonctionnels de lentreprise en solutions
informatiques efficaces et efficientes. Ceci passe par des tudes de faisabi-
lit, des business cases et un ventail de solutions permettant de dcider.
96
Livre CobiT.book Page 97 Lundi, 1. dcembre 2008 2:48 14
Cet exercice doit concilier les besoins et les exigences mtier actualiss,
leurs volutions futures mais galement lmergence de nouvelles techno-
logies.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI1 doit permettre de matriser les objectifs prsents dans le
tableau 5-1.
OBJ. 06 Dterminer comment traduire les exigences mtier de fonctionnement et de contrle en solutions
automatises efcaces et efcientes.
Description du processus
La figure 5-2 reprsente les flux internes du processus AI1.
AI1 Trouver des solutions informatiques
DEFINIR
DEFINIR LES EXIGENCES METIER
ET LES IMPERATIFS TECHNIQUES
97
Livre CobiT.book Page 98 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs prsents dans le tableau 5-1. Ces
mesures portent principalement sur la satisfaction des mtiers quant aux
solutions proposes, en particulier le rapport cots/bnfices, la perti-
nence des tudes ralises en amont par rapport aux rsultats aprs
dploiement (ROI en particulier), lcart entre les spcifications initiales et
les changements demands en cours de projet.
La mesure de la mise en uvre de ce processus passe principalement par
le suivi du nombre dtudes de faisabilit et danalyse de risques ralises.
Plus gnralement, on vrifiera dans quelle mesure le processus de dcision
global est respect.
Rles et responsabilits
Le responsable mtier et le propritaire du processus mtier
Au sein de ce processus, chaque mtier a la responsabilit de sassurer que
ses exigences mtier, les risques et la faisabilit ont bien t tudis, et
que les bnfices des solutions proposes ont bien t valus afin de
pouvoir approuver la meilleure solution.
98
Livre CobiT.book Page 99 Lundi, 1. dcembre 2008 2:48 14
99
Livre CobiT.book Page 100 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
100
Livre CobiT.book Page 101 Lundi, 1. dcembre 2008 2:48 14
Pourquoi ?
Les oublis ou les dfauts majeurs commis lors des tapes de conception
peuvent savrer prjudiciables et difficilement rattrapables durant les
dveloppements ou la phase de test, car ils entranent des retours en
arrire coteux. Ainsi, ces tapes sont essentielles pour garantir la qualit
des dveloppements futurs, en conformit avec les exigences mtier.
Le processus AI2 est une sorte de macroprocessus couvrant lensemble du
cycle de vie du dveloppement ou de lacquisition de logiciel. CobiT ne
rentre pas plus dans le dtail des mthodes de conception, de tests, de
gestion de projets, que dans la description des processus ncessaires
une bonne gestion du cycle de vie. En ce sens, ce processus mrite dtre
ensuite dtaill avec un rfrentiel plus spcialis et orient projet comme
PRINCE2, CMMI ou encore PMBOK.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI2 doit permettre de matriser les objectifs prsents dans le
tableau 5-2.
101
Livre CobiT.book Page 102 Lundi, 1. dcembre 2008 2:48 14
le dveloppement dapplication ;
la maintenance.
noter que ce processus est li au processus AI7 (voir section AI7 Ins-
taller et valider des solutions et des modifications de ce chapitre), qui
traite des tests et de la mise en production des applications ainsi que de
leurs volutions.
Description du processus
La figure 5-5 reprsente les flux internes du processus AI2.
DEFINIR
Spcifications
de conception TRADUIRE LES EXIGENCES METIER
gnrales EN SPECIFICATIONS DE CONCEPTION GENERALES
Spcifications
de conception DETAILLER LES SPECIFICATIONS ET LES BESOINS TECHNIQUES
AI2 Acqurir des applications
et en assurer la maintenance
dtailles
Spcifications DEFINIR LES SPECIFICATIONS DES CONTROLES DE SECURITE
COMMUNIQUER des contrles DES APPLICATIONS (sauvegarde, contrle daccs, etc.) CONTROLER
de scurit
APPLIQUER LES CONTROLES
DEFINIR LE PROCESSUS DE DEVELOPPEMENT DE SECURITE DES APPLICATIONS
FAIRE APPROUVER DES APPLICATIONS
LES SPECIFICATIONS
VERIFIER LA CONFORMITE DES
DEFINIR UN PLAN DASSURANCE QUALITE DES LOGICIELS
APPLICATIONS AUX SPECIFICATIONS
(processus de test, de vrification et de validation, etc.)
DE CONCEPTION, AUX STANDARDS DE
DEVELOPPEMENT ET AUX EXIGENCES
VALIDER CHAQUE DE QUALITE
ETAPE CLE DU
DEVELOPPEMENT METTRE EN UVRE REEVALUER LA CONCEPTION
ADAPTER ET IMPLEMENTER EN CAS DE MODIFICATIONS MAJEURES
LES APPLICATIONS ACQUISES
102
Livre CobiT.book Page 103 Lundi, 1. dcembre 2008 2:48 14
mettre laccent sur les priorits afin de livrer au final une application qui
satisfait aux conditions de rentabilit.
Paralllement, le plan dassurance qualit des logiciels ayant pour
objet de spcifier les critres de qualit et les processus de validation et
de vrification, dont les tests est aussi un document incontournable.
Ce plan fournit galement un cadre de travail pour le processus AI7
sintressant toutes les phases de tests, de recette, dinstallation et de
mise en production.
Dans ltape qui suit la phase de conception, la russite des dveloppe-
ments tient au respect des exigences formalises dans les documents de
conception, au respect du plan dassurance qualit, lintgration du sys-
tme en conformit larchitecture existante, la configuration standard
et la pertinence des tests.
Un mcanisme de contrle doit tre mis en place pour sassurer que les
rsultats des dveloppements rpondent aux exigences mtier et que la
confidentialit des donnes, lintgrit, la scurit et la disponibilit du
systme sont compatibles avec les processus mtier.
Ce processus concerne galement llaboration dun plan de maintenance
des applications, qui doit obir aux procdures de gestion du changement
en vigueur dans le cadre des volutions et aux procdures de gestion des
incidents en cas de dysfonctionnement.
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi du nombre de projets respectant les cots, la qualit,
les fonctions et les dlais. Ces mesures portent principalement sur la satis-
faction des utilisateurs quant aux fonctionnalits proposes, en particulier
sur les bnfices apports dans le mtier.
La mesure de la mise en uvre de ce processus passe principalement par
le suivi du plan dassurance qualit de chaque projet applicatif.
Rles et responsabilits
Lofce des projets (PMO)
Il sassure du bon droulement du projet en laborant le plan dassurance
qualit, conformment aux exigences auxquelles sont soumis les projets
applicatifs et en vrifiant que ses dispositions sont bien en uvre.
Le responsable dveloppements
Il est en charge de la ralisation des diffrentes tapes du projet applicatif.
Il sassure galement de la bonne collaboration des mtiers lorsque des
activits requirent leur validation.
103
Livre CobiT.book Page 104 Lundi, 1. dcembre 2008 2:48 14
Dictionnair e de donnes
Schmas de classification des
Spcification des contr les de
donnes
Plan optimis des systmes mtier scur it des applications
Mises niveau rgulires de ltat Connaissance des applications
de lar t de la technologie et des progiciels
Comptes r endus cots/bnfices Dcisions dacquisition
Contrats de services
Standar ds dacquisition et de
dveloppement initialement pr vus
Guides de gestion des pr ojets Spcifications de disponibilit,
Plans de projets dtaills continuit et r eprise
Etude de faisabilit des exigences
des mtier s
Description du processus de
changement
104
Livre CobiT.book Page 105 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus AI3 rsulte principalement de la matrise des activits visant
acqurir et entretenir linfrastructure en ligne avec les stratgies et les
choix technologiques (gestion des ressources matrielles) qui rpondent
principalement au critre defficience du systme dinformation.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Compte tenu des implications budgtaires qui peuvent tre importantes et
en conformit avec le plan dinfrastructure technologique, le plan dacquisi-
tion dune infrastructure technique doit obligatoirement tre mis en place. Il
doit tre en phase avec le plan stratgique informatique, larchitecture de
linformation, les orientations technologiques et la stratgie dachat.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le pro-
cessus AI3 doit permettre de matriser les objectifs prsents dans le
tableau 5-3.
105
Livre CobiT.book Page 106 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 5-8 reprsente les flux internes du processus AI3.
DEFINIR
DEFINIR UN PLAN DACQUISITION DES TECHNOLOGIES
AI3 Acqurir une infrastructure technique
106
Livre CobiT.book Page 107 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi de la capacit grer lobsolescence des infrastruc-
tures. Ceci passe par la mesure du respect des standards technologiques et
des procdures dacquisition.
Rles et responsabilits
Le directeur des systmes dinformation
Il est le garant des choix stratgiques concernant les infrastructures. Il en
dlgue la responsabilit oprationnelle au responsable exploitation.
Le responsable exploitation
Il est en charge de la bonne ralisation des diffrentes tapes dacquisition
des infrastructures dans le respect des procdures et des processus
dacquisition de lentreprise. Il sassure de la collaboration des responsables
architecture et administratif.
107
Livre CobiT.book Page 108 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
108
Livre CobiT.book Page 109 Lundi, 1. dcembre 2008 2:48 14
Pourquoi ?
En principe, toute livraison dinfrastructure ou de systme doit tre
accompagne dune formation, dun guide dexploitation ou dun mode
opratoire. Il arrive que cette documentation ne soit pas suffisamment
complte, quelle soit obsolte ou gare ou que de nouveaux utili-
sateurs travaillent sur une application sans formation pralable. Dans
tous les cas, il faut mettre en uvre les solutions qui garantissent
la meilleure appropriation possible pour toute solution informatique.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI4 doit permettre de matriser les objectifs prsents dans le
tableau 5-4.
109
Livre CobiT.book Page 110 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 5-11 reprsente les flux internes du processus AI4.
AI4 Faciliter le fonctionnement et lutilisation
DEFINIR
DEFINIR UNE STRATEGIE POUR RENDRE
LA SOLUTION EXPLOITABLE
AMELIORER
AMELIORER LA DOCUMENTATION
PLANIFIER LA PRODUCTION DE LA DOCUMENTATION
SI NECESSAIRE
VERIFIER LA DISPONIBILITE,
COMMUNIQUER AU Manuels LEXHAUSTIVITE ET LEXACTITUDE
PERSONNEL DU dexploitation, METTRE EN UVRE DE LA DOCUMENTATION
SUPPORT ET dassistance
DEVELOPPER LA DOCUMENTATION
AU PERSONNEL technique et
DE TRANSFERT DES CONNAISSANCES
DEXPLOITATION dadministra-
tion
PRODUIRE LES SUPPORTS
ET DISPENSER LA FORMATION
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi des incidents causs par une mauvaise connaissance
110
Livre CobiT.book Page 111 Lundi, 1. dcembre 2008 2:48 14
Rles et responsabilits
Le propritaire du processus mtier
Il est responsable de la bonne ralisation de ce processus. ce titre, il en
est le pilote et est en charge de la diffusion des lments de transfert de
connaissance aux utilisateurs.
AI4 : Faciliter le
fonctionnement et
lutilisation
111
Livre CobiT.book Page 112 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
112
Livre CobiT.book Page 113 Lundi, 1. dcembre 2008 2:48 14
Pourquoi ?
Une gestion efficace des achats permet la fois de faire des conomies,
de rduire les risques lis aux tiers et de se conformer aux dispositions
lgales. Le processus dacquisition de ressources informatiques prcise
les tapes de contrle et de validation en relation avec le service achats :
la stratgie achat SI, la dcision finale dans le choix du fournisseur, la
ngociation des modalits dacquisition avec le fournisseur, la partie
gestion des contrats fournisseurs vue sous langle achat et la relation
fournisseur.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI5 doit permettre de matriser les objectifs prsents dans le
tableau 5-5.
113
Livre CobiT.book Page 114 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 5-14 reprsente les flux internes du processus AI5.
AI5 Acqurir des ressources informatiques
DEFINIR
DEFINIR DES PROCEDURES ET DES STANDARDS DACQUISITION
CONTROLER
Exigences de
gestion des SASSURER QUE LES INTERETS DE LENTREPRISE SONT
relations avec PROTEGES DANS LES ACCORDS CONTRACTUELS
les tiers
METTRE EN UVRE
ETABLIR UNE LISTE DE FOURNISSEURS ACCREDITES
114
Livre CobiT.book Page 115 Lundi, 1. dcembre 2008 2:48 14
Rles et responsabilits
Le directeur des systmes dinformation
Il est responsable de la bonne ralisation de ce processus et, ce titre, il
en est le pilote. Ds que la DSI devient importante, on nomme un corres-
pondant achats de linformatique qui centralise la relation avec le service
achats.
115
Livre CobiT.book Page 116 Lundi, 1. dcembre 2008 2:48 14
116
Livre CobiT.book Page 117 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus AI6 rsulte principalement du besoin de matrise de tous
les composants en production du systme dinformation (gestion des
ressources) pour ragir aux volutions des besoins des mtiers (apport
de valeur) qui rpondent principalement aux critres defficacit, deffi-
cience, de disponibilit et dintgrit du systme dinformation.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La gestion des changements est un processus crucial pour limiter
les risques dinstabilit de lenvironnement de production. Ce pro-
cessus contribue une responsabilisation accrue de lutilisateur qui
doit canaliser ses demandes et une meilleure organisation au sein de
linformatique qui doit les traiter. Il pose aussi des principes de trans-
parence dans les relations entre les parties prenantes mtier et infor-
matiques.
Comme beaucoup de processus en liaison avec lexploitation, le processus
AI6 est frquemment partag avec des tiers (infogrants, exploitants), ce
qui accrot encore la ncessit de le rendre efficace et transparent.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
117
Livre CobiT.book Page 118 Lundi, 1. dcembre 2008 2:48 14
OBJ. 06 Dterminer comment traduire les exigences mtier de fonctionnement et de contrle en solutions
automatises efcaces et efcientes.
OBJ. 22 Sassurer quun incident ou une modication dans la fourniture dun service informatique na
quun impact minimum sur lactivit.
Description du processus
La figure 5-17 reprsente les flux internes du processus AI6.
