Académique Documents
Professionnel Documents
Culture Documents
du DSI
Implémenter CobiT V5
�
étude numéro 13
La boîte à outils
du DSI
Implémenter CobiT V5
étude réalisée par Jean-Pierre Delvaux
étude numéro 13
www.si-antipolis.com
www.bestresearch.fr
Toute utilisation des informations contenues dans cette étude à des fins commerciales ou de
communication est interdite sans un accord écrit de Best Practices International.
Le code de la propriété intellectuelle n’autorisant, aux termes de l’article L. 122-5, d’une part, « les copies
ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation
collective » et, d’autre part, que les analyses et les courtes citations dans un but d’exemple et d’illustration,
« toute représentation ou reproduction intégrale, ou partielle, faite sans le consentement des auteurs ou
de leurs ayants droits ou ayant cause, est illicite » (Article L. 122-4). Cette représentation ou reproduction,
par quelque moyen que se soit constituerait donc une contrefaçon sanctionnée par les articles L. 335-2 et
suivants du code de propriété intellectuelle. »
L’objectif de cette étude est d’assister les DSI dans l’utilisation de CobiT en tant qu’outil de base de la
mise en œuvre d’une gouvernance et d’une gestion opérationnelles du système d’information de leur
entreprise.
Le moment est opportun puisque, au moment de la première publication de cette étude (mars 2012) la
nouvelle version 5 de CobiT est en voie de publication et qu’elle s’inscrit résolument dans la perspective
d’être la référence mondiale sur le sujet.
Une première partie de cette étude sera consacrée à la présentation de la nouvelle version 5 en veillant
à adopter le point de vue du DSI. La seconde partie proposera quelques pistes concrètes de mise en
œuvre de la gouvernance et de la gestion du système d’information à partir de CobiT.
Cette quête est d’autant plus forte de nos jours alors que plusieurs tendances se conjuguent :
Aujourd’hui, il n’est plus nécessaire de mener de grandes recherches pour savoir que CobiT est la
réponse à ces enjeux.
Le débat utile aujourd’hui, par contre, portera sur comment faire vivre opérationnellement CobiT dans
le SI de l’entreprise. Cette étude s’inscrit résolument dans cette ligne.
C’est important d’abord parce que CobiT met ainsi l’accent sur « faire les bonnes choses » au regard
des objectifs et du contexte de l’entreprise et ne prend pas parti à propos de comment « faire bien les
choses ». La première proposition pèse plus lourd que la seconde dans l’appréciation finale du SI de
l’entreprise.
• Soit adopter une méthode ou un standard réputé du marché et spécialisé dans l’atteinte de l’objectif
spécifique en question (par exemple Itil, CMMi, TOGAF…), type de solution qui explique l’utilité des
nombreux « mappings » existant entre CobiT et ces méthodes ou standards.
• Soit continuer d’utiliser ses pratiques propres développées en interne, si, bien évidemment, elles
sont jugées aptes à atteindre correctement les objectifs fixés par CobiT. Avec ce type de solution,
l’entreprise devra elle-même établir le lien avec CobiT, de la même manière que dans les « mappings »
cités plus haut, élevant ainsi les pratiques internes au rang de contributeurs à la gouvernance du système
d’information mettant ainsi à l’ordre du jour du système d’information la remarque de Monsieur Jourdain
(Cf VII B.).
C’est important, enfin, parce que cela détermine la structure du plan d’implantation de la gouvernance du
système d’information : d’une part, un plan global traitant tous les processus ensemble et indifféremment
et portant sur les aspects liés à « faire les bonnes choses ». D’autre part, un plan spécifique à chaque
objectif à atteindre expliquant comment « faire bien les choses ».
(Source : La balance « faire les bonnes choses », « faire bien les choses »,
exposé de Jean-Pierre Delvaux à l’ANDSI, janvier 2010).
Il est de bon conseil d’utiliser CobiT, vu sa notoriété dans le monde du management de l’entreprise,
comme vecteur pour amener les directions des métiers et leurs collaborateurs à s’investir dans les rôles
qui leurs sont spécifiés par CobiT, aidant ainsi à désamorcer l’incompréhension qui pourrait exister
entre la DSI et les métiers.
Le DSI doit être le sponsor de la démarche CobiT de l’entreprise. C’est la ligne dans laquelle cette étude est
conçue. Les statistiques montrent qu’une autre approche existe, celle dans laquelle le PDG ou le directeur
financier en sont le sponsor. (Voir la statistique dans IT Governance Global Status Report—2008, ITGI).
Exprimé de manière sobre, il est préférable pour le DSI d’être dans cette première situation.
CobiT est un rappel permanent à la finalité du système d’information, à savoir être au service de
l’entreprise. Une implantation donnée de CobiT n’a de sens que par rapport à une entreprise et par
rapport au SI de celle-ci. Il n’est donc pas imaginable d’implanter CobiT « in abstracto », sans référence
à une entreprise donnée.
Ceci peut sembler être une lapalissade, mais il est utile d’y regarder de plus près dans le cadre de
l’externalisation informatique. Ainsi, si une entreprise décide d’externaliser certaines parties ou certaines
fonctions de son système d’information, elle conserve évidemment l’autorité sur l’ensemble des processus
CobiT de son système d’information.
En ce qui concerne le sous-traitant, il est évidemment judicieux de proposer ses services en conformité
avec un standard reconnu du marché propre à ce service en question, par exemple CMMI pour du
développement externalisé de logiciel. Et cette conformité du sous-traitant avec un standard n’est en
Et si le sous-traitant lui-même utilise CobiT, ce qui est judicieux également, c’est par rapport au
fonctionnement de son système d’information propre et non par rapport aux services qu’il met à
disposition de ses clients… Ce rapport de CobiT à l’externalisation s’applique évidemment aussi au
« cloud computing » que les analystes nous annoncent en progression exponentielle.
Outre les entreprises, CobiT s’adresse également au secteur public, aux ONG… Dans ce cas il est
nécessaire d’adapter plus en profondeur au contexte les objectifs métiers prévus en standard par CobiT
ainsi que leurs liens avec es processus CobiT.
De même que les processus métiers structurent le fonctionnement des métiers de l’entreprise, ce sont
les processus CobiT qui structurent le fonctionnement de la gouvernance et de la gestion du SI.
Les processus CobiT constituent donc l’entité de base de toute mise en œuvre. Il est nécessaire d’y insister
car il est souvent constaté, soit dans des démarches d’implantation, soit dans des démarches d’audit, que
CobiT est réduit à une grande collection d’objectifs de contrôle négligeant ainsi sa dimension processus
et toute la dynamique et toute la cohérence qui sont associées à ce concept.
CobiT est connu et reconnu dans toutes les régions du monde et est traduit dans de nombreuses langues.
Ceci est évidemment important en termes de crédibilité pour CobiT mais c’est en outre un facilitateur
pour les DSI d’entreprises ayant des filiales à l’étranger puisqu’ils peuvent s’appuyer sur les traductions
locales pour améliorer la compréhension commune d’un même cadre de référence et pour faciliter son
implantation dans l’ensemble du groupe.
Au-delà de la traduction en français de CobiT (assurée officiellement par l’AFAI), il est important de
constater que l’apport de la culture française à la gestion du SI se conjugue parfaitement avec CobiT
pour former un ensemble particulièrement efficace.
C’est un point de vue peu, voire pas, développé dans les approches rencontrées habituellement, sur
lequel l’accent sera mis dans cette étude. Ce sera le cas par exemple avec la nomenclature des emplois-
métiers du système d’information publiée par le CIGREF, avec le concept d’urbanisation du système
d’information, avec la méthode EBIOS de l’ANSSI (Agence nationale pour la sécurité des systèmes
d’information) qui permet d’apprécier et de traiter les risques …
Trop souvent, CobiT est connoté « grande entreprise uniquement ». Même s’il est vrai et parfaitement
compréhensible que CobiT rencontre le succès dans les grandes entreprises, il est nécessaire de souligner
que de nombreuses entreprises de tailles plus modestes également adoptent CobiT.
Un rapport récent de l’ISACA et de l’IT Governance Institute (« Global Status Report on the Governance
of Enterprise IT (Geit) - 2011 ») est éloquent à cet égard. Il montre l’engagement des entreprises de
taille moyenne (dans cette étude la frontière entre grandes entreprises et petites entreprises est fixée
à 500 collaborateurs pour l’ensemble de l’entreprise) au regard des questions de gouvernance du SI,
même si les scores y sont en retrait par rapport aux scores des grandes entreprises. Cette étude est donc
conçue pour s’adresser aussi bien aux DSI d’entreprises de taille moyenne qu’à ceux d’entreprises de
grande taille.
CobiT est technologiquement agnostique. Quelles que soient les technologies utilisées par le système
d’information, CobiT constituera le cadre de référence de leur gestion. Bien évidemment, décliner
des implantations différentes selon les technologies utilisées sera nécessaire.
Il y a des différences, sur certains points, entre CobiT décliné dans un univers Web Services, CobiT
décliné dans un univers client/serveur ou CobiT décliné dans un univers mainframe… La même remarque
s’applique pour l’univers (en expansion…) du « cloud computing », dans la mesure où il peut être
considéré comme un univers technologique.
Bien qu’issu originellement du monde de l’audit informatique, CobiT a été accaparé au fil du temps
par les DSI et c’est dans cette ligne que s’inscrit le présent livre. CobiT est maintenant (déjà depuis la
version 4 en fait) officiellement orienté par construction vers les DSI et les directions des métiers.
Cela étant, il est heureux que CobiT réunisse les deux démarches, celle des gestionnaires et celle des
auditeurs, qui sont liées comme les deux faces d’une pièce de monnaie.
CobiT définit et décrit tous les processus de gouvernance et de gestion du système d’information qui
existent normalement dans une entreprise. Cela étant, il appartient à chaque entreprise de décliner son
implantation en fonction de son contexte et de ses objectifs. C’est un objectif de ce livre que d’aider le
DSI dans cette voie.
Il n’y a pas de processus sans métrique. CobiT propose ses propres métriques intrinsèquement liées à ses
processus. Définir une mise en œuvre de CobiT, c’est donc aussi automatiquement définir les métriques
du SI et donc son Tableau de Bord Equilibré (TBE). Entreprendre une démarche visant à mettre en place
un TBE du système d’information séparée de CobiT est redondante et donc source d’incohérence.
Ces documents de l’ISACA sont en anglais, les quelques traductions en français dans le cadre de ce livre
sont de l’auteur et ne sont donc pas certifiées. L’AFAI, chapitre français de l’ISACA, prendra en charge la
traduction officielle et complète comme elle l’a fait jusqu’à présent pour les versions plus anciennes.
