COBIT-5-Implementation Res Fra 0217 PDF

Mise en œuvre
Personal Copy of: Mr. Immanuel Alexandru Giulea

MISE EN ŒUVRE
ISACA®
Forte de ses 95 000 membres répartis dans 160 pays, l’ISACA (www.isaca.org) est un chef de file mondial en matière
de connaissances, de certifications, de soutien à la communauté, de sensibilisation et de formation dans les domaines
de la sécurité et de l’audit des systèmes d’information (SI), de la gestion et de la gouvernance des TI de l’entreprises
ainsi que de la gestion du risque et de la conformité liés aux TI. Fondée en 1969, l’ISACA, organisme indépendant
et sans but lucratif, organise des conférences internationales, publie la revue ISACA Journal® et élabore des normes
internationales en audit et contrôle des systèmes d’information afin d’aider ses membres à promouvoir des systèmes
d’information de confiance et créateurs de valeur. Elle fait également progresser les connaissances et l’expertise en
matière de TI et les vérifie par le biais des certifications mondialement reconnues du CISA® (Certified Information
Systems Auditor®), du CISM® (Certified Information Security Manager®), du CGEIT® (Certified in the Governance of
Enterprise IT®) et du CRISCMC (Certified in Risk and Information Systems ControlMC). L’ISACA tient continuellement
à jour le référentiel COBIT®, qui aide les professionnels des TI et les dirigeants d’entreprise à s’acquitter de leurs
responsabilités en matière de gouvernance et de gestion des TI, notamment dans les domaines de l’audit, de la sécurité,
des risques, du contrôle et de la création de valeur pour l’entreprise.
Énoncé de qualité
Ce travail a été traduit en français à partir de la version anglaise du COBIT® 5 Mise en oeuvre par la section de Québec
de l’ISACA® avec la permission de l’ISACA®. La section de Québec de l’ISACA® assume l’entière responsabilité de
l’exactitude et de la fidélité de la traduction.
Quality Statement
This Work is translated into French from the English language version of COBIT® 5 Implementation by the ISACA®
Quebec Chapter with the permission of ISACA®. The ISACA® Quebec Chapter assumes sole responsibility for the
accuracy and faithfulness of the translation.
Copyright
© 2012 ISACA. Tous droits réservés. Pour obtenir des guides d’utilisation, consultez le www.isaca.org/COBITuse.
Copyright
© 2012 ISACA. All rights reserved. For usage guidelines, see www.isaca.org/COBITuse.
Avertissement
L’ISACA a conçu cette publication, intitulée COBIT® 5 : Mise en oeuvre (le « document »), principalement à des fins
éducatives pour les professionnels de l’audit, de la gestion du risque, de la sécurité et de la gouvernance des TI de
l’entreprise (GEIT). L’ISACA ne fait aucune revendication voulant que l’utilisation de toute partie du travail assure un
résultat positif. Le travail ne doit pas être considéré comme comportant toute l’information, les procédures et les tests
nécessaires, ni comme excluant d’autres renseignements, procédures et tests destinés raisonnablement à obtenir les
mêmes résultats. Afin de déterminer si une information, une procédure ou un test spécifique est approprié, les lecteurs,
professionnels de la gouvernance des systèmes d’information et de l’audit, de la sécurité et des risques doivent se faire
leur propre opinion en fonction des cas particuliers rencontrés dans leur environnement.
Disclaimer
ISACA has designed this publication, COBIT®5 Implementation (the ‘Work’), primarily as an educational resource for
governance of enterprise IT (GEIT), assurance, risk and security professionals. ISACA makes no claim that use of any
of the Work will assure a successful outcome. The Work should not be considered inclusive of all proper information,
procedures and tests or exclusive of other information, procedures and tests that are reasonably directed to obtaining
the same results. In determining the propriety of any specific information, procedure or test, readers should apply
their own professional judgement to the specific GEIT, assurance, risk and security circumstances presented by the
particular systems or information technology environment.
ISACA
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Téléphone : 1 847 253-1545
Télécopieur : +1 847 253-1443
Courriel : info@isaca.org
Site Web : www.isaca.org
Commentaires : www.isaca.org/cobit
Participez au centre de connaissances de l’ISACA : www.isaca.org/knowledge-center
Suivez ISACA sur Twitter : https://twitter.com/ISACANews
Joignez-vous aux discussions relatives à COBIT sur Twitter : #COBIT
Rejoignez l’ISACA sur LinkedIn : ISACA (officiel), http://linkd.in/ISACAOfficial
Aimez ISACA sur Facebook : www.facebook.com/ISACAHQ
COBIT® 5 Mise en œuvre

ISBN 978-1-60420-631-9
6
2
REMERCIEMENTS
REMERCIEMENTS
ISACA tient à remercier :
Le groupe de travail sur COBIT 5 (2009 à 2011)
John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, USA, Co-chair
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP,
Ravenswood Consultants Ltd., UK, Co-chair
Pippa G. Andrews, CISA, ACA, CIA, KPMG, Australia
Elisabeth Judit Antonsson, CISM, Nordea Bank, Sweden
Steven A. Babb, CGEIT, CRISC, Betfair, UK
Steven De Haes, Ph.D., University of Antwerp Management School, Belgium
Peter Harrison, CGEIT, FCPA, IBM Australia Ltd., Australia
Jimmy Heschl, CISA, CISM, CGEIT, ITIL Expert, bwin.party digital entertainment plc, Austria
Robert D. Johnson, CISA, CISM, CGEIT, CRISC, CISSP, Bank of America, USA
Erik H.J.M. Pols, CISA, CISM, Shell International-ITCI, The Netherlands
Vernon Richard Poole, CISM, CGEIT, Sapphire, UK
Abdul Rafeq, CISA, CGEIT, CIA, FCA, A. Rafeq and Associates, India
L'équipe de développement
Gert du Preez, CGEIT, PwC, Canada
Gary Hardy, CGEIT, IT Winners, South Africa
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgique
Les réviseurs experts

Brian Barnier, CGEIT, CRISC, ValueBridge Advisors, É.-U.
Dirk Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory, Belgium
Christophe Burtin, CISA, ITIL LA 27001, Stratégie et gouvernance, Luxembourg
Ben Farhangui, Atos Worldline, Belgique
James Golden, CISM, CGEIT, CRISC, CISSP, IBM, É.-U.
Jorge Hidalgo, CISA, CISM, CGEIT, ATC, Lic. Sistemas, Argentina
John Manzini, ITIL, Denel Aviation, Afrique du Sud
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Independent Consultant, Colombia
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, South Africa
Martin Rosenberg, Ph.D., Cloud Governance Ltd., UK
Claus Rosenquist, CISA, CISSP, Nets Holding, Denmark
Michael Shortt, CISA, CGEIT, Governance Realm IT, Afrique du Sud
Ant Smith, Ph. D., JD Group, Afrique du Sud
Greet Volders, CGEIT, Voquals N.V., Belgium
Charl Weitz, CISA, Metropolitan, Afrique du Sud
Tichaona Zororo, CISA, CISM, CGEIT, Standard Bank, Afrique du Sud
Le Conseil d’administration de l’ISACA

Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retired), USA, International President
Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT S.A., Greece, Vice President
Gregory T. Grocholski, CISA, The Dow Chemical Co., USA, Vice President
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, Queensland Government, Australia, Vice President
Niraj Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., India, Vice President
Jeff Spivey, CRISC, CPP, PSP, Security Risk Management, Inc., USA, Vice President
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australia, Vice President
Emil D’Angelo, CISA, CISM, Bank of Tokyo-Mitsubishi UFJ Ltd., (retraité), É.-U., ancien président international
Lynn C. Lawton, CISA, CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Russian Federation, Past International President
Allan Neville Boardman, CISA, CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, UK, Director
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Director
3
MISE EN ŒUVRE
REMERCIEMENTS (SUITE)
Le conseil d’experts
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgium, Chairman
Michael A. Berardi Jr., CISA, CGEIT, Bank of America, USA
John Ho Chi, CISA, CISM, CRISC, CBCP, CFE, Ernst & Young LLP, Singapour
Phillip J. Lageschulte, CGEIT, CPA, KPMG LLP, USA
Jon Singleton, CISA, FCA, Auditor General of Manitoba (retired), Canada
Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, France
Le comité du référentiel (2009 à 2012)

Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, France, Chairman
Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Solvay Brussels School of Economics and Management,
Belgique, ancien vice-président
Steven A. Babb, CGEIT, CRISC, Betfair, R.-U.
Sushil Chatterji, CGEIT, Edutech Enterprises, Singapour
Sergio Fleginsky, CISA, Akzo Nobel, Uruguay
John W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, USA
Mario C. Micallef, CGEIT, CPAA, FIA, Malta
Anthony P. Noble, CISA, CCP, Viacom, É.-U.
Derek J. Oliver, Ph. D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP,
Ravenswood Consultants Ltd., R.-U.
Robert G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (retired), Canada
Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa AG, Suisse
Jo Stewart-Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australia
Robert E. Stroud, CGEIT, CA Inc., USA
Les affiliés et commanditaires de l’ISACA et de l’IT Governance Institute® (ITGI®)

American Institute of Certified Public Accountants
Commonwealth Association for Corporate Governance Inc.
FIDA Inform
Information Security Forum
Institute of Management Accountants Inc.
ISACA chapters
ITGI France
ITGI Japan
Norwich University
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) of the National University of Singapore
University of Antwerp Management School
Enterprise GRC Solutions Inc.

Hewlett-Packard
IBM
Symantec Corp.
Équipe de traduction ISACA-Québec :

Gilles Gravel, CISA, CISM
David Henrard, CISM, CRISC
Gérard Lépine, CISA, CGEIT, CRISC
Avec le concours d’Alain Bonneaud, CGEIT

et de Pierre-Martin Tardif, CGEIT (ISACA-Montréal)
4
TABLE DES MATIÈRES
TABLE DES MATIÈRES

Liste des figures .................................................................................................................................................................7
Chapitre 1. Introduction ...................................................................................................................................................9

Objectifs et portée du guide ..........................................................................................................................................10
Chapitre 2. Positionnement de la GEIT ........................................................................................................................13

Compréhension du contexte..........................................................................................................................................13
Qu’est-ce que la GEIT? .........................................................................................................................................13
Pourquoi la GEIT est-elle si importante? ..............................................................................................................13
Que devrait livrer la GEIT? ...................................................................................................................................15
Exploiter COBIT 5 et intégrer les référentiels, les normes et les bonnes pratiques .....................................................15
Principes et facilitateurs ........................................................................................................................................16
Chapitre 3. Premiers pas vers la GEIT .........................................................................................................................17

Création de l’environnement approprié ........................................................................................................................17
Application d’une approche fondée sur le cycle de vie de l’amélioration continue .....................................................18
Phase 1 – Quelles sont les motivations? ................................................................................................................20
Phase 2 – Où en sommes-nous? ............................................................................................................................20
Phase 3 – Où voulons-nous aller?..........................................................................................................................20
Phase 4 – Que faut-il faire? ...................................................................................................................................20
Phase 5 – Comment y parvenir? ............................................................................................................................20
Phase 6 – Y sommes-nous arrivés?........................................................................................................................20
Phase 7 – Comment maintenir le rythme?.............................................................................................................20
Démarrage – Identification de la nécessité d’agir : Reconnaître les points
de douleur et les événements déclencheurs ..................................................................................................................21
Points de douleur typiques .....................................................................................................................................21
Événements déclencheurs dans l’environnement interne et externe .....................................................................22
Implication des parties prenantes ..........................................................................................................................24
Reconnaissance des rôles et des exigences des parties prenantes ................................................................................24
Parties prenantes internes ......................................................................................................................................24
Parties prenantes externes......................................................................................................................................25
Assurance indépendante et rôle des auditeurs .......................................................................................................26
Chapitre 4. Identification des défis de mise en œuvre et des facteurs de succès .......................................................27
Création d’un environnement approprié .......................................................................................................................27
Phase 2 – Où en sommes-nous? et Phase 3 – Où voulons-nous aller? ..................................................................29
Phase 6 – Y sommes-nous arrivés? et Phase 7 – Comment maintenir le rythme? ................................................33
Chapitre 5. Facilitation du changement ........................................................................................................................35

Le besoin de faciliter le changement ............................................................................................................................35
La facilitation du changement de la mise en oeuvre de la GEIT...........................................................................36
Les phases du cycle de vie de la facilitation du changement créent l’environnement approprié .................................36
Phase 1 – Établir le désir de changer .....................................................................................................................37
Phase 2 – Former une équipe de mise en oeuvre efficace .....................................................................................37
Phase 3 – Communiquer la vision désirée .............................................................................................................37
Phase 4 – Donner le pouvoir aux acteurs et identifier les gains rapides ................................................................38
Phase 5 – Faciliter les opérations et l’utilisation ...................................................................................................38
Phase 6 – Intégrer de nouvelles approches ............................................................................................................38
Phase 7 – Soutenir .................................................................................................................................................38
5
MISE EN ŒUVRE
Chapitre 6. Tâches, rôles et responsabilités liés au cycle de vie de la mise en œuvre ................................................39
Introduction...................................................................................................................................................................39
Phase 2 – Où en sommes-nous? ............................................................................................................................42
Phase 3 – Où voulons-nous aller?..........................................................................................................................45
Phase 6 – Y sommes-nous arrivés?........................................................................................................................53
Phase 7 – Comment maintenir le rythme?.............................................................................................................56
Chapitre 7. Utilisation des composants de COBIT 5 ...................................................................................................59

Principes de transition pour les utilisateurs de COBIT 4.1, de Val IT et de Risk IT ....................................................59
Planification et définition de la portée .........................................................................................................................62
Mesure de la performance .....................................................................................................................................62
Pratiques et activités de gouvernance et de gestion ..............................................................................................62
Rôles et responsabilités .........................................................................................................................................63
Annexe A. Cartographier les points critiques selon les processus de COBIT 5 ........................................................65
Annexe B. Exemple de matrice de prise de décisions...................................................................................................67
Annexe C. Cartographier les exemples de scénarios de risque selon les processus de COBIT 5.............................71
Annexe D. Exemple de dossier d’affaires ......................................................................................................................77

Sommaire exécutif ........................................................................................................................................................77
Contexte (voir le chapitre 2, intitulé Positionnement de la GEIT) ...............................................................................78
Défis d’affaires (voir la section 3 du chapitre 3, intitulée Démarrage – Définir la nécessité d’agir :
Reconnaissance des points de douleur et des événements déclencheurs) ....................................................................78
Analyse des écarts et objectif ................................................................................................................................79
Autres solutions envisagées ...................................................................................................................................79
Solution proposée .........................................................................................................................................................80
Phase 1. Planification (voir le chapitre 3, intitulé Premiers pas vers la GEIT) .....................................................80
Phase 2. Mise en oeuvre du programme (voir la section 2 du chapitre 3. Application d’une approche
de cycle de vie pour l’amélioration continue) .......................................................................................................80
Portée du programme.............................................................................................................................................80
Méthodologie et alignement du programme (voir le chapitre 6. Tâches, rôles et responsabilités
liés au cycle de vie de la mise en oeuvre)..............................................................................................................81
Livrables du programme (voir le chapitre 6. Tâches, rôles et responsabilités liés au cycle de vie de la
mise en oeuvre)......................................................................................................................................................81
Risques du programme (voir le chapitre 5. Faciliter le changement) ....................................................................81
Parties prenantes (voir la section 4 du chapitre 3. Reconnaissance des rôles et des exigences des parties
prenantes) ..............................................................................................................................................................82
Analyse coût-bénéfice............................................................................................................................................82
Défis et facteurs de réussite (voir le chapitre 4. Définition des facteurs de succès et des défis concernant la
mise en oeuvre).............................................................................................................................................................82
Annexe E. Tableau des attributs de maturité de COBIT 4.1 .......................................................................................85
6
LISTE DES FIGURES
LISTE DES FIGURES

Figure 1 – Gamme de produits de COBIT 5 ........................................................................................................................... 9
Figure 2 – Principes de COBIT .............................................................................................................................................. 16
Figure 3 – Rôles nécessaires pour la création de l’environnement approprié ..................................................................... 18
Figure 4 – Tableau RACI pour la création d’un environnement approprié ......................................................................... 18
Figure 5 – Les composants du cycle de vie .......................................................................................................................... 19
Figure 6 – Les sept phases du cycle de vie de la mise en œuvre ........................................................................................ 19
Figure 7 – Survol des parties prenantes internes de la GEIT ............................................................................................... 24
Figure 8 – Exemple de parties prenantes externes à la GEIT .............................................................................................. 26
Figure 9 – Phase 1 – Quelles sont les motivations? .............................................................................................................. 27
Figure 10 – Phase 2 – Où en sommes-nous? et Phase 3 – Où voulons-nous aller?............................................................ 29
Figure 11 – Phase 4 – Que faut-il faire? ................................................................................................................................ 30
Figure 12 – Phase 5 – Comment y parvenir?......................................................................................................................... 31
Figure 13 – Phase 6 – Y sommes-nous arrivés? et Phase 7 – Comment maintenir le rythme? ......................................... 33
Figure 14 – Les sept phases du cycle de vie de la mise en oeuvre ...................................................................................... 36
Figure 15 – Phase 1 du cycle de vie d’amélioration continue .............................................................................................. 39
Figure 16 – Rôles de la phase 1 .............................................................................................................................................. 40
Figure 17 – Description de la phase 1 .................................................................................................................................... 40
Figure 18 – Tableau RACI de la phase 1................................................................................................................................ 41
Figure 19 – Phase 2 du cycle de vie d’amélioration continue ............................................................................................. 42
Figure 43 – Principes de COBIT 5 ......................................................................................................................................... 59
Figure 44 – Modèle de référence des processus de COBIT 5 .............................................................................................. 65
Figure 45 – Points de douleur cartographiés selon les processus de COBIT 5................................................................... 66
Figure 46 – Exemple de matrice de prise de décisions ......................................................................................................... 67
Figure 47 – Scénarios de risque et capacités des processus de COBIT 5 ........................................................................... 71
Figure 48 – Défis et actions planifiées pour Acme Corporation ......................................................................................... 83
Figure 49 – Tableau de maturité de COBIT 4.1 .................................................................................................................... 85
7
MISE EN ŒUVRE
Page laissée vide intentionnellement
8
CHAPITRE 1
INTRODUCTION
CHAPITRE 1
INTRODUCTION
COBIT 5 : Mise en œuvre complète de COBIT 5 (figure 1). L’objectif de ce guide de référence est de fournir de bonnes
pratiques concernant la mise en œuvre de la GEIT en fonction d’un cycle de vie d’amélioration continue qui doit être
adapté aux besoins particuliers de l’entreprise.
Figure 1 – Gamme de produits de COBIT 5
COBIT® 5
COBIT 5 Guides facilitants
COBIT® 5 : COBIT® 5 : Autres
Processus facilitants Information facilitante guides facilitants
COBIT 5 Guides professionnels

COBIT® 5 pour COBIT® 5 COBIT® 5 Autres guides
COBIT® 5 Mise en œuvre la sécurité de pour l’assurance pour le risque professionnels
l’information
Environnement collaboratif en ligne de COBIT 5
Le référentiel COBIT 5 repose sur cinq principes de base, qui seront abordés en détail et comprend des directives
détaillées sur les facilitateurs pour la gouvernance et la gestion des TI de l’entreprise.
La gamme de produits de COBIT 5 est composée des produits suivants :

COBIT 5 (le référentiel)
Les guides facilitants de COBIT 5, qui traitent en détail des facilitateurs de la gouvernance et de la gestion. Ils
comprennent :
COBIT 5 : Processus facilitants
COBIT 5 : Information facilitante
Autres guides (consultez le www.isaca.org/cobit)
Les guides professionnels de COBIT 5, qui comprennent :
COBIT 5 Mise en œuvre
– COBIT 5 pour la sécurité de l’information
– COBIT 5 pour l’assurance
– COBIT 5 pour le risque
– Autres guides professionnels (consultez le www.isaca.org/cobit)
Un environnement collaboratif en ligne, qui sera disponible pour soutenir l’utilisation de COBIT 5
Cette publication est structurée comme suit :

• Le chapitre 2 explique le positionnement de la GEIT dans une entreprise.
• Le chapitre 3 discute des premiers pas menant à l’amélioration de la GEIT.
• Le chapitre 4 traite des facteurs de succès et des défis concernant la mise en œuvre.
• Le chapitre 5 porte sur les changements organisationnels et comportementaux liés à la GEIT.
• Le chapitre 6 détaille les améliorations continues de la mise en œuvre, qui comprennent la facilitation du changement
et la gestion du programme.
• Le chapitre 7 discute de l’utilisation de COBIT 5 et des composants de ce dernier.
Un certain nombre d’annexes sont également incluses :
– L’annexe A présente les processus de COBIT 5 et cartographie les points de douleur pour les processus.
– L’annexe B donne un exemple de matrice de prise de décisions.
– L’annexe C cartographie des exemples de scénarios de risque pour les processus de COBIT 5.
– L’annexe D donne un exemple de dossier d’affaires.
– L’annexe E présente le tableau d’attributs de maturité de COBIT 4.1.
Personal Copy of: Mr. Immanuel Alexandru Giulea 9

MISE EN ŒUVRE
L’amélioration de la gouvernance des TI de l’entreprise (GEIT) est largement reconnue par les membres des hautes
directions comme étant une partie essentielle de la gouvernance des entreprises. À une époque où chaque aspect
du monde des affaires et de la vie publique est touché par l’importance sans cesse croissante de l’information et de
l’omniprésence des technologies de l’information (TI), il est plus nécessaire que jamais de générer davantage de
valeur des investissements en TI et de gérer un éventail croissant de risques liés aux TI. En raison des règlements de
plus en plus nombreux, les conseils d’administration prennent conscience de l’importance d’avoir un environnement
informatique bien contrôlé et de la nécessité de se conformer aux obligations légales, réglementaires et contractuelles.
Une GEIT efficace se traduira par l’amélioration de la performance des entreprises ainsi que par la conformité aux
exigences externes, bien qu’une mise en œuvre réussie demeure difficile pour de nombreuses entreprises. Une GEIT
efficace exige la présence d’un ensemble de facilitateurs dont les rôles et les responsabilités sont établis avec soin et
correspondent au style et aux normes opérationnelles de l’entreprise. Ces facilitateurs comprennent une culture et un
comportement appropriés; des principes directeurs et des politiques; des structures organisationnelles; des processus de
gouvernance et de gestion bien définis et gérés; les informations requises pour prendre des décisions; des solutions et
des services de soutien; des compétences appropriées en matière de gouvernance et de gestion.
Pendant de nombreuses années, l’ISACA a étudié ce domaine clé de la gouvernance

d’entreprise afin de faire progresser la réflexion internationale et de fournir des
orientations pour l’évaluation, la direction et la surveillance de l’utilisation des TI
L’amélioration de la par une entreprise. L’ISACA a développé le référentiel COBIT 5 afin d’aider les
entreprises à mettre en œuvre les facilitateurs de bonne gouvernance; en effet, la
gouvernance des TI de mise en œuvre d’une GEIT appropriée est presque impossible à réaliser sans un cadre
l’entreprise est de plus en plus de gouvernance efficace. De bonnes pratiques et des normes permettent également
reconnue par les membres de d’étayer COBIT 5.
la haute direction comme étant Les cadres, les bonnes pratiques et les normes ne sont utiles que si elles sont
une partie essentielle de la adoptées et adaptées efficacement. Afin d’implanter la GEIT avec succès, des
gouvernance des entreprises. défis doivent être surmontés et des problèmes doivent être abordés. Le conseil
d’administration et les gestionnaires doivent être davantage responsables des TI,
fournir des principes directeurs et un cadre, et inculquer un nouvel état d’esprit et
une culture différente dans le but de retirer de la valeur des TI.
Objectifs et portée du guide

Dans le document COBIT 5 Mise en œuvre, l’accent est mis sur la gouvernance des TI à l’échelle de l’entreprise. Ce
guide et COBIT 5 reconnaissent que l’information et les technologies de l’information connexes sont omniprésentes
dans les entreprises et qu’il n’est ni possible ni souhaitable de séparer le domaine des affaires des activités liées aux TI.
La gouvernance et la gestion des TI d’une entreprise doivent donc être implantées en tant que parties intégrantes de la
gouvernance de l’entreprise, couvrant entièrement les responsabilités liées aux TI et aux affaires.
Ce guide est également soutenu par des outils de mise en œuvre qui contiennent une variété de ressources en
amélioration constante et que les membres de l’ISACA peuvent télécharger au www.isaca.org/cobit. Ce guide inclut :
• Des outils d’autoévaluation, de mesure et de diagnostic
• Des présentations
• Des articles connexes et des explications supplémentaires
L’une des raisons courantes de l’échec de la mise en œuvre de la GEIT est que cette dernière n’est pas instaurée et gérée
correctement, comme devrait l’être un programme visant l’obtention de bénéfices. Les programmes de GEIT doivent
être parrainés par la haute direction, leur portée doit être correctement établie et ils doivent contenir des objectifs
réalisables de sorte que l’entreprise puisse gérer le changement tel que prévu. La gestion des programmes est donc
considérée comme partie intégrante du cycle de vie de la mise en œuvre.
La mise en œuvre de la GEIT
De plus, on suppose que si une approche de programme et de projet est
doit être gérée comme un recommandée dans le but de gérer efficacement les initiatives d’amélioration,
programme parrainé par la elle vise également à mettre en place une « pratique d’affaires reconnue » et une
haute direction, sa portée doit approche durable de la gouvernance et de la gestion des TI de l’entreprise, et ce,
comme pour tout autre aspect de la gouvernance de l’entreprise. Pour ces raisons,
être correctement établie et les fondements de l’approche de mise en œuvre consistent à donner les moyens
elle doit contenir des objectifs nécessaires aux parties prenantes des unités d’affaires et des TI pour prendre des
réalisables. décisions à l’égard des activités de gouvernance et de gestion des TI, et ce, en
facilitant et en favorisant le changement. Le programme de mise en œuvre sera
10 Personal Copy of: Mr. Immanuel Alexandru Giulea

CHAPITRE 1
INTRODUCTION
terminé lorsque le processus de l’amélioration des priorités et de la gouvernance liées aux TI générera un bénéfice
mesurable et fera partie intégrante des activités courantes de l’entreprise.
Ce document ne constitue pas une approche normative ni une solution exhaustive, mais plutôt un guide pour éviter
les pièges, pour tirer parti des bonnes pratiques et pour contribuer à l’atteinte de résultats positifs de gouvernance et
de gestion au fil du temps. Chaque entreprise appliquera son propre plan ou sa propre feuille de route en fonction de
facteurs tels que son secteur d’activité, son milieu, sa culture et ses objectifs. Le point de départ, à ce moment, sera tout
aussi important. Peu d’entreprises ne possèdent aucune structure ou aucun processus de GEIT, même si ces structures
ou ces processus ne sont pas reconnus comme tels pour le moment. Par conséquent, plutôt que de réinventer quelque
chose de différent, il faut bâtir sur ce que l’entreprise a déjà mis en place, et particulièrement tirer parti des approches
existantes et fructueuses à l’échelle de l’entreprise qui peuvent être adoptées et, si nécessaire, être adaptées aux TI. En
outre, il n’est pas nécessaire de retravailler les améliorations précédentes utilisant COBIT 4.1 ou d’autres normes et
bonnes pratiques, mais elles peuvent, et doivent être, mises en place en utilisant COBIT 5 et ce guide mis à jour, en tant
que partie intégrante de l’amélioration continue.
Les utilisateurs de ce guide ont intérêt à se familiariser avec la GEIT, et l’équipe responsable de la mise en œuvre
doit avoir l’expertise nécessaire pour mettre en œuvre avec succès la GEIT à l’aide de COBIT 5. La mise en place de
programmes éducatifs assurera une bonne compréhension des concepts de COBIT 5, permettra d’expliquer comment
utiliser les composants de COBIT 5 et la façon d’appliquer cette méthode de mise en œuvre, et fournira d’autres
directives connexes en provenance de l’ISACA, y compris l’évaluation de la capacité des processus et les activités
d’assurance qui se basent sur COBIT 5. Le programme « Certified in the Governance of Enterprise IT » (CGEIT) de
l’ISACA prend également en charge le développement et la reconnaissance des aptitudes et des compétences en matière
de gouvernance des TI.
COBIT 5 peut être téléchargé gratuitement au www.isaca.org/cobit. Vous trouverez également sur cette page un lien
vers les produits de l’ISACA offerts pour soutenir la mise en œuvre.
Ce guide présente une meilleure compréhension et une expérience pratique liées à la mise en œuvre de la GEIT, les
leçons apprises lors de l’application et de l’utilisation de versions antérieures, et les mises à jour qui ont été apportées
par l’ISACA aux orientations de la GEIT. Puisque les TI évoluent rapidement, les utilisateurs de ce guide devraient
également être familier avec les publications professionnelles de l’ISACA ainsi que les normes et les bonnes pratiques
provenant d’autres organisations et qui peuvent être publiées de temps à autre pour traiter de nouveaux sujets.
Personal Copy of: Mr. Immanuel Alexandru Giulea 11

MISE EN ŒUVRE
12 Personal Copy of: Mr. Immanuel Alexandru Giulea

CHAPITRE 2
POSITIONNEMENT DE LA GEIT
CHAPITRE 2
Compréhension du contexte
La GEIT ne se fait pas en vase clos. Sa mise en œuvre se déroule dans différentes conditions et circonstances
déterminées par de nombreux facteurs provenant de milieux internes et externes, tels que :
• L’éthique et la culture de la communauté
• Les lois, les règlements et les politiques applicables
• Les normes internationales
• Les pratiques de l’industrie
• L’environnement concurrentiel
• Les éléments qui suivent et qui concernent l’entreprise :
– Sa mission, sa vision, ses objectifs et ses valeurs
– Ses politiques et ses pratiques de gouvernance
– Sa culture et son style de gestion
– Ses modèles en matière de rôles et de responsabilités
– Ses plans d’affaires et ses intentions stratégiques
– Son modèle d’exploitation et son niveau de maturité
Par conséquent, la mise en œuvre de la GEIT sera différente pour chaque entreprise; le contexte doit être compris et
considéré pour concevoir un environnement optimal pour la GEIT, qu’il s’agisse d’un nouvel environnement ou d’un
environnement amélioré.
Qu’est-ce que la GEIT?

Les termes gouvernance, gouvernance d’entreprise et GEIT peuvent avoir des significations différentes pour différentes
personnes et entreprises, en fonction entre autres du contexte organisationnel (par exemple, la maturité, le secteur
d’activité et la réglementation) ou individuel (par exemple, le rôle, l’éducation et l’expérience). Pour fournir une base à
la suite de ce guide, des explications sont fournies dans cette section, mais différents points de vue peuvent exister. La
meilleure approche est de bâtir à partir des approches existantes et de les améliorer afin d’inclure les TI plutôt que de
développer une nouvelle approche uniquement pour les TI.
Le terme gouvernance provient du verbe grec kubernáo, qui signifie « orienter ». Un système de gouvernance permet
à plusieurs parties prenantes d’une entreprise d’avoir un droit de parole prévu sur l’évaluation des conditions et
des options, la définition de l’orientation et le suivi de la performance par rapport aux objectifs de l’entreprise. Le
conseil d’administration ou une entité équivalente est responsable d’établir et de maintenir l’approche de gouvernance
appropriée.
COBIT 5 définit la gouvernance comme suit :
La gouvernance assure que les besoins, les conditions et les options des parties prenantes sont évalués dans
le but de déterminer des objectifs d’entreprise équilibrés et qui font consensus; elle permet de déterminer
l’orientation par l’établissement de priorités et la prise de décisions; elle permet de surveiller la performance
et la conformité concernant les orientations et les objectifs convenus.
La GEIT n’est pas une discipline isolée, mais bien une partie intégrante de la gouvernance d’une entreprise. Alors
que la nécessité d’une gouvernance à l’échelle de l’entreprise est principalement attribuable à la livraison de la valeur
pour les parties prenantes ainsi qu’à la demande de transparence et de gestion efficace du risque de l’entreprise, il
est nécessaire de mettre l’accent sur une GEIT dédiée et intégrée en raison des possibilités, des coûts et des risques
importants associés aux TI. La GEIT permet à une entreprise de profiter au maximum de ses TI, ce qui maximise les
bénéfices, permet de profiter des opportunités et procure un avantage compétitif.
Pourquoi la GEIT est-elle si importante?

Globalement, les entreprises publiques ou privées, grandes ou petites, comprennent de plus en plus que l’information
est une ressource clé, et que les TI représentent un atout stratégique et un important facteur de réussite.
Les TI peuvent être une ressource puissante pour aider les entreprises à atteindre leurs objectifs les plus importants.
À titre d’exemple, les TI peuvent générer des économies lors de transactions importantes, comme des fusions, des
acquisitions et des désinvestissements. Les TI peuvent permettre l’automatisation de processus clés, comme la chaîne
13
MISE EN ŒUVRE
d’approvisionnement, et peuvent représenter la pierre angulaire de nouvelles stratégies commerciales ou de nouveaux

modèles d’affaires, augmentant ainsi la compétitivité et permettant l’innovation, comme la livraison numérique de
produits (par exemple, la musique vendue et livrée en ligne). Les TI peuvent permettre une plus grande proximité
avec le client, par exemple en recueillant et en analysant des données de divers systèmes et en offrant un aperçu global
des caractéristiques des clients. Les TI représentent le fondement de l’économie en réseau qui transcende les lieux
géographiques et les silos organisationnels afin de fournir de nouvelles façons novatrices de créer de la valeur. La
plupart des entreprises reconnaissent que l’information ainsi que l’utilisation des TI constituent des actifs essentiels qui
doivent être régis correctement.
Bien que les TI aient le potentiel de transformer les affaires, elles représentent souvent un investissement très
important. Dans de nombreux cas, le coût réel des TI n’est pas transparent et les budgets sont répartis dans toutes les
unités d’affaires, les fonctions et les emplacements géographiques, et ce, sans supervision générale. La majorité des
dépenses est souvent dédiée aux initiatives visant à « demeurer fonctionnels » (initiatives de maintenance après la mise
en œuvre et coûts opérationnels) par opposition aux initiatives de transformation ou d’innovation. Lorsque des fonds
sont dépensés pour des initiatives stratégiques, il est fréquent qu’ils ne livrent pas les résultats attendus. Beaucoup
d’entreprises ne parviennent pas encore à démontrer une valeur commerciale concrète et mesurable pour leurs
investissements en TI et se concentrent sur la GEIT comme mécanisme pour remédier à cette situation.
En outre, l’économie en réseau comporte une variété de risques liés aux TI, comme
la non-disponibilité des systèmes d’affaires orientés client, la divulgation de
La plus récente étude sur la données exclusives ou de données sur la clientèle, ou les opportunités d’affaires
GEIT a permis de constater de manquées en raison d’une architecture informatique inflexible. La nécessité de
gérer ces situations ainsi que d’autres types de risques liés aux TI représente une
nombreux résultats positifs autre source de motivation pour le développement d’une meilleure GEIT.
pour les TI et les entreprises
en raison de l’adoption de L’importance de la GEIT peut également être attribuée à la réglementation
complexe à laquelle sont soumises aujourd’hui les entreprises dans de nombreux
pratiques liées à la GEIT. secteurs d’activité et sur différents territoires; une réglementation touchant souvent
directement les TI. En raison de l’accent mis sur les rapports financiers, on a
également accordé une grande importance aux contrôles liés aux TI. L’utilisation
de bonnes pratiques, telles que celles proposées par COBIT, a été exigée dans certains pays et pour certaines industries.
C’est notamment le cas pour la Banking Regulation and Supervision Agency (BRSA) de la Turquie, qui a exigé que
toutes les banques opérant en Turquie adoptent les bonnes pratiques de COBIT en matière de gestion des processus liés
aux TI. Le rapport Gouvernance d’entreprise en Afrique du Sud – King III – inclut, pour la première fois dans un code
national de gouvernance, un principe visant à implanter la GEIT et recommande l’adoption de cadres tels que COBIT.
Un cadre de gouvernance des TI peut permettre d’atteindre plus efficacement des exigences de conformité complexes.
La plus récente étude1 sur la GEIT menée par l’ISACA et PwC a examiné les principales initiatives liées aux TI que
planifiaient les répondants au cours des 12 prochains mois :
• 46 % des répondants planifiaient une importante mise en œuvre ou mise à niveau de leurs systèmes de TI.
• 45 % planifiaient des initiatives liées aux données ou à l’information.
Il s’agit là d’exemples d’initiatives pour lesquels les contextes sont complexes (parties prenantes multiples provenant de
différentes unités d’affaires et de TI) et qui renforcent la nécessité de mettre en place des facilitateurs appropriés pour la
GEIT.
En outre, l’étude sur la GEIT a permis de constater de nombreux résultats positifs pour les TI et les entreprises en
raison de l’adoption de pratiques liées à la GEIT.
• 38 % des répondants ont mentionné avoir observé une réduction des coûts des TI.
• 27 % ont connu une amélioration de la rentabilité des investissements dans les TI.
• 42 % des répondants ont signalé une amélioration de la gestion du risque lié aux TI.
• 28 % des répondants ont connu une amélioration de leur compétitivité.
L’étude a également montré ceci :

• Environ 47 % des répondants peuvent encore augmenter de manière importante leur maturité concernant la GEIT.
• Bien que seulement environ 5 % des répondants aient indiqué qu’ils ne pensent pas que la GEIT soit importante, 23 %
d’entre eux ont répondu qu’ils commencent seulement à évaluer ce qui doit être fait.
• 29 % ont seulement quelques mesures ad hoc en place.
1
ITGI, Global Status Report on the Governance of Enterprise IT (GEIT), É.-U., 2011
14
CHAPITRE 2
Que devrait livrer la GEIT?

Fondamentalement, la GEIT s’occupe de la livraison de la valeur des TI à l’entreprise et de l’atténuation des risques liés
aux TI. Cela passe par la disponibilité et la gestion des ressources adéquates ainsi que la mesure de la performance dans
le but de suivre la progression vers les objectifs souhaités.
La GEIT se concentre sur les objectifs suivants :

• Réalisation de bénéfices – Création de valeur nouvelle pour l’entreprise grâce aux TI, maintien et augmentation de
la valeur provenant des investissements dans les TI existantes, et élimination des initiatives et des actifs liés aux TI qui
ne créent pas suffisamment de valeur pour l’entreprise. Les principes de base de la valeur des TI sont la livraison à
temps de services et de solutions adaptés à leurs usages, dans le respect du budget, ainsi que la génération d’avantages
financiers et non financiers qui ont été prévus. La valeur qu’offrent les TI doit être alignée directement sur les valeurs
sur lesquelles l’entreprise se base; elle doit être mesurée d’une manière qui montre de façon transparente les impacts
et la contribution des investissements dans les TI dans le processus de création de valeur de l’entreprise.
• Optimisation du risque – Aborder le risque d’affaires associé à l’utilisation, à la possession, à l’exploitation, à
l’implication, à l’influence et à l’adoption des TI. Le risque d’affaires lié aux TI consiste en des événements associés
aux TI qui pourraient avoir un impact sur l’entreprise. Alors que la livraison de la valeur se concentre sur la création
de valeur, la gestion du risque porte sur la préservation de la valeur. La gestion du risque lié aux TI doit être intégrée
à l’approche de la gestion du risque de l’entreprise afin d’assurer que cette dernière mette l’accent sur les TI; cette
gestion du risque doit être mesurée d’une manière qui montre de façon transparente les impacts et la contribution de
l’optimisation des risques d’affaires liés aux TI dans la préservation de la valeur.
• Optimisation des ressources – S’assurer que les capacités appropriées sont en place pour exécuter le plan stratégique
et veiller à ce que des ressources suffisantes, appropriées et efficaces soient fournies. L’optimisation des ressources
permet d’assurer qu’une infrastructure des TI économique et intégrée est fournie, que de nouvelles technologies sont
introduites lorsque nécessaire et que les systèmes obsolètes sont mis à jour ou remplacés. Cela permet de reconnaître
l’importance des personnes, en plus du matériel et des logiciels, et, par conséquent, de se concentrer sur la formation,
la promotion de la rétention et de s’assurer de la compétence du personnel clé des TI.
L’alignement stratégique et la mesure du rendement sont également importants et s’appliquent globalement à

l’ensemble des activités afin d’assurer que les objectifs liés aux TI sont alignés sur les objectifs de l’entreprise.
Exploiter COBIT 5 et intégrer les référentiels, les normes et les bonnes

pratiques
Le conseil d’administration doit exiger l’adoption et l’adaptation d’un cadre lié à
la GEIT, comme COBIT 5, en tant que partie intégrante du développement de la
gouvernance de l’entreprise. Le cadre définit l’approche globale; par la suite, les Le conseil d’administration et
orientations fournies par les normes et les bonnes pratiques spécifiques peuvent les dirigeants doivent exiger
être utilisées lors de la conception de politiques, de processus, de pratiques et de l’adoption d’un cadre lié à
procédures. En travaillant avec un cadre et en misant sur les bonnes pratiques,
des processus de gouvernance appropriés et d’autres facilitateurs peuvent être la GEIT en tant que partie
développés et optimisés afin que la GEIT fonctionne efficacement dans le cadre intégrante de la gouvernance
d’une pratique normale d’affaires, et s’il y a une culture de soutien encouragée de l’entreprise.
par la haute direction. L’alignement avec COBIT devrait également entraîner des
audits externes plus rapides et plus efficaces, puisque COBIT est largement accepté
comme base pour des procédures d’audit des TI.
Le cadre et les facilitateurs qui en résultent doivent être alignés sur, entre autres :
• Les politiques de l’entreprise, les stratégies, la gouvernance, les plans d’affaires et les approches d’audit.
• Le cadre de gestion du risque de l’entreprise.
• L’organisation, les structures et les processus de gouvernance existants.
COBIT 5 est conçu pour les entreprises de tous les types et de toutes les tailles, y compris celles à but non lucratif et
celles du secteur public; il est aussi conçu pour offrir des avantages commerciaux aux entreprises, y compris :
• L’augmentation de la création de valeur découlant de l’utilisation des TI; la satisfaction de l’utilisateur concernant
l’engagement et aux services des TI; la réduction des risques liés aux TI; et la conformité avec les lois, les règlements
et les exigences contractuelles.
• Le développement de solutions et services des TI plus centrés sur les affaires.
• La participation accrue, à l’échelle de l’entreprise, à des activités liées aux TI.
15
MISE EN ŒUVRE
Principes et facilitateurs
COBIT 5 se base sur cinq principes et sept facilitateurs. Les principes qui sous-tendent COBIT 5 sont définis à la
figure 2.
Figure 2 – Principes de COBIT
1. Répondre aux
besoins des
parties prenantes
5. Séparer la
gouvernance 2. Couvrir
de la l’entreprise
gestion de bout en bout
Principes de
COBIT 5
4. Faciliter 3. Appliquer
une approche un référentiel
holistique unique et
intégré
Les facilitateurs qui doivent être pris en compte pour favoriser l’atteinte des objectifs liés au cadre de l’entreprise et
offrir de la valeur sont les suivants :
• Principes, politiques et référentiels
• Processus
• Structures organisationnelles
• Culture, éthique et comportement
• Information
• Services, infrastructures et applications
• Personnes, aptitudes et compétences
COBIT 5 comprend des processus qui aident à créer et à maintenir les facilitateurs de gouvernance et de gestion :
• EDS01 Assurer la définition et l’entretien d’un cadre de gouvernance (culture, éthique et comportement; principes,
politiques et cadres; structures organisationnelles; et processus).
• APO01 Gérer le cadre de gestion des TI (culture, éthique et comportement; principes, politiques et cadres; structures
organisationnelles; et processus).
• APO03 Gérer l’architecture de l’entreprise (information; services, infrastructures et applications).
• APO07 Gérer les ressources humaines (personnel, aptitudes et compétences).
Les cinq processus de gouvernance et de gestion de COBIT veillent à ce que les entreprises organisent leurs activités
liées aux TI d’une manière reproductible et fiable. Le modèle de référence de processus de COBIT 5, avec 5 domaines
et 37 processus qui forment la structure de l’orientation détaillée de COBIT 5, est décrit en détail dans COBIT® 5 :
Processus facilitants.
COBIT 5 se base sur une vision d’entreprise et s’aligne avec les bonnes pratiques de gouvernance de l’entreprise, ce
qui permet à la GEIT d’être mise en œuvre en tant que partie intégrante de la gouvernance globale de l’entreprise.
COBIT 5 fournit également une base pour intégrer efficacement d’autres référentiels, normes et pratiques, comme
l’Information Technology Infrastructure Library (ITIL®), le The Open Group Architecture Forum (TOGAF®) et
l’Organisation internationale de normalisation (ISO)/Commission électrotechnique internationale (CEI) 27000. Il
est également aligné sur la norme de la GEIT, ISO/CEI 38500:2008, qui définit les principes de haut niveau pour
la gouvernance des TI et qui couvre la responsabilité, la stratégie, l’acquisition, la performance, la conformité et le
comportement humain qu’un groupe de gouvernance, comme un conseil d’administration, doit évaluer, diriger et
surveiller. COBIT 5 est un référentiel global unique qui constitue une source cohérente et intégrée d’orientations
présentées dans un langage commun, non technique et indépendant des technologies.
16
CHAPITRE 3
PREMIERS PAS VERS LA GEIT
CHAPITRE 3
Création de l’environnement approprié
Il est important que l’environnement approprié soit en place lors de la mise en
œuvre des améliorations de la GEIT. Cela permet de garantir que l’initiative elle- La direction de l’entreprise
même est régie et qu’elle est correctement guidée et soutenue par la direction. Les
initiatives importantes concernant les TI échouent souvent en raison d’un manque
doit préciser et concevoir
d’orientation, de soutien et de surveillance de la part de la direction. La mise en les principes directeurs, les
œuvre de la GEIT n’est pas différente; elle a plus de chances de réussir si elle est droits de décision et le cadre
bien régie et gérée.
de responsabilisation pour
Une orientation et un soutien inadéquats de la part des principales parties prenantes la gouvernance des TI de
peuvent, par exemple, faire en sorte que des initiatives concernant la GEIT l’entreprise.
produisent de nouvelles politiques et procédures qui n’ont pas de propriétaire
approprié. Les améliorations apportées aux processus sont peu susceptibles de
devenir des pratiques d’affaires normales sans une structure de gestion qui attribue les rôles et les responsabilités,
s’assure de leur fonctionnement continu et surveille la conformité.
Un environnement approprié doit donc être créé et maintenu pour garantir que la GEIT est mise en œuvre en tant que
partie intégrante d’une approche globale de la gouvernance au sein de l’entreprise. Ceci doit inclure l’orientation et
la supervision adéquates de l’initiative de mise en œuvre, y compris les principes directeurs. L’objectif est de fournir
un engagement, une orientation et un contrôle suffisants des activités afin qu’elles soient alignées sur les objectifs de
l’entreprise et qu’elles aient le soutien nécessaire du conseil d’administration et des cadres supérieurs pour leur mise en
œuvre.
L’expérience montre que, dans certains cas, une initiative de GEIT identifie des faiblesses importantes dans la
gouvernance globale d’une entreprise. Le succès de la GEIT est beaucoup plus difficile à obtenir dans un contexte
d’affaiblissement de la gouvernance d’une entreprise; par conséquent, il est encore plus critique d’obtenir le soutien
actif et la participation des directeurs seniors. Le conseil d’administration doit être conscient de la nécessité d’améliorer
la gouvernance globale ainsi que du risque de voir échouer la GEIT si cela n’est pas réalisé.
Que l’initiative de la mise en œuvre soit de petite ou de grande envergure, la

haute direction doit être impliquée dans la création de structures de gouvernance Établir un comité de
appropriées. Les activités initiales comportent habituellement une évaluation des
pratiques en place et la conception de structures améliorées. Dans certains cas, cela stratégie de direction des TI
peut conduire à une réorganisation de l’entreprise, de la fonction des TI et de la représente l’un des meilleurs
relation de ces dernières avec les unités d’affaires. moyens d’officialiser la GEIT,
La haute direction doit établir et maintenir le cadre de gouvernance. Cela signifie d’améliorer la surveillance par
qu’elle doit préciser les structures, les processus et les pratiques de la GEIT la direction de l’entreprise et
conformément aux principes convenus pour la conception de la gouvernance, par le conseil d’administration
aux modèles de prise de décisions, aux niveaux décisionnels et à l’information
nécessaire à la prise de décisions éclairées.2 et de définir l’orientation des
activités de l’entreprise liées
La haute direction doit également attribuer des responsabilités et des rôles clairs aux TI.
pour la direction du programme d’amélioration de la GEIT.
L’une des meilleures façons d’officialiser la GEIT et de fournir aux directeurs et au conseil d’administration un
mécanisme de supervision et de direction des activités liées aux TI, qui consiste à mettre sur pied un comité stratégique
des TI.3 Ce comité agit au nom du conseil d’administration (auquel il rend compte); il est responsable de la façon dont
les TI sont utilisées dans l’entreprise ainsi que de la prise de décisions clés concernant les TI de l’entreprise. Il doit
avoir un mandat clairement défini et devrait être présidé par un dirigeant de l’entreprise (idéalement un membre du
conseil d’administration); il doit inclure des cadres supérieurs de l’entreprise qui représentent les principales unités
d’affaires ainsi que le dirigeant principal de l’information et, si nécessaire, d’autres hauts responsables des TI. Les
fonctions d’audit et de risque internes devraient jouer un rôle consultatif.
2
L’annexe B contient un exemple de matrice de prise de décisions.
3
Souvent appelé comité de pilotage des TI, conseil des TI, comité exécutif des TI ou comité de gouvernance des TI.
17
MISE EN ŒUVRE
Les dirigeants doivent prendre des décisions en se basant sur l’opinion des gestionnaires d’affaires et des TI, des
auditeurs et d’autres intervenants. Le référentiel COBIT 5 facilite ce processus en fournissant un langage commun pour
que les cadres puissent communiquer les objectifs et les résultats attendus.
Les figures 3 et 4 donnent des exemples de rôles génériques pour les parties prenantes clés ainsi que les responsabilités
des acteurs de la mise en œuvre lors de la création de l’environnement approprié pour soutenir la gouvernance et
garantir de bons résultats. Dans la section suivante, des tableaux similaires sont fournis pour chaque phase du cycle de
vie de la mise en œuvre.
Figure 3 – Rôles nécessaires pour la création de l’environnement approprié
Lorsque vous êtes... Votre rôle dans la création de l’environnement approprié est de...
Conseil d’administration et Établir l’orientation du programme, assurer son alignement sur la gouvernance et la gestion du risque à l’échelle
direction de l’entreprise, approuver les rôles clés du programme, définir les responsabilités et apporter un soutien et un
engagement visibles. Parrainer, communiquer et promouvoir l’initiative convenue.
Gestion des unités d’affaires Fournir les parties prenantes et les champions appropriés pour promouvoir l’engagement et pour soutenirle
programme. Déterminer les rôles clés au sein du programme, puis définir et attribuer les responsabilités.
Gestion des TI Veiller à ce que l’entreprise et les cadres supérieurs comprennent les enjeux et les objectifs de haut niveau liés
aux TI. Déterminer les rôles clés au sein du programme, puis définir et attribuer les responsabilités. Nommer une
personne pour conduire le programme en conformité avec l’entreprise.
Audit interne S’entendre sur le rôle et sur les modalités des rapports pour la participation aux audits. S’assurer qu’un niveau
adéquat de participation de l’unité d’audit est maintenu pour toute la durée du programme.
Risques, conformité et S’assurer qu’un niveau adéquat de participation est maintenu pour toute la durée du programme.
juridique
Figure 4 – Tableau RACI pour la création d’un environnement approprié
Responsabilités des acteurs clés de la mise en œuvre
me
tio n
TI
ité
s
r am
al d
t ra
n ité
d es
TI
o rm
in is
su s d e s
D ir rm atiorin cip
d es
TI
ro g
re s s u
u tif
onf
d es
dm
up
d 'a an t n
f fai s d e
ce s re s
e
x éc
et c
I
r
p
es T
n ai
d ’a
ed
p ro rié tai
l'in an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
fo
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
Établir la direction du programme. A R R C C I C C C

Fournir les ressources de gestion du programme. C A R R C C R R I
Établir et maintenir la direction, et surveiller les structures et les processus. C A C I I I I I R
Établir et maintenir le programme. I A R C C I I I R
Aligner les approches avec celles de l’entreprise. I A R C C I C C R
Un tableau RACI identifie les personnes qui sont responsables (R), qui approuvent (A), qui sont consultées (C) et qui sont informées (I).
Application d’une approche fondée sur le cycle de vie de l’amélioration

continue
L’application d’une approche de cycle de vie d’amélioration continue fournit aux entreprises une méthode pour aborder
la complexité et les défis rencontrés habituellement durant la mise en œuvre de la GEIT. La figure 5 illustre les trois
composants interreliés du cycle de vie : le cœur du cycle de vie de l’amélioration continue de la GEIT, l’activation
du changement (en abordant les aspects comportementaux et culturels de la mise en œuvre ou de l’amélioration) et
la gestion du programme. Dans la figure 5, les initiatives sont dépeintes comme des cycles de vie continueafin de
souligner le fait qu’il ne s’agit pas d’activités ponctuelles, mais qu’elles font plutôt partie d’un processus continu de
mise en œuvre et d’amélioration, et ce, jusqu’à ce qu’elles fassent ensuite partie de la routine et qu’alors, le programme
puisse prendre fin.
La figure 6 illustre les sept phases du cycle de vie de la mise en œuvre. Le programme de mise en œuvre et
d’amélioration est habituellement continu et itératif. Au cours de la dernière phase, de nouveaux objectifs et de
nouvelles exigences seront déterminés et un nouveau cycle sera initié.
La nécessité d’adopter une initiative liée à la GEIT est souvent déclenchée par des états de situation de haut niveau ainsi
que des évaluations et des audits. Ces résultats peuvent être utilisés comme point de départ de la phase 1.
18
CHAPITRE 3
Figure 5 – Les composants du cycle de vie
nvironnement appro
réer l’e prié
C
ion de programme
Gest
changem
iliter le ent
Fac
Cycle de vie
d’amélioration
continue
Figure 6 – Les sept phases du cycle de vie de la mise en œuvre
e ryth
me? 1 Quelles so
te nir l nt l
es
in
ma mo
nt Lancer tiv
e ser un p at
om
m
Révi acité ro io
C ffic gra
ns
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
urs nge so
ces
Dé t les p
Où
Po me in
arri
n
e
fini
néfi
en
6 Y sommes-nous
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Su et er d’aesoin r
che
rme antation
d’i
• Gestion du programme
n
u
e
al gir
m
v
Intégrer de
r une
é
problèmes
(anneau externe)
pl
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
• Moteur de changement
équipe
uer
el
(anneau du milieu)
U t il liora
ét n ir
amé
• Approche d’amélioration continue

ib a t
fi
D é l’
is e t
le
l
io n e s
r
su que
(anneau interne)
te
c
E x u tili
ts
s Cré er d es
ro u
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
e
5C
m
it
er r m
de
C o es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
ir
on
fin
yp
rv Dé
ul
Pla n vo
a
en ifier le programme
ir ? Où
3
4 Q u e f a u t- i l f a i re ?
19
MISE EN ŒUVRE
Phase 1 – Quelles sont les motivations?

La phase 1 permet de déterminer les motivations actuelles du changement et crée au sein de la direction de l’entreprise
une volonté de changement qui est ensuite exprimée dans un dossier d’affaires. La motivation repose sur un événement
interne ou externe, un état ou un problème clé qui sert d’élément déclencheur pour mener au changement. Des
événements, des tendances (de l’industrie, du marché ou encore des tendances techniques), des insuffisances en matière
de rendement, la mise en œuvre de logiciels et même des objectifs d’entreprise peuvent agir comme motivation du
changement. Le risque associé à la mise en œuvre du programme lui-même sera décrit dans le dossier d’affaires et
géré tout au long du cycle de vie. La préparation, le maintien et la surveillance du dossier d’affaires représentent des
éléments fondamentaux qui permettent de justifier, de soutenir et d’assurer le succès de toute initiative, y compris
l’amélioration de la GEIT. Cela permet de mettre un accent continu sur les bénéfices du programme et ses réalisations.
L’annexe D donne un exemple de dossier d’affaires de la GEIT.
Phase 2 – Où en sommes-nous?
La phase 2 permet d’aligner les objectifs liés aux TI avec les stratégies et les risques d’entreprise. La priorité est donnée
aux plus importants objectifs de l’entreprise, objectifs des TI et processus. COBIT 5 fournit une cartographie générique
des objectifs de l’entreprise par rapport aux objectifs des TI et aux processus des TI afin d’aider lors de la sélection.
Une fois les objectifs de l’entreprise et des TI sélectionnés, des processus critiques sont déterminés; ceux-ci doivent
avoir les capacités adéquates pour garantir de bons résultats. La direction doit connaître ses capacités actuelles et les
lacunes possibles. Pour ce faire, il faut réaliser une évaluation des capacités actuelles de traitement pour les processus
sélectionnés.
Phase 3 – Où voulons-nous aller?

Au cours de la phase 3, un objectif d’amélioration est établi, puis une analyse des lacunes est réalisée afin de
proposer des solutions potentielles. Certaines solutions produisent des résultats instantanés, alors que d’autres sont
plus complexes et applicables à plus long terme. La priorité doit être accordée aux projets faciles à réaliser et à ceux
susceptibles d’offrir les plus grands bénéfices. Les tâches réalisables à plus long terme doivent être décomposées en
étapes gérables.
Phase 4 – Que faut-il faire?

La phase 4 permet de planifier des solutions réalistes et pratiques en définissant des projets qui sont soutenus par des
dossiers d’affaires justifiés et par l’élaboration d’un plan de changement pour la mise en œuvre. Un dossier d’affaires
bien conçu contribuera à assurer que les bénéfices du projet sont définis et continuellement surveillés.
Phase 5 – Comment y parvenir?

Au cours de la phase 5, les solutions proposées sont mises en œuvre au quotidien, en plus des systèmes de mesure et de
surveillance, et ce, afin de s’assurer de l’alignement sur les affaires et de mesurer la performance. Le succès exige de
l’engagement, de la conscientisation, de la communication et de la compréhension de la part de la haute direction, ainsi
que l’appropriation, par les propriétaires, des processus d’affaires et des TI concernés.
Phase 6 – Y sommes-nous arrivés?

En utilisant les indicateurs de performance et les bénéfices escomptés, la phase 6 permet de mettre l’accent sur la
transition durable au quotidien des pratiques améliorées de gouvernance et de gestion ainsi que sur la surveillance de la
réalisation des bénéfices.
Phase 7 – Comment maintenir le rythme?

Dans la phase 7, le succès global de l’initiative est passé en revue, de nouvelles exigences en matière de gouvernance
ou de gestion sont déterminées et la nécessité de l’amélioration continue est renforcée. La priorité est également
accordée à d’autres possibilités d’amélioration de la GEIT.
La gestion de programme et de projet se base sur les bonnes pratiques et fournit des points de contrôle à chacune des
sept phases afin de garantir que la performance du programme est sur la bonne voie, que le dossier d’affaires et les
risques sont mis à jour, et que la planification de la phase suivante est ajustée au besoin. On assume que l’approche
standard de l’entreprise est respectée. Des indications supplémentaires sur la gestion du programme et du projet se
trouvent également dans le processus BAI01 de COBIT 5. Bien que la production de rapports ne soit pas mentionnée
explicitement dans l’une des phases, elle doit être réalisée à toutes les phases et itérations.
Le temps passé pour chaque phase variera énormément selon, entre autres, l’environnement de l’entreprise, sa
maturité et la portée de l’initiative de mise en œuvre ou d’amélioration. Toutefois, le temps global consacré à chaque
itération du cycle de vie complet ne doit idéalement pas dépasser six mois et les améliorations doivent être appliquées
progressivement. Dans le cas contraire, il y a un risque d’affecter la dynamique du projet ainsi que l’acceptation par les
parties prenantes et l’attention de ces dernières. L’objectif est de mettre en place les améliorations de façon régulière.
20
CHAPITRE 3
Les initiatives de plus grande envergure doivent être structurées comme de multiples itérations du cycle de vie.
Au fil du temps, le cycle de vie sera répété de façon itérative pour que se bâtisse une approche durable. Lorsque les
phases du cycle de vie font partie des activités quotidiennes et que l’amélioration continue se produit naturellement,
cela signifie que le processus est bien ancré dans les pratiques d’affaires.
Démarrage – Identification de la nécessité d’agir : Reconnaître les points

de douleur et les événements déclencheurs
Plusieurs facteurs peuvent indiquer qu’il est temps de créer de nouvelles pratiques
liées à la GEIT ou de réviser les pratiques existantes. Toutefois, il est important
de noter que ces problèmes peuvent non seulement être le reflet de problèmes En utilisant des points de
sous-jacents qui doivent être réglés, mais qu’ils peuvent aussi refléter d’autres
problèmes (ou une combinaison de facteurs). Par exemple, si l’on perçoit que les
douleur ou des événements
coûts des TI sont inacceptablement élevés, cela peut être causé par des problèmes déclencheurs comme point de
de gouvernance ou de gestion (par exemple, l’utilisation de critères inappropriés départ pour les initiatives en
dans le processus de gestion des investissements dans les TI), mais cela pourrait
aussi être le fait d’un sous-investissement dans les TI qui se manifeste alors par la
matière de gouvernance de
nécessité de réaliser d’importants investissements. l’information de l’entreprise
et des TI associées, le dossier
En utilisant des points de douleur ou des événements déclencheurs comme point de
départ pour les initiatives liées à la GEIT, le dossier d’affaires pour l’amélioration
d’affaires pour l’amélioration
portera sur des problèmes vécus, ce qui permettra d’augmenter l’acceptation de de la GEIT peut porter sur
cette analyse. Un sentiment d’urgence peut se manifester au sein de l’entreprise, des problèmes vécus, ce
sentiment nécessaire à l’amorce de la mise en œuvre. De plus, des gains rapides
peuvent être déterminés et une valeur ajoutée peut être reconnue dans les domaines
qui permettra d’améliorer
de l’entreprise les plus visibles ou reconnaissables. Ces éléments servent de l’acceptation du dossier
plate-forme pour introduire de nouveaux changements et peuvent aider à obtenir d’affaires.
l’engagement et l’appui massif de la haute direction pour des changements plus
importants.
Points de douleur typiques

Les pratiques liées à la GEIT, qu’il s’agisse de nouvelles pratiques ou de pratiques révisées, peuvent généralement
résoudre les problèmes suivants, ou faire partie de la solution :
• La frustration des unités daffaires liée aux initiatives infructueuses, la hausse des coûts des TI et une perception
de faible valeur pour l’entreprise. Alors que de nombreuses entreprises continuent d’accroître leurs investissements
dans les TI, la valeur de ces investissements et le rendement global des TI sont souvent remis en question ou non
pleinement réalisés. Cela peut être le signe d’un problème lié à la GEIT, problème signifiant que la communication
entre les TI et les affaires doit être améliorée et qu’une vision commune sur le rôle et la valeur des TI doit être établie.
Cela peut également être la conséquence de mécanismes de formulation, de proposition et d’approbation perfectibles
pour les portefeuilles et les projets.
• Les incidents significatifs concernant les risques de l’entreprise liés aux TI, comme la perte de données ou
l’échec d’un projet. Ces incidents significatifs représentent souvent la pointe de l’iceberg et leurs impacts peuvent
être exacerbés si le public ou les médias y portent attention. Une enquête plus poussée permet souvent de déterminer
de mauvais alignements structurels plus profonds ou même une absence totale de culture de conscience des risques
liés aux TI au sein de l’entreprise. De meilleures pratiques de GEIT sont alors nécessaires pour obtenir un aperçu
complet et une solide compréhension des risques liés aux TI ainsi que de la façon dont ils doivent être gérés.
• Les problèmes qui concernent la prestation de services provenant de sous-traitants, par exemple des niveaux
de service non respectés. Les problèmes avec la prestation de services par des sous-traitants peuvent être causés par
des problèmes de gouvernance, comme un manque dans les processus de gestion des services de tiers (y compris le
contrôle et la surveillance) avec des responsabilités associées visant à satisfaire les exigences de services des TI de
l’entreprise.
• Le non-respect des exigences réglementaires ou contractuelles. Dans de nombreuses entreprises, l’intégration
complète des lois, des règlements et des conditions contractuelles dans les systèmes organisationnels est bloquée par
des mécanismes de gouvernance inefficaces ou par l’absence d’une approche pour les gérer. Les exigences en matière
de règlements et de conformité sont généralement en hausse à l’échelle mondiale, et cela a souvent un impact sur les
activités liées aux TI.
21
MISE EN ŒUVRE
• Les limites qu’imposent les TI aux capacités d’innovation et à l’agilité de l’entreprise. Il est couramment
reproché aux TI de jouer un rôle de fonction de soutien, alors qu’il est nécessaire que les capacités d’innovation
fournissent un avantage concurrentiel. Ce sont des symptômes qui peuvent refléter un manque d’alignement
bidirectionnel véritable entre les affaires et les TI, ce qui pourrait être causé par des problèmes de communication ou
de participation des affaires dans la prise de décisions liées aux TI. Cela pourrait aussi être causé par une implication
trop tardive des TI lors de la planification stratégique et lors d’initiatives pilotées par les affaires. Ce problème devient
généralement visible lorsque les conditions économiques nécessitent des réponses rapides de la part de l’entreprise,
comme l’introduction de nouveaux produits ou services.
• Une mauvaise performance des TI ou des problèmes de qualité des services des TI rapportés fréquemment par
les audits. Cela peut indiquer l’absence de niveaux de service ou leur mauvais fonctionnement, ou encore le manque
d’implication des affaires dans la prise de décisions liées aux TI.
• Les dépenses cachées et indésirables en TI. Une vision suffisamment transparente et complète des dépenses et des
investissements concernant les TI est souvent manquante. Les dépenses en TI peuvent souvent être « cachées » dans
les budgets des unités d’affaires ou non classées comme des dépenses en TI, ce qui crée une vue d’ensemble biaisée
des coûts des TI.
• La duplication ou le chevauchement des initiatives ou le gaspillage des ressources. Cela est souvent causé par
l’absence de portefeuilles ou d’une vision globale de toutes les initiatives des TI, et indique une absence de processus
et de capacité structurelle de décision liées aux portefeuilles et à la gestion de la performance.
• Des ressources insuffisantes liées aux TI ainsi qu’un manque de compétences de la part des employés, leur
épuisement et leur insatisfaction. Ce sont d’importants problèmes de gestion des ressources humaines; pour assurer
que la gestion du personnel et le perfectionnement des compétences sont traités efficacement, une surveillance
efficace et une bonne gouvernance sont nécessaires. Cela pourrait également être le signe, entre autres, de faiblesses
sous-jacentes dans les pratiques de gestion de la demande concernant les TI et de prestation de services internes.
• De fréquents échecs de mise en place de changements visant à répondre aux besoins d’affaires liés aux TI ainsi
qu’une livraison effectuée en retard ou encore des coûts qui surpassent les budgets. Ces points de douleur sont
peut-être liés à des problèmes d’alignement entre les affaires et les TI, à la définition des besoins de l’entreprise, à
l’absence d’un processus de réalisation des bénéfices ou à des processus de gestion de projet/programme et de mise en
œuvre perfectibles.
• Des efforts d’assurance multiples et complexes des TI. Cela pourrait être le signe d’une mauvaise coordination
entre les affaires et les TI à propos de la nécessité de réaliser des examens d’assurance des TI. Une faible confiance
de l’entreprise envers les TI pourrait représenter une cause sous-jacente, ayant pour effet que les unités d’affaires font
leurs propres examens. Une autre cause pourrait être un manque de prise de responsabilités adéquate de la part des
unités d’affaires envers les examens d’assurance des TI, faisant en sorte que les affaires ignorent quand ils ont lieu.
• La réticence des membres du conseil d’administration, de la dirigeants de l’entreprise ou des cadres supérieurs
à s’engager envers les TI, ou le manque de promoteurs de l’entreprise engagés et satisfaits envers les TI. Ce
sont deux points de douleur qui découlent souvent d'un manque de compréhension et de connaissance des TI par
les affaires, ou d’un manque de visibilité des TI aux niveaux appropriés, d’un manque de structures de gestion ou
d’enjeux liés aux mandats du conseil d’administration, souvent causés par une mauvaise communication entre les
affaires et les TI, ainsi que par une mauvaise compréhension des unités d’affaires et des promoteurs de l’entreprise
envers les TI.
• Des modèles complexes pour l’exploitation des TI. La complexité inhérente aux organisations des TI décentralisées
ou fédérées, par exemple, qui ont souvent des structures, des pratiques et des politiques différentes, nécessite qu’un
fort accent soit mis sur la GEIT pour assurer une prise de décisions et des opérations optimales concernant les TI. La
mondialisation rend souvent ce point de douleur plus important, car chaque territoire ou région peut avoir des facteurs
environnementaux internes et externes spécifiques et potentiellement uniques.
Événements déclencheurs dans l’environnement interne et externe

En plus des problèmes décrits précédemment, d’autres événements dans les environnements interne et externe de
l’entreprise peuvent inciter celle-ci à accorder la priorité à la GEIT, notamment :
• Fusion, acquisition ou démantèlement – Les conséquences stratégiques et opérationnelles liées aux TI peuvent
être importantes après une fusion, une acquisition ou un démantèlement. Au cours des vérifications diligentes, il sera
nécessaire d’acquérir une compréhension des problèmes liés aux TI dans leur(s) environnement(s). En outre, parmi
tous les autres besoins d’intégration ou de restructuration, il faudra concevoir des mécanismes de GEIT appropriés au
nouvel environnement.
• Changement dans le marché, dans l’économie ou dans l’environnement concurrentiel – Par exemple, un
ralentissement économique pourrait inciter l’entreprise à réviser ses mécanismes de GEIT afin d’optimiser ses coûts à
grande échelle ou d’améliorer sa performance.
• Changement de modèle d’exploitation d’affaires ou d’ententes d’externalisation – Par exemple, le passage d’un
modèle décentralisé ou fédéré vers un modèle de fonctionnement plus centralisé exigera des changements dans les
pratiques liées à la GEIT pour permettre une prise de décisions plus centralisée concernant les TI. Un autre exemple
pourrait être la mise en œuvre de centres de services partagés pour des domaines comme les finances, les ressources
22
CHAPITRE 3
humaines (RH) ou l’approvisionnement. Cela peut avoir des répercussions sur les TI, comme la consolidation des
applications fragmentées des TI ou des domaines d’infrastructure, et ce, en apportant des changements associés
aux structures ou aux processus de prise de décisions liés aux TI qui régissent ces applications et ces domaines.
L’externalisation de certaines fonctions liées aux TI et de certains processus d’affaires peut également mener à mettre
l’accent sur la GEIT.
• Nouvelles exigences réglementaires ou de conformité – Par exemple, des exigences accrues en matière de rapports
de gouvernance d’entreprise et de règlements financiers rendent nécessaires l’amélioration de la GEIT ainsi que la
protection des renseignements, et ce, en raison de l’omniprésence des TI.
• Changements technologiques importants ou changement de paradigme – Un exemple est la migration
de certaines entreprises vers une architecture orientée sur les services (AOS) et l’infonuagique. Cela change
fondamentalement la façon dont la fonctionnalité des infrastructures et des applications est développée et livrée; cela
peut en retour nécessiter d’apporter des changements à la façon dont sont gérés les processus associés et les autres
facilitateurs.
• Focalisation sur la gouvernance à l’échelle de l’entreprise, ou projets liés – De tels projets déclencheront
probablement des initiatives en matière de GEIT.
• L’arrivée d’un nouveau dirigeant principal de l’information, d’un directeur financier, d’un chef de la direction
ou d’un membre du conseil d’administration – La nomination de nouveaux dirigeants peut souvent mener à une
évaluation des initiatives et des mécanismes existants en matière de GEIT, le tout visant à régler les points faibles.
• Audits externes ou évaluation par des consultants – Une évaluation par une tierce partie en conformité avec les
pratiques appropriées peut généralement être le point de départ d’une initiative d’amélioration de la GEIT.
• Nouvelle stratégie ou priorité de l’entreprise – Mettre en œuvre une nouvelle stratégie d’entreprise aura des effets
sur la GEIT. Par exemple, une stratégie d’entreprise visant à se rapprocher de ses clients (c’est-à-dire, savoir qui ils
sont et quels sont leurs besoins, et ensuite répondre à ces besoins de la meilleure façon possible) peut exiger plus de
liberté en matière de prise de décisions liées aux TI à l’échelle de l’unité d’affaires ou du pays plutôt qu’à l’échelle de
l’entreprise.
• Volonté d’améliorer de façon importante la valeur des TI – La GEIT peut devenir prioritaire lorsque survient
la nécessité d’améliorer l’avantage concurrentiel, d’être innovant, d’optimiser les actifs ou de créer de nouvelles
occasions d’affaires.
La nécessité d’agir doit être reconnue, largement sollicitée et communiquée. Cette communication peut prendre
la forme d’un appel à l’action (dans lequel on discute des points de douleur) ou d’une annonce d’une occasion
d’amélioration à saisir et d’une présentation des bénéfices qui en découleront. Les points de douleur ou les événements
déclencheurs actuels de la GEIT constituent un point de départ. L’identification de ceux-ci peut généralement être faite
grâce à des états de situation de haut niveau, des diagnostics ou des évaluations de capacités. Ces techniques présentent
l’avantage supplémentaire de créer un consensus sur les questions à aborder. Il peut être bénéfique de demander à un
tiers de procéder à un examen pour obtenir une vision de haut niveau, indépendante et objective de la situation actuelle,
ce qui peut accroître l’acceptation du fait qu’il est nécessaire d’adopter des mesures.
Dès le départ, il est nécessaire de s’efforcer d’obtenir l’engagement et l’acceptation du conseil d’administration et de
la haute direction. Pour ce faire, le programme de GEIT, ses objectifs et ses bénéfices doivent être clairement exprimés
sur le plan des affaires. Un sentiment adéquat d’urgence doit être inculqué. En outre, le conseil d’administration et la
haute direction doivent être conscients de la valeur que des TI bien gérées peuvent apporter à l’entreprise ainsi que le
risque lié à l’inaction. Cela permettra également de prendre en compte, dès le départ, l’alignement entre le programme
de GEIT, les objectifs et la stratégie de l’entreprise, les objectifs de l’entreprise concernant les TI, la gouvernance de
l’entreprise et les initiatives de gestion du risque de l’entreprise (le cas échéant). L’identification et la réalisation de
certains gains rapides (problèmes visibles qui peuvent être résolus relativement rapidement et qui aident à établir la
crédibilité de l’initiative globale en démontrant les bénéfices) peuvent constituer un mécanisme utile pour obtenir
l’engagement de la part du conseil d’administration.
Une fois que l’orientation globale a été fixée, une vue d’ensemble de la facilitation du changement à apporter à tous les
niveaux doit être prise. L’ampleur et la portée du changement doivent d’abord être comprises sur le plan des affaires,
mais aussi du point de vue humain et comportemental. Toutes les parties prenantes concernées ou touchées par le
changement doivent être déterminées et leur position par rapport au changement doit être établie. L’étude de 2011
portant sur la GEIT4 a montré que la facilitation du changement peut représenter l’un des plus grands défis pour la
mise en œuvre de la GEIT : 38 % des répondants ont mentionné que la gestion du changement représentait un défi et
41 % ont rapporté des problèmes de communication. Un facteur clé pouvant motiver le changement est l’identification
d’incitatifs pour que les responsables d’affaires et des TI fassent la promotion de la mise en œuvre de la GEIT.
4
Rapport de situation, op. cit., ITGI GEIT
23
MISE EN ŒUVRE
Implication des parties prenantes

Plusieurs parties doivent collaborer pour atteindre l’objectif global de l’amélioration de la performance des TI.
COBIT 5 se base sur les besoins des parties prenantes. L’approche préconisée dans ce guide aidera à développer une
compréhension commune de ce qui doit être réalisé pour satisfaire, d’une manière coordonnée et harmonisée, les
préoccupations précises des parties prenantes. Les parties prenantes les plus importantes et leurs préoccupations sont :
• Conseil d’administration et haute direction – Comment fixer et définir l’orientation de l’entreprise pour
l’utilisation des TI et comment surveiller la mise en œuvre des facilitateurs pertinents de la GEIT de sorte que la
valeur d’affaires soit livrée et que le risque lié aux TI soit atténué?
• Dirigeants des unités d’affaires, responsables des TI et propriétaires de processus – Comment permettre à
l’entreprise de définir et d’aligner les objectifs liés aux TI afin d’assurer que la valeur d’affaires est livrée par
l’utilisation des TI et que le risque lié aux TI est atténué?
• Direction des unités d’affaires, direction des TI et propriétaires de processus – Comment planifier, construire,
livrer et surveiller l’information ainsi que les capacités liées aux solutions et aux services des TI comme requis par
l’entreprise et demandé par le conseil d’administration?
• Experts en risque et en conformité et experts juridiques – Comment s’assurer d’être en conformité avec les
politiques, les règlements, les lois et les contrats? Comment vérifier que le risque est déterminé, évalué et atténué?
• Auditeurs internes – Comment fournir une assurance indépendante sur la livraison de la valeur et l’atténuation des
risques?
Les facteurs clés pour une mise en œuvre réussie sont les suivants :
• La haute direction fournit l’orientation et le mandat.
• Toutes les parties comprennent les objectifs de l’entreprise et les objectifs liés aux TI.
• La communication est efficace et les facilitateurs des changements à apporter à l’organisation et aux processus sont en
place.
• Les référentiels et les bonnes pratiques sont adaptés à l’objectif et à la structure de l’entreprise.
• L’objectif initial vise des gains rapides et accorde la priorité aux améliorations les plus bénéfiques et les plus faciles à
implanter afin de montrer les bénéfices et de renforcer la confiance pour la poursuite de l’amélioration.
Reconnaissance des rôles et des exigences des parties prenantes

Parties prenantes internes
La figure 7 donne une vue d’ensemble des parties prenantes internes, de leurs plus importantes responsabilités de haut
niveau ainsi que de leurs responsabilités dans le processus d’amélioration. Leur intérêt pour les résultats du programme
de mise en œuvre est également mentionné. Ce sont des exemples génériques. Par conséquent, une adaptation et une
personnalisation seront nécessaires.
Figure 7 – Survol des parties prenantes internes de la GEIT

Responsabilités et reddition de comptes importantes de Intérêt pour les résultats du programme de mise
Parties prenantes internes haut niveau en œuvre
Conseil d’administration et Donner l’orientation générale, le contexte et les objectifs Le conseil d’administration et la direction veulent
direction de l’entreprise du programme d’amélioration et assurer l’alignement sur retirer le maximum d’avantages pour l’entreprise du
la stratégie d’affaires de l’entreprise, la gouvernance et la programme de mise en œuvre. Ils veulent s’assurer
gestion du risque. Fournir un soutien et un engagement que toutes les questions nécessaires et pertinentes
visibles envers l’initiative, y compris le fait de parrainer sont abordées, que les activités nécessaires sont
et de promouvoir l’initiative. Approuver les résultats du entreprises et que les résultats attendus sont livrés
programme et veiller à ce que les bénéfices prévus soient avec succès.
atteints et que des mesures correctives soient prises, le
cas échéant. S’assurer que les ressources nécessaires
(financières, humaines et autres) soient disponibles pour
l’initiative. Donner l’orientation et montrer l’exemple.
Direction des unités d’affaires Fournir les ressources d’entreprise pertinentes à l’équipe Ces parties prenantes souhaitent que le programme
et propriétaires des processus principalement responsable de la mise en œuvre. Travailler génère un meilleur alignement des TI sur
d’affaires avec les responsables des TI pour faire en sorte que les l’environnement général de l’entreprise et ses
résultats du programme d’amélioration soient alignés domaines spécifiques.
sur l’environnement d’affaires de l’entreprise et qu’ils
soient appropriés pour cet environnement, que la valeur
soit livrée et que le risque soit géré. Soutenir visiblement
le programme d’amélioration et travailler avec les
responsables des TI pour régler les problèmes rencontrés.
S’assurer que les unités d’affaires sont suffisamment
impliquées pendant la mise en œuvre et la transition.
24
CHAPITRE 3
Figure 7 – Survol des parties prenantes internes de la GEIT (suite)

Responsabilités et reddition de comptes importantes de Intérêt pour les résultats du programme de mise
Parties prenantes internes haut niveau en œuvre
Dirigeant principal de Fournir, à l’équipe principalement responsable de la mise en Le dirigeant principal de l’information désire
l’information œuvre, le leadership du programme ainsi que les ressources s’assurer que tous les objectifs de la mise en œuvre
pertinentes liées aux TI. Collaborer avec la direction des de la GEIT sont atteints. Pour le dirigeant principal
unités d’affaires et de l’entreprise pour définir les objectifs, de l’information, le programme doit se traduire
l’orientation et l’approche appropriés pour le programme. par des mécanismes qui amélioreront sans cesse
la relation avec les affaires et l’alignement sur
ces dernières (y compris le fait d’avoir une vision
commune de la performance des TI). Le programme
doit conduire à une meilleure gestion de l’offre et
de la demande en matière de TI et doit améliorer la
gestion du risque d’affaires lié aux TI.
Direction des TI et Faire preuve de leadership pour les travaux du programme Ces parties prenantes veulent faire en sorte que
propriétaires des processus et les ressources destinées à l’équipe de mise en œuvre l’initiative d’amélioration procure une meilleure
des TI, par exemple le Fournir des données clés lors de l’évaluation de la gouvernance des TI de façon générale et dans
directeur de l’exploitation, performance actuelle et fixer des objectifs d’amélioration chacun des secteurs, et que les données d’affaires
l’architecte en chef, le pour les secteurs de traitement et leurs domaines respectifs. requises pour y parvenir soient obtenues de la
directeur de la sécurité des Fournir des données sur les bonnes pratiques pertinentes meilleure façon possible.
TI et le spécialiste de la qui doivent être intégrées et fournir des conseils d’experts.
gestion de la continuité des S’assurer que le dossier d’affaires et le plan de programme
opérations. soient réalistes et réalisables.
Experts en conformité et en Participer, au besoin, tout au long de la durée du programme Ces parties prenantes veulent vérifier que l’initiative
gestion du risque et experts et fournir des données sur la conformité, la gestion du risque se met en place ou améliore les mécanismes
juridiques et les questions juridiques, lorsque nécessaire. S’assurer dans le but d’assurer la conformité légale et
de l’alignement sur l’approche globale de la gestion du contractuelle. Elles souhaitent également assurer
risque de l’entreprise (le cas échéant) et confirmer que les une gestion efficace du risque d’affaires lié aux TI.
objectifs de conformité et de gestion du risque sont atteints, Le tout doit être aligné sur des approches existantes
que les problèmes sont considérés et que les bénéfices sont à l’échelle de l’entreprise.
atteints. Fournir les orientations nécessaires lors de la mise
en œuvre.
Auditeur interne Participer, au besoin, tout au long de la durée du programme Ces parties prenantes sont intéressées par les
et fournir des conseils d’audit sur les questions pertinentes. résultats du programme de mise en œuvre
Conseiller sur les problèmes actuels et donner des intrants concernant les pratiques et les approches de
sur les pratiques et les approches de contrôle. Examiner la contrôle. Elles souhaitent aussi connaître de quelle
faisabilité des dossiers d’affaires et des plans de mise en façon les mécanismes qui sont mis en place
œuvre. Fournir les orientations nécessaires lors de la mise ou qui sont améliorés permettront de traiter les
en œuvre. conclusions de l’audit.
Un rôle potentiel pourrait également être de vérifier les
résultats d’une évaluation indépendante.
Équipe de mise en œuvre Diriger, concevoir, contrôler, conduire et exécuter le L’équipe souhaite s’assurer que tous les résultats
(équipe d’affaires et des programme d’un bout à l’autre, depuis l’identification envisagés pour l’initiative liée à la GEIT sont
TI combinée, composée des objectifs et des exigences jusqu’à l’évaluation finale obtenus et maximisés.
de personnes issues des en fonction des objectifs du dossier d’affaires; définir de
catégories précédentes de nouveaux déclencheurs et objectifs pour d’autres cycles de
parties prenantes) mise en œuvre ou d’amélioration. Assurer le transfert des
compétences au cours de la période de transition depuis un
environnement de mise en œuvre vers un environnement
d’exploitation, d’utilisation et de maintenance.
Employés Soutenir la GEIT. Ces parties prenantes veulent connaître les effets
de l’initiative sur leur quotidien, c’est-à-dire sur leur
travail, leurs rôles, leurs responsabilités et leurs
activités.
Parties prenantes externes

En plus des parties prenantes internes énumérées à la figure 7, notons également plusieurs parties prenantes externes.
Bien que ces personnes ne soient pas directement responsables du programme d’amélioration, elles peuvent avoir des
exigences qui doivent être satisfaites. La figure 8 présente des exemples génériques.
25
MISE EN ŒUVRE
Figure 8 – Exemple de parties prenantes externes à la GEIT

Parties prenantes Intérêt pour les résultats du programme de mise en œuvre
externes
Fournisseurs de La direction de l’entreprise doit veiller à ce qu’il y ait un alignement et une interface entre la GEIT globale de l’entreprise
services de TI ainsi que la gouvernance et la gestion des services qu’elle fournit.
Organismes de Les organismes de réglementation ont pour but de savoir si les résultats du programme de mise en œuvre répondent à
réglementation toutes les exigences réglementaires et de conformité applicables, ou s’ils fournissent des structures et des mécanismes à
cette fin.
Actionnaires Les actionnaires peuvent baser partiellement leurs décisions d’investissement sur l’état de la gouvernance de l’entreprise
(le cas échéant) ainsi que sur ses antécédents en la matière.
Clients Les clients peuvent être affectés par le degré d’atteinte des objectifs liés à la GEIT. La gestion du risque d’affaires lié aux
TI en est un exemple. Si une entreprise est exposée à des risques dans le domaine de la sécurité, par exemple par la
perte de données bancaires d’un client, le client sera affecté. Le client a un intérêt indirect dans la réussite du programme
de mise en œuvre.
Auditeurs externes Les auditeurs externes peuvent ajouter de la fiabilité aux contrôles liés aux TI à la suite de la mise en place d’un
programme de mise en œuvre efficace, et seront intéressés par les aspects de conformité réglementaire et les rapports
financiers.
Partenaires d’affaires Les partenaires d’affaires qui utilisent des transactions électroniques automatisées avec l’entreprise pourraient avoir un
par exemple, des intérêt dans les résultats du programme de mise en œuvre à l’égard de l’amélioration de la sécurité de l’information, de
fournisseurs l’intégrité et des délais. Ils peuvent également être intéressés par les certifications de conformité réglementaire et de
normes internationales qui pourraient résulter du programme.
Assurance indépendante et rôle des auditeurs

Les responsables des TI et les parties prenantes doivent être conscients du rôle des professionnels de l’assurance :
ces derniers peuvent être des auditeurs internes, des auditeurs externes, des auditeurs pour les normes ISO/CEI ou
tout professionnel chargé de fournir une évaluation sur les services et les processus liés aux TI. De plus en plus, le
conseil d’administration et la direction de l’entreprise solliciteront des avis indépendants et des opinions concernant
les fonctions et les services critiques liés aux TI. On note également une augmentation générale de la nécessité de
démontrer la conformité aux réglementations nationales et internationales.
26
CHAPITRE 4
IDENTIFICATION DES DÉFIS DE MISE EN ŒUVRE ET DES FACTEURS DE SUCCÈS
CHAPITRE 4
IDENTIFICATION DES DÉFIS DE MISE EN ŒUVRE ET DES FACTEURS DE
SUCCÈS
Les expériences tirées des mises en œuvre de la GEIT ont montré que plusieurs problèmes pratiques doivent être
surmontés afin de réussir le projet et de maintenir une amélioration continue. Ce chapitre décrit plusieurs de ces défis
ainsi que les causes fondamentales et les facteurs qui devraient être considérés pour assurer un résultat satisfaisant.
Création d’un environnement approprié

La figure 9 énumère les défis de la phase 1, leurs causes fondamentales et leurs facteurs de succès.
Figure 9 – Phase 1 – Quelles sont les motivations?

Manque d’acceptation, d’engagement et de soutien de la direction.
Défis Difficulté à démontrer la valeur et les bénéfices.
Causes fondamentales • Manque de compréhension (et de preuve) de l’importance, de l’urgence et de la valeur d’une amélioration de la
gouvernance de l’entreprise.
• Mauvaise compréhension de la portée de la GEIT et des différences entre la gouvernance et la gestion des TI.
• Mise en œuvre motivée par une réaction à court terme à un problème plutôt que par une justification proactive et
globale d’amélioration.
• Inquiétude liée à un « autre projet susceptible d’échouer »; manque de confiance dans la gestion des TI.
• Mauvaise communication des enjeux et des bénéfices de la gouvernance; les bénéfices et les échéances ne sont pas
énoncés clairement.
• Refus de parrainer le projet ou d’en être responsable de la part des dirigeants.
• Mauvaise perception de la crédibilité de la fonction des TI; DPI ne réussit pas à imposer suffisamment de respect.
• Croyance de la part de la haute direction que la GEIT relève uniquement de la gestion des TI.
• Absence d’une équipe appropriée (principaux acteurs) responsable de la GEIT ou manque de compétences adéquates
pour entreprendre la tâche.
• Utilisation non informée des référentiels disponibles, manque de formation et de sensibilisation.
• Positionnement incorrect de la GEIT dans le contexte de la gouvernance actuelle de l’entreprise.
• Initiative menée par des « convertis » enthousiastes qui prêchent une approche théorique.
Facteurs de succès • Discuter de la GEIT lors des réunions du conseil d’administration, du comité d’audit et du comité de gestion des
risques.
• Créer un comité ou tirer profit d’un comité existant, tel que le comité stratégique des TI, afin de fournir un mandat et
une responsabilité d’action.
• Éviter de considérer la GEIT comme une solution « qui cherche un problème »; il doit y avoir un réel besoin et des
avantages potentiels.
• Identifier les dirigeants et les promoteurs qui possèdent l’autorité, la compréhension et la crédibilité nécessaires pour
assumer la responsabilité de la réussite de la mise en œuvre.
• Cibler et communiquer les points de douleur qui pourraient créer un désir de changer le statu quo.
• Utiliser un langage, des approches et des communications appropriés à l’auditoire; éviter les jargons et les termes
que le public cible ne pourrait reconnaître.
• Conjointement (avec les unités d’affaires), définir et approuver la valeur attendue des TI.
• Exprimer les avantages en termes d’affaires et d’indicateurs (convenus).
• Si nécessaire, obtenir un soutien et accroitre les connaissances auprès des auditeurs externes, consultants et
conseillers.
• Élaborer des principes directeurs qui donnent le ton et dressent la scène pour l’effort de transformation.
• Produire des impératifs basés sur l’effort de transformation particulier à l’entreprise, en consolidant la confiance et le
partenariat nécessaires au succès.
• Produire un dossier d’affaires adapté au public cible qui démontre les avantages de l’investissement en TI proposé.
• Prioriser et aligner le dossier d’affaires en fonction de l’orientation stratégique et des points de douleur actuels de
l’entreprise.
• Aligner le dossier d’affaires avec les objectifs globaux de gouvernance d’entreprise.
• Bénéficier d’une éducation et d’une formation pour les problèmes et les référentiels de la GEIT.
Difficulté à obtenir la participation requise des unités d’affaires
Défis Difficulté à identifier les parties prenantes et les acteurs
Causes fondamentales • GEIT non prioritaire pour les dirigeants des unités d’affaires (n’est pas un indicateur clé de performance[ICP]).
• Préférence de la gestion des TI à travailler dans l’isolement : prouver le concept avant d’impliquer le « client ».
• Participation freinée par les barrières entre les TI et les unités d’affaires.
• Pas de rôles et de responsabilités clairs quant à la participation des unités d’affaires.
• Manque d’implication ou d’engagement de la part des personnes clés et influentes des affaires.
• Compréhension limitée des bénéfices et de la valeur de la GEIT de la part des dirigeants des unités d’affaires et des
responsables de processus.
27
MISE EN ŒUVRE
Figure 9 – Phase 1 – Quelles sont les motivations? (suite)

Difficulté à obtenir la participation requise des unités d’affaires
Défis Difficulté à identifier les parties prenantes et les acteurs
Facteurs de succès • Encourager la haute direction et le comité exécutif de stratégie des TI à définir les mandats et à insister sur les rôles
et responsabilités de l’entreprise en matière de GEIT.
• Mettre en place un processus visant à impliquer les parties prenantes.
• Expliquer clairement et vanter les bénéfices d’affaires.
• Expliquer le risque de la non-participation.
• Identifier les services essentiels ou les initiatives les plus importantes en TI à utiliser comme pilotes/modèles pour
l’implication des unités d’affaires dans l’amélioration de la GEIT.
• Trouver les adeptes, soit les utilisateurs des unités d’affaires qui reconnaissent la valeur d’une meilleure GEIT.
• Promouvoir la libre pensée et l’autonomisation, mais seulement dans le cadre de politiques et d’une structure de
gouvernance bien définies.
• Veiller à ce que les responsables du changement et ceux qui doivent le favoriser obtiennent le soutien du promoteur.
• Créer des forums de participation des affaires (p. ex. un comité exécutif de stratégie des TI) et animer des ateliers
pour discuter ouvertement des problèmes actuels et des opportunités d’amélioration.
• Impliquer les représentants des unités d’affaires dans les évaluations de haut niveau de l’état actuel.
Défis Manque de compréhension des affaires parmi les gestionnaires des TI
Causes fondamentales • Direction des TI ayant une formation technique opérationnelle non suffisamment impliquée dans les questions liées
aux affaires de l’entreprise.
• Gestion des TI isolée au sein de l’entreprise non impliquée aux échelons supérieurs.
• Faiblesse du processus de relation avec les affaires.
• Héritage d’une mauvaise performance constatée ayant conduit les TI et le DPI dans un mode opérationnel défensif.
• Position vulnérable du DPI et de la gestion des TI, peu disposés à révéler des faiblesses internes.
Facteurs de succès • Bâtir une crédibilité en se fondant sur les succès et la performance d’employés des TI respectés.
• Idéalement, faire de la direction des TI un membre permanent du comité exécutif pour s’assurer qu’elle ait une
compréhension adéquate des affaires et qu’elle soit impliquée dès le début dans de nouvelles initiatives.
• Mettre en œuvre un processus de relations d’affaires efficace.
• Encourager la participation et l’implication des affaires. Envisager d’intégrer des gens d’affaires dans les TI etvice
versa, pour acquérir de l’expérience et améliorer les communications.
• Réorganiser, si nécessaire, les rôles de gestion des TI et mettre en œuvre des liens formels avec d’autres fonctions de
l’entreprise (p. ex., finances et ressources humaines).
• Veiller à ce que le DPI ait de l’expérience en affaires. Considérer la nomination d’un DPI provenant des affaires.
• Recourir aux services de consultants pour créer une stratégie de GEIT fortement axée sur les affaires.
• Créer des mécanismes de gouvernance, comme la gestion des relations d’affaires au sein des TI, afin de permettre
une meilleure compréhension des affaires.
Manque actuelle de politique d’entreprise et d’orientation
Défis Faiblesse actuelle de la gouvernance d’entreprise
Causes fondamentales • Problèmes d’engagement et de direction, possiblement dus à l’immaturité organisationnelle.
• Culture actuelle autocratique, basée sur des directives individuelles plutôt que sur la politique d’entreprise.
• Promotion d’une culture de la libre pensée et d’approches informelles plutôt que d’un « environnement de contrôle ».
• Faiblesse de la gestion du risque d’entreprise.
Facteurs de succès • Soulever les questions et les préoccupations quant au risque d’une mauvaise gouvernance avec les dirigeants du
conseil d’administration incluant les non-exécutifs , en se basant sur de vrais problèmes liés à la conformité et à la
performance de l’entreprise.
• Soulever les questions avec le comité d’audit ou l’audit interne.
• Obtenir l’opinion et les conseils des auditeurs externes.
• Considérer comment la culture pourrait être modifiée pour permettre l’amélioration des pratiques de gouvernance.
• Soulever la question avec le chef de la direction et le conseil d’administration.
• S’assurer que la gestion du risque est appliquée dans toute l’entreprise.
28
CHAPITRE 4
Phase 2 – Où en sommes-nous? et Phase 3 – Où voulons-nous aller?

La figure 10 énumère les défis, leurs causes fondamentales et leurs facteurs de succès pour les phases 2 et 3.
Figure 10 – Phase 2 – Où en sommes-nous? et Phase 3 – Où voulons-nous aller?

Incapacité à obtenir et à maintenir le soutien concernant les objectifs d’amélioration
Défis Manque de communication entre les TI et les unités d’affaires
Causes fondamentales • Absence ou mauvaise définition des raisons impérieuses d’agir
• Incapacité des avantages perçus justifier de façon adéquate les investissements requis (coût).
• Préoccupation au sujet de la baisse de productivité ou d’efficacité en raison des changements.
• Manque de responsabilités claires pour le parrainage des objectifs d’amélioration et l’engagement envers ceux-ci.
• Manque de structures appropriées impliquant la participation de l’entreprise, des niveaux stratégiques et tactiques
aux niveaux opérationnels.
• Façon inappropriée de communiquer (p. ex. compliquer les choses, ne pas utiliser un langage d’affaires bref, ne cadre
pas avec les politiques et la culture) ou style inadapté aux différents publics.
• Dossier d’affaires pour les améliorations mal développé ou articulé.
• Attention insuffisante sur la facilitation du changement et sur l’obtention de soutien à tous les niveaux requis.
Facteurs de succès • Développer une compréhension partagée de la valeur de l’amélioration de la GEIT.
• Disposer des structures appropriées (p. ex. comité de pilotage des TI, comité d’audit) pour faciliter la communication
des objectifs et l’accord sur ceux-ci, et établir le calendrier des rencontres pour échanger sur l’état de la stratégie,
clarifier les malentendus et partager l’information.
• Mettre en œuvre un processus de relations d’affaires efficace.
• Développer et exécuter une stratégie de facilitation du changement et un plan de communication qui explique la
nécessité d’atteindre un niveau supérieur de maturité.
• Utiliser un langage approprié et la terminologie commune dans un style adapté aux sous-groupes de l’auditoire
(rendre le message intéressant, utiliser des éléments visuels).
• Développer le dossier d’affaires initial de la GEIT en un dossier d’affaires détaillé visant des améliorations précises,
avec une définition claire des risques. Se concentrer sur la valeur ajoutée pour l’entreprise (exprimée en termes
d’affaires) ainsi que sur les coûts.
• Éduquer et former concernant COBIT 5 et à cette méthode de mise en œuvre.
Défis Coût des améliorations plus important que les bénéfices perçus
Causes fondamentales • Tendance à se concentrer uniquement sur les contrôles et les améliorations de performance et non sur l’amélioration
de l’efficacité et l’innovation.
• Programme d’amélioration insuffisamment échelonné et qui empêche une association claire entre les bénéfices et le
coût de d’amélioration.
• Priorisation de solutions coûteuses et complexes, plutôt que de solutions abordables et simples.
• Budget important des TI et main-d’œuvre déjà engagés pour la maintenance de l’infrastructure existante, donnant lieu
à un désir limité d’injecter des fonds ou du temps d’employé pour s’occuper de la GEIT.
Facteurs de succès • Cibler les domaines dans l’infrastructure, les processus et les ressources humaines, par exemple la normalisation, les
niveaux de maturité supérieurs et la diminution des incidents, où de meilleurs rendements et des économies de coûts
directs peuvent être réalisés grâce à une meilleure gouvernance.
• Établir les priorités selon les bénéfices et la facilité de la mise en œuvre, en visant particulièrement les gains rapides.
Défis Manque de confiance et de bonnes relations entre les TI et l’entreprise
Causes fondamentales • Héritage de problèmes étayés par la mauvaise réputation des TI quant à l’exécution des projets et à la prestation de
services.
• Mauvaise compréhension par les TI des problèmes de l’entreprise et vice versa.
• Portée et attentes mal définies et gérées.
• Manque de clarté des rôles de gouvernance, des responsabilités et de la reddition de compte dans les unités
d’affaires, provoquant l’annulation de décisions clés.
• Manque d’éléments d’information et d’indicateurs de gestion pertinents pour illustrer le besoin d’amélioration.
• Réticence à être contredit, résistance générale au changement.
Facteurs de succès • Favoriser la communication ouverte et transparente sur la performance, avec des liens envers la gestion de la
performance de l’entreprise.
• Se concentrer sur les relations d’affaires et la mentalité de service.
• Publier des résultats positifs et les leçons apprises pour aider à établir et à maintenir une crédibilité.
• Veiller à ce que le DPI dispose de la crédibilité et du leadership nécessaires pour bâtir des relations de confiance.
• Formaliser les rôles et les responsabilités de la gouvernance dans l’entreprise pour que la responsabilité des
décideurs soit claire.
• Identifier et communiquer la preuve de problèmes réels, du risque qui doit être évité et d’avantages à gagner (en
matière d’affaires) concernant les améliorations proposées.
• Se concentrer sur la planification de la facilitation du changement.
29
MISE EN ŒUVRE

La figure 11 énumère les défis de la phase 4 de même que leurs causes fondamentales et leurs facteurs de succès.
Figure 11 – Phase 4 – Que faut-il faire?

Défis Incapacité à comprendre l’environnement
Causes fondamentales • Prise en compte insuffisante des changements de culture, des perceptions des parties prenantes et des changements
organisationnels nécessaires.
• Prise en compte insuffisante des forces et des pratiques de gouvernance existantes au sein des TI et de l’ensemble
de l’entreprise.
Facteurs de succès • Procéder à une évaluation des parties prenantes et se concentrer sur le développement d’un plan de facilitation du
changement.
• Consolider et utiliser les forces existantes et les bonnes pratiques au sein des TI et de l’ensemble de l’entreprise.
Éviter de « réinventer la roue » juste pour les TI.
• Comprendre les différents groupes, leurs objectifs et leurs mentalités.
Défis Différents niveaux de complexité (modèles technique, organisationnel et d’exploitation).
Causes fondamentales • Mauvaise compréhension des pratiques de la GEIT.
• Tentative de mettre en œuvre trop d’éléments en même temps
• Priorité accordée aux améliorations difficiles et critiques avec peu d’expérience pratique.
• Modèles d’exploitation complexes et/ou multiples.
Facteurs de succès • Éduquer et former concernant COBIT 5 et cette méthode de mise en œuvre.
• Décomposer en petits projets, construire une étape à la fois, et prioriser les gains rapides.
• Recueillir les besoins d’amélioration des différents groupes, les corréler et les hiérarchiser, et les cartographier en
fonction du programme d’habilitation du changement.
• Se concentrer sur les priorités d’affaires pour mettre en œuvre la phase.
Défis Difficulté à comprendre COBIT 5 ainsi que les référentiels, procédures et pratiques associés.
Causes fondamentales • Compétences et connaissances inadéquates.
• Copier les bonnes pratiques, au lieu de les adapter.
• Se concentrer uniquement sur les procédures, et non sur d'autres facilitateurs tels que les rôles, les responsabilités et
les compétences appliquées.
Facteurs de succès • Éduquer et former concernant COBIT 5, d’autres normes et bonnes pratiques connexes, et cette méthode de mise en
œuvre.
• Si nécessaire, obtenir des conseils et du soutien d’externes qualifiés et expérimentés.
• Adapter les bonnes pratiques en fonction de l’environnement de l’entreprise.
• Examiner et tenir compte des compétences, rôles et responsabilités nécessaires, de la propriété du processus, des
buts et objectifs, et des autres moyens lors de la conception du processus.
Défis Résistance au changement
Causes fondamentales La résistance est une réponse comportementale naturelle lorsque lestatu quo est menacé, mais elle peut aussi indiquer
une préoccupation sous-jacente telle que :
• L’incompréhension de ce qui est nécessaire et de son utilité.
• La perception que la charge de travail et les coûts vont augmenter.
• La réticence à admettre les lacunes.
• Le syndrome du « non-inventé-ici », soutenu par l’imposition de cadres de gouvernance génériques dans l’entreprise.
• La pensée enracinée/menace pour le rôle ou la base du pouvoir.
Facteurs de succès • Concentrer les communications de sensibilisation sur les points de douleur et les facteurs précis.
• Accroître la sensibilisation en informant les gestionnaires et les parties prenantes de l’entreprise et des TI.
• Retenir les services d’un agent de changement expérimenté possédant des compétences en affaires et en TI.
• Faire un suivi à des jalons donnés pour s’assurer que les avantages de mise en œuvre sont réalisés par les parties
concernées.
• Opter pour des gains rapides et des cibles faciles pour bien illustrer les avantages obtenus.
• Rendre des référentiels génériques tels que COBIT 5 pertinents pour le contexte de l’entreprise.
• Se concentrer sur la planification de la facilitation du changement, notamment :
– Le développement
– La formation
– L’encadrement
– Le mentorat
– Le transfert de compétences
• Organiser des tournées de présentations et trouver des champions qui pourront promouvoir les avantages.
30
CHAPITRE 4
Figure 11 – Phase 4 – Que faut-il faire? (suite)

Défis Incapacité à adopter les améliorations
Causes fondamentales • Des experts externes concevant des solutions de manière isolée, ou imposant des solutions sans explications
adéquates.
• L’équipe interne de la GEIT travaillant dans l’isolement, et agissant en tant que mandataire informel pour les vrais
propriétaires de processus, provoquant ainsi des malentendus et une résistance au changement.
• Une orientation et un soutien inadéquats de la part des principales parties prenantes, pouvant faire en sorte que des
projets concernant la GEIT produisent de nouvelles politiques et procédures qui n’ont pas de propriétaire valable.
Facteurs de succès • Engager les propriétaires de processus et d’autres parties prenantes lors de la conception.
• Utiliser des pilotes et des démonstrations, s’il y a lieu, pour éduquer, obtenir l’adhésion et du soutien.
• Commencer avec des gains rapides, en démontrer les avantages et construire à partir de là.
• Chercher des champions qui favorisent l’amélioration plutôt que de forcer les gens qui résistent.
• Encourager une structure de gestion qui attribue des rôles et des responsabilités, qui s’engage envers leur
fonctionnement continu et qui veille à la conformité.
• Appliquer le transfert de connaissances des experts externes vers les responsables du processus.
• Déléguer la responsabilité et autonomiser les responsables du processus.
Défis Difficulté à intégrer l’approche de la gouvernance interne avec les modèles de gouvernance des partenaires
sous-traitants.
Causes fondamentales • Crainte de révéler des pratiques inadéquates.
• Incapacité à définir et/ou partager les exigences de la GEIT avec le fournisseur externe.
• Manque de clarté dans la répartition des rôles et des responsabilités.
• Différences dans l’approche et dans les attentes.
Facteurs de succès • Impliquer les fournisseurs/tierces parties dans la mise en œuvre et dans les activités opérationnelles, s’il y a lieu.
• Incorporer des conditions et le droit d’auditer dans les contrats.
• Rechercher des moyens d’intégrer des référentiels et des approches.
• Discuter à l’avance, et non après coup, des rôles, des responsabilités et des structures de gouvernance avec les tiers.
• Faire correspondre la preuve (par l’intermédiaire de l’audit et de l’examen des documents) des processus des
fournisseurs de service, des personnes et de la technologie avec les niveaux et les pratiques nécessaires en matière
de GEIT.

La figure 12 énumère les défis de la phase 5 de même que leurs causes fondamentales et leurs facteurs de succès.
Figure 12 – Phase 5 – Comment y parvenir?

Défis Incapacité à réaliser les engagements de mise en œuvre
Causes fondamentales • Objectifs trop optimistes, sous-estimation de l’effort nécessaire.
• TI en mode défensif, concentrées sur des problèmes opérationnels.
• Manque de ressources ou de capacités dédiées.
• Priorités mal attribuées.
• Portée non adaptée aux exigences ou mal interprétée par les responsables de la mise en œuvre.
• Principes de gestion du programme (p. ex. dossier d’affaires) mal appliqués.
• Connaissances insuffisantes de l’environnement de l’entreprise (p. ex. le modèle opérationnel).
Facteurs de succès • Gérer les attentes.
• Suivre les principes directeurs.
• Garder le tout simple, réaliste et pratique.
• Décomposer l’ensemble du projet en petits projets réalisables, en accumulant l’expérience et les avantages.
• Veiller à ce que la portée de la mise en œuvre soutienne les exigences et que tous les intervenants aient la même
compréhension des résultats attendus de la portée du projet.
• Se concentrer sur les mises en œuvre qui favorisent l’ajout de valeur à l’entreprise.
• Veiller à ce que les ressources dédiées soient attribuées.
• Appliquer les principes de gestion de programme et de gouvernance.
• Tirer profit des méthodes de travail et des mécanismes existants.
• Assurer une connaissance adéquate de l’environnement des affaires.
31
MISE EN ŒUVRE
Figure 12 – Phase 5 – Comment y parvenir? (suite)

Défis Essayer d’en faire trop à la fois; traiter des problèmes trop complexes et/ou difficiles.
Causes fondamentales • Manque de compréhension de la portée et de l’effort (aussi, pour les aspects humains, créer un langage commun).
• Ne pas comprendre la capacité d’absorber le changement (trop d’autres initiatives).
• Manque de planification formelle du programme et de gestion; ne pas construire la fondation à partir de laquelle faire
évoluer les efforts.
• Pression excessive à mettre en œuvre.
• Ne pas capitaliser sur les gains rapides.
• Réinventer la roue au lieu d’utiliser les éléments de base.
• Manque de connaissance du paysage organisationnel.
• Manque de compétences.
Facteurs de succès • Appliquer les principes de gestion de programme et de projet.
• Utiliser des jalons.
• Donner la priorité aux tâches 80/20 (80 pour cent des avantages obtenus avec 20 pour cent d’effort) et veiller à les
classer dans le bon ordre. Capitaliser sur les gains rapides.
• Instaurer un climat de confiance/d’assurance. Avoir l’expérience et les compétences nécessaires pour garder le tout
simple et pratique.
• Réutiliser les éléments de base.
Défis Les TI et/ou les affaires sont en mode défensif et/ou établissent incorrectement les priorités et sont inaptes à
se concentrer sur la gouvernance.
Causes fondamentales • Manque de ressources ou de compétences.
• Manque de processus internes, inefficacités internes.
• Manque de leadership solide des TI.
• Trop de solutions de contournement.
Facteurs de succès • Appliquer de bonnes compétences de leadership.
• Obtenir un engagement de la haute direction et œuvrer à partir de là afin que les gens puissent être disponibles pour
se concentrer sur la GEIT.
• Prendre en compte les causes profondes de l’environnement opérationnel (intervention externe, direction accordant la
priorité aux TI).
• Appliquer une discipline plus stricte quant à la gestion des demandes des affaires.
• Utiliser des ressources externes, au besoin.
• Obtenir de l’aide externe.
Manque d’habiletés et de compétences nécessaires (p. ex. compréhension de la gouvernance, de la gestion,
Défis des affaires, des processus, compétences générales).
Causes fondamentales • Compréhension insuffisante de COBIT et des bonnes pratiques de gestion des TI.
• Compétences d’affaires et de gestion généralement non incluses dans la formation.
• Manque d’intérêt du personnel des TI pour les domaines non techniques.
• Manque d’intérêt du personnel des affaires pour les TI.
Facteurs de succès • Se concentrer sur la planification de la facilitation du changement
– Le développement
– La formation
– L’encadrement
– Le mentorat
– Commentaires dans le processus de recrutement
– Compétences croisées
32
CHAPITRE 4
Phase 6 – Y sommes-nous arrivés? et Phase 7 – Comment maintenir le rythme?

La figure 13 énumère les défis des phases 6 et 7, leurs causes fondamentales et leurs facteurs de succès.
Figure 13 – Phase 6 – Y sommes-nous arrivés? et Phase 7 – Comment maintenir le rythme?

Défis Incapacité à adopter ou à appliquer les améliorations
Causes fondamentales • Solutions trop complexes ou irréalisables.
• Solutions élaborées dans l’isolement par des consultants ou par une équipe d’experts.
• Reproduction des bonnes pratiques, sans adaptation aux activités de l’entreprise.
• Solutions non détenues par les propriétaires/équipe des processus.
• Manque de rôles et de responsabilités clairs dans l’organisation.
• Gestion n’imposant pas et ne soutient pas le changement.
• Résistance au changement.
• Mauvaise compréhension de la façon d’appliquer les nouveaux processus ou les outils qui ont été développés.
• Compétences et profil ne correspondant pas aux exigences du rôle.
Facteurs de succès • Se concentrer sur les gains rapides et sur les projets gérables.
• Faire de petites améliorations pour tester l’approche et s’assurer qu’elle fonctionne.
• Impliquer les propriétaires du processus et d’autres intervenants dans le développement de l’amélioration.
• S’assurer que les rôles et les responsabilités sont clairs et acceptés, et changer les rôles et les descriptions d’emploi
si nécessaire.
• Propager l’amélioration à partir de la direction jusqu’à l’ensemble de l’entreprise.
• Offrir une formation adéquate, là où cela est nécessaire.
• Développer un processus avant de tenter l’automatisation.
• Réorganiser, si nécessaire, pour permettre une meilleure appropriation du processus.
• Faire correspondre les rôles (en particulier ceux qui sont essentiels pour une adoption fructueuse) aux capacités et
caractéristiques individuelles.
• Fournir un programme d’éducation et de formation efficace.
Défis Difficulté à montrer ou à prouver les avantages.
Causes fondamentales • Absence de définition ou fonctionnement inefficace des objectifs et des indicateurs de gestion.
• Absence de suivi des bénéfices après la mise en œuvre.
• Perte de concentration sur les bénéfices et la valeur ajoutée.
• Communication inadéquate des réussites.
Facteurs de succès • Fixer des objectifs clairs, mesurables et réalisables (résultat attendu de l’amélioration).
• Fixer des indicateurs de performance pratiques (pour surveiller si l’amélioration conduit à la réalisation des objectifs).
• Élaborer des fiches d’évaluation montrant la manière de mesurer la performance.
• Communiquer, en termes d’impact sur l’entreprise, les résultats et les bénéfices qui sont obtenus.
• Mettre en œuvre des processus à gains rapides et livrer des solutions dans un court laps de temps.
Défis Perte des circonstances favorables et de l’intérêt
Causes fondamentales • L’amélioration continue ne fait pas partie de la culture.
• La gestion ne favorise pas des résultats durables.
• Les ressources sont axées sur un mode défensif et sur la prestation de service, et non sur l’amélioration.
• Le personnel n’est pas motivé, il ne parvient pas à voir les avantages personnels d’adopter et de favoriser le
changement.
Facteurs de succès • Veiller à ce que la direction communique et renforce régulièrement le besoin pour des services et solutions robustes
et fiables et une bonne gouvernance. Communiquer à toutes les parties prenantes les améliorations déjà obtenues.
• Rencontrer de nouveau les différentes parties prenantes et obtenir leur soutien afin d’entretenir la dynamique du
moment.
• Si les ressources sont rares, saisir les occasions pour mettre en œuvre des améliorations « sur le terrain », dans le
cadre d’un projet de routine quotidienne.
• Se concentrer sur des tâches d’amélioration habituelles et gérables.
• Obtenir de l’aide externe, mais demeurer engagé.
• Aligner les systèmes de récompenses personnelles avec les objectifs et les indicateurs d’amélioration de la
performance des processus et de l’organisation.
33
MISE EN ŒUVRE
34
CHAPITRE 5
FACILITATION DU CHANGEMENT
CHAPITRE 5
Le besoin de faciliter le changement
La réussite de la mise en œuvre ou de l’amélioration dépend de la mise en œuvre du bon changement (les bonnes
pratiques) effectuée de la bonne façon. Dans de nombreuses entreprises, on accorde énormément d’importance au
premier aspect, mais on ne met pas suffisamment l’accent sur la gestion des aspects humains, comportementaux et
culturels du changement ni sur les efforts pour motiver les parties prenantes dans l’acceptation du changement. La
facilitation du changement est l’un des plus grands défis de la mise en œuvre de la GEIT.
Il ne faut pas supposer que les différentes parties prenantes impliquées ou touchées par les dispositions, nouvelles
ou révisées, de la gouvernance accepteront et adopteront facilement le changement. La possibilité d’une réaction
d’indifférence ou de résistance au changement doit être abordée par une approche structurée et proactive. En outre, une
sensibilisation optimale au programme devrait être réalisée à l’aide d’un plan de communication qui définit ce qui sera
communiqué, de quelle manière et par qui, tout au long des différentes phases du programme.
Lors de l’examen d’une récente initiative de transformation importante des TI, le

département des Anciens combattants (DAC) des États-Unis a noté que « le principal Dans de nombreuses
défi auquel le DAC devra faire face pour réaliser cette transformation sera de gagner entreprises, on ne met pas
l’acceptation et le soutien de tout son personnel, y compris la direction, les cadres
intermédiaires et le personnel de terrain. »5 Le DAC a déclaré que ses efforts ne suffisamment l’accent sur la
peuvent porter fruit si on n’aborde que la transformation technologique; il reconnaît gestion des aspects humains,
que le facteur humain nécessaire pour parvenir à l’acceptation, changer l’entreprise et comportementaux et culturels
changer la façon dont les affaires sont menées est essentiel au succès.
du changement ni sur les
COBIT 5 définit la facilitation du changement comme suit : efforts pour motiver les parties
prenantes dans l’acceptation
Un processus systématique visant à assurer que toutes les parties prenantes sont
préparées et adhèrent aux changements inhérents à la migration de l’état actuel du changement.
vers l’état futur désiré.
Toutes les parties prenantes clés doivent être impliquées. À un haut niveau, la facilitation du changement implique
généralement :
• L’évaluation de l’impact du changement sur l’entreprise, ses employés et les autres parties prenantes.
• L’établissement de l’état futur (vision) du point de vue humain et comportemental et les mesures connexes qui le
décrivent.
• L’établissement de « plans de réponse au changement » pour gérer les effets du changement de façon proactive et
pour maximiser l’engagement tout au long du processus. Ces plans peuvent inclure la formation, la communication,
la conception organisationnelle (contenu du travail, structure organisationnelle), la refonte des processus et une mise à
jour des systèmes de gestion de la performance.
• La mesure en continu de la progression du changement vers l’état futur désiré.
En ce qui concerne une mise en œuvre typique de la GEIT, l’objectif de la facilitation du changement est de faire en
sorte que les parties prenantes de l’entreprise provenant de différentes unités d’affaires et des TI montrent l’exemple
aux membres du personnel à tous les niveaux et les encouragent à travailler de la nouvelle façon que l’on souhaite
implanter.
Voici des exemples de comportements souhaités :
• Suivi des processus approuvés.
• Participation à des structures de la GEIT définies, comme le comité consultatif ou d’approbation du changement.
• Application de principes directeurs, de politiques, de normes, de pratiques ou de processus définis tels qu’une
politique concernant la sécurité ou de nouveaux investissements.
Le meilleur moyen d’atteindre cet objectif est de gagner l’engagement des parties prenantes (diligence et prudence,
leadership, et communication et intervention auprès de la main-d’œuvre) et de faire la promotion des avantages. Il
peut être nécessaire de faire respecter la conformité. En d’autres termes, les barrières humaines, comportementales et
culturelles doivent être surmontées afin de susciter un intérêt commun à adopter la nouvelle façon de faire, d’insuffler
5
Walters, Jonathan; ‘Transforming Information Technology at the Department of Veterans Affairs’, IBM Center for the Business of Government, USA, 2009
35
MISE EN ŒUVRE
une volonté de l’adopter, et ainsi assurer la capacité d’adopter cette nouvelle

façon. Il peut être utile de tirer profit des compétences en matière de facilitation
Les barrières humaines, du changement au sein de l’entreprise ou, le cas échéant, auprès de consultants
externes pour faciliter le changement de comportement.
comportementales et
culturelles doivent être La facilitation du changement de la mise en œuvre de la GEIT
surmontées afin de susciter un Diverses approches de facilitation du changement ont été définies au cours des
années et elles offrent un apport précieux qui pourrait être utilisé pendant le cycle
intérêt commun de vie de la mise en œuvre. L’une des approches les plus largement acceptées pour
à adopter la nouvelle façon de la facilitation du changement a été élaborée par John Kotter :6
faire, d’insuffler 1. Établir un sentiment d’urgence.
2. Former une coalition directrice puissante.
une volonté de l’adopter, 3. Créer une vision claire qui est exprimée simplement.
et ainsi assurer la capacité 4. Communiquer la vision.
d’adopter cette nouvelle façon. 5. Donner aux autres le pouvoir d’agir dans le cadre de la vision.
6. Planifier et créer des gains à court terme.
7. Consolider les améliorations et susciter plus de changements.
8. Institutionnaliser de nouvelles approches.
L’approche Kotter a été choisie comme exemple et adaptée pour les besoins spécifiques d’une mise en œuvre ou d’une
amélioration de la GEIT. Elle est illustrée par le cycle de vie de la facilitation des changements à la figure 14.
Les paragraphes suivants donnent un aperçu de haut niveau, mais tout de même holistique, en abordant brièvement
chaque phase du cycle de vie de la facilitation des changements tel qu’elle est appliquée à une mise en œuvre typique
de la GEIT.
Figure 14 – Les sept phases du cycle de vie de la mise en œuvre
e ryth
me? 1 Quelles so
nir l nt l
ainte es
mo
m
nt er Lancer tiv
me vis un p at
Co
m Ré cacité ro io
gra
ffi
ns
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
urs nge so
ces
Dé t les p
Où
Po me in
arri
n
e
fini
néfi
en
6 Y sommes-nous
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
che
rme antation
d’i
n
u
e
a l gir
m
v
Intégrer de
r une
é
problèmes
(anneau externe)
pl
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
el
(anneau du milieu)
U t il liora
ét n ir
amé

ib a t
fi
Dé
is e t
le
l’
r
l
io n e s
r
su que
(anneau interne)
te
c
E x u tili
ts
s Cré er d es
ro u
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
e
5C
m
it
er r m
de
C o es
cu
s al
l
om
lle
ter
Identifier les
ou
ui
me
le
pl a cteurs
fe
s- n
an la
nt
ni r
on
yp
fi
rv Dé
ul
Pla n vo
a
ir ? Où
3
Les phases du cycle de vie de la facilitation du changement créent

l’environnement approprié
L’environnement général de l’entreprise devrait être analysé pour déterminer l’approche de facilitation du changement
la plus appropriée. Cette analyse inclura des aspects tels que le style de gestion, la culture (méthodes de travail),
les relations formelles et informelles et les attitudes. Il est également important de comprendre les autres initiatives
d’entreprise ou liées aux TI qui sont en cours ou planifiées, afin de s’assurer que les dépendances et les impacts sont
pris en considération.
6
Kotter, John; Leading Change, Harvard Business School Press, É.-U., 1996
36
CHAPITRE 5
Il faut s’assurer dès le départ que les compétences et l’expérience nécessaires à la facilitation du changement sont
disponibles et utilisées, par exemple, en faisant appel aux ressources du service des RH ou en obtenant de l’aide
extérieure.
À l’issue de cette phase, il faut un juste équilibre d’activités directrices et inclusives liées à la facilitation du
changement pour offrir des bénéfices durables.
Phase 1 – Établir le désir de changer

Cette phase vise à comprendre l’ampleur et la profondeur du changement envisagé, les différentes parties prenantes qui
sont touchées, la nature de l’impact et l’implication nécessaire de chaque groupe de parties prenantes, ainsi que l’état
de préparation actuel et la capacité à adopter le changement.
Les points de douleur et événements déclencheurs actuels peuvent fournir une bonne base pour établir le désir de
changement. « L’appel à l’action », une première communication sur le programme, peut être lié à des problèmes
concrets qu’éprouve l’entreprise. En outre, les avantages initiaux peuvent être liés à des domaines qui sont très visibles
dans l’entreprise, ce qui aura pour effet de créer un tremplin pour d’autres changements ainsi qu’un plus grand
engagement et une plus grande adhésion.
Même si la communication doit être constante tout au long de l’initiative de mise en œuvre ou d’amélioration, la
communication initiale ou appel à l’action est l’un des aspects les plus importants et devrait démontrer l’engagement
de la direction. Par conséquent, cette communication devrait idéalement être transmise par le comité exécutif ou le
directeur général.
Phase 2 – Former une équipe de mise en œuvre efficace

Les éléments à considérer pour former une équipe de base efficace dévouée à la mise en œuvre sont : l’implication
des secteurs appropriés de l’entreprise et des TI ainsi que les connaissances et l’expertise, l’expérience, la crédibilité et
l’autorité des membres de l’équipe. Aller chercher un point de vue objectif et indépendant, par exemple, celui de parties
externes comme des consultants et un agent de changement, pourrait également être très bénéfique, car cela pourrait
aider le processus de mise en œuvre ou combler les lacunes en matière de compétences qui peuvent exister au sein
de l’entreprise. Par conséquent, un autre élément à considérer est la combinaison appropriée de ressources internes et
externes.
L’essence de l’équipe devrait être un engagement envers :

• Une vision claire de la réussite et des objectifs ambitieux.
• La mobilisation des meilleurs atouts de chacun des membres de l’équipe, et ce, en tout temps.
• La clarté et la transparence des processus, des responsabilités et des communications touchant l’équipe.
• L’intégrité, le soutien mutuel et l’engagement dans la réussite de l’autre.
• La responsabilité mutuelle et la responsabilité collective.
• La mesure continue de sa propre performance et de son comportement en tant qu’équipe.
• La volonté de sortir de sa zone de confort, la recherche constante de méthodes d’amélioration, la découverte de
nouvelles possibilités et l’acceptation du changement.
Il est important d’identifier les agents de changement potentiels, au sein de différentes parties de l’entreprise, avec
lesquels l’équipe de base peut travailler afin de soutenir la vision et d’entraîner une cascade de changements dans tous
les niveaux de la hiérarchie.
Phase 3 – Communiquer la vision désirée

Un plan de facilitation du changement de haut niveau devrait être élaboré conjointement avec le plan d’ensemble du
programme. Une composante clé du plan de facilitation du changement est la stratégie de communication, qui devrait
aborder les points suivants : qui sont les principaux groupes cibles, quels sont leurs profils comportementaux, quels
sont les besoins en information, et quels sont les canaux et les principes de communication.
La vision désirée pour le programme de mise en œuvre ou d’amélioration devrait être communiquée dans la langue
de ceux qui sont touchés par ladite vision. La communication doit inclure la raison d’être et les bénéfices de ce
changement ainsi que les conséquences inhérentes à l’absence de changement (but), la vision (portrait), la feuille de
route pour réaliser la vision (plan) et l’implication nécessaire des différentes parties prenantes (rôles).7 La direction
devrait diffuser des messages clés (comme la vision désirée). La communication devrait souligner tant les aspects
comportementaux et culturels que les aspects logiques devant être abordés, et le fait que l’accent est mis sur la
7
Les « quatre P » (purpose, picture, plan et part, soit but, portrait, plan et rôle) proviennent de : Bridges, William; Managing Transitions: Making the Most of
Change, Addison-Wesley, É.-U., 1999
37
MISE EN ŒUVRE
communication bidirectionnelle. Les réactions, suggestions et autres commentaires devraient être notés et faire l’objet
d’un suivi.
Phase 4 – Donner le pouvoir aux acteurs et identifier les gains rapides

À mesure que les améliorations fondamentales sont conçues et établies, les plans d’intervention liés au changement
sont élaborés pour donner le pouvoir aux différents acteurs.
Le champ d’application de ces plans peut inclure :
• Modifications à la conception organisationnelle, par exemple au contenu du travail ou aux structures de l’équipe.
• Changements opérationnels, par exemple aux flux de processus ou à la logistique.
• Changements dans la gestion du personnel, par exemple à la formation requise, ou modifications à la gestion de la
performance et aux systèmes de récompense.
Tous les gains rapides qui peuvent être réalisés sont importants dans une perspective de facilitation du changement.
Ceux-ci pourraient être liés aux points de douleur et aux événements déclencheurs décrits au chapitre 3. Des gains
rapides visibles et non ambigus peuvent créer des circonstances favorables et donner de la crédibilité au programme et
contribueront à faire tomber toute forme de scepticisme.
Les changements sont Il est impératif d’utiliser une approche participative dans la conception et
soutenus par les parties l’établissement des améliorations fondamentales. En mobilisant ceux qui sont
touchés par le changement et en les faisant participer concrètement à la conception,
prenantes. Par exemple, par par exemple, par des ateliers et des séances de révision, l’adhésion peut être
le renforcement conscient augmentée.
et par une campagne de
Phase 5 – Faciliter les opérations et l’utilisation
communication continue. Alors que les initiatives sont mises en œuvre dans le cycle de vie de la mise en
œuvre de base, les plans d’intervention liés au changement le sont également. Les
gains rapides qui ont été réalisés servent de fondations, et les aspects comportementaux et culturels de la transition
globale sont abordés (des enjeux tels que devoir composer avec les craintes de perte de responsabilité, les nouvelles
attentes et les tâches inconnues).
Il est important d’équilibrer les interventions de groupe et individuelles afin d’augmenter l’acceptation et l’engagement,
et de veiller à ce que toutes les parties prenantes aient une vue d’ensemble du changement.
Des solutions seront déployées et, durant ce processus, le mentorat et l’encadrement seront essentiels pour assurer
l’adoption dans l’environnement de l’utilisateur. Les exigences et les objectifs du changement fixés lors du démarrage
de l’initiative devraient être revus pour s’assurer qu’ils ont été correctement traités.
L’évaluation du succès devrait être définie et devrait inclure à la fois des mesures tangibles d’affaires et des mesures de
la perception qui illustrent les impressions des gens par rapport au changement.
Phase 6 – Intégrer de nouvelles approches

Au fur et à mesure que des résultats concrets sont obtenus, les nouvelles méthodes de travail devraient être intégrées
à la culture de l’entreprise et enracinées dans ses normes et valeurs (la façon dont nous faisons les choses ici), par
exemple, par la mise en œuvre de politiques, de normes et de procédures. Les changements mis en œuvre devraient
être suivis, l’efficacité des plans d’intervention liés aux changements devrait être évaluée et des mesures correctives
devraient être mises en place au besoin. Ces mesures pourraient inclure de faire respecter la conformité où cela est
toujours requis.
La stratégie de communication devrait être maintenue pour soutenir une sensibilisation continue.
Phase 7 – Soutenir
Les changements sont soutenus par le renforcement délibéré et une campagne de communication constante. Ils sont
maintenus et mis en évidence par l’engagement continu de la haute direction.
Les plans de mesures correctives sont mis en œuvre, les leçons apprises sont notées et les connaissances sont partagées
avec l’ensemble de l’entreprise.
38
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA MISE EN ŒUVRE
CHAPITRE 6
TÂCHES, RÔLES ET RESPONSABILITÉS LIÉS AU CYCLE DE VIE DE LA
MISE EN ŒUVRE
Introduction
L’amélioration continue de la GEIT est accomplie à l’aide du cycle de vie de mise en œuvre en sept phases. Chaque
phase est décrite avec :
• Un tableau résumant les responsabilités de chaque groupe d’acteurs de la phase. Notez que ces rôles sont génériques;
il n’est pas nécessaire que chaque rôle existe en tant que fonction spécifique.
• Un tableau pour chaque phase contenant :
– Objectif de la phase
– Description de la phase
– Tâches d’amélioration continue
– Tâches de facilitation du changement
– Tâches de gestion du programme
– Exemples d’intrants qui seront possiblement requis
– Référentiel de l’ISACA ou autre dont l’utilisation est suggérée
– Les extrants qui doivent être produits
• Un tableau RACI indiquant qui est responsable, qui approuve, qui est consulté et qui est informé des activités
clés sélectionnées dans le cadre des tâches d’amélioration continue, de facilitation du changement et de gestion
de programme, avec les références correspondantes. Les activités couvertes dans le tableau RACI sont les plus
importantes; par exemple, celles qui produisent des livrables ou des résultats pour la phase suivante, celles qui font
comportent un jalon ou celles qui sont essentielles à la réussite de l’initiative globale. Dans un souci de conserver ce
guide concis, toutes les activités ne sont pas incluses.
Ce guide n’a pas pour but d’être normatif; il offre plutôt des phases génériques et un plan de tâches qui doit être adapté
à une mise en œuvre précise.

Les figures 15, 16, 17 et 18 décrivent la phase 1.
Figure 15 – Phase 1 du cycle de vie d'amélioration continue
er ythme? 1 Quelles so
nir l nt l
inte es
ma mo
nt er Lancer tiv
me vis un at
Com Ré cacité pro
gra
io
fi
ns
f
l’e mm
?
7
Établir
e
du e
?
e de cha le be
uivr
vés
on m
2
sti am
urs nge so Gerogr
ces
Dé t les p
Où
Po me in
arri
p
n
e
fini
néfi
en
n t
6 Y sommes-nous
tio en
t
Recon
iller ita em
r les ssibilités
le b naît cil ng
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Fa cha
che
rme antation
d’i
u
n
u d
e
l gir
a
m
év ion
Intégrer de
r une
problèmes
pl
at
or ue
(anneau externe)
es-nous?
éli tin
r
Évaltat
r
Utilise
Am con
mesure
actu
l’é
et
équipe
uer
el
(anneau du milieu)
U t il liora
ét n ir
amé
ib a t
fi
D é l’
is e t

le
l
io n e s
r
su que
te
c
(anneau interne)
E x u tili
ts
s Cré er d es
rou
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
er
m
it
m
de
er C o es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
ni r
on
yp
fi
rv Dé
ul
Pla n vo
a
ir ? Où
3
39
MISE EN ŒUVRE
Figure 16 – Rôles de la phase 1

Lorsque vous êtes... Votre rôle dans cette phase est de...
Conseil d’administration et Fournir des directives concernant les besoins des parties prenantes, la stratégie d'entreprise, les priorités, les
direction objectifs et les principes directeurs en matière de gouvernance et de gestion de l’information de l'entreprise et des
TI associés. Approuver l'approche de haut niveau.
Gestion des unités d’affaires Conjointement avec les TI, veiller à ce que les besoins des parties prenantes et les objectifs de l'entreprise aient été
énoncés avec suffisamment de clarté pour qu'ils se traduisent en objectifs d'affaires pour les TI, et fournissent des
indications afin que les risques et priorités soient bien compris.
Gestion des TI Recueillir les exigences et les objectifs de toutes les parties prenantes et obtenir un consensus concernant
l'approche et à la portée. Fournir des conseils d'experts et des orientations sur les questions concernant les TI.
Audit interne Fournir des conseils sur les activités et les actions proposées, les remettre en question, et veiller à ce que soient
prises des décisions objectives et équilibrées. Fournir des suggestions sur les enjeux actuels. Fournir des conseils
sur les pratiques et les approches de contrôle et de gestion du risque.
Risques, conformité et Fournir des conseils et des orientations concernant les risques, la conformité et les questions juridiques. S'assurer
juridique que l'approche proposée par la direction répondra aux exigences en matière de risques, de conformité et de légalité.
Figure 17 – Description de la phase 1

Phase 1 Quelles sont les motivations?
Objectif de la phase Comprendre le contexte et les objectifs du programme ainsi que l'approche de gouvernance actuelle. Définir le dossier
d’affaires du concept initial du programme. Obtenir l’adhésion et l'engagement de toutes les parties prenantes clés.
Description de la phase Cette phase énonce les raisons principales qui poussent à agir dans le contexte organisationnel. Dans ce contexte,
l’environnement du programme, les objectifs et la culture de gouvernance actuelle sont définis. Le dossier d’affaires
du concept initial du programme est défini. L'acceptation et l'engagement de toutes les parties prenantes clés sont
obtenus.
Tâches d'amélioration Reconnaître la nécessité d'agir :
continue 1. Définir le contexte de gouvernance actuel, les TI de l'entreprise, les points de douleur des TI, les événements et les
symptômes qui déclenchent la nécessité d'agir.
2. Identifier les facteurs déterminants pour les affaires et la gouvernance ainsi que les exigences de conformité pour
l'amélioration de la GEIT et évaluer les besoins actuels des parties prenantes.
3. Répertorier les priorités de l’entreprise et les stratégies qui dépendent des TI, y compris les projets importants en
cours.
4. Aligner les stratégies, les principes directeurs et les initiatives de gouvernance en cours avec les politiques de
l’entreprise.
5. Sensibiliser la direction à l'importance des TI pour l'entreprise et à la valeur de la GEIT.
6. Définir les politiques, les objectifs, les principes directeurs et les objectifs d'amélioration de haut niveau de la GEIT.
7. S'assurer que les dirigeants et les membres du conseil comprennent et approuvent l'approche de haut niveau et
acceptent le risque de ne pas agir sur des questions importantes.
Tâches de facilitation du Établir le désir de changer :
changement 1. Assurer l'intégration des approches ou des programmes de facilitation du changement à l'échelle de l'entreprise,
s'ils existent.
2. Analyser l'environnement organisationnel général dans lequel le changement doit être facilité, y compris la structure
organisationnelle, les styles de gestion, la culture, les méthodes de travail, les relations formelles et informelles ainsi
que les attitudes.
3. Déterminer d'autres initiatives en cours ou prévues pour déterminer les impacts ou les dépendances des
changements.
4. Comprendre l'ampleur et la portée du changement.
5. Identifier les parties prenantes impliquées dans l'initiative en provenance de différents secteurs de l'entreprise
(p. ex., unités d’affaires, TI, audit, gestion du risque) ainsi que de différents niveaux (p. ex., dirigeants, cadres
intermédiaires) et tenir compte de leurs besoins.
6. Déterminer le degré de soutien et d'implication nécessaire de toutes les parties prenantes, leur influence et l'impact
qu'aura sur elles l'initiative de changement.
7. Déterminer la volonté et la capacité des parties prenantes de mettre en œuvre le changement.
8. Définir un appel à l’action en utilisant les points de douleur et les événements déclencheurs comme point de départ,
et communiquer cet appel par le biais du comité stratégique des TI ou du comité de pilotage (ou autre structure de
gouvernance équivalente) afin de faire connaître à toutes les parties prenantes le programme, ses facteurs clés et
ses objectifs.
9. Éliminer tous les faux signes de sécurité ou la complaisance, par exemple en soulignant les chiffres de conformité
ou d'exception.
10. Instiller le niveau d'urgence approprié en fonction de la priorité et de l'impact du changement.
40
CHAPITRE 6
Figure 17 – Description de la phase 1 (suite)

Phase 1 Quelles sont les motivations?
Tâches de gestion de Initier le programme :
programme 1. Fournir une orientation stratégique de haut niveau ainsi que les objectifs du programme avec l’accord du comité
stratégique des TI ou l'équivalent (le cas échéant).
2. Définir et attribuer des rôles et des responsabilités de haut niveau au sein du programme, en commençant par le
principal promoteur du programme en passant par le gestionnaire du programme et toutes les parties prenantes
importantes.
3. Développer une ébauche de dossier d’affaires qui indique les facteurs de réussite à utiliser pour faciliter le suivi de
la performance et permettre de rapporter la réussite de l'amélioration de la gouvernance.
4. Obtenir le soutien de la direction.
Intrants • Les politiques de l’entreprise, les stratégies, les plans de gouvernance et d’affaires ainsi que les rapports d’audit.
• Les autres initiatives majeures de l'entreprise avec lesquelles il peut y avoir des dépendances ou des impacts.
• Les rapports de performance du comité de pilotage des TI, les statistiques du centre d'assistance, les sondages
auprès des clients des TI ou autres intrants qui indiquent les points de douleur actuels des TI.
• Tout aperçu de l'industrie, étude de cas et exemple de réussite utiles et pertinents, www.isaca.org/cobitcasestudies.
• Les exigences spécifiques des clients, la stratégie de marketing et des services, la position sur le marché, la vision de
l'entreprise et les énoncés de mission.
Documentation de l'ISACA • COBIT 5 (objectifs d'entreprise, facilitateurs)
et autres référentiels • COBIT 5 : Processus facilitants (EDS01; APO01; SEM01), www.isaca.org/cobit
• COBIT 5 Mise en œuvre (annexes A. Cartographie des points de douleur et des processus de COBIT 5, B. Exemple de
matrice de prise de décisions et D. Exemple de dossier d’affaires)
• Produits de soutien de l'ISACA tels que définis actuellement au www.isaca.org.
• Le guide sur les dossiers d’affaires : Utilisation de Val IT 2.0
Extrants • Ébauche du dossier d’affaires.
• Rôles et responsabilités de haut niveau.
• Cartographie des parties prenantes identifiées, y compris le soutien et l'implication nécessaires, les influences et les
impacts, et compréhension commune des efforts requis pour gérer le changement.
• Appel à l’action du programme (toutes les parties prenantes)
• Communication de lancement du programme (parties prenantes clés)
Fig.
Figure 18 – Tableau RACI de la phase 1
me
tio n
I
e
ité
es T
r am
al d
t ra
n ité
o rm
es T
in is
su s d e s
D ir rm atiorin cip
TI
ro g
re s s u
u tif
onf
d es
re d
dm
up
n
f fai s d e
ce s re s
x éc
et c
I
fo n t p
es T
n ai
d ’a
ed
p ro rié tai
d 'a an t
e
u es
tio n
a
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
l'in
Pro
D ir
Identifier les questions qui nécessitent une action (CI1). C/I A R R C C C C R

Identifier les priorités d’affaires et les stratégies qui affectent les TI (CI3). C A R R C C C C R
Obtenir l’accord de la direction pour agir ainsi que le parrainage de l’exécutif (CI7). C A/R R C I I I I R
Insuffler le bon sentiment d’urgence de changer (CE10). I A R R C C C C R
Produire une analyse de rentabilité de base convaincante (PM3). I A R C C C C C R
41
MISE EN ŒUVRE
Phase 2 – Où en sommes-nous?
e ryth
me? 1 Quelles so
nir l nt l
ainte es
mo
m
nt Lancer tiv
me ser un p at
om Révi acité ro io
C ffic gra
ns
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
2
urs nge so
ces
Dé t les p
Où
Po me in
arri
e
fini
néfi
en
6 Y sommes-nous
t
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
che
rme antation
d’i
n
e
al gir
o
v
Intégrer de
r une
é
problèmes
pl
(anneau externe)
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
el
Amélio
continration (anneau du milieu)
U t il liora
ét n ir
ue
amé
Fa
du chcilitation
ib a t
fi
D é l’ angem
is e t
ent
le
r Gestio
l n du
io n e s
r
su que
progra
te
c mme
(anneau interne)
E x u tili
ts
s Cré er d es
ro u
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
e
m
it
er r m
C o es de
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
nir
on
yp
fi
rv Dé
ul
Pla n vo
a
ir ? Où
3

Conseil d’administration et Vérifier et interpréter les résultats et les conclusions des évaluations.
direction
Gestion des unités d’affaires Aider les TI par des contrôles de vraisemblance des évaluations actuelles en fournissant le point de vue du client.
Gestion des TI Assurer une évaluation ouverte et équitable des activités des TI. Guider l'évaluation de la pratique actuelle. Obtenir
un consensus.
Audit interne Fournir des conseils, fournir des commentaires, et aider aux évaluations de l'état actuel. Si nécessaire, vérifier de
façon indépendante les résultats de l'évaluation.
Risques, conformité et Réviser l'évaluation afin de veiller à ce que les risques, la conformité et les questions juridiques aient été pris en
juridique compte adéquatement.
42
CHAPITRE 6

Phase 2 Où en sommes-nous?
Objectif de la phase S'assurer que l'équipe du programme connaît et comprend les objectifs de l'entreprise et comment les fonctions
d’affaires et TI doivent livrer de la valeur afin de soutenir les objectifs de l'entreprise, y compris les projets importants
en cours. Identifier les processus critiques ou autres facilitateurs qui seront abordés dans le plan d'amélioration.
Identifier les pratiques de gestion adaptées à chaque processus sélectionné. Acquérir une bonne compréhension de
l'attitude présente et future de l'entreprise face aux risques, ainsi que de la position des TI concernant les risques, et
déterminer dans quelle mesure elles auront un impact sur le programme. Déterminer la capacité actuelle des processus
sélectionnés. Comprendre la capacité de l'entreprise face au changement.
Description de la phase Cette phase décrit les objectifs de l'entreprise et ceux liés aux TI, c'est-à-dire comment les TI contribuent aux objectifs
de l'entreprise identifiés par le biais des solutions et des services.
L’accent est mis sur l’identification et l’analyse de la façon dont les TI créent de la valeur pour l'entreprise en
permettant la transformation des affaires d'une manière agile, en rendant les processus d'affaires actuels et l'entreprise
plus efficaces et en se conformant aux exigences liées à la gouvernance; par exemple, la gestion du risque, l'assurance
de la sécurité et le respect des exigences juridiques et réglementaires.
En fonction du profil de risque de l'entreprise, de son historique de risque et de son goût du risque, et en fonction
du risque réel facilitant le bénéfice/valeur, définir le risque facilitant le bénéfice/valeur, la livraison du programme/
projet ainsi que la livraison des services et des activités des TI pour l'entreprise et pour les objectifs des TI. L'annexe
C contient un tableau de correspondance entre des scénarios de risque génériques et les processus de COBIT 5 qui
peuvent être utilisés pour appuyer cette analyse.
La compréhension des forces motrices de l'entreprise et de gouvernance et une évaluation des risques sont utilisées
pour mettre l'accent sur les processus essentiels à l’atteinte des objectifs de TI. Il est ensuite nécessaire de connaître le
degré de maturité de ces processus et de savoir s'ils sont bien gérés et bien exécutés, en fonction des descriptions des
processus, des politiques, des normes, des procédures et des spécifications techniques, pour ensuite déterminer s'ils
sont susceptibles de soutenir les exigences des affaires et des TI. Ceci est réalisé en évaluant la capacité de chaque
processus.
La présence de points de douleur spécifiques dans une entreprise pourrait également contribuer à la sélection des
processus des TI sur lesquels se concentrer.
L'annexe A du présent document donne des exemples de correspondance de points de douleur communs (voir le
chapitre 4) avec les processus de COBIT 5. On y trouve également une illustration de l'ensemble des 37 processus au
sein du modèle de référence de processus.
Tâches d'amélioration Évaluer l'état actuel :
continue Comprendre dans quelle mesure les TI doivent soutenir les objectifs d'entreprise actuels (la documentation de COBIT 5
sur la cascade d'objectifs dans le référentiel COBIT 5 et COBIT 5 : Processus facilitants fournissent des exemples
génériques et des relations qui peuvent être utilisés) :
1. Définir les objectifs d'entreprise clés et les objectifs liés aux TI qui les soutiennent.
2. Déterminer l'importance et la nature de la contribution des TI (solutions et services) requise pour soutenir les
objectifs de l'entreprise.
3. Identifier les problèmes clés de gouvernance et les faiblesses liées aux solutions et services actuels et futurs; définir
également l'architecture d'entreprise nécessaire pour soutenir les objectifs liés aux TI ainsi que les contraintes ou
les limites.
4. Identifier et sélectionner les processus critiques de soutien aux objectifs des TI et, le cas échéant, les pratiques de
gestion clés pour chacun des processus sélectionnés.
5. Évaluer le risque facilitant le bénéfice/valeur, la livraison du programme/projet ainsi que la livraison des services et
des activités des TI liés aux processus critiques des TI.
6. Identifier et sélectionner les processus critiques des TI de manière à s’assurer que le risque est évité.
7. Comprendre la position d'acceptation du risque définie par la gestion.
Évaluer la performance actuelle (voir le chapitre 7. Utilisation des composants de COBIT 5) :

8. Définir la méthode d'exécution de l'évaluation.
9. Documenter la compréhension de la façon dont le processus actuel aborde réellement les pratiques de gestion
sélectionnées plus tôt.
10. Analyser le niveau actuel de capacité.
11. Évaluer la capacité actuelle des processus.
43
MISE EN ŒUVRE

Phase 2 Où en sommes-nous?
Tâches de facilitation du Former une équipe de mise en œuvre efficace :
changement 1. Assembler une équipe de base, dont les membres provenant des unités d’affaires et des TI, possèdent les
connaissances appropriées, l'expertise, le profil, l'expérience, la crédibilité et l'autorité pour diriger l'initiative.
Identifier la personne la plus souhaitable (dirigeant efficace et crédible pour les parties prenantes) pour diriger cette
équipe. Envisager l'utilisation de parties externes dans l'équipe, comme des consultants, afin de fournir un point de
vue indépendant et objectif ou pour combler des lacunes de compétences.
2. Identifier et gérer les intérêts potentiels qui pourraient exister au sein de l'équipe afin de créer le niveau de confiance
nécessaire.
3. Créer un environnement qui favorise un travail d'équipe optimal. Cela implique de veiller à ce que le temps et
l'engagement requis puissent être donnés.
4. Organiser un atelier pour créer un consensus (une vision commune) au sein de l'équipe et adopter un mandat pour
l'initiative de changement.
5. Identifier les agents de changement avec lesquels l'équipe de base peut fonctionner; utiliser le principe du soutien en
cascade (avoir à différents niveaux hiérarchiques, des promoteurs qui soutiennent la vision, communiquent les gains
rapides, transmettent les changements au niveau hiérarchique inférieur, collaborent avec tous les éléments bloquants
et les personnes cyniques qui peuvent exister) afin d'assurer l’adhésion générale des parties prenantes à chaque
phase du cycle de vie.
6. Documenter les forces recensées lors de l'évaluation de l'état actuel qui peuvent être utilisées en tant qu'éléments
positifs dans les communications; documenter également les gains rapides potentiels qui peuvent être exploités dans
une perspective de facilitation du changement.
Tâches de gestion de Définir les problèmes et les opportunités :
programme 1. Examiner et évaluer l’ébauche de dossier d’affaires, la faisabilité du programme et le retour sur investissement
potentiel.
2. Attribuer des rôles et des responsabilités, ainsi que la propriété des processus; assurer l'engagement et le soutien
des parties prenantes concernées dans la définition et l'exécution du programme.
3. Identifier les défis et les facteurs de succès.
Intrants • Ébauche de dossier d’affaires.
• Rôles et responsabilités de haut niveau.
• Cartographie des parties prenantes identifiées, y compris le soutien et l'implication nécessaires, les influences et les
impacts, ainsi que la préparation et la capacité de mettre en œuvre ou d'accepter le changement.
• Appel à l’action du programme (toutes les parties prenantes)
• Communication de lancement du programme (parties prenantes clés)
• Plans et stratégies d'affaires et des TI.
• Descriptions des processus des TI, politiques, normes, procédures, spécifications techniques.
• Compréhension de l'entreprise et de la contribution des TI.
• Rapports d'audit, politique de gestion du risque, rapports de performance des TI, tableaux de bord.
• Plans de continuité des affaires (PCA), analyses d'impact, exigences réglementaires, architectures d'entreprise,
accords de niveaux de service (ANS), accords de niveaux opérationnels (ANO).
• Programmes d'investissements et portefeuilles de projets, plans de programmes et de projets, méthodologies de
gestion de projets, rapports de projets.
Ressources de l'ISACA • COBIT 5 (objectifs d'entreprise : cascade d'objectifs liés aux TI et cartographie des besoins des parties prenantes en
fonction des objectifs), www.isaca.org/cobit.
• COBIT 5 : Processus facilitants APO01; APO02; APO05; APO12; BAI01; SEM01; SEM02; SEM03 (utilisé pour la
sélection de processus ainsi que pour la mise en œuvre et la planification de programme).
• COBIT 5 Mise en œuvre (chapitre 5. Facilitation du changement et l'annexe E. Tableau d’attributs de maturité de
COBIT 4.1).
• Guide d'autoévaluation de COBIT 5 (publication planifiée).
Extrants • Objectifs d'entreprise convenus pour les TI et impact sur les TI.
• Compréhension commune des risques et des impacts qui résultent d'un mauvais alignement des objectifs liés aux TI
et des échecs de prestation de services et de livraison de projets.
• Processus et objectifs sélectionnés.
• Évaluation de la capacité actuelle des processus sélectionnés.
• Position d'acceptation du risque et profil de risque.
• Évaluations du risque facilitant le bénéfice/valeur, la livraison du programme/projet ainsi que la livraison des services
et des activités des TI.
• Forces sur lesquelles construire.
• Agents de changement dans les différents secteurs et à différents niveaux de l'entreprise.
• Équipe de base et rôles et responsabilités assignés.
• Dossier d’affaires évalué.
• Compréhension commune des enjeux et des défis (y compris les niveaux de capacité de processus).
44
CHAPITRE 6
me
tio n
s TI
ité
s
r am
al d
t ra
n ité
o rm
e
es T
in is
su s d e s
D ir rm atiorin cip
ro g
es T
re s s u
u tif
onf
re d
dm
up
n
f fai s d e
ce s re s
x éc
et c
I
fo n t p
es T
n ai
d ’a
ed
p ro rié tai
d 'a an t
e
u es
tio n
a
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
l'in
Pro
D ir
Identifier les objectifs des TI clés qui soutiennent les objectifs d’affaires (CI1). I C R C R C C C A
Identifier les processus critiques qui appuient les objectifs des TI et d’affaires (CI4). I R C R C C C A
Évaluer le risque lié à l’atteinte des objectifs (CI5). I R C R R C R A
Identifier les processus critiques afin de s’assurer que le risque est évité (CI6). I R R R C C R A
Évaluer le rendement actuel des processus critiques (CI1 to CI11). I R C R R C C A
Assembler une équipe centrale à partir de l’entreprise et des TI (CE1). I R R C C C C A
Réviser et évaluer l’analyse de rentabilité (PM1). I A R R C C C C R
Phase 3 – Où voulons-nous aller?


ythme? 1 Quelles so
ir le r nt l
inten es
ma mo
nt er Lancer tiv
me vis un p at
Co
m Ré cacité ro io
gra
ffi
ns
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
urs nge so
ces
Dé t les p
Où
Po me in
arri
n
e
fini
néfi
en
6 Y sommes-nous
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
che
rme antation
d’i
n
u
e
l gir
a
m
év
Intégrer de
r une
problèmes
pl
es-nous?
(anneau externe)
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
el
(anneau du milieu)
U t il liora
ét n ir
amé
ib a t
fi
Amcontin
D é l’
is e t

le
r
élio ue
l
io n e s
r
su que
te
c
rat
E x u tili
(anneau interne)
ts
s Cré er d es
ion
rou
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
er
m
it
m
de
er C o es
du
cu
Fachange
s al
c
l
om
le
ilita me
ter
Identifier les
u il
tion nt
ou
me
le
pl a cteurs
fe
s- n
an la
nt
nir
on
yp
Ges gram
fi
pro
rv Dé
ul
vo
tion me
Pla n
a
Où
du
ir ?
3

Conseil d’administration et Définir les priorités, le calendrier et les attentes concernant la capacité future requise des TI.
direction
Gestion des unités d’affaires Aider les TI à établir des objectifs de capacité. Veiller à ce que les solutions envisagées soient alignées avec les
objectifs d'entreprise.
Gestion des TI Porter un jugement professionnel dans l'élaboration des plans et des initiatives prioritaires d'amélioration. Obtenir
un consensus sur une cible de capacité requise. S'assurer que la solution envisagée est alignée avec les objectifs
liés aux TI.
Audit interne Fournir des conseils et aider au positionnement des cibles et à l'élaboration des priorités liées aux lacunes. Si
nécessaire, vérifier de façon indépendante les résultats de l'évaluation.
Risques, conformité et Réviser les plans afin de veiller à ce que les risques, la conformité et les questions juridiques aient été traités de
juridique façon adéquate.
45
MISE EN ŒUVRE

Phase 3 Où voulons-nous aller?
Objectif de la phase Déterminer la capacité ciblée pour chacun des processus sélectionnés. Déterminer les écarts entre l'état actuel et l'état
souhaité des processus sélectionnés, et utiliser ces écarts comme possibilités d'amélioration. Utiliser cette information
pour créer un dossier d’affaires détaillé et un plan de programme de haut niveau.
Description de la phase Déterminer un niveau de capacité cible approprié pour chaque processus en fonction de l'évaluation des niveaux
actuels de capacité de processus, et à l'aide des résultats de l'analyse des objectifs d'entreprise et des TI et de
l'identification de l'importance des processus réalisées précédemment. Le niveau choisi doit tenir compte des points
de référence externes et internes disponibles. Il est important de s'assurer que le niveau choisi est approprié pour
l'entreprise.
Une fois que la capacité actuelle du processus a été déterminée et que la capacité cible a été planifiée, les écarts entre
l'état actuel et l'état souhaité doivent être évaluées et les possibilités d'amélioration doivent être cernées. Quand les
écarts ont été définies, les causes fondamentales, les problèmes communs, le risque résiduel, les forces existantes et
les bonnes pratiques doivent être déterminés afin d'éliminer ces écarts.
Cette phase peut identifier certaines améliorations relativement faciles à réaliser, comme l'amélioration de la formation
ou le partage des bonnes pratiques et des procédures de normalisation; cependant, l'analyse des écarts exige une
expérience considérable en matière de techniques de gestion des affaires et des TI afin d'élaborer des solutions
pratiques. Une expérience en matière de changement comportemental et organisationnel est aussi nécessaire.
Il peut également être nécessaire de détenir une bonne compréhension des techniques de processus, une expertise
technique et des affaires avancée, ainsi qu’une connaissance des applications et services de logiciels de gestion
d'entreprise. Pour s’assurer que cette phase est exécutée efficacement, il est important que l'équipe travaille avec les
propriétaires de processus d'affaires et des TI ainsi qu'avec d'autres parties prenantes détenant de l'expertise interne.
Si nécessaire, il faut également obtenir des conseils externes. Les risques non atténués après l'élimination des écarts
doivent être répertoriés et formellement acceptés par la direction.
Tâches d'amélioration Définir l'état cible et analyser les écarts :
continue 1. Définir la cible d'amélioration :
• En fonction des exigences de l'entreprise en matière de performance et de conformité, décider des niveaux de
capacité cibles initiaux idéaux à court et à long termes pour chaque processus.
• Dans la mesure du possible, donner des points de référence internes pour identifier les meilleures pratiques qui
peuvent être adoptées.
• Dans la mesure du possible, donner des points de référence externes avec des concurrents et des pairs afin
d'aider à déterminer si le niveau cible choisi est approprié.
• Réaliser un « test de cohérence » du caractère raisonnable du niveau cible (de façon individuelle et dans
l'ensemble), en regardant ce qui est réalisable et souhaitable, et ce qui peut avoir le plus grand impact positif
dans le délai choisi.
2. Analyser les écarts :
• Utiliser la compréhension de la capacité actuelle (par attribut) et la comparer au niveau de capacité cible.
• Miser autant que possible sur les forces existantes pour traiter les écarts; pour éliminer les écarts restants, obtenir
de l'aide en consultant les pratiques et activités de gestion de COBIT 5 et d'autres bonnes pratiques et normes
comme ITIL, ISO/CEI 27000, TOGAF et Project Management Body of Knowledge (PMBOK).
• Rechercher des schémas qui indiquent des causes fondamentales à traiter.
3. Repérer les améliorations possibles :
• Réunir les écarts en vue d’améliorations potentielles.
• Cerner le risque résiduel non atténué et s'assurer de l'accepter formellement.
Tâches de facilitation du Décrire et communiquer le résultat souhaité :
changement 1. Décrire le plan et les objectifs de facilitation du changement de haut niveau, qui comprennent les tâches et les
éléments suivants.
2. Élaborer une stratégie de communication (y compris les destinataires de base, le profil comportemental et les
exigences d'information par groupe, les messages de base, les canaux de communication optimaux et les principes
de communication) afin d'optimiser la conscientisation et l’adhésion.
3. Obtenir la volonté de participer (donner le portrait du changement).
4. Exprimer la raison d'être et les avantages de ce changement afin de soutenir la vision et décrire les impacts de
l'absence de changement (objectif du changement).
5. Référer aux objectifs de l'initiative dans les communications et démontrer comment le changement permettra de
réaliser le bénéfice.
6. Décrire la feuille de route de haut niveau qui permettra de réaliser la vision (plan de changement) ainsi que
l'implication nécessaire des différentes parties prenantes (rôle dans le changement).
7. Utiliser les membres de la direction pour livrer des messages clés afin de « donner le ton à partir des plus hauts
échelons ».
8. Faire appel à des agents de changement pour transmettre des communications informelles en plus des
communications formelles.
9. Communiquer par l'action; l'équipe de direction doit donner l'exemple.
10. Faire appel aux émotions si nécessaire pour amener les gens à modifier leurs comportements.
11. Obtenir des commentaires au sujet de la communication initiale (réactions et suggestions) et adapter la stratégie
de communication en conséquence.
46
CHAPITRE 6

Phase 3 Où voulons-nous aller?
Tâches de gestion de Définir la feuille de route :
programme 1. Fixer l'orientation du programme, la portée, les avantages et les objectifs à un haut niveau.
2. Assurer l'alignement des objectifs avec les stratégies d'affaires et des TI.
3. Considérer le risque et ajuster la portée en conséquence.
4. Considérer les implications de la facilitation du changement.
5. Obtenir les budgets nécessaires et définir les responsabilités du programme.
6. Élaborer et évaluer le dossier d’affaires détaillé, le budget, les échéanciers et le plan de programme à un haut niveau.
Intrants • Objectifs d'entreprise convenus et leurs impacts sur les objectifs liés aux TI.
• Évaluation de la capacité actuelle des processus sélectionnés.
• Définition des objectifs liés aux TI.
• Processus et objectifs sélectionnés.
• Position d'acceptation du risque et profil de risque.
• Évaluations du risque facilitant le bénéfice/valeur, la livraison du programme/projet ainsi que la livraison des services
et des activités des TI.
• Forces sur lesquelles construire.
• Agents de changement dans les différents secteurs et à différents niveaux de l'entreprise.
• Équipe de base et rôles et responsabilités assignés.
• Ébauche du dossier d’affaires évaluée.
• Défis et facteurs de réussite.
• Points de référence relatifs à la capacité interne et externe.
• Bonnes pratiques provenant de COBIT 5 et d'autres références.
• Analyse des parties prenantes.
Ressources de l'ISACA • COBIT 5 (objectifs d'entreprise), www.isaca.org/cobit.
• COBIT 5 : Processus facilitants (pratiques et activités de gestion pour la définition des cibles et l'analyse des écarts;
APO01, APO02).
• Guide d'autoévaluation de COBIT 5 (publication planifiée)
• Produits de soutien de l'ISACA; par exemple, la correspondance entre COBIT 4.1 et d'autres cadres et bonnes
pratiques, tels que définis actuellement au www.isaca.org.
Extrants • Évaluation de la capacité ciblée des processus sélectionnés.
• Description des possibilités d'amélioration.
• Documentation de réponse aux risques, y compris les risques qui ne sont pas atténués.
• Plan et objectifs de facilitation du changement.
• Stratégie de communication et communication de la vision du changement couvrant les quatre P (« picture, purpose,
plan, part » soit portrait, but, plan, rôle).
• Dossier d’affaires détaillé.
• Plan de programme de haut niveau.
• Principaux indicateurs à utiliser pour effectuer le suivi de la performance du programme et des activités.

me
tio n
TI
l de
ité
s
r am
t ra
n ité
d es
o rm
D ir m atio n cip a
es T
in is
su s d e s
I
ro g
es T
re s s u
u tif
onf
re d
dm
up
n
f fai s d e
ce s re s
fo r p ri
x éc
et c
I
es T
n ai
d ’a
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
S’entendre sur les cibles d’amélioration (CI1). I A R C R R C C R

Analyser les lacunes (CI2). I R C R R C C A
Identifier les améliorations potentielles (CI3). I R C R R C C A
Communiquer la vision du changement (CE3). A R R C I I I R
Établir l’orientation et préparer une analyse de rentabilité détaillée (PM1, PM6). I A R C C C I I R
47
MISE EN ŒUVRE

nir l nt l
inte es
ma mo
nt er Lancer tiv
me vis un at
Ré cacité
m pro io
Co gra
fi
ns
f
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
2
urs nge so
ces
Dé t les p
Po
Où
me in
arri
nt
e
fini
néfi
en
6 Y sommes-nous
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
Su et er d’a esoin r
che
rme antation
d’i
n
e
a lu gir
o
év
Intégrer de
r une
problèmes
(anneau externe)
pl
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
el
(anneau du milieu)
U t i l lio r a
ét n ir
amé
Am

conliorat
ib a t
fi
D é l’
ise t
le
tinu ion
l
io n e s r
r
su q u e
c (anneau interne)
te
e
E x u t i li
s Créer des ts
ro u
et
ré u n i
lta
a m é li
plo s
o r a ti o n s
Ex é
le r?
er
5C
m
du Facilit
it
m
de
cha atio
er C o es
cu
s al
nge n
l
om
le
ter
Identifier les
me
u il
ou
nt
me
le
pl a cte urs
fe
s-n
an la
nt
nir
proestion
on
G
yp
gra du
fi
Dé
ul
rv
mm
vo
a
en Pla n
ifier le programme
e
ir? Où
3
4 Q u e f a u t- il f a i re ?

Conseil d’administration et Prendre en considération les propositions et les mettre à l'épreuve, soutenir les actions justifiées, fournir les budgets
direction et fixer des priorités, le cas échéant.
Gestion des unités d’affaires Conjointement avec les TI, veiller à ce que les actions d'amélioration proposées soient alignées avec les objectifs
convenus d'entreprise et des TI, et que toutes les activités nécessitant des intrants ou des actions soient soutenues.
Veiller à ce que les ressources d'affaires requises soient allouées et disponibles. S'entendre avec les TI sur la façon
de mesurer les résultats du programme d'amélioration.
Gestion des TI Assurer la viabilité et la vraisemblance du plan de programme. S'assurer que le plan est réalisable et que des
ressources sont disponibles pour l'exécuter. Considérer le plan et les priorités du portefeuille d'investissements de
l'entreprise en TI afin de choisir une base pour le financement des investissements.
Audit interne Fournir une assurance indépendante selon laquelle les problèmes cernés sont valables, que les dossiers d’affaires
sont présentés de façon objective et précise, et que les plans semblent réalisables. Fournir des conseils d'expert et
des orientations lorsque nécessaire.
Risques, conformité et S'assurer que les risques identifiés ainsi que les problèmes de conformité et les questions juridiques sont traités, et
juridique que les propositions sont conformes aux politiques ou règlements pertinents.
48
CHAPITRE 6

Phase 4 Que faut-il faire?
Objectif de la phase Transformer les possibilités d'amélioration en projets justifiables qui apportent une contribution à l'entreprise. Donner la
priorité aux projets à fort impact et mettre l'accent sur ceux-ci. Intégrer les projets d'amélioration dans le plan global du
programme. Réaliser des gains rapides.
Description de la phase Lorsque toutes les initiatives d'amélioration potentielles ont été identifiées, elles doivent être priorisées en projets
formels et justifiables. Les projets offrant des avantages élevés et qui sont relativement faciles à mettre en œuvre
doivent être sélectionnés en premier et transformés en projets formels et justifiables, chacun avec un plan de projet
qui comprend sa contribution aux objectifs du programme. Il est important de vérifier que les objectifs se conforment
toujours aux facteurs clés de valeur et de risque. Les projets doivent être consignés dans un dossier d’affaires mis à
jour pour le programme. Les détails de toutes les propositions de projets d'amélioration non approuvées doivent être
consignés dans un registre pour un potentiel examen futur; les promoteurs doivent avoir l’occasion de les réévaluer et,
le cas échéant, de soumettre à nouveau leurs recommandations à une date ultérieure.
En se basant sur un tableau des opportunités, sur les définitions du projet, sur le plan des ressources et sur le budget
des TI, les améliorations identifiées et priorisées sont maintenant transformées en un ensemble de projets documentés
qui appuient le programme global d'amélioration. L'impact sur l'entreprise de l'exécution du programme est déterminé
et un plan de changement est préparé; on y trouve une description des activités du programme qui permettront
d'assurer, en termes pratiques, que les améliorations apportées par les projets seront intégrées dans l'entreprise
d'une manière durable. Au cours de cette phase, il est important de définir des indicateurs, c'est-à-dire des moyens
de mesurer le succès du programme, afin de vérifier si les améliorations sont susceptibles de fournir les bénéfices
d’affaires prévus. Le calendrier complet du programme d'amélioration doit être documenté dans un diagramme de
Gantt.
De nouveaux projets peuvent créer un besoin de changement ou d'amélioration des structures organisationnelles ou
d’autres facilitateurs requis pour soutenir une gouvernance efficace. Le cas échéant, il peut être nécessaire d'inclure
des mesures pour améliorer l'environnement (voir le chapitre 5).
Tâches d'amélioration Concevoir et créer des améliorations :
continue 1. Pour chaque amélioration, évaluer les bénéfices potentiels et la facilité de mise en œuvre (coût, effort, durabilité).
2. Inscrire les améliorations sur une grille d’opportunités afin de cibler des actions prioritaires (en fonction des
bénéfices et de la facilité de mise en œuvre).
3. Mettre l'accent sur les choix qui affichent de forts bénéfices ou qui sont faciles à mettre en œuvre.
4. Examiner toute autre action générant des bénéfices élevés, mais dont la mise en œuvre n'est pas facile, pour créer
des améliorations à plus petite échelle (décomposer cette action en améliorations de moindre envergure et passer
en revue les avantages et la facilité de mise en œuvre).
5. Prioriser et sélectionner des améliorations.
6. Analyser les améliorations sélectionnées dans le détail requis afin de définir un projet de haut niveau, en tenant
compte de l'approche, des livrables, des ressources requises, des coûts estimés, des délais estimés, des
dépendances et du risque du projet. Utiliser les bonnes pratiques et normes disponibles pour préciser les exigences
d'amélioration. Discuter avec les gestionnaires et les équipes chargés du processus.
7. Évaluer la faisabilité, mettre en lien avec les facteurs clés d'origine de valeur et de risque, et convenir des projets à
inclure dans le dossier d’affaires pour approbation.
8. Garder les projets et initiatives non approuvés dans un registre pour un potentiel examen futur.
Tâches de facilitation du Habiliter les acteurs et identifier les gains rapides :
changement 1. Obtenir l’adhésion de ceux qui sont touchés par le changement en les impliquant dans la conception par des
mécanismes tels que des ateliers ou des processus de révision, et en leur donnant la responsabilité d'accepter la
qualité des résultats.
2. Concevoir des plans de réponse au changement pour gérer de façon proactive les impacts du changement et pour
maximiser l'engagement tout au long du processus de mise en œuvre (ceci pourrait inclure des changements
organisationnels, par exemple au contenu des description d’emploi ou à la structure organisationnelle; des
changements dans la gestion du personnel, par exemple à la formation aux systèmes de gestion de la performance
ou aux systèmes d'incitatifs, de rémunération et de récompenses).
3. Identifier les gains rapides qui prouvent le concept du programme d'amélioration. Ceux-ci doivent être visibles et
sans équivoque, doivent créer des circonstances favorables et doivent renforcer positivement le processus.
4. Lorsque cela est possible, miser sur les forces existantes identifiées dans la phase 2 afin de réaliser des gains
rapides.
5. Déterminer les forces dans les processus d'entreprise existants qui pourraient être mises à profit. Par exemple,
d'autres secteurs de l'entreprise peuvent avoir des forces en gestion de projet, tels que le développement de
produits (éviter de réinventer la roue et s'aligner autant que possible avec des approches actuelles à l'échelle de
l'entreprise).
49
MISE EN ŒUVRE

Phase 4 Que faut-il faire?
Tâches de gestion de Élaborer un plan de programme :
programme 1. Dans le programme global, organiser les projets potentiels en séquence, en tenant compte de la contribution aux
résultats souhaités, des besoins en ressources et des éléments dépendants.
2. Utiliser les techniques de gestion de portefeuille pour s'assurer que le programme est conforme aux objectifs
stratégiques et que les TI ont un ensemble équilibré d'initiatives.
3. Identifier l'impact du programme d'amélioration sur les TI et les affaires, et indiquer de quelle façon les
circonstances favorables à l'amélioration doivent être maintenues.
4. Élaborer un plan de changement qui documente toute migration, conversion, essais, formation, processus ou autres
activités à inclure dans la mise en œuvre du programme.
5. Identifier les indicateurs et s'entendre sur ceux permettant de mesurer les résultats du programme d'amélioration
en se basant sur les facteurs de réussite d'origine du programme.
6. Guider l'allocation et la priorisation des ressources d’affaires, de TI et d'audit nécessaires pour atteindre les
objectifs de programme et de projet.
7. Définir un portefeuille de projets qui livreront les résultats requis pour le programme.
8. Définir les livrables requis en tenant compte de la portée des activités nécessaires pour atteindre les objectifs.
9. Si nécessaire, nommer des comités de pilotage pour des projets spécifiques au sein du programme.
10. Établir des plans de projet et des procédures de rapport afin de surveiller les progrès.
Intrants • Notation de la maturité ciblée pour les processus sélectionnés.
• Description des possibilités d'amélioration.
• Documentation de la réponse au risque.
• Plan et objectifs de facilitation du changement.
• Stratégie de communication et communication de la vision du changement couvrant les quatre P (« purpose, picture,
plan, part », soit but, portrait, plan, rôle).
• Dossier d’affaires détaillé.
• Feuille de calcul des opportunités, bonnes pratiques et normes, évaluations externes, évaluations techniques.
• Tableau de opportunités, définitions du projet, plan de gestion de portefeuille du projet, plan des ressources, budget
des TI.
• Forces relevées dans les phases antérieures.
Ressources de l'ISACA • COBIT 5 (modèles de facilitateurs), www.isaca.org/cobit.
• COBIT 5 : Processus facilitants (APO5, APO12, BAI01; objectifs et indicateurs).
Extrants • Définitions du projet d'amélioration.
• Plans de réponse au changement définis.
• Gains rapides identifiés.
• Registre des projets non approuvés.
• Plan de programme qui classe les plans individuels avec les ressources allouées, les priorités et les livrables.
• Plans de projet et procédures de rapport selon les ressources engagées, par exemple, les compétences, les
investissements.
• Indicateurs de réussite.
Figu

me
tio n
I
l de
ité
es T
r am
t ra
n ité
TI
o rm
D ir m atio n cip a
in is
su s d e s
d es
TI
ro g
re s s u
u tif
onf
d es
dm
up
n
f fai s d e
ce s re s
fo r p ri
e
x éc
et c
I
r
es T
d ’a
n ai
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
Prioriser et sélectionner les améliorations (CI5). A R C C R C C R

Définir et justifier les projets (CI6 and CI7). I R C R R C C A
Concevoir les plans de réponse au changement (CE2). I R R C C C C A
Identifier les gains rapides et tirer profit des forces existantes (CE3). I C C/I R R C/I C/I A
Élaborer un plan avec les ressources allouées et les plans de projet (PM1 to PM10). A C C R C I I R
50
CHAPITRE 6

Figu
nir l nt l
inte es
ma mo
nt er Lancer tiv
me vis un at
Com Ré cacité pro
gra
io
fi
ns
f
l’e mm
?
7
Établir
e
?
e de cha le be
uivr
vés
2
urs nge so
ces
Dé t les p
Où
Po me in
arri
e
fini
néfi
en
6 Y sommes-nous
t
Recon
iller
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
che
rme antation
d’i
n
e
a l gir
o
év
Intégrer de
r une
problèmes
pl
(anneau externe)
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
co in
el
Amélnt ue
iorati
du ch on
an
Facilit gement
ation (anneau du milieu)
U t il liora
prog ét n ir
amé
Gestira mm
on due ib a t
fi
D é l’
is e t
le
r
l
io n e s
r
su que
te
c (anneau interne)
E x u tili
ts
s Cré er d es
rou
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
e
m
it
er r m
de
C o es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
nir on
yp
fi
rv Dé
ul
Pla n vo
a
ir ? Où
3

Conseil d’administration et Surveiller la mise en œuvre et offrir un soutien et une orientation au besoin.
direction
Gestion des unités d’affaires Assumer la responsabilité de la participation des affaires à la mise en œuvre, surtout là où les processus d'affaires
sont touchés et que les processus des TI nécessitent l'implication du client ou de l'utilisateur.
Gestion des TI S'assurer que la mise en œuvre comprend la pleine portée des activités requises (par exemple, les changements
aux politiques et aux processus, les solutions technologiques, les changements organisationnels, les nouveaux rôles
et responsabilités, les autres facilitateurs) et que ces activités sont pratiques, réalisables et susceptibles d'être
adoptées et utilisées. S'assurer que les propriétaires de processus sont impliqués dans la nouvelle approche, qu'ils
y adhèrent et qu'ils s'approprient des processus qui en découlent. Résoudre les problèmes et gérer les risques
rencontrés lors de la mise en œuvre.
Audit interne Réviser et fournir des commentaires durant la mise en œuvre afin d'éviter d'oublier des facilitateurs et des contrôles
clés. Donner des conseils sur la mise en œuvre des aspects de contrôle. Si nécessaire, fournir un service d'examen
des risques du projet et de la mise en œuvre, surveiller les risques qui pourraient compromettre la mise en œuvre et
fournir une rétroaction indépendante aux équipes de programme et de projet.
Risques, conformité et Au besoin, fournir des conseils sur les risques, la conformité et les aspects juridiques lors de la mise en œuvre.
juridique

Phase 5 Comment y parvenir?
Objectif de la phase Mettre en œuvre les projets d'amélioration détaillés, en misant sur le programme de l’entreprise et les capacités de
gestion de projet , les normes et les pratiques. Surveiller les progrès du projet, les mesurer et en rendre compte.
51
MISE EN ŒUVRE

Phase 5 Comment y parvenir?
Description de la phase Les projets d'amélioration approuvés, y compris les activités de changement nécessaires, sont maintenant prêts à être
mis en œuvre; les solutions définies par le programme peuvent maintenant être acquises ou développées et mises en
œuvre dans l'entreprise. Les projets s'intègrent ainsi au cycle de vie normal de développement et doivent être régis par
les méthodes établies de gestion des programmes et des projets. Le déploiement de la solution doit être aligné avec les
définitions de projet établies et avec le plan de changement, de telle sorte que les améliorations soient durables.
Cette phase est généralement la plus longue et nécessite le plus d'efforts par rapport à toutes les autres phases du
cycle de vie. Toutefois, il est recommandé que la taille et le temps requis ne soient pas excessifs afin de s'assurer que
cette phase se gère bien et que les avantages soient livrés dans un délai raisonnable. Ceci est particulièrement vrai
pour les premières itérations, qui constituent également une expérience d'apprentissage pour toutes les personnes
impliquées.
Surveiller la performance de chaque projet afin d'assurer que les objectifs sont atteints. Informer les parties prenantes
à intervalles réguliers pour s'assurer que les progrès sont compris et pour vérifier qu'ils sont sur la bonne voie.
Tâches d'amélioration Mettre en œuvre les améliorations :
continue 1. Développer et, au besoin, acquérir des solutions qui comprennent la pleine portée des activités requises; par
exemple, la culture, l'éthique et le comportement; les structures organisationnelles; les principes et les politiques;
les processus; les capacités de service; les aptitudes et les compétences; et l'information.
2. Lors de l'utilisation de bonnes pratiques, adopter et adapter les orientations en fonction de l'approche de
l'entreprise en matière de politiques et de procédures.
3. Tester la faisabilité et la durabilité des solutions dans l'environnement de travail réel.
4. Déployer les solutions en tenant compte des processus existants et des exigences en matière de migration.
Tâches de facilitation du Faciliter les opérations et leur utilisation :
changement 1. Tirer parti des circonstances favorables et de la crédibilité qui peuvent être créés par des gains rapides, puis
introduire les aspects les plus globaux et difficiles du changement.
2. Communiquer les gains rapides; reconnaître et récompenser ceux qui y ont participé.
3. Mettre en œuvre les plans de réponse au changement.
4. S'assurer que le plus grand nombre possible d'acteurs clés ont les compétences, les ressources et les
connaissances requises, ainsi que l’adhésion et l'engagement envers le changement.
5. Équilibrer les interventions individuelles et de groupe afin de s'assurer de donner aux parties prenantes une vue
globale du changement.
6. Planifier les aspects culturels et comportementaux de la transition générale (gérer les craintes de perte de
responsabilité, d'indépendance et d'autorité, gérer les nouvelles attentes et les tâches inconnues).
7. Communiquer les rôles et responsabilités pour utilisation.
8. Définir les mesures de succès, y compris celles en provenance du point de vue affaires et les mesures de
perception.
9. Mettre en place un système de mentorat et d’accompagnement afin d'assurer l'assimilation et l’adhésion.
10. Faire en sorte que toutes les exigences de changement aient été abordées.
11. Surveiller l'efficacité de la facilitation du changement et prendre des mesures correctives si nécessaire.
Tâches de gestion de Exécuter le plan :
programme 1. S'assurer que l'exécution du programme se base sur le plan à jour et intégré (affaires et TI) des projets au sein du
programme.
2. Diriger et surveiller la contribution de tous les projets du programme pour assurer la livraison des résultats attendus.
3. Fournir des rapports réguliers aux parties prenantes pour s'assurer que les progrès sont compris et pour vérifier
qu'ils sont sur la bonne voie.
4. Documenter et surveiller les importants risques et problèmes du programme, et convenir des mesures correctives.
5. Approuver le lancement de chaque phase majeure du programme et le communiquer à toutes les parties prenantes.
6. Approuver les changements majeurs aux plans de programme et de projet.
Intrants • Définitions du projet d'amélioration.
• Plans de réponse au changement définis.
• Gains rapides identifiés.
• Registre des projets non approuvés.
• Plan de programme avec les ressources allouées, les priorités et les livrables.
• Plans de projet et procédures de rapport.
• Indicateurs de réussite.
• Définitions du projet, diagrammes de Gantt du projet, plans de réponse au changement, stratégie de changement.
• Plans de programme et de projet intégrés.
Ressources de l'ISACA • COBIT 5 : Processus facilitants (comme bonnes pratiques et BAI01), www.isaca.org/cobit.
Extrants • Améliorations mises en œuvre.
• Plans de réponse au changement mis en œuvre.
• Gains rapides réalisés et visibilité du succès du changement.
• Communications des réussites.
• Rôles et responsabilités définis et communiqués dans l'environnement d'affaires habituel.
• Registre des changements au projet et registres des problèmes et des risques.
• Mesures de réussite définies des affaires et des perceptions.
• Suivi des bénéfices pour en surveiller la réalisation.
52
CHAPITRE 6

me
tio n
TI
l de
ité
s
r am
t ra
n ité
d es
o rm
D ir m atio n cip a
es T
in is
su s d e s
I
ro g
es T
re s s u
u tif
onf
re d
dm
up
n
f fai s d e
ce s re s
fo r p ri
x éc
et c
I
es T
d ’a
n ai
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
Développer et, si nécessaire, acquérir des solutions (CI1). A C C R R C C R
Adopter des bonnes pratiques et les adapter (CI2). I R C R R C C A
Tester et utiliser les solutions (CI3 and CI4). I R C R R C C A
Capitaliser sur les gains rapides (CE1 and CE2). I C C/I R R C/I C/I A
Mettre en œuvre les plans de réponse au changement (CE3). I I R C R R I I A
Diriger et surveiller les projets au sein du programme (PM2). I A C C R C I I R
Phase 6 – Avons-nous réussi?

e ryth
me? 1 Quelles so
te nir l nt l
es
in
ma mo
nt er Lancer tiv
me vis un p at
Co
m Ré cacité ro io
gra
ffi
ns
l’e mm
?
7
e
mm u
Établir
e
ra d
og ion
?
e de cha le be
uivr
pr est
vés
G
urs nge so
ces
Dé t les p
Où
Po me in
arri
t
en
em n
n
e
fini
ng tio
néfi
en
ha ilita
6 Y sommes-nous
Recon
c
iller
du Fac
r les ssibilités
le b naît
Fo
rve
velles appro ou-
somm
s
Réaliser des bé
che
rme antation
d’i
n
u
e
e n
l
inu io
a gir
m
év
nt rat
Intégrer de
r une
problèmes
co élio
pl
(anneau externe)
es-nous?
Am
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
el
(anneau du milieu)
U t il liora
ét n ir
amé
ib a t

fi
D é l’
is e t
le
l
io n e s
r
su que
te
c (anneau interne)
E x u tili
ts
s Cré er d es
rou
et
ré u n i
lta
a m é li
plo s
ora tio n s
Exé
le r?
5C
e
m
it
er r m
de
C o es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
nir
on
yp
fi
rv Dé
ul
Pla n vo
a
ir ? Où
3
53
MISE EN ŒUVRE

Conseil d’administration et Évaluer l'atteinte des objectifs originaux et confirmer la réalisation des résultats souhaités. Envisager la nécessité de
direction réorienter les activités futures et prendre des mesures correctives. Aider à la résolution des problèmes importants si
nécessaire.
Gestion des unités d’affaires Fournir de la rétroaction et évaluer l'efficacité de la contribution des affaires à l'initiative. Utiliser les résultats
positifs pour améliorer les activités courantes des unités d’affaires. Se servir des leçons apprises pour adapter et
améliorer l'approche de l'entreprise face à des initiatives futures.
Gestion des TI Fournir de la rétroaction et évaluer l'efficacité de la contribution des TI à l'initiative. Utiliser les résultats positifs pour
améliorer les activités courantes des TI. Effectuer le suivi des projets en fonction de leur criticité en utilisant les
techniques de gestion des programmes et des projets. Être prêt à modifier le plan, à annuler un ou plusieurs projets
ou à prendre d'autres mesures correctives si les premières indications démontrent que le projet n'est pas sur la
bonne voie et pourrait ne pas atteindre les jalons critiques. Se servir des leçons apprises pour adapter et améliorer
l'approche des TI face à des initiatives futures.
Audit interne Fournir une évaluation indépendante de l'efficacité globale de l'initiative. Fournir de la rétroaction et évaluer
l'efficacité de la contribution des audits à l'initiative. Utiliser les résultats positifs pour améliorer les activités
courantes des audits. Se servir des leçons apprises pour adapter et améliorer l'approche d’audits pour de futures
initiatives.
Risques, conformité et Vérifier si l'initiative a amélioré la capacité de l'entreprise à identifier et à gérer les risques et les exigences
juridique juridiques, réglementaires et contractuelles. Fournir de la rétroaction et formuler toutes les recommandations
nécessaires à l'amélioration.

Phase 6 Y sommes-nous arrivés?
Objectif de la phase Intégrer les indicateur de performance du projet et la réalisation des bénéfices de l'ensemble du programme
d'amélioration de la gouvernance dans le système de mesure de la performance pour en faire la surveillance régulière et
continue.
Description de la phase Il est essentiel que les améliorations décrites dans le programme soient surveillées par des objectifs liés aux TI et des
objectifs de processus, à l'aide de techniques appropriées comme un tableau de bord prospectif équilibré (BSC) des TI
et un registre des bénéfices, afin de vérifier que les résultats du changement ont été atteints. Ceci permettra d'assurer
que les initiatives demeurent sur la bonne voie selon les objectifs d'entreprise et des TI d'origine, et continuent à
offrir les bénéfices d’affaires escomptés. Pour chaque indicateur, des cibles doivent être fixées; celles-ci doivent être
régulièrement comparées à la réalité et communiquées dans un rapport de performance.
Pour assurer le succès, il est essentiel de signaler à toutes les parties prenantes les résultats positifs et négatifs des
mesures de performance. Cela renforcera la confiance et permettra de prendre des mesures correctives à temps. Les
projets en cours de développement doivent être surveillés en utilisant les techniques de gestion des programmes et des
projets. Il est nécessaire d'être prêt à modifier le plan ou à annuler le projet si les premières indications démontrent que
le projet n'est pas sur la bonne voie et pourrait ne pas atteindre les jalons critiques.
Tâches d'amélioration Exploiter et mesurer :
continue 1. Définir des cibles pour chaque indicateur pour une période convenue. Les cibles doivent favoriser la performance et
les actions d'amélioration des TI, et doivent permettre de déterminer le succès ou l'échec potentiel.
2. Lorsque cela est possible, obtenir des mesures réelles actuelles.
3. Sur une base régulière (p. ex. mensuellement), recueillir les mesures réelles, les comparer aux cibles et enquêter sur
les écarts importants.
4. Si les écarts indiquent que des actions correctives sont nécessaires, développer et convenir des mesures correctives.
5. Si nécessaire, ajuster les cibles à long terme en fonction de l'expérience.
6. Communiquer à toutes les parties prenantes les résultats tant positifs que négatifs du suivi de la performance ainsi
que les recommandations sur les mesures correctives à entreprendre.
Tâches de facilitation du Intégrer les nouvelles approches :
changement 1. Veiller à ce que les nouvelles façons de travailler fassent désormais partie de la culture de l'entreprise (la façon dont
nous faisons les choses), c'est-à-dire qu'elles soient ancrées dans les normes et les valeurs de l'entreprise. Cette
étape est importante afin d'obtenir des résultats concrets.
2. Lors du passage du mode de projet au mode récurrence, les comportements doivent être ajustés à l'aide de
descriptions d'emploi révisées, de systèmes de rémunération et de récompenses, d'indicateurs clés de performance
et de procédures d'exploitation à mettre en œuvre tout au long du plan de réponse aux changements.
3. Surveiller si les rôles et les responsabilités assignés ont été assumés.
4. Effectuer le suivi du changement et évaluer l'efficacité des plans de réponse au changement, reliant les résultats
aux objectifs de changement d'origine. Ceci doit inclure à la fois des mesures d'affaires difficiles et des mesures de
perception; par exemple, des sondages de perception, des séances de rétroaction ou des formulaires d'évaluation de
la formation.
5. Miser sur des exemples d'excellence afin de fournir une source d'inspiration.
6. Maintenir la stratégie de communication afin d’assurer une sensibilisation continue et de souligner les réussites.
7. S'assurer que tous les acteurs communiquent ouvertement pour résoudre les problèmes.
8. Si des problèmes ne peuvent être résolus, requérir l'aide des promoteurs.
9. Si cela est nécessaire, faire appliquer le changement par l'autorité de gestion.
10. Documenter les leçons apprises lors de la facilitation du changement pour de futures initiatives de mise en œuvre.
54
CHAPITRE 6

Phase 6 Y sommes-nous arrivés?
Tâches de gestion de Réaliser les bénéfices :
programme 1. Surveiller la performance globale du programme par rapport aux objectifs du dossier d’affaires.
2. Surveiller le rendement des investissements (coûts par rapport au budget, et réalisation des bénéfices).
3. Documenter les leçons apprises (tant positives que négatives) pour les futures initiatives d'amélioration.
Intrants • Améliorations mises en œuvre.
• Plans de réponse au changement mis en œuvre.
• Réalisation de gains rapides et communication des réussites.
• Rôles et responsabilités définis et communiqués dans l'environnement d'affaires habituel.
• Registre des changements au projet et registres des problèmes et des risques.
• Mesures de réussite définies des affaires et des perceptions.
• Objectifs des TI et objectifs des processus des TI définis à la suite de l'analyse des exigences.
• Mesures existantes ou tableaux de bord.
• Bénéfices du dossier d’affaires.
• Plans de réponse au changement et stratégie de communication.
Ressources de l'ISACA • COBIT 5 : Processus facilitants (comme bonnes pratiques et EDS05, APO05, BAI01, SEM01), www.isaca.org/cobit
Extrants • Tableaux de bord mis à jour du projet et du programme.
• Mesures d'efficacité du changement (mesures d'affaires et mesures de perception).
• Rapports expliquant les résultats du tableau de bord.
• Amélioration intégrées dans les activités.
• Principaux indicateurs ajoutés à l'approche continue de mesure de la performance des TI.

me
tio n
TI
l de
ité
s
r am
t ra
n ité
d es
o rm
D ir m atio n cip a
es T
in is
su s d e s
I
ro g
es T
re s s u
u tif
onf
ed
dm
up
n
f fai s d e
ce s re s
fo r p ri
x éc
et c
I
r
es T
d ’a
n ai
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
Utiliser les solutions et obtenir de la rétroaction sur le rendement (CI1 to CI3). I A R R R I I I

Surveiller le rendement à l’aide des mesures de succès (CI4 to CI5). I A C R R C C I
Communiquer les résultats positifs et négatifs (CI6). I I A C R C I I I
Surveiller l’appropriation des rôles et responsabilités (CE3). A R C C C C C I
Surveiller les résultats du programme (atteinte des objectifs et réalisation des I A C C C C C C R
bénéfices (PM1 et PM2).
55
MISE EN ŒUVRE
Phase 7 – Comment maintenir le rythme?

e ryth
me? 1 Quelles so
nir l nt l
ainte es
mo
programme
Gestion du
m
nt er Lancer tiv
me vis un at
Ré cacité
m pro io
Co fi gra
ns
f
l’e mm
?
7
du changement
Facilitation
Établir
e
?
e de cha le be
uivr
vés
2
urs nge so
ces
Dé t les p
Po
Où
me in
arri
nt
e
fini
néfi
en
6 Y sommes-nous
Recon
iller Amélioration
r les ssibilités
le b naît
Fo
rve
velles appro ou-
continue
somm
s
Réaliser des bé
che
rme antation
d’i
n
e
a lu gir
o
év
Intégrer de
r une
problèmes
pl
(anneau externe)
es-nous?
r
Évaltat
r
Utilise
mesure
actu
l’é
et
équipe
uer
el
(anneau du milieu)
U t i l li o r a
ét n ir
a mé
ib at
fi
D é l’
is e t
le
r
l
io n e s
r
su q u e
c
te
(anneau interne)
E x u t i li
ts
s Créer des
ro u
et
ré u n i
lt a
a m é li
pl o s
or a ti o n s
Exé
ler?
er
5C
m
it
m de
er Co es
cu
s al
l
om
le
ter
Identifier les
u il
ou
me
le
pl a cteurs
fe
s- n
an la
nt
ni r
on
yp
fi
rv Dé
ul
Pla n vo
a
ir ? Où
3
4 Q u e f a u t - i l f a i re ?

Conseil d’administration et Fournir l’orientation, établir des objectifs et définir les rôles et les responsabilités dans le cadre de l'approche
direction continue de l'entreprise envers l'amélioration de la GEIT. Continuer à « donner le ton à partir des plus hauts
échelons », à développer des structures organisationnelles et à encourager une culture de bonne gouvernance et
de responsabilité pour les TI parmi les dirigeants de unités d’affaires et des TI. S'assurer que les TI connaissent les
nouveaux objectifs d'affaires et exigences en temps opportun, et qu'elles soient impliquées lorsque nécessaire.
Gestion des unités d’affaires Offrir un soutien et un engagement en continuant à travailler de façon positive avec les TI pour améliorer la GEIT
et en faire une habitude. Vérifier que les nouveaux objectifs de la GEIT sont alignés avec les objectifs d'entreprise
actuels.
Gestion des TI Assurer un leadership fort pour maintenir les circonstances favorables au programme d'amélioration. Participer à
des activités de gouvernance dans le cadre de la pratique normale des affaires. Créer des politiques, des normes et
des processus pour assurer que la gouvernance entre dans la routine.
Audit interne Offrir une contribution objective et constructive, encourager l'autoévaluation et fournir à la direction l'assurance que
la gouvernance fonctionne efficacement, renforçant ainsi la confiance envers les TI. Réaliser des audits continus
en employant une approche intégrée de gouvernance; utiliser des critères partagés avec les TI et les affaires en se
basant sur le référentiel COBIT.
Risques, conformité et Travailler avec les TI et les affaires afin d'anticiper les exigences juridiques et réglementaires; cerner les risques liés
juridique aux TI et y répondre, dans le cadre des activités normales de la GEIT.
56
CHAPITRE 6

Phase 7 Comment maintenir le rythme?
Objectif de la phase Évaluer les résultats et l'expérience acquise par le programme. Consigner et partager les leçons apprises. Améliorer
les structures organisationnelles, les processus, les rôles et les responsabilités afin de changer le comportement de
l'entreprise pour que la GEIT entre dans la routine et soit optimisée en permanence. Veiller à ce que les nouvelles
actions requises génèrent d'autres itérations dans le cycle de vie.
Surveiller en permanence la performance, veiller à ce que les résultats soient régulièrement rapportés et favoriser
l'engagement et l'appropriation de toutes les responsabilités.
Description de la phase Cette phase permet à l'équipe de déterminer si le programme a livré les résultats attendus. Cela peut être réalisé en
comparant les résultats aux critères de réussite originaux ainsi qu'en recueillant les commentaires de l'équipe de mise
en œuvre et des parties prenantes au moyen d'entrevues, d'ateliers et de sondages de satisfaction. Les leçons apprises
peuvent être la source d'informations précieuses pour les membres de l'équipe et les parties prenantes du projet, et
il sera possible de les utiliser dans des initiatives et projets d'amélioration en cours. Cela implique une surveillance
continue, des rapports réguliers et transparents, et la confirmation des responsabilités.
D'autres améliorations peuvent être dégagées et utilisées pour l'itération suivante du cycle de vie.
Au cours de cette phase, l'entreprise doit miser sur les réussites et les leçons apprises du projet de mise en œuvre de
la gouvernance, afin d’accroître et de renforcer l'engagement de toutes les parties prenantes des TI et des affaires pour
améliorer continuellement la gouvernance des TI.
Des politiques, des structures organisationnelles, des rôles, des responsabilités et des processus de gouvernance
doivent être développés et optimisés afin que la GEIT fonctionne efficacement dans le cadre d'une pratique normale
d'affaires; ceci doit être soutenu par la culture d'entreprise et démontré par la haute direction.
Tâches d'amélioration Surveiller et évaluer :
continue 1. Définir les nouveaux objectifs et exigences de gouvernance en fonction de l'expérience acquise, des objectifs
opérationnels actuels des TI ou d'autres événements déclencheurs :
a. Recueillir des commentaires et effectuer un sondage sur la satisfaction des parties prenantes.
b. Mesurer les résultats réels et en rendre compte des mesures de succès établies au départ; effectuer une
surveillance continue et faire des rapports.
c. Réaliser un processus d’examen du projet facilité avec les membres de l'équipe du projet et les parties prenantes
afin d'obtenir et de transmettre les leçons apprises.
d. Rechercher d'autres possibilités d'amélioration de la GEIT à fort impact et à faible coût.
2. Identifier les leçons apprises.
3. Communiquer aux parties prenantes les exigences d'améliorations et les documents à utiliser pour la prochaine
itération du cycle de vie.
Tâches de facilitation du Soutenir :
changement 1. Offrir un renforcement délibéré et préparer une campagne de communication continuelle, et démontrer l'engagement
continu de la haute direction.
2. Confirmer la conformité avec les objectifs et les exigences.
3. Surveiller de manière continue l'efficacité du changement lui-même, les activités de facilitation du changement et
l’adhésion des parties prenantes.
4. Mettre en œuvre des plans de mesures correctives au besoin.
5. Fournir une rétroaction sur la performance, récompenser ceux qui sont responsables de succès et faire connaître les
réussites.
6. S’appuyer sur les leçons apprises.
7. Faire part des connaissances issues de l'initiative à toute l'entreprise.
Tâches de gestion de Examiner l'efficacité du programme :
programme 1. À la fin du programme, veiller à ce que se tienne un examen du programme et en approuver les conclusions.
2. Examiner l'efficacité du programme.
Intrants • Tableaux de bord mis à jour du projet et du programme.
• Mesures d'efficacité du changement (mesures tant sur le plan des affaires que sur celui des perceptions).
• Rapports expliquant les résultats du tableau de bord.
• Rapport d’examen post-mise en œuvre.
• Rapports de performance.
• Stratégie d'entreprise et des TI.
• Nouveaux éléments déclencheurs tels que de nouvelles exigences réglementaires.
Ressources de l'ISACA • COBIT 5 : Processus facilitants (EDS01, APO01, BAI08, SEM01), www.isaca.org/cobit
Extrants • Recommandations pour d'autres activités de GEIT.
• Sondage de satisfaction auprès des parties prenantes.
• Documentation des succès et des leçons apprises.
• Plan de communication en cours.
• Système de récompense de la performance.
57
MISE EN ŒUVRE
me
tio n
I
l de
ité
es T
r am
t ra
n ité
s TI
o rm
D ir m atio n cip a
in is
su s d e s
TI
ro g
re s s u
e
u tif
onf
d es
re d
dm
up
n
f fai s d e
ce s re s
fo r p ri
x éc
et c
I
es T
n ai
d ’a
ed
p ro rié tai
l'in an t
d 'a an t
e
u es
tio n
l
ité
it d
t ag
se i
ig e
ig e
p
Co m
Risq
Co n
Aud
Pilo
G es
Activités clés
Pro
D ir
Identifier de nouveaux objectifs de gouvernance (CI1). C A R R C C C C I
Identifier les leçons apprises (CI2). I A C R R C C I
Maintenir et renforcer le changement (CE1). A R R R R C C I
Confirmer la conformité aux objectifs et exigences (CE2). I A R C R R R I R
Conclure le programme avec un examen formel de l’efficacité (PM1). I A C C C C C C R
58
CHAPITRE 7
UTILISATION DES COMPOSANTS DE COBIT 5
CHAPITRE 7
Principes de transition pour les utilisateurs de COBIT 4.1, de Val IT et de
Risk IT
Les utilisateurs de COBIT 4.1, de Val IT et de Risk IT ayant déjà entrepris des activités de mise en œuvre de la GEIT
peuvent passer à COBIT 5 et profiter des toutes dernières orientations améliorées qui sont proposées, au cours des
prochaines révisions du cycle de vie d’amélioration de leur entreprise. COBIT 5 s’appuie sur les versions précédentes
de COBIT, de Val IT et de Risk IT pour que les entreprises puissent, elles aussi, se fonder sur ce qu’elles ont déjà mis
en œuvre avec les versions antérieures. Les mises en œuvre seront toujours adaptées à l’environnement et aux besoins
précis de l’entreprise, tout en adoptant la dernière version de COBIT et des autres orientations, au besoin. Au fil du
temps, ces documents continueront d’évoluer à mesure que changent les conditions et que s’améliorent les pratiques.
Les principes de COBIT 5 sont indiqués à la figure 43.
Figure 43 – Principes de COBIT 5
1. Répondre aux
besoins des
parties prenantes
5. Séparer la
gouvernance 2. Couvrir
de la l’entreprise
gestion de bout en bout
Principes de
COBIT 5
4. Faciliter 3. Appliquer
une approche un référentiel
holistique unique et
intégré
Voici un résumé des changements majeurs apportés à COBIT 5 et leurs répercussions sur la mise en œuvre.
Nouveaux principes de la GEIT :

• Attention accrue sur les facilitateurs—COBIT 5 propose une attention accrue sur les facilitateurs nécessaires à une
GEIT efficace en plus des modèles habituels de facilitateur de processus. Ces facilitateurs supplémentaires sont aussi
mentionnés dans divers processus de COBIT 5, comme décrit au chapitre 2.
• Nouveau modèle de référence du processus—COBIT 5 est basé sur un modèle de processus révisé avec un nouveau
domaine de gouvernance et plusieurs nouveaux processus modifiés qui couvrent maintenant l’ensemble des activités
de l’entreprise, c’est-à-dire les affaires et les TI.
COBIT 5 intègre COBIT 4.1, Val IT et Risk IT en un référentiel unique, et il a été mis à jour pour s’harmoniser aux
bonnes pratiques actuelles. Le nouveau modèle peut servir de guide pour adapter, au besoin, le modèle de processus
propre à l’entreprise.
• Processus nouveaux et modifiés :
– COBIT 5 présente cinq nouveaux processus de gouvernance qui ont exploité et amélioré les approches de
gouvernance de COBIT 4.1, Val IT et Risk IT et qui contribueront à raffiner et à renforcer, au niveau de la direction
de l’entreprise, les pratiques de GEIT intégrées aux pratiques de gouvernance actuelles de l’entreprise et alignées
avec l’ISO/IEC 38500.
– COBIT 5 a clarifié les processus au niveau de la gestion et a intégré le contenu de COBIT 4.1, Val IT et Risk IT
dans un seul modèle. COBIT 5 : Les processus facilitants fournissent un tableau de référence complet à l’annexe A.
Il y a plusieurs processus nouveaux et modifiés qui reflètent la philosophie actuelle, notamment :
59
MISE EN ŒUVRE
• APO03 Gérer l’architecture d’entreprise.

• APO04 Gérer l’innovation.
• APO05 Gérer le portefeuille.
• APO06 Gérer le budget et les coûts.
• APO08 Gérer les relations.
• APO13 Gérer la sécurité.
• BAI05 Gérer le changement organisationnel.
• BAI08 Gérer les connaissances.
• BAI09 Gérer les actifs.
• LSS05 Gérer les services de sécurité.
• LSS06 Gérer les contrôles des processus d’affaires.
– Les processus de COBIT 5 couvrent maintenant l’ensemble des activités d’affaires et des TI, adoptant une
perspective à l’échelle de l’entreprise. Ainsi, la couverture des pratiques est plus holistique et complète, ce qui
reflète le caractère général de l’utilisation des TI à la grandeur de l’entreprise. L’implication, les responsabilités et la
reddition de compte des parties prenantes d’affaires deviennent donc précises et transparentes.
• Pratiques et activités :
– Les pratiques de gouvernance ou de gestion de COBIT 5 correspondent aux objectifs de contrôle de COBIT 4.1 et
aux processus de Val IT et de Risk IT.
– Les activités de COBIT 5 correspondent aux pratiques de contrôle de COBIT 4.1 et aux pratiques de gestion de Val
IT et de Risk IT.
– COBIT 5 intègre et actualise l’ensemble du contenu précédent dans un seul nouveau modèle, avec un niveau de
précision uniforme et toute l’orientation fournie dans COBIT 5 : Processus facilitants. Pour les utilisateurs, cela
simplifie la compréhension et l’utilisation de ce matériel lors de la mise en œuvre d’améliorations.
• Objectifs et indicateurs :
– COBIT 5 adopte les mêmes concepts liés aux objectifs et aux indicateurs que COBIT 4.1, Val IT et Risk IT, mais les
nomme différemment, soit objectifs de l’entreprise, objectifs liés aux TI et objectifs du processus, pour refléter une
perspective à l’échelle de l’entreprise.
– COBIT 5 propose des objectifs en cascade révisés qui sont maintenant basés sur les objectifs de l’entreprise,
lesquels orientent les objectifs liés aux TI, et appuyés par les processus critiques. Cela ressemble aux objectifs
en cascade de COBIT 4.1, mais la série d’objectifs et les relations sont actualisées et les relations primaires et
secondaires sont plus détaillées. Il demeure que cette cascade est un outil clé pour l’établissement de l’alignement
stratégique et la définition des processus importants.
– COBIT 5 fournit des exemples d’objectifs et d’indicateurs aux niveaux de l’entreprise, des processus et de la
pratique de gestion. Cela diffère de COBIT 4.1, Val IT et Risk IT qui, eux, s’adressaient à un niveau inférieur.
• Intrants et extrants :
– COBIT 5 fournit des intrants et des extrants pour chaque pratique de gestion, alors que COBIT 4.1 n’en fournissait
qu’au niveau des processus. Cela apporte une orientation détaillée supplémentaire pour la conception des processus
visant à inclure les produits du travail essentiels et à contribuer à l’intégration des processus.
• Tableaux RACI :
– COBIT 5 fournit des tableaux RACI qui décrivent les rôles et responsabilités d’une manière semblable à COBIT 4.1,
Val IT et Risk IT.
– Comparativement à COBIT 4.1, COBIT 5 propose un éventail plus complet, plus détaillé et plus clair des rôles
génériques des affaires et des TI pour chaque pratique de gestion, permettant une meilleure définition des
responsabilités de l’acteur ou du niveau de participation lors de la conception et de la mise en œuvre des processus.
• Modèles et évaluations de maturité de la capacité des processus (se reporter aussi aux phases 2 et 3 de la
discussion sur le cycle de vie de la mise en œuvre) :
– COBIT 5 met fin à l’approche de modélisation de maturité de la fonctionnalité de COBIT 4.1, Val IT et Risk IT,
laquelle était basée sur le modèle de maturité de la fonctionnalité, pour proposer un nouveau procédé d’évaluation
de la fonctionnalité inspiré de l’ISO/IEC 15504. Les orientations de conduite d’une auto-évaluation de la capacité
seront fournies dans le guide d’auto-évaluation de COBIT 5.
Les éléments suivants résument la manière d’exécuter une analyse des écarts selon la norme :
• Identifier et prioriser les domaines d’amélioration (comme décrit dans la phase 3) en considérant :
– Les forces, les faiblesses et les risques ciblés;
– Les objectifs de l’entreprise;
– Les possibilités d’améliorer la satisfaction du client;
– L’orientation de COBIT 5 et les autres normes et bonnes pratiques;
– Les points de référence qui fournissent un cadre de comparaison de base pour les résultats d’évaluation;
– Les objectifs et indicateurs de performance du processus qui peuvent indiquer les causes fondamentales liées aux
facteurs d’amélioration;
– Le risque de ne pas atteindre les objectifs d’amélioration énoncés.
60
CHAPITRE 7
• Analyser les forces et faiblesses de l’évaluation :

– Les forces correspondent aux processus obtenant la meilleure cote en matière de capacité des processus. Considérer
ce qui suit :
• L’expérience tirée des bonnes pratiques qui pourrait être adoptée et intégrée;
• L’opportunité d’améliorer l’efficacité des processus interreliés.
– Les faiblesses sont déterminées et dérivées à partir des :
• Faibles évaluations liées aux attributs des processus;
• Processus auxquels il manque des pratiques (considérer les pratiques et activités de gestion et les autres
facilitateurs de COBIT 5 de même que les normes et bonnes pratiques connexes) nécessaires pour atteindre le but
d’un processus.
• Évaluations déséquilibrée des attributs du processus par rapport aux niveaux de capacité qui sont nécessaires pour
atteindre un objectif d’entreprise précis.
– De faibles évaluations liées aux attributs des processus à l’échelle d’un groupe de processus évalués peuvent
indiquer une faiblesse dans des catégories de processus spécifiques (par ex., des notes faibles attribuées à la capacité
du processus de niveau 2 peuvent révéler des faiblesses dans les catégories des processus de gestion et de soutien).
– De même, on doit comparer les évaluations des attributs des processus à ceux de processus connexes. Pour corriger
toute déséquilibre, des mesures d’amélioration peuvent être nécessaires.
Les approches basées sur le modèle de maturité de la capacité de COBIT 4.1, Val IT et Risk IT ne sont pas jugées
compatibles avec l’approche ISO/IEC 15504 de COBIT 5, car les méthodes utilisent des attributs et des échelles
de mesure différentes. ISACA considère que l’approche de COBIT 5 est plus robuste, fiable et reproduisible, et
prendra aussi en charge une évaluation formelle par des évaluateurs accrédités, permettant à l’entreprise d’obtenir
une évaluation indépendante et certifiée conformément à la norme ISO/IEC. Le chapitre 8 de COBIT 5 fournit
une description complète du nouveau modèle de capacité des processus et établit la comparaison avec l’approche
précédente de COBIT 4.1,Val IT et Risk IT.
Les utilisateurs de COBIT 4.1, Val IT et Risk IT qui souhaitent passer à la nouvelle approche de COBIT 5 devront
redéfinir leurs évaluations précédentes, adopter et apprendre la nouvelle méthode et mettre en place une nouvelle
série d’évaluations pour profiter de la nouvelle approche. Bien que certaines informations provenant d’évaluations
précédentes puissent être réutilisables, il faudra en effectuer soigneusement la migration, car les exigences présentent
des différences importantes.
Les utilisateurs de COBIT 4.1, Val IT et Risk IT qui souhaitent maintenir l’approche basée sur le modèle de maturité
de la capacité, soit de façon intérimaire ou continuelle, peuvent utiliser l’orientation de COBIT 5, mais ils doivent
utiliser le tableau des attributs généraux de COBIT 4.1 sans les modèles à haut niveau de maturité. Voici le résumé de la
procédure :
1. Comparer la portée du processus avec les pratiques et activités de gouvernance ou de gestion de COBIT 5 pour cibler
les écarts (en supposant que la direction a accepté et approuvé la pleine portée de l’orientation de COBIT 5). Pour
satisfaire le niveau 3 (défini) et plus, toutes les pratiques doivent être considérées.
2. Comparer le processus détaillé du processus avec le tableau des attributs de maturité de COBIT 4.1 (annexe E) et
déterminer le niveau atteint pour chaque attribut. Lors de l’évaluation de chaque attribut, vérifier dans quelle mesure
l’orientation du processus suivant de COBIT 5 est mise en application :
• Connaissance et communication—EDS01.02 et APO01.04
• Politiques, plans et procédures—EDS01.02, APO01.03 et APO01.08
• Outils et automatisation—APO03.02
• Compétences et expertise—APO07.03
• Responsabilité et reddition de comptes—Tableau RACI du processus, EDS01.02 et APO01.02
• Établissement et mesure des objectifs—APO07.04 et SEM01
3. Faire la comparaison avec les références et modèles disponibles existants pour établir la plausibilité de l’évaluation.
4. Définir le niveau de maturité général selon le niveau d’attribut le plus faible (sauf si l’attribut n’est pas suffisamment
important pour la capacité du processus), tout en tenant compte de l’étendue des pratiques de gouvernance ou de
gestion. Pour l’évaluation, utiliser des nombres entiers plutôt que des nombres fractionnaires ou des pourcentages.
Un niveau est atteint seulement si toutes les conditions sont satisfaites. Pour parrainer les améliorations, la direction a
besoin d’une perspective transparente et réaliste.
5. Analyser les écarts entre les niveaux actuels et ciblés en tenant compte des forces et faiblesses du processus actuel
par rapport à l’orientation des pratiques et activités de gouvernance et de gestion de COBIT 5, aux facilitateurs de
COBIT 5 et aux autres normes et bonnes pratiques pertinentes.
61
MISE EN ŒUVRE
Planification et définition de la portée

COBIT 5 et les documents d’accompagnement dans ce guide proposent un moyen efficace de comprendre les priorités
et les exigences d’affaires et de gouvernance, et ces notions peuvent servir lors de la mise en œuvre des facilitateurs
de la gouvernance et de la gestion. Cette approche améliore également la préparation des dossiers d’affaires pour les
améliorations de la gouvernance, l’obtention de soutien des parties prenantes, ainsi que la réalisation et la surveillance
des bénéfices escomptés.
La relation peut se résumer dans la séquence de haut en bas suivante. COBIT 5 contribue à la réalisation de
l’alignement stratégique et oriente ce qu’il y a à faire, le tout soutenu par les objectifs de l’entreprise jusqu’aux
objectifs liés aux TI et jusqu’à la cascade des processus des TI. Cette cascade se présente et s’explique ainsi :
– Objectifs de l’entreprise
– Objectifs liés aux TI
– Exigences de la gouvernance et de la gestion
– Processus critiques des TI
– Pratiques et activités prioritaires de gouvernance et de gestion
Trois raisons expliquent pourquoi il est très utile de bien connaître les besoins des parties prenantes en matière de GEIT
(comme décrit au chapitre 3, figures 6 et7 et mentionné dans COBIT 5) ainsi que les objectifs actuels de l’entreprise et
leur influence sur la GEIT :
• Les besoins des parties prenante et les objectifs de l’entreprise influencent les exigences et les priorités de la GEIT.
Par exemple, l’accent pourrait être mis sur la réduction des coûts, la conformité ou le lancement d’un nouveau produit,
et chacun de ces derniers pourrait se répercuter différemment sur les priorités actuelles de la gouvernance.
• Les besoins des parties prenantes et les objectifs de l’entreprise aident à concentrer l’attention au bon endroit lors de
l’amélioration de la GEIT.
• Cela aide les fonctions d’affaires et des TI à mieux planifier à long terme les occasions permettant d’ajouter de la
valeur à l’entreprise.
COBIT 5 fournit de l’orientation et des exemples utiles à la définition des objectifs de l’entreprise et de ceux liés
aux TI et à la façon dont ils sont interreliés. Un ensemble général d’objectifs de l’entreprise et d’objectifs liés aux TI
est présenté sous forme de cascade dans COBIT 5 et COBIT 5: Processus facilitants. Ces exemples permettent aux
utilisateurs de COBIT de lier l’environnement d’affaires et des TI actuel de leur entreprise à des objectifs précis, puis de
les associer aux processus les plus susceptibles de mener à l’atteinte de ces objectifs.
Mesure de la performance
Un principe important de bonne gouvernance veut que la direction fournisse une orientation à l’aide d’objectifs
clairement définis et communiqués, puis qu’elle gère l’adhésion aux objectifs en appliquant les pratiques appropriées.
Le suivi de la performance par l’utilisation d’indicateurs permet à la direction de garantir l’atteinte des objectifs.
Dans COBIT 5, les objectifs d’entreprise et les objectifs liés aux TI servent de base à la définition des objectifs
des TI et à l’établissement d’un cadre de mesure de la performance. Les objectifs des TI sont exprimés en buts qui
doivent être harmonisés avec les objectifs de l’entreprise. COBIT 5 fournit des structures de définition des buts sur
trois niveaux : celui de l’entreprise, celui des TI en général et celui des processus des TI. Ces buts sont soutenus par
des indicateurs correspondant aux mesures des résultats, car ils évaluent le résultat d’un but donné. À un niveau
déterminé, les indicateurs jouent le rôle de facteurs de performance pour l’atteinte de buts à un niveau plus élevé. Ces
buts et indicateurs peuvent être utilisés pour définir des objectifs et surveiller la performance, en établissant des fiches
d’évaluation et des rapports de performance, de même que pour favoriser les améliorations.
COBIT 5 fournit des orientations sur la façon de définir et de subdiviser les objectifs et de créer des indicateurs de
surveillance basés sur le TBP.
Pratiques et activités de gouvernance et de gestion

COBIT 5 établit clairement la distinction entre les pratiques de gouvernance et de gestion, en plus d’ajouter un
nouveau domaine de gouvernance. Le référentiel de COBIT 5 fournit des explications quant aux différences entre la
gouvernance et la gestion de l’information de l’entreprise et des technologies connexes. La conception des processus
et procédures spécifiques basés sur COBIT 5 doivent toujours convenir aux besoins de la culture, du style de gestion
et de l’environnement des TI de l’entreprise. Les orientations dans COBIT 5 doivent être adaptées de façon appropriée.
Il est conseillé d’adopter les bonnes pratiques recommandées. Toutefois, elles doivent être adaptées afin qu’elles
soient pratiques et appropriées aux objectifs et besoins spécifiques à chaque entreprise. Les activités fournissent des
orientations sur ce qui doit être mis en oeuvre pour réaliser une pratique de gestion spécifique.
62
CHAPITRE 7
Les pratiques et activités de COBIT 5 sont basées sur les normes et bonnes pratiques pertinentes actuelles, lesquelles
doivent aussi être utilisées pour obtenir des orientations plus détaillées.
Rôles et responsabilités
Pour chaque processus, COBIT 5 propose des exemples de tableaux RACI qui déterminent les personnes responsables
ou qui approuvent et les personnes devant être consultées ou informées des activités du processus pour divers acteurs
(de bout en bout, affaires et TI). Les acteurs peuvent être des personnes (comme le directeur des finances ou le
directeur de l’exploitation) ou des structures (comme le conseil d’administration ou le comité du risque d’entreprise).
La définition des responsabilités et de la reddition de compte représente un principe important de la GEIT. Ces tableaux
peuvent servir de base à l’adaptation de tableaux RACI spécifiques pour les processus des TI.
63
MISE EN ŒUVRE
64
ANNEXE A
CARTOGRAPHIE DES POINTS DE DOULEUR ET DES PROCESSUS DE COBIT 5
ANNEXE A
CARTOGRAPHIER LES POINTS CRITIQUES SELON LES PROCESSUS DE
COBIT 5
La figure 44 montre la série complète des 37 processus de gouvernance et de gestion de COBIT 5. Les détails de tous
les processus, selon le modèle de processus décrit précédemment, sont inclus dans COBIT 5 : Processus facilitants.
Figure 44 – Modèle de référence des processus de COBIT 5
Processus de gouvernance des TI de l’entreprise

Évaluer, diriger et surveiller
EDS01 Assurer EDS02 Assurer la EDS03 Assurer

la définition et l’entretien EDS04 Assurer EDS05 Assurer aux
livraison des l’optimisation du l’optimisation des parties prenantes la
d’un cadre bénéfices risque
de gouvernance ressources transparence
Aligner, planifier et organiser Surveiller, évaluer

et mesurer
APO01 Gérer le APO02 Gérer APO03 Gérer APO06 Gérer le APO07 Gérer les
cadre de l’architecture APO04 Gérer APO05 Gérer
la stratégie l’innovation le portefeuille budget et les coûts ressources humaines
gestion des TI d’entreprise
SEM01 Surveiller,
évaluer et mesurer la
performance et la
APO08 Gérer APO09 Gérer les APO10 Gérer APO11 Gérer APO12 Gérer APO13 Gérer conformité
les relations accords de service les fournisseurs la qualité le risque la sécurité
Bâtir, acquérir et implanter

BAI03 Gérer BAI04 Gérer BAI05 Gérer le BAI07 Gérer
BAI01 Gérer BAI02 Gérer l’identification et la l’acceptation du
les programmes la définition la disponibilité et changement BAI06 Gérer
conception des la capacité organisationnel les changements changement et SEM02 Surveiller,
et les projets des exigences solutions de la transition évaluer et mesurer le
système de contrôle
interne
BAI08 Gérer BAI09 Gérer BAI10 Gérer

les connaissances les actifs les configurations
Livrer, servir et soutenir

SEM03 Surveiller,
LSS02 Gérer les LSS06 Gérer les évaluer et mesurer la
LSS01 Gérer demandes de LSS05 Gérer contrôles des
LSS03 Gérer LSS04 Gérer les services conformité aux
les opérations service et les les problèmes la continuité processus exigences externes
incidents de sécurité d’affaires
Processus de gestion des TI de l’entreprise
65
MISE EN ŒUVRE
La figure 45 présente des exemples de points de douleur (comme discuté au chapitre 3) et des exemples de processus
de COBIT 5 qui pourraient être sélectionnés en guise d’orientation pour ces points de douleur.
Figure 45 – Points de douleur cartographiés selon les processus de COBIT 5

Point de douleur Processus COBIT 5
La frustration dans l’entreprise engendrée par l’échec de projets, la EDS02, APO01, APO02, APO05, APO07, BAI01, BAI02
hausse des coûts des TI et une faible valeur opérationnelle.
Des incidents importants rattachés au risque d’affaires lié aux TI, comme EDS03, APO09, APO12, domaine LSS
la perte de données ou l’échec d’un projet.
Des problèmes de prestation de service par un sous-traitant, comme le EDS04, APO09, APO10
fait de ne pas atteindre les niveaux de service convenus.
Le défaut de satisfaire les exigences réglementaires ou contractuelles. EDS03, SEM03
Les TI qui limitent les capacités d’innovation et la flexibilité EDS04, APO02, APO04
professionnelle de l’entreprise.
Des résultats d’audit récurrents indiquant une mauvaise performance SEM02
des TI ou le signalement de problèmes de qualité du service des TI.
Des dépenses cachées et non justifiées liées aux TI. EDS02, APO05, APO06
La duplication ou le chevauchement des projets, ou le gaspillage de EDS02, EDS04, APO05, BAI01
ressources.
Des ressources des TI insuffisantes, du personnel aux compétences EDS04, APO07
inadéquates ou dépression/insatisfaction au sein du personnel.
Des changements amorcés par les TI qui satisfont rarement les besoins APO02, APO05, BAI01
de l’entreprise et qui sont fournis trop tard ou qui dépassent les coûts.
Des démarches d’assurance concernant les TI multiples et complexes. SEM02
L’hésitation des membres du conseil ou de la direction à s’impliquer EDS01, EDS02, APO01, APO02
dans les TI, ou le manque de promoteurs d’affaires pour les TI engagés
et satisfaits.
Des modèles complexes de fonctionnement des TI. EDS01, APO01, APO02, SEM01
66
ANNEXE B
EXEMPLE DE MATRICE DE PRISE DE DÉCISIONS
ANNEXE B
La figure 46 représente un exemple de la manière de déterminer les domaines clés pour lesquels des rôles et des
responsabilités clairs pour la prise de décision sont essentiels. Cet exemple constitue un guide et s’il s’avère utile, il
peut être modifié et adapté à l’entreprise et à ses exigences spécifiques.8
Figure 46 – Exemple de matrice de prise de décisions

Responsable, approuve, consulté, informé (RACI)
Gestion des unités d’affaires

Comité de pilotage du projet
Comité de stratégie des TI
Comité de pilotage du
Comité de sécurité
Comité exécutif
Gestion des TI
programme
Employés
Domaine
décisionnel Portée
Gouvernance • Alignement avec la gouvernance de l’entreprise.
A/R R C C R I
• Établissement des principes, structures, objectifs.
Stratégie de • Définition des buts et objectifs de l’entreprise.
l’entreprise • Décision relative à l’endroit et la façon dont les TI peuvent faciliter A/R R C C R I
et soutenir les objectifs de l’entreprise.
Politiques des TI • Fourniture aux parties prenantes des politiques, des procédures,
des directives et d’autres documents qui soient exacts,
compréhensibles et approuvés. I A C R C C
• Développement et déploiement de politiques sur les TI.
• Faire appliquer les politiques des TI.
Stratégie des TI • Intégration de la gestion des TI et des affaires dans la transposition
des exigences d’affaires en offre de service, et élaboration de
stratégies pour fournir ces services d’une manière transparente et
efficace.
• Collaboration avec la direction des unités d’affaires et la direction
I A C I R C C
de l’entreprise et la direction pour rapprocher la planification
stratégique des TI des exigences d’affaires actuelles et futures.
• Compréhension des capacités actuelles des TI.
• Prévision d’un système de hiérarchisation des objectifs de
l’entreprise qui quantifient les exigences de l’entreprise.
Orientation • Fourniture de plateformes appropriées aux applications
technologique d’affaires et conforme avec l’architecture des TI et les normes
des TI technologiques.
I C C A/R C C
• Élaboration d’un plan d’acquisition de technologie qui soit aligné
sur le plan d’infrastructure de la technologie.
• Planification de l’entretien de l’infrastructure.
Cadres et • Établissement de structures organisationnelles des TI qui sont
méthodes relatifs transparentes, souples et dynamiques, et définition et mise en
aux TI œuvre des processus des TI qui intègrent les propriétaires, les
rôles et les responsabilités dans les processus d’affaires et de
décision. I C C I I A/R I I
• Définition d’un cadre des processus des TI.
• Établissement d’entités et d’une structure organisationnels
appropriés.
• Définition des rôles et des responsabilités.
8
Cet exemple est basé sur la matrice de GEIT utilisée en interne par Deloitte Afrique du Sud et développée par IT Winners; utilisée avec leur permission.
67
MISE EN ŒUVRE
Figure 46 – Exemple de matrice de prise de décisions (suite)


Comité exécutif
Gestion des TI
programme
Employés
Domaine
Architecture • Définition et mise en œuvre d’une architecture et de normes qui
d’entreprise reconnaissent des opportunités technologiques et en tirent parti.
• Établissement d’un forum pour guider l’architecture et vérifier la
conformité.
• Établissement d’un plan d’architecture qui tienne compte des
coûts, du risque et des exigences.
• Définition de l’architecture de l’information, y compris
A C C I I R R C
l’établissement d’un modèle de données d’entreprise qui
comprenne un schéma de classification des données.
• Assurance de l’exactitude de l’architecture d’information et du
modèle de données.
• Assignation de la propriété des données.
• Classification de l’information en utilisant un schéma de
classification convenu.
Hiérarchisation • Prise de décisions efficaces quant à l’investissement et au
des priorités liées portefeuille facilités par les TI.
à l’investissement • Prévision et répartition des budgets.
I A C C R
et au portefeuille • Définition des critères formels d’investissement.
facilités par les TI • Mesure et évaluation de la valeur d’affaires par rapport aux
prévisions.
Priorisation de • Établissement et surveillance des budgets des TI conformément à
l’investissement la stratégie des TI et des décisions d’investissement.
et du programme • Mesure et évaluation de la valeur d’affaires par rapport aux
facilités par les TI prévisions.
• Définition d’une approche de gestion de programme et de projet
qui s’applique aux projets des TI et qui permette la participation
des parties prenante et la surveillance en ce qui a trait au risque et I A R C C/I C/I C/I
à l’évolution du projet.
• Définition et application de cadres et d’une approche de
programme et de projet.
• Émission de directives de gestion de projet.
• Réalisation de la planification de chaque projet décrit dans le
portefeuille.
Gestion, suivi et • Identification des exigences de service, accord sur les niveaux de
évaluation des service et surveillance des niveaux de service.
accords de niveau • Formalisation des ententes internes et externes conformément aux
de service (ANS) exigences et aux capacités de livraison.
• Rapport sur l’atteinte du niveau de service (rapports et rencontres).
I A R R R I
• Identification des exigences de service nouvelles et révisées et
communication de ces exigences à la planification stratégique.
• Atteinte des niveaux de service opérationnel pour le traitement
prévu des données, la protection des données sensibles et la
surveillance et l’entretien de l’infrastructure.
68
ANNEXE B
Figure 46— Exemple de matrice de prise de décisions (suite)


Comité exécutif
Gestion des TI
programme
Employés
Domaine
Gestion des • Détermination des solutions réalisables sur le plan technique et de
applications des TI la rentabilité.
• Définition des exigences d’affaires et techniques.
• Réalisation d’études de faisabilité, comme défini dans les normes
de développement.
• Approbation (ou rejet) des exigences et des résultats des études
de faisabilité.
• Assurance qu’un processus de développement rentable et I I C A/R C C
opportun soit en place.
• Transposition des exigences d’affaires en spécifications de
conception.
• Adhésion aux normes de développement pour toutes les
modifications.
• Séparation des activités de développement, d’essai et
opérationnelles.
Gestion de • Exploitation de l’environnement des TI selon les niveaux de service
l’infrastructure convenus et les instructions établies. I I C A/R C C
des TI • Entretien de l’infrastructure des TI.
Sécurité des TI • Définition des politiques, plans et procédures de sécurité des
TI, puis surveillance, détection, signalement et correction des
vulnérabilités et des incidents liés à la sécurité.
• Compréhension des exigences de sécurité, des vulnérabilités et
I A R R R C/I
des menaces quant à la sécurité en lien avec les exigences de
l’entreprise et les impacts sur celle-ci.
• Gestion des identités et des autorisations de manière uniforme.
• Test régulier de la sécurité.
Approvisionnement • Acquisition et entretien des ressources des TI conformément
et contrats à la stratégie de livraison, établissement d’une infrastructure
des TI intégrée et standardisée, et réduction du risque
d’approvisionnement des TI.
I I C A/R C C
• Obtention de conseils juridiques et contractuels professionnels.
• Définition de procédures et de normes d’approvisionnement.
• Acquisition de matériel, de logiciels et de services demandés
conformément aux procédures définies.
Conformité des TI • Identification de toutes les lois, règlements et contrats applicables
ainsi que le niveau correspondant de conformité des TI, puis
optimisation des processus des TI pour atténuer le risque de non-
conformité.
C/I A C A/R C C/I
• Identification des exigences légales, réglementaires et
contractuelles liées aux TI.
• Évaluation de l’impact des exigences de conformité.
• Surveillance et rapport de la conformité avec ces exigences.
69
MISE EN ŒUVRE
70
ANNEXE C
CARTOGRAPHIER LES EXEMPLES DE SCÉNARIOS DE RISQUE SELON LES PROCESSUS DE COBIT 5
ANNEXE C
CARTOGRAPHIER LES EXEMPLES DE SCÉNARIOS DE RISQUE SELON
LES PROCESSUS DE COBIT 5
Figure 47 – Scénarios de risque et capacités des processus de COBIT 5
Scénario de risque Capacités des processus de COBIT 5
Si le scénario ...étant donné ces exemples négatifs… ...alors déterminer si ces processus de COBIT 5 doivent
est pertinent et être améliorés. Remarque : Dans cette colonne, juste à côté
intrinsèquement du numéro de processus, se trouve un exemple provenant
possible… du processus à considérer. Il ne s’agit pas des noms de
processus.
Risque lié à la facilitation des bénéfices/valeurs
Sélection de • Une sélection de programmes inadéquats pour la mise en • APO02 Stratégie d’affaires et des TI alignées
programme des TI oeuvre et non conformes à la stratégie et aux priorités de • APO03 Compatibilités avec l’architecture d’entreprise
l’entreprise. • APO04 Identification des opportunités d’innovation
• Des chevauchements entre les différents projets. • APO05 Décisions en matière de gestion du portefeuille
• Un programme nouveau et important occasionne une • BAI01 Planification et coordination de la gestion de
incompatibilité à long terme avec l’architecture de l’entreprise. programme
Nouvelles • Le défaut d’adopter et d’exploiter des nouvelles technologies • EDS04 Direction ou supervision de la gestion des
technologies (c’est-à-dire fonctionnalité, optimisation) de manière opportune. ressources
• Les tendances technologiques nouvelles et importantes ne sont • APO02 Stratégie d’identification des opportunités
pas identifiées. technologiques
• L’incapacité à utiliser la technologie pour obtenir les résultats • APO03 Architecture d’entreprise harmonisée avec les
souhaités (par ex. le défaut d’apporter des modifications tendances actuelles en matière de technologie
nécessaires au modèle d’affaires ou à l’organisation). • APO04 Tendances technologiques nouvelles et
importantes identifiées
• BAI02 Capacité à utiliser les nouvelles technologies pour
définir de nouveaux modèles d’affaires
• BAI03 Adoption et exploitation de nouvelles technologies
Sélection des • La sélection de technologies inadéquates (c’est-à-dire coût, • APO02 Sélection stratégique et efficace des technologies
technologies performance, caractéristiques, compatibilité) pour la mise en • APO03 Technologie d’architecture d’entreprise cohérente
œuvre. • BAI03 Identification et élaboration des solutions
• APO13 Impacts de la sélection des technologies sur la
sécurité
Prise de décision • Les gestionnaires ou représentants de l’entreprise ne sont pas • EDS02 Direction ou supervision de la gestion de la valeur
relativement aux impliqués dans la prise de décisions importantes concernant • APO02 Implication des affaires dans la planification
investissements les investissements en TI, particulièrement en ce qui à trait stratégique des TI
en IT aux nouvelles applications, la priorisation ou les possibilités de • APO03 Investissement convenant à l’architecture
nouvelles technologies. d’entreprise cible
• APO05 Décisions en matière de gestion du portefeuille
• APO06 Surveillance des investissements
• APO08 Compréhension des attentes de l’entreprise et des
opportunités de tirer parti des TI
• BAI01 Définition des étapes de la gestion de programme
Reddition de • Les affaires n’assument pas la reddition de comptes quant aux • EDS01-05 Reddition de compte de la direction de
compte quant domaines des TI qui les concernent, telle que les exigences l’entreprise quant aux décisions relatives aux TI
aux TI fonctionnelles, les priorités de développement et l’évaluation • APO01 Rôles et responsabilités liés aux affaires et aux TI
des opportunités par le biais des nouvelles technologies. • APO09 Ententes de service claires et approuvées
• APO10 Ententes et relations avec le fournisseur définies
et gérées
• BAI05 Facilitation des changements organisationnels
quant à la reddition de compte liée aux TI et à la GEIT
Fin de projet • Les projets qui échouent pour des raisons de coût, de retard, de • EDS01 Politiques de GEIT, structures organisationnelles
des TI dérive d’objectif ou qui ne sont pas terminés à temps en raison et rôles
de changement aux priorités de l’entreprise. • EDS02 Surveillance de la gouvernance de la valeur
• EDS04 Surveillance de la gouvernance des ressources
• BAI01 Définition des étapes de la gestion de programme/
projet
• APO05 Prise de décisions efficace en matière de gestion
du portefeuille
• APO06 Surveillance des investissements
• SEM01 Surveillance de la performance
71
MISE EN ŒUVRE
Figure 47 – Scénarios de risque et capacités des processus de COBIT 5 (suite)

Risque lié à la facilitation des bénéfices/valeurs
Économies du • Dépassement du budget d’un projet des TI isolé. • EDS01 Politiques de GEIT, structures organisationnelles
projet des TI • Dépassements de coût importants et constants des projets des et rôles
TI. • EDS02 Surveillance de la gouvernance de la valeur
• Manque de vision quant à l’économie de portefeuille et de • EDS04 Surveillance de la gouvernance des ressources
projet. • APO06 Surveillance des investissements
• BAI01 Planification et surveillance de la gestion de
programme/projet
processus.
Risque lié à la réalisation du programme/projet
Agilité et flexibilité • Une architecture des TI complexe et rigide qui nuit à l’évolution • APO01 Processus d’affaires et processus liés aux TI
architecturales et à l’expansion. efficaces et définis
• EDS04 Gouvernance quant à l’optimisation des
ressources
• APO02 Planification stratégique dynamique
• APO03 Entretien de l’architecture d’entreprise
• APO04 Innovation et amorce du changement
• APO05 Prise de décision relative à la gestion du
portefeuille
• BAI02,03 Méthodes de cycle de vie de développement
Agile
• APO13 Maintien de la sécurité dans un environnement
agile et flexible
Intégration • Une dépendance approfondie ainsi qu’une utilisation de • EDS01 Politiques de GEIT, structures organisationnelles
des TI dans l’informatique individuelle et de solutions ad hoc pour répondre et rôles
les processus aux besoins d’information importants. • APO01 Rôles et responsabilités liés aux affaires et aux TI
d’affaires • Des solutions de TI distinctes et non intégrées pour soutenir les • APO02 Alignement des stratégies d’affaires et des TI
processus d’affaires. • APO03 Conceptions architecturales et décisions
• APO08 Relations entre les affaires et les TI
• BAI02 Définition et compréhension des exigences
d’affaires
• BAI03 Adaptation des processus d’affaires aux nouvelles
solutions des TI
• BAI05 Gestion des changements organisationnels
concernant les TI
Mise en œuvre • La mise en activité du nouveau logiciel occasionne des • APO11 Activités de gestion de la qualité cohérentes et
logicielle problèmes opérationnels. efficaces
• Les utilisateurs ne sont pas préparés en vue de l’utilisation et • BAI01 Gestion de projet
de l’exploitation du nouveau logiciel applicatif. • BAI02 Définition des exigences
• BAI03 Développement de solution
• BAI05 Gestion des changements organisationnels
concernant la mise en œuvre logicielle
• BAI06 Gestion du changement
• BAI07 Essai approfondi de la solution
• BAI08 Soutien des connaissances
Réalisation de • Un retard occasionnel dans la réalisation de projet des TI par le • EDS01 Politiques de GEIT, structures organisationnelles
projet service interne de développement. et rôles
• Des retards importants récurrents dans la réalisation de projet • EDS02 Surveillance de la gouvernance de la valeur
des TI. • APO06 Surveillance des investissements
• Des retards excessifs quant au développement de projet des TI • BAI01 Planification et surveillance de la gestion de
externalisé. programme/projet
Qualité de projet • La qualité des livrables de projet est insuffisante en raison du • APO03 Normes liées à l’architecture
logiciel, de la documentation ou de problèmes de conformité • APO11 Activités de gestion de la qualité cohérentes et
avec les exigences fonctionnelles. efficaces
• BAI01 Planification et surveillance de la gestion de la
qualité du programme/projet
72
ANNEXE C

Risque lié à la prestation du service/aux opérations des TI
État de la • Une technologie des TI désuète ne peut satisfaire les nouvelles • EDS04 Direction ou supervision de la gestion des
technologie de exigences d’affaires telles que le réseautage, la sécurité et le ressources
l’infrastructure stockage. • APO02 Reconnaissance et traitement stratégique des
problèmes actuels de capacité des TI
• APO04 Identification des tendances technologiques
importantes
• BAI03 Entretien de l’infrastructure
• BAI04 Planification en prévision de problèmes de
capacité et de performance et résolution de ces
problèmes
• BAI09 Maintien des actifs
Obsolescence de • Un logiciel applicatif ancien, mal documenté, coûteux à • EDS04 Direction ou supervision de la gestion des
logiciel applicatif maintenir, difficile à enrichir ou non intégré dans l’architecture ressources
actuelle. • APO02 Reconnaissance et traitement stratégique des
• APO04 Identification des tendances technologiques
nouvelles et importantes
• BAI03 Entretien des applications
• BAI09 Entretien des actifs
• LSS06 Contrôles des processus d’affaires
processus.
Risque lié à la fourniture du service/aux opérations des TI
Conformité • Une non-conformité à la réglementation en matière de • EDS01 Politiques et rôles liés à la conformité de la GEIT
réglementaire comptabilité ou de fabrication. • APO01 Politiques et orientations relatives à la conformité
réglementaire
• APO02 Planification selon les exigences réglementaires
• BAI02 Identification et définition des exigences
réglementaires
• SEM03 Surveillance des exigences et du statut actuel
concernant la conformité
Sélection et • Un soutien et des services inadéquats offerts par les • APO10 Efficacité dans la sélection et la gestion des
performance des fournisseurs, non conformes avec les accords de niveau de fournisseurs ainsi que dans les relations avec ceux-ci
fournisseurs tiers service (ANS). • BAI03 Gestion efficace des approvisionnements
• Une performance inadéquate du sous-traitant dans le cadre
d’une entente d’externalisation importante à long terme.
Vol lié à • Le vol d’ordinateurs portatifs contenant des données sensibles. • APO01 Politiques et orientation en matière de protection
l’infrastructure • Le vol d’un nombre important de serveurs de développement. des actifs
• APO07 Vérification des références et des antécédents des
nouveaux employés et sous-traitants
• BAI03 Protection des actifs essentiels durant les activités
d’entretien
• LSS05 Mesures de sécurité physiques
Destruction • La destruction d’un centre de données due au sabotage ou à • LSS01 Protection de l’environnement et gestion des
d’infrastructure d’autres causes. installations
• La destruction accidentelle d’ordinateurs portatifs individuels. • LSS05 Mesures de sécurité physiques
Personnel des TI • Le départ ou l’indisponibilité prolongée d’employés importants • APO07 Perfectionnement et rétention des ressources
des TI. humaines des TI
• Le départ de l’entreprise d’une équipe de développement • BAI08 Gestion des connaissances tacites
importante.
• L’incapacité de recruter du personnel des TI.
Expertise et • Le manque ou l’inadéquation des compétences liées aux TI • APO07 Définition et élaboration des exigences liées aux
compétences au sein du service des TI dus aux nouvelles technologies ou à compétences du personnel des affaires et des TI
en TI d’autres causes. • BAI08 Soutien des connaissances
• Le personnel des TI ne comprend pas suffisamment les affaires.
73
MISE EN ŒUVRE

Intégrité du • La modification intentionnelle du logiciel menant à des données • BAI02 Définition des exigences relatives au contrôle de
logiciel erronées ou à des actions frauduleuses. l’application
• La modification involontaire du logiciel menant à des résultats • BAI06 Gestion du changement
inattendus. • BAI07 Pratiques d’essai et de réception
• Des erreurs de configuration non intentionnelles et de gestion • BAI10 Données de configuration
des modifications. • LSS05 Contrôles d’accès
• LSS06 Contrôles des processus d’affaires
Infrastructure • La configuration erronée des composants matériels. • BAI03 Protection des actifs essentiels durant les activités
(matériel) • Des serveurs importants endommagés dans la salle des d’entretien
ordinateurs suite à un accident ou à d’autres causes. • BAI10 Données de configuration
• Une altération intentionnelle du matériel tel que les dispositifs • LSS05 Mesures de sécurité physiques
de sécurité.
Performance du • Des dysfonctionnements logiciels réguliers concernant une • BAI03 Assurance de la qualité du développement logiciel
logiciel application logicielle critique. • BAI04 Planification en prévision de problèmes de
• Des problèmes intermittents de performance d’un logiciel de capacité et de performance et traitement de ces
base important. problèmes
• LSS03 Analyse des causes fondamentales et résolution
de problèmes
Capacité du • L’incapacité des systèmes à traiter de grands volumes de • APO03 Principes d’architecture relatifs à l’extensibilité et
système transactions lors de l’augmentation du nombre d’utilisateurs. à l’agilité
• L’incapacité des systèmes à faire face à la charge lors du • BAI03 Entretien de l’infrastructure
déploiement de nouvelles applications ou de nouveaux projets. • BAI04 Planification en prévision de problèmes de
capacité et de performance et traitement de ces
problèmes
Obsolescence • L’utilisation d’une version non supportée du logiciel de système • EDS04 Direction ou supervision de la gestion des
du logiciel d’exploitation. ressources
d’infrastructure • L’utilisation d’un système de base de données désuet. • APO02 Reconnaissance et traitement stratégique des
• APO04 Détermination des tendances technologiques
nouvelles et importantes
• BAI03 Entretien de l’infrastructure
• LSS03 Problèmes liés aux contrôles des processus
d’affaires
Logiciel • L’introduction d’un logiciel malveillant dans des serveurs • APO01 Politiques et orientation concernant l’utilisation de
malveillant opérationnels critiques. logiciel
• Des ordinateurs portatifs régulièrement infectés par un logiciel • LSS05 Détection de logiciel malveillant
malveillant.
processus.
Attaques logiques • Une attaque virale. • APO01 Politiques et orientation concernant la protection
• Des utilisateurs non autorisés tentent de forcer l’accès aux et l’utilisation des actifs des TI
systèmes. • BAI03 Exigences de sécurité intégrées dans les solutions
• Une attaque par déni de service. • LSS05 Contrôles d’accès et surveillance de la sécurité
• Une altération de site Web.
• De l’espionnage industriel.
Support • La perte de supports portatifs (par ex. CD, lecteurs bus série • APO01 Politiques et orientation concernant la protection
d’information universel [USB], disques portatifs) contenant des données et l’utilisation des actifs des TI
sensibles ou la divulgation de telles données. • LSS05, 06 Protection de dispositifs de stockage ou
• La perte de support de sauvegarde. d’appareils média mobiles ou amovibles
• La divulgation accidentelle de données sensibles en raison du
non-respect des directives de traitement de l’information.
74
ANNEXE C

Performance des • Des pannes intermittentes des services d’utilité publique (par • APO08 Relations avec les principaux fournisseurs de
services d’utilité ex. télécommunication, électricité). services d’utilité publique et gestion de ces fournisseurs
publique • Des pannes régulières et prolongées des services d’utilité • LSS01 Protection de l’environnement et gestion des
publique. installations
Action syndicale • L’inaccessibilité des installations et de l’établissement en raison • APO07 Relations avec le personnel et employés
d’une grève. importants
• L’indisponibilité de membres importants du personnel en raison • BAI08 Gestion des connaissances du personnel
d’une action syndicale.
Intégrité des • Une modification intentionnelle des données (par ex. • APO03 Architecture d’information et classement des
données (de la comptabilité, données liées à la sécurité, données de vente). données
base de données) • La corruption de la base de données (par ex. base de données • BAI03 Normes de développement
des clients ou des transactions). • BAI06 Gestion du changement
• LSS01 Gestion du stockage de données
• LSS05 Contrôles des accès
Intrusion logique • Des utilisateurs déjouent les droits d’accès logiques. • APO01 Politiques et orientation concernant la protection
• Des utilisateurs obtiennent l’accès à de l’information non et l’utilisation des actifs des TI
autorisée. • LSS05 Contrôles d’accès et surveillance de la sécurité
• Des utilisateurs volent des données sensibles. • APO07 Politiques à l’égard du personnel contractuel
Erreurs • Les erreurs de l’opérateur lors de la copie de sécurité ou de la • APO07 Formation du personnel
opérationnelles mise à niveau des systèmes ou de l’entretien des systèmes. • LSS01 Procédures opérationnelles
des IT • L’entrée de données incorrectes. • LSS06 Contrôles des processus d’affaires
Conformité • La non-conformité des licences d’utilisation des logiciels (par • APO09 Surveillance des contrats de service
contractuelle ex. l’utilisation ou la distribution de logiciel sans licence). • APO10 Surveillance des ententes et des relations avec
• Les obligations contractuelles du fournisseur de service ne sont les fournisseurs
pas respectées auprès des consommateurs ou clients. • LSS02 Gestion des licences d’utilisation des logiciels
• SEM03 Surveillance des exigences et du statut actuel en
matière de conformité
Environnement • L’utilisation d’équipement non respectueux de l’environnement • APO03 Intégration de principes écologiques dans
(par ex. équipement énergivore, suremballage). l’architecture d’entreprise
• BAI03 Choix des options et politiques
d’approvisionnement
• LSS01 Gestion environnementale et des installations
Catastrophes • Séisme • LSS01 Gestion environnementale et des installations
naturelles • Tsunami • LSS05 Sécurité physique
• Tempête/ouragan majeurs • LSS04 Gérer la continuité
• Incendie de forêt majeur
75
MISE EN ŒUVRE
76
ANNEXE D
EXEMPLE DE DOSSIER D’AFFAIRES
ANNEXE D
Remarque : Cet exemple sert de guide générique non prescriptif visant à encourager la préparation d’un dossier
d’affaires pour justifier un investissement dans un programme de mise en œuvre de la GEIT. Chaque entreprise a ses
propres raisons pour améliorer la GEIT et sa propre approche pour la préparation des dossiers d’affaires; une entreprise
peut opter pour une approche détaillée mettant l’accent sur les bénéfices quantifiés alors qu’une autre peut choisir une
approche qualitative de haut niveau. Les entreprises devraient respecter les pratiques concernant les dossiers d’affaires
ainsi que les approches de justification de l’investissement qui existent à l’interne, le cas échéant, et devraient utiliser
les exemples et les orientations contenus dans cette publication pour mettre l’accent sur tous les enjeux qui devraient
être abordés. D’autres conseils sur le développement de dossiers d’affaires sont proposés dans le processus APO05 de
COBIT 5 et dans Le guide sur les dossiers d’affaires : utilisation de Val ITTM 2.0.
Le scénario utilisé en exemple met en scène une grande entreprise multinationale comprenant un mélange d’unités
d’affaires traditionnelles bien établies ainsi que de nouvelles divisions basées sur Internet et utilisant les plus récentes
technologies. Bon nombre d’unités d’affaires ont été acquises et sont implantées dans différents pays; il faut donc
conjuguer diverses politiques locales et différents environnements culturels et économiques. La direction générale du
groupe central a été influencée par la dernière orientation de gouvernance d’entreprise, y compris COBIT, qu’elle a
utilisée de façon centralisée pendant un certain temps. Les membres de la direction veulent s’assurer que l’expansion
rapide et que l’adoption de TI de pointe dans bon nombre de leurs divisions apporteront la valeur attendue et une
nouvelle gestion du risque significatif. Ils ont donc exigé, à l’échelle de l’entreprise, l’adoption d’une approche
uniforme de la GEIT, une approche qui comprend également la participation au moyen des fonctions d’audit et de
gestion du risque ainsi qu’un rapport annuel interne émis par la direction de l’unité d’affaires concernant la pertinence
des contrôles dans toutes les entités.
Bien que l’exemple soit inspiré de situations réelles, il ne reflète pas un fait vécu dans une entreprise en particulier.
Sommaire exécutif
Ce dossier d’affaires, qui est basé sur COBIT, précise la portée du programme de GEIT proposé pour Acme
Corporation.
Un dossier d’affaires adéquat est nécessaire pour assurer que le conseil d’Acme Corporation et que chaque unité
d’affaires adhèrent à l’initiative, reconnaissent les bénéfices potentiels et surveillent le dossier d’affaires afin de
garantir que les bénéfices escomptés se matérialisent.
La portée à l’échelle des entités d’affaires qui composent Acme Corporation est globale. En raison des ressources
limitées du programme, un certain processus de priorisation sera appliqué à toutes les entités pour assurer une
couverture initiale par le programme de GEIT.
Un bon nombre de parties prenantes s’intéressent aux résultats du programme de GEIT, du conseil d’administration
d’Acme Corporation à la direction locale de chaque entité, sans oublier les parties prenantes externes comme les
actionnaires et les organismes gouvernementaux.
Tout comme le risque, certains défis importants doivent être pris en considération dans la mise en œuvre du programme
de GEIT requise dans l’ensemble de l’entreprise. Un des aspects les plus difficiles à gérer est la nature entrepreneuriale
de la plupart des activités liées à Internet ainsi que le modèle d’affaires décentralisé ou fédéral qui existe au sein
d’Acme Corporation.
Le programme de GEIT sera réalisé en mettant l’accent sur les capacités des processus et sur les autres facilitateurs
d’Acme, capacités qui seront comparées à celles définies dans COBIT et qui sont propres à chaque unité d’affaires.
En commençant par les objectifs d’affaires de chaque unité, les processus pertinents et prioritaires qui recevront une
attention particulière dans chaque entité seront identifiés lors d’un atelier animé par les membres du programme de
GEIT et au moyen des scénarios de risques d’affaires liés aux TI qui s’appliquent à l’unité d’affaires en question.
L’objectif du programme de GEIT est de veiller à ce que les structures de gouvernance adéquates soient en place
et d’augmenter le niveau de la capacité et la pertinence des processus des TI, dans l’espoir que si la capacité
d’un processus des TI s’améliore, le risque associé diminuera proportionnellement et que l’efficacité et la qualité
augmenteront. Ainsi, de réels bénéfices d’affaires peuvent être réalisés par chaque unité d’affaires.
77
MISE EN ŒUVRE
Une fois que le processus d’évaluation du niveau de capacité au sein de chaque unité d’affaires a été mis en place, il est
prévu que les autoévaluations se poursuivent au sein de chaque unité d’affaires à titre de pratique d’affaires normale.
Le programme de GEIT comportera deux phases distinctes. La première phase est une phase de développement,
pendant laquelle l’équipe précisera et testera l’approche et un ensemble d’outils qui seront utilisés dans l’ensemble
d’Acme Corporation. À la fin de la phase 1, les résultats seront présentés à la direction du groupe pour approbation
finale. Après l’obtention de l’approbation finale sous forme de dossier d’affaires approuvé, le programme de GEIT sera
déployé dans l’ensemble de l’entité suivant la stratégie convenue.
Il est à noter qu’il n’appartient pas au programme de GEIT de mettre en œuvre les actions correctives relevées pour
chaque unité d’affaires. Le programme de GEIT se limite à la consolidation des progrès tels qu’ils sont indiqués par
chaque unité.
Le dernier défi qui devra être relevé par le programme de GEIT est celui de rendre compte des résultats de manière
durable. Cet aspect, qui demandera du temps et qui sera l’objet de nombreuses discussions et d’un important
développement, devrait se traduire par une amélioration des mécanismes de reddition de compte et de bilans
d’entreprise déjà en place.
Un budget initial pour la phase de développement du programme de GEIT a été prévu. Le budget est détaillé dans
un échéancier distinct. Un budget détaillé sera également préparé pour la phase 2 du projet et fera l’objet d’une
approbation par la direction du groupe.
Contexte (voir le chapitre 2, intitulé Positionnement de la GEIT)

La GEIT fait partie intégrante de la gouvernance globale de l’entreprise et se concentre sur les performances des TI et
sur la gestion du risque attribuable à la dépendance aux TI de l’entreprise.
Les TI sont intégrées dans les activités d’Acme Corporation et pour nombre d’entre elles, en particulier les activités
liées à Internet,
les TI sont le point central. La GEIT respecte donc la structure de gestion du groupe, c’est-à-dire une forme
décentralisée. La direction de chaque filiale ou unité d’affaires est responsable d’assurer la mise en œuvre des
procédures appropriées et pertinentes pour la GEIT.
Chaque année, la direction de chaque filiale importante est tenue de présenter un rapport écrit officiel au comité des
risques concerné, comité formé de membres du conseil d’administration, à propos de la mesure dans laquelle les
politiques de la GEIT ont été mises en œuvre au cours de l’année financière. Les exceptions importantes doivent être
signalées lors de chaque réunion prévue du comité des risques concerné.
Le conseil d’administration, assisté par les comités des audits et des risques, veillera à ce que la performance du groupe
en matière de GEIT soit évaluée, surveillée, inscrite dans un rapport et communiquée dans un énoncé de GEIT qui fera
partie du rapport intégré. Un tel énoncé sera basé sur les rapports fournis par les équipes responsables de la gestion du
risque, de la conformité et des audits internes et par la direction de chaque filiale importante, et ce, afin d’offrir aux
parties prenantes internes et externes des informations pertinentes et fiables sur la qualité de la performance du groupe
en matière de GEIT.
Les services chargés des audits internes fourniront l’assurance de la pertinence et l’efficacité de la GEIT à la direction
et au comité responsable des audits.
Dans le cadre du processus de gestion du risque, les risques d’affaires liés aux TI seront rapportés et feront l’objet de
discussion dans les registres des risques présentés au comité concerné.
Défis d’affaires (voir la section 3 du chapitre 3, intitulée Démarrage –

Définir la nécessité d’agir : Reconnaissance des points de douleur et des
événements déclencheurs)
En raison de l’omniprésence des TI et du rythme auquel la technologie change, un cadre fiable est nécessaire pour
contrôler adéquatement l’ensemble de l’environnement des TI et pour éviter les écarts de contrôle qui peuvent exposer
l’entreprise à des risques non acceptables.
L’intention est de ne pas entraver les activités liées aux TI des différentes entités opérationnelles. On vise alors à
améliorer le profil de risque des entités de la manière la plus appropriée aux différents milieux d’affaires. On vise
78
ANNEXE D
également à améliorer la qualité et l’efficacité des services, tout en étant explicitement conformes non seulement à la
charte de GEIT d’Acme Corporation, mais aussi à toute autre loi et exigence réglementaire ou contractuelle.
Quelques exemples de points de douleur sont :

• des efforts complexes d’assurance des TI en raison de la nature entrepreneuriale de la plupart des unités d’affaires;
• des modèles complexes d’exploitation des TI en raison des modèles d’affaires basés sur le service Internet;
• des entités géographiquement dispersées, composées de diverses cultures et langues;
• un modèle d’affaires décentralisé ou fédéré et largement autonome employé au sein du groupe;
• la mise en place de niveaux raisonnables de gestion des TI, étant donné la main-d’œuvre en TI hautement qualifiée et,
parfois, volatile;
• l’équilibre que doivent apporter les TI dans l’amélioration des capacités d’innovation et de l’agilité de l’entreprise, le
tout sans négliger la nécessité de gérer les risques et d’assurer un contrôle adéquat;
• l’établissement des niveaux de risque et de tolérance pour chaque unité d’affaires;
• le besoin croissant de se concentrer sur le respect de la réglementation (confidentialité) et des exigences de conformité
contractuelle (industrie des cartes de paiement [PCI]);
• un mauvais contrôle des TI ou des problèmes de qualité des services liés aux TI rapportés fréquemment lors des
audits;
• la fourniture, avec succès et en temps opportun, de nouveaux services novateurs dans un marché hautement
concurrentiel.
Analyse des écarts et objectif

À l’échelle du groupe, il n’y a actuellement aucune approche ni aucun cadre en place en matière de GEIT ou pour
l’utilisation des bonnes pratiques et des normes associées aux TI. À l’échelle de l’unité d’affaires locale, on constate
une utilisation à des niveaux variables des bonnes pratiques en matière de GEIT. Par conséquent, très peu d’attention
a été accordée, par le passé, au niveau de capacité des processus de TI. Selon notre expérience, les niveaux sont
généralement faibles.
Ainsi, l’objectif du programme de GEIT est d’accorder la priorité à l’amélioration du niveau de capacité et du caractère
adéquat des processus et des contrôles liés aux TI qui soient adaptés à chaque unité d’affaires.
Le résultat devrait être qu’un risque important a été identifié et formulé, et la direction est en mesure de traiter le risque
et de faire rapport sur son état. Au fur et à mesure que le niveau de capacité de chaque unité d’affaires augmente, le
profil de risque d’affaires lié aux TI de chaque entité devrait diminuer et la qualité et l’efficacité devraient augmenter
proportionnellement.
En définitive, la valeur de l’entreprise devrait augmenter en raison d’une GEIT efficace.
Autres solutions envisagées

Il existe un bon nombre de référentiel sur les TI, chacune tentant de contrôler l’un ou l’autre des aspects particuliers des
TI. Le référentiel COBIT est considéré par beaucoup comme le chef de file en matière de GEIT et comme le meilleur
cadre de contrôle au monde. Le référentiel COBIT a été mis en œuvre par certaines filiales du groupe. Il est également
expressément mentionné dans le rapport King III 9 que le référentiel COBIT peut servir de cadre pour la mise en œuvre
de la GEIT.
Choisi par Acme Corporation, COBIT devient le cadre privilégié pour la mise en œuvre de la GEIT et devrait donc être
adopté par l’ensemble des filiales.
COBIT ne doit pas nécessairement être mis en œuvre dans son intégralité; seuls les domaines pertinents à la filiale ou à
l’unité d’affaires particulière pourraient être implantés, tout en tenant compte des éléments suivants :
1. le stade de développement de chaque entité dans le cycle de vie de l’entreprise;
2. les objectifs d’affaires de chaque entité;
3. l’importance des TI pour l’unité d’affaires;
4. le risque d’affaires lié aux TI auquel fait face chaque entité;
5. les exigences légales et contractuelles;
6. toute autre raison pertinente.
Lorsqu’un autre cadre est déjà implanté dans une filiale ou une unité d’affaires, ou qu’une implantation est prévue dans
un avenir proche, ce cadre devrait être intégré à COBIT pour faciliter les audits et la production de rapports et pour
assurer la clarté des contrôles internes.
9
King III est le rapport intitulé Gouvernance d’entreprise en Afrique du Sud.
79
MISE EN ŒUVRE
Solution proposée
Le programme de GEIT comporte deux phases distinctes.
Phase 1. Préplanification (voir le chapitre 3, intitulé Premiers pas vers la GEIT)

La phase 1 du programme de GEIT est la phase de développement. Au cours de cette première phase, les étapes
suivantes devront être réalisées :
1. Établir la structure de l’équipe de base, qui doit assurer l’équilibre entre le soutien de la gestion du risque et le
groupe en charge des TI.
2. Donner à l’équipe de base la formation initiale sur COBIT.
3. Tenir un atelier avec l’équipe de base afin de définir une approche pour le groupe.
4. Créer une communauté en ligne au sein d’Acme Corporation, une communauté qui servira de ressource pour le
partage des connaissances.
5. Procéder au recensement de toutes les parties prenantes et de leurs besoins.
6. S’il y a lieu, clarifier et réaligner les structures, les fonctions et les responsabilités du comité ainsi que les règles de
décision et les dispositions en matière de rapport actuellement reconnues au sein de celui-ci.
7. Concevoir et maintenir un dossier d’affaires pour le programme de GEIT qui deviendra la référence pour une mise en
œuvre réussie du programme.
8. Établir un plan de communication pour les principes directeurs, les politiques et les bénéfices attendus dans
l’ensemble du programme.
9. Concevoir les outils d’évaluation et de création de rapports qui seront utilisés à long terme, même après la fin du
programme.
10. Tester l’approche dans une entité locale. Cette activité a été choisie en raison de la facilité de l’aspect logistique, et
pour simplifier l’amélioration de l’approche et des outils.
11. Mettre en œuvre un projet pilote de l’approche améliorée dans l’une des entités à l’étranger. Cette étape permettra
de comprendre et de quantifier les difficultés de la réalisation de la phase d’évaluation du programme de GEIT dans
des conditions plus difficiles.
12. Présenter l’approche et le dossier d’affaires définitifs, y compris un plan de déploiement, à la direction d’Acme
Corporation pour approbation.
Phase 2. Mise en œuvre du programme (voir la section 2 du chapitre 3. Application d’une

approche de cycle de vie pour l’amélioration continue)
Le programme de GEIT est conçu pour démarrer un programme permanent d’amélioration continue, un programme
basé sur un cycle de vie itératif facilité qui est composé des étapes suivantes :
1. Déterminer les facteurs pouvant améliorer la GEIT, tant à l’échelle du groupe Acme Corporation qu’à l’échelle de
l’unité d’affaires.
2. Déterminer l’état actuel de la GEIT.
3. Déterminer l’état de la GEIT désiré (à la fois à court et à long terme).
4. Déterminer ce qui doit être mis en œuvre à l’échelle de l’unité d’affaires pour permettre l’atteinte des objectifs
d’affaires locaux, et ainsi mieux se concentrer sur les attentes du groupe.
5. Mettre en œuvre les projets d’amélioration identifiés et approuvés, et ce, localement à l’échelle de l’unité d’affaires.
6. Réaliser et surveiller les bénéfices.
7. Soutenir la nouvelle façon de travailler en maintenant les circonstances favorables.
Portée du programme
Le programme de GEIT couvrira les éléments suivants :
1. Toutes les entités du groupe; toutefois, pour faciliter l’interaction, les entités devront être classées par priorité en
raison
des ressources du programme qui sont assez limitées
2. La méthode d’établissement des priorités. Il faudra convenir d’une méthode avec la direction d’Acme Corporation,
mais elle pourrait être composée des éléments de base suivant :
a. Taille de l’investissement
b. Revenus/contribution au groupe
c. Profil de risque du point de vue de groupe
d. Une combinaison de tous ces éléments.
3. La liste des entités à couvrir pendant l’exercice en cours. La liste n’est pas encore finalisée et doit être approuvée par
la direction d’Acme Corporation.
80
ANNEXE D
Méthodologie et alignement du programme (voir le chapitre 6. Tâches, rôles et responsabilités

liés au cycle de vie de la mise en œuvre)
Le programme de GEIT réalisera son mandat en utilisant une, approche facilitée par la tenue d’ateliers interactifs
auxquels participeront toutes les entités.
L’approche commence avec les objectifs d’affaires et les propriétaires objectifs, généralement le chef de la direction et
le directeur financier. Cette approche devrait garantir le parfait alignement des résultats du programme sur les résultats
et les priorités d’affaires attendus.
Une fois que les objectifs de l’entreprise ont été couverts, il est primordial de se concentrer ensuite sur les activités des
TI, généralement sous le contrôle du directeur des technologies ou du dirigeant principal de l’information; on considère
alors un plus grand nombre de détails sur les risques et les objectifs d’affaires liés aux TI.
Les affaires et les objectifs liés aux TI ainsi que les risques d’affaires liés aux TI sont ensuite combinés en un outil (basé
sur les orientations de COBIT) qui fournira un ensemble d’axes de travail prioritaires au sein du processus de COBIT
qui sera évalué par l’unité d’affaires. Ainsi, l’unité d’affaires sera en mesure de prioriser ses efforts d’assainissement
pour aborder les risques liés aux TI.
Livrables du programme (voir le chapitre 6. Tâches, rôles et responsabilités liés au cycle de vie
de la mise en œuvre)
Comme mentionné précédemment, l’objectif global du programme de GEIT est d’intégrer les bonnes pratiques de
GEIT dans les activités en cours, et ce, dans les différentes entités du groupe.
Des résultats particuliers seront produits dans le cadre du programme de GEIT pour permettre à Acme Corporation
d’évaluer les résultats attendus par l’intermédiaire du programme de GEIT. Ces résultats sont, entre autres, les suivants :
1. Le programme de GEIT facilitera le partage des connaissances à l’interne grâce à l’utilisation de la plateforme
intranet, et renforcera nos relations avec les fournisseurs, au profit des unités d’affaires.
2. Des rapports détaillés sur chaque interaction facilitée avec les unités d’affaires seront produits. Les rapports seront
composés des éléments suivants :
a. Les objectifs opérationnels actuels hiérarchisés, et les objectifs pour les TI qui en découlent fondés sur COBIT
b. Les risques liés aux TI déterminés par l’unité d’affaires dans un format normalisé, et les domaines convenus
auxquels l’unité d’affaires devra accorder son attention, basés sur les processus et les pratiques de COBIT et autres
facilitateurs recommandés
c. Les éléments ci-dessus peuvent être dérivés de l’outil d’évaluation du programme de GEIT
3. Des rapports de progrès généraux sur la couverture prévue des unités d’affaires d’Acme Corporation par le
programme de GEIT seront produits.
4. Le rapport consolidé du groupe sera composé des éléments suivants :
a. Les progrès des unités d’affaires travaillant sur leurs projets de mise en œuvre basée sur la surveillance de
indicateurs de performance convenus
b. Une synthèse des risques liés aux TI dans l’ensemble des entités d’Acme Corporation
c. Les exigences particulières du comité de gestion des risques
5. Des rapports financiers seront produits faisant état de la comparaison du budget du programme par rapport aux coûts
réels.
6. Le bénéfice de la surveillance et de la création de rapports sera supérieur aux objectifs et aux indicateurs de
définition de la valeur de l’entreprise.
Risques du programme (voir le chapitre 5. Faciliter le changement)

Les éléments suivants sont considérés comme des types potentiels de risque pouvant nuire à la réussite du démarrage
et de la poursuite du programme de GEIT d’Acme Corporation. Ces risques seront atténués en mettant l’accent sur la
facilitation du changement, et ils seront surveillés et traités de manière continue grâce à l’évaluation du programme et
un registre des risques. Ces types de risques sont :
1. L’engagement de la direction et l’appui au programme, tant à l’échelle du groupe que localement, à l’échelle de
l’unité d’affaires.
2. La démonstration de la valeur et des bénéfices réels engendrés dans chaque entité locale grâce à l’adoption du
programme. Les entités locales voudront adopter le processus parce qu’il engendre de la valeur, plutôt que de
l’adopter en raison de la politique en vigueur.
3. La participation active de la direction locale dans la mise en œuvre du programme.
4. Le recensement des principales parties prenantes dans chaque entité pour qu’elles participent au programme.
5. La compréhension des affaires au sein de la direction des TI.
6. Une intégration réussie comprenant toutes les initiatives de gouvernance et de conformité qui existent au sein du
groupe.
81
MISE EN ŒUVRE
7. Les structures des comités appropriés pour superviser le programme. Par exemple, les progrès de l’ensemble du
programme de GEIT pourraient devenir un élément de l’ordre du jour du comité exécutif des TI. Des équivalents
locaux devront également être produits. Cela pourrait être reproduit dans divers endroits, ainsi qu’à l’échelle de la
société de portefeuille locale, le cas échéant.
Parties prenantes (voir la section 4 du chapitre 3. Reconnaissance des rôles et des exigences
des parties prenantes)
Les acteurs suivants ont été reconnus comme des parties prenantes dans l’issue du programme de GEIT :
1. Comité de gestion des risques
2. Comité exécutif des TI
3. Équipe de gouvernance
4. Personnel responsable de la conformité
5. Direction régionale
6. Direction de l’entité locale (y compris la gestion des TI)
7. Services d’audit interne
Une liste définitive comportant le nom des différents acteurs sera dressée et publiée après consultation de la direction
du groupe.
Le programme de GEIT demande que les parties prenantes recensées fournissent les renseignements suivants :
1. Des directives quant à l’orientation générale du programme de GEIT. Ces directives comprennent les importantes
décisions sur les sujets liés à la gouvernance présentée dans un tableau RACI selon les orientations de COBIT;
l’établissement des priorités, l’accord sur le financement et l’approbation des objectifs de valeur y sont également
présentés.
2. L’acceptation des livrables, et la surveillance des bénéfices escomptés, du programme de GEIT.
Analyse coût-bénéfice
Le programme devrait préciser les avantages escomptés, et s’assurer qu’une réelle valeur est générée à partir de
l’investissement. La gestion locale devrait encourager et soutenir le programme. Une bonne GEIT devrait produire
de bons bénéfices qui seront définis comme des cibles particulières pour chaque unité d’affaires, et surveillés, puis
mesurés lors de la mise en œuvre afin d’assurer que ces bénéfices soient réalisés. Les bénéfices sont les suivants :
1. La concrétisation optimale des occasions d’affaires à l’aide des TI, tout en abaissant les risques d’affaires liés aux TI
à des niveaux acceptables, afin de s’assurer que le risque est mesuré de façon responsable en tenant compte de toutes
les initiatives d’affaires possibles.
2. Le soutien des objectifs d’affaires par des investissements clés et par un rendement optimal de ces investissements
favorisant ainsi l’alignement parfait des initiatives et des objectifs avec la stratégie d’entreprise.
3. La conformité juridique, réglementaire et contractuelle ainsi que la conformité interne et le respect des procédures.
4. Une approche cohérente pour mesurer et surveiller les progrès et l’efficacité
5. L’amélioration de la qualité de la prestation de services
6. La réduction des coûts liés aux activités des TI ou l’augmentation de la productivité des TI seront possibles en
accomplissant toujours plus de travail en moins de temps et avec moins de ressources.
Les dépenses centrales du groupe comprennent le temps nécessaire à la gestion du programme, les ressources
consultatives externes et les formations initiales. Ces dépenses centrales du groupe ont été estimées pour la phase 1. Les
coûts des ateliers d’évaluation auxquels participent la direction de chacune des unités d’affaires et les responsables de
processus seront défrayés localement et un devis sera fourni. Les initiatives particulières d’amélioration de projet pour
chaque unité d’affaires seront estimées au cours de la phase 2 et examinées au cas par cas ainsi que dans la globalité. Le
groupe pourra ainsi maximiser l’efficacité et la normalisation.
Défis et facteurs de réussite (voir le chapitre 4. Définition des facteurs de succès et des défis
concernant la mise en œuvre)
La figure 48 résume les défis qui pourraient affecter le programme de GEIT pendant la période de mise en œuvre et les
facteurs de succès essentiels qui devraient être examinés afin d’assurer la réussite.
82
ANNEXE D
Figure 48 – Défis et actions planifiées pour Acme Corporation

Défi Facteurs essentiels au succès – Actions planifiées
Incapacité à obtenir et à maintenir le soutien envers les objectifs Atténuer les risques par la formation de comités au sein du groupe (comités
d’amélioration qui doivent être approuvés
et formés).
Manque de communication entre les TI et les affaires Participation de toutes les parties prenantes concernées
Coût des améliorations plus important que les avantages perçus Mettre l’accent sur l’identification des bénéfices
Manque de confiance et de bonnes relations entre les TI et • Favoriser la communication ouverte et transparente sur la performance, en
l’entreprise faisant des liens avec la gestion de la performance de l’entreprise.
• Se concentrer sur les interfaces d’affaires et la mentalité de service.
• Publier des résultats positifs et les leçons apprises pour aider à établir et à
maintenir une crédibilité.
• Veiller à ce que le DPI dispose de la crédibilité et du leadership nécessaires
pour bâtir des relations de confiance.
• Formaliser les rôles et les responsabilités de la gouvernance dans
l’entreprise pour que la responsabilité des décideurs soit claire.
• Déterminer et communiquer la preuve de problèmes réels, du risque qui doit
être évité et des bénéfices à gagner (en matière d’affaires) concernant les
améliorations proposées.
• Se concentrer sur la planification de la facilitation du changement.
Manque de compréhension de l’environnement d’Acme de la part Appliquer une méthode d’évaluation cohérente.
des responsables du programme de GEIT
Différents niveaux de complexité (techniques, organisationnels, Traiter les entités au cas par cas. Profiter de leçons apprises et partager les
modèle de fonctionnement). connaissances.
Comprendre les cadres, les procédures et les pratiques de la GEIT. Donner de la formation et agir en mentor.
Résistance au changement Veiller à ce que la mise en œuvre du cycle de vie comporte également des
activités de
facilitation du changement.
Adoption des améliorations Favoriser l’autonomisation à l’échelle des entités.
Difficulté à intégrer la GEIT avec les modèles de gouvernance • Impliquer les fournisseurs/tierces parties dans les activités de la GEIT.
des partenaires sous-traitants. • Incorporer des conditions et le droit d’auditer dans les contrats.
Incapacité à réaliser les engagements de la mise en œuvre de la • Gérer les attentes.
GEIT. • Garder le tout simple, réaliste et pratique.
• Décomposer l’ensemble du projet en petits projets réalisables, en
accumulant l’expérience et les bénéfices.
Essayer d’en faire trop à la fois; les TI traitent des problèmes trop • Appliquer les principes de gestion de programme et de projet.
complexes et/ou difficiles. • Utiliser les jalons.
• Donner la priorité aux tâches 80/20 (80 pour cent des avantages obtenus
avec 20 pour cent d’effort) et veiller à les classer dans le bon ordre;
capitaliser sur les gains rapides.
• Consolider la confiance/l’assurance; avoir l’expérience et les compétences
nécessaires pour garder le tout simple et pratique.
• Réutiliser les éléments de base.
Les TI sont en mode défensif et/ou établissent incorrectement les • Appliquer de bonnes compétences de direction.
priorités et sont inaptes à se concentrer sur la GEIT. • Obtenir un engagement de la haute direction et évoluer à partir de là afin
que les gens puissent se concentrer sur la GEIT.
• Traiter les causes fondamentales de l’environnement opérationnel
(intervention externe, direction accordant la priorité aux TI).
• Appliquer une discipline plus stricte quant à la gestion des demandes des
affaires.
• Obtenir de l’aide externe.
Absence d’expertise et de compétences nécessaires en TI, p. Se concentrer sur la planification de la facilitation du changement :
ex. compréhension des affaires, des processus, compétences • Perfectionnement
générales • Formation
• Encadrement
• Mentorat
• Commentaires lors du processus de recrutement
• Polyvalence
Améliorations non adoptées ou non appliquées Utilisation d’une approche au cas par cas avec les principes acceptés pour
l'entité locale. La mise en œuvre doit être pratique.
Difficile de montrer ou de prouver les bénéfices Identifier les indicateurs de performance.
Perte des circonstances favorables et de l’intérêt Susciter un engagement à l’échelle du groupe, y compris la communication.
83
MISE EN ŒUVRE
84
Figure 49 – Tableau de maturité de COBIT 4.1
Sensibilisation et Politiques, plans et procédures Outils et automatisation Compétences et expertise Responsabilité Définition des objectifs et
communication opérationnelle et métriques
responsabilité finale
1 On commence à L’approche par processus et les pratiques Il peut exister certains outils; la On n’a pas identifié quelles compétences étaient Les responsabilités Les objectifs ne sont pas clairs et rien
reconnaître la nécessité sont envisagées au cas par cas. pratique se base sur les outils de nécessaires au fonctionnement du processus. opérationnelles et les n’est mesuré.
des processus. bureautique standards. responsabilités finales ne
ANNEXE E
Les processus et les politiques ne sont Il n’existe pas de plan de formation et aucune sont pas définies. Les gens
On communique de pas définis. Il n’y a pas d’approche planifiée de formation n’est officiellement organisée. s’attribuent la propriété des
temps en temps sur ces l’utilisation des outils. problèmes à résoudre de leur
questions. propre initiative en fonction
des situations.
2 On a conscience du On commence à utiliser des processus Il existe des approches communes On a identifié les compétences minimales Une personne assume ses On fixe certains objectifs; on mesure
besoin d’agir. semblables mais ils sont largement intuitifs de certains outils, mais elles requises pour les domaines stratégiques. responsabilités et en est certains flux financiers mais seule la
car basés sur l’expertise individuelle. sont basées sur des solutions habituellement tenue pour direction est au courant. On surveille
La direction développées par des individus clés. On fournit une formation en cas de besoin responsable (garante), certains secteurs isolés mais pas de
communique sur les Certains aspects des processus sont plutôt que selon un plan approuvé, et certaines même si cela n’a pas été façon organisée.
questions générales. reproductibles grâce à l’expertise Des outils ont pu être achetés chez formations informelles ont lieu « sur le tas ». formellement convenu.
individuelle, et il peut exister une forme des fournisseurs, mais ils ne sont Lorsque des problèmes
de documentation et de compréhension sans doute pas utilisés correctement, surviennent, on ne sait plus
informelle de la politique et des et sont peut-être même des produits qui est responsable et une
TABLEAU
procédures. imparfaitement adaptés. culture du blâme a tendance

à s’installer.
3 On a compris le besoin On commence à utiliser les bonnes On a défini un plan d’utilisation et On a défini et documenté les besoins en Les responsabilités On fixe certains objectifs d’efficacité et
d’agir. pratiques. de standardisation des outils pour compétences pour tous les secteurs. opérationnelles et on mesure cette efficacité, mais on ne
automatiser les processus. finales sont définies et les communique pas dessus; ces objectifs
La direction On a défini et documenté les processus, On a élaboré un plan de formation officiel, mais propriétaires de processus sont clairement reliés aux objectifs
communique de façon les politiques et les procédures pour toutes Les outils sont utilisés pour leurs la formation reste basée sur des initiatives sont identifiés. Le métiers. Des processus de mesures
plus formelle et plus les activités clés. fonctions de base, mais ne individuelles. propriétaire de processus n’a commencent à être utilisés, mais pas
rigoureuse. correspondent peut-être pas tous au vraisemblablement pas de façon systématique. On adopte
plan adopté, et ne sont peut-être pas toute autorité pour exercer les idées du tableau de bord équilibré
capables de fonctionner les uns avec ses responsabilités. informatique et on utilise parfois
les autres. l’analyse causale de manière intuitive.
4 On a pleinement Les processus sont sains et complets; on Les outils sont mis en place selon un Les besoins en compétences sont régulièrement Les responsabilités On mesure l’efficacité et l’efficience,
compris les impératifs. applique les meilleures pratiques internes. plan standardisé et certains réajustés pour tous les secteurs; on apporte des opérationnelles et finales on communique sur ces questions
fonctionnent avec d’autres outils compétences spécialisées à tous les secteurs des processus sont qu’on lie aux objectifs métiers et au
On utilise des Tous les aspects des processus sont dans le même environnement. critiques et on encourage la certification. acceptées et fonctionnent plan informatique stratégique. On

techniques abouties et documentés et reproductibles. Les d’une façon qui permet au met en oeuvre le tableau de bord
des outils standards politiques ont été approuvées et avalisées On utilise certains outils dans les On applique des techniques de formation propriétaire de processus de équilibré informatique dans certains
pour communiquer. par la direction. On a adopté des standards domaines principaux pour éprouvées conformes au plan de formation et s’acquitter pleinement de ses secteurs sauf dans certains cas
pour le développement et la gestion des automatiser la gestion des processus on encourage le partage des connaissances. On responsabilités. Il existe une connus de la direction, et on est en
processus et des procédures et on les et pour surveiller les activités et les implique tous les experts des domaines internes culture de la récompense qui train de standardiser l’analyse causale.
applique. contrôles critiques. et on évalue l’efficacité du plan de formation. motive un engagement positif L’amélioration continue commence à
dans l’action. exister.
5 On comprend tout à On applique les meilleures pratiques et On utilise des progiciels standardisés L’entreprise encourage formellement Les propriétaires de Il existe un système de mesure de
fait les impératifs et standards externes. dans l’ensemble de l’entreprise. l’amélioration continue des compétences, processus ont le pouvoir de la performance intégré qui lie la
TABLEAU DES ATTRIBUTS DE MATURITÉ DE COBIT 4.1
DES ATTRIBUTS DE MATURITÉ DE
on anticipe sur les selon des objectifs personnels et d’entreprise prendre des décisions et performance de l’informatique aux
évolutions. La documentation des processus a évolué Les outils sont pleinement intégrés clairement définis. d’agir. Le fait d’accepter des objectifs métiers par l’application
en workflow automatisé. On a standardisé entre eux pour supporter le responsabilités a été déployé générale du tableau de bord équilibré
Il existe une et intégré les processus, les politiques et processus de bout en bout. La formation et l’enseignement s’appuient sur de façon cohérente à tous les informatique. La direction prend
communication les procédures pour permettre une gestion les meilleures pratiques externes et utilisent échelons de l’entreprise. systématiquement note des exceptions
proactive sur les et des améliorations de tous les maillons On utilise des outils pour favoriser des concepts et des techniques de pointe. Le et on applique l’analyse causale.
tendances du moment, de la chaîne. l’amélioration des processus et pour partage des connaissances est une culture L’amélioration continue fait désormais
on applique des détecter automatiquement les cas d’entreprise et on déploie des systèmes à base partie de la culture d’entreprise.
techniques éprouvées d’exception au contrôle. de connaissances. On s’appuie sur l’expérience
et des outils intégrés d’experts externes et d’entreprises leaders de
pour la communication. la branche.
85
COBIT 4.1
ANNEXE E
MISE EN ŒUVRE
86

COBIT-5-Implementation Res Fra 0217 PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

COBIT-5-Implementation Res Fra 0217 PDF

Transféré par

Droits d'auteur :

Formats disponibles

Mise en œuvre

Personal Copy of: Mr. Immanuel Alexandru Giulea

COBIT® 5 Mise en œuvre

Les réviseurs experts

Le Conseil d’administration de l’ISACA

Le comité du référentiel (2009 à 2012)

Les affiliés et commanditaires de l’ISACA et de l’IT Governance Institute® (ITGI®)

Enterprise GRC Solutions Inc.

Équipe de traduction ISACA-Québec :

Avec le concours d’Alain Bonneaud, CGEIT

TABLE DES MATIÈRES

Chapitre 1. Introduction ...................................................................................................................................................9

Chapitre 2. Positionnement de la GEIT ........................................................................................................................13

Chapitre 3. Premiers pas vers la GEIT .........................................................................................................................17

Chapitre 5. Facilitation du changement ........................................................................................................................35

Chapitre 7. Utilisation des composants de COBIT 5 ...................................................................................................59

Annexe B. Exemple de matrice de prise de décisions...................................................................................................67

Annexe D. Exemple de dossier d’affaires ......................................................................................................................77

Annexe E. Tableau des attributs de maturité de COBIT 4.1 .......................................................................................85

LISTE DES FIGURES

Page laissée vide intentionnellement

Figure 1 – Gamme de produits de COBIT 5

COBIT 5 Guides professionnels

Environnement collaboratif en ligne de COBIT 5

La gamme de produits de COBIT 5 est composée des produits suivants :

Cette publication est structurée comme suit :

Personal Copy of: Mr. Immanuel Alexandru Giulea 9

Pendant de nombreuses années, l’ISACA a étudié ce domaine clé de la gouvernance

Objectifs et portée du guide

10 Personal Copy of: Mr. Immanuel Alexandru Giulea

Personal Copy of: Mr. Immanuel Alexandru Giulea 11

Page laissée vide intentionnellement

12 Personal Copy of: Mr. Immanuel Alexandru Giulea

Qu’est-ce que la GEIT?

COBIT 5 définit la gouvernance comme suit :

Pourquoi la GEIT est-elle si importante?

d’approvisionnement, et peuvent représenter la pierre angulaire de nouvelles stratégies commerciales ou de nouveaux

L’étude a également montré ceci :

Que devrait livrer la GEIT?

La GEIT se concentre sur les objectifs suivants :

L’alignement stratégique et la mesure du rendement sont également importants et s’appliquent globalement à

Exploiter COBIT 5 et intégrer les référentiels, les normes et les bonnes

Figure 2 – Principes de COBIT

Que l’initiative de la mise en œuvre soit de petite ou de grande envergure, la

Figure 4 – Tableau RACI pour la création d’un environnement approprié

Responsabilités des acteurs clés de la mise en œuvre

Établir la direction du programme. A R R C C I C C C

Application d’une approche fondée sur le cycle de vie de l’amélioration

Figure 5 – Les composants du cycle de vie

Figure 6 – Les sept phases du cycle de vie de la mise en œuvre

• Approche d’amélioration continue

Phase 1 – Quelles sont les motivations?

Phase 3 – Où voulons-nous aller?

Phase 4 – Que faut-il faire?

Phase 5 – Comment y parvenir?

Phase 6 – Y sommes-nous arrivés?

Phase 7 – Comment maintenir le rythme?

Démarrage – Identification de la nécessité d’agir : Reconnaître les points

Points de douleur typiques

Événements déclencheurs dans l’environnement interne et externe

Implication des parties prenantes

Reconnaissance des rôles et des exigences des parties prenantes

Figure 7 – Survol des parties prenantes internes de la GEIT