DEFINIR
DEFINIR LES PROCEDURES DE GESTION DES CHANGEMENTS
(y compris les modifications et les correctifs durgence)
AI6 Grer les changements
AMELIORER
METTRE A JOUR LES SYSTEMES,
LA DOCUMENTATION UTILISATEUR
ET LES PROCEDURES
FAIRE CONNAITRE CLASSER LES DEMANDES DE CHANGEMENTS PAR PRIORITE SUIVRE LES CHANGEMENTS
LES MODIFICATIONS ET VERIFIER LEUR CLOTURE
APPORTEES
APPLIQUER LES CHANGEMENTS AUTORISES
A LINFRASTRUCTURE ET AUX APPLICATIONS
118
Livre CobiT.book Page 119 Lundi, 1. dcembre 2008 2:48 14
Plutt que davoir une position rigide sur la planification des change-
ments, il est conseill de mettre en place galement un processus des
changements dans lurgence (patchs, correctifs) afin de traiter les actions
correctives urgentes.
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi du pourcentage de changements qui ont gnr des
incidents.
119
Livre CobiT.book Page 120 Lundi, 1. dcembre 2008 2:48 14
Rles et responsabilits
Le directeur des systmes dinformation
Il doit sassurer que ce processus est bien mis en place et que le reporting
des changements est oprationnel. Ce processus est un maillon cl dans
lamlioration du fonctionnement global de la DSI. Il sert en particulier
rguler et organiser les flux de nouveauts en production.
Le responsable exploitation
Il est en charge de la bonne ralisation de ce processus et, ce titre, il en
est le pilote. En collaboration avec les responsables dveloppements et
mtiers, il sassure que les changements sont bien matriss.
Le responsable dveloppements
Il participe toutes les tapes du traitement des changements relatifs aux
applications.
120
Livre CobiT.book Page 121 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
121
Livre CobiT.book Page 122 Lundi, 1. dcembre 2008 2:48 14
Pourquoi ?
La phase de test est une tape critique qui conditionne la russite des pro-
jets. Souvent mis sous la pression de lurgence, le responsable des tests
doit tre ferme pour viter de ngliger cette tape. Cest pourquoi, il est
fondamental de dfinir et de piloter ce processus, ce qui permettra de
suivre la qualit de la fin du cycle de vie du dveloppement des logiciels.
Ltape de mise en exploitation est dlicate et ncessite une documenta-
tion prcise et complte. Quel que soit le nom quon lui donne (plan
dimplmentation, dossier dexploitation ou guide dinstallation), il est
ncessaire de disposer dun document qui fournit une description des
procdures de dploiement, dinstallation, de gestion des incidents, du
stockage du logiciel, des modifications effectues entre deux versions et
des solutions de remplacement ou de retour en arrire.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus AI7 doit permettre de matriser les objectifs prsents dans le
tableau 5-7.
122
Livre CobiT.book Page 123 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 5-20 reprsente les flux internes du processus AI7.
Plan DEFINIR
dimplmen-
CONCEVOIR UN PLAN DIMPLEMENTATION
tation
les solutions et les modifications
Programme
DEFINIR UNE STRATEGIE DE TESTS
de tests DETERMINER LALIGNEMENT POUR LA GESTIONDE
DES RISQUES
COMMUNIQUER ET UNE METHODOLOGIE DE PROGRAMME TEST S
CONTROLER
AI7 Installer et valider
OBTENIR
LAPPROBATION FAIRE VERIFIER LE FONCTIONNEMENT INITIAL DU
DES PARTIES NOUVEAU SYSTEME PAR SES PROPRIETAIRES
CONCERNEES
Rsultats
CONDUIRE DES TESTS DE MODIFICATIONS
des tests
ET DES TESTS DE RECETTE DEFINITIVE
123
Livre CobiT.book Page 124 Lundi, 1. dcembre 2008 2:48 14
passage dune version dun logiciel une autre, ou dune application une
autre.
La migration des donnes fait lobjet dun processus part entire au sein
du processus AI7.
Aprs les tests de modifications et de recette dfinitive, le transfert en pro-
duction doit tre ralis selon un calendrier bien tabli.
Le passage du systme de lenvironnement de dveloppement et de tests
celui de la production exige de grandes prcautions. Il demande lautorisa-
tion du propritaire du systme qui a lassurance que le nouveau sera mis
en production aprs dsactivation de lancien.
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent le suivi du pourcentage dincidents qui ont suivi la validation
des solutions installes ainsi que la satisfaction des mtiers. On satta-
chera aussi identifier les causes des carts (jeu de test inadquat, chan-
gement de spcification, donnes inexactes).
La mesure de la mise en uvre de ce processus passe principalement par
le suivi de ralisation des activits de ce celui-ci, conformment au plan
dassurance qualit de la solution ( travers les audits et les inspections
mens).
Rles et responsabilits
Le propritaire du processus mtier
Il est responsable de la dcision de mise en production ; il est le client de ce
processus. En gnral, les projets informatiques sont plutt en retard et les
mtiers poussent ce que la mise en production intervienne au plus vite. Le
responsable du processus doit donc prendre le risque de mettre en service
une solution insuffisamment teste ou incomplte fonctionnellement.
Le responsable exploitation
Il doit fournir lenvironnement de tests appropri et raliser les tests
techniques. Il travaille en collaboration avec le responsable dveloppements
et le propritaire processus mtier.
124
Livre CobiT.book Page 125 Lundi, 1. dcembre 2008 2:48 14
Le responsable dveloppements
Il est en charge de la spcification des tests et de leur ralisation, en parti-
culier en ce qui concerne les tests applicatifs.
Standards technologiques
Documentation sur les propritaires
des processus
Elments de configuration mis
Standards de dveloppement
disposition
Guides de gestion des projets
Erreurs connues et acceptes
Plans de projets dtaills
Systme configur tester / Mises en production
Plan de publication et de diffusion de
installer
logiciel
Manuel utilisateur, dexploitation,
Revue post-dmarrage
dassistance, technique et
dadministration
Articles achets
Autorisation de changement
En rsum
Le domaine AI couvre lensemble des projets, applicatifs ou infrastruc-
tures, lensemble des correctifs et, en bref, tout changement intervenant
sur le primtre des systmes dinformation. Il sapparente au chapitre
Service Transition du rfrentiel ITIL V3.
Certains trouveront que le pilotage des projets proprement parler ny figure
pas. Il est vrai que le processus AI2, qui couvre la fois le dveloppement et
la maintenance dapplications, mrite dtre dtaill. Cest ce niveau quil
faut coupler les mthodes de gestion de projet qui existent par ailleurs.
En revanche, ce domaine a le mrite de dcrire des processus qui sont trop
souvent ignors, tel le processus AI4 (faciliter le fonctionnement et lutili-
sation), ou ngligs, tels que les processus AI1 (dcision de faire ou non)
et AI6/7 (gestion des changements, tests et mise en production).
125
Livre CobiT.book Page 126 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 127 Lundi, 1. dcembre 2008 2:48 14
Chapitre 6
Dlivrer
et Supporter
127
Livre CobiT.book Page 128 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
128
Livre CobiT.book Page 129 Lundi, 1. dcembre 2008 2:48 14
Pourquoi ?
Les DSI se demandent parfois quel est lintrt de mettre en place une ges-
tion de niveaux de services alors mme que les clients, utilisateurs et res-
ponsables mtier, sen dsintressent. Ce dsintrt apparent masque
souvent une exigence absolue qui leur vite une discussion perue comme
un compromis ce qui semble leur tre d.
La ngociation, puis la gestion des niveaux de services, signe donc une
sorte de maturit de la relation entre mtiers et DSI. La communication
qui en rsulte sera la base dune meilleure comprhension mutuelle, que
ce soit des enjeux mtier ou des contraintes pesant sur le SI.
Enfin, cette rgulation des services de la DSI par la demande est lune des
conditions dune bonne gouvernance, que ce soit en termes de qualit, de
cots ou de ressources.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS1 doit permettre de matriser les objectifs prsents dans le
tableau 6-1.
129
Livre CobiT.book Page 130 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 6-2 reprsente les flux internes du processus DS1.
DEFINIR
DS1 Dfinir et grer les niveaux de services
COMMUNIQUER
ETABLIR UN METTRE EN UVRE
Portefeuille
ACCORD COMMUN
des services ELABORER UN CATALOGUE/PORTEFEUILLE
SUR LE NIVEAU
DE SERVICE
informatiques DES SERVICES INFORMATIQUES AMELIORER
EXIGE
CRER UN PLAN DAMELIORATION
FORMALISER LES CNS DES SERVICES INFORMATIQUES
(disponibilit, fiabilit, niveau dassistance, etc.)
RENDRE COMPTE
AUX PARTIES
PRENANTES DES FORMALISER LES CNO QUI SOUTIENNENT LES CNS
NIVEAUX DE
SERVICES
ATTEINTS
CONTROLER
SURVEILLER EN PERMANENCE LA PERFORMANCE
DES NIVEAUX DE SERVICES
130
Livre CobiT.book Page 131 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mesures les plus couramment utilises viennent du pilotage des cen- 1. Les indicateurs
tres dassistance (pourcentage de rsolution dans un dlai donn), des (KPI : key perfor-
mesures de fiabilit des composants (nombre de coupure des tlcommu- mance indicators)
nications par jour) ou des statistiques prleves sur les mainframes (temps mesurent les perfor-
de rponse). La principale difficult consiste passer de ces KPI1 techni- mances au niveau
technique et contri-
ques attaches un aspect du service offert un KGI ayant un sens pour le
buent la ralisation
mtier. Cette chane dengagements permet au client final de se concentrer dobjectifs au niveau
sur des objectifs mtier (KGI) et la DSI de les dcliner en objectifs techni- des mtiers, eux-
ques (KPI). mmes mesurs par
des KGI (key goal
Rles et responsabilits indicators).
Le directeur des systmes dinformation
Le DSI a un rle majeur dans linstauration dune communication claire
avec les mtiers, base sur la comprhension mutuelle, lexplication, la
mesure, ainsi que sur la dynamique densemble qui tire les uns et les
autres vers un comportement positif. Sans participation du DSI, il nexiste
pas de cadre de niveaux de services partag. Le DSI doit tre linterlocuteur
des directions mtiers comme les responsables des centres de services
sont les interlocuteurs des utilisateurs.
131
Livre CobiT.book Page 132 Lundi, 1. dcembre 2008 2:48 14
132
Livre CobiT.book Page 133 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
En termes de gouvernance, les services tiers renvoient deux proccupa-
tions, savoir lapport de valeur et la gestion des risques dans un souci
defficacit et defficience.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La gestion des tiers rpond la fois au souci de piloter correctement les
engagements contractuels et celui de se poser les bonnes questions
sur le moyen terme. En travaillant troitement avec la fonction achats,
il sagit de maintenir une veille du march afin doptimiser le couple
apport de valeur/risque, en fonction du segment considr. Il est clair,
par exemple, que la maintenance applicative dun ERP nest pas
mettre au mme niveau que la maintenance des PC sur le plan des
risques.
On observe couramment en la matire un manque danticipation qui rvle
la mauvaise implmentation de ce processus.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le pro-
cessus DS2 doit permettre de matriser les objectifs prsents dans le
tableau 6-2.
133
Livre CobiT.book Page 134 Lundi, 1. dcembre 2008 2:48 14
OBJ. 03 Sassurer de la satisfaction des utilisateurs naux lgard des offres et des niveaux de services.
OBJ. 10 Sassurer de la satisfaction rciproque dans les relations avec les tiers.
OBJ. 12 Sassurer de la transparence et de la bonne comprhension des cots, bnces, stratgie, poli-
tiques et niveaux de services des SI.
Description du processus
La figure 6-5 reprsente les flux internes du processus DS2.
IDENTIFIER
IDENTIFIER ET CATEGORISER LES SERVICES TIERS
(type, importance et niveau critique)
DS2 Grer les services tiers
CONTROLER
SASSURER QUE LES FOURNISSEURS SE CONFORMENT
Catalogue AUX STANDARDS DE LA PROFESSION
fournisseurs
SURVEILLER LA FOURNITURE DES SERVICES ET LE
RESPECT DES CLAUSES CONTRACTUELLES
134
Livre CobiT.book Page 135 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
La mesure et les contrles des services tiers sont clairement aligns avec
les dispositions contractuelles. Le tableau de bord de mesure des services
fournis par les tiers doit donc tre soigneusement prpar au stade du
cahier des charges pour viter davoir dployer un effort supplmentaire
pour dfinir, alimenter et ngocier les tableaux de bord de suivi du service.
Il est souhaitable que la partie prenante propose avec le service les outils
de mesure avec une possibilit daudit.
Rles et responsabilits
Les achats
Les achats informatiques de lentreprise jouent un rle dterminant dans
la russite de ce processus ds lors quils fonctionnent troitement avec
les services internes la DSI.
135
Livre CobiT.book Page 136 Lundi, 1. dcembre 2008 2:48 14
PC, etc.) quil faudra fdrer pour avoir une politique DSI homogne vis--
vis des tiers.
Trs frquemment, ce processus est confi aux oprationnels qui sont trop pro-
ches des tiers dans le quotidien pour rellement mener ce processus bien.
Le responsable des relations avec les utilisateurs doit tre fortement
impliqu dans la ngociation des services tiers.
Vue densemble
La gestion des ressources, en particulier dans les grands comptes, renvoie
des cycles qui ncessitent de bien anticiper partir de ltat de ses res-
sources propres et de lvolution des demandes. Le processus DS3 est donc
un processus amont critique pour les processus stratgiques que sont PO2
(architecture), PO3 (orientation technologique) et PO5 (investissements).
136
Livre CobiT.book Page 137 Lundi, 1. dcembre 2008 2:48 14
RESSOURCES
GOU VERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
INFRASTRUCTURES
GESTION DES DISPONIBILITE
RESSOURCES
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le pilotage des activits de la DSI est bas sur la recherche du meilleur
compromis entre les performances exiges et les capacits informatiques.
Cette proccupation sinscrit aussi bien dans le trs court terme (quelle
attitude observer face des imprvus ?) que dans le moyen terme o il
sagit de planifier au mieux les volutions dans le souci constant
dapporter la meilleure rponse (qualit et prix) aux exigences mtier.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS3 doit permettre de matriser les objectifs prsents dans le
tableau 6-3.
137
Livre CobiT.book Page 138 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 6-8 reprsente les flux internes du processus DS3.
138
Livre CobiT.book Page 139 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Le processus DS3 est une source dalimentation importante du processus
de contrle SE1 (voir chapitre 7, section SE1 Surveiller et valuer la
performance des SI ). Il maintient une vision des paramtres cls du pilo-
tage des ressources : temps de rponse, charges des quipements, indis-
ponibilit, pannes, carts par rapport aux prvisions des mtiers, carts
par rapport aux plans dvolution des infrastructures, etc.
Ce processus ncessite la mise en place et lalimentation dune base de
donnes de lensemble des lments concourant la mesure de la per-
formance et de la disponibilit. Dans le rfrentiel ITIL, on parle de la
CMDB (Configuration Management Database) pour regrouper toutes les
informations sur les composants et les ressources et alimenter une vue
qui part du composant lmentaire (bottom-up) pour apprcier la dispo-
nibilit.
Au-del du simple reporting, le processus DS3 demande de modliser luti-
lisation des ressources et dtre force de proposition pour rpondre aux
questions poses lors du processus PO2 sur lvolution de larchitecture
du systme dinformation.
Rles et responsabilits
Le processus DS3 doit la fois sappuyer sur des ressources permanentes
(reporting) et mobiliser des instances au plus haut niveau de la DSI (mod-
lisation, prvisions, plans durgence).
Le responsable exploitation
Il doit sassurer en permanence que les performances et les capacits infor-
matiques, actuelles et futures, permettent de respecter les engagements pris.
139
Livre CobiT.book Page 140 Lundi, 1. dcembre 2008 2:48 14
DS3 : Grer la
performance et la
capacit
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
140
Livre CobiT.book Page 141 Lundi, 1. dcembre 2008 2:48 14
Pourquoi ?
Assurer un service continu signifie offrir le meilleur compromis en fonction
de la dgradation du systme dinformation travers lapplication dun
plan de continuit appropri et prouv. Cette rponse gradue la
dfaillance du systme ne peut pas tre improvise dans lurgence.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS4 doit permettre de matriser les objectifs prsents dans le
tableau 6-4.
Parmi les processus DS, quatre processus relvent surtout de la gestion des ris-
ques : DS4, DS5 (scurit), DS11 (donnes) et DS12 (environnement physique).
Le plan de continuit constitue la dernire rponse lorsque les trois autres
processus (donnes, environnement, scurit) se sont rvls dfaillants.
Lensemble des services informatiques est concern par le processus DS4.
Il sagit non seulement de prvoir les situations entranant un problme
majeur pour les mtiers, mais aussi denvisager pour chacune dentre elles
un vritable systme dinformation provisoire en attendant le retour la
normale. Les mtiers sont concerns parce que la convention de service va
141
Livre CobiT.book Page 142 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 6-11 reprsente les flux internes du processus DS4.
DEFINIR
FAIRE
COMPRENDRE AU METTRE EN UVRE
METIER LES
DEVELOPPER DES PLANS DE CONTINUITE DES SI
DELAIS ET LES CONTROLER
COUTS DE
RESTAURATION DEVELOPPER DES PROCEDURES
FORMER LES PARTIES CONCERNEES A LA CONTINUITE DES SI
DE CONTROLE DES CHANGEMENTS
142
Livre CobiT.book Page 143 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Un certain nombre de contrles sont prvus sur lexistence de plans de
continuit, leur mise jour, leur test, les engagements des services tiers
(salles blanches, etc.). Tous ces contrles sont ncessaires mais seul lexer-
cice grandeur nature est probant.
Une seconde catgorie de contrles porte sur les hypothses qui ont pr-
sid la conception du plan de continuit, le faisceau de risques envisags
en hypothse la construction de ce plan.
Rles et responsabilits
Le responsable exploitation
Il est en charge, en concertation avec les autres responsables de la DSI
(responsable dveloppements, responsable administratif des SI, respon-
sable de loffice des projets), de prparer et maintenir un plan de conti-
nuit de services adapt aux besoins des mtiers.
DS4 : Assurer un
service continu
143
Livre CobiT.book Page 144 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
La contribution la gestion des risques (processus PO9, voir chapitre 4,
section PO9 valuer et grer les risques ) est lobjectif essentiel de ce
processus qui sintresse lensemble des ressources informatiques (appli-
cations, informations, infrastructures et personnes).
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Pour assurer la scurit des systmes dinformation, il faut maintenir
les ressources associes de faon rduire les vulnrabilits impactant
144
Livre CobiT.book Page 145 Lundi, 1. dcembre 2008 2:48 14
les mtiers. Cela passe par un processus ddi qui donne une vision de
lensemble des ressources informatiques au regard des exigences de scu-
rit.
Objectifs et primtre
Le processus DS5 couvre peu prs le spectre de la norme ISO/IEC 27002
(anciennement ISO/IEC 17799). Vis--vis des 28 objectifs globaux assigns
au systme dinformation (voir annexe 2, Objectifs du systme dinforma-
tion et processus CobiT ), le processus DS5 doit permettre de matriser
les objectifs prsents par le tableau 6-5.
145
Livre CobiT.book Page 146 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 6-14 reprsente les flux internes du processus DS5.
DEFINIR
DEFINIR UN PLAN DE SECURITE INFORMATIQUE GENERAL
DS5 Assurer la scurit des systmes
146
Livre CobiT.book Page 147 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
La mise en place dun tableau de bord de la scurit sappuie sur la clas-
sification des incidents de scurit qui sont rpertoris et classs en
niveaux de risques. Ceci permet davoir une communication claire avec
les mtiers.
Le tableau de bord sera aliment pour partie par les outils de contrle
interne automatiss (applications, espions, etc.), par les exploitants et par
les incidents remonts en DS8 par le centre de services.
Enfin, on tracera galement les tests du plan de scurit, le processus
damlioration de ce plan, vis--vis des objectifs un an et trois ans.
147
Livre CobiT.book Page 148 Lundi, 1. dcembre 2008 2:48 14
Rles et responsabilits
Le directeur des systmes dinformation
Le DSI est clairement en charge de ce processus dont il dlgue la res-
ponsabilit, en particulier aux responsables de son quipe (exploitation
architecture, dveloppements), au contrle interne de la DSI et aux respon-
sables des domaines applicatifs.
DS5 : Assurer la
scurit des systmes
148
Livre CobiT.book Page 149 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Ce processus concerne en priorit la gestion des ressources parce quil ny
a pas de gestion des ressources efficiente sans une identification claire des
cots. Cette gestion sapplique lensemble des ressources informatiques.
Aprs identification claire et prcise des cots (fiabilit de linformation)
sur les ressources informatiques, le processus sintresse lapport de
valeur pour les mtiers et la mesure de la performance. Cela aboutit
dune part limputation des cots pour les mtiers et dautre part, la
mesure de lefficience de lutilisation des ressources.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Lexprience montre que le processus didentification des cots est com-
plexe. La DSI est un service de support qui, en gnral, na pas sa compta-
bilit propre. Il faut donc reconstituer une comptabilit analytique. titre
dexemple, calculer les cots sur un projet conduit additionner des
dpenses internes (salaires, charges, locaux, etc.) et des dpenses externes
(sous-traitants, centres de services), ce qui amne retraiter des lments
disparates.
Le second cueil vient du niveau de granularit viser pour tre pertinent.
Jusquo aller dans les consommables ? Comment grer les achats imputables
aux SI raliss par les mtiers ?
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
149
Livre CobiT.book Page 150 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 6-17 reprsente les flux internes du processus DS6.
DS6 Identifier et imputer les cots
DEFINIR
COMMUNIQUER
FOURNIR UNE DEFINITION EQUITABLE DES COUTS AMELIORER
IMPLIQUER LES METIERS CORRESPONDANTS AUX SERVICES INFORMATIQUES
AMELIORER LA RENTABILITE GRACE A UNE
DANS LA DEFINITION DU UTILISATION DOCUMENTEE ET COMPRISE
MODELE DES COUTS Modle DES SERVICES INFORMATIQUES
DEFINIR UN MODELE DE COUTS
de cots (cots directs et indirects, frais gnraux, etc.)
FAIRE COMPRENDRE
AUX METIERS LES DEFINIR DES PROCEDURES DE FACTURATION
NIVEAUX DE DES SERVICES INFORMATIQUES
FACTURATION DES CONTROLER
SERVICES
REALISER DES REVUES ET DES TESTS
COMPARATIFS DU MODELE DE COUTS ET DE
RENDRE COMPTE EN METTRE EN UVRE REFACTURATION
TOUTE TRANSPARENCE
ETABLIR UNE CORRESPONDANCE ENTRE LES SERVICES
AUX UTILISATEURS DES
INFORMATIQUES ET LES PROCESSUS METIER ANALYSER ET RENDRE COMPTE DES ECARTS
SERVICES
ENTRE LES PREVISIONS ET LES COUTS REELS
CALCULER ET AFFECTER LES COUTS REELS
DES SERVICES INFORMATIQUES
150
Livre CobiT.book Page 151 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
La capacit identifier lensemble des cots dans les systmes de gestion
de lentreprise est une premire mesure qui suppose une forme de plan de
compte analytique.
La mise au point dun contrle de gestion de linformatique permettant
disoler des units duvre associer des quantits consommes est un
rsultat probant.
Limputation aux mtiers des dpenses informatiques les concernant nest
possible que si les deux premires tapes sont finalises.
151
Livre CobiT.book Page 152 Lundi, 1. dcembre 2008 2:48 14
De faon gnrale, le suivi des cots, mme partiel, est un indicateur qui
peut servir se comparer (benchmark) vis--vis de standards du march
(par exemple, le cot de possession des PC) ou entre des situations sem-
blables en interne (comparaison entre filiales).
Lune des rgles de base consiste viter de trop brouiller les repres
dune anne lautre de manire pouvoir isoler des tendances sur quel-
ques annes.
Rles et responsabilits
Le responsable administratif des SI
Il est charg de mettre en place et de suivre le systme de gestion.
Les grandes DSI se dotent dun contrle de gestion interne pour piloter ce
processus qui ne peut pas tre compltement confi la direction admi-
nistrative et financire.
La direction nancire
Elle joue un rle majeur dans laide la DSI pour construire le systme de
gestion et lalimenter. Cest avec son support que la DSI mettra en uvre
son systme de gestion.
DS6 : Identifier et
imputer les cots
152
Livre CobiT.book Page 153 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Lune des conditions de lefficacit et de lefficience du SI rside dans
la capacit des utilisateurs en tirer le maximum de bnfices pour les
mtiers.
Autrement dit, la fonction de transformation qui mne lapport de valeur
pour les mtiers passe pour une bonne partie par la formation des utilisa-
teurs. Il en est de mme pour la gestion des risques, lalignement strat-
gique et la gestion des ressources.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le processus DS7 formalise clairement une exigence daccompagnement
des SI par la monte en comptence des utilisateurs pour en tirer bn-
fice.
153
Livre CobiT.book Page 154 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS7 doit permettre de matriser les objectifs prsents dans le
tableau 6-7.
OBJ. 03 Sassurer de la satisfaction des utilisateurs naux lgard des offres et des niveaux de services.
OBJ. 13 Sassurer dune bonne utilisation et des bonnes performances des applications et des solutions
informatiques.
On voit que les objectifs de la formation portent sur ladquation entre le sys-
tme dinformation et les besoins des utilisateurs. En clair, il sagit de runir
les meilleures conditions pour que les mtiers disposent dun systme dinfor-
mation performant, que ce soit sur le plan des niveaux de services dfinis, de
ladquation des applications aux besoins ou des performances de linfras-
tructure, le tout en relation avec les comptences des utilisateurs.
Il concerne lensemble des programmes de formation ncessaires aux utili-
sateurs pour bien tirer profit du systme dinformation.
Description du processus
La figure 6-20 reprsente les flux internes du processus DS7.
DS7 Instruire et former les utilisateurs
DEFINIR AMELIORER
IDENTIFIER ET DEFINIR LES BESOINS EN SAVOIR METTRE A JOUR
ET EN FORMATION DES UTILISATEURS LE PROGRAMME DE FORMATION
SELON LES RESULTATS DES EVALUATIONS
154
Livre CobiT.book Page 155 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Lun des contrles consiste vrifier la pertinence des programmes de
formation et leur dploiement effectif auprs des utilisateurs.
Il faut aussi prendre en compte les statistiques dappels du centre de ser-
vices pour identifier parmi les causes les plus frquentes celles qui peu-
vent tre rduites laide de complments de formation. Le centre
dappels initie ainsi une sorte de boucle damlioration pour le SI, travers
la formation ou, si cest justifi, par des changements.
Rles et responsabilits
Le directeur des systmes dinformation
Le DSI est le pilote de ce processus et sappuie sur son quipe pour dter-
miner les besoins en savoir et formation, et pour concevoir les formations
ncessaires (en tant quexpert technique).
155
Livre CobiT.book Page 156 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
En premire approche, le processus doit rpondre aux attentes du client et
concrtiser un apport de valeur concret du systme dinformation en satis-
faisant les exigences defficacit et defficience. Simultanment, le service
dassistance est porteur de mesures de performance.
Le processus DS8 porte sur les applications et les personnes. Cette vision
semble privilgier lassistance aux utilisateurs dapplications sans inclure
les infrastructures ou les donnes.
156
Livre CobiT.book Page 157 Lundi, 1. dcembre 2008 2:48 14
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Figure 6-22 : Grer le service dassistance aux clients et les incidents : DS8
Pourquoi ?
Il est indispensable dorganiser et de structurer lassistance aux utilisa-
teurs de faon saligner sur les bonnes pratiques en la matire : enregis-
trement des demandes, traabilit des affectations pour rsolution,
respect des engagements de services, gestion dune base des problmes et
des solutions ( transformer en FAQ). Cela doit conduire amliorer leffi-
cacit et lefficience du centre de services, son cot ainsi que le service
rendu et la satisfaction des utilisateurs.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS8 doit permettre de matriser les objectifs prsents dans le
tableau 6-8.
157
Livre CobiT.book Page 158 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 6-23 reprsente les flux internes du processus DS8.
DEFINIR
DS8 Grer le service dassistance client
158
Livre CobiT.book Page 159 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Le centre dassistance est une vritable mine de renseignements sur le
fonctionnement de linformatique selon ses clients, la satisfaction des uti-
lisateurs, les incidents rptitifs ayant une causalit commune (les pro-
blmes), les lments de capacit, de disponibilit et enfin, latteinte des
objectifs en termes de niveau de service contract.