ValIT est un modèle qui vise essentiellement à mettre en évidence la valeur au regard des métiers générée
par les investissements dans l’informatique, à veiller à sélectionner les projets informatiques sur cette
base et à contrôler que les bénéfices attendus sont effectivement réalisés. A l’évidence, ValIT s’adresse
autant aux directeurs des métiers, parmi lesquels il a gagné crédibilité et reconnaissance, qu’aux DSI.
La logique de couverture complète par CobiT de l’ensemble des processus du SI a mené à l’intégration
de ValIT. Les principaux processus de CobiT V5 reprenant les fonctionnalités de ValIT sont les
suivants :
RiskIT est un modèle qui vise à établir la gouvernance du risque lié au système d’information, à évaluer
ce risque et à y répondre.
RiskIT, méthode plus récente que CobiT, a obtenu rapidement une bonne notoriété parmi les directions des
métiers et parmi les DSI, confirmée par des scores élevés dans les statistiques sur l’usage des méthodes.
Toujours dans la logique de couverture complète du SI, les principaux processus de CobiT V5
reprenant les fonctionnalités de RiskIT sont les suivants :
• Evaluer
• Diriger
• Surveiller
• Les processus de gestion sont répartis en quatre domaines :
• Planifier : APO
• Construire : BAI
• Opérer : DSS
• Surveiller : MEA
Le processus est l’élément central à prendre en considération dans toute mise en application ; ce n’est
pas par hasard qu’il a été placé au centre du diagramme. CobiT V5 en a identifié 36 qui sont présentés
dans le tableau ci-dessous.
La traduction des noms de domaine en français a été faite de manière telle à préserver les abréviations
les désignant en anglais.
• D’un identifiant (abréviation du nom de domaine) et d’un numéro. (Par exemple BAI04).
• D’un nom de processus : il désigne le sujet principal du processus.
• D’une courte description.
Chaque processus est constitué de quelques pratiques, de gouvernance pour les processus du domaine
EDM et de gestion pour les autres. Il y a au total 208 pratiques (15 de gouvernance et 193 de gestion),
soit en moyenne environ six pratiques par processus.
• EDM : 15
• APO : 70
• BAI : 57
• DSS : 49
• MEA :17
Même s’il est tentant de considérer la pratique (de gouvernance ou de gestion) comme élément de base
dans le fonctionnement de CobiT, il est hautement recommandable de baser le fonctionnement sur les
processus et de considérer celles-ci comme des composantes du processus. Cette tentation, qu’il est hélas
souvent possible d’observer sur le terrain, fait l’impasse sur toute la dynamique liée aux processus.
A chaque pratique sont associées un certain nombre d’activités qui sont des guides pour atteindre les
objectifs des pratiques de gestion et de gouvernance du SI de l’entreprise.
Ces activités :
Il y a généralement cinq à dix activités par pratique de gestion ou de gouvernance. Vu leur nombre
élevé, et leur granulométrie fine, leur traduction n’est pas prévue dans le cadre du présent travail. Mais
elles pourront constituer à l’évidence une aide fortement utile dans le cadre de la mise en œuvre des
pratiques correspondantes.
Des processus fonctionnent parce que les personnes en charge de les faire fonctionner émettent et
reçoivent des informations.
CobiT définit les informations que la bonne mise en œuvre de chaque pratique de gestion et de chaque
pratique de gouvernance est censée produire. En fait CobiT définit l’appellation de l’information en
question mais il n’en détaille pas le contenu.
C’est un constituant clé de la mise en œuvre opérationnelle de CobiT qui mérite un examen plus
approfondi.
Vu leur importance, chacune de ces entités informationnelles sera présentée dans le chapitre
consacré aux principaux éléments de CobiT V5.
A titre d’exemple, figure ci-dessous le détail de ce qui est spécifié par CobiT, au regard de cette question
de la circulation de l’information, pour une pratique choisie au hasard : APO12.01.
Il convient d’être conscient qu’il ne faut pas prendre au pied de la lettre cette question de la circulation
de l’information et ne s’engager dans la mise en place d’un processus que si l’information en entrée
est disponible, fiable, à jour… parce que c’est la meilleure manière de créer un système autobloquant.
Il faudra donc veiller, dans les premières étapes de fonctionnement d’un processus, à prévoir son
fonctionnement en disposant d’informations partielles en entrée.
CobiT définit pour chaque pratique de gestion et pour chaque pratique de gouvernance quelles sont
les responsabilités de l’ensemble des parties prenantes.
Ces parties prenantes sont définies de manière générique dans CobiT ; le tableau ci-dessous en précise
la liste.
Cette responsabilité des parties prenantes par rapport à chacune des pratiques de gestion et des pratiques
de gouvernance s’exprime dans CobiT sous la forme RACI (Responsable, « Accountable », Consulté,
Informé).
Dans le diagramme des entités-relations, ceci est représenté par « Rôles & Comités », d’une part, et
« Responsabilités des pratiques », d’autre part.
Comme à l’occasion de chaque nouvelle version, CobiT spécifie la correspondance entre la nouvelle
version et l’ancienne.
Dans ce cas de la nouvelle Version 5, il est important de se rappeler qu’elle est non seulement le
successeur de CobiT V4.1, mais qu’elle succède également à ValIT et à RiskIT. Le mapping de la nouvelle
V5 intègre évidemment cette situation.
8. La cascade
CobiT définit les entités suivantes reliées entre elles dans une démarche de type « cascade » :
Cette cascade permet d’assurer le lien entre les objectifs d’entreprise et les processus CobiT.
A chaque processus sont associés quelques objectifs qui leur sont spécifiques. Ces objectifs permettent
d’adapter la compréhension, et la mise en œuvre, du processus au contexte de l’entreprise.
Il ne faut pas confondre les objectifs qui sont spécifiques à un processus donné (et leurs métriques)
avec les objectifs système d’information d’entreprise (et leurs métriques) qui sont définis sur l’ensemble
du système d’information.
Depuis de nombreuses années, et jusqu’à la Version 4.1, c’est le concept de maturité qui était la base
de l’évaluation de la qualité de la mise en œuvre des processus.
La maturité était basée sur les attributs de la maturité (voir ci-dessous), le modèle de maturité générique
(voir également ci-dessous) et sur une déclinaison de celui-ci propre à chaque processus.
De plus, des enquêtes de grande envergure auprès d’entreprises utilisatrices de CobiT ont été menées
• Niveau 0 (Inexistant) : Absence totale de processus identifiables. L’entreprise n’a même pas pris
conscience qu’il s’agissait d’un problème à étudier.
• Niveau 1 (Initialisé/Cas par cas) : On constate que l’entreprise a pris conscience de l’existence
du problème et de la nécessité de l’étudier. Il n’existe toutefois aucun processus standardisé, mais
des démarches dans ce sens tendent à être entreprises individuellement ou cas par cas. L’approche
globale du management n’est pas organisée.
• Niveau 2 (Reproductible mais intuitif) : Des processus se sont développés jusqu’au stade où des
personnes différentes exécutant la même tâche utilisent des procédures similaires. Il n’y a pas de
formation organisée ni de communication des procédures standard et la responsabilité et laissée à
l’individu. On se repose beaucoup sur les connaissances individuelles, d’où un risque d’erreurs.
• Niveau 3 (Processus défini) : On a standardisé, documenté et communiqué des processus via des
séances de formation. Ces processus doivent impérativement être suivis ; toutefois, des écarts seront
probablement constatés. Concernant les procédures elles-mêmes, elles ne sont pas sophistiquées
mais formalisent des pratiques existantes.
• Niveau 5 (Optimisé) : Les processus ont atteint le niveau des bonnes pratiques, suite à une
amélioration constante et à la comparaison avec d’autres entreprises (Modèles de Maturité).
L’informatique est utilisée comme moyen intégré d’automatiser le flux des tâches, offrant des outils
qui permettent d’améliorer la qualité et l’efficacité et de rendre l’entreprise rapidement adaptable.
L’objectif du modèle d’évaluation basé sur la capabilité est de fournir une évaluation rigoureuse, objective
et répétable. Les critères du modèle d’évaluation utilisant la capabilité sont plus précis que ceux du
modèle utilisant la maturité. L’approche de la maturité impliquait d’émettre un jugement, avec des
résultats fortement dépendants de la personne faisant le jugement.
Cette transition, de la maturité à la capabilité, qui est maintenant lancée mais n’en est qu’à ses débuts,
est certainement un changement majeur pour les acteurs de la gouvernance du SI ; c’est aussi une
opportunité pour ceux-ci de lancer (ou relancer) une démarche de mise en œuvre avec des ambitions
d’efficacité revues à la hausse.
On remarquera que :
• Structurellement, les attributs de la capabilité sont propres à un niveau de capabilité alors que
les attributs de la maturité étaient déclinés à tous les niveaux de la maturité.
• Obtenir un niveau de capabilité exige que le niveau de capabilité inférieur soit complètement
atteint.
Le modèle d’évaluation basé sur la capabilité, applicable à la V5 de CobiT mais non encore détaillé par
l’ISACA, a déjà en fait été proposé pour la V4.1 (Voir: « CobiT Process Assessment Model (PAM) using
CobiT 4.1. » ISACA) qui sert de base pour la présentation qui suit.
Le niveau 1 de la capabilité est le seul à avoir une déclinaison spécifique à chaque processus CobiT.
• Les pratiques de base.
• Elles sont en fait déterminées par les Objectifs de Contrôle (V4.1).
• Elles sont spécifiques à chaque processus CobiT.
• Les livrables.
• Ce sont les livrables spécifiés par CobiT.
• En entrée et en sortie.
• Ils sont spécifiques à chaque processus CobiT.
• CobiT les identifie; le modèle de capabilité y ajoute une description de chaque livrable.
• Cela inclut la circulation des livrables
• Entre processus: V4.1.
• Entre pratiques de gestion: V5.
Pour les niveaux supérieurs (de 2 à 5), il n’y a donc pas de déclinaison spécifique à chaque
processus. Il y a par contre des pratiques et des livrables génériques.
Niveau 2
Niveau 4
PA4.1Mesure du processus
GP4.1.1 Les besoins en information du processus en support aux objectifs métiers pertinents 6.0
définis sont établis
GP4.1.2 Les objectifs de mesure du processus sont définis à partir des besoins en information 7.0
du processus
GP4.1.3 Les objectifs quantitatifs pour la performance du processus en support aux objectifs 7.0
métiers correspondants sont établis
GP4.1.4 Les mesures et les fréquences de mesure sont identifiées et définies en ligne avec 7.0
les objectifs de mesure du processus et les objectifs quantitatifs de performance du
processus
GP4.1.5 Les résultats des mesures sont collectés, analysés et rapportés de manière à surveiller 7.0
à quel point les objectifs quantitatifs pour la performance du processus sont rencontrés 9.0
GP4.1.6 Les résultats des mesures sont utilisés pour caractériser la performance du processus 9.0
PA4.2 Contrôle du processus
GP4.2.1 Des techniques d’analyse et de contrôle sont déterminées et appliquées si possible 1.0
8.0
GP4.2.2 Le contrôle des limites de variation sont établis pour une exécution normale du 8.0
processus
GP4.2.3 Les données des mesures sont analysées pour les causes spéciales de variation 9.0
GP4.2.4 Des actions correctives sont prises pour s’atteler aux causes spéciales de variation 9.0
GP4.2.5 Le contrôle des limites sont ré-établis (si nécessaire) suivant les actions de correction 8.0
Niveau 5
Le but du processus est de fournir une approche consistante intégrée et alignée avec l’approche de la
gouvernance d’entreprise. Pour s’assurer que les décisions liées à l’IT sont prises en ligne avec les stratégies
et objectifs de l’entreprise, les processus liés à l’IT sont supervisés efficacement et de façon transparente,
la conformité aux exigences juridiques et réglementaires est confirmée, et que les exigences en matière
de gouvernance pour les membres du Conseil d’administration sont remplies.
Le but du processus est de sécuriser la valeur optimale des initiatives de services et des actifs IT,
l’efficacité de coût de la livraison de solutions et de services, et une image fiable et exacte des coûts et des
bénéfices probables de manière telle que les besoins de l’entreprise soient pris en charge effectivement
et efficacement.
Le but du processus est s’assurer que les risques de l’entreprise liés à l’IT ne dépassent pas l’appétit au
risque et la tolérance au risque, l’impact du risque IT à la valeur de l’entreprise est identifié et géré et
le potentiel d’échecs de conformité est minimisé.
Le but du processus est de s’assurer que les besoins en ressources de l’entreprise sont satisfaits de
la manière la plus optimale, que les coûts de l’IT sont optimisés, et qu’il y a une augmentation de la
probabilité de réalisation des bénéfices et d’être prêt pour le changement futur.
Le but du processus est de s’assurer que les communications vers les parties prenantes sont efficaces et
en temps opportun et que la base des rapports est établie afin d’augmenter les performances, d’identifier
les domaines d’amélioration et de confirmer que les objectifs et stratégies IT sont conformes à la stratégie
de l’entreprise.
Le but du processus est de fournir une approche de gestion cohérente pour activer les exigences de
gouvernance d’entreprise à respecter, couvrant les processus de gestion, les structures organisationnelles,
les rôles et responsabilités, les activités fiables et reproductibles, et les aptitudes et compétences.
Le but du processus est de s’assurer que les plans stratégiques de l’IT sont cohérents avec les objectifs
de l’entreprise, et que les objectifs et responsabilités associés sont clairs et compris par tous, avec les
options stratégiques de l’IT identifiées, structurées et intégrées avec les plans d’affaires.
Le but du processus est de représenter les différents blocs de construction qui composent l’entreprise
et leurs relations ainsi que les principes qui guident leur conception et leur évolution au fil du temps,
ce qui permet une livraison standard, souple et efficace des objectifs opérationnels et stratégiques.
Le but du processus est d’obtenir avantage concurrentiel, innovation métier, et amélioration de l’efficacité
et de l’efficience en exploitant les développements des technologies de l’information.
Le but du processus est d’encourager le partenariat entre l’IT et les parties prenantes de l’entreprise afin
de permettre l’utilisation efficace et efficiente des ressources liées au SI et de fournir la transparence
et la responsabilisation du coût et de la valeur économique des solutions et des services. Permettre à
l’entreprise de prendre des décisions éclairées concernant l’utilisation des solutions et des services IT.
Le but du processus est d’optimiser les capacités des ressources humaines pour répondre aux objectifs
de l’entreprise.
• Nombre de décisions qui ne pouvaient pas être résolues par les structures de gestion et qui ont
été escaladées aux structures de gouvernance
• Satisfaction des dirigeants pour la capacité à décider des gestionnaires
• Nombre de définitions de service et de catalogues de service
• % de rotation du personnel
• Durée moyenne de vacance des postes
• % postes IT vacants
Le but du processus est de créer de meilleurs résultats, une confiance accrue et la confiance envers le
SI et une utilisation efficace des ressources.
• 02 Identifier les opportunités, les risques et les contraintes pour l’IT améliorer l’entreprise
• Étapes suivantes convenues et plans d’action
Le but du processus est de s’assurer que les services IT et les niveaux de service rencontrent les besoins
actuels et futurs de l’entreprise.
Le but du processus est de minimiser le risque associé aux fournisseurs non performants et d’assurer
des prix concurrentiels.
• 01 Identifier et évaluer les relations avec les fournisseurs et les contrats
• Importance du fournisseur et critères d’évaluation
• Catalogue des fournisseurs
• Éventuelles révisions des contrats des fournisseurs
Le but du processus est d’assurer la livraison régulière de solutions et de services pour satisfaire aux
exigences de qualité de l’entreprise et satisfaire les besoins des parties prenantes.
Le but du processus est d’intégrer la gestion du risque d’entreprise lié à l’IT avec la gestion de risque
globale d’entreprise et équilibrer les coûts et les avantages de la gestion des risques d’entreprises liés
à l’IT.
• Nombre d’événements de perte avec caractéristiques clés capturés dans les répertoires
• % d’audits, d’événements et des tendances capturés dans les répertoires
• Degré de visibilité et de reconnaissance dans l’environnement actuel
• % des processus d’affaires clés inclus dans le profil de risque
• Intégralité des attributs et des valeurs dans le profil de risque
• % des propositions de gestion du risque rejetées en raison de l’absence de prise en compte
d’autres risques connexes
• Nombre d’incidents majeurs non identifiés et inclus dans le portefeuille de gestion du risque.
• % des actions des plans de risque IT exécutées comme prévu
• Nombre de mesures ne réduisant pas le risque résiduel
Le but du processus est de réaliser des bénéfices pour l’entreprise et de réduire le risque de retards et
des coûts imprévus, d’érosion de la valeur en améliorant la communication et l’implication des métiers
et des utilisateurs, en assurant la valeur et la qualité des livrables des projets et en maximisant leur
contribution au portefeuille d’investissement et de services.
• 01 Maintenir une approche standard pour la gestion des projets et des programmes
• Mises à jour des approches de gestion de programme et de projet
Le but du processus est de créer des solutions optimales réalisables qui répondent aux besoins de
l’entreprise tout en minimisant risques.
• % des besoins revus en raison du mauvais alignement avec les attentes et les besoins
des entreprises
• Satisfaction des parties prenantes aux besoins
• % des besoins rencontrés par la solution proposée
• % risques non atténués
• Nombre d’incidents non identifiés comme des risques
• % des objectifs des cas d’affaires rencontrés par la solution proposée
• % des parties prenantes n’approuvant pas la solution en rapport avec le cas d’affaire
Le but du processus est d’établir des solutions en temps opportun et rentables qui soient capables de
soutenir les objectifs stratégiques et opérationnels de l’entreprise.
• Nombre de conceptions de solutions remaniées en raison de mauvais alignement avec les exigences
• Temps pris pour approuver que la conception des livrables a satisfait aux exigences
• Nombre d’exceptions à la conception de la solution notées pendant les revues d’étape
• Nombre d’erreurs relevées au cours des tests
• Temps et effort pour procéder aux tests
• Nombre de modifications suivies et approuvées qui génèrent de nouvelles erreurs
• Nombre de demandes de maintenance qui sont insatisfaites
Le but du processus est de maintenir la disponibilité du service, la gestion efficace des ressources et
l’optimisation des performances du système par le biais de la prédiction de la performance future et
des exigences de capacité.
• 01 Évaluer la capacité, la performance et la disponibilité actuelles et créer une base de référence
• Base de référence de la disponibilité, de la performance et des capacités
• Évaluations au regard des SLA
Le but de ce processus est de préparer et susciter l’engagement des parties prenantes pour les changements
de l’entreprise et réduire le risque d’échec.
Le but du processus est de mettre en œuvre en toute sécurité des solutions en ligne avec les attentes
et les résultats convenus.
• 02 Planifier la conversion des processus métiers, des systèmes et des données
• Plan de migration
Le but du processus est de fournir les connaissances nécessaires à la prise de décision éclairée et à
amélioration de la productivité.
Le but du processus est de livrer les résultats des services opérationnels comme prévu.
Le but du processus est de justifier tous les actifs IT et d’optimiser la valeur fournie par ces actifs.
Le but du processus est de fournir suffisamment de renseignements sur les éléments de l’infrastructure
lors de l’évaluation de l’impact des changements et le traitement des incidents des services.
Le but du processus est d’atteindre une productivité accrue et de minimiser les perturbations grâce à
une résolution rapide des requêtes des utilisateurs et des incidents.
• 01 Définir les schémas de classification des incidents et des requêtes de services
• Modèles et schémas de classification des incidents et des requêtes de services
• Règles d’escalade des incidents
• Critères d’inscription des problèmes
Le but du processus est d’accroître la disponibilité, améliorer les niveaux de service, réduire les coûts
et améliorer la commodité et la satisfaction de la clientèle, en réduisant le nombre de problèmes
opérationnels.
• % de problèmes qui ont été consignés dans le cadre de l’activité de gestion proactive
des problèmes
• % de solutions de contournement définies pour les problèmes ouverts
• % des incidents majeurs pour lesquels les problèmes ont été consignés
• Diminution du nombre d’incidents récurrents provoqués par des problèmes non résolus
• Nombre de problèmes pour lesquels une résolution satisfaisante adressant la cause profonde
a été trouvée
Le but du processus est de poursuivre les opérations critiques de l’entreprise et de maintenir la disponibilité
de l’information à un niveau acceptable pour l’entreprise dans le cas d’une perturbation importante.
Le but du processus est de minimiser l’impact sur les affaires des vulnérabilités et des incidents relatifs
de sécurité de l’information.
Le but du processus est de maintenir l’intégrité et la sécurité des actifs informationnels utilisés dans
les processus métiers dans l’entreprise ou externalisés.
Le but du processus est d’obtenir la transparence pour les parties prenantes clés sur l’adéquation du
système de contrôle interne et ainsi donner confiance dans les opérations, la confiance dans la réalisation
des objectifs de l’entreprise et une compréhension adéquate des risques résiduels.
• % des processus assurés comme étant conformes aux objectifs de contrôle interne
• % des processus avec des sorties assurées rencontrant les cibles dans les tolérances
• Nombre de faiblesses identifiées par des rapports externes de qualification et de certification
• % d’initiatives d’assurance suivant les normes de programme d’assurance et le plan approuvés
• % des processus recevant une revue indépendante
Le but du processus est de s’assurer que l’organisation est conforme à toutes les exigences externes.
• Nombre d’exceptions de conformité n’ayant pas été identifiées sur base des exigences
• Nombre de questions de non-conformité critiques identifiées par an
• % de propriétaires de processus signant pour confirmer la conformité
A. La cascade
Un apport essentiel de CobiT est d’assurer le lien entre l’entreprise et son SI. Il y a évidemment le lien
créé par le partage des responsabilités entre métiers et DSI dans le fonctionnement des processus et
des pratiques de gouvernance et de gestion définis dans CobiT ; cette manière d’établir ce lien est traité
par ailleurs.
Il est nécessaire de mettre ici en évidence une autre manière d’établir ce lien entre métiers et SI, de manière
plus structurelle, basée sur la proximité entre les processus CobiT et les objectifs d’entreprise.
Ce lien structurel est construit sur base de quelques objectifs d’entreprise génériques. CobiT en
propose, à titre exemplatif, 17, qui sont repris ci-dessous.
4. Valeur pour les parties prenantes des investissements d’affaire 1, 3, 5, 7, 11, 13
Les liens de chaque objectif d’entreprise générique avec les objectifs système d’information d’entreprise
sont repris dans le tableau ci-dessus. Seuls les liens considérés comme forts sont mentionnés ici; les
liens considérés comme moins intenses définis dans CobiT ne sont pas repris dans cette étude, afin
d’alléger le texte.
A nouveau, il appartient à chaque entreprise d’adapter ces liens à son contexte propre. Cette adaptation
des objectifs d’entreprises et de leurs liens avec les objectifs système d’information s’impose plus encore s’il
ne s’agit pas d’une entreprise mais d’une ONG, d’une administration publique, d’une collectivité locale…
Ce lien structurel depuis les Objectifs (métiers) d’Entreprise vers les Objectifs système d’information
d’entreprise constitue la première étape de la démarche en cascade.
CobiT établit ensuite un lien entre les Objectifs système d’information d’entreprise et les processus
CobiT. Seuls les liens considérés comme forts sont mentionnés ici ; les liens considérés comme moins
intenses ne sont pas repris dans cette étude, afin d’alléger le texte.
Ce lien aussi est officiellement exemplatif dans CobiT, mais il est évident qu’il est moins sensible aux
spécificités des contextes des entreprises ; le décliner dans l’entreprise ne devrait donc être envisagé
que sur base de motivations fortes.
Ce lien constitue la deuxième étape de la démarche en cascade qui permet donc en finale de lier Objectifs
métiers d’entreprise et processus CobiT.
Cette démarche en cascade constitue à l’évidence une opportunité d’impliquer les directions des métiers
en leur demandant quelles sont leurs priorités parmi les objectifs d’entreprises et en leur montrant les
impacts de leurs décisions sur les processus CobiT.
Il est de bon conseil au DSI de lui suggérer de construire un « système expert » (en fait un simple tableur
Excel) qui automatise le fonctionnement de la cascade en question et qui peut constituer l’outil de base
pour aider les directions des métiers dans les orientations qu’elles souhaitent donner.
Pour ces métriques aussi, CobiT les annonce comme étant exemplatives, mais leur définition est peu
sensible aux spécificités des contextes des entreprises. Lancer une démarche pour en décliner d’autres
ne devrait donc être envisagé que sur base de motivations fortes.
Par contre, les sélectionner toutes les 58 pour constituer le reporting du DSI vers sa DG est disproportionné ;
il sera bien d’établir, avec les directions des métiers, une sélection adaptée aux besoins de l’entreprise.
Et cette sélection sera bien évidemment basée sur les orientations issues du « système expert ».
Ces métriques constituent les éléments de base pour la constitution du TBE (Tableau de Bord
Equilibré de la DSI).
Tels que présentés dans CobiT, chacun des 36 processus s’applique de manière uniforme à l’ensemble du
périmètre de l’entreprise. De manière uniforme signifie que tous les éléments caractérisant le processus
sont communs à l’ensemble de l’entreprise.
Il est donc nécessaire de recourir à l’instanciation des processus afin de supporter des mises en œuvre
différentiées lorsque cela est souhaitable.
Il est également nécessaire de mettre en évidence la différence entre les éléments liés à la définition des
processus et les éléments résultants de leur fonctionnement opérationnel.
Avoir des processus instanciés est directement utile par rapport à l’objectif de mise en œuvre effective
sur le terrain poursuivi dans le cadre de cette étude. Un processus instancié est en effet un processus
qui présente toutes les caractéristiques d’un processus exécutable.
Remarques :
A contrario, la figure Instanciation 2 représente (toujours en ce qui concerne les pratiques de gestion)
les instanciations multiples du même processus APO07.
Enfin, la figure Instanciation 3 représente (toujours en ce qui concerne les pratiques de gestion) une
situation du processus APO07 qu’il est fortement recommandable d’éviter. Il y a une seule instanciation
du processus , mais certaines pratiques de gestion du processus sont différentiées.
A contrario, adopter des instanciations multiples d’un processus CobiT donné signifie donc accepter,
et promouvoir,– une différenciation de fonctionnement selon les parties concernées du périmètre de
l’entreprise visées par chacune des instanciations.
Instancier ou pas est donc une décision fortement structurante de la gouvernance du SI; le plan
d’instanciation des processus sera à l’évidence un élément essentiel du plan d’implantation de CobiT.
Etablir la liste exhaustive des circonstances dans lesquelles il sera opportun d’instancier certains
processus est évidemment impossible.
• Les Pays
~ Législations différentes
• Ressources humaines
• Informatique & Liberté
• Droit commercial
• …
~ Langues différentes
• Le contrôle interne
~ Centralisé
~ Par branches
• L’organisation de la DSI
Les instanciations devront refléter les grandes caractéristiques de l’organisation du SI de l’entreprise ;
elles-mêmes en phase avec les principes de la gouvernance d’entreprise.
Dans l’exemple de plan d’instanciation ci-dessous, une typologie simpliste d’organisation des DSI a
été envisagée :
• Centralisée : DSI classique
• Fédérée : DSI Groupe pour la coordination uniquement et DSI des branches
• Décentralisée : DSI des branches
~ La liaison avec l’instanciation des processus CobiT est immédiate : de l’importance d’instancier
certains processus CobiT sur le périmètre de chacune de ces zones et qui marquent les raisons pour
lesquelles ces zones existent d’une part et d’autre part de ne pas instancier les autres processus CobiT qui
marquent l’appartenance de toutes ces zones à une gouvernance globale du système d’information
• A mentionner, la situation particulière qui se présentera en cas de fusion / acquisition. Les deux
entreprises en phase de fusion présenteront des tableaux d’instanciation des processus fort proba-
blement différents. Une des premières actions à envisager dans le cadre de la création du SI cible de
l’entreprise fusionnée sera de définir le plan d’instanciation des processus du SI cible, de constater les
écarts par rapports aux plans correspondants des entreprises fusionnantes et d’en déduire les actions
à entreprendre.
Ce qui suit n’est donc pas la définition d’une politique d’urbanisation mais un exemple de sélection
des éléments de COBIT utiles pour définir une urbanisation.
Cet exemple (probablement classifiable du côté d’une subsidiarité faible), n’étant qu’un cadre de
solution parmi tant d’autres possibles.
L’exercice proposé ici a aussi le mérite d’être déroulé dans le sens logique : de la gouvernance à
l’urbanisation…
Processus
Pratiques / Métriques CobiT Comment spécifier une politique d’Urbanisation du SI ?
CobiT
EDM01 Établir et de maintenir le cadre de gouvernance
01 Évaluer la conception de la • Inclure la politique d’urbanisation dans les principes de gouvernance
gouvernance IT d’entreprise • L’exprimer dans les livrables définis par COBIT
Sorties :
• Principes guidant la gouvernance
d’entreprise
• Modèle décisionnel
• Niveaux d’autorité
02 Diriger le système de • Une politique d’urbanisation du SI impacte fortement la gouvernance
gouvernance du SI, il est capital que le management exécutif de l’entreprise en soit
informé et la partage
• Prendre en compte les principes liés à l’urbanisation dans
l’établissement des
~ Zones fonctionnelles : Quelles zones ? Avec quel périmètre ?
~ Processus : Quelles instanciations de processus?
• Ces instanciations de certains processus étant bien
évidemment cadrées avec les périmètres des zones
fonctionnelles en question.
~ Structures de gouvernance : Avec quels RACI ?
~ Lister les pratiques de gestion et / ou de gouvernance impactées
• Avec des RACI exprimant fidèlement les principes de l’urbanisation :
~ Autonomie locale pour les zones fonctionnelles
~ Décision centralisée pour l’intégration de l’ensemble
Sortie :
Définition des rôles et responsabilités
liés à l’IT
03 Maintenir les facilitateurs du Encourager la coopération et le travail d’équipe de l’ensemble des acteurs
système de gestion de la politique d’Urbanisation
04 Communiquer les objectifs de Communiquer sur la mise en œuvre de l’Urbanisation à destination de
gestion et la direction l’ensemble des acteurs des processus
Sortie :
Communications sur les objectifs IT
05 Optimiser le positionnement de Positionner correctement dans l’organigramme la cellule en charge de
la fonction IT l’urbanisation
06 Définir la propriété des • Intégrer les principes de l’Urbanisation dans la définition de la propriété
informations (données) et du système des données et des systèmes
• Définir les éléments du langage commun utilisé pour la communication
Sorties : entre les zones fonctionnelles
• Directives pour la classification • Sélectionner les standards de communication sectoriels
des données
• Directives pour la sécurité et Faire apparaître la politique d’Urbanisation dans les livrables
le contrôle des données
• Procédures sur l’intégrité
des données
08 Assurer la conformité avec les Mettre en place des procédures qui prennent en compte la mise en œuvre
règles et les procédures d’une politique d’urbanisation
Métriques : % des règles, normes et autres facilitateurs actifs, relatifs à la mise en
% des règles, normes et autres œuvre de la politique d’Urbanisation, documentés et mis à jour
facilitateurs actifs, documentés et mis
à jour
Sorties : Veiller à organiser une procédure d’escalade des difficultés des zones
• Décisions clés convenues fonctionnelles
• Plaintes et statuts d’escalade
Métrique : Une politique d’urbanisation doit déboucher sur un meilleur alignement.
- % d’alignement des programmes Il est de bon conseil de mettre cet indicateur en place avant la mise en
avec les besoins de l’entreprise œuvre et de suivre son évolution afin de montrer le bien-fondé de la
politique d’urbanisation
APO09 Gérer les Accords de service Pas d’impact lié à la politique d’urbanisation
APO10 Gérer les fournisseurs Pas d’impact lié à la politique d’urbanisation
APO11 Gérer la qualité Pas d’impact lié à la politique d’urbanisation
APO12 Gérer les risques Pas d’impact lié à la politique d’urbanisation
BAI01 Gérer les programmes et les projets Pas d’impact lié à la politique d’urbanisation
BAI02 Définir les exigences
Ce processus devrait être instancié :
• Une instanciation unique traitant de l’approche globale du SI
• Une instanciation différente pour chaque zone fonctionnelle.
Sorties : Les sorties seront donc spécifiques à chaque zone fonctionnelle mais
• Référentiel de définition respecteront une même procédure
des exigences
• Confirmation d’acceptation des
exigences des parties prenantes
• Enregistrement des demandes
de changement des besoins
02 Effectuer une étude de faisabilité et Idem
formuler des solutions alternatives
Les rôles et les comités ainsi que les responsabilités des pratiques ont été présentés plus haut, dans la
partie CobiT.
Mais la question essentielle au regard de la mise en œuvre est : qui va exercer quelle responsabilité ?
C’est-à-dire passer des « rôles » aux « acteurs ».
CobiT a prévu des rôles et des structures standards. (Voir chapitre II, point D.). Comme souvent
mentionné pour nombre d’éléments de CobiT, ce sont simplement des suggestions ; et c’est justement
sur ce sujet des rôles et structures qu’il faut le plus s’interroger sur leur adéquation à l’Entreprise.
Il va donc falloir définir les rôles et structures spécifiques à l’entreprise qui vont être impliqués dans
la gouvernance et la gestion du système d’information :
Cet exercice sera conduit de deux manières différentes, selon qu’il s’agit de rôles et structures métiers ou
internes à la DSI. Dans le premier cas, l’implication de l’ensemble des directions métiers sera nécessaire
alors que dans le second, le DSI seul peut décider.
2. Comment exprimer le rapport de chaque rôle et / ou structure aux pratiques de CobiT ?
CobiT a prévu d’exprimer ce rapport sous la forme du RACI (Voir chapitre II, point D.) et propose pour
chaque pratique de gouvernance et /ou de gestion une responsabilité pour chacun des rôles et comités
décrits dans CobiT (c’est au final une matrice de 208 sur 26 !).
Sur ce sujet aussi, il est de bon conseil d’adapter au mieux en fonction des spécificités de l’entreprise.
Chacun connaît les difficultés de la traduction du RACI (en particulier pour le A) ; cette étude
s’aligne sur la traduction ci-dessous plus communément admise en France :
• R: Réalisateur
• A: Autorité
• C: Consulté
• I: Informé
• Il faut un A
• Il ne faut qu’un seul A
• Il faut au moins un R
• éviter de multiplier inutilement des A différents pour les pratiques d’un même processus.
Autrement dit, lorsque c’est possible, aligner toutes les pratiques d’un même processus sur
le même A. Ce conseil est basé sur la cohérence à promouvoir au niveau du processus
• Pour une pratique donnée, le rang hiérarchique du A ne peut pas être inférieur à celui du (ou des) R
• Veiller à respecter les principes de la séparation des tâches. (« Segregation of duties »)
• S’il y a plusieurs R pour une pratique, il est préférable qu’ils aient des niveaux
hiérarchiques comparables
• éviter de multiplier les R pour une même pratique. La lecture des tableaux RACI proposés par
CobiT montre une profusion de R : parfois jusqu’à … 12 R pour une pratique ! Evidemment
lorsqu’il sera décidé, dans un esprit d’efficacité opérationnelle, de s’écarter des R prévus par
CobiT ils devront obligatoirement être impliqués dans la pratique, ce qui se fera par le biais d’un C.
D’autres manières que RACI peuvent être utilisées pour exprimer ce rapport aux pratiques. Certaines
entreprises sont probablement habituées à la notation proposée par le Cigref dans le cadre de son
travail sur « les parties prenantes du système d’information » ; dans ce cas pourquoi pas l’adopter
dans le cadre CobiT ? :
Le même système sera utilisé pour le rapport des comités aux pratiques que celui utilisés pour les
Rôles.
3. Rapprocher les rôles CobiT des définitions de fonction des acteurs du système
d’information de l’entreprise
Ce rapprochement finalise la démarche puisqu’il met les acteurs (donc des personnes humaines) dans
des rôles.
Rapprocher ces deux concepts est un pas important de la mise en œuvre de CobiT, pour les raisons
suivantes :
C’est évidemment un document de référence largement utilisé par les responsables des SI (et des RH).
A ce titre, il constitue un élément important pouvant contribuer à la mise en œuvre de CobiT.
Quel est l’intérêt de rapprocher CobiT de la nomenclature des emplois-métiers du Cigref ? Il est
multiple :
• Pour montrer que les rôles tels qu’ils sont couramment définis dans les DSI en France, de manière
souvent conforme à la nomenclature du Cigref, sont tout à fait compatibles avec une approche CobiT
• Pour montrer que des styles de gestion typiquement français, bien pris en compte par la nomenclature
du Cigref, sont également tout à fait compatibles avec CobiT. C’est notamment le cas pour ce qui
concerne l’urbanisation du SI et pour les concepts de MOA / MOE.
• Parce que la nomenclature a une notoriété très forte ; capitaliser sur cette notoriété peut être un
levier pour atteindre une meilleure diffusion de CobiT. Par exemple par le biais des descriptions de
fonctions
• Pour aider les parties prenantes du SI à prendre en charge correctement leurs responsabilités de
gouvernance définies dans CobiT en les rapprochant des emplois-métiers et des activités prévues par
la nomenclature, ceux-ci étant généralement mieux connus et maîtrisés que celles-là
• Les comités
~ Par définition il ne s’agit pas d’emplois-métiers ; ils n’ont pas leur place dans
la nomenclature des emplois-métiers
~ Dans CobiT, les comités suivants sont définis :
• Conseil d’administration
• Comité Exécutif de la Stratégie
• Comité directeur (Programmes / Projets)
• Comité d’architecture
• Comité des risques d’entreprise
• Les emplois-métiers de l’Entreprise en dehors de ceux de son SI
~ étant hors SI, ils n’ont pas leur place dans la nomenclature du SI
~ Dans CobiT, les parties prenantes externes suivantes sont définies :
• PDG
• Directeur des finances
• Directeur des opérations
• Directeurs des métiers
• Propriétaires des processus métiers
• Directeur des Risques
• Directeur de la sécurité de l’information
• Directeur des ressources humaines
• Conformité
• Audit
A contrario, la nomenclature définit certains-emplois métiers qui, en première analyse, ne semblent pas
jouer de rôle dans la gouvernance et / ou la gestion du système d’information.
Il est cependant utile d’effectuer pour eux aussi ce rapprochement avec CobiT, de manière à aider les
titulaires de ces emplois-métiers à se situer dans le contexte global du fonctionnement du SI et donc à
les aider à s’y intégrer harmonieusement.
Il est important de rappeler que ce rapprochement entre CobiT et la nomenclature des emplois-
métiers est exemplatif et qu’il doit être adapté à son environnement spécifique par chaque entreprise
potentiellement intéressée de parcourir cette démarche.
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 101
1. Le rapprochement par l’appellation des emplois-métiers
Ce rapprochement rapide essaye de mettre en rapport les rôles définis par CobiT et les emplois-métiers
du CIGREF sur base de leur intitulé.
A gauche, sont indiqués les rôles et les structures identifiés dans CobiT ; à droite est indiquée la
nomenclature des métiers des systèmes d’information du CIGREF.
Par exemple :
Ce rapprochement est proposé dans le tableau ci-dessous. La colonne de gauche reprend les emplois-
métiers définis dans la nomenclature.
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 103
La colonne centrale mentionne les activités prévues dans cette nomenclature pour l’emploi-métier
correspondant.
Seuls les identifiants des pratiques CobiT sont mentionnés, les libellés ne sont pas repris toujours afin
d’alléger le texte.
Avant d’être rendu opérationnel dans une entreprise, ce rapprochement doit prendre en compte plusieurs
éléments non inclus ici :
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 105
Nomenclature des Emplois-métiers du CIGREF CobiT
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 107
Nomenclature des Emplois-métiers du CIGREF CobiT
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 109
Nomenclature des Emplois-métiers du CIGREF CobiT
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 111
Nomenclature des Emplois-métiers du CIGREF CobiT
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 113
Nomenclature des Emplois-métiers du CIGREF CobiT
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 115
Nomenclature des Emplois-métiers du CIGREF CobiT
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 117
Nomenclature des Emplois-métiers du CIGREF CobiT
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 119
Nomenclature des Emplois-métiers du CIGREF CobiT
Le référentiel de l’e-CF (European e-competence framework) vise à définir les compétences appropriées
pour mettre en œuvre efficacement les technologies de l’information, il a été intégré récemment dans
la nomenclature CIGREF.
Son rapprochement, présenté dans le tableau ci-dessous, avec les processus et pratiques de CobiT peut
être utile dans une perspective d’une bonne gestion de l’adéquation homme / processus.
A remarquer également la définition du niveau de compétence (de 0 à 5) requis pour chaque métier de
la nomenclature. Ce niveau peut être utilisé utilement pour déterminer les responsabilités par rapport
aux processus suivant la typologie RACI.
La cohérence avec le tableau rapprochant CobiT et la nomenclature est globalement bonne (au moins
aux niveaux 4 et 5 qui sont ceux qui correspondent le plus à la gouvernance et à la gestion du système
d’information).
Il faut d’ailleurs remarquer que le rapprochement est plus difficile à faire avec les processus CobiT
pour des compétences exigeant des niveaux moins élevés (niveaux 3 et inférieurs), pour lesquels il est
nécessaire de rapprocher avec les pratiques.
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 121
Compétences e-CF CobiT
C Utiliser
C1 Support utilisateur DSS04 Gérer les requêtes de service et les incidents
C2 Support des changements DSS04 Gérer les requêtes de service et les incidents
C3 Livraison des services DSS01 Gérer les opérations
C4 Gestion des problèmes DSS05 Gérer les problèmes
D Faciliter
D1 Développement de la stratégie pour la sécurité de APO12 • Gérer les risques
l’information 01 • Gérer les risques
APO12 • Gérer la sécurité de l’information
06
DSS07
D2 Développement de la stratégie pour la qualité APO11 Gérer la qualité
informatique
D3 Prestation de services de formation APO07 Gérer les ressources humaines
03
D4 Achats APO10 Gérer les fournisseurs
D5 Développement des propositions Hors CobiT
D6 Gestion des canaux de vente Hors CobiT
D7 Gestion des ventes Hors CobiT
D8 Gestion des contrats APO10 Gérer les fournisseurs
D9 Développement du personnel APO07 Gérer les ressources humaines
01
02
03
05
D10 Gestion de l’information et de la connaissance BAI08 Gérer la connaissance
E Gérer
E1 Développement prévisionnel Hors CobiT
E2 Gestion de projets et du portefeuille de projets BAI01 Gérer les programmes et les projets
E3 Gestion des risques APO12 Gérer les risques
E4 Gestion des relations client-fournisseur APO08 • Gérer les relations
APO10 • Gérer les fournisseurs
E5 Amélioration des processus MEA01 Surveiller et évaluer la performance et conformité
E6 Management de la qualité informatique APO11 Gérer la qualité
E7 Gestion des changements métier BAI05 • Faciliter le changement organisationnel
BAI06 • Gérer les changements
E8 Gestion de la sécurité de l’information DSS07 Gérer la sécurité de l’information
BAI04 Gérer la disponibilité et la capacité
E9 Gouvernance informatique MEA01 • Surveiller et évaluer la Performance et conformité
MEA02 • Surveiller le système de contrôle interne
MEA03 • Surveiller et évaluer la conformité avec les exigences
APO06 externes
• Gérer les budgets et les coûts
C’est ici évidemment que la multiplicité des solutions possibles va se révéler. Chaque entreprise ayant
sa solution, propre à son contexte et à ses objectifs.
• Celles qui correspondent à des manières de faire qui sont propres à l’entreprise, manières qui ont
été développées en interne et qui ne font pas spécifiquement référence à une norme ou à un standard
• Celles qui correspondent à des implantations dans l’entreprise de standards connus du marché
(ITIL par exemple)
Cette deuxième famille peut elle-même être subdivisée en deux : les méthodes cadrées officiellement
dans CobiT d’une part et celles qui ne le sont pas (pas officiellement du moins).
« Le principe majeur de la cartographie est la représentation de données sur un support réduit représentant
un espace généralement tenu pour réel. L’objectif de la carte, c’est une représentation concise et efficace,
la simplification de phénomènes complexes (politiques, économiques, sociaux, etc.) à l’œuvre sur l’espace
représenté afin de permettre au public une compréhension rapide et pertinente», selon l’encyclopédie
en ligne Wikipédia.
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 123
Ce retour aux sources pour permettre un meilleur cadrage d’une démarche de cartographie de la
gouvernance du SI ; cela n’est pas inutile, il est fréquent de constater des dévoiements inefficaces et
coûteux en la matière.
• C’est une représentation du réel : ce n’est donc pas le réel ! Il est trop fréquent de constater qu’il y
a confusion entre la cartographie de la gouvernance du SI et la gouvernance du système d’information.
En d’autres termes, que la cartographie est utilisée comme étant la gouvernance elle-même ce qui amène
à deux problèmes : le réel c’est-à-dire la gouvernance n’existe pas d’une part et la cartographie d’autre
part s’enfonce dans un détail inutile dans ce contexte.
• Le réel, forcément complexe, est simplifié : l’exigence de la gouvernance de précision dans la mise
au point des détails n’en est pas une de sa cartographie.
• La représentation doit être la plus concise et efficace possible : il faut veiller à ce que le volume
informationnel de la cartographie reste réduit ; la baser par exemple sur des affirmations Oui / Non
plutôt que sur des opinions… Par contre, la cartographie doit être efficace et donc faire ressortir les
éléments essentiels.
• Elle s’adresse à des personnes en vue d’une compréhension rapide et pertinente : c’est en effet par
rapport à un public cible que la cartographie trouve son utilité. Son public cible est le suivant : toute
personne ayant besoin d’une vue générale et rapide de la gouvernance du SI. Mais, pour une pratique de
gestion et / ou de gouvernance donnée, la cartographie n’est pas l’outil dans les mains des responsables
de la pratique en question (voir les RACI) ; ceux-ci ont besoin d’une documentation bien plus détaillée
(et ils ont d’ailleurs souvent la charge de la produire).
D’autre part, il faut que la qualité de la cartographie soit égale sur l’ensemble des processus, et des
pratiques de gestion et / ou de gouvernance, quelles que soient les niveaux de maturité (et de capabilité)
de ceux-ci.
Attention toutefois, la tentation est souvent grande de décrire dans le détail des pratiques de gestion
qui correspondent à des niveaux de maturité élevés et de négliger la cartographie ce ceux qui ont des
maturités faibles. Il faudra donc favoriser la globalité de la cartographie plutôt qu’un niveau de détail
trop marqué.
Quelques éléments de la représentation cartographique sont proposés dans le tableau ci-dessous. Chacun
de ces éléments de représentation doit faire l’objet d’une qualification au regard d’une grille très simple
et très factuelle établie à l’avance.
Cette qualification doit être basée au maximum sur des questions objectives amenant des réponses
factuelles afin d’éviter d’entrer dans des démarches d’évaluations plus subjectives et plus longues qui
exposeraient la cartographie aux dérives énoncées plus haut.
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 127
B. M. Jourdain et l’existant
Dessin : « Par ma foi, il y a plus de quarante ans que je dis de la prose, sans que j’en susse rien ; et je vous suis
le plus obligé du monde, de m’avoir appris cela. »
(Le Bourgeois Gentilhomme, Molière)
Les DSI gouvernent les systèmes d’information dont ils ont la charge depuis toujours … et même depuis
avant que CobiT existe.
Les pratiques internes qu’ils ont utilisées à cet effet ont été mises au point dans l’entreprise, au fil des
années, en prenant en compte au maximum le contexte et les objectifs de celle-ci.
Elles sont, au même titre que d’autres pratiques, externes celles-là et correspondant à des standards,
évidemment candidates pour constituer le « Comment » de chacun des processus CobiT et de leurs
pratiques de gestion et / ou de gouvernance.
Il est important de bien se rendre compte qu’implanter CobiT ne signifie pas automatiquement faire
table rase de ces pratiques internes et de leur remplacement par des pratiques externes.
Ces mappings sont en général établis avec un niveau de granularité correspondant à la pratique de
gestion et / ou de gouvernance.
Ils sont établis de manière théorique, hors de tout contexte de mise en œuvre réelle dans une entreprise.
Cependant, ils peuvent être utiles dans le cadre plus opérationnel choisi pour le présent livre en servant
de guide aux DSI dans leur démarche de mise en œuvre opérationnelle de la gouvernance de leur
système d’information.
Outre les mappings établis par l’ISACA et quelques mappings originaux proposés ici avec des standards
plus répandus en France, il est nécessaire de préciser que des références privées du marché ont également
ressenti l’utilité d’établir ces mappings, par exemple le mapping CobiT / MOF (Microsoft Operations
Framework) établi par Microsoft.
Chaque entreprise devrait établir son propre choix des standards du marché qu’elle compte utiliser
pour ses processus et le représenter de manière très synthétique comme le dessin ci-dessous en
montre un exemple :
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 129
CobiT, cadre des standards du SI
BAI DSS
(Bâtir, acquérir et implémenter) (Délivrer, servir et supporter)
EDM
(évaluer, diriger Standards,
Gérer Accepter et mettre en bonnes
et surveiller) Gérer les opérations
la connaissance œuvre les changements pratiques...
EFQM
Assurer la Facilliter le changement Gérer les contrôles
Gérer les changements
transparence organisationnelle Itil des processus métiers
pour les parties
prenantes 6 Sigma
Gérer la disponibilité Identifier et construire Gérer la sécurité
et la capacité les solutions CMMi de l'information
ISO 9001
Définir Gérer les programmes Gérer la continuité
Assurer la les exigences et les projets Prince 2 des affaires
l'optimisation
des ressources eSCM-CL
ISO 17799 Gérer les problèmes
((27002)
APO
(Aligner, planifier et organiser) Gérer les requêtes de
Nomenclature
Assurer la service et incidents
emploi métier
l'optimisation Définir le cadre Gérer CIGREF
Définir
du risque de gestion l'architecture Gérer
la stratégie TOGAF
de l'IT d'entreprise les configurations
Benchmark
Gérer coûts Gérer les actifs
Gérer Gérer
Assurer la les budgets CIGREF
l'innovation le portefeuille
l'optimisation et les coûts
de la valeur
Gérer Gérer MEA
Gérer
les ressources les accords (Monitorer, évaluer et apprécier)
les relations
humaines de service
Surveiller et
établir et Surveiller et Surveiller
apprécier la
maintenir le Gérer évaluer la le système
Gérer Gérer conformité avec
carde de les performance et de contrôle
la qualité les risques les exigences
gouvernance fournisseurs la conformité interne
externes
Ils ne doivent pas être considérés comme des sous-produits de seconde zone, CobiT veillant dans sa
conception même à favoriser ces correspondances. Ceci a encore été le cas dans le design de la nouvelle
version 5.
A l’évidence, vu le niveau de détail et donc le nombre de pages, ce genre de livre ne doit pas être lu
séquentiellement mais constitue une référence qui devrait être constamment à portée de main des
acteurs de la gouvernance du SI.
Dans cette même idée, le lecteur trouvera ci-dessous des ébauches de mappings de CobiT avec :
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 131
• Le SI de la DSI du Cigref
Ce sont à l’évidence des ébauches qui méritent toutes d’être revisitées en fonction des contextes des
différentes entreprises.
1. CobiT & le « Modèle d’analyse et de benchmarking des coûts informatiques du Cigref »
Ce modèle, dans sa version 2009 publiée par le CIGREF et utilisée ici, est en fait l’actualisation d’un
modèle plus ancien publié conjointement par l’AFAI et le CIGREF en 2006.
En fait, ce modèle est une instanciation de la méthode ABC (Activity Based Costing) appliquée au
fonctionnement d’une DSI.
Bien évidemment, le modèle d’activités avec ses 39 activités standards, les modalités d’affectation des
rubriques budgétaires sur les activités et enfin l’inducteur de chaque activité constituent le cœur du
modèle.
La très large utilisation du modèle parmi les DSI en fait un candidat de choix pour mettre en œuvre
certaines pratiques de gestion de CobiT.
La proximité forte entre le « Modèle d’analyse et de benchmarking des coûts informatiques » du Cigref
et le processus APO06 « Gérer les budgets et les coûts » de CobiT sera mise à profit utilement. Ce
processus CobiT ayant d’ailleurs pour objectif notamment qu’« un modèle d’allocation des coûts aux
services soit utilisé et maintenu ».
A noter également l’indicateur correspondant à cet objectif dans CobiT : « % global des coûts IT avec une
allocation conforme aux modèles de coût acceptés ». Le modèle d’analyse et de benchmarking précise
d’ailleurs opportunément que ce pourcentage doit être égal à 100 pour que la démarche ait du sens.
3ème étape : Les six rubriques sont : APO06.03 Etablir et maintenir les
Décliner le budget en six • Personnel budgets
rubriques • Prestations externes
• Matériels
• Logiciels
• Telecom
• Frais de structure
Ces rubriques sont subdivisées en sous-rubriques
elles-mêmes en relation avec les Comptes du Plan de
Comptes Général.
4ème étape : Voir les principes d’affectation des rubriques APO06.04 Modéliser et allouer les coûts
Affecter les ressources aux budgétaires sur les activités
activités
5ème étape : Cette ventilation se fait sur base d’inducteurs : APO06.04 Modéliser et allouer les coûts
Ventiler les activités sur les • Techniques
services • Financiers
• Au prorata des coûts déjà calculés (pour
les activités n’ayant pas d’inducteur).
Le modèle définit un (et un seul) inducteur pour
chaque activité.
6ème étape : La comparaison peut se faire à différents niveaux : APO06.02 • Prioriser l’allocation
Analyser et comparer. • Les ressources APO06.05 des ressources
• Les activités • Gérer les coûts
~ Interne
~ Bechmark
• Services
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 133
Une autre manière de rapprocher le « Modèle d’analyse et de benchmarking des coûts informatiques »
de CobiT est de s’interroger sur les processus qui ont un impact en matière de coût et d’efficacité sur
chacune des macro-activités du modèle d’activités.
Une première ébauche de rapprochement est proposée ci-dessous. Elle est globale (faite au niveau
processus CobiT) et mérite donc d’être revisitée et détaillée au niveau des pratiques de gestion et de
gouvernance avant usage.
Référence Processus
Acquisition BAI02 • Définir les exigences
BAI03 • Identifier et construire les solutions
Infrastructure bureautique BAI02 • Définir les exigences
BAI03 • Identifier et construire les solutions
Hébergement DSS01 Gérer les opérations
Outsourcing DSS01 Gérer les opérations
Masters et déploiements bureautiques DSS03 Gérer les configurations
Exploitation DSS01 Gérer les opérations
Sécurité DSS06 • Gérer la continuité des affaires
DSS07 • Gérer la sécurité de l’information
Support DSS04 Gérer les requêtes de service et les incidents
Maintenance corrective DSS05 Gérer les problèmes
étude, conception BAI02 Définir les exigences
Réalisation BAI03 Identifier et construire les solutions
Tests, recette, mise en production BAI07 Accepter et mettre en œuvre les changements
Pilotage projets BAI01 Gérer les programmes et les projets
Formation APO07 • Gérer les ressources humaines
BAI05 • Faciliter le changement organisationnel
Urbanisation / Architecture Veille technologique APO03 • Gérer l’architecture d’entreprise
APO04 • Gérer l’innovation
Qualité, méthodes APO11 • Gérer la qualité
MEA01 • Surveiller et évaluer la Performance et conformité
MEA02 • Surveiller le système de contrôle interne
MEA03 • Surveiller et évaluer la conformité avec les exigences externes
Gestion des environnements APO03 Gérer l’architecture d’entreprise
Encadrement et management APO01 Définir le cadre de gestion de l’IT
Gestion administrative APO01 Définir le cadre de gestion de l’IT
« L’Agence nationale de la sécurité des systèmes d’information (ANSSI) élabore et tient à jour un
important référentiel méthodologique destiné à aider les organismes du secteur public et du secteur
privé à gérer la sécurité de leurs systèmes d’informations. Ce référentiel est composé de méthodes, de
meilleures pratiques et de logiciels, diffusés gratuitement sur son site Internet
(http://www.ssi.gouv.fr). »
« La méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) permet d’apprécier
et de traiter les risques. Elle fournit également tous les éléments nécessaires à la communication au sein
de l’organisme et vis-à-vis de ses partenaires, ainsi qu’à la validation du traitement des risques. Elle
constitue de ce fait un outil complet de gestion des risques. »
La méthode EBIOS, très pragmatique et très largement utilisée sur le terrain, constitue, elle aussi, un
exemple d’application méthodologique permettant de garnir certaines pratiques de gouvernance et
de gestion de CobiT.
Certaines connexions plus partielles, voire très partielles, avec d’autres processus sont également
envisageables :
Ce rapprochement EBIOS / CobiT est particulièrement utile dans notre ligne de conduite « boite à
outils ».
En effet, « EBIOS est une boîte à outils à usage variable. Comme toute véritable méthode de gestion
des risques, EBIOS permet d’analyser des risques, de les évaluer et de les traiter dans le cadre d’une
amélioration continue. La spécificité d’EBIOS réside dans sa souplesse d’utilisation. Il s’agit d’une
véritable boîte à outils, dont les activités à réaliser, leur niveau de détail et leur séquencement seront
adaptés à l’usage désiré. En effet, la méthode ne sera pas utilisée de la même manière selon le sujet
étudié, les livrables attendus, le degré de connaissance du périmètre de l’étude, le secteur auquel on
l’applique… »
Le tableau de correspondance entre le Quoi et le Comment qui est proposé ci-dessous doit être
adapté en fonction de la « variation de la focale selon le sujet étudié » que la méthode EBIOS permet
et que chaque Entreprise choisira.
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 135
Rapprochement entre EBIOS et CobiT
EBIOS CobiT (V5)
(Version 25 janvier 2010)
Note : Voir en particulier le détail des menaces et vulnérabilités A rapprocher et fusionner utilement
génériques identifiées dans la base de connaissance EBIOS sur base avec les scénarios génériques de risque
d’un croisement entre : informatique de RiskIT (The Risk IT
• Le mode opératoire Practitioner Guide 2009 ISACA) basés sur
~ les détournements d’usages (USG) un croisement entre :
~ l’espionnage (ESP) • Acteur
~ les dépassements de limites de fonctionnement (DEP) ~ Interne
~ les détériorations (DET) ~ Externe
~ les modifications (MOD) • Type de menace
~ les pertes de propriété (PTE) ~ Malveillance
• Les types de biens supports ~ Accident / Erreur
~ les systèmes informatiques et de téléphonie (SYS) ~ Défaillance
• matériels (MAT) ~ Naturel
• logiciels (LOG) ~ Requête externe
• canaux informatiques et de téléphonie (RSX) • Événement
~ les organisations (ORG) ~ Divulgation
• personnes (PER) ~ Interruption
• supports papier (PAP) ~ Modification
• canaux interpersonnels (CAN) ~ Vol
~ les locaux (LOC) ~ Destruction
~ Conception inefficace
~ Exécution inefficace
~ Réglementation
~ Utilisation inappropriée
• Actif/Ressource
~ Personnes & organisation
~ Processus
~ Infrastructures (bâtiments)
~ Infrastructures IT
~ Information
~ Applications
• Éléments temporels
~ Durée
~ Période d’occurrence (critique /
non critique)
~ Durée de détection
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 137
Rapprochement entre EBIOS et CobiT
EBIOS CobiT (V5)
(Version 25 janvier 2010)
Dans le cadre de son « SI de la DSI ; Permettre à la fonction SI d’opérer efficacement son cœur de métier », le CIGREF a
identifié les processus clés de la DSI répartis en trois familles :
• Pilotage
• Opérationnel
• Support
Le rapprochement de ces processus avec ceux de CobiT est immédiat , selon le tableau ci-dessous.
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 139
Les processus clés du SI de la DSI (CIGREF) et les processus CobiT
Le SI de la DSI CobiT
Support
Permettre le bon
fonctionnement du SI
Gérer les activités support
Gérer les achats et les relations APO10 Gérer les fournisseurs
fournisseurs
Gérer la facturation APO06 Gérer les budgets et les coûts
Gérer la sécurité et la continuité DSS06 • Gérer la continuité des affaires
DSS07 • Gérer la sécurité de l’information
Gérer la communication APO08 Gérer les relations
Le mapping des processus clés du SI de la DSI (CIGREF) avec les processus CobiT est manifestement
très significatif, même en restant au niveau processus qui correspond à un niveau assez élevé de
granulométrie.
Une analyse plus approfondie du mapping devrait s’interroger sur la couverture de certains processus
CobiT: il s’agit essentiellement des processus de la famille EDM et de certains processus de la famille
APO.
Il y apparaît :
• Qu’il n’existe pas d’outil « miracle » ni d’outil unique pour organiser le système d’information
de la DSI
• Que les DSI utilisent des outils spécifiques à chaque catégorie qu’ils intègrent ensuite
(best of breed)
• Qu’ils procèdent à des développements internes lorsque leurs besoins sont très spécifiques
L’ambition dans les lignes qui suivent est de dégager les principaux éléments d’un outillage qui permette
de supporter la mise en œuvre et le fonctionnement de l’ensemble de CobiT en tant que cadre de la
gouvernance et de la gestion du SI de l’entreprise.
C’est évidemment ici que se rejoignent plusieurs concepts fondamentaux mis en évidence dans les
chapitres qui précèdent :
Chaque DSI, en fonction du paysage logiciel (gestion documentaire, gestion collaborative, supervision…)
qu’il opère, devra choisir ses propres orientations et son propre scénario d’implantation. Cela n’est
pas notre objectif d’aborder ici cette question très fortement dépendante des spécificités de chaque
entreprise.
Quels sont les documents candidats pour être gérés dans cette base ? D’une part, les occurrences des
livrables des pratiques et, d’autre part, les documents liés aux attributs de la capabilité (procédures,
plans de formation, audits externes…).
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 141
Le système en question doit inclure au minimum la gestion des éléments suivants :
• les versions
• les droits / restrictions d’accès
• le suivi des lectures
~ Vous n’avez pas encore lu
~ Vous avez déjà lu
~ Modifié depuis votre dernière lecture
• les rappels proactifs si absence de lecture
• Libellé
• Description
• Planification, suivi d’avancement, gestion des ressources, rappels d’échéances par mail…
• …
• Périodicité
• Valeurs mesurées et objectifs (avec dates)
~ Dernière valeur
~ Historique
• Responsable
• Description des sources informationnelles et de la manière de le calculer.
(Lien vers la base documentaire)
• Présentation graphique des résultats « standard »
• TBE
Une bonne pratique est de favoriser l’existence d’un indicateur même sur base d’informations
encodées manuellement par rapport à la difficulté de mise en place d’indicateurs connectés avec les
systèmes automatisés de supervision qui existeraient par ailleurs.
• Vue synoptique
~ Liste des processus
• Mise en œuvre
• Avancement
• Indicateurs
• Acteurs
~ TBE
• Vue par processus
~ Métriques
• Mise en œuvre
• Suivi
~ Pratiques
• Synthèse d’avancement
• Mise en œuvre
• Vue par acteur
~ Liste des responsabilités
~ Avancement des tâches
~ Liste des tâches
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 143
• Vue du A (de RACI)
~ Contrôle d’avancement des activités dont il est A
• Vue par livrable
~ Mise en œuvre
~ Suivi
• Vue par pratique
~ Avancement des activités
~ Statut des livrables
En suivant cette logique, et elle est souvent suivie, il n’y a pas lieu, voire il est même impossible,
d’identifier les coûts spécifiques à la gouvernance du système d’information ; ils sont incorporés dans
les budgets.
Il y a cependant des coûts liés à la gouvernance du SI qui peuvent être identifiés comme tels ; ce sont
généralement des dépenses externes (consultants, auditeurs, logiciels spécifiques, formation). Gartner
(Success with standards, Gartner EXP 2006) estime ces coûts à un montant correspondant à 2 à 3 %
du budget du système d’information.
De manière plus détaillée, l’ISACA a enquêté sur la relation existant entre l’implantation de CobiT et la
performance d’entreprise (Building the Business Case for CobiT and ValIT. Executive Briefing. ISACA
2009), selon les principes de la cascade abordés au chapitre III (point A.).
Elles mettent aussi en évidence que certains processus contribuent plus à l’amélioration de la performance
en question, par exemple :
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 145
Ou encore :
Dans le cas de l’externalisation, même dans une conception très poussée de celle-ci, le rôle de type A
(voir RACI) pour toutes les pratiques et tous les processus reste toujours en charge de l’entreprise et ne
peut jamais être confié au prestataire.
Ainsi, l’entreprise garde-t-elle obligatoirement la fixation des objectifs à atteindre, des indicateurs, des
modes de contrôle… le tout exprimable dans le cadre des processus, pratiques, activités, indicateurs…
spécifiés par CobiT.
Il est donc de bon conseil de suggérer aux entreprises en réflexion sur des externalisations d’utiliser
CobiT en tant que cadre pour spécifier ce sur quoi elle devrait porter. Bien évidemment d’autres questions
que celles de la fixation des rôles au regard de CobiT restent à préciser dans toute contractualisation,
notamment son coût, ses clauses contractuelles…
Il est de bon conseil également aux fournisseurs, même s’ils ne constituent pas la cible fixée pour cette
étude, de réfléchir au positionnement, par rapport aux processus et pratiques de CobiT, des services
qu’ils offrent : cela devrait améliorer l’efficacité de leur dialogue avec leurs clients potentiels.
En ce qui concerne le rôle R, il peut être soit entièrement délégué au fournisseur dans une contractualisation
de type obligation de résultat, soit partagé dans une contractualisation de type obligation de moyens.
Rôles Externalisable ?
R Réalise • Obligation de résultat : Oui.
• Obligation de moyen : Partagé.
A Autorité Non
C Consulté Oui
I Informé Oui
La question du « Quoi » et du « Comment » a été fortement mise en avant dans le cadre de ce livre. Ici
aussi, dans le cas de l’externalisation, cette dualité sera utile. Le « Quoi », exprimé par les processus ainsi
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 147
que par les pratiques de gestion et de gouvernance de CobiT, reste toujours à la charge de l’entreprise.
Le « Comment » est externalisable.
Il est donc nécessaire de souligner que la mise en œuvre concrète et efficace des processus CobiT
s’impose à l’entreprise même, et surtout, lorsqu’elle a externalisé les services correspondants. CobiT est
ce qui reste quand on a externalisé au maximum le système d’information…
Tous les processus de CobiT sont-ils égaux devant l’externalisation ? La réponse est manifestement
non.
Ainsi, les processus de gouvernance EDM (EDM01 à EDM05) ne sont pas externalisables puisqu’ils
sont ceux qui précisent la gouvernance du SI. Il doit en être de même des processus MEA (MEA01 à
MEA03) vu leur caractère de contrôle.
Il est fait référence ici à des rôles de type A & R, il va de soi que des rôles de type C & I peuvent toujours
être confiés à des prestataires.
En ce qui concerne les processus du domaine APO, confier un rôle R à un fournisseur, même de manière
partagée, n’est pas acceptable pour la définition du cadre de gestion du SI, la stratégie, la gestion du
portefeuille, les budgets, les ressources humaines, les fournisseurs, les risques. Pour les autres processus
d’APO, le rôle R devrait aussi être totalement internalisé, il pourrait cependant être partagé.
En ce qui concerne les processus des domaines BAI et DSS les rôles de type R peuvent être confiés à
l’extérieur dans le cadre d’une obligation de résultat.
Il va de soi que chaque entreprise doit l’adapter à son contexte propre ; il est également de bon conseil
de l’établir avec une granulométrie plus petite (au niveau des pratiques de contrôle et de gestion).
A R C&I
Établir et de maintenir le cadre de gouvernance (EDM01) Non Non Oui
Assurer l’optimisation de la valeur (EDM02) Non Non Oui
Assurer l’optimisation du risque (EDM03) Non Non Oui
Assurer l’optimisation des ressources (EDM04) Non Non Oui
Assurer la transparence pour les parties prenantes Non Non Oui
(EDM05)
Définir le cadre de gestion de l’IT (APO01) Non Non Oui
Définir la stratégie (APO02) Non Non Oui
Gérer l’architecture d’entreprise (APO03) Non Partagé Oui
Gérer l’innovation (APO04) Non Partagé Oui
Gérer le portefeuille (APO05) Non Non Oui
Gérer les budgets et les coûts (APO06) Non Non Oui
Gérer les ressources humaines (APO07) Non Non Oui
Gérer les relations (APO08) Non Partagé Oui
Gérer les accords de services (APO09) Non Partagé Oui
Gérer les fournisseurs (APO10) Non Non Oui
Gérer la qualité (APO11) Non Partagé Oui
Gérer les risques (APO12) Non Non Oui
Gérer les programmes et les projets (BAI01) Non Oui Oui
Définir les exigences (BAI02) Non Oui Oui
Identifier et construire les solutions (BAI03) Non Oui Oui
Gérer la disponibilité et la capacité (BAI04) Non Oui Oui
Faciliter le changement organisationnel (BAI05) Non Oui Oui
Gérer les changements (BAI06). Non Oui Oui
Accepter et mettre en œuvre les changements (BAI07) Non Oui Oui
Gérer la connaissance (BAI08) Non Oui Oui
Gérer les opérations (DSS01) Non Oui Oui
Gérer les actifs (DSS02) Non Oui Oui
Gérer les configurations (DSS03) Non Oui Oui
Gérer les requêtes de service et les incidents (DSS04) Non Oui Oui
Gérer les problèmes (DSS05) Non Oui Oui
Gérer la continuité des affaires (DSS06) Non Oui Oui
Gérer la sécurité de l’information (DSS07) Non Oui Oui
Gérer les contrôles des processus métiers (DSS08) Non Oui Oui
Surveiller et évaluer la Performance et conformité (MEA01) Non Non Oui
Surveiller le système de contrôle interne (MEA02) Non Non Oui
Surveiller et évaluer la conformité avec les exigences Non Non Oui
externes (MEA03)
Implémenter CobiT V5 - mars 2012 - N° 13 - Best Practices Research • 149
B. CobiT et e-SCM
Le standard e-SCM a émergé sur cette question de l’externalisation des services liés à l’informatique.
e-SCM a été mis au point par l’IT Service Qualification Center de l’Université de Carnegie Mellon, celui-
là même qui avait déjà produit CMMI. En France, une association s’est formée en vue de promouvoir
son utilisation : l’Ae-SCM.
(Voir www.ae-scm.fr)
e-SCM est constitué fondamentalement par des meilleures pratiques du sourcing (il y en a 95).
Chacune de ces pratiques est classée dans un référentiel à trois dimensions :
Il est utile de remarquer que le modèle d’aptitude de la nouvelle V5 de CobiT est de même nature que
celui d’e-SCM.
Une caractéristique importante d’e-SCM est de comporter deux volets : un volet SP (Service Provider)
qui s’adresse aux fournisseurs de services et un volet CL (Client) qui s’adresse aux entreprises clientes
de ces fournisseurs.
Ces deux volets sont conçus en miroir de manière à améliorer la compréhension entre l’entreprise et
son fournisseur partenaires d’une externalisation. C’est, à l’évidence, le volet CL qui retiendra l’attention
de l’entreprise qui recourt à l’externalisation de certains services.
Comme pour plusieurs autres standards (Itil … voir ci-dessus), un mapping entre CobiT et e-SCM a été
établi. Notons cependant que ce mapping est fait par l’ITSQC et non par l’ITGI. Notons également qu’il
est fait par rapport à la version SP de e-SCM, et non la version CL, celle qui intéresse les entreprises,
et qu’il est fait par rapport à la V3 de CobiT. Un travail de préparation et une mise à jour seront donc
nécessaires avant de l’utiliser pratiquement. Le lecteur pourra utilement se reporter au document
suivant : “Comparing the eSCM-SP v2 and CobiT”, téléchargeable gratuitement à itsqc.org/downloads/
index.html.
De la même manière que pour les autres standards étudiés plus haut, ce mapping permettra d’établir
quels éléments d’e-SCM peuvent être mis en œuvre pour alimenter les pratiques de gestion et de
gouvernance de CobiT.
w w w. be s t re s e a rc h .fr
ISSN : 0753-3454 - Dépôt légal : février 2012.
www.bestresearch.fr