COBIT 5 - Enabling Processes V - (Traduction Française)

Machine Translated by Google
Activation des processus

: Activation des processus
ISACA®
Avec 95 000 membres dans 160 pays, l'ISACA (www.isaca.org) est l'un des principaux fournisseurs mondiaux de connaissances, de certifications,
de communauté, de plaidoyer et de formation sur l'assurance et la sécurité des systèmes d'information (SI), la gouvernance d'entreprise et la gestion
de l'informatique, et l'informatique. risques et conformité associés. Fondée en 1969, l'ISACA, indépendante et à but non lucratif, organise des conférences
internationales, publie le journal ISACA® et développe des normes internationales d'audit et de contrôle des SI, qui aident ses membres à garantir la confiance
et la valeur des systèmes d'information. Il fait également progresser et atteste les compétences et les connaissances informatiques grâce aux certifications
mondialement respectées Certified Information Systems Auditor® (CISA®), Certified Information Security Manager® (CISM®), Certified in the
Governance of Enterprise IT® (CGEIT®) et Certified in Risk and Désignations Information Systems ControlTM (CRISCTM) . ISACA met continuellement
à jour COBIT®, qui aide les professionnels de l'informatique et les dirigeants d'entreprise à assumer leurs responsabilités de gouvernance et de gestion
informatique, en particulier dans les domaines de l'assurance, de la sécurité, du risque et du contrôle, et à apporter de la valeur à l'entreprise.
Clause de nonresponsabilité
L'ISACA a conçu cette publication, COBIT® 5 : Enabling Processes (le « Travail »), principalement comme une ressource éducative pour la gouvernance des
professionnels de l'informatique d'entreprise (GEIT), de l'assurance, du risque et de la sécurité. ISACA ne prétend pas que l’utilisation de l’une quelconque
des Travaux garantira un résultat positif. Les travaux ne doivent pas être considérés comme incluant toutes les informations, procédures et tests appropriés ou
exclusifs d'autres informations, procédures et tests qui visent raisonnablement à obtenir les mêmes résultats. Pour déterminer le bienfondé de toute
information, procédure ou test spécifique, les lecteurs doivent appliquer leur propre jugement professionnel aux circonstances spécifiques de GEIT,
d'assurance, de risque et de sécurité présentées par les systèmes ou l'environnement informatique particuliers.
droits d'auteur
© 2012 ISACA. Tous droits réservés. Pour les directives d'utilisation, voir www.isaca.org/COBITuse.
ISACA
3701 Algonquin Road, Suite 1010 Rolling

Meadows, IL 60008 ÉtatsUnis
Téléphone : +1.847.253.1545
Fax : +1.847.253.1443
Courriel : info@isaca.org Site

Web : www.isaca.org
Commentaires : www.isaca.org/cobit
Participez au centre de connaissances ISACA : www.isaca.org/knowledgecenter
Suivez l'ISACA sur Twitter : https://twitter.com/ISACANews
Rejoignez la conversation COBIT sur Twitter : #COBIT
Rejoignez l'ISACA sur LinkedIn : ISACA (Officiel), http://linkd.in/ISACAOfficial
Aimez l'ISACA sur Facebook : www.facebook.com/ISACAHQ
COBIT® 5 : Processus habilitants

ISBN9781604202410
Tirage 9
2
Remerciements
Remerciements
L’ISACA souhaite reconnaître :
Groupe de travail COBIT 5 (20092011)

John W. Lainhart, IV, CISA, CISM, CGEIT, IBM Global Business Services, ÉtatsUnis, coprésident
Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP,
Ravenswood Consultants Ltd., RoyaumeUni,
coprésidente Pippa G. Andrews, CISA, ACA, CIA, KPMG,
Australie Elisabeth Judit Antonsson, CISM, Nordea Bank,
Suède Steven A. Babb, CGEIT, CRISC, Betfair,
RoyaumeUni Steven De Haes, Ph. .D., École de gestion de l'Université d'Anvers,
Belgique Peter Harrison, CGEIT, FCPA, IBM Australia Ltd.,
Australie Jimmy Heschl, CISA, CISM, CGEIT, Expert ITIL, bwin.party digital entertainment plc, Autriche
Robert D. Johnson, CISA , CISM, CGEIT, CRISC, CISSP, Bank of America, ÉtatsUnis
Erik HJM Pols, CISA, CISM, Shell InternationalITCI, PaysBas Vernon Richard
Poole, CISM, CGEIT, Sapphire, RoyaumeUni Abdul
Rafeq, CISA, CGEIT, CIA, FCA , A. Rafeq et associés, Inde
Équipe de développement
Floris Ampe, CISA, CGEIT, CIA, ISO 27000, PwC, Belgique
Gert du Préez, CGEIT, PwC, Canada
Stefanie Grijp, PwC, Belgique
Gary Hardy, CGEIT, gagnants informatiques, Afrique du Sud
Bart Peeters, PwC, Belgique
Dirk Steuperaert, CISA, CGEIT, CRISC, IT In Balance BVBA, Belgique
Participants à l'atelier Gary

Baker, CGEIT, CA, Canada Brian Barnier,
CGEIT, CRISC, ValueBridge Advisors, ÉtatsUnis Johannes Hendrik Botha,
MBCSCITP, FSM, getITright Skills Development, Afrique du Sud Ken Buechler, CGEIT, CRISC, PMP, GreatWest
Life , Canada Don Caniglia, CISA, CISM, CGEIT, FLMI, ÉtatsUnis Mark Chaplin,
RoyaumeUni Roger Debreceny, Ph.D., CGEIT, FCPA, Université
d'Hawaï à Manoa, États
Unis Mike Donahue, CISA, CISM, CGEIT, CFE, CGFM, CICA, Towson University, ÉtatsUnis Urs
Fischer, CISA, CRISC, CPA (Suisse), Fischer IT GRC Consulting & Training, Suisse Bob Frelinger, CISA,
CGEIT, Oracle Corporation, ÉtatsUnis James Golden, CISM, CGEIT, CRISC, CISSP, IBM, ÉtatsUnis Meenu Gupta,
CISA, CISM, CBP, CIPP, CISSP, Mittal Technologies, ÉtatsUnis Gary
Langham, CISA, CISM, CGEIT, CISSP, CPFA, Australie Nicole Lanza,
CGEIT, IBM, ÉtatsUnis Philip Le Grand, PRINCE2, Ideagen Plc, RoyaumeUni Debra Mallette,
CISA, CGEIT, CSSBB, Kaiser Permanente IT, ÉtatsUnis Stuart MacGregor, Real
IRM Solutions (Pty) Ltd., Afrique du Sud
Christian Nissen, CISM, CGEIT, FSM, CFN People,
Danemark Jamie Pasfield, ITIL V3, MSP, PRINCE2 , Pfizer, RoyaumeUni Eddy J.
Schuermans, CGEIT, ESRAS bvba, Belgique Michael Semrau, RWE Allemagne,
Allemagne Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates,
Australie Alan Simmonds, TOGAF9, TCSA, PreterLex, RoyaumeUni
Cathie Skoog, CISM, CGEIT, CRISC, IBM, ÉtatsUnis Dejan Slokar,
CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canada
Roger Southgate, CISA, CISM, RoyaumeUni Nicky Tiesenga, CISA, CISM, CGEIT, CRISC, IBM,
ÉtatsUnis Wim Van Grembergen, Ph.D., École de gestion de
l'Université d'Anvers, Belgique Greet Volders, CGEIT, Voquals
NV, Belgique Christopher Wilken, CISA, CGEIT, PwC, ÉtatsUnis Tim M. Wright, CISA,
CRISC, CBCI, GSEC, QSA, Kingston Smith
Consulting LLP , ROYAUMEUNI
3
Remerciements (suite)
Réviseurs experts
Mark Adler, CISA, CISM, CGEIT, CRISC, Commercial Metals Company, ÉtatsUnis
Wole Akpose, Ph.D., CGEIT, CISSP, Morgan State University, ÉtatsUnis
Krzysztof Baczkiewicz, CSAM, CSOX, Eracent, Pologne
Roland Bah, CISA, MTN Cameroun, Cameroun
Dave Barnett, CISSP, CSSLP, USA
Max Blecher, CGEIT, Virtual Alliance, Afrique du Sud
Ricardo Bria, CISA, CGEIT, CRISC, Meycor GRC, Argentine Dirk
Bruyndonckx, CISA, CISM, CGEIT, CRISC, MCA, KPMG Advisory , Belgique Donna Cardall,
RoyaumeUni Debra
Chiplin, Groupe Investors, Canada Sara
Cosentino, CA, GreatWest Life, Canada Kamal
N. Dave, CISA, CISM, CGEIT, Hewlett Packard, ÉtatsUnis Philip
de Picker, CISA, MCA, Banque Nationale de Belgique, Belgique Abe
Deleon, CISA, IBM, ÉtatsUnis
James Doss, expert ITIL, TOGAF 9, PMP, SSGB, EMCCA, EMCISA, Oracle DBA, ITValueQuickStart.com, RoyaumeUni
Stephen Doyle, CISA, CGEIT, Department of Human Services, Australie Heidi
L. Erchinger, CISA, CRISC, CISSP, System Security Solutions, Inc., ÉtatsUnis Rafael
Fabius, CISA, CRISC, Uruguay Urs
Fischer, CISA, CRISC, CPA (Suisse), Fischer IT GRC Consulting & Training, Suisse Bob Frelinger,
CISA , CGEIT, Oracle Corporation, ÉtatsUnis Kate Gentles,
ITValueQuickStart.com, RoyaumeUni Yalcin
Gerek, CISA, CGEIT, CRISC, Expert ITIL, Formateur ITIL V3, PRINCE2, Consultant ISO/IEC 20000, Turquie Edson Gin,
CISA, CISM, CFE, CIPP , SSCP, ÉtatsUnis James
Golden, CISM, CGEIT, CRISC, CISSP, IBM, ÉtatsUnis Marcelo
Hector Gonzalez, CISA, CRISC, Banco Central Republic Argentine, Argentine Erik Guldentops,
École de gestion de l'Université d'Anvers, Belgique Meenu Gupta, CISA,
CISM, CBP , CIPP, CISSP, Mittal Technologies, ÉtatsUnis Angelica Haverblad,
CGEIT, CRISC, ITIL, Verizon Business, Suède Kim Haverblad, CISM,
CRISC, PCI QSA, Verizon Business, Suède J. Winston Hayden, CISA,
CISM, CGEIT, CRISC, Sud Afrique Eduardo Hernandez, ITIL V3,
HEME Consultores, Mexique Jorge Hidalgo, CISA, CISM,
CGEIT, ATC, Lic. Sistemas, Argentine Michelle Hoben, Media 24, Afrique
du Sud Linda Horosko, GreatWest Life,
Canada Mike Hughes, CISA, CGEIT, CRISC,
123 Consultants, RoyaumeUni Grant Irvine, GreatWest Life,
Canada Monica Jain, CGEIT, CSQA,
CSSBB , Californie du Sud Edison, ÉtatsUnis John E. Jasinski, CISA, CGEIT,
SSBB, ITIL Expert, ÉtatsUnis Masatoshi Kajimoto, CISA,
CRISC, Japon Joanna Karczewska, CISA,
Pologne Kamal Khan, CISA, CISSP,
CITP, Saudi Aramco, Arabie Saoudite Eddy Khoo SK, Prudential
Services Asia, Malaisie Marty King, CISA, CGEIT, CPA,
Blue Cross Blue Shield NC, ÉtatsUnis Alan S. Koch, expert ITIL, PMP,
ASK Process Inc., ÉtatsUnis Gary Langham, CISA, CISM,
CGEIT, CISSP , CPFA, Australie Jason D. Lannen, CISA, CISM,
TurnKey IT Solutions, LLC, ÉtatsUnis Nicole Lanza, CGEIT, IBM, États
Unis Philip Le Grand, PRINCE2,
Ideagen Plc, RoyaumeUni Kenny Lee, CISA,
CISM, CISSP, Bank of America , ÉtatsUnis Brian Lind, CISA,
CISM, CRISC, Topdanmark Forsikring A/S, Danemark Bjarne Lonberg, CISSP,
ITIL, AP Moller Maersk, Danemark Stuart MacGregor, Real IRM
Solutions (Pty) Ltd., Afrique du Sud Debra Mallette, CISA, CGEIT,
CSSBB, Kaiser Permanente IT, ÉtatsUnis Charles Mansour, CISA,
Charles Mansour Audit & Risk Service, RoyaumeUni Cindy Marcello, CISA,
CPA, FLMI, GreatWest Life & Annuity, ÉtatsUnis Nancy McCuaig, CISSP,
GreatWest Life, Canada John A. Mitchell, Ph.D.,
CISA, CGEIT, CEng, CFE, CITP, FBCS, FCIIA, QiCA, LHS Business Control, RoyaumeUni Makoto Miyazaki, CISA,
CPA, Bank of TokyoMitsubishi, UFJ Ltd., Japon
4
Remerciements
Examinateurs experts (suite)
Lucio Augusto Molina Focazzio, CISA, CISM, CRISC, ITIL, Consultant indépendant, Colombie Christian
Nissen, CISM, CGEIT, FSM, ITIL Expert, CFN People, Danemark Tony Noblett,
CISA, CISM, CGEIT, CISSP, ÉtatsUnis Ernest Pages,
CISA, CGEIT, MCSE, ITIL, Sciens Consulting LLC, ÉtatsUnis Jamie Pasfield,
ITIL V3, MSP, PRINCE2, Pfizer, RoyaumeUni Tom
Patterson, CISA, CGEIT, CRISC, CPA, IBM, ÉtatsUnis
Robert Payne, CGEIT, MBL, MCSSA, PrM, Lode Star Strategy Consulting, Afrique du Sud Andy
Piper, CISA, CISM, CRISC, PRINCE2, ITIL, Barclays Bank Plc, RoyaumeUni
Andre Pitkowski, CGEIT, CRISC, OCTAVE, ISO27000LA, ISO31000LA, APIT Consultoria de Informatica Ltd., Brésil Geert Poels,
Université de Gand , Belgique Dirk Reimers,
HewlettPackard, Allemagne Steve Reznik,
CISA, ADP, Inc., ÉtatsUnis Robert
Riley, CISSP, Université de Notre Dame, ÉtatsUnis Martin
Rosenberg, Ph.D., Cloud Governance Ltd., RoyaumeUni
Claus Rosenquist, CISA , CISSP, Nets Holding, Danemark
Jeffrey Roth, CISA, CGEIT, CISSP, L3 Communications, ÉtatsUnis
Cheryl Santor, CISSP, CNA, CNE, Metropolitan Water District, ÉtatsUnis
Eddy J. Schuermans, CGEIT, ESRAS bvba, Belgique
Michael Semrau, RWE Allemagne, Allemagne
Max Shanahan, CISA, CGEIT, FCPA, Max Shanahan & Associates, Australie Alan
Simmonds, TOGAF9, TCSA, PreterLex, RoyaumeUni
Dejan Slokar, CISA, CGEIT, CISSP, Deloitte & Touche LLP, Canada
Jennifer Smith, CISA, CIA , Salt River Pima Maricopa Indian Community, ÉtatsUnis
Marcel Sorouni, CISA, CISM, CISSP, ITIL, CCNA, MCDBA, MCSE, Bupa Australie, Australie Roger
Southgate, CISA, CISM, RoyaumeUni
Mark Stacey, CISA, FCA, BG Group Plc, Royaume
Uni Karen Stafford Gustin, MLIS, London Life Insurance Company, Canada
Delton Sylvester, Silver Star IT Governance Consulting, Afrique du Sud
Katalin Szenes, CISA, CISM, CGEIT, CISSP, University Obuda, Hongrie Halina
Tabacek, CGEIT, Oracle Americas, ÉtatsUnis
Nancy Thompson, CISA, CISM, CGEIT, IBM, ÉtatsUnis
Kazuhiro Uehara, CISA, CGEIT, CIA, Hitachi Consulting Co., Ltd., Japon Rob
van der Burg, Microsoft, PaysBas Johan van
Grieken, CISA, CGEIT, CRISC, Deloitte, Belgique Flip van
Schalkwyk, Center for eInnovation, Western Cape Government, Afrique du Sud Jinu Varghese,
CISA, CISSP, ITIL, OCA, Ernst & Young, Canada Andre Viviers, MCSE,
IT Project+, Media 24, Afrique du Sud Greet Volders, CGEIT,
Voquals NV, Belgique David Williams, CISA,
Westpac, NouvelleZélande Tim M. Wright, CISA,
CRISC, CBCI, GSEC, QSA, Kingston Smith Consulting LLP, RoyaumeUni Amanda Xu, PMP,
Southern California Edison, ÉtatsUnis Tichaona Zororo,
CISA, CISM, CGEIT, Standard Bank, Afrique du Sud
Conseil d'administration de
l'ISACA Kenneth L. Vander Wal, CISA, CPA, Ernst & Young LLP (retraité), ÉtatsUnis, président
international Christos K. Dimitriadis, Ph.D., CISA, CISM, CRISC, INTRALOT SA, Grèce, viceprésident
Gregory T. Grocholski, CISA, The Dow Chemical Co., ÉtatsUnis, viceprésident
Tony Hayes, CGEIT, AFCHSE, CHE, FACS, FCPA, FIIA, gouvernement du Queensland, Australie, viceprésident Niraj
Kapasi, CISA, Kapasi Bangad Tech Consulting Pvt. Ltd., Inde, viceprésident Jeff Spivey,
CRISC, CPP, PSP, Security Risk Management, Inc., ÉtatsUnis, viceprésident Jo Stewart
Rattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australie, viceprésident Emil D'Angelo, CISA,
CISM, Bank of TokyoMitsubishi UFJ Ltd. (retraité), ÉtatsUnis, ancien président international Lynn C. Lawton, CISA,
CRISC, FBCS CITP, FCA, FIIA, KPMG Ltd., Fédération de Russie, ancien Président international Allan Neville Boardman, CISA,
CISM, CGEIT, CRISC, CA (SA), CISSP, Morgan Stanley, RoyaumeUni, directeur Marc Vael, Ph.D., CISA, CISM,
CGEIT, CISSP, Valuendo, Belgique, directeur
5
Knowledge Board
Marc Vael, Ph.D., CISA, CISM, CGEIT, CISSP, Valuendo, Belgique, Président Michael
A. Berardi Jr., CISA, CGEIT, Bank of America, ÉtatsUnis John Ho
Chi, CISA, CISM, CRISC, CBCP , CFE, Ernst & Young LLP, Singapour Phillip J.
Lageschulte, CGEIT, CPA, KPMG LLP, ÉtatsUnis Jon
Singleton, CISA, FCA, vérificateur général du Manitoba (retraité), Canada Patrick
Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, France
Comité Cadre (20092012)

Patrick Stachtchenko, CISA, CGEIT, Stachtchenko & Associates SAS, France, Président
Georges Ataya, CISA, CISM, CGEIT, CRISC, CISSP, Solvay Brussels School of Economics and Management,
Belgique, ancien viceprésident
Steven A. Babb, CGEIT, CRISC, Betfair,
RoyaumeUni Sushil Chatterji, CGEIT, Edutech Enterprises,
Singapour Sergio Fleginsky, CISA, Akzo Nobel,
Uruguay John W. Lainhart, IV, CISA, CISM, CGEIT, CRISC, IBM Global Business Services, États
Unis Mario C. Micallef, CGEIT, CPAA, FIA, Malte
Anthony P. Noble, CISA, CCP, Viacom, États
Unis Derek J. Oliver, Ph.D., DBA, CISA, CISM, CRISC, CITP, FBCS, FISM, MInstISP,
Ravenswood Consultants Ltd.,
RoyaumeUni Robert G. Parker, CISA, CA, CMC, FCA, Deloitte & Touche LLP (retraité),
Canada Rolf M. von Roessing, CISA, CISM, CGEIT, CISSP, FBCI, Forfa AG, Suisse Jo
StewartRattray, CISA, CISM, CGEIT, CRISC, CSEPS, RSM Bird Cameron, Australie Robert E.
Stroud, CGEIT, CA Inc., ÉtatsUnis
Affiliés et sponsors de l'ISACA et de l'IT Governance Institute® (ITGI®) American

Institute of Certified Public Accountants Commonwealth
Association for Corporate Governance Inc.
FIDA Inform
Information Security Forum
Institut des comptables en management Inc.
Chapitres ISACA
ITGI France
ITGI Japon
Norwich University
Solvay Brussels School of Economics and Management
Strategic Technology Management Institute (STMI) de l'Université Nationale de Singapour Université
d'Anvers Management School
Entreprise GRC Solutions Inc.