Parmi les contrles, on sattache en particulier vrifier la bonne prise en
compte des demandes clients (enregistrement, qualification, affectation,
communication vers le client), lexistence de procdures descalade (pour
les incidents non rsolus dans les dlais), le mcanisme de clture dincidents
et enfin, le tableau de bord et les analyses de tendances.
Rles et responsabilits
Le service client
Le centre dassistance aux clients est en gnral constitu comme un ple
part entire sous la responsabilit des services (oprateur, exploitant ou
autre).
Ce service nest pas rattach aux tudes ou aux projets mais il devra peser
sur les choix faire en matire de maintenance applicative, par exemple,
de faon rpondre aux besoins dtects auprs des utilisateurs au travers
lassistance.
159
Livre CobiT.book Page 160 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
La gestion de la configuration permet en tout premier lieu de conjuguer
apport de valeur et gestion des ressources dans un souci defficacit.
160
Livre CobiT.book Page 161 Lundi, 1. dcembre 2008 2:48 14
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La gestion de la configuration suppose tout dabord de tracer tous les chan-
gements pour tenir jour la base de donnes de lensemble des configura-
tions informatiques. partir de l, la gestion de la configuration consiste
optimiser, prvoir et anticiper ses volutions.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS9 doit permettre de matriser les objectifs prsents dans le
tableau 6-9.
161
Livre CobiT.book Page 162 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 6-26 reprsente les flux internes du processus DS9.
Rapport dinterventions
et de rgularisations
DS9 Grer la configuration
DEFINIR AMELIORER
DEFINIR DES PROCEDURES DE GESTION DES TRAITER LES ANOMALIES OU LES ECARTS
CONFIGURATIONS (identification, enregistrement, mise jour) PAR RAPPORT A LA SITUATION ACTUELLE
METTRE A JOUR
LE REFERENTIEL DE CONFIGURATION
METTRE EN UVRE
CENTRALISER DANS UN REFERENTIEL TOUTES LES CONTROLER
INFORMATIONS SUR LES ELEMENTS DE CONFIGURATION VERIFIER REGULIEREMENT LES
INFORMATIONS DE CONFIGURATION
(intgrit des donnes, licences logiciels, etc.)
ETABLIR LES CONFIGURATIONS DE BASE
Rfrentiel de
configuration
Mesures et contrles
Les indicateurs de bon fonctionnement du processus sont essentiellement
les carts entre la ralit et la configuration enregistre, avec leurs impacts
en termes de gestion des incidents, doptimisation de la configuration et
de gestion des risques.
Rles et responsabilits
Le gestionnaire de la conguration
Le rle de gestionnaire de la configuration sappuie sur les responsables
exploitation, architecture et dveloppements pour la mise jour du rf-
rentiel de configuration. Par ailleurs, il peut se faire aider dune instance de
dcision en matire de choix dvolutions.
162
Livre CobiT.book Page 163 Lundi, 1. dcembre 2008 2:48 14
DS9 : Grer la
configuration
Vue densemble
Lapport de valeur est la principale contribution de ce processus la gou-
vernance informatique, dans un souci defficience et defficacit.
Enfin, le processus DS10 alimente la fois la mesure de la performance et
la gestion des risques avec un focus sur la disponibilit des systmes pour
les mtiers.
163
Livre CobiT.book Page 164 Lundi, 1. dcembre 2008 2:48 14
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La gestion des incidents est focalise sur la satisfaction des utilisateurs
dans le cadre des niveaux de services contracts, alors que la gestion des
problmes sintresse lradication des problmes rcurrents. Ce pro-
cessus est donc la source de la dcision sur les changements oprer sur
le systme dinformation. Il agit comme une boucle damlioration du
systme.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS10 doit permettre de matriser les objectifs prsents dans le
tableau 6-10.
164
Livre CobiT.book Page 165 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 6-29 reprsente les flux internes du processus DS10.
DEFINIR
DEFINIR DES PROCEDURES DENREGISTREMENT ET DE
CLASSIFICATION DES PROBLEMES (impact, urgence, priorit)
CONTROLER
SURVEILLER EN PERMANENCE
LES CONSEQUENCES
METTRE EN UVRE SUR LES SERVICES INFORMATIQUES
DOTER LE RESPONSABLE DE LA GESTION DES PROBLEMES
COMMUNIQUER DUNE AUTORITE SUFFISANTE
EMETTRE DES
DEMANDES DE ENREGISTRER ET CLASSER LES PROBLEMES
MODIFICATIONS A LA SELON LES PROCEDURES DEFINIES
GESTION DES
CHANGEMENTS (AI6) REALISER DES ANALYSES CAUSALES
(problmes non rsolus ou erreurs connues)
Autorisation de
modifications SUIVRE ET CLOTURER LE PROBLEME
Mesures et contrles
Outre le contrle de lexistence du processus et de sa bonne gestion, on
mesure en gnral le nombre de problmes ouverts un moment donn
ainsi que leurs dlais de rsolution et de clture.
Rles et responsabilits
Le responsable de la gestion des problmes
Se trouvent impliqus la fois un responsable de la gestion des problmes
(ventuellement ddi) et une instance mlant divers acteurs concerns.
165
Livre CobiT.book Page 166 Lundi, 1. dcembre 2008 2:48 14
Demande de changement
Autorisation de modification Historique des problmes
Rapports dincidents Rapports sur la performance des
Configuration informatique/dtail processus
des actifs Problmes connus, erreurs connues et
Historiques des erreurs solutions de contournement
166
Livre CobiT.book Page 167 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
La mise disposition des informations constitue un apport de valeur
essentiel pour les utilisateurs. Cet objectif doit associer une bonne gestion
des risques sur ces donnes dans le cadre de la gestion des ressources.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Les systmes dinformation produisent et stockent des volumes de don-
nes considrables. Chaque tape technologique se traduit par un change-
ment dchelle dans les stockages de donnes : le commerce en ligne avec
la trace des transactions, les photos et leur rsolution croissante, et prsent
la vido.
Les cots correspondants augmentent considrablement. Il sagit donc de
grer cet actif au mieux des intrts de lentreprise et des mtiers.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
167
Livre CobiT.book Page 168 Lundi, 1. dcembre 2008 2:48 14
OBJ. 19 Sassurer que l'information critique et condentielle nest pas accessible ceux qui ne doivent
pas y accder.
Description du processus
La figure 6-32 reprsente les flux internes du processus DS11.
DEFINIR
DEFINIR DES PROCEDURES DE STOCKAGE
ET DARCHIVAGE DES DONNEES
FOURNIR DES MOYENS SURS DELIMINATION DES DONNEES TESTER LA RESTAURATION DES DONNEES
ET DES MATERIELS DESTINES AU REBUT ET DES SYSTEMES DANS LES DELAIS REQUIS
168
Livre CobiT.book Page 169 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Il faudra contrler la compltude, la fiabilit et la mise jour de la mdia-
thque dans son rle de recensement de lensemble des informations.
Les procdures de sauvegarde et darchivage font lobjet dexcutions
rgulires dont on vrifiera la mise en uvre et les rsultats (cycles de
sauvegarde, supports darchivage, stockage, liens avec le PRA).
Le test densemble (rcupration des informations) est un contrle essentiel
mener sur le processus.
On mesurera en particulier les incidents et les problmes relevant de ce
processus et conduisant une indisponibilit des donnes pour les utili-
sateurs.
Enfin, on vrifiera la cohrence du processus global de gestion des donnes
entre les mtiers et la DSI.
169
Livre CobiT.book Page 170 Lundi, 1. dcembre 2008 2:48 14
Rles et responsabilits
Le responsable exploitation
Le service exploitation est habituellement responsable de lensemble du
processus de sauvegarde, darchivage et de scurisation des donnes. Il
sagit du volet industriel du processus, lequel est bien souvent insr
dans un contrat tiers.
Le contrle interne
Il est souhaitable de confier une entit de contrle interne la DSI la res-
ponsabilit de tester les dispositions prises dans le plan de gestion des
donnes : essais de rcupration, examen des indicateurs de pilotage et
des incidents.
Cette instance pourra aussi avoir un rle dans le cadre des relations avec
les mtiers afin de complter le fonctionnement industriel du processus
avec des exigences mtier plus nuances (donnes critiques, rgles de
mise au rebut, rgles dhistorisation, etc.).
170
Livre CobiT.book Page 171 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus de gestion de lenvironnement physique relve essentiellement
de la gestion des risques dans une optique doptimisation des ressources
informatiques dinfrastructures.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
171
Livre CobiT.book Page 172 Lundi, 1. dcembre 2008 2:48 14
Pourquoi ?
Lenvironnement physique, comprenant les sites dhbergement des ins-
tallations et les alimentations (lectricit, fluides et lignes de communica-
tion), doit tre gr pour protger les ressources informatiques des
sinistres possibles (dtrioration ou destruction accidentelle, accs ind-
sirables, vols, sabotages et malveillance).
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS12 doit permettre de matriser les objectifs prsents dans le
tableau 6-12.
OBJ. 22 Sassurer quun incident ou une modication dans la fourniture dun ser-
vice informatique na quun impact minimum sur lactivit.
172
Livre CobiT.book Page 173 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 6-35 reprsente les flux internes du processus DS12.
DEFINIR
DS12 Grer lenvironnement physique
CONTROLER
CONTROLER LES ACCES AUX SITES, BATIMENTS
METTRE EN UVRE ET ZONES SECURISEES
CHOISIR LE(S) SITE(S) PHYSIQUE(S)
DES EQUIPEMENTS INFORMATIQUES
CONTROLER LES RISQUES ENVIRONNEMENTAUX
AVEC DES DISPOSITIFS SPECIALISES
ETABLIR LES RESPONSABILITES CONCERNANT
LA SURVEILLANCE ET LA SECURITE PHYSIQUE
173
Livre CobiT.book Page 174 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mesures lies au processus conduisent laborer un tableau de bord
des incidents segments par domaine, site et criticit : intrusions, facteurs
environnementaux, pertes de disponibilit (et leurs impacts).
Les sites sous la responsabilit de tiers doivent faire lobjet de mesures et
de contrles spars de faon faire peser les exigences damlioration
dans les dispositifs contractuels. On aura soin en particulier daligner les
indicateurs de mesure aux obligations contractuelles (pnalits, responsa-
bilit civile, etc.).
Les contrles porteront sur les tests priodiques des plans de secours,
la pertinence des procdures et la formation des personnes concernes.
Rles et responsabilits
Le responsable exploitation
Il est en charge de lensemble du processus. Il doit ensuite dlguer sa
responsabilit par site ou par tiers contractant.
DS12 : Grer
lenvironnement
physique
174
Livre CobiT.book Page 175 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
Le processus DS13 est un processus oprationnel orient sur loptimisa-
tion de lensemble des ressources informatiques dans une optique deffi-
cacit et defficience.
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Lexploitation des ressources informatiques devient de plus en plus
industrialise au sens de lautomatisation et du caractre rptitif des
tches. Les oprations de base ne laissent pas place limprovisation ce
qui signifie que la totalit des tches dexploitation fait lobjet de proc-
dures prcises et dtailles, y compris les demandes de drogations ou les
exceptions.
175
Livre CobiT.book Page 176 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus DS13 doit permettre de matriser les objectifs prsents dans le
tableau 6-13.
OBJ. 03 Sassurer de la satisfaction des utilisateurs naux lgard des offres et des niveaux de services.
OBJ. 21 Sassurer que les services et linfrastructure informatique peuvent rsister/se rtablir convena-
blement en cas de panne due une erreur, une attaque dlibre ou un sinistre.
OBJ. 23 Sassurer que les services informatiques sont disponibles dans les conditions requises.
Description du processus
La figure 6-38 reprsente les flux internes du processus DS13.
DEFINIR
CONTROLER
CONTROLER ET SURVEILLER LINFRASTRUCTURE
METTRE EN UVRE ET LES TRAITEMENTS REALISES
ELABORER LES PLANNINGS EN FONCTION
DE LA CHARGE DE TRAVAIL
VERIFIER QUE LE PERSONNEL CONNAIT LES
TACHES DEXPLOITATION DONT IL DEPEND
GERER LEXPLOITATION CONFORMEMENT
AUX NIVEAUX DE SERVICES CONVENUS
176
Livre CobiT.book Page 177 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mesures sexercent essentiellement sur le plan de la disponibilit
et des performances : nombre dinterruptions de services, pourcentage
de traitements effectus en respect du planning de production, causes
des interruptions (inadaptation des procdures, non-respect des proc-
dures par le personnel, indisponibilits matrielles, etc.).
La stabilit de lensemble peut tre apprcie au travers du nombre de
changements effectus par type de ressource (personnel, applications,
infrastructures).
Les vnements indsirables (incidents, problmes) feront lobjet de tickets
dincident destination des processus concerns.
Rles et responsabilits
Le responsable exploitation
Il est naturellement le pilote et le responsable du processus.
177
Livre CobiT.book Page 178 Lundi, 1. dcembre 2008 2:48 14
DS13 : Grer
lexploitation
En rsum
Le domaine DS dcrit compltement les conditions de fourniture des ser-
vices informatiques. Il dcrit en premier lieu les relations avec les mtiers
(DS1) et avec les tiers (DS2). Ce prambule permet de cadrer contrac-
tuellement lensemble des services.
Pour lessentiel, ce domaine est le plus proche des processus dITIL corres-
pondants. Seul le DS7 semble ne pas tre dcrit dans ITIL.
178
Livre CobiT.book Page 179 Lundi, 1. dcembre 2008 2:48 14
Chapitre 7
Surveiller
et valuer
Vue densemble
Le processus SE1 rsulte principalement dune volont de mettre en place
un mcanisme de mesure de la performance du systme dinformation qui
permette de rpondre aux critres defficacit et defficience du systme
dinformation pour les mtiers.
179
Livre CobiT.book Page 180 Lundi, 1. dcembre 2008 2:48 14
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le processus SE1 centralise les indicateurs de fonctionnement des pro-
cessus CobiT des domaines PO, AI et DS. Il permet donc de construire un
tableau de bord du fonctionnement de la DSI.
La mesure de la performance de linformatique conduit le DSI planifier
des actions correctives pour remdier aux carts constats grce au
tableau de bord. Ceci est la base de la boucle damliorations de tous les
processus de CobiT.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le pro-
cessus SE1 doit permettre de matriser les objectifs prsents dans le
tableau 7-1.
180
Livre CobiT.book Page 181 Lundi, 1. dcembre 2008 2:48 14
OBJ. 28 Sassurer que linformatique fait preuve dune qualit de service ef-
ciente en matire de cots, damlioration continue et de capacit
sadapter des changements futurs.
Description du processus
La figure 7-2 reprsente les flux internes du processus SE1.
DEFINIR
COMMUNIQUER DEFINIR LAPPROCHE DE SURVEILLANCE
SE1 Surveiller et valuer
AMELIORER
RENDRE COMPTE IDENTIFIER ET SURVEILLER LES ACTIONS
METTRE EN UVRE DESTINEES A AMELIORER LA PERFORMANCE
DE LA Rapport de
PERFORMANCE A gestion
METTRE EN PLACE UNE METHODE DE SURVEILLANCE
LA DIRECTION
GENERALE
EVALUER
EVALUER PERIODIQUEMENT LA PERFORMANCE
PAR RAPPORT AUX OBJECTIFS
181
Livre CobiT.book Page 182 Lundi, 1. dcembre 2008 2:48 14
dans les processus des mtiers), et la mise en place des actions issues de
ces analyses ainsi qu leur suivi.
Le processus SE1 est aliment par les rsultats de la majeure partie des
processus oprationnels, en particulier DS et AI. Un cadre prcis permet de
collecter les informations pour les rendre pertinentes dans le cadre de la
surveillance.
Le processus SE1 permet de proposer une valuation de la performance
des SI et den suivre lvolution. Lensemble fait lobjet de comptes-rendus
destins la direction gnrale ou aux rapports annuels.
Enfin, la surveillance conduit un plan dactions correctives qui est le
rsultat de lanalyse des causes des carts et des dysfonctionnements. Le
plan dactions correctives doit faire apparatre les responsabilits associes
et les modalits de suivi de celles-ci.
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs prsents au tableau 7-1. Ces mesures
portent principalement sur la couverture par des revues de lensemble des
processus, sur le nombre dactions rellement mis en uvre selon les
conditions de dlais et de rsultats fixs initialement, et sur la satisfaction
des parties prenantes quant la qualit du reporting.
La mesure de la mise en uvre de ce processus passe principalement par
le taux de couverture de lensemble des processus par des mtriques, le
respect de la frquence de publication des tableaux de bord ainsi que le
taux dautomatisation de la production des tableaux de bord.
Rles et responsabilits
Le directeur gnral
Compte tenu de la finalit de ce processus, le client sera trs logiquement
la direction de lentreprise. Elle attend un reporting de qualit conformment
lapproche de la surveillance quelle a fixe.
Le contrle interne
On parle parfois de fonction audit au sein de la DSI, ce qui nest pas
conforme aux rgles de sparation des tches en la matire. Nous prf-
rons parler de contrle interne pour qualifier la fonction qui va se charger
182
Livre CobiT.book Page 183 Lundi, 1. dcembre 2008 2:48 14
SE1 : Surveiller et
valuer la performance
des SI
Vue densemble
Le processus SE2 rsulte principalement dune volont de mettre en place
un mcanisme de surveillance du contrle interne afin dapprcier les ris-
ques de drives du fonctionnement de la DSI (gestion des risques) et ainsi
183
Livre CobiT.book Page 184 Lundi, 1. dcembre 2008 2:48 14
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Le fonctionnement de la DSI est soumis de multiples contraintes et ce
qui tait performant un moment donn ne le sera probablement plus
un autre. De plus, la routine des activits de contrle et labsence de recul des
acteurs de ces activits peuvent aboutir des manquements ou des erreurs
dapprciation.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
processus SE2 doit permettre de matriser les objectifs prsents dans le
tableau 7-2.
184
Livre CobiT.book Page 185 Lundi, 1. dcembre 2008 2:48 14
Description du processus
La figure 7-5 reprsente les flux internes du processus SE2.
SE2 Surveiller et valuer le contrle interne
DEFINIR AMELIORER
METTRE EN UVRE
COMMUNIQUER
Rapport sur CONDUIRE UNE REVUE GENERALE DU CONTROLE INTERNE
RENDRE COMPTE lefficacit SURVEILLER
AUX PARTIES des contrles
PRENANTES CONDUIRE UN PROGRAMME PERMANENT SURVEILLER ET CONTROLER LES ACTIVITES DU
des SI
DAUTO-EVALUATION DU CONTROLE CONTROLE INTERNE
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs prsents au tableau 7-2. Ces
mesures portent principalement sur le nombre de faiblesses identifies qui
185
Livre CobiT.book Page 186 Lundi, 1. dcembre 2008 2:48 14
Rles et responsabilits
Le directeur des systmes dinformation
Il doit sassurer que ce processus est bien dfini et mis en uvre. Le DSI
est le pilote de ce processus en liaison avec laudit interne de lentre-
prise.
Le contrle interne
Le contrle interne contribue ce processus puisquil est charg de pr-
senter la faon dont il sorganise pour ensuite produire le tableau de bord
DSI.
SE2 : Surveiller et
valuer le contrle
interne
186
Livre CobiT.book Page 187 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
La conformit rglementaire est une obligation lgale (par exemple, la
conformit SOX ou lIFRS, ou encore la dclaration des donnes per-
sonnelles la CNIL). La conformit aux exigences des clients ressortit du
contrat qui lie les parties (exemple dobligation contractuelle : la confiden-
tialit de certaines informations).
187
Livre CobiT.book Page 188 Lundi, 1. dcembre 2008 2:48 14
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le pro-
cessus SE3 doit permettre de matriser lobjectif prsent dans le tableau 7-3.
Description du processus
La figure 7-8 reprsente les flux internes du processus SE3.
DEFINIR
Catalogue des
aux obligations externes
exigences lgales et
rglementaires
METTRE EN UVRE
COMMUNIQUER AMELIORER
EVALUER LIMPACT DES EXIGENCES REGLEMENTAIRES
Rapport sur
la conformit SUIVRE LES ACTIONS CORRECTIVES
RENDRE COMPTE
des activits ENTREPRISES EN CAS DE NON-CONFORMITE
AU MANAGEMENT ALIGNER LES POLITIQUES, LES NORMES ET LES PROCEDURES
informatiques
SUR LES EXIGENCES REGLEMENTAIRES
SENSIBILISER LE
PERSONNEL
INFORMATIQUE A EVALUER
LA CONFORMITE
EVALUER LA CONFORMITE DES POLITIQUES, DES NORMES ET
DES PROCEDURES AUX EXIGENCES REGLEMENTAIRES
188
Livre CobiT.book Page 189 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification de lobjectif prsent au tableau 7-3. Ces
mesures portent principalement sur le nombre de non-conformits dtectes
ds lors quune action corrective a t mise en uvre.
La mesure de la mise en place de ce processus passe principalement par la vri-
fication du dlai entre lapparition dune nouvelle exigence et sa prise en
compte dans les pratiques de la DSI, et la vrification du dlai entre la dtection
dune non-conformit et la mise en uvre dune action corrective associe.
Rles et responsabilits
Le directeur des systmes dinformation
Il sassure que ce processus est bien dfini et mis en uvre, et ce titre, il
en est la fois le garant et le responsable.
Entres externes
CobiT PO4, SE1, SE4
SE3 : S assurer de la
conformit aux
obligations externes
189
Livre CobiT.book Page 190 Lundi, 1. dcembre 2008 2:48 14
Vue densemble
RESSOURCES
GOUVERNANCE SI EXIGENCES METIER
INFORMATIQUES
EFFICACITE
ALIGNEMENT EFFICIENCE
STRATEGIQUE
APPLICATIONS
APPORT DE CONFIDENTIALITE
VALEUR
INFORMATIONS
GESTION DES RISQUES INTEGRITE
MESURE DE PERSONNES
CONFORMITE
LA PERFORMANCE
Lgende
FIABILITE
Primaire
Secondaire
Slectionn
Pourquoi ?
Il sagit de lessence mme de CobiT. Le processus SE4 pilote dune
certaine faon la conformit de lentreprise aux bonnes pratiques de la
gouvernance SI.
Objectifs et primtre
Vis--vis des 28 objectifs globaux assigns au systme dinformation (voir
annexe 2, Objectifs du systme dinformation et processus CobiT ), le
190
Livre CobiT.book Page 191 Lundi, 1. dcembre 2008 2:48 14
OBJ. 02 Ragir aux exigences de la gouvernance en accord avec les orientations du CA.
OBJ. 12 Sassurer de la transparence et de la bonne comprhension des cots, bnces, stratgie, poli-
tiques et niveaux de services des SI.
OBJ. 27 Assurer la conformit de linformatique aux lois et aux rglements.
OBJ. 28 Sassurer que linformatique fait preuve dune qualit de service efciente en matire de cots,
damlioration continue et de capacit sadapter des changements futurs.
Description du processus
La figure 7-11 reprsente les flux internes du processus SE4.
SE4 Mettre en place une gouvernance des SI
DEFINIR
IMPLIQUER LE METIER
DANS LES PRISES DE
DECISION LIEES AUX SI CONTROLER
FOURNIR UNE ASSURANCE INDEPENDANTE SUR
METTRE EN UVRE LA PERFORMANCE ET DE LA CONFORMITE AUX
COMMUNIQUER POLITIQUES, NORMES ET PROCEDURES
LAPPETENCE POUR LE METTRE EN PLACE LA GOUVERNANCE DES SI
RISQUE INFORMATIQUE
191
Livre CobiT.book Page 192 Lundi, 1. dcembre 2008 2:48 14
Mesures et contrles
Les mtriques mettre en place pour sassurer de lefficacit du processus
concernent la vrification des objectifs prsents au tableau 7-4. Ces
mesures portent principalement sur le nombre dcarts dtects dans la
mise en uvre de la gouvernance.
La mesure de la mise en uvre de ce processus passe principalement par
celle du nombre de personnes sensibilises et formes aux principes de
gouvernance, y compris au plus haut niveau de lentreprise (conseil
dadministration, direction gnrale), et du temps consacr par la direction
gnrale et le conseil dadministration aux aspects lis au SI (le nombre de
rapports denqutes de satisfaction demands et produits).
Rles et responsabilits
Le conseil dadministration et le directeur gnral
Il sagit dune responsabilit dvolue au plus haut niveau de direction de
lentreprise (le conseil dadministration avec lassistance de la direction gn-
rale). Son rle est de sassurer que toutes les instances parties prenantes dans
la gouvernance des SI ont bien t mises en place et sont oprationnelles.
192
Livre CobiT.book Page 193 Lundi, 1. dcembre 2008 2:48 14
En rsum
Les processus du domaine SE dcrivent 4 niveaux de surveillance et dva-
luation de lensemble du dispositif (PO, AI et DS). Le processus SE1 est
central du fait de son rle de contrle interne de lensemble. Il doit servir
de point de dpart la boucle damlioration des processus dploys (un
peu comme l amlioration continue dans ITIL V3).
Le processus SE2 est plus difficile cerner, car il est mis en place pour sur-
veiller le bon fonctionnement du prcdent. Cela impose quun respon-
sable indpendant, de prfrence laudit interne, soit dsign.
Le processus SE3 a le mrite disoler le contrle de la conformit. Enfin,
SE4 donne un moyen dauditer la mise en place de la gouvernance des SI.
193
Livre CobiT.book Page 194 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 195 Lundi, 1. dcembre 2008 2:48 14
PARTIE III
Mettre en uvre
CobiT
Les grandes directions des systmes dinformation font parfois penser
des petites entreprises qui seraient pilotes partir de la production
industrielle et du service de recherche et dveloppement. Cest assez
normal, pensera-t-on, puisque la direction informatique doit trouver au
sein de son entreprise lensemble des services de support complmen-
taires ses activits.
Les services de support (contrle de gestion, achats, ressources humaines,
communication) offrent un cadre incontournable en garantissant le fonc-
tionnement de processus cls. Cependant, ils se rvlent inadapts la
prise en compte des spcificits de la DSI pour la gouvernance des SI.
Implanter CobiT, cest se mettre dans une perspective de plus grande auto-
nomie de gestion en dclinant en particulier les fonctions de support de
lentreprise au sein de la direction informatique et pour le SI au sens large.
Ceci tant, il est illusoire et dangereux de vouloir embrasser trop large car
il sagit toujours in fine de projets de transformation.
Au cours des chapitres suivants, nous allons prsenter quelques exemples
de mise en uvre, tirs de cas rels, avec diffrents angles dattaque.
195
Livre CobiT.book Page 196 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 197 Lundi, 1. dcembre 2008 2:48 14
Chapitre 8
197
Livre CobiT.book Page 198 Lundi, 1. dcembre 2008 2:48 14
La mission daudit
Obtenir linformation
tape 1 Procdures
Test dtaill Identier et recueillir toutes les procdures qui existent concer-
nant la continuit de service et le plan de secours en cas de
sinistre.
198
Livre CobiT.book Page 199 Lundi, 1. dcembre 2008 2:48 14
Lapport de CobiT
La structure de CobiT offre lauditeur une classification trs solide :
domaines, processus, objectifs de contrle ;
critres dinformation (efficacit, efficience, confidentialit, intgrit,
disponibilit, conformit et fiabilit) ;
ressources (applications, infrastructure, information et personnes).
cette structure se rattache un dtail gnrique pour chaque objectif
de contrle, prsent comme suit dans le document IT Assurance Guide:
Using CobiT :
Cette notion de valeur lie un objectif de contrle est tout fait intres-
sante puisquelle tend le primtre du contrle, en incluant non seulement
la matrise des risques, mais aussi la cration de valeur.
199
Livre CobiT.book Page 200 Lundi, 1. dcembre 2008 2:48 14
On trouve ensuite un plan de contrle pour cet objectif, puis des tests
dtaills. titre dexemple, lobjectif de contrle DS5.8 sur la gestion des
cls de chiffrement donne lieu quatre pages extrmement prcises de
tests raliser. Et si ce niveau de dtail se rvlait insuffisant, il suffirait de
puiser dans dautres publications (voir chapitre 3, Prsentation dtaille
de CobiT ) pour en dfinir encore un autre.
Enfin, ce rfrentiel peut tre enrichi pour prendre en compte des aspects
techniques pointus.
Le contrle interne
200
Livre CobiT.book Page 201 Lundi, 1. dcembre 2008 2:48 14
201
Livre CobiT.book Page 202 Lundi, 1. dcembre 2008 2:48 14
202
Livre CobiT.book Page 203 Lundi, 1. dcembre 2008 2:48 14
En rsum
CobiT est le rfrentiel incontournable de laudit de la gouvernance des
systmes dinformation. Sa structure, ses objectifs de contrle dtaills,
les travaux incessants de recherche et les publications associes en font un
outil vivant et reconnu.
203
Livre CobiT.book Page 204 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 205 Lundi, 1. dcembre 2008 2:48 14
Chapitre 9
CobiT fdrateur
Le pilotage stratgique
205
Livre CobiT.book Page 206 Lundi, 1. dcembre 2008 2:48 14
Vision et
stratgie
206
Livre CobiT.book Page 207 Lundi, 1. dcembre 2008 2:48 14
207
Livre CobiT.book Page 208 Lundi, 1. dcembre 2008 2:48 14
Planifier et organiser
1 2 3 4 5 6 7 8 9 10
4
Acqurir et implmenter
Surveiller et valuer
Les processus
3
CobiT pris en
charge par ITIL
2
1
1 2 3 4 5 6 7 8 9 10 11 12 13
Dlivrer et supporter
Complet Aucun
Source ISACA
Une publication (COBIT Mapping : mapping of ITIL V3 with COBIT 4.1) est
consacre aux correspondances (mapping) entre CobiT et ITIL ; elle dcrit
deux niveaux de comparaison. Un niveau global compare les objectifs
dITIL aux objectifs globaux de CobiT. Pour un dtail plus fin, on se base sur
la granularit des objectifs de contrle de CobiT. ITIL a t dtaill en sous-
parties associes un ou plusieurs objectifs de contrle de CobiT.
Ceux qui sintressent ainsi aux correspondances entre CobiT et dautres
rfrentiels ne manqueront pas dtre frapps du degr trs lev de simi-
litude entre les processus concerns. Sur ITIL V2 par exemple, il semble
que lon puisse pratiquement substituer les 10 processus correspondants
de CobiT et rciproquement.
En revanche, deux diffrences apparaissent clairement : la premire concerne
la compltude, et CobiT couvre dlibrment lensemble de la gouver-
nance des TI ; la seconde concerne le classement en domaines. CobiT
privilgie le distinguo entre la fourniture des services (domaine DS) et tout
ce qui concerne la mise en uvre (domaine AI) correspondant des chan-
gements impactant les ressources informatiques.
208
Livre CobiT.book Page 209 Lundi, 1. dcembre 2008 2:48 14
209
Livre CobiT.book Page 210 Lundi, 1. dcembre 2008 2:48 14
210
Livre CobiT.book Page 211 Lundi, 1. dcembre 2008 2:48 14
211
Livre CobiT.book Page 212 Lundi, 1. dcembre 2008 2:48 14
Intgration
Dans cet exemple, la DSI dcide dimplanter simultanment CobiT et ITIL
en crant un rfrentiel dentreprise commun. Il faut dire que les services
partent dune situation o un grand travail a t effectu sur la structura-
tion du centre dassistance aux utilisateurs, la certification ISO 9001 de la
production (avec une culture des indicateurs et de lamlioration) et la
mise en place dun outil de gestion des incidents.
La dure qui spare le Lintgration passe par une vision stratgique partage au sein de la DSI et
cas prcdent de la dfinition dun rfrentiel de processus dans une logique ISO 9001
celui-ci est de lordre reprenant les processus PO de CobiT et lISO/IEC 20000 (ITIL V2). Simulta-
de trois ans. Il nous nment, une dmarche trs volontariste est mene sur les tudes (nomina-
semble que, pour la
tion de PMO, formation et dploiement de CMMI). Il faut dire que le
plupart, les grandes
DSI sont plus proches primtre tudes de la DSI est important (plus de 800 personnes avec les
de ce cas rcent que externes).
du prcdent. Les principales difficults rencontres sont :
le dcalage entre la logique dentreprise et celle de la DSI
Les services de support (comptabilit, budget, ressources humaines,
achats) de lentreprise ont leur logique propre et des systmes dinfor-
mation adapts leurs besoins. Pour la DSI, il faut la fois sy confor-
mer et crer une vision adapte la gouvernance des SI, par exemple :
une comptabilit analytique et un contrle de gestion adapts aux
objets grer dans le cadre de la gouvernance ;
212
Livre CobiT.book Page 213 Lundi, 1. dcembre 2008 2:48 14
213
Livre CobiT.book Page 214 Lundi, 1. dcembre 2008 2:48 14
La scurit
Jusqu un pass rcent, la scurit sest limite la protection des systmes
informatiques concerns par le stockage et le traitement des informations
plutt que de la protection de linformation elle-mme. Avec CobiT, la scu-
rit devient lune des composantes de la gouvernance en proposant des
bonnes pratiques de gouvernance de la scurit de linformation. Cette
dernire rejoint ainsi lunivers de la gestion des risques.
La scurit de linformation nest plus seulement un sujet de technicien
mais devient un enjeu de direction gnrale et mtiers. CobiT, en dvelop-
pant lalignement stratgique et lapport de valeur des systmes dinforma-
tion, met bien en vidence les risques que labsence de mesure de scurit
de linformation fait courir lentreprise.
CobiT aborde la gouvernance de la scurit de linformation en sintres-
sant :
la prise en compte de la scurit de linformation dans lalignement
stratgique ;
la prise de mesures appropries pour limiter les risques et leurs cons-
quences potentielles un niveau acceptable ;
la connaissance et la protection des actifs ;
la gestion des ressources ;
la mesure pour sassurer que les objectifs de scurit sont bien atteints ;
lapport de valeur par loptimisation des investissements en matire de
scurit de linformation ;
les bnfices retirs ;
lintgration de la scurit de linformation dans les processus.
Globalement, CobiT aborde la scurit de linformation dans plus de
20 processus sur 34. Mais les processus suivants font apparatre une
dimension scurit importante dans les objectifs de contrle :
PO6 Faire connatre les buts et orientations du management
PO9 valuer et grer les risques
DS4 Assurer un service continu
DS5 Assurer la scurit des systmes
214
Livre CobiT.book Page 215 Lundi, 1. dcembre 2008 2:48 14
CobiT et CMMI
Les raisons du dploiement de CMMI sont de deux ordres : la ncessit
datteindre un certain niveau de maturit pour satisfaire des obligations
contractuelles ou amliorer le pilotage des tudes, et lamlioration de la
performance. Dans les grandes DSI, il sagit surtout de performance, des pro-
cessus et des quipes. On part donc du principe que latteinte dun niveau de
maturit CMMI entranera de facto des gains (dure, cot, qualit).
215
Livre CobiT.book Page 216 Lundi, 1. dcembre 2008 2:48 14
216
Livre CobiT.book Page 217 Lundi, 1. dcembre 2008 2:48 14
CMMI nest pas un rfrentiel de gouvernance des TI. Pour sen assurer, il
suffit dexaminer le tableau 9-1, traduit du mapping entre CobiT et CMMI
(publication COBIT Mapping: Mapping of CMMi with COBIT v4.1). Il donne une
ide de lampleur des objectifs de contrle non couverts par CMMI et qui
sont pourtant dployer si lon vise un minimum de gouvernance des TI.
Tableau 9-1 : Les objectifs de CobiT nayant pas de correspondance dans CMMI
PO2 Dnir larchitecture de linformation Architecture des donnes, dictionnaire des donnes,
classication, management des donnes.
PO5 Grer les investissements informatiques Gestion des investissements, management des cots,
priorisation des programmes, cycle de vie, portefeuille
de projets, budget TI, apport de valeur.
DS4 Assurer un service continu Continuit de service pour les mtiers, rfrentiel de
secours, ressources critiques, reprise de service, site de
secours.
DS6 Identier et imputer les cots Imputation des cots, dnition des services, catalogue
des services, modle de cot et de refacturation.
DS8 Grer le service d'assistance client Service dassistance, gestion des incidents, enregis-
et les incidents trement des demandes, escalade.
DS11 Grer les donnes Intgrit des donnes, proprit des donnes et des
systmes, management des donnes, stockage.
SE3 Assurer la conformit aux obligations externes Gouvernance TI, conformit rglementaire.
217
Livre CobiT.book Page 218 Lundi, 1. dcembre 2008 2:48 14
La certification
La certification ISO 9001 obit des rgles strictes, en particulier concer-
nant la structuration des processus en domaines (management, support,
ralisation). Pour conjuguer CobiT et la certification, deux scnarios sont
possibles.
Scnario 1 : certifier ISO 9001 lensemble de la DSI en sappuyant sur les
bonnes pratiques CobiT, voire en y ajoutant les bonnes pratiques CMMI,
ITIL et ISO/IEC 17799.
Scnario 2 : identifier et slectionner dans le rfrentiel CobiT, quelques
processus suffisamment matures pour les intgrer au primtre de certi-
fication ISO 9001 de lentreprise.
Scnario 1
Conditions de mise en uvre
Ce scnario implique la mise en uvre de tous les processus de la DSI et
de toutes les bonnes pratiques CobiT, CMMI, ITIL et ISO/IEC 17799.
Il impose de dfinir un systme de management de la qualit (SMQ) ddi
la DSI qui accueille les processus en cours de dfinition, avec tout le rf-
rentiel documentaire exig par la norme ISO 9001 :
le manuel qualit ;
les 6 procdures documentes :
matrise de la documentation ;
matrise des enregistrements qualit ;
audit interne ;
matrise du produit non conforme ;
actions correctives ;
actions prventives.
mise en uvre des revues de direction.
218
Livre CobiT.book Page 219 Lundi, 1. dcembre 2008 2:48 14
Scnario 2
Conditions de mise en uvre
Ce scnario nimplique pas de dfinir une structure complte de pro-
cessus. Il sagit de slectionner, dans le modle propos par CobiT, les
processus les plus matures ou les plus dterminants afin de les piloter
selon la logique du systme management global de lentreprise.
Pour tre certifiables, les processus slectionns doivent tre dploys au
sein de la DSI, et tre suffisamment mrs pour tre mesurs ou, pour les
plus critiques, pilots.
Ce scnario ncessite de dfinir une cartographie prsentant une coh-
rence entre les processus slectionns pour la DSI et ceux dj dfinis pour
lentreprise.
219
Livre CobiT.book Page 220 Lundi, 1. dcembre 2008 2:48 14
Scnario 1 Scnario 2
Principe Certier ISO 9001 lensemble Certier les processus les plus
de la DSI. matures ou prioritaires dj
dploys dans le cadre DSI.
Effort DSI Mise en place dune organisa- Dmarche intgre dans une
tion ddie. dmarche globale dentreprise.
Dlai de mise 2 3 ans Par tranches de 1 an
en uvre
Intrt Stratgie du directeur des sys- Prise en compte des dmarches
pour la DSI tmes dinformation, autonomie DSI dans un programme
de la DSI. dexcellence ou damlioration
continue de lentreprise.
Exemples de dploiement
Scnario 1
tudions un exemple de mise en place du scnario 1 pour une entreprise
ayant engag une dmarche de certification ISO 9001 et ISO/IEC 27001, en
sappuyant sur les bonnes pratiques CobiT et ITIL.
Le choix de cette DSI a t motiv par un besoin de reconnaissance de la
qualit des prestations offertes, car celle-ci tait exige par les clients des
directions mtiers de lentreprise, cest--dire le march.
La DSI sest donc dote dun systme de management intgr (qualit et
scurit de linformation). La cartographie des processus est structure
selon les trois catgories de processus : management, ralisation et sup-
port. Pour llaborer, la DSI a pioch parmi les 34 processus de CobiT en
slectionnant des pratiques ou activits issues des objectifs de contrle et
en les regroupant en macroprocessus. Cette slection a t opre en fonc-
tion de la capacit de la DSI les mettre en uvre dans un avenir court
terme, cette capacit ayant t apprcie aprs lvaluation du niveau de
maturit des pratiques existantes. La logique est ensuite damliorer ces
processus dans le temps via la dmarche de progrs continue induite par
la mise en place du systme de management.
220
Livre CobiT.book Page 221 Lundi, 1. dcembre 2008 2:48 14
Scnario 2
prsent, tudions un exemple de mise en place du scnario 2 pour une
entreprise ayant engag une dmarche dexcellence cible sur lobtention
du prix EFQM.
Pour tre intgrs dans le primtre de certification de lentreprise, les pro-
cessus slectionns de CobiT doivent cependant rpondre aux exigences
classiques dune dmarche processus. Les critres sont les suivants :
le processus est dfini, dcrit et document ;
le processus est mis en uvre ;
le processus est mesur et des indicateurs sont mis en place ;
le primtre dapplication couvre lensemble de la DSI ;
le processus est ouvert vers lextrieur (orientation client).
Par ailleurs, les processus sont classs en trois catgories :
les processus de management ;
les processus de ralisation ;
les processus supports.
Les processus de management
Dans cette catgorie, trois processus ont t identifis :
PO1 Dfinir un plan informatique stratgique pour le SI
PO10 Manager les projets SI (guide de la gouvernance des SI)
PO9 valuer et grer les risques (dfinir la politique de scurit de
gestion de linformation de lentreprise)
Les processus de ralisation
Au niveau de la DSI, les processus de ralisation sont de deux types : le
dveloppement du SI (grer le projet et fabriquer la solution) et la produc-
tion (exploitation du SI).
Processus de dveloppement du SI (domaine AI)
Mise en uvre des processus CMMI de niveau 2 sur lensemble de la
DSI.
Processus de gestion des services (domaine DS)
La dmarche ITIL est utilise pour dfinir les processus de gestion des
services (fourniture et soutien des services) en suivant le modle de
maturit de litSMF (IT Service Management Forum) pour la priorit de mise
en place (1 an par niveau).
221
Livre CobiT.book Page 222 Lundi, 1. dcembre 2008 2:48 14
En rsum
CobiT a choisi de se positionner en fdrateur. Aucun rfrentiel na ce
jour la couverture que CobiT propose sur lensemble des TI. Les travaux
permanents qui sont engags et lesprit douverture qui prside au sein des
groupes de bnvoles justifient cette image de fdrateur. Les autres stan-
dards ont une vision beaucoup plus limite, se contentant de querelles aux
frontires, chacun briguant la position de leader. Tant quil y aura des
mondes aussi inconciliables que les tudes (projets) et les services, CobiT
aura son rle jouer !
222
Livre CobiT.book Page 223 Lundi, 1. dcembre 2008 2:48 14
Chapitre 10
Transformer la DSI
CobiT Quickstart
Prsentation
CobiT Quickstart peut tre considr comme un point de dpart pour une
extension ultrieure lensemble de CobiT, ou comme un objectif, en par-
ticulier pour les PME et aussi pour les entreprises pour lesquels les TI ne
constituent pas un enjeu stratgique proprement parler.
CobiT Quickstart concerne les parties prenantes au sein des entreprises
concernes : auditeurs, responsables des TI et acteurs de la mise en place de
la gouvernance des TI. Pour eux, cette premire approche simplifie est une
chance de lancer le projet sur un primtre raisonnable. CobiT Quickstart est
un puissant outil de dmarrage qui suggre les choses intelligentes
faire , mme si dans de nombreux cas, il faudra ajouter des contrles com-
plmentaires pour constituer la base dune gouvernance efficace de tous les
processus informatiques. CobiT Quickstart est donc une version allge de
CobiT, plus facile daccs et plus simple mettre en uvre.
223
Livre CobiT.book Page 224 Lundi, 1. dcembre 2008 2:48 14
Le contenu
CobiT Quickstart conserve la structuration classique de CobiT en
domaines, processus et objectifs de contrle. Le modle de maturit est
supprim et le RACI simplifi. Ainsi, sont conservs :
31 processus sur les 34 prsents dans CobiT.
Ils manquent les processus DS6 (Identifier et imputer les cots), DS7
(Instruire et former les utilisateurs) et SE4 (Mettre en place une gouver-
nance des SI) ;
59 objectifs de contrle dtaills sur les 210 prsents dans CobiT V4.1.
Leur description renvoie aux objectifs de contrle dtaills de CobiT,
rfrencs par leur numro dobjectifs. Pour chaque objectif, deux
trois facteurs cls de succs sont prsents alors quune dizaine est pro-
pose dans CobiT.
On parle de bonnes pratiques mettre en uvre plus que dobjectifs
de contrle, ce qui manifeste la volont de prsenter CobiT Quickstart
comme un outil pour le management.
224
Livre CobiT.book Page 225 Lundi, 1. dcembre 2008 2:48 14
Une srie de tableaux illustre les liens entre les 62 bonnes pratiques et les
principaux axes de gouvernance TI.
Le premier tableau rpartit des attributs risques selon deux catgories
de thmes .
Les cinq premiers thmes correspondent aux domaines de la gouvernance
des TI (alignement stratgique, apport de valeur, gestion des ressources,
gestion des risques et gestion des performances).
Les neuf thmes suivants rsument concrtement les principales proc-
cupations des dirigeants (optimisation des cots, dlivrance de service,
externalisation, scurit, architecture, intgration des systmes, priori-
ts et planification, contrles programms et scurit des applications).
Le second tableau rpartit les objectifs de contrle de CobiT Quickstart
selon les mmes thmes gnraux.
Pour rsumer, CobiT Quickstart est orient bonnes pratiques et guide de
management des TI plus quaudit ; il peut convenir une premire impl-
mentation. Il met de ct le processus DS6, lequel peut reprsenter effecti-
vement un trs gros effort. Toutefois, mme si le nombre dobjectifs est
divis par trois, il reste un grand nombre de processus dployer, ce qui
reprsente demble une lourde charge et ne rsout pas la question de la
conduite du changement au sein de la DSI.
225
Livre CobiT.book Page 226 Lundi, 1. dcembre 2008 2:48 14
parties prenantes et des objectifs de gouvernance qui se font jour. Les prin-
cipaux obstacles au dploiement de CobiT sont les suivants.
Le systme de mesure des indicateurs de fonctionnement
Dans le meilleur des cas, il est htrogne avec une couverture cor-
recte ; le plus souvent, il est htroclite, incomplet et surtout centr
autour des domaines qui bnficient de systmes dinformation exis-
tants (automates dexploitation, centre dassistance, comptabilit,
facturation, paie, achats). Les lments sont donc parfois mesurs avec
une finalit qui nest pas celle de CobiT.
De la mme manire, le pilotage des projets informatiques mriterait
dtre outill pour produire des indicateurs cohrents (temps pass,
cots, estimations, etc.).
En rsum, limplmentation de CobiT ncessiterait de disposer dun
modle de donnes adapt, propre la DSI, conu dans une logique de
gouvernance IT.
Le contrle de gestion de la DSI
Il se base gnralement sur la comptabilit de la socit sans quil
existe un plan analytique de la DSI. Le pralable avant didentifier et
dimputer les cots peut se rvler trs lourd.
La culture du management des processus
Il est fondamental que les quipes aient une culture de lamlioration
de processus, ce qui suppose daccepter de parler des dysfonctionne-
ments pour dpasser le stade lmentaire du chacun pour soi. Cette
culture a pu tre cre au fur et mesure de la mise en place des processus
(ISO 9001, etc.).
Les contrats avec les tiers
La gestion des tiers sest faite au fil du temps. Son efficacit passe
parfois par la rengociation de contrats (fournisseurs, constructeurs,
intgrateurs, infogrants, diteurs, etc.) et lharmonisation des pri-
mtres externaliss. Dans la ralit, certains contrats stalent sur de
longues dures et le travail dharmonisation et de ngociation ne
peut prendre place que dans certains intervalles de temps, plus ou
moins espacs.
Les relations avec les mtiers
La relation avec les mtiers concerne lensemble de la DSI, aussi bien
les services fournir et la scurit que les projets ou la maintenance.
Ces relations sont plus ou moins formalises et propres sinscrire dans
une refonte des processus de la DSI.
Les mthodes mises en uvre sur les projets
Les entreprises ont trs souvent leur propre bibliothque de procdures
et de mthodes pour le cycle de dveloppement de logiciels. Dans les
226
Livre CobiT.book Page 227 Lundi, 1. dcembre 2008 2:48 14
faits, il est rare que les mthodes soient dployes de faon uniforme, et
exceptionnel de dterminer un systme dinformation complet pour
piloter les projets.
Cette liste non exhaustive dobstacles rencontrs couramment donne une
ide de la difficult de transformer une DSI.
Niveau 0
Cest linexistence de processus formaliss et dploys. On est au niveau le
plus artisanal de lorganisation.
227
Livre CobiT.book Page 228 Lundi, 1. dcembre 2008 2:48 14
228
Livre CobiT.book Page 229 Lundi, 1. dcembre 2008 2:48 14
229
Livre CobiT.book Page 230 Lundi, 1. dcembre 2008 2:48 14
230
Livre CobiT.book Page 231 Lundi, 1. dcembre 2008 2:48 14
En rsum
CobiT peut donner limage dun idal inaccessible : 34 processus avec
chacun son niveau de maturit, ses sous-processus, ces mesures et objec-
tifs. Par o prendre le problme du dploiement ? Il est manifeste que
lorganisation doit suivre un rythme appropri, certains processus passant
en priorit par rapport dautres.
condition de respecter ces prcautions, le dploiement de CobiT, surtout
en association avec ITIL, est un objectif facile atteindre pour la majeure
partie des DSI. La difficult principale, on sy attendait, est informatique :
quelle application dvelopper pour grer les processus CobiT ?
231
Livre CobiT.book Page 232 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 233 Lundi, 1. dcembre 2008 2:48 14
PARTIE IV
Annexes
Livre CobiT.book Page 234 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 235 Lundi, 1. dcembre 2008 2:48 14
AnnexeI
Glossaire
Agilit
Lagilit informatique est un concept utilis dans le domaine des sys-
tmes dinformation. Il est mis en uvre par un certain nombre de
mthodes visant avoir une grande ractivit face aux volutions des
besoins des mtiers, grce une collaboration troite avec le client
tout au long du dveloppement.
Alignement stratgique
Lalignement stratgique consiste :
sassurer que les plans stratgiques restent aligns sur les plans des
mtiers ;
dfinir, mettre jour et valider les propositions de valeur ajoute de
linformatique ;
aligner le fonctionnement de linformatique sur le fonctionnement de
lentreprise.
Apport de valeur
Lapport de valeur consiste :
mettre en uvre la proposition de valeur ajoute tout au long du cycle
de fourniture de services ;
sassurer que linformatique apporte bien les bnfices attendus sur le
plan stratgique ;
235
Livre CobiT.book Page 236 Lundi, 1. dcembre 2008 2:48 14
Partie IV Annexes
Architecture informatique
Cadre de rfrence intgr pour faire voluer ou tenir jour les technolo-
gies existantes et en acqurir de nouvelles afin datteindre les objectifs
stratgiques et les objectifs mtier.
Conformit
Mesure par laquelle les processus sont en conformit avec les lois, les
rglements et les contrats.
Condentialit
Mesure par laquelle linformation est protge des accs non autoriss.
236
Livre CobiT.book Page 237 Lundi, 1. dcembre 2008 2:48 14
AnnexeI Glossaire
Contrle interne
Politiques, procdures, pratiques et structures organisationnelles conues
pour fournir une assurance raisonnable que les objectifs mtier seront
atteints et que les vnements indsirables seront prvenus ou dtects et
corrigs.
Dictionnaire de donnes
Base de donnes prcisant, pour chaque donne, le nom, le type, les
valeurs minimale et maximale, la source, les autorisations daccs, le(s)
programme(s) applicatif(s) utilisant cette donne.
Disponibilit
Mesure par laquelle linformation est disponible pour les destinataires en
temps voulu.
Efcacit
Mesure par laquelle linformation contribue au rsultat des processus
mtier par rapport aux objectifs fixs.
237
Livre CobiT.book Page 238 Lundi, 1. dcembre 2008 2:48 14
Partie IV Annexes
Efcience
Mesure par laquelle linformation contribue au rsultat des processus
mtier au meilleur cot.
Fiabilit
Correspond laptitude dun systme fonctionner durablement avec un
minimum dincidents ou dinterruptions.
Gouvernance
La gouvernance dcrit comment un systme est dirig et contrl. Elle
associe le pilotage, cest--dire sassurer que les dcisions actuelles prpa-
rent convenablement lavenir, et le contrle, cest--dire mesurer lcart par
rapport ce qui tait prvu (CIGREF).
238
Livre CobiT.book Page 239 Lundi, 1. dcembre 2008 2:48 14
AnnexeI Glossaire
Gouvernance dentreprise
Ensemble des responsabilits et pratiques assures par le conseil
dadministration et la direction gnrale, dont le but est de fixer la stra-
tgie, de garantir que les objectifs sont atteints et que les risques sont
grs correctement, et de vrifier que les ressources de lentreprise sont uti-
lises bon escient.
Incident
Tout vnement qui ne fait pas partie du fonctionnement standard dun
service et qui cause, ou peut causer, une interruption ou une rduction de
la qualit de ce service.
Infrastructures
Technologies, ressources humaines et quipements qui permettent le
traitement des applications.
Intgrit
Mesure par laquelle linformation correspond la ralit de la situation.
239
Livre CobiT.book Page 240 Lundi, 1. dcembre 2008 2:48 14
Partie IV Annexes
Mesure de la performance
La mesure de la performance consiste en un suivi et une surveillance de la
mise en uvre de la stratgie, de laboutissement des projets, de lutilisa-
tion des ressources, de la performance des processus et de la fourniture
des services.
Problme
Origine inconnue dun ou plusieurs incidents existants ou potentiels.
Risque
Potentialit dune menace donne exploiter les points faibles dun actif
ou dun groupe dactifs pour provoquer des pertes et/ou des dommages
ces actifs. Il se mesure en gnral par une combinaison de consquences
et de probabilits doccurrence.
240
Livre CobiT.book Page 241 Lundi, 1. dcembre 2008 2:48 14
AnnexeI Glossaire
241
Livre CobiT.book Page 242 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 243 Lundi, 1. dcembre 2008 2:48 14
AnnexeII
Objectifs
du systme
dinformation
et processus CobiT
Les tableaux suivants, classs par domaine, rcapitulent lensemble des
liens entre les 28 objectifs du systme dinformation et les 34 processus
CobiT.
243
Livre CobiT.book Page 244 Lundi, 1. dcembre 2008 2:48 14
Partie IV Annexes
Objectifs Processus
technologique
informatiques
lorganisation
stratgique
244
Livre CobiT.book Page 245 Lundi, 1. dcembre 2008 2:48 14
Tableau II-1 : Objectifs du systme dinformation et processus du domaine Planier et Organiser (suite)
Objectifs Processus
technologique
informatiques
lorganisation
stratgique
245
Livre CobiT.book Page 246 Lundi, 1. dcembre 2008 2:48 14
Partie IV Annexes
Objectifs Processus
et en assurer la maintenance
et des modications
informatiques
informatiques
et lutilisation
des solutions
technique
Obj. 01 Ragir aux exigences mtier en accord avec la stratgie
mtier.
Obj. 02 Ragir aux exigences de la gouvernance en accord avec
les orientations du CA.
Obj. 03 Sassurer de la satisfaction des utilisateurs naux
lgard des offres et des niveaux de services.
Obj. 04 Optimiser lutilisation de linformation.
Obj. 05 Donner de lagilit linformatique.
Obj. 06 Dterminer comment traduire les exigences mtier de
fonctionnement et de contrle en solutions
automatises efcaces et efcientes.
Obj. 07 Acqurir et maintenir fonctionnels des systmes
applicatifs intgrs et standardiss.
Obj. 08 Acqurir et maintenir oprationnelle une infrastructure
informatique intgre et standardise.
Obj. 09 Se procurer et conserver les comptences ncessaires
la mise en uvre de la stratgie informatique.
Obj. 10 Sassurer de la satisfaction rciproque dans les relations
avec les tiers.
Obj. 11 Sassurer de lintgration progressive des solutions
informatiques aux processus mtier.
Obj. 12 Sassurer de la transparence et de la bonne
comprhension des cots, bnces, stratgie,
politiques et niveaux de services des SI.
Obj. 13 Sassurer dune bonne utilisation et des bonnes
performances des applications et des solutions
informatiques.
Obj. 14 Protger tous les actifs informatiques et en tre
comptable.
Obj. 15 Optimiser linfrastructure, les ressources et les capacits
informatiques.
246
Livre CobiT.book Page 247 Lundi, 1. dcembre 2008 2:48 14
Tableau II-2 : Objectifs du systme dinformation et processus du domaine Acqurir et Implmenter (suite)
Objectifs Processus
et en assurer la maintenance
et des modications
informatiques
informatiques
et lutilisation
des solutions
technique
Obj. 16 Rduire le nombre de dfauts et de retraitements
touchant la fourniture de solutions et de services.
Obj. 17 Protger latteinte des objectifs informatiques.
Obj. 18 Montrer clairement les consquences pour lentreprise
des risques lis aux objectifs et aux ressources
informatiques.
Obj. 19 Sassurer que linformation critique et condentielle nest
pas accessible ceux qui ne doivent pas y accder.
Obj. 20 Sassurer que les transactions mtier automatises et les
changes dinformations sont ables.
Obj. 21 Sassurer que les services et linfrastructure informatique
peuvent rsister/se rtablir convenablement en cas de
panne due une erreur, une attaque dlibre ou
un sinistre.
Obj. 22 Sassurer quun incident ou une modication dans la
fourniture dun service informatique na quun impact
minimum sur lactivit.
Obj. 23 Sassurer que les services informatiques sont disponibles
dans les conditions requises.
Obj. 24 Amliorer la rentabilit de linformatique et sa
contribution la protabilit de lentreprise.
Obj. 25 Livrer les projets temps et dans les limites budgtaires
en respectant les standards de qualit.
Obj. 26 Maintenir lintgrit de linformation et de
linfrastructure de traitement.
Obj. 27 Assurer la conformit de linformatique aux lois et aux
rglements.
Obj. 28 Sassurer que linformatique fait preuve dune qualit de
service efciente en matire de cots, damlioration
continue et de capacit sadapter des changements
futurs.
247
Livre CobiT.book Page 248 Lundi, 1. dcembre 2008 2:48 14
Partie IV Annexes
Objectifs Processus
physique
Obj. 01 Ragir aux exigences mtier en accord avec la
stratgie mtier.
Obj. 02 Ragir aux exigences de la gouvernance en
accord avec les orientations du CA.
Obj. 03 Sassurer de la satisfaction des utilisateurs naux
lgard des offres et des niveaux de services.
Obj. 04 Optimiser lutilisation de linformation.
Obj. 05 Donner de lagilit linformatique.
Obj. 06 Dterminer comment traduire les exigences
mtier de fonctionnement et de contrle en
solutions automatises efcaces et efcientes.
Obj. 07 Acqurir et maintenir fonctionnels des systmes
applicatifs intgrs et standardiss.
Obj. 08 Acqurir et maintenir oprationnelle une
infrastructure informatique intgre et standardise.
Obj. 09 Se procurer et conserver les comptences
ncessaires la mise en uvre de la stratgie
informatique.
Obj. 10 Sassurer de la satisfaction rciproque dans les
relations avec les tiers.
Obj. 11 Sassurer de lintgration progressive des solutions
informatiques aux processus mtier.
Obj. 12 Sassurer de la transparence et de la bonne
comprhension des cots, bnces, stratgie,
politiques et niveaux de services des SI.
Obj. 13 Sassurer dune bonne utilisation et des bonnes
performances des applications et des solutions
informatiques.
Obj. 14 Protger tous les actifs informatiques et en tre
comptable.
Obj. 15 Optimiser linfrastructure, les ressources et les
capacits informatiques.
248
Livre CobiT.book Page 249 Lundi, 1. dcembre 2008 2:48 14
Tableau II-3 : Objectifs du systme dinformation et processus du domaine Dlivrer et Supporter (suite)
Objectifs Processus
physique
Obj. 16 Rduire le nombre de dfauts et de retraitements
touchant la fourniture de solutions et de services.
Obj. 17 Protger latteinte des objectifs informatiques.
Obj. 18 Montrer clairement les consquences pour
lentreprise des risques lis aux objectifs et aux
ressources informatiques.
Obj. 19 Sassurer que l'information critique et
condentielle nest pas accessible ceux qui ne
doivent pas y accder.
Obj. 20 Sassurer que les transactions mtier automatises
et les changes dinformations sont ables.
Obj. 21 Sassurer que les services et linfrastructure
informatique peuvent rsister/se rtablir
convenablement en cas de panne due une
erreur, une attaque dlibre ou un sinistre.
Obj. 22 Sassurer quun incident ou une modication
dans la fourniture dun service informatique na
quun impact minime sur lactivit.
Obj. 23 Sassurer que les services informatiques sont
disponibles dans les conditions requises.
Obj. 24 Amliorer la rentabilit de linformatique et sa
contribution la protabilit de lentreprise.
Obj. 25 Livrer les projets temps et dans les limites
budgtaires en respectant les standards de qualit
Obj. 26 Maintenir lintgrit de linformation et de
linfrastructure de traitement.
Obj. 27 Assurer la conformit de linformatique aux lois
et aux rglements.
Obj. 28 Sassurer que linformatique fait preuve dune
qualit de services efciente en matire de cots,
damlioration continue et de capacit
sadapter des changements futurs.
249
Livre CobiT.book Page 250 Lundi, 1. dcembre 2008 2:48 14
Partie IV Annexes
Objectifs Processus
obligations externes
performance du SI
interne
des SI
Obj. 01 Ragir aux exigences mtier en accord avec la stratgie mtier.
Obj. 02 Ragir aux exigences de la gouvernance en accord avec les orientations du CA.
Obj. 03 Sassurer de la satisfaction des utilisateurs naux lgard des offres et des
niveaux de services.
Obj. 04 Optimiser lutilisation de linformation.
Obj. 05 Donner de lagilit linformatique.
Obj. 06 Dterminer comment traduire les exigences mtier de fonctionnement et de
contrle en solutions automatises efcaces et efcientes.
Obj. 07 Acqurir et maintenir fonctionnels des systmes applicatifs intgrs et
standardiss.
Obj. 08 Acqurir et maintenir oprationnelle une infrastructure informatique intgre et
standardise.
Obj. 09 Se procurer et conserver les comptences ncessaires la mise en uvre de la
stratgie informatique.
Obj. 10 Sassurer de la satisfaction rciproque dans les relations avec les tiers.
Obj. 11 Sassurer de lintgration progressive des solutions informatiques aux processus
mtier.
Obj. 12 Sassurer de la transparence et de la bonne comprhension des cots, bnces,
stratgie, politiques et niveaux de services des SI.
Obj. 13 Sassurer dune bonne utilisation et des bonnes performances des applications et
des solutions informatiques.
Obj. 14 Protger tous les actifs informatiques et en tre comptable.
Obj. 15 Optimiser linfrastructure, les ressources et les capacits informatiques.
Obj. 16 Rduire le nombre de dfauts et de retraitements touchant la fourniture de
solutions et de services.
Obj. 17 Protger latteinte des objectifs informatiques.
250
Livre CobiT.book Page 251 Lundi, 1. dcembre 2008 2:48 14
Tableau II-4 : Objectifs du systme dinformation et processus du domaine Surveiller et valuer (suite)
Objectifs Processus
obligations externes
performance du SI
interne
des SI
Obj. 18 Montrer clairement les consquences pour lentreprise des risques lis aux
objectifs et aux ressources informatiques.
Obj. 19 Sassurer que linformation critique et condentielle nest pas accessible ceux
qui ne doivent pas y accder.
Obj. 20 Sassurer que les transactions mtier automatises et les changes dinformations
sont ables.
Obj. 21 Sassurer que les services et linfrastructure informatique peuvent rsister/se
rtablir convenablement en cas de panne due une erreur, une attaque
dlibre ou un sinistre.
Obj. 22 Sassurer quun incident ou une modication dans la fourniture dun service
informatique na quun impact minimum sur lactivit.
Obj. 23 Sassurer que les services informatiques sont disponibles dans les conditions
requises.
Obj. 24 Amliorer la rentabilit de linformatique et sa contribution la protabilit de
lentreprise.
Obj. 25 Livrer les projets temps et dans les limites budgtaires en respectant les
standards de qualit.
Obj. 26 Maintenir lintgrit de linformation et de linfrastructure de traitement.
Obj. 27 Assurer la conformit de linformatique aux lois et aux rglements.
Obj. 28 Sassurer que linformatique fait preuve dune qualit de service efciente en
matire de cots, damlioration continue et de capacit sadapter des
changements futurs.
251
Livre CobiT.book Page 252 Lundi, 1. dcembre 2008 2:48 14
Livre CobiT.book Page 253 Lundi, 1. dcembre 2008 2:48 14
Index
253
Livre CobiT.book Page 254 Lundi, 1. dcembre 2008 2:48 14
Index
254
Livre CobiT.book Page 255 Lundi, 1. dcembre 2008 2:48 14
Index
255
Livre CobiT.book Page 256 Lundi, 1. dcembre 2008 2:48 14
Index
objectifs
mtier 51
P
Obj. 01 53, 57, 65, 90, 97, 118, 122,
129, 137, 180 PCA (Plan de continuit des
Obj. 02 53, 65, 90, 180, 191 activits) 87
Obj. 03 109, 129, 134, 154, 157, 164, pilotage stratgique 205
176 plan
Obj. 04 57, 168 dinfrastructure technologique 60,
Obj. 05 57, 65, 78, 105 104
Obj. 06 97, 101, 118 de compte 151
Obj. 07 61, 101, 113 de continuit informatique 142
Obj. 08 105, 113 de maintenance de linfrastructure
Obj. 09 78, 113 106
Obj. 10 134 de traitement des risques 87
Obj. 11 57, 109, 122 informatique
Obj. 12 70, 74, 129, 134, 150, 181, stratgique 8, 51, 112
191 tactique 52, 112
Obj. 13 74, 109, 122, 154, 157 PO1 Dfinir un plan informatique
Obj. 14 86, 145, 161, 172, 184 stratgique 51
Obj. 15 61, 105, 137, 154, 161 PO2 Dfinir larchitecture de
Obj. 16 82, 109, 118, 122, 164 linformation 55
256
Livre CobiT.book Page 257 Lundi, 1. dcembre 2008 2:48 14
Index
257
Livre CobiT.book Page 258 Lundi, 1. dcembre 2008 2:48 14
Index
258
12427_Cobit_17x23 10/12/08 14:59 Page 1
CobiT D O M I N I Q U E M O I S A N D
DOMINIQUE MOISAND
GARNIER DE LABAREYRE
FABRICE GARNIER DE LABAREYRE
R
frence incontournable au sein de la communaut des audi-
teurs informatiques depuis plus de dix ans, CobiT (Control
OBjectives for Information and related Technology) est
devenu un standard de la gouvernance des systmes dinformation.
Publies par lISACA (Information Systems Audit and Control
CobiT
Les auteurs Association) et lITGI (Information Technology Governance Institute),
Dominique Moisand a occup divers postes
les dernires versions 4.0 et 4.1 rpondent tout particulirement aux
responsabilit au sein de PricewaterhouseCoopers problmatiques de management des systmes dinformation.
avant de crer en 1990 le cabinet ASK, conseil en
management et organisation, qui s'attache notam- Sappuyant sur la version 4.1 de CobiT, cet ouvrage en trois volets
ment amliorer la gouvernance des systmes replace ce rfrentiel dans le contexte global de la gouvernance des
d'information des grands comptes. Vice-prsident systmes dinformation. La premire partie dresse un panorama des
de lAFAI (Association franaise de laudit et du diffrents rfrentiels existants, en dcrivant leurs champs daction
conseil informatiques) pendant cinq ans, il a colla-
et leur positionnement vis--vis de CobiT. Dans la deuxime partie
bor plusieurs traductions des ouvrages de
lISACA et diverses publications : Matrise dou- sont dtaills les 34 processus de CobiT selon un plan standard, avec
vrage et matrise duvre, Audit des projets, Le mise en lumire de leurs forces et faiblesses. Enfin, la troisime par-
client pivot de la gouvernance Il anime avec tie expose des cas pratiques dutilisation et de dploiement de CobiT,
Fabrice Garnier de Labareyre des sminaires sur la correspondant un vritable mode demploi du rfrentiel. Cet
convergence des rfrentiels de la DSI.
ouvrage apportera ainsi des rponses pragmatiques tous ceux qui
Associ du cabinet ASK Conseil, Fabrice Garnier souhaitent implmenter CobiT dans leur systme dinformation
de Labareyre exerce le mtier de consultant dans ou le concilier avec dautres rfrentiels comme ITIL, CMMi ou
FABRICE
le domaine des technologies de linformation ISO 27001.
depuis plus de quinze ans. Frquemment conseil
de la Direction gnrale et de la DSI de grandes
entreprises, il intervient sur les missions strat-
giques relevant de la gouvernance des systmes
dinformation : pilotage des organisations, matrise Au sommaire
des grands projets, performance et qualit des ser-
vices, scurit de linformation Il est galement
CobiT et la gouvernance TI. Prsentation gnrale de CobiT.
Historique de CobiT. Les cinq axes stratgiques. Les autres
Implmentation ISO 27001
administrateur de lAFAI. rfrentiels de la gouvernance des TI. Le pilotage stratgique.
Le management de la scurit. ITIL : le management des
services. Le management des tudes. Les modles "qualit".
Apprhender CobiT. Documents et publications autour de
CobiT. qui s'adresse CobiT ? Les limites : ce que CobiT n'est
CobiT
qui sadresse ce livre ? pas. Description dtaille des processus. Planifier et Organi-
ser. Acqurir et Implmenter. Dlivrer et Supporter. Surveiller
Aux auditeurs et valuer. Mettre en oeuvre CobiT. CobiT pour l'audit. Le
Aux managers de linformatique code professionnel d'thique. La mission d'audit. Le contrle
interne. L'outil Quick Scan. CobiT fdrateur. Le pilotage
et aux DSI stratgique. Conjuguer ITIL et CobiT. CobiT et la norme
Aux chefs dentreprise
et aux directions financires
ISO/IEC 27002. CobiT et la norme ISO/IEC 27001. CobiT et
CMMi. La certification. Transformer la DSI. CobiT Quickstart.
Pour une meilleure gouvernance
Pour un dploiement tag. Annexes. Glossaire. Objectifs
Aux consultants et aux formateurs
Aux acteurs de linfogrance
du systme d'information et processus CobiT. des systmes d'information