Cobit - Définition et Explications

gestion de la qualité  implémentation  disponibilité  communication 
Source: Wikipédia sous licence CC-BY-SA 3.0.
La liste des auteurs est disponible ici.
2

Le référentiel CobiT (Control OBjectives for Information & related Technology) est

une méthode de Maîtrise des Systèmes d’Information (IT Gouvernance) et d'audit de
systèmes d'information, éditée par l’Information System Audit & Control Association
(ISACA) en 1996. C'est un cadre de contrôle qui vise à aider le management à gérer
les risques (sécurité, fiabilité, conformité) et les investissements.

Cobit est une approche orientée processus : les tâches et activités définies sont
intégrées dans les 34 processus établis, ces derniers sont eux-mêmes regroupés en
4 domaines de processus.

Cobit est une approche multi-critères, qui permet à chaque utilisateur de ce

référentiel d'obtenir pour chaque processus les informations qui l'intéressent.

Les cinq parties de Cobit

La synthèse

présentation des concepts et principes de COBIT

Le cadre de référence

se décline en check lists méthodiques couvrant 4 domaines, 34 objectifs de contrôle

généraux (très synthétiques) et 220 objectifs de contrôle détaillés (CobiT version
4.0). Chacun de ces objectifs répond à 3 familles d’impératifs : économiques et
fiduciaires, sécuritaire et qualité.

Le guide d'audit

permet d’évaluer et de justifier les risques et les faiblesses des objectifs généraux et
détaillés et de mettre en place des actions correctives. Ce guide d’audit répond à 4
principes : l’acquisition d’une bonne compréhension, l’évaluation des contrôles, la
vérification de la conformité, la justification du risque de ne pas atteindre les objectifs
de contrôle.

Le guide de management

fournit des indicateurs clés d’objectif et de performance et des facteurs clés de

succès. C’est aussi dans ce guide que l’on trouve le modèle de maturité. Il évalue
l’atteinte d’un ou plusieurs objectifs généraux sous forme d’une échelle de 0 à 5 :


o 0 : Inexistant
o 1 : Existant mais non organisé (initialisé au cas par cas)
o 2 : Décrit (reproductible mais intuitif)
o 3 : Défini (avec documentation)
o 4 : Surveillé et mesuré
o 5 : Optimisé.

Les outils de mise en œuvre

contiennent une présentation de "success story" d’entreprises qui ont mis en place
rapidement et avec succès la méthode COBIT. Cette partie intègre deux outils
d’analyse de sensibilisation du management et de diagnostic de
contrôle informatique.

Principe

Le modèle CobiT consitue une structure de relations et de processus (cadre de

référence ou framework) visant à diriger et contrôler l'entreprise pour qu'elle atteigne
ses objectifs, par l'utilisation des technologies pour améliorer l'activité et répondre
aux besoins métiers. Il définit 34 processus regroupés en quatre étapes
successives :

"Le CobiT" consiste à décomposer tout système informatique en

1. Planification et Organisation
1. Définition du plan stratégique informatique
2. Définition de l'architecture des informations
3. Définition de la direction technologique
4. Organisation du service informatique
5. Gestion des investissements
6. Communication des objectifs de la direction
7. Gestion des ressources humaines
8. Respect des exigences légales
9. Évaluation des risques
10. Gestion des projets
11. Gestion de la qualité
2. Acquisition et Installation
1. Identification des solutions automatiques
2. Acquisition et maintenance des applications informatiques
3. Acquisition et maintenance de l'infrastructure technologique
4. Développement et maintien des procédures
 5. Installation et certification des systèmes
6. Gestion des modifications
3. Livraison et Support
1. Définition des niveaux de service
2. Gestion des services aux tiers
3. Gestion des performances et des capacités
4. Garantie de la poursuite des traitements
5. Garantie de la sécurité des systèmes
6. Identification et attribution des coûts
7. Formation des utilisateurs
8. Assistance des utilisateurs
9. Gestion de la configuration
10. Gestion des incidents
11. Gestion des données et des applications
12. Sécurité physique du système
13. Gestion de l'exploitation
4. Monitoring
1. Monitoring des processus
2. Appréciation du contrôle interne
3. Certification par un organe indépendant
4. Audit par un organe indépendant

Critères de l'information

Cette rubrique va intéresser la direction générale en indiquant ce que

l'implémentation d'un processus donné va apporter sur les informations (par exemple
sur l'information décisionnelle). Ces critères sont :

 efficacité
 efficience
 confidentialité
 intégrité
 disponibilité
 conformité
 fiabilité
 En améliorant l'information selon ces critères, l'organisation pourra atteindre plus
facilement ses objectifs, cela ouvrira des nouvelles opportunités, et améliorera la
rentabilité.

Les ressources

Cette partie concerne plus le directeur des services informatiques (DSI) ou

responsable des services informatiques (RSI), pour l'informer des ressources qui
vont être impactées par le processus. Les différentes ressources sont :

 le personnel
 les applications
 les technologies
 les installations
 les données

Les processus

Destinés à l'attention du gestionnaire de processus, ils vont définir la structure des

domaines, des processus et des tâches.