HewlettPackard
IBM
Symantec Corp.
6
Table des matières
Table des matières

Liste des figures............................................... .................................................................. .................................................................. ...................... 9
Chapitre 1 Introduction .............................................. .................................................................. .................................................................. .............. 11
Chapitre 2. Cascade d'objectifs et mesures pour les objectifs d'entreprise et les objectifs liés à l'informatique.................................. ............ 13 Cascade d'objectifs
COBIT 5 .................................. .................................................................. .................................................................. ...................... 13 Étape 1. Les facteurs
déterminants des parties prenantes influencent les besoins des parties prenantes.............. .................................................................. ........................13
Étape 2. Les besoins des parties prenantes se traduisent en cascade vers les objectifs de
l'entreprise....... .................................................................. ................................13 Étape 3. Cascade des objectifs de l'entreprise vers les objectifs liés à
l'informatique ....... .................................................................. ......................................15 Étape 4. Informatique Les objectifs se transforment en objectifs
facilitateurs.................................................. .................................................................. .........15 Utilisation de la cascade d'objectifs COBIT
5 .................................. .................................................................. .................................................................. ..... 15 Avantages de la cascade d'objectifs
COBIT 5............................................... .................................................................. ..................................15 Utiliser soigneusement la cascade d’objectifs
COBIT 5 ......... .................................................................. .................................................................. ..16 Utilisation de la cascade d’objectifs COBIT 5 en
pratique ....................................... .................................................................. ......................16
Métriques............................ .................................................................. .................................................................. .................................................................. ........
16 Mesures des objectifs de l'entreprise.................................. .................................................................. .................................................................. .......16 Mesures des
Chapitre 3. Le modèle de processus COBIT 5 ............................................ .................................................................. ...................................... 19 Gestion

des performances des catalyseurs ........ .................................................................. .................................................................. ....................... 21
Chapitre 4. Le modèle de référence de processus COBIT 5 .................................................. .................................................................. ....................... 23 Processus

de gouvernance et de gestion .................................. .................................................................. .................................................................. ..... 23
Modèle................................................ .................................................................. .................................................................. ...................................................... 23
Chapitre 5. Contenu du guide de référence du processus COBIT 5 ................................................. .................................................................. ........... 25

Entrées et sorties ...................................... .................................................................. .................................................................. ...............................
25 Conseils génériques pour les processus.............. .................................................................. .................................................................. ................................
27 Évaluer, diriger et surveiller (EDM) ........ .................................................................. .................................................................. ............29
Aligner, planifier et organiser (APO) ............................ .................................................................. .................................................................. ............49
Construire, acquérir et mettre en œuvre (BAI)............................. .................................................................. ................................................117
Livrer , Service et assistance (DSS)......................................................... .................................................................. ......................................171
Surveiller, évaluer et évaluer (MEA)....... .................................................................. .................................................................. ......................201
Annexe A. Mappage entre COBIT 5 et les anciens frameworks ISACA..................................... ...................... 217
Annexe B. Cartographie détaillée des objectifs de l'entreprise – Objectifs liés à l'informatique.................................... ...................................... 225
Annexe C. Cartographie détaillée des objectifs liés à l'informatique – Processus liés à l'informatique .................................. ...................................... 227
7
Page laissée volontairement vierge
8
Liste des figures
Liste des figures
Figure 1— Famille de produits COBIT 5.................................................. .................................................................. ......................................................11

Figure 2—L'objectif de gouvernance : création de valeur............................................. .................................................................. .......................13
Figure 3— Aperçu de la cascade des objectifs de COBIT 5............... .................................................................. .................................................................. ....14
Figure 4— Objectifs de l'entreprise COBIT 5 .............................................. .................................................................. ..................................................................
.14 Figure 5— Objectifs liés à l'informatique........................................... .................................................................. .................................................................. .........
Figure 6—Exemples de mesures d'objectif d'entreprise..................... .................................................................. .................................................................. .....16
Figure 7—Exemples de mesures d'objectifs liés à l'informatique ............................... .................................................................. ................................................17
Figure 8— COBIT 5 Enabler : Processus.................................................. .................................................................. ......................................19 Figure 9
—Clé de gouvernance et de gestion de COBIT 5 Domaines.................................................. ......................................................23 Figure 10— Modèle
de référence du processus COBIT 5............................................... .................................................................. ................................24 Figure 11—
Sorties............... .................................................................. .................................................................. .................................................................. ....26
Figure 12—Contrôles de processus COBIT 4.1 et attributs de capacité de processus ISO/IEC 15504 associés.................................. .....27 Figure 13—
Cadres ISACA inclus dans COBIT 5.................................... .................................................................. ......................217 Figure 14—Objectifs de
contrôle COBIT 4.1 mappés à COBIT 5............... .................................................................. ......................217 Figure 15—Pratiques de gestion Val IT
2.0 couvertes par COBIT 5......... .................................................................. ......................222 Figure 16—Pratiques de gestion des risques
informatiques couvertes par COBIT 5 ........ .................................................................. ......................224 Figure 17—Mappage des objectifs d'entreprise
COBIT 5 avec les objectifs liés à l'informatique ....... .................................................................. ......................226 Figure 18—Mappage des objectifs
informatiques de COBIT 5 avec les processus......... .................................................................. ......................................227
9
dix
Chapitre 1
Introduction
Chapitre 1
Introduction
COBIT 5 : Processus habilitants complète COBIT 5 (figure 1). Cette publication contient un guide de référence détaillé des processus définis dans le
modèle de référence de processus COBIT 5.
Figure 1—Famille de produits COBIT 5
COBIT®5 _
Guides du facilitateur COBIT 5
COBIT®5 :
COBIT®5 : Autre catalyseur
Activation des processus Guides
Activation des informations
COBIT 5 Guides Professionnels
COBIT® 5
COBIT®5 _ COBIT® 5 Autre professionnel
Implémentation de COBIT® 5 pour informations
pour l'assurance pour le risque Guides
Sécurité
Environnement collaboratif en ligne COBIT5
Le cadre COBIT 5 repose sur cinq principes de base, qui sont traités en détail, et comprend des conseils détaillés sur les outils de gouvernance et de
gestion de l'informatique d'entreprise.
La famille de produits COBIT 5 comprend les produits suivants :

• COBIT 5 (le cadre)
• Les guides COBIT 5, dans lesquels les outils de gouvernance et de gestion sont abordés en détail. Ceuxci inclus:
– COBIT 5 : Processus habilitants
– COBIT 5 : Informations habilitantes
– Autres guides de facilitateur (consultez www.isaca.org/cobit)
• Les guides professionnels COBIT 5, qui comprennent :
– Implémentation COBIT 5
– COBIT 5 pour la sécurité de l’information
– COBIT 5 pour l’Assurance
– COBIT 5 pour le risque
– Autres guides professionnels (consultez www.isaca.org/cobit)
• Un environnement collaboratif en ligne, qui sera disponible pour prendre en charge l'utilisation de COBIT 5.
Cette publication est structurée comme suit :

• Dans le chapitre 2, la cascade des objectifs COBIT 5, également expliquée dans le cadre COBIT 5, est récapitulée et complétée par un
ensemble d'exemples de mesures pour les objectifs de l'entreprise et les objectifs liés à l'informatique.
• Au chapitre 3, le modèle de processus COBIT 5 est expliqué et ses composants définis. Ce chapitre explique quelles informations sont
incluses dans la section d'informations détaillées sur le processus. Le modèle de processus COBIT 5 comprend 37 processus de gouvernance et de
gestion ; cet ensemble de processus succède aux processus COBIT 4.1, Val IT et Risk IT, et comprend tous les processus nécessaires au traitement
de bout en bout de la gouvernance et de la gestion de l'informatique d'entreprise.
• Le chapitre 4 présente le schéma du modèle de référence des processus, qui a été élaboré sur la base de bonnes pratiques, de normes et
de l'avis d'experts. Il est important de comprendre que le modèle et son contenu sont génériques et non prescriptifs, et qu’ils doivent être adaptés
à l’entreprise. En outre, les lignes directrices définissent les pratiques et les activités à un niveau relativement élevé et ne décrivent pas comment la
procédure de processus doit être définie.
• Le chapitre 5 (la section principale de cette publication) contient des informations détaillées sur les processus pour les 37 processus COBIT 5
du modèle de référence de processus.
• Un certain nombre d'annexes sont également incluses :
– L’Annexe A contient une cartographie entre les processus COBIT 4.1, Val IT 2.0 et Risk IT (et leurs objectifs de contrôle ou pratiques de gestion) et
leurs équivalents COBIT 5.
– Les annexes B et C contiennent les tableaux de mappage de la cascade d'objectifs, c'estàdire la cartographie des objectifs de l'entreprise avec les objectifs liés à l'informatique.
objectifs et objectifs liés à l'informatique aux processus.
11
12
Chapitre 2. La cascade d'objectifs et les mesures pour
les objectifs d'entreprise et les objectifs liés à l'informatique
Chapitre 2
La cascade d'objectifs et les mesures pour
Cascade d'objectifs COBIT 5
Les entreprises existent pour créer de la valeur pour leurs parties prenantes. Par conséquent, toute entreprise – commerciale ou non – aura la création de valeur comme objectif
de gouvernance. La création de valeur signifie réaliser des bénéfices à un coût de ressource optimal tout en optimisant les risques. (Voir figure 2.) Les avantages peuvent
prendre de nombreuses formes, par exemple financières pour les entreprises commerciales ou de service public pour les entités gouvernementales.
Figure 2—L'objectif de gouvernance : création de valeur
Partie prenante
Besoins
eriudnoC
Objectif de gouvernance : création de valeur
Avantages Risque Ressource

La concrétisation Optimisation Optimisation
Les entreprises comptent de nombreuses parties prenantes, et « créer de la valeur » signifie des choses différentes – et parfois contradictoires – pour chacune d'entre elles. La
gouvernance consiste à négocier et à décider entre les intérêts des différentes parties prenantes. Par conséquent, le système de gouvernance devrait prendre en compte
toutes les parties prenantes lors de la prise de décisions en matière d’évaluation des avantages, des risques et des ressources. Pour chaque décision, les questions
suivantes peuvent et doivent être posées : Pour qui sont les bénéfices ? Qui supporte le risque ? Quelles ressources sont nécessaires ?
Les besoins des parties prenantes doivent être transformés en stratégie concrète d'entreprise. La cascade d'objectifs COBIT 5 est le mécanisme permettant de traduire
les besoins des parties prenantes en objectifs d'entreprise spécifiques, réalisables et personnalisés, en objectifs informatiques et en objectifs de catalyseur. Cette traduction
permet de fixer des objectifs spécifiques à chaque niveau et dans chaque domaine de l'entreprise à l'appui des objectifs globaux et des exigences des parties prenantes.
La cascade des objectifs COBIT 5 est illustrée à la figure 3.
Étape 1. Les facteurs déterminants des parties prenantes influencent leurs besoins
Les besoins des parties prenantes sont influencés par un certain nombre de facteurs, par exemple les changements de stratégie, l'évolution de l'environnement
commercial et réglementaire et les nouvelles technologies.
Étape 2. Les besoins des parties prenantes se transforment en objectifs d'entreprise

Les besoins des parties prenantes peuvent être liés à un ensemble d’objectifs génériques d’entreprise. Ces objectifs d'entreprise ont été développés à l'aide des dimensions du
Balanced Scorecard (BSC)1 et représentent une liste d'objectifs couramment utilisés qu'une entreprise peut définir pour ellemême. Bien que cette liste ne soit pas
exhaustive, la plupart des objectifs spécifiques à l'entreprise peuvent être facilement mappés sur un ou plusieurs objectifs génériques de l'entreprise.
COBIT 5 définit 17 objectifs génériques, comme le montre la figure 4, qui comprend les informations suivantes :
• La dimension BSC dans laquelle s'inscrit l'objectif de l'entreprise
• Objectifs de l'entreprise
• La relation avec les trois principaux objectifs de gouvernance : réalisation des bénéfices, optimisation des risques et optimisation des ressources. (« P » signifie
relation primaire et « S » pour relation secondaire, c'estàdire une relation moins forte.)
1
Kaplan, Robert S. ; David P. Norton ; The Balanced Scorecard : Traduire la stratégie en action, Harvard University Press, ÉtatsUnis, 1996
13
Figure 3—Aperçu de la cascade des objectifs COBIT 5
Moteurs des parties prenantes
(Environnement, Evolution technologique, …)
Influence
Besoins des parties prenantes

La concrétisation Optimisation Optimisation
Cascade vers Annexe D, COBIT 5
Objectifs de l'entreprise Figure 4
Cascade vers Appendice B
Objectifs liés à l'informatique Figure 5
Cascade vers Annexe C
Objectifs facilitateurs
Figure 4—Objectifs d'entreprise COBIT 5

Relation avec les objectifs de gouvernance

Dimension BSC Objectif d'entreprise La concrétisation Optimisation Optimisation
Financier 1. Valeur pour les parties prenantes des investissements des entreprises P. S
2. Portefeuille de produits et services compétitifs P. P. S
3. Gestion des risques commerciaux (sauvegarde des actifs) P. S
4. Conformité aux lois et réglementations externes P.
5. Transparence financière P. S S
Client 6. Culture de service orientée client P. S
7. Continuité et disponibilité des services commerciaux P.
8. Des réponses agiles à un environnement commercial changeant P. S
9. Prise de décision stratégique basée sur l'information P. P. P.
10. Optimisation des coûts de prestation de services P. P.
Interne 11. Optimisation de la fonctionnalité des processus métier P. P.
12. Optimisation des coûts des processus métier P. P.
13. Programmes de changement commercial gérés P. P. S
14. Productivité opérationnelle et du personnel P. P.
15. Conformité aux politiques internes P.
Apprentissage et croissance 16. Personnes compétentes et motivées S P. P.
17. Culture de l’innovation des produits et des entreprises P.
14
Étape 3. Les objectifs de l'entreprise se transforment en objectifs liés à l'informatique

La réalisation des objectifs de l’entreprise nécessite un certain nombre de résultats liés à l’informatique2, qui sont représentés par les objectifs informatiques.
L'informatique désigne l'information et les technologies associées, et les objectifs liés à l'informatique sont structurés selon les dimensions du tableau de bord équilibré
informatique (IT BSC). COBIT 5 définit 17 objectifs liés à l'informatique, répertoriés dans la figure 5.
Figure 5—Objectifs liés à l'informatique

Dimension BSC informatique Objectif des technologies de l’information et des technologies connexes
Financier 01 Alignement de la stratégie informatique et commerciale
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations externes
03 Engagement de la direction exécutive dans la prise de décisions liées à l'informatique
04 Gestion des risques métiers liés à l’informatique
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques
06 Transparence des coûts, avantages et risques informatiques
Client 07 Livraison de services informatiques en adéquation avec les besoins métiers
08 Utilisation adéquate des applications, des informations et des solutions technologiques
Interne 09 Agilité informatique
10 Sécurité des informations, des infrastructures de traitement et des applications
11 Optimisation des actifs, ressources et capacités informatiques
12 Activation et prise en charge des processus métier en intégrant des applications et des technologies dans les processus métier
13 Livraison de programmes apportant des bénéfices, dans les délais et dans les limites du budget, et répondant aux exigences et aux normes de qualité
14 Disponibilité d'informations fiables et utiles pour la prise de décision
15 Conformité informatique aux politiques internes
Apprentissage et croissance 16 Personnel commercial et informatique compétent et motivé
17 Connaissances, expertises et initiatives pour l’innovation des entreprises
Le tableau de correspondance entre les objectifs liés à l'informatique et les objectifs de l'entreprise est inclus à l'annexe B et montre comment chaque objectif
de l'entreprise est soutenu par un certain nombre d'objectifs liés à l'informatique.
Étape 4. Les objectifs liés à l'informatique se transforment en objectifs habilitants

Atteindre les objectifs liés à l’informatique nécessite l’application et l’utilisation réussies d’un certain nombre de catalyseurs. Les catalyseurs comprennent :
• Principes, politiques et cadres
• Processus •
Structures organisationnelles
• Culture, éthique et comportement
• Information
• Services, infrastructures et applications

• Personnes, aptitudes et compétences
Pour chaque catalyseur, un ensemble d'objectifs spécifiques et pertinents peuvent être définis pour soutenir les objectifs liés à l'informatique. Dans ce
document, les objectifs du processus sont fournis dans les descriptions détaillées du processus. Les processus sont l'un des catalyseurs, et l'annexe C contient une
cartographie entre les objectifs liés à l'informatique et les processus COBIT 5.
Utilisation de la cascade d'objectifs COBIT 5

Avantages de la cascade d'objectifs COBIT 5
La cascade d'objectifs3 est importante car elle permet de définir des priorités pour la mise en œuvre, l'amélioration et l'assurance de la gouvernance de
l'informatique d'entreprise en fonction des objectifs (stratégiques) de l'entreprise et du risque associé. En pratique, les objectifs se répercutent :
• Définit des buts et des objectifs pertinents et tangibles à différents niveaux de responsabilité.
• Filtre la base de connaissances de COBIT 5, en fonction des objectifs de l'entreprise, pour extraire des conseils pertinents à inclure dans des projets
spécifiques de mise en œuvre, d'amélioration ou d'assurance.
• Identifie et communique clairement en quoi les facilitateurs (parfois très opérationnels) sont importants pour atteindre les objectifs de l'entreprise.
2 Les résultats liés à l'informatique ne constituent évidemment pas le seul avantage intermédiaire requis pour atteindre les objectifs de l'entreprise. Tous les autres domaines fonctionnels d'une
organisation, tels que la finance et le marketing, contribuent également à la réalisation des objectifs de l'entreprise, mais dans le contexte de COBIT 5, seules les activités et les objectifs liés à l'informatique
sont pris en compte.
3 La cascade d'objectifs est basée sur des recherches réalisées par l'Institut d'alignement et de gouvernance informatique de l'École de gestion de l'Université d'Anvers en Belgique.
15
Utiliser soigneusement la cascade d’objectifs COBIT 5

La cascade d’objectifs – avec ses tableaux de correspondance entre les objectifs de l’entreprise et les objectifs liés à l’informatique et entre les objectifs
liés à l’informatique et les outils COBIT 5 (y compris les processus) – ne contient pas la vérité universelle, et les utilisateurs ne doivent pas tenter de
l’utiliser de manière purement mécaniste. manière, mais plutôt à titre indicatif. Il y a plusieurs raisons à cela, notamment :
• Chaque entreprise a des priorités différentes dans ses objectifs, et les priorités peuvent changer avec le temps.
• Les tableaux de cartographie ne font pas de distinction entre la taille et/ou le secteur d'activité de l'entreprise. Ils représentent une sorte de dénominateur
commun de la façon dont, en général, les différents niveaux d’objectifs sont interdépendants.
• Les indicateurs utilisés dans la cartographie utilisent deux niveaux d'importance ou de pertinence, suggérant qu'il existe des niveaux
de pertinence « discrets », alors qu'en réalité, la cartographie sera proche d'un continuum de différents degrés de correspondance.
Utiliser la cascade d'objectifs COBIT 5 en pratique

D’après l’avertissement précédent, il est évident que la première étape qu’une entreprise doit toujours appliquer lorsqu’elle utilise la cascade
d’objectifs est de personnaliser la cartographie, en tenant compte de sa situation spécifique. En d’autres termes, chaque entreprise doit construire sa propre
cascade d’objectifs, la comparer avec COBIT puis l’affiner.
Par exemple, l’entreprise peut souhaiter :

• Traduire les priorités stratégiques en un « poids » ou une importance spécifique pour chacun des objectifs de l'entreprise.
• Valider les cartographies de la cascade d'objectifs, en tenant compte de son environnement spécifique, de son secteur d'activité, etc.
Métrique
Les pages suivantes contiennent les objectifs de l'entreprise et les objectifs liés à l'informatique, avec des exemples de mesures pouvant être utilisées
pour mesurer la réalisation de chaque objectif. Ces mesures sont des exemples, et chaque entreprise doit examiner attentivement la liste, décider des
mesures pertinentes et réalisables pour son propre environnement et concevoir son propre système de tableau de bord. En plus des mesures ci
dessous, les objectifs et les mesures du processus sont contenus dans les descriptions détaillées des processus.
Mesures des objectifs de l'entreprise

La figure 6 contient tous les objectifs de l'entreprise identifiés dans la publication du cadre, avec des exemples de mesures pour chacun.
Figure 6 : Exemples de mesures d'objectif d'entreprise

BSC
Dimension Objectif d'entreprise Métrique
Financier 1. Valeur pour les parties prenantes de • Pourcentage d'investissements dont la valeur délivrée répond aux attentes des parties prenantes
investissements commerciaux • Pourcentage de produits et services pour lesquels les avantages attendus se concrétisent
• Pourcentage d'investissements pour lesquels les avantages réclamés sont atteints ou dépassés
2. Portefeuille de produits et • Pourcentage de produits et services qui atteignent ou dépassent les objectifs en termes de revenus et/ou de part de marché.
services compétitifs • Ratio de produits et services par phase du cycle de vie
• Pourcentage de produits et services qui atteignent ou dépassent les objectifs de satisfaction client
• Pourcentage de produits et services offrant un avantage concurrentiel
3. Gestion des risques commerciaux • Pourcentage d'objectifs commerciaux et de services critiques couverts par l'évaluation des risques
(sauvegarde des actifs) • Ratio d'incidents importants qui n'ont pas été identifiés dans les évaluations des risques par rapport au nombre total d'incidents
• Fréquence de mise à jour du profil de risque
4. Conformité aux lois et réglementations • Coût de la nonconformité réglementaire, y compris les règlements et les amendes
externes • Nombre de problèmes de nonconformité réglementaire ayant suscité des commentaires publics ou une publicité négative.
• Nombre de problèmes de nonconformité réglementaire liés aux accords contractuels avec des partenaires commerciaux
5. Transparence financière • Pourcentage d'analyses de rentabilité d'investissement dont les coûts attendus sont clairement définis et approuvés.
et avantages
• Pourcentage de produits et services avec des coûts opérationnels définis et approuvés et des avantages attendus
• Enquête de satisfaction auprès des principales parties prenantes concernant la transparence, la compréhension et l'exactitude des
informations financières de l'entreprise
• Pourcentage du coût du service pouvant être alloué aux utilisateurs
16
Figure 6 : Exemples de mesures d'objectif d'entreprise (suite)

BSC
Dimension Objectif d'entreprise Métrique
Client 6. Culture de service orientée • Nombre d'interruptions du service client dues à des incidents liés au service informatique (fiabilité)
client • Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de service client réponde aux niveaux convenus
• Nombre de réclamations clients
• Tendance des résultats de l'enquête de satisfaction client
7. Continuité et disponibilité • Nombre d'interruptions du service client provoquant des incidents significatifs
des services commerciaux • Coût commercial des incidents
• Nombre d'heures de traitement professionnelles perdues en raison d'interruptions de service imprévues
• Pourcentage de plaintes en fonction des objectifs engagés en matière de disponibilité des services
8. Des réponses agiles à un • Niveau de satisfaction du conseil d'administration quant à la réactivité de l'entreprise aux nouvelles exigences
environnement commercial • Nombre de produits et services critiques pris en charge par des processus commerciaux à jour. • Temps moyen nécessaire pour
changeant transformer les objectifs stratégiques de l'entreprise en une initiative convenue et approuvée.
9. Prise de décision stratégique • Degré de satisfaction du conseil d'administration et de la direction à l'égard de la prise de décision
basée sur l'information • Nombre d'incidents causés par des décisions commerciales incorrectes basées sur des informations inexactes. • Temps nécessaire pour
fournir des informations justificatives pour permettre des décisions commerciales efficaces.
10. Optimisation des coûts de prestation • Fréquence des évaluations d'optimisation des coûts de prestation de services
de services • Tendance de l'évaluation des coûts par rapport aux résultats du niveau de service
• Niveaux de satisfaction du conseil d'administration et de la direction générale à l'égard des coûts de prestation de services
Interne 11. Optimisation de la fonctionnalité des • Fréquence des évaluations de la maturité des capacités des processus métiers
processus métier • Tendance des résultats de l'évaluation
• Niveaux de satisfaction du conseil d'administration et des dirigeants à l'égard des capacités en matière de processus métier
12. Optimisation des coûts des processus • Fréquence des évaluations d'optimisation des coûts des processus métier
métier • Tendance de l'évaluation des coûts par rapport aux résultats du niveau de
service. • Niveaux de satisfaction du conseil d'administration et de la direction à l'égard des coûts de traitement des affaires.
13. Programmes de changement • Nombre de programmes dans les délais et dans les limites du budget
commercial gérés • Pourcentage de parties prenantes satisfaites de l'exécution du programme
• Niveau de sensibilisation aux changements commerciaux induits par les initiatives commerciales basées sur l'informatique.
14. Productivité opérationnelle et du • Nombre de programmes/projets dans les délais et dans les limites du budget
personnel • Niveaux de coûts et de personnel par rapport aux références
15. Conformité aux politiques internes • Nombre d'incidents liés au nonrespect de la politique. • Pourcentage de parties
prenantes qui comprennent les politiques.
• Pourcentage de politiques soutenues par des normes et des pratiques de travail efficaces
Apprentissage et 16. Des personnes compétentes et • Niveau de satisfaction des parties prenantes à l'égard de l'expertise et des compétences du personnel
Croissance motivées • Pourcentage de membres du personnel dont les compétences sont insuffisantes pour la compétence requise pour leur rôle
• Pourcentage de personnel satisfait
17. Culture de l’innovation des produits • Niveau de sensibilisation et de compréhension des opportunités d'innovation commerciale
et des entreprises • Satisfaction des parties prenantes quant aux niveaux d'expertise et d'idées en matière de produits et d'innovation
• Nombre d'initiatives de produits et de services approuvées résultant d'idées innovantes
Mesures d'objectifs liées à l'informatique
La figure 7 contient tous les objectifs liés à l'informatique tels que définis dans la cascade d'objectifs et comprend des exemples de mesures pour chaque objectif.
Figure 7 : Exemples de mesures d'objectif liées à l'informatique
BSC
Dimension Objectif lié à l'informatique Métrique
Financier 01 Alignement de la stratégie • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs stratégiques informatiques. •
informatique et commerciale Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de programmes et de services.
• Pourcentage de facteurs de valeur informatique mappés aux facteurs de valeur commerciale
02 Conformité informatique et • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la perte de réputation
assistance à la conformité des • Nombre de problèmes de nonconformité liés à l'informatique signalés au conseil d'administration ou ayant suscité des commentaires publics.
entreprises aux lois et réglementations ou de l'embarras
externes • Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de services informatiques
• Couverture des évaluations de conformité
03 Engagement de la direction générale • Pourcentage de postes de direction avec des responsabilités clairement définies pour les décisions informatiques
pour faire • Nombre de fois où l'informatique figure à l'ordre du jour du conseil d'administration de manière proactive
Décisions liées à l'informatique • Fréquence des réunions du comité (exécutif) de stratégie informatique
• Taux d'exécution des décisions exécutives liées à l'informatique
17
Figure 7 – Exemples de mesures d'objectif liées à l'informatique (suite)
BSC
Dimension Objectif lié à l'informatique Métrique
Financier 04 Gestion des risques métiers • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers informatiques couverts par
(suite) liés à l’informatique l'évaluation des risques
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des risques.
• Pourcentage d'évaluations des risques d'entreprise, y compris les risques liés à l'informatique
05 Bénéfices réalisés grâce à • Pourcentage d'investissements informatiques dont la réalisation des avantages est surveillée tout au long du cycle de vie économique.
Portefeuille d'investissements et
de services informatiques • Pourcentage de services informatiques pour lesquels les avantages attendus sont réalisés
• Pourcentage d'investissements informatiques dont les avantages revendiqués sont atteints ou dépassés
06 Transparence des coûts, avantages et • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts informatiques attendus clairement définis et approuvés.
risques informatiques et avantages
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus sont clairement définis et approuvés.
• Enquête de satisfaction auprès des principales parties prenantes concernant le niveau de transparence, de compréhension et d'exactitude des
informations financières informatiques.
Client 07 Livraison de services informatiques • Nombre d'interruptions d'activité dues à des incidents de service informatique
en adéquation avec les besoins • Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques réponde aux niveaux de service convenus
métiers • Pourcentage d'utilisateurs satisfaits de la qualité de la prestation des services informatiques
08 Utilisation adéquate des • Pourcentage de responsables de processus métier satisfaits de la prise en charge des produits et services informatiques
applications, des informations et des • Niveau de compréhension des utilisateurs professionnels sur la manière dont les solutions technologiques soutiennent leurs processus.
solutions technologiques • Niveau de satisfaction des utilisateurs professionnels avec la formation et les manuels d'utilisation
• Valeur actuelle nette (VAN) montrant le niveau de satisfaction de l'entreprise quant à la qualité et à l'utilité des solutions technologiques.
Interne 09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique aux nouvelles exigences
• Nombre de processus métier critiques pris en charge par une infrastructure et des applications à jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une initiative convenue et approuvée.
10 Sécurité des informations, des • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des activités ou un embarras public
infrastructures de traitement et des • Nombre de services informatiques avec des exigences de sécurité exceptionnelles
applications • Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès, par rapport aux niveaux de service convenus.
• Fréquence des évaluations de sécurité par rapport aux dernières normes et directives
11 Optimisation de • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
Actifs, ressources et capacités • Tendance des résultats de l'évaluation
informatiques • Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des capacités liés à l'informatique.
12 Activation et prise en charge des • Nombre d'incidents de traitement métier causés par des erreurs d'intégration technologique
processus métier en intégrant des • Nombre de changements de processus métier qui doivent être retardés ou retravaillés en raison de problèmes d'intégration technologique.
applications et des technologies
dans les processus métier • Nombre de programmes métiers informatiques retardés ou entraînant des coûts supplémentaires en raison de problèmes d'intégration technologique.
• Nombre d'applications ou d'infrastructures critiques fonctionnant en silos et non intégrées
13 Livraison de programmes apportant • Nombre de programmes/projets dans les délais et dans les limites du budget
des bénéfices, dans les délais et • Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
dans les limites du budget, et • Nombre de programmes nécessitant des retouches importantes en raison de défauts de qualité
répondant aux exigences et aux • Coût de la maintenance des applications par rapport au coût informatique global
normes de qualité
14 Disponibilité d'informations fiables et • Niveau de satisfaction des utilisateurs métier concernant la qualité et l'actualité (ou la disponibilité) des informations de
utiles pour la prise de décision gestion. • Nombre d'incidents de
processus métier provoqués par la nondisponibilité des informations.

• Ratio et étendue des décisions commerciales erronées lorsque des informations erronées ou indisponibles
était un facteur clé
15 Conformité informatique aux • Nombre d'incidents liés au nonrespect de la politique. • Pourcentage de parties
politiques internes prenantes qui comprennent les politiques.
• Fréquence de révision et de mise à jour des politiques
Apprentissage et 16 Personnel commercial et informatique • Pourcentage d'employés dont les compétences informatiques sont suffisantes pour les compétences requises pour leur rôle
Croissance compétent et motivé • Pourcentage d'employés satisfaits de leurs fonctions liées à l'informatique
• Nombre d'heures d'apprentissage/formation par membre du personnel
17 Connaissances, expertises et • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités d'innovation informatique.
initiatives pour l’innovation • Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise et d'idées en matière d'innovation informatique
des entreprises • Nombre d'initiatives approuvées résultant d'idées informatiques innovantes
18
chapitre 3
Le modèle de processus COBIT 5
chapitre 3
Les processus sont l'une des sept catégories de catalyseurs pour la gouvernance et la gestion de l'informatique d'entreprise, comme expliqué dans
COBIT 5, chapitre 5. Les spécificités du catalyseur de processus par rapport à la description générique du catalyseur sont présentées dans la figure
8.
Figure 8—Activateur COBIT 5 : Processus
Parties prenantes Objectifs Cycle de vie • Bonnes pratiques
• Interne Planification
• Qualité intrinsèque • Pratiques de processus,
Parties prenantes • Qualité contextuelle • Conception Activités détaillées
• Externe (Pertinence, • Construire/Acquérir/ Activités
Parties prenantes Efficacité) Créer/Mettre en œuvre • Produits de travail
• Accessibilité et • Utiliser/Exploiter (Entrées/Sorties)
baiD
neotnisantielim h
Sécurité • Évaluer/Surveiller
• Mettre à jour/éliminer
Pratiques génériques pour

Processus
Sont parties prenantes Sont des facilitateurs Estce que le cycle de vie Sont de bonnes pratiques
Besoins satisfaits ? Objectifs atteints ? Géré ? Appliqué?
noitseG
aP
secnruaemsryolafrteu d
c
Mesures pour la réalisation des objectifs Paramètres d’application de la pratique

(Indicateurs de décalage) (Indicateurs principaux)
Un processus est défini comme « un ensemble de pratiques influencées par les politiques et procédures de l'entreprise qui prennent des intrants provenant
d'un certain nombre de sources (y compris d'autres processus), manipulent les intrants et produisent des extrants (par exemple, des produits, des
services) ».
Le modèle de processus montre :

• Parties prenantes : les processus comportent des parties prenantes internes et externes, avec leurs propres rôles ; les parties prenantes et leurs
niveaux de responsabilité sont documentés dans des tableaux qui montrent qui est responsable, responsable, consulté ou informé (RACI). Les
parties prenantes externes comprennent les clients, les partenaires commerciaux, les actionnaires et les régulateurs. Les parties prenantes internes
comprennent le conseil d’administration, la direction, le personnel et les bénévoles.
• Objectifs : les objectifs du processus sont définis comme « une déclaration décrivant le résultat souhaité d'un processus ». Un résultat peut être un artefact,
un changement significatif d'un état ou une amélioration significative des capacités d'autres processus. Ils font partie de la cascade des objectifs, c'està
dire que les objectifs de processus soutiennent les objectifs liés à l'informatique, qui à leur tour soutiennent les objectifs de l'entreprise.
Les objectifs du processus peuvent être

classés comme suit : – Objectifs intrinsèques : le processus atil une qualité intrinsèque ? Estce précis et conforme aux bonnes pratiques ? Estce
conforme aux règles internes et externes ?
– Objectifs contextuels : le processus estil personnalisé et adapté à la situation spécifique de l'entreprise ? Le processus estil
pertinent, compréhensible, facile à appliquer ?
– Objectifs d’accessibilité et de sécurité : le processus reste confidentiel, lorsque cela est nécessaire, et est connu et accessible à tous.
ceux qui en ont besoin.
À chaque niveau de la cascade des objectifs, et donc également pour les processus, des mesures sont définies pour mesurer dans quelle mesure les
objectifs sont atteints. Les métriques peuvent être définies comme « une entité quantifiable qui permet de mesurer la réalisation d'un objectif de processus
». Les mesures doivent être SMART : spécifiques, mesurables, exploitables, pertinentes et opportunes. »
19
Pour gérer le catalyseur de manière efficace et efficiente, des mesures doivent être définies pour mesurer dans quelle mesure les résultats attendus sont atteints. En
outre, un deuxième aspect de la gestion des performances du facilitateur décrit la mesure dans laquelle les bonnes pratiques sont appliquées. Ici aussi, des
métriques associées peuvent être définies pour aider à la gestion de l'activateur. • Cycle de vie : chaque processus possède un cycle de vie. Il est défini, créé,
exploité, surveillé et ajusté/mis à jour ou retiré.
Les pratiques de processus génériques telles que celles définies dans le modèle d'évaluation des processus COBIT basé sur la norme ISO/IEC 15504 peuvent aider
à définir, exécuter, surveiller et optimiser les processus.
• Bonnes pratiques – COBIT 5 : Enabling Processes contient un modèle de référence de processus, dans lequel les bonnes pratiques internes des processus sont
décrites avec des niveaux de détail croissants : pratiques, activités et activités détaillées.4
Les pratiques:
• Pour chaque processus COBIT 5, les pratiques de gouvernance/gestion fournissent un ensemble complet d'exigences de haut niveau pour une gouvernance et
une gestion efficaces et pratiques de l'informatique d'entreprise. Ils sont:
Énoncés d'actions pour apporter des bénéfices, optimiser le niveau de risque et optimiser l'utilisation des ressources
Aligné sur les normes et bonnes pratiques généralement acceptées
Générique et devant donc être adapté à chaque entreprise
Couverture des acteurs métiers et IT dans le processus (de bout en bout)
• L'organe de gouvernance et la direction de l'entreprise doivent faire des choix concernant ces pratiques de gouvernance et de gestion en :
Sélectionner celles qui sont applicables et décider de celles qui seront mises en œuvre
Ajouter et/ou adapter des pratiques si nécessaire
Définir et ajouter des pratiques non liées à l'informatique pour l'intégration dans les processus métiers
Choisir comment les mettre en œuvre (fréquence, span, automatisation, etc.)
Accepter le risque de ne pas mettre en œuvre celles qui pourraient s'appliquer
Activités—Dans COBIT, les principales actions pour faire fonctionner le processus
• Ils sont définis comme « des conseils pour mettre en œuvre des pratiques de gestion permettant une gouvernance et une gestion réussies de
l'informatique d'entreprise ». Les activités COBIT 5 expliquent comment, pourquoi et quoi mettre en œuvre pour chaque pratique de gouvernance ou de
gestion afin d'améliorer les performances informatiques et/ou de gérer les risques liés aux solutions informatiques et à la prestation de services. Ce matériel est
utile pour :
Direction, prestataires de services, utilisateurs finaux et professionnels de l'informatique qui doivent planifier, créer, exécuter ou surveiller (PBRM)
l'informatique d'entreprise
Des professionnels de l'assurance qui peuvent être invités à donner leur avis sur les mises en œuvre actuelles ou proposées ou les améliorations
nécessaires
• Un ensemble complet d'activités génériques et spécifiques qui fournissent une approche composée de toutes les étapes nécessaires et suffisantes pour
atteindre la pratique de gouvernance (GP)/pratique de gestion (MP). Ils fournissent des conseils de haut niveau, à un niveau inférieur au GP/MP, pour
évaluer les performances réelles et envisager des améliorations potentielles. Les activités:
– Décrire un ensemble d’étapes de mise en œuvre nécessaires et suffisantes, orientées vers l’action, pour parvenir à un GP/MP
– Tenir compte des entrées et sorties du processus
– Sont basés sur des normes et bonnes pratiques généralement acceptées
– Soutenir l’établissement de rôles et de responsabilités clairs
– Sont non prescriptifs et doivent être adaptés et développés en procédures spécifiques adaptées à l’entreprise
Activités détaillées – Les activités peuvent ne pas être suffisamment détaillées pour être mises en œuvre, et des orientations supplémentaires peuvent
s'avérer nécessaires :
– Obtenu à partir de normes et de bonnes pratiques pertinentes spécifiques telles que la bibliothèque d'infrastructures de technologies de l'information
(ITIL), la série 27000 de l'Organisation internationale de normalisation/Commission électrotechnique internationale (ISO/IEC) et PRojects IN Controlled
Environments 2 (PRINCE2)
– Développé sous forme d’activités plus détaillées ou spécifiques en tant que développements supplémentaires dans la famille de produits COBIT 5 ellemême
Entrées et sorties – Les entrées et sorties de COBIT 5 sont les produits/artefacts du travail de processus considérés comme nécessaires pour soutenir
le fonctionnement du processus. Ils permettent de prendre des décisions clés, fournissent un enregistrement et une piste d'audit des activités de processus et
permettent un suivi en cas d'incident. Ils sont définis au niveau des pratiques de gouvernance/gestion, peuvent inclure certains produits de travail utilisés uniquement
dans le processus et constituent souvent des intrants essentiels à d’autres processus.5
Les bonnes pratiques externes peuvent exister sous n’importe quelle forme ou niveau de détail et faire principalement référence à d’autres
normes et cadres. Les utilisateurs peuvent à tout moment se référer à ces bonnes pratiques externes, sachant que COBIT est aligné sur ces
normes lorsque cela est pertinent, et des informations cartographiques seront mises à disposition.
4
Seules les pratiques et activités sont développées dans le cadre du projet actuel. Les niveaux plus détaillés sont sujets à des développements supplémentaires, par exemple, les différents
guides professionnels peuvent fournir des conseils plus détaillés pour leurs domaines. En outre, des orientations supplémentaires peuvent être obtenues par le biais de normes et de cadres
connexes, comme indiqué dans les descriptions détaillées des processus.
5 Les entrées et sorties illustratives de COBIT 5 ne doivent pas être considérées comme une liste exhaustive car des flux d'informations supplémentaires pourraient être définis, en fonction de
l'environnement et du cadre de processus d'une entreprise particulière.
20
chapitre 3
Gestion des performances des facilitateurs

Les entreprises attendent des résultats positifs de l’application et de l’utilisation de catalyseurs. Pour gérer les performances des facilitateurs, les questions suivantes devront être surveillées
et répondues régulièrement, sur la base de mesures :

• Les besoins des parties prenantes sontils pris en compte ?
• Les objectifs facilitateurs sontils atteints ?
• Le cycle de vie du catalyseur estil géré ?
• Les bonnes pratiques sontelles appliquées ?
Dans le cas du facilitateur de processus, les deux premiers points traitent du résultat réel du processus. Les mesures utilisées pour mesurer dans quelle mesure les objectifs sont
atteints peuvent être appelées « indicateurs de décalage ». Dans COBIT 5 : Enabling Processes, un certain nombre de mesures sont définies par objectif de processus.
Les deux derniers points traitent du fonctionnement réel du catalyseur luimême, et les mesures à cet égard peuvent être appelées « indicateurs principaux ».
Niveau de capacité du processus : COBIT 5 comprend un système d'évaluation de la capacité du processus basé sur la norme ISO/IEC 15504. Ceci est abordé au chapitre 8 de COBIT
5 et des conseils supplémentaires sont disponibles dans des publications distinctes de l'ISACA. En bref, le niveau de capacité du processus mesure à la fois la réalisation des
objectifs et l'application des bonnes pratiques.
Relations avec d'autres facilitateurs — Les liens entre les processus et les autres catégories de facilitateurs existent à travers les relations suivantes : • Les processus ont
besoin d'informations (en tant qu'un
des types d'intrants) et peuvent produire des informations (en tant que produit du travail).
• Les processus nécessitent des structures organisationnelles et des rôles pour fonctionner, tels qu'exprimés dans les diagrammes RACI, par exemple, comité de pilotage
informatique, comité des risques d'entreprise, conseil d'administration, audit, directeur de l'information (CIO), directeur général (PDG).
• Les processus produisent, mais nécessitent également, des capacités de service (infrastructure, applications, etc.).
• Les processus peuvent dépendre, et dépendront, d'autres processus.
• Les processus produisent, ou nécessitent, des politiques et des procédures pour garantir une mise en œuvre et une exécution cohérentes.
• Les aspects culturels et comportementaux déterminent la qualité de l'exécution des processus.
21
22
Chapitre 4
Le modèle de référence de processus COBIT 5
Chapitre 4
Le modèle de référence de processus COBIT 5
Processus de gouvernance et de gestion
L’un des principes directeurs de COBIT est la distinction faite entre gouvernance et gestion. Conformément à ce principe, chaque entreprise devrait
mettre en œuvre un certain nombre de processus de gouvernance et un certain nombre de processus de gestion pour assurer une gouvernance et une
gestion complètes de l'informatique d'entreprise.
Lorsque l’on considère les processus de gouvernance et de gestion dans le contexte de l’entreprise, la différence entre les types de processus réside dans les
objectifs des processus :
• Processus de gouvernance : les processus de gouvernance traitent des objectifs de gouvernance des parties prenantes (apport de valeur, optimisation des
risques et optimisation des ressources) et incluent des pratiques et des activités visant à évaluer les options stratégiques, à orienter l'informatique et à
surveiller les résultats (évaluer, diriger et surveiller [EDM ] —conformément aux concepts de la norme ISO/IEC 38500).
• Processus de gestion : conformément à la définition de la gestion (voir COBIT 5, résumé), les pratiques et activités dans les processus de gestion couvrent
les domaines de responsabilité de l'informatique d'entreprise PBRM et doivent fournir une couverture informatique de bout en bout.
Bien que le résultat des deux types de processus soit différent et destiné à un public différent, en interne, du contexte du processus luimême, tous les
processus nécessitent des activités de « planification », « construction ou mise en œuvre », « exécution » et « suivi » au sein du processus.
Modèle
COBIT 5 n'est pas prescriptif, mais d'après le texte précédent, il ressort clairement qu'il préconise que les entreprises mettent en œuvre des processus de
gouvernance et de gestion tels que les domaines clés soient couverts, comme le montre la figure 9 .
En théorie, une entreprise peut organiser ses processus comme bon lui semble, à condition que les objectifs fondamentaux de gouvernance et de gestion soient
couverts. Les petites entreprises peuvent avoir moins de processus ; les entreprises plus grandes et plus complexes peuvent avoir de nombreux
processus, tous destinés à répondre aux mêmes objectifs.
Figure 9—Domaines clés de gouvernance et de gestion de COBIT 5
Les besoins de l'entreprise
Gouvernance
Évaluer
Moniteur
Direct Commentaires de la direction
Gestion
Plan Construire Courir Moniteur

(APO) (BAI) (DSS) (AME)
23
COBIT 5 comprend un modèle de référence de processus, définissant et décrivant en détail un certain nombre de processus de gouvernance et de
gestion. Il fournit un modèle de référence de processus qui représente l'ensemble des processus normalement présents dans une entreprise
liés aux activités informatiques, offrant un modèle de référence commun compréhensible aux responsables opérationnels informatiques et métiers.
Le modèle de processus proposé est un modèle complet et exhaustif, mais ce n'est pas le seul modèle de processus possible. Chaque entreprise
doit définir son propre ensemble de processus, en tenant compte de la situation spécifique.
L'intégration d'un modèle opérationnel et d'un langage commun pour toutes les parties de l'entreprise impliquées dans les activités informatiques est
l'une des étapes les plus importantes et les plus critiques vers une bonne gouvernance. Il fournit également un cadre pour mesurer et surveiller les
performances informatiques, communiquer avec les fournisseurs de services et intégrer les meilleures pratiques de gestion.
Le modèle de référence de processus COBIT 5 subdivise les processus de gouvernance et de gestion de l'informatique d'entreprise en deux
domaines d'activité principaux (gouvernance et gestion) divisés en domaines de processus :
• Gouvernance : ce domaine contient cinq processus de gouvernance ; au sein de chaque processus, des pratiques GED sont définies.
• Gestion : ces quatre domaines sont conformes aux domaines de responsabilité de PBRM (une évolution des domaines COBIT 4.1)
et offrent une couverture de bout en bout de l'informatique. Chaque domaine contient un certain nombre de processus, comme dans COBIT
4.1 et les versions précédentes. Bien que, comme décrit précédemment, la plupart des processus nécessitent des activités de « planification »,
de « mise en œuvre », d'« exécution » et de « suivi » au sein du processus ou dans le cadre de la question spécifique traitée (par
exemple, qualité, sécurité), ils sont placés dans des domaines en en ligne avec ce qui est généralement le domaine d'activité le plus pertinent en
matière d'informatique au niveau de l'entreprise.
Le modèle de référence de processus COBIT 5 est le successeur du modèle de processus COBIT 4.1, avec également les modèles de
processus Risk IT et Val IT intégrés. La figure 10 montre l'ensemble complet des 37 processus de gouvernance et de gestion au sein de
COBIT 5.
Figure 10—Modèle de référence du processus COBIT 5
Processus de gouvernance de l'informatique d'entreprise
Évaluer, diriger et surveiller
EDM01 Assurer
EDM04 Assurer EDM05 Assurer
Gouvernance EDM02 Assurer EDM03 Assurer
Ressource Partie prenante
Cadre de réglage Livraison des avantages Optimisation des risques
et entretien Optimisation Transparence
Aligner, planifier et organiser Surveiller, évaluer

et évaluer
APO01 Gérer APO03 Gérer
APO02 Gérer APO04 Gérer APO05 Gérer APO06 Gérer APO07 Gérer
la gestion informatique Entreprise Ressources humaines
Stratégie Innovation Portefeuille Budget et coûts
Cadre Architecture
Moniteur MEA01 ,
Évaluer et évaluer
Performances et
APO09 Gérer
APO08 Gérer APO10 Gérer APO11 Gérer APO12 Gérer APO13 Gérer Conformité
Service
Des relations Fournisseurs Qualité Risque Sécurité
les accords
Construire, acquérir et mettre en œuvre
BAI03 Gérer BAI05 Gérer BAI07 Gérer

Solutions Organisationnel BAI06 Gérer Changement
Programmes et Exigences Disponibilité
Identification Acceptation et
Définition et capacité
Changement Changements Moniteur MEA02 ,
Projets et construire Activation Transition Évaluer et évaluer
le système de contrôle interne
Contrôle

Connaissance Actifs Configuration
Livraison, service et assistance

Moniteur MEA03 ,
DSS02 Gérer DSS05 Gérer DSS06 Gérer Évaluer et évaluer
DSS01 Gérer DSS03 Gérer DSS04 Gérer
Demandes de services Sécurité Entreprise Conformité avec
Opérations Problèmes Continuité
et Incidents Prestations de service Contrôles de processus Exigences externes
Processus de gestion de l'informatique d'entreprise
24
Chapitre 5
Contenu du guide de référence du processus COBIT 5
Chapitre 5
Ce chapitre décrit le contenu détaillé des processus de gouvernance et de gestion de COBIT 5. Pour chaque processus, les informations suivantes
sont incluses, conformément au modèle de processus expliqué dans le chapitre précédent :
• Identification du processus : sur la première page :
– Étiquette de processus : le préfixe de domaine (EDM, APO, BAI, DSS, MEA) et le numéro de processus
– Nom du processus – Une brève description indiquant le sujet principal du processus – Domaine
du processus – Gouvernance ou gestion
Nom de domaine
• Description du processus : un aperçu de ce que fait le processus et un aperçu général de la manière dont le processus atteint son
objectif.
• Déclaration d'objectif du processus : une description de l'objectif général du processus. • Informations
en cascade sur les objectifs : référence et description des objectifs informatiques qui sont principalement pris en charge par le processus6, et des
mesures permettant de mesurer la réalisation des objectifs informatiques.
• Objectifs et mesures du processus : un ensemble d'objectifs de processus et un nombre limité d'exemples de mesures.
• Tableau RACI : une suggestion d'attribution du niveau de responsabilité pour les pratiques de processus aux différents rôles et structures.
Les rôles d'entreprise répertoriés sont plus foncés que les rôles informatiques. Les différents niveaux d’implication sont :
– R(responsable) : qui accomplit la tâche ? Il s'agit des rôles qui revêtent le principal enjeu opérationnel dans l'accomplissement de l'activité
répertoriée et la création du résultat escompté.
– A(ccountable) : qui est responsable du succès de la tâche ? Cela attribue la responsabilité globale d'obtenir le
tâche accomplie (Où s’arrête la responsabilité ?). Notez que le rôle mentionné est le niveau de responsabilité approprié le plus bas ; il existe bien
entendu des niveaux supérieurs qui sont également responsables. Pour permettre l’autonomisation de l’entreprise, la responsabilité est
décomposée autant que possible. La responsabilité n'indique pas que le rôle n'a aucune activité opérationnelle ; il est très probable que le rôle
soit impliqué dans la tâche. En tant que principe, la responsabilité ne peut être partagée.
– C (consulté) : qui apporte sa contribution ? Ce sont des rôles clés qui fournissent une contribution. Notez qu’il appartient au(x) rôle(s) responsable(s)
d’obtenir également des informations auprès d’autres unités ou de partenaires externes. Cependant, les contributions des rôles répertoriés doivent
être prises en compte et, si nécessaire, des mesures appropriées doivent être prises pour la remontée des informations, y compris les informations
du propriétaire du processus et/ou du comité directeur.
– Je (informé) : qui reçoit les informations ? Ce sont des rôles qui sont informés des réalisations et/ou
livrables de la tâche. Bien entendu, le rôle de « responsable » doit toujours recevoir les informations appropriées pour superviser la tâche, tout
comme les rôles responsables de leur domaine d'intérêt.
• Description détaillée des pratiques de processus – Pour chaque pratique :
– Titre et description de la pratique
– Pratiquer les intrants et les extrants, avec indication de l’origine et de la destination –
Traiter les activités, détaillant davantage les pratiques
• Conseils connexes : références à d'autres normes et orientations vers des conseils supplémentaires.
Entrées et sorties
Les descriptions détaillées des processus contiennent, au niveau des pratiques de gouvernance et de gestion, des intrants et des extrants.
En général, chaque sortie est envoyée vers une ou un nombre limité de destinations, généralement une autre pratique de processus COBIT. Cette
sortie devient alors une entrée vers sa destination. Cependant, il existe un certain nombre de résultats qui ont de nombreuses destinations, par
exemple tous les processus COBIT ou tous les processus au sein d'un domaine. Pour des raisons de lisibilité, ces sorties ne sont PAS répertoriées
comme entrées dans ces processus. Une liste complète de ces résultats est incluse dans la figure 11.
Pour certaines entrées/sorties, la destination 'interne' est mentionnée. Cela signifie que les entrées/sorties se situent entre les activités du même
processus.
6
Seuls les objectifs liés à l'informatique avec un « P » dans le tableau de correspondance entre les objectifs et les processus liés à l'informatique (figure 17) sont répertoriés ici.
25
Figure 11—Résultats
Sorties vers tous les processus
De la pratique Description de la sortie Destination
APO13.02 Plan de traitement des risques liés à la sécurité de l'information Tous les EDM ; Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
Résultats pour tous les processus de gouvernance
EDM01.01 Principes directeurs de la gouvernance d’entreprise Tous les GED
EDM01.01 Modèle de prise de décision Tous les GED
EDM01.01 Niveaux d'autorité Tous les GED
EDM01.02 Communications sur la gouvernance d'entreprise Tous les GED
EDM01.03 Commentaires sur l’efficacité et la performance de la gouvernance Tous les GED
Résultats pour tous les processus de gestion
APO01.01 Règles de base en matière de communication Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO01.03 Politiques liées à l'informatique Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO01.04 Communication sur les objectifs informatiques Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO01.07 Possibilités d'amélioration des processus Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO02.06 Forfait communication Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.02 Normes de gestion de la qualité Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.04 Objectifs et indicateurs de qualité de service du processus Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.06 Communications sur l’amélioration continue et les bonnes pratiques Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.06 Exemples de bonnes pratiques à partager Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
APO11.06 Résultats de référence de l'examen de la qualité Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA01.02 Objectifs de surveillance Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA01.04 Rapports de performances Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA01.05 Actions correctives et missions Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.01 Résultats des suivis et revues du contrôle interne Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.01 Résultats des analyses comparatives et autres évaluations Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.03 Plans et critères d’autoévaluation Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.03 Résultats des examens des autoévaluations Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.04 Lacunes du contrôle Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.04 Des mesures correctives Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.06 Plans d'assurance Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.08 Portée raffinée Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.08 Résultats de l'examen d'assurance Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA02.08 Rapport d'examen de l'assurance Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
MEA03.02 Communications des exigences de conformité modifiées Tous les APO ; Tous les BAI ; Tous les DSS ; Tous les MEA
26
Chapitre 5
Guide générique pour les processus
Les activités dans les descriptions détaillées des processus décrivent l'objectif fonctionnel du processus, c'estàdire ce que le processus est censé fournir. Ceux
ci seront différents pour chaque processus, car chaque processus a des objectifs différents.
Il existe également des conseils sur la manière dont le processus sera exécuté, c'estàdire des conseils génériques sur la manière de construire, d'exécuter, de
surveiller et d'améliorer le processus luimême. Ces conseils sont génériques, identiques pour chaque processus.
Dans COBIT 4.1, les contrôles de processus contenaient de bonnes pratiques qui n'étaient spécifiques à aucun processus, mais étaient génériques et applicables à
tous les processus. Les contrôles de processus étaient similaires à certains des attributs de maturité génériques du modèle de maturité COBIT 4.1.
Dans COBIT 5, un système d'évaluation de la capacité des processus conforme à la norme ISO/IEC 15504 est utilisé. Dans ce schéma, les attributs de capacité
appartenant aux niveaux de capacité de processus supérieurs décrivent comment des processus meilleurs et plus performants peuvent être construits, remplaçant
ainsi efficacement les contrôles de processus COBIT 4.1.
Il s'agit d'orientations importantes liées aux processus, et pour cette raison, la figure 12 contient un aperçu de haut niveau des contrôles de processus
COBIT 4.1 et de leurs attributs équivalents de capacité de processus basés sur la norme ISO/IEC 15504 qui sont fondamentaux pour de bons processus.
Figure 12—Contrôles de processus COBIT 4.1 et attributs de capacité de processus ISO/IEC 15504 associés
COBIT4.1 Attributs de capacité de processus ISO/IEC 15504 associés
Buts et objectifs du processus PC1 PA 2.1 Attribut de gestion des performances
Propriété du processus PC2 PA 2.1 Attribut de gestion des performances
Répétabilité du processus PC3 PA 3.1 Attribut de définition de processus
Rôles et responsabilités du PC4 AP 2.1 Attribut de gestion des performances

AP 3.2 Attribut de déploiement de processus
PC5 Politique, plans et procédures PA 2.1 Attribut de gestion des performances
Amélioration des performances du processus PC6 AP 2.1 Attribut de gestion des performances
AP 5.2 Attribut d'optimisation des processus
27
28
et
si
Chapitre 5
É
d
Évaluer, diriger et surveiller (EDM)
01 Assurer la mise en place et le maintien du cadre de gouvernance.
02 Assurer le versement des prestations.
03 Assurer l'optimisation des risques.
04 Assurer l'optimisation des ressources.
05 Assurer la transparence des parties prenantes.
29

elvgarivrutiÉ
,rlelriu
re ds
e
30
Chapitre 5
Domaine : Gouvernance
EDM01 Assurer la mise en place et la maintenance du cadre de gouvernance Domaine : évaluer, diriger et surveiller
Description du processus
Analyser et articuler les exigences en matière de gouvernance de l'informatique d'entreprise, et mettre en place et maintenir des structures, principes, processus et pratiques efficaces, avec des
responsabilités et une autorité claires pour atteindre la mission, les buts et les objectifs de l'entreprise.
Déclaration d'objectif du processus

Fournir une approche cohérente intégrée et alignée avec l’approche de gouvernance d’entreprise. Pour garantir que les décisions liées à l'informatique sont prises conformément aux stratégies et aux
objectifs de l'entreprise, garantir que les processus liés à l'informatique sont supervisés de manière efficace et transparente, que la conformité aux exigences légales et réglementaires est confirmée et que
les exigences de gouvernance pour les membres du conseil d'administration sont respectées.
Le processus prend en charge la réalisation d’un ensemble d’objectifs informatiques principaux :
Objectif lié à l'informatique Métriques associées
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs
stratégiques informatiques
• Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
programmes et de services
03 Engagement de la direction exécutive dans la prise de décisions liées à l'informatique • Pourcentage de rôles de direction exécutive clairement définis
responsabilités pour les décisions informatiques
• Nombre de fois où l'informatique figure à l'ordre du jour du conseil d'administration de manière proactive
• Fréquence des réunions du comité (exécutif) de stratégie informatique

07 Livraison de services informatiques en adéquation avec les besoins métiers • Nombre d'interruptions d'activité dues à des incidents de service informatique
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques
réponde aux niveaux de service convenus
• Pourcentage d'utilisateurs satisfaits de la qualité de la prestation des services informatiques
Objectifs et mesures du processus
Objectif du processus Métriques associées
1. Le modèle de prise de décision stratégique pour l'informatique est efficace et aligné sur • Temps de cycle réel par rapport à l'objectif pour les décisions clés
l'environnement interne et externe de l'entreprise et sur les exigences des parties prenantes. • Niveau de satisfaction des parties prenantes (mesuré par des enquêtes)
2. Le système de gouvernance informatique est intégré à l'entreprise. • Nombre de rôles, de responsabilités et d'autorités définis, attribués et acceptés par la
direction commerciale et informatique appropriée.
• Degré selon lequel les principes de gouvernance convenus pour l'informatique sont mis en
évidence dans les processus et les pratiques (pourcentage de processus et de pratiques
avec une traçabilité claire aux principes)
• Nombre de cas de nonrespect des directives de comportement éthique et professionnel
3. L'assurance est obtenue que le système de gouvernance informatique est • Fréquence des examens indépendants de la gouvernance informatique
fonctionner efficacement. • Fréquence de reporting de gouvernance informatique au comité exécutif
et planche
• Nombre de problèmes de gouvernance informatique signalés
Graphique RACI EDM01

liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
oa
efn
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
éa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
o
rxeta
soep
toirpuoscfene
nitee
nsqe
sé
eéé
sessitrnpaeertgnie
toirpuoscfene
ssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
lbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
uo
nm
nm
n
uro
efiig
rue
srn
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
tneem
noeietlb
Pratique de gouvernance
EDM01.01
Évaluer le ARCCR R. C CCCCCCRCCC
système de gouvernance.
EDM01.02
ARCCRIRI je ICI je je ICCRCI je je je je je je
Diriger le système de gouvernance.
EDM01.03
ARCCRIRI je ICI je je ICCRCI je je je je je je
Surveiller le système de gouvernance.
Remarque : Certaines pratiques de gouvernance et de gestion produisent des extrants qui servent d’intrants à de nombreuses pratiques. Ces résultats sont détaillés dans la figure 11.
Veuillez vous référer à la figure 11 pour garantir l'exhaustivité lorsque vous travaillez avec les pratiques qui suivent.
31
EDM01 Pratiques de processus, entrées/sorties et activités
Pratique de gouvernance Contributions Les sorties
EDM01.01 Évaluer le système de gouvernance. Depuis Description Description À
Identifiez et engagez en permanence les parties prenantes de l'entreprise,

MEA03.02 Communications des Principes directeurs de la Tous les GED
elvgarivrutiÉ
,rlelriu
re ds
e
documentez votre compréhension des exigences et portez un

exigences de conformité gouvernance d’entreprise APO01.01
jugement sur la conception actuelle et future de la gouvernance informatique
modifiées APO01.03
de l'entreprise.
Hors COBIT • Tendances de l'environnement des affaires Modèle de prise de décision Tous les GED
APO01.01
• Règlements
Niveaux d'autorité Tous les GED
• Gouvernance/décision
APO01.02
faire des conseils de modèle
• Constitution/règlements/
statuts de l'organisation
Activités
1. Analyser et identifier les facteurs environnementaux internes et externes (obligations légales, réglementaires et contractuelles) et les tendances de l'entreprise
environnement qui peut influencer la conception de la gouvernance.
2. Déterminer l'importance de l'informatique et son rôle par rapport à l'entreprise.
3. Tenez compte des réglementations externes, des lois et des obligations contractuelles et déterminez comment elles doivent être appliquées dans le cadre de la gouvernance informatique de l'entreprise.
4. Aligner l'utilisation et le traitement éthiques de l'information et son impact sur la société, l'environnement naturel et les intérêts des parties prenantes internes et externes avec la direction, les buts et les objectifs
de l'entreprise.
5. Déterminer les implications de l'environnement de contrôle global de l'entreprise en ce qui concerne l'informatique.
6. Articuler les principes qui guideront la conception de la gouvernance et la prise de décision en matière d'informatique.
7. Comprendre la culture décisionnelle de l'entreprise et déterminer le modèle décisionnel optimal pour l'informatique.
8. Déterminez les niveaux appropriés de délégation d'autorité, y compris les règles de seuil, pour les décisions informatiques.
EDM01.02 Diriger le système de gouvernance. Depuis Description Description À
Informer les dirigeants et obtenir leur soutien, leur adhésion et leur

Communications sur la Tous les GED
engagement. Guider les structures, les processus et les pratiques
gouvernance d'entreprise APO01.04
pour la gouvernance de l'informatique conformément aux principes de
conception de gouvernance, aux modèles de prise de décision et aux Approche du système de récompense APO07.03
niveaux d'autorité convenus. Définir les informations nécessaires à une prise APO07.04
de décision éclairée.
Activités
1. Communiquer les principes de gouvernance des TI et convenir avec la direction générale de la manière d'établir un leadership informé et engagé.
2. Établir ou déléguer la mise en place de structures, de processus et de pratiques de gouvernance conformément aux principes de conception convenus.
3. Attribuer les responsabilités, l'autorité et la responsabilisation conformément aux principes de conception de gouvernance, aux modèles de prise de décision et à la délégation convenus.
4. Veiller à ce que les mécanismes de communication et de reporting fournissent aux responsables de la surveillance et de la prise de décision des informations appropriées.
5. Ordonner au personnel de suivre les directives pertinentes en matière de comportement éthique et professionnel et de veiller à ce que les conséquences du nonrespect soient connues.
et appliquée.
6. Diriger la mise en place d’un système de récompense pour promouvoir le changement culturel souhaitable.
32
et
si
Chapitre 5
É
d
EDM01 Pratiques de processus, entrées/sorties et activités (suite)
EDM01.03 Surveiller le système de gouvernance. Depuis Description Description À
Surveiller l’efficacité et les performances de la gouvernance

MEA01.04 Rapports de performances Commentaires sur l’efficacité et Tous les GED
informatique de l’entreprise. Évaluer si le système de gouvernance
la performance de la APO01.07
et les mécanismes mis en œuvre (y compris les structures, les MEA01.05 Statut et résultats des
gouvernance
principes et les processus) fonctionnent efficacement et assurent actions
une surveillance appropriée de l'informatique.
MEA02.01 • Résultats de l'analyse comparative
et d'autres évaluations
• Résultats des suivis et
revues du contrôle interne
MEA02.03 Résultats des examens

des autoévaluations
MEA02.06 Plans d'assurance
MEA03.03 Confirmations de conformité
MEA03.04 • Rapports sur

les problèmes de nonconformité
et leurs causes profondes
• Rapports d'assurance de
conformité
Hors COBIT • Obligations

• Rapports d'audit
Activités
1. Évaluer l'efficacité et les performances des parties prenantes auxquelles sont déléguées la responsabilité et l'autorité en matière de gouvernance de l'informatique de l'entreprise.
2. Évaluer périodiquement si la gouvernance convenue des mécanismes informatiques (structures, principes, processus, etc.) est établie et fonctionne efficacement.
3. Évaluer l'efficacité de la conception de la gouvernance et identifier les actions pour rectifier les écarts constatés.
4. Surveiller dans quelle mesure l'informatique satisfait aux obligations (réglementaires, législatives, de common law, contractuelles), aux politiques internes, aux normes et
directives professionnelles.
5. Assurer la surveillance de l'efficacité et du respect du système de contrôle de l'entreprise.
6. Surveiller les mécanismes réguliers et courants pour garantir que l'utilisation de l'informatique est conforme aux obligations pertinentes (réglementaires, législatives, droit commun,
contractuels), des normes et des lignes directrices.
Conseils associés à EDM01
Norme connexe Référence détaillée
Comité des organisations parrainantes de la

Commission Treadway (COSO)
ISO/CEI 38500
Roi III • 5.1. Le conseil d'administration devrait être responsable de la gouvernance des technologies de l'information (TI).
• 5.3. Le conseil d'administration devrait déléguer à la direction la responsabilité de la mise en œuvre d'un cadre de
gouvernance informatique.
Organisation de coopération et de développement Principes de gouvernance d'entreprise

économiques (OCDE)
33

elvgarivrutiÉ
,rlelriu
re ds
e
34
et
si
Chapitre 5
É
d
EDM02 Assurer le versement des prestations Domaine : évaluer, diriger et surveiller
Optimiser la contribution de valeur à l'entreprise des processus métier, des services informatiques et des actifs informatiques résultant des investissements réalisés par l'informatique à des coûts acceptables.
Garantir une valeur optimale à partir des initiatives, des services et des actifs informatiques ; fourniture rentable de solutions et de services ; et une image fiable et précise des coûts et des avantages probables afin que les besoins de
l'entreprise soient pris en charge de manière efficace et efficiente.
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par les objectifs stratégiques
informatiques. • Niveau
de satisfaction des parties prenantes quant à la portée du portefeuille prévu de programmes et de services.
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques • Pourcentage d'investissements informatiques dont la réalisation des avantages est surveillée tout au long du cycle
de vie économique.
• Pourcentage de services informatiques où les avantages attendus sont réalisés. • Pourcentage

d'investissements informatiques où les avantages annoncés sont atteints.
ou dépassé
06 Transparence des coûts, avantages et risques informatiques • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts et des avantages informatiques
attendus clairement définis et approuvés.
• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus sont
clairement définis et approuvés.
• Enquête de satisfaction auprès des principales parties prenantes concernant le niveau de
transparence, de compréhension et d'exactitude des informations financières informatiques.
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques réponde
aux niveaux de service convenus
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités d'innovation
informatique.
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise en innovation informatique
et des idées
• Nombre d'initiatives approuvées résultant d'idées informatiques innovantes
1. L’entreprise obtient une valeur optimale de son portefeuille d’initiatives, de services et d’actifs informatiques • Niveau de satisfaction de la direction concernant la valeur ajoutée et le coût de l'informatique
approuvés.
• Écart entre la répartition des investissements cible et réelle.
• Niveau de satisfaction des parties prenantes quant à la capacité de l'entreprise à tirer de la valeur des
initiatives informatiques
2. La valeur optimale découle de l'investissement informatique grâce à des pratiques efficaces de gestion de • Nombre d'incidents qui se produisent en raison d'un contournement réel ou tenté des principes et pratiques établis
la valeur dans l'entreprise. de gestion de la valeur.
• Pourcentage d'initiatives informatiques dans le portefeuille global dont la valeur est gérée tout au long du
cycle de vie
3. Les investissements informatiques individuels apportent une valeur optimale. • Niveau de satisfaction des parties prenantes quant aux progrès vers les objectifs identifiés, avec une création de
valeur basée sur des enquêtes
• Pourcentage de valeur attendue réalisée
35
Carte RACI EDM02

elvgarivrutiÉ
,rlelriu
re d
e
s
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
laaitsnneodpifsneeoa
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
soep
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
auietesrlueaaB
g
d
vl
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
aprsé
tm
sm
pv
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
iap
tneemlbeapspnoole
uo
tm
rqtsitnianom
ae
sgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
EDM02.01
ARRCR R. CC CCCCCCRCCC
Évaluer l’optimisation de la valeur.
EDM02.02
ARRCRIRI je je je je je je je je IRCI je je je je je je
Optimisation de la valeur directe.
EDM02.03
ARRCR R. RCCCCCCCRCCC
Surveiller l'optimisation de la valeur.
EDM02.01 Évaluer l'optimisation de la valeur. Depuis Description Description À
Évaluez en permanence le portefeuille d'investissements,

APO02.05 Feuille de route stratégique Évaluation de l'alignement APO02.04
de services et d'actifs informatiques pour déterminer la probabilité
stratégique APO05.03
d'atteindre les objectifs de l'entreprise et de générer de la
valeur à un coût raisonnable. Identifier et porter un jugement sur tout APO05.02 Attentes de rendement Évaluation des portefeuilles APO05.03
changement d'orientation qui doit être apporté à la direction pour des investissements d'investissement et de services APO05.04
optimiser la création de valeur. APO06.02

APO05.03 Programmes sélectionnés avec
des étapes de retour sur
investissement (ROI)
APO05.06 Résultats des prestations et

communication associée
BAI01.06 Résultats de l'examen par étapes
Activités
1. Comprendre les exigences des parties prenantes ; les problèmes informatiques stratégiques, tels que la dépendance à l'égard de l'informatique ; et des connaissances et des capacités technologiques concernant les besoins réels et
importance potentielle de l'informatique pour la stratégie de l'entreprise.
2. Comprendre les éléments clés de la gouvernance requis pour la fourniture fiable, sécurisée et rentable d'une valeur optimale issue de l'utilisation des ressources existantes et
de nouveaux services, actifs et ressources informatiques.
3. Comprendre et discuter régulièrement des opportunités qui pourraient découler du changement d'entreprise rendu possible par les technologies actuelles, nouvelles ou émergentes, et
optimiser la valeur créée à partir de ces opportunités.
4. Comprendre ce qui constitue la valeur pour l'entreprise et déterminer dans quelle mesure elle est bien communiquée, comprise et appliquée tout au long de l'entreprise.
les processus de l'entreprise.
5. Évaluer l'efficacité avec laquelle les stratégies d'entreprise et informatiques ont été intégrées et alignées au sein de l'entreprise et avec les objectifs de l'entreprise pour
Offrir de la valeur.
6. Comprendre et considérer dans quelle mesure les rôles, responsabilités, responsabilités et organes décisionnels actuels sont efficaces pour assurer la création de valeur à partir de
Investissements, services et actifs informatiques.
7. Examinez dans quelle mesure la gestion des investissements, des services et des actifs informatiques s'aligne sur la gestion de la valeur de l'entreprise et les aspects financiers.
les pratiques du management.
8. Évaluer le portefeuille d'investissements, de services et d'actifs pour vérifier son alignement avec les objectifs stratégiques de l'entreprise ; la valeur de l'entreprise, à la fois financière et non
financière ; le risque, à la fois le risque de livraison et le risque de bénéfices ; alignement des processus opérationnels ; efficacité en termes de convivialité, de disponibilité et de réactivité ; et
efficacité en termes de coût, de redondance et de santé technique.
36
et
si
Chapitre 5
É
d
EDM02.02 Optimisation de la valeur directe. Depuis Description Description À
Principes et pratiques de gestion de la valeur directe pour permettre

Types et critères APO05.01
une réalisation optimale de la valeur des investissements
d'investissement APO05.03
informatiques tout au long de leur cycle de vie économique complet.
Exigences relatives BAI01.01
aux examens par étapes
Activités
1. Définir et communiquer les types de portefeuille et d'investissement, les catégories, les critères et les pondérations relatives par rapport aux critères pour permettre une évaluation relative globale.
scores de valeur.
2. Définir les exigences en matière d'étapes et d'autres examens concernant l'importance de l'investissement pour l'entreprise et les risques associés, les calendriers des programmes, les plans de financement,
ainsi que la fourniture de capacités et d'avantages clés et la contribution continue à la valeur.
3. Demander à la direction d'envisager des utilisations innovantes potentielles de l'informatique qui permettent à l'entreprise de répondre à de nouvelles opportunités ou défis, d'entreprendre
de nouvelles affaires, accroître la compétitivité ou améliorer les processus.
4. Diriger tous les changements nécessaires dans l'attribution des responsabilités et des responsabilités pour l'exécution du portefeuille d'investissement et la création de valeur à partir des processus et
services commerciaux.
5. Définir et communiquer les objectifs de création de valeur et les mesures de résultats au niveau de l'entreprise pour permettre un suivi efficace.
6. Diriger tous les changements nécessaires dans le portefeuille d'investissements et de services pour le réaligner sur les objectifs et/ou contraintes actuels et attendus de l'entreprise.
7. Recommander de prendre en compte les innovations potentielles, les changements organisationnels ou les améliorations opérationnelles qui pourraient générer une valeur accrue pour le
l’entreprise des initiatives informatiques.
EDM02.03 Surveiller l'optimisation de la valeur. Depuis Description Description À
Surveillez les objectifs et les mesures clés pour déterminer dans

APO05.04 Rapports sur le rendement Commentaires sur les performances APO05.04
quelle mesure l'entreprise génère la valeur et les avantages attendus pour
du portefeuille d'investissement du portefeuille et du programme APO06.05
l'entreprise à partir des investissements et des services informatiques.
BAI01.06
Identifiez les problèmes importants et envisagez des actions correctives.
Actions pour améliorer la création EDM05.01
de valeur APO05.04
APO06.02
BAI01.01
Activités
1. Définir un ensemble équilibré d’objectifs de performance, de mesures, de cibles et de références. Les mesures doivent couvrir les mesures d'activité et de résultats, y compris les indicateurs d'avance
et de retard pour les résultats, ainsi qu'un équilibre approprié entre les mesures financières et non financières. Examinezles et acceptezles avec les services informatiques et les autres fonctions
commerciales, ainsi que les autres parties prenantes concernées.
2. Recueillir des données pertinentes, opportunes, complètes, crédibles et précises pour rendre compte des progrès réalisés dans la création de valeur par rapport aux objectifs. Obtenez une vue
succincte, de haut niveau et complète des performances du portefeuille, du programme et de l'informatique (capacités techniques et opérationnelles) qui soutient la prise de décision, et assurezvous
que les résultats attendus sont atteints.
3. Obtenir des rapports réguliers et pertinents sur les performances du portefeuille, des programmes et des technologies de l'information (technologiques et fonctionnelles). Examiner les progrès de l'entreprise vers
les objectifs identifiés et la mesure dans laquelle les objectifs prévus ont été atteints, les livrables obtenus, les objectifs de performance atteints et les risques atténués.
4. Après examen des rapports, prendre les mesures de gestion appropriées nécessaires pour garantir que la valeur est optimisée.
5. Après examen des rapports, s'assurer que des mesures correctives appropriées de la direction sont lancées et contrôlées.
COSO
ISO/CEI 38500
Roi III • 5.2. L'informatique doit être alignée sur les objectifs de performance et de durabilité de l'entreprise.
• 5.4. Le conseil d’administration doit surveiller et évaluer les investissements et dépenses informatiques importants.
37

elvgarivrutiÉ
,rlelriu
re ds
e
38
Chapitre 5
EDM03 Assurer l’optimisation des risques Domaine : évaluer, diriger et surveiller
Assurezvous que l'appétit et la tolérance au risque de l'entreprise sont compris, articulés et communiqués, et que les risques pour la valeur de l'entreprise liés à l'utilisation de l'informatique sont
identifiés et gérés.

Assurezvous que les risques d'entreprise liés à l'informatique ne dépassent pas l'appétit pour le risque et la tolérance au risque, que l'impact du risque informatique sur la valeur de l'entreprise
est identifié et géré et que le potentiel de nonconformité est minimisé.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de
programmes métiers informatiques couverts par une évaluation des risques.
• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de
l'évaluation des risques.
• Fréquence de mise à jour ou profil de risque
06 Transparence des coûts, avantages et risques informatiques • Pourcentage d'analyses de rentabilisation d'investissement avec des coûts et des avantages
informatiques attendus clairement définis et approuvés.
• Enquête de satisfaction auprès des principales parties prenantes concernant le niveau
de transparence, de compréhension et d'exactitude des informations financières informatiques.
10 Sécurité des informations, des infrastructures de traitement et des applications • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des
activités ou un embarras public
• Nombre de services informatiques avec des exigences de sécurité exceptionnelles
• Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès, par rapport
aux niveaux de service convenus.
15 Conformité informatique aux politiques internes • Nombre d'incidents liés au nonrespect de la politique
• Pourcentage de parties prenantes qui comprennent les politiques
1. Les seuils de risque sont définis et communiqués et les principaux risques liés à l'informatique sont • Niveau d'alignement entre le risque informatique et le risque d'entreprise
connu. • Nombre de risques informatiques potentiels identifiés et gérés
• Taux de rafraîchissement de l'évaluation des facteurs de risque
2. L’entreprise gère de manière efficace et efficiente les risques critiques liés à l’informatique. • Pourcentage de projets d'entreprise qui prennent en compte les risques informatiques
• Pourcentage de plans d'action contre les risques informatiques exécutés à temps
• Pourcentage de risque critique qui a été efficacement atténué
3. Le risque d'entreprise lié à l'informatique ne dépasse pas l'appétit pour le risque et l'impact du • Niveau d'impact inattendu sur l'entreprise
risque informatique sur la valeur de l'entreprise est identifié et géré. • Pourcentage de risques informatiques dépassant la tolérance au risque de l'entreprise.
Carte RACI EDM03

liesnoC
ri'D
d
astésrierpcitooéerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
laaitsnneodpifsnee
rxeta
soep
toirpuoscfene
iuéontpiivtssnitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
ssu
aaB
gvl
d
o'C
d
tiduA
taéo
tm
pv
aprsé
laedrtiécsn
auietesrlue
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
srnuo
nm
nm
n
uro
efiig
rue
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
EDM03.01
ARCCRCR IRC CICCCRC C
Évaluer la gestion des risques.
EDM03.02
ARCCRCRI je IRI je ICCCRCI je je je je je je
Gestion directe des risques.
EDM03.03
ARCCRCRI je IRRI ICCCRCI je je je je CI
Surveiller la gestion des risques.
39
EDM03.01 Évaluer la gestion des risques. Depuis Description Description À
Examinez et jugez en permanence l'effet du risque sur l'utilisation

APO12.01 Problèmes et facteurs de Conseils sur l’appétit pour le risque APO12.03
elvgarivrutiÉ
,rlelriu
re ds
e
actuelle et future de l'informatique dans l'entreprise. Déterminez si

risque émergents
l'appétit pour le risque de l'entreprise est approprié et si le risque pour Niveaux de tolérance au risque APO12.03
la valeur de l'entreprise lié à l'utilisation de l'informatique est identifié et approuvés
géré.
En dehors des principes de gestion des Évaluation des activités APO12.01
risques de COBIT Enterprise de gestion des risques
Activités
1. Déterminer le niveau de risque informatique que l'entreprise est prête à prendre pour atteindre ses objectifs (appétit pour le risque).
2. Évaluer et approuver les seuils de tolérance aux risques informatiques proposés par rapport aux niveaux de risques et d'opportunités acceptables de l'entreprise.
3. Déterminer le degré d'alignement de la stratégie de risque informatique sur la stratégie de risque de l'entreprise.
4. Évaluez de manière proactive les facteurs de risque informatiques avant les décisions stratégiques d'entreprise en attente et assurezvous que les décisions d'entreprise tiennent compte des risques.
5. Déterminer que l'utilisation des technologies de l'information est soumise à une évaluation des risques appropriée, telle que décrite dans les normes internationales et nationales pertinentes.
6. Évaluer les activités de gestion des risques pour garantir leur adéquation avec la capacité de l'entreprise en matière de pertes liées aux technologies de l'information et la tolérance de la direction à cet égard.
EDM03.02 Gestion directe des risques. Depuis Description Description À
Diriger l'établissement de pratiques de gestion des risques

APO12.03 Profil de risque agrégé, y Politiques de gestion des risques APO12.01
pour fournir une assurance raisonnable que les pratiques de gestion des
compris l'état des mesures de
risques informatiques sont appropriées afin de garantir que le Objectifs clés à surveiller APO12.01
gestion des risques
risque informatique réel ne dépasse pas l'appétit pour le risque du pour la gestion des
conseil d'administration. risques
Profils et plans d'atténuation de gestion des Processus approuvé APO12.01
risques (ERM) en dehors pour mesurer la gestion

de COBIT Enterprise des risques
Activités
1. Promouvoir une culture de sensibilisation aux risques informatiques et permettre à l'entreprise d'identifier de manière proactive les risques informatiques, les opportunités et les impacts commerciaux potentiels.
2. Diriger l'intégration de la stratégie et des opérations en matière de risques informatiques avec les décisions et opérations stratégiques en matière de risques de l'entreprise.
3. Diriger l'élaboration de plans de communication sur les risques (couvrant tous les niveaux de l'entreprise) ainsi que de plans d'action sur les risques.
4. Mise en œuvre directe des mécanismes appropriés pour réagir rapidement à l'évolution des risques et rendre compte immédiatement aux niveaux de gestion appropriés, soutenus par des
principes de remontée d'informations convenus (quoi signaler, quand, où et comment).
5. Exiger que les risques, les opportunités, les problèmes et les préoccupations puissent être identifiés et signalés par quiconque à tout moment. Le risque doit être géré conformément aux
politiques et procédures publiées et transmises aux décideurs concernés.
6. Identifier les principaux objectifs et mesures des processus de gouvernance et de gestion des risques à surveiller, et approuver les approches, méthodes, techniques et processus de capture et de
communication des informations de mesure.
40
et
si
Chapitre 5
É
d
EDM03.03 Surveiller la gestion des risques. Depuis Description Description À
Surveiller les objectifs et les mesures clés des processus

APO12.02 Résultats de l'analyse des risques Mesures correctives pour APO12.06
de gestion des risques et établir comment les écarts ou les problèmes
remédier aux écarts en matière de
seront identifiés, suivis et signalés pour y être corrigés.
gestion des risques
APO12.04 • Possibilités d'accepter Problèmes de gestion des risques pour le EDM05.01
un risque plus conseil d’administration
élevé
• Résultats des évaluations
des risques par des tiers
• Rapports d'analyse des risques et
de profil de risque
pour les parties prenantes
Activités
1. Surveiller dans quelle mesure le profil de risque est géré dans les limites des seuils d’appétit pour le risque.
2. Surveiller les objectifs et les mesures clés des processus de gouvernance et de gestion des risques par rapport aux objectifs, analyser la cause de tout écart et lancer
mesures correctives pour remédier aux causes sousjacentes.
3. Permettre aux principales parties prenantes d'examiner les progrès de l'entreprise vers les objectifs identifiés.
4. Signalez tout problème de gestion des risques au conseil d'administration ou au comité exécutif.
COSO/ERM
ISO/CEI 31000 Cadre de gestion des risques
ISO/CEI 38500
Roi III • 5.5. L'informatique doit faire partie intégrante de la gestion des risques de l'entreprise.
• 5.7. Un comité des risques et un comité d'audit devraient aider le conseil d'administration à s'acquitter de ses responsabilités informatiques.
41

elvgarivrutiÉ
,rlelriu
re ds
e
42
Chapitre 5
EDM04 Assurer l'optimisation des ressources Domaine : évaluer, diriger et surveiller
Veiller à ce que des capacités informatiques adéquates et suffisantes (personnes, processus et technologie) soient disponibles pour soutenir efficacement les objectifs de l'entreprise à un coût optimal.
Assurezvous que les besoins en ressources de l'entreprise sont satisfaits de manière optimale, que les coûts informatiques sont optimisés et qu'il existe une probabilité accrue de réalisation d'avantages et de préparation aux
changements futurs.
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique aux nouvelles
exigences
• Nombre de processus métier critiques pris en charge par une infrastructure et des applications à
jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une initiative
convenue et approuvée.
11 Optimisation des actifs, ressources et capacités informatiques • Fréquence des évaluations de maturité des capacités et d'optimisation des coûts
• Tendance des résultats de l'évaluation
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des
capacités liés à l'informatique.
16 Personnel commercial et informatique compétent et motivé • Pourcentage d'employés dont les compétences informatiques sont suffisantes pour les compétences requises
pour leur rôle

• Pourcentage d'employés satisfaits de leurs fonctions liées à l'informatique
1. Les besoins en ressources de l'entreprise sont satisfaits avec des capacités optimales. • Niveau de feedback des parties prenantes sur l'optimisation des ressources
• Nombre d'avantages (par exemple, économies de coûts) obtenus grâce à une

utilisation des ressources
• Nombre d'écarts par rapport aux stratégies du plan de ressources et de l'architecture
d'entreprise.
2. Les ressources sont allouées pour répondre au mieux aux priorités de l'entreprise dans le cadre du budget • Nombre d'écarts et d'exceptions aux principes de gestion des ressources
contraintes.
• Pourcentage de projets bénéficiant d'allocations de ressources appropriées
3. L'utilisation optimale des ressources est obtenue tout au long de leur • Pourcentage de réutilisation des composants de l'architecture
cycles de vie économiques. • Pourcentage de projets et de programmes présentant un statut de risque moyen ou élevé en raison de
problèmes de gestion des ressources
• Nombre d'objectifs de performance en matière de gestion des ressources atteints
Graphique RACI EDM04

liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
oa
efn
prsodeefan
éa
oa
C
E
S
dl
riC
P
d(
p
éa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
soep
toirpuoscfene
nitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
tjoroelP
toirpuoscfene
ssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
uo
nm
nm
n
uro
efiig
rue
srn
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
EDM04.01
ARCCR R. ICCCCCCCRCCC
Évaluer la gestion des ressources.
EDM04.02
ARCCRIRI je je je je je je je je IRCI je je je je je je
Gestion directe des ressources.
EDM04.03
ARCCRIRI je ICCCCCCCRCCCI je je je je
Surveiller la gestion des ressources.
43
EDM04.01 Évaluer la gestion des ressources. Depuis Description Description À
Examiner et juger en permanence les besoins actuels et futurs

APO02.04 Lacunes et changements Principes directeurs pour APO02.01
elvgarivrutiÉ
,rlelriu
re ds
e
en ressources informatiques, les options de ressources (y

nécessaires pour réaliser la l’allocation des ressources et des APO07.01
compris les stratégies d'approvisionnement) et les principes
capacité cible capacités BAI03.11
d'allocation et de gestion pour répondre aux besoins de l'entreprise de
manière optimale. APO07.03 Plans de développement des compétences Principes directeurs de APO03.01
l'architecture d'entreprise
APO10.02 Résultats décisionnels des évaluations Plan de ressources approuvé APO02.05

des fournisseurs APO07.01
APO09.02
Activités
1. Examiner et porter un jugement sur la stratégie actuelle et future, les options pour fournir des ressources informatiques et développer des capacités pour répondre aux besoins actuels.
besoins et besoins futurs (y compris les options d’approvisionnement).
2. Définir les principes guidant l'allocation et la gestion des ressources et des capacités afin que l'informatique puisse répondre aux besoins de l'entreprise, avec les capacités et capacités requises
conformément aux priorités convenues et aux contraintes budgétaires.
3. Examiner et approuver le plan de ressources et les stratégies d'architecture d'entreprise pour générer de la valeur et atténuer les risques avec les ressources allouées.
4. Comprendre les exigences pour aligner la gestion des ressources sur la planification financière et des ressources humaines (RH) de l'entreprise.
5. Définir les principes de gestion et de contrôle de l'architecture d'entreprise.
EDM04.02 Gestion directe des ressources. Depuis Description Description À
Assurer l’adoption de principes de gestion des ressources pour permettre

Communication des APO02.06
une utilisation optimale des ressources informatiques tout au long de leur
stratégies de ressources APO07.05
cycle de vie économique complet.
APO09.02
Responsabilités assignées pour APO01.02
la gestion des ressources DSS06.03
Principes de sauvegarde APO01.04

ressources
Activités
1. Communiquer et favoriser l'adoption des stratégies, des principes et du plan de ressources et de l'entreprise convenus en matière de gestion des ressources.
stratégies architecturales.
2. Attribuez des responsabilités pour l'exécution de la gestion des ressources.
3. Définir les objectifs, mesures et indicateurs clés pour la gestion des ressources.
4. Établir des principes liés à la sauvegarde des ressources.
5. Alignez la gestion des ressources avec la planification financière et RH de l’entreprise.
EDM04.03 Surveiller la gestion des ressources. Depuis Description Description À
Surveillez les objectifs et les mesures clés des processus de

Commentaires sur l’allocation EDM05.01
gestion des ressources et établissez comment les écarts ou les
et l’efficacité des APO02.05
problèmes seront identifiés, suivis et signalés pour y être corrigés.
ressources et des capacités APO07.05
APO09.05
Actions correctives pour APO02.05

remédier aux écarts APO07.01
de gestion des ressources APO07.03

APO09.04
Activités
1. Surveiller l'allocation et l'optimisation des ressources conformément aux objectifs et priorités de l'entreprise à l'aide d'objectifs et de mesures convenus.
2. Surveiller les stratégies d'approvisionnement informatique, les stratégies d'architecture d'entreprise, les ressources et les capacités informatiques pour garantir que les besoins actuels et futurs du
l'entreprise peut être rencontrée.
3. Surveillez les performances des ressources par rapport aux objectifs, analysez la cause des écarts et lancez des mesures correctives pour remédier aux causes sousjacentes.
44
et
si
Chapitre 5
É
d
ISO/CEI 38500
Roi III 5.6. Le conseil d’administration doit veiller à ce que les actifs informationnels soient gérés efficacement.
Le Forum d'architecture de groupe ouvert Les composants TOGAF d'un conseil d'architecture, de modèles de gouvernance d'architecture et de maturité d'architecture
(TOGAF) 9 correspondent à l'optimisation des ressources.
45

elvgarivrutiÉ
,rlelriu
re ds
e
46
Chapitre 5
EDM05 Assurer la transparence des parties prenantes Domaine : évaluer, diriger et surveiller
Assurezvous que les mesures et les rapports sur les performances informatiques et la conformité de l'entreprise sont transparents, les parties prenantes approuvant les objectifs et les mesures
ainsi que les actions correctives nécessaires.

Assurezvous que la communication avec les parties prenantes est efficace et opportune et que la base du reporting est établie pour augmenter les performances, identifier les domaines
à améliorer et confirmer que les objectifs et les stratégies informatiques sont conformes à la stratégie de l'entreprise.
03 Engagement de la direction exécutive dans la prise de décisions liées à l'informatique • Pourcentage de rôles de direction exécutive clairement définis
responsabilités pour les décisions informatiques
• Nombre de fois où l'informatique figure à l'ordre du jour du conseil d'administration de manière proactive
• Fréquence des réunions du comité (exécutif) de stratégie informatique

• Pourcentage de services informatiques dont les coûts opérationnels et les avantages attendus
sont clairement définis et approuvés.
1. Les rapports des parties prenantes sont conformes aux exigences des parties prenantes. • Date de la dernière révision des exigences en matière de déclaration
• Pourcentage de parties prenantes couvertes par les exigences de reporting
2. Les rapports sont complets, opportuns et précis. • Pourcentage de rapports qui ne sont pas livrés à temps
• Pourcentage de rapports contenant des inexactitudes
3. La communication est efficace et les parties prenantes sont satisfaites. • Niveau de satisfaction des parties prenantes à l'égard du reporting
• Nombre de violations des exigences de déclaration obligatoire
Tableau RACI EDM05

liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
oa
efn
prsodeefan
toirpuoscfeneéa
coa
C
E
S
dl
tjoroelrPiC
P
d(
p
toirpuoscfeneéa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
soep
nitee
nsqe
sé
eéé
sessitrnpaeertgnie
ssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
srnuo
nm
nm
n
uro
efiig
rue
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
EDM05.01
Évaluer les exigences en matière de rapports ARCCCI CCRI je
des parties prenantes.
EDM05.02
Communication et ARCCCI CCRI je
reporting directs avec les parties prenantes.
EDM05.03
Surveiller la communication ARCCCI CCRI je
avec les parties prenantes.
47
EDM05.01 Évaluer les exigences en matière de rapports Depuis Description Description À
des parties prenantes.

EDM02.03 Actions pour améliorer la création Évaluation des exigences de MEA01.01
elvgarivrutiÉ
,rlelriu
re ds
e
Examiner continuellement et porter un jugement sur les exigences

de valeur reporting des entreprises
actuelles et futures en matière de communication et de reporting
avec les parties prenantes, y compris les exigences de EDM03.03 Problèmes de gestion des risques pour le Principes de MEA01.01
reporting obligatoires (par exemple, réglementaires) et la conseil d’administration reporting et de communication

communication avec les autres parties prenantes. Établir le
EDM04.03 Commentaires sur l’allocation
principes de communication.
et l’efficacité des ressources
et des capacités
MEA02.08 Portée raffinée
Activités
1. Examiner et porter un jugement sur les exigences de déclaration obligatoires actuelles et futures relatives à l'utilisation de l'informatique au sein de l'entreprise (réglementation, législation, common law,
contractuelle), y compris leur étendue et leur fréquence.
2. Examiner et porter un jugement sur les exigences actuelles et futures en matière de reporting pour les autres parties prenantes concernant l'utilisation de l'informatique au sein de l'entreprise,
y compris l’étendue et les conditions.
3. Maintenir les principes de communication avec les parties prenantes externes et internes, y compris les formats et les canaux de communication, et
pour l’acceptation et la signature des rapports par les parties prenantes.
EDM05.02 Communication et reporting directs avec les parties Depuis Description Description À
prenantes.
APO12.04 Analyse des risques et Règles de validation et MEA01.01
Assurer la mise en place d'une communication et d'un reporting
rapports de profil de risque pour d'approbation des rapports MEA03.04
efficaces avec les parties prenantes, y compris des mécanismes permettant
les parties prenantes obligatoires
de garantir la qualité et l'exhaustivité des informations, la surveillance
des rapports obligatoires et la création d'une stratégie de Directives de remontée d'informations MEA01.05
communication pour les parties prenantes.
Activités
1. Diriger l’établissement de la stratégie de communication auprès des parties prenantes externes et internes.
2. Diriger la mise en œuvre de mécanismes pour garantir que les informations répondent à tous les critères des exigences obligatoires en matière de reporting informatique pour l'entreprise.
3. Établir des mécanismes de validation et d'approbation des rapports obligatoires.
4. Établir des mécanismes de remontée des rapports.
EDM05.03 Surveiller la communication avec les parties prenantes. Depuis Description Description À
Surveiller l’efficacité de la communication avec les
MEA02.08 • Rapport d'examen de l'assurance Évaluation de l’efficacité des MEA01.01
parties prenantes. Évaluer les mécanismes permettant de garantir
• Résultats de l'examen d'assurance rapports MEA03.04
l’exactitude, la fiabilité et l’efficacité, et vérifier si les exigences des
différentes parties prenantes sont satisfaites.
Activités
1. Évaluer périodiquement l'efficacité des mécanismes visant à garantir l'exactitude et la fiabilité des déclarations obligatoires.
2. Évaluer périodiquement l'efficacité des mécanismes et les résultats de la communication avec les parties prenantes externes et internes.
3. Déterminez si les exigences des différentes parties prenantes sont satisfaites.
COSO
ISO/CEI 38500
Roi III
48
Chapitre 5
planif
Align
orga
et
Aligner, planifier et organiser (APO)
01 Gérer le cadre de gestion informatique.
02 Gérer la stratégie.
03 Gérer l'architecture d'entreprise.
04 Gérer l'innovation.
05 Gérer le portefeuille.
06 Gérer le budget et les coûts.
07 Gérer les ressources humaines.
08 Gérer les relations.
09 Gérer les contrats de service.
10 Gérer les fournisseurs.
11 Gérer la qualité.
12 Gérer les risques.
13 Gérer la sécurité.
49

,rengilA
50
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO01 Gérer le cadre de gestion informatique Domaine : aligner, planifier et organiser
Clarifier et maintenir la gouvernance de la mission et de la vision informatique de l'entreprise. Mettre en œuvre et maintenir des mécanismes et des autorités pour gérer l'information et l'utilisation des technologies de l'information dans
l'entreprise à l'appui des objectifs de gouvernance conformément aux principes directeurs et aux politiques.
Fournir une approche de gestion cohérente pour permettre de répondre aux exigences de gouvernance d'entreprise, couvrant les processus de gestion, les structures organisationnelles, les rôles et responsabilités,
les activités fiables et reproductibles, ainsi que les aptitudes et compétences.
et
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations externes • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la perte
de réputation
• Nombre de problèmes de nonconformité liés aux technologies de l'information signalés au conseil
d'administration ou ayant suscité des commentaires publics ou embarrassé.
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de services
informatiques
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique aux nouvelles exigences
jour
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des capacités
liés à l'informatique.
• Pourcentage de politiques soutenues par des normes et des pratiques de travail
efficaces
pour leur rôle

17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités
d'innovation informatique.
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise et d'idées en matière d'innovation
informatique
1. Un ensemble efficace de politiques est défini et maintenu. • Pourcentage de politiques, normes et autres outils actifs documentés et à jour.
• Date des dernières mises à jour du cadre et des outils habilitants
• Nombre d'expositions à des risques dues à des insuffisances dans la conception de l'environnement
de contrôle
2. Tout le monde connaît les politiques et la manière dont elles doivent être mises en œuvre. • Nombre d'employés ayant participé à des séances de formation ou de sensibilisation
• Pourcentage de fournisseurs tiers qui ont des contrats définissant les exigences de contrôle
51
Carte RACI APO01
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
efn
prsodeefan
éa
oa
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
éa
rxeta
soep
toirpuoscfene
nitee
c
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
aprsé
iuéontpiivtss
auietesrlue
tm
sm
pv
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
iap
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
sgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO01.01
Définir la structure CCCC je C RI IACCCCRCCC
organisationnelle.
APO01.02
Établir les rôles et CI C CCCCACCCRCCCC
les responsabilités.
APO01.03
,rengilA
Maintenir les outils du système CACRCCI CCCC RCC R.
de gestion.
APO01.04
Communiquer les objectifs et ARRIRI je IRRI je je je IRI je je je je je je je
l'orientation de la gestion.
APO01.05
Optimiser le placement de la fonction CCCC UN C CCCCRCCCRCCC
informatique.
APO01.06
Définir les informations (données) je ICAR CCCCC CC
et la propriété du système.
APO01.07
Gérer l'amélioration continue des UN R. R. C ICCRRRRRRRR
processus.
APO01.08
Maintenir le respect des UN R. R. R. RCIRRRRRRRRR
politiques et des procédures.
APO01 Pratiques de processus, entrées/sorties et activités
Pratique de gestion Contributions Les sorties
APO01.01 Définir la structure organisationnelle. Depuis Description Description À

Établir une structure organisationnelle interne et étendue
EDM01.01 • Modèle de prise de décision Définition de l'organisation APO03.02
qui reflète les besoins de l'entreprise et les priorités informatiques.
• Principes directeurs de la structure et fonctions
Mettre en place les structures de gestion requises (par
gouvernance d'entreprise
exemple, les comités) qui permettent à la prise de décision de
APO03.02
gestion de se dérouler de la manière la plus efficace et la plus efficiente. Modèle d'architecture de Directives opérationnelles APO03.02
processus de l'entreprise
Règles de base en Tous les APO
matière de communication Tous les BAI
Tous les DSS
Tous les MEA
52
Chapitre 5
planif
Align
orga
APO01 Pratiques de processus, entrées/sorties et activités (suite)
APO01.01 Activités
1. Définir la portée, les fonctions internes et externes, les rôles internes et externes, ainsi que les capacités et les droits de décision requis, y compris les activités informatiques.
effectués par des tiers.
2. Identifier les décisions nécessaires à l'atteinte des résultats de l'entreprise et de la stratégie informatique, ainsi qu'à la gestion et à l'exécution des services informatiques.
3. Établir la participation des parties prenantes qui sont essentielles à la prise de décision (responsables, consultées ou informées).
et
4. Alignez l'organisation informatique sur les modèles organisationnels de l'architecture d'entreprise.
5. Définir l'orientation, les rôles et les responsabilités de chaque fonction au sein de la structure organisationnelle liée à l'informatique.
6. Définir les structures et les relations de gestion pour soutenir les fonctions et les rôles de gestion et d'exécution, conformément aux
ensemble d’orientations en matière de gouvernance.
7. Établir un comité de stratégie informatique (ou équivalent) au niveau du conseil d'administration. Ce comité devrait garantir que la gouvernance de l'informatique, en tant que partie intégrante de l'entreprise
la gouvernance, est abordée de manière adéquate ; donner des conseils sur l'orientation stratégique ; et examiner les investissements majeurs au nom de l’ensemble du conseil d’administration.
8. Établir un comité directeur informatique (ou équivalent) composé de dirigeants, de responsables commerciaux et informatiques pour déterminer la priorité des programmes d'investissement
informatiques conformément à la stratégie et aux priorités commerciales de l'entreprise ; suivre l'état des projets et résoudre les conflits de ressources ; et surveiller les niveaux de service et
les améliorations du service.
9. Fournir des lignes directrices pour chaque structure de gestion (y compris le mandat, les objectifs, les participants aux réunions, le calendrier, le suivi, la supervision et le contrôle) comme
ainsi que les contributions requises et les résultats attendus des réunions.
10. Définir les règles de base de la communication en identifiant les besoins en communication et en mettant en œuvre des plans basés sur ces besoins, en tenant compte du haut vers le bas,
communication ascendante et horizontale.
11. Établir et maintenir une structure optimale de coordination, de communication et de liaison entre les fonctions commerciales et informatiques au sein de l'entreprise.
et avec des entités extérieures à l’entreprise.
12. Vérifier régulièrement l'adéquation et l'efficacité de la structure organisationnelle.
APO01.02 Établir les rôles et les responsabilités. Depuis Description Description À
Établir, convenir et communiquer les rôles et responsabilités

EDM01.01 Niveaux d'autorité Définition des rôles et DSS05.04
du personnel informatique, ainsi que des autres parties
responsabilités liés à l'informatique
prenantes ayant des responsabilités en matière d'informatique
d'entreprise, qui reflètent clairement les besoins globaux de l'entreprise EDM04.02 Responsabilités assignées pour Définition des pratiques de APO07.01
et les objectifs informatiques ainsi que l'autorité, les responsabilités la gestion des ressources contrôle
et la responsabilité du personnel concerné.
APO07.03 • Plans de développement des compétences
• Matrice d'aptitudes et de
compétences
APO11.01 Rôles, responsabilités et

droits de décision du
système de gestion de la
qualité (QMS)
APO13.01 Système de gestion de la

sécurité de l'information
(ISMS) déclaration de portée
DSS06.03 • Niveaux d'autorité
attribués
• Rôles et responsabilités
attribués
Activités
1. Établir, convenir et communiquer les rôles et responsabilités liés à l'informatique pour tout le personnel de l'entreprise, en accord avec les besoins et les objectifs de l'entreprise. Délimitez
clairement les responsabilités et les responsabilités, en particulier pour la prise de décision et les approbations.
2. Tenez compte des exigences en matière de continuité des services de l'entreprise et des services informatiques lors de la définition des rôles, y compris les exigences en matière de sauvegarde du personnel et de formation polyvalente.
3. Contribuer au processus de continuité des services informatiques en maintenant à jour les informations de contact et les descriptions de rôle dans l'entreprise.
4. Inclure dans les descriptions de rôle et de responsabilité le respect des politiques et procédures de gestion, du code d'éthique et des pratiques professionnelles.
5. Mettre en œuvre des pratiques de supervision adéquates pour garantir que les rôles et les responsabilités sont correctement exercés, pour évaluer si tout le personnel a
une autorité et des ressources suffisantes pour exécuter leurs rôles et responsabilités et pour évaluer généralement les performances. Le niveau de supervision doit être adapté au caractère sensible
du poste et à l'étendue des responsabilités assignées.
6. Veiller à ce que la responsabilité soit définie à travers les rôles et les responsabilités.
7. Structurer les rôles et les responsabilités afin de réduire la possibilité qu'un seul rôle compromette un processus critique.
53
APO01.03 Maintenir les outils du système de gestion. Depuis Description Description À
EDM01.01 Principes directeurs de la Politiques liées à l'informatique Tous les APO

Maintenir les outils du système de gestion et de l'environnement de contrôle
gouvernance d’entreprise Tous les BAI
pour l'informatique de l'entreprise et veiller à ce qu'ils soient intégrés et
Tous les DSS
alignés avec la philosophie de gouvernance, de gestion et le style de APO02.05 Feuille de route stratégique
Tous les MEA
fonctionnement de l'entreprise. Ces catalyseurs incluent la communication
APO12.01 Problèmes et facteurs de
claire des attentes/exigences. Le système de gestion doit encourager la
risque émergents
coopération entre les divisions et le travail d'équipe, promouvoir la
conformité et l'amélioration continue, et gérer les écarts de processus (y APO12.02 Résultats de l'analyse des risques
compris les échecs).
Activités
1. Acquérir une compréhension de la vision, de l’orientation et de la stratégie de l’entreprise.
2. Tenir compte de l'environnement interne de l'entreprise, y compris la culture et la philosophie de gestion, la tolérance au risque, la sécurité, les valeurs éthiques, le code de conduite,
la responsabilité et les exigences en matière d’intégrité de la gestion.
,rengilA
3. Dérivez et intégrez les principes informatiques aux principes commerciaux.
4. Aligner l'environnement de contrôle informatique sur l'environnement politique informatique global, les cadres de gouvernance informatique et de processus informatiques, ainsi que les cadres de risque et de
contrôle existants au niveau de l'entreprise. Évaluez les bonnes pratiques ou les exigences spécifiques à l'industrie (par exemple, les réglementations spécifiques à l'industrie) et intégrezles le cas échéant.
5. S'aligner sur toutes les normes et codes de bonnes pratiques nationaux et internationaux en matière de gouvernance et de gestion, et évaluer les bonnes pratiques disponibles telles que le contrôle interne
du COSO – cadre intégré et la gestion des risques d'entreprise – cadre intégré du COSO.
6. Créer un ensemble de politiques pour définir les attentes en matière de contrôle informatique sur des sujets clés pertinents tels que la qualité, la sécurité, la confidentialité, les contrôles internes, l'utilisation des actifs
informatiques, l'éthique et les droits de propriété intellectuelle.
7. Évaluer et mettre à jour les politiques au moins une fois par an pour s'adapter à l'évolution des environnements opérationnels ou commerciaux.
8. Déployez et appliquez des politiques informatiques à tout le personnel concerné, afin qu'elles soient intégrées et fassent partie intégrante des opérations de l'entreprise.
9. Veiller à ce que des procédures soient en place pour suivre le respect des politiques et définir les conséquences de la nonconformité.
APO01.04 Communiquer les objectifs et l'orientation de la gestion. Depuis Description Description À
EDM01.02 Communication sur la Communication sur les objectifs Tous les APO
Communiquer la connaissance et la compréhension des objectifs
gouvernance d'entreprise informatiques Tous les BAI
et des orientations informatiques aux parties prenantes et aux utilisateurs
Tous les DSS
appropriés dans toute l'entreprise. EDM04.02 Principes de sauvegarde
Tous les MEA
ressources
APO12.06 Communication
sur l’impact des risques
BAI08.01 Communication sur la valeur des
connaissances
DSS04.01 Politique et objectifs pour

continuité de l'activité
DSS05.01 Politique de prévention
des logiciels malveillants
DSS05.02 Politique de sécurité de la connectivité
DSS05.03 Politiques de sécurité pour

les appareils finaux
Activités
1. Communiquer en permanence les objectifs et les orientations informatiques. Veiller à ce que les communications soient soutenues par la direction exécutive en actions et en paroles,
en utilisant tous les canaux disponibles.
2. Veiller à ce que les informations communiquées englobent une mission clairement articulée, les objectifs du service, la sécurité, les contrôles internes, la qualité, le code d'éthique/de conduite, les politiques
et procédures, les rôles et responsabilités, etc. Communiquer les informations au niveau de détail approprié pour le publics respectifs au sein de l’entreprise.
3. Fournir des ressources suffisantes et qualifiées pour soutenir le processus de communication.
54
Chapitre 5
planif
Align
orga
Pratique de gestion APO01.05 Contributions Les sorties
Optimiser le placement de la fonction informatique. Depuis Description Description À
Positionnez la capacité informatique dans la structure organisationnelle

Hors COBIT • Modèle opérationnel d'entreprise Évaluation des options pour APO03.02
globale pour refléter un modèle d'entreprise pertinent par rapport à
l'organisation informatique
l'importance de l'informatique au sein de l'entreprise, en particulier son
• Stratégie d'entreprise
caractère critique pour la stratégie d'entreprise et le niveau de Placement opérationnel APO03.02
dépendance opérationnelle à l'égard de l'informatique. La ligne hiérarchique défini de la fonction informatique
et
du DSI doit être proportionnelle à l'importance de l'informatique au sein de
l'entreprise.
Activités
1. Comprendre le contexte de placement de la fonction informatique, y compris une évaluation de la stratégie d'entreprise et du modèle opérationnel (centralisé,
fédéré, décentralisé, hybride), importance de l’informatique, situation et options d’approvisionnement.
2. Identifier, évaluer et prioriser les options de placement organisationnel, d'approvisionnement et de modèles opérationnels.
3. Définir le placement de la fonction informatique et obtenir l'accord.
APO01.06 Définir les informations (données) et Depuis Description Description À
propriété du système.
Directives de classification APO03.02
Définir et maintenir les responsabilités en matière de propriété des
des données BAI02.01
informations (données) et des systèmes d'information. Assurezvous que les
DSS05.02
propriétaires prennent des décisions concernant la classification des
DSS06.01
informations et des systèmes et leur protection conformément
à cette classification. Lignes directrices en matière de sécurité et de BAI02.01
contrôle des données
Procédures d'intégrité des données BAI02.01

DSS06.01
Activités
1. Fournir des politiques et des lignes directrices pour garantir une classification appropriée et cohérente des informations (données) à l’échelle de l’entreprise.
2. Définir, maintenir et fournir des outils, des techniques et des lignes directrices appropriés pour assurer une sécurité et des contrôles efficaces sur les informations et les informations.
systèmes en collaboration avec le propriétaire.
3. Créer et maintenir un inventaire d'informations (systèmes et données) qui comprend une liste des propriétaires, des gardiens et des classifications. Inclure les systèmes
celles qui sont externalisées et celles dont la propriété doit rester au sein de l'entreprise.
4. Définir et mettre en œuvre des procédures pour garantir l'intégrité et la cohérence de toutes les informations stockées sous forme électronique telles que les bases de données, les données
entrepôts et archives de données.
APO01.07 Gérer l'amélioration continue des processus. Depuis Description Description À
EDM01.03 Commentaires sur l’efficacité et la Évaluations de la MEA01.03

Évaluer, planifier et exécuter l'amélioration continue des processus et
performance de la capacité des processus
leur maturité pour garantir qu'ils sont capables d'atteindre les objectifs de
gouvernance
l'entreprise, de gouvernance, de gestion et de contrôle. Tenez compte
des conseils de mise en œuvre du processus COBIT, des normes MEA03.02 Politiques, principes, Possibilités d'amélioration Tous les APO
émergentes, des exigences de conformité, des opportunités d'automatisation procédures et normes mis à des processus Tous les BAI
et des commentaires des utilisateurs du processus, de l'équipe du processus jour Tous les DSS
et des autres parties prenantes. Mettez à jour le processus et considérez Tous les MEA
les impacts sur les catalyseurs du processus.

Objectifs de performance et MEA01.02
mesures pour le suivi de

l’amélioration des processus
Activités
1. Identifiez les processus critiques pour l'entreprise en fonction des facteurs de performance et de conformité et des risques associés. Évaluer la capacité du processus et identifier
objectifs d’amélioration. Analyser les lacunes dans la capacité et le contrôle des processus. Identifier les options d'amélioration et de refonte du processus. Prioriser les initiatives d’amélioration des processus
en fonction des avantages et des coûts potentiels.
2. Mettre en œuvre les améliorations convenues, fonctionner comme une pratique commerciale normale et définir des objectifs et des mesures de performance pour permettre la surveillance des
améliorations des processus.
3. Envisager des moyens d'améliorer l'efficience et l'efficacité (par exemple, par la formation, la documentation, la normalisation et l'automatisation du processus).
4. Appliquer des pratiques de gestion de la qualité pour mettre à jour le processus.
5. Retirez les processus, composants de processus ou outils obsolètes.
55
APO01.08 Maintenir le respect des politiques et des Depuis Description Description À
procédures.
DSS01.04 Politiques environnementales Actions correctives en MEA01.05
Mettre en place des procédures pour maintenir le respect et la
cas de nonconformité
mesure des performances des politiques et autres éléments MEA03.02 Politiques, principes,
habilitants du cadre de contrôle, et faire respecter les procédures et normes mis à
conséquences de la nonconformité ou des performances jour
inadéquates. Suivez les tendances et les performances et
tenezen compte dans la conception et l’amélioration futures du cadre
de contrôle.
Activités
1. Surveiller la conformité aux politiques et procédures.
2. Analyser la nonconformité et prendre les mesures appropriées (cela pourrait inclure une modification des exigences).
3. Intégrer la performance et la conformité dans les objectifs de performance de chaque membre du personnel.
4. Évaluez régulièrement les performances des catalyseurs du cadre et prenez les mesures appropriées.
,rengilA
5. Analyser les tendances en matière de performance et de conformité et prendre les mesures appropriées.
Conseils associés à l'APO01
ISO/CEI 20000 • 3.1 Responsabilité de la direction

• 4.4 Amélioration continue
ISO/CEI 27002 6. Organisation de la sécurité de l'information
ITIL V3 2011 Amélioration continue du service, 4.1 Le processus d'amélioration en 7 étapes
56
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO02 Gérer la stratégie Domaine : aligner, planifier et organiser
Fournir une vue globale de l’environnement commercial et informatique actuel, de l’orientation future et des initiatives nécessaires pour migrer vers l’environnement futur souhaité. Tirez parti des éléments de base et des composants
de l’architecture d’entreprise, y compris des services fournis en externe et des capacités associées, pour permettre une réponse agile, fiable et efficace aux objectifs stratégiques.
Alignez les plans informatiques stratégiques avec les objectifs commerciaux. Communiquer clairement les objectifs et les responsabilités associées afin qu'ils soient compris par tous, avec les options stratégiques informatiques identifiées,
et
structurées et intégrées aux plans d'affaires.
01 Alignement de la stratégie informatique et commerciale • Pourcentage d'objectifs et d'exigences stratégiques de l'entreprise pris en charge par
Objectifs stratégiques
informatiques • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de programmes
et de services
• Pourcentage de parties prenantes de l'entreprise satisfaites que la prestation de services informatiques réponde aux
niveaux de service convenus
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation des dirigeants d'entreprise et de compréhension des possibilités d'innovation
informatique.
et des idées
1. Tous les aspects de la stratégie informatique sont alignés sur la stratégie de l'entreprise. • Pourcentage d'objectifs de la stratégie informatique qui soutiennent la stratégie d'entreprise
• Pourcentage d'objectifs d'entreprise abordés dans la stratégie informatique
2. La stratégie informatique est rentable, appropriée, réaliste, réalisable, • Pourcentage d'initiatives de la stratégie informatique qui sont autofinancées (avantages financiers supérieurs
axé sur l’entreprise et équilibré. aux coûts)
• Tendances du retour sur investissement des initiatives incluses dans la stratégie informatique
• Niveau de retour de l'enquête de satisfaction des parties prenantes de l'entreprise sur le
Stratégie informatique
3. Des objectifs clairs et concrets à court terme peuvent être dérivés et rattachés à des initiatives spécifiques à • Pourcentage de projets du portefeuille de projets informatiques pouvant être directement rattachés à la stratégie
long terme, et peuvent ensuite être traduits en plans opérationnels. informatique
4. L'informatique est un moteur de valeur pour l'entreprise. • Pourcentage d'objectifs stratégiques d'entreprise obtenus grâce à des
Initiatives informatiques
• Nombre de nouvelles opportunités d'entreprise réalisées en conséquence directe de
Développements informatiques
• Pourcentage d'initiatives/projets informatiques soutenus par les propriétaires d'entreprise
5. Il y a une connaissance de la stratégie informatique et une attribution claire des responsabilités en • Réalisation de résultats mesurables en matière de stratégie informatique faisant partie des objectifs
matière de livraison. de performance du personnel.
• Fréquence des mises à jour du plan de communication de la stratégie informatique
• Pourcentage d'initiatives stratégiques pour lesquelles des responsabilités sont attribuées
57
Carte RACI APO02
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
ids'l
caR
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
o
aprsésoep
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
gvl
d
toirpuoscfene
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
laedrtiécsn
itesrlue
tm
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
/semme)aésgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO02.01
CCCACC CC C RCRR €€€
Comprendre l'orientation de l'entreprise.
APO02.02
Évaluer l'environnement, les CCCRCC C CCARRCCCCCC
capacités et le rendement actuels.
APO02.03
ACCCIR je C C CCRCCCCCCC
,rengilA
Définir les capacités informatiques cibles.
APO02.04
CRR C CRRRRRRRRRRC
Effectuer une analyse des écarts.
APO02.05
Définir le plan stratégique et la CICC C R. CC CCACCCCCCCC
feuille de route.
APO02.06
Communiquer la stratégie et IRI IRIAI je je je je je je je je IRI je je je je je je je
l'orientation des TI.
APO02.01 Comprendre l'orientation de l'entreprise. Depuis Description Description À

Tenez compte de l'environnement actuel de l'entreprise et
EDM04.01 Principes directeurs pour Sources et priorités des Interne
des processus commerciaux, ainsi que de la stratégie de
l’allocation des ressources changements
l'entreprise et des objectifs futurs. Tenez également compte
et des capacités
de l'environnement externe de l'entreprise (moteurs du secteur,
réglementations pertinentes, base de la concurrence). APO04.02 Opportunités d’innovation
liées aux moteurs d’affaires
En dehors de la stratégie de COBIT Enterprise et

Analyse des forces,
faiblesses, opportunités et
menaces (SWOT) de l'entreprise
Activités
1. Développer et maintenir une compréhension de la stratégie et des objectifs de l'entreprise, ainsi que de l'environnement opérationnel et des défis actuels de l'entreprise.
2. Développer et maintenir une compréhension de l'environnement externe de l'entreprise.
3. Identifiez les principales parties prenantes et obtenez un aperçu de leurs besoins.
4. Identifier et analyser les sources de changement dans l'entreprise et les environnements externes.
5. Déterminer les priorités du changement stratégique.
6. Comprendre l'architecture d'entreprise actuelle et travailler avec le processus d'architecture d'entreprise pour déterminer les lacunes architecturales potentielles.
58
Chapitre 5
planif
Align
orga
Évaluer l'environnement, les capacités et le rendement actuels. Depuis Description Description À
APO06.05 Opportunités Base de référence des Interne

Évaluer les performances des capacités commerciales et informatiques
d'optimisation des coûts capacités actuelles
internes actuelles et des services informatiques externes, et développer une
compréhension de l'architecture de l'entreprise par rapport à APO08.05 Définition de projets Lacunes et risques liés aux APO12.01
l'informatique. Identifier les problèmes actuellement rencontrés et élaborer d'amélioration potentiels capacités actuelles
et
des recommandations dans les domaines qui pourraient bénéficier
APO09.01 Lacunes identifiées dans les Analyse SWOT des capacités Interne
d'améliorations. Tenez compte des différenciateurs et des options des
services informatiques à l'entreprise
prestataires de services, ainsi que de l’impact financier ainsi que des coûts
et avantages potentiels du recours à des services externes. APO09.04 Plans d'actions d'amélioration et de
remédiation
APO12.01 Problèmes et facteurs de risque

émergents
APO12.02 Résultats de l'analyse des risques
APO12.03 Profil de risque agrégé, y

compris l'état des mesures de
gestion des risques
APO12.05 Propositions de projets pour

réduire les risques
BAI04.03 • Plans de performance
et de capacité
• Améliorations prioritaires
BAI04.05 Mesures correctives
BAI09.01 Résultats des examens adaptés

aux besoins
BAI09.04 • Possibilités de réduire les coûts

des actifs ou d'augmenter la
valeur
• Résultats des revues
d'optimisation des coûts
Activités
1. Développer une base de référence de l'environnement commercial et informatique actuel, des capacités et des services avec lesquels les exigences futures peuvent être comparées. Inclure les détails de
haut niveau pertinents de l'architecture d'entreprise actuelle (domaines commerciaux, d'information, de données, d'applications et technologiques), des processus métier, des processus et procédures
informatiques, de la structure organisationnelle informatique, de la fourniture de services externes, de la gouvernance informatique et des informations liées à l'informatique à l'échelle de l'entreprise. aptitudes
et compétences.
2. Identifier les risques liés aux technologies actuelles, potentielles et en déclin.
3. Identifier les écarts entre les capacités et services commerciaux et informatiques actuels et les normes et bonnes pratiques de référence, les capacités commerciales et informatiques des concurrents,
ainsi que les références comparatives des bonnes pratiques et de la fourniture de services informatiques émergents.
4. Identifier les problèmes, les forces, les opportunités et les menaces dans l'environnement actuel, les capacités et les services pour comprendre les performances actuelles. Identifier
domaines d'amélioration en termes de contribution de l'informatique aux objectifs de l'entreprise.
59
Définir les capacités informatiques cibles. Depuis Description Description À
Définir les capacités commerciales et informatiques cibles ainsi

APO04.05 • Analyse des initiatives Objectifs informatiques de haut niveau Interne
que les services informatiques requis. Cela doit être basé sur la
rejetées
compréhension de l’environnement et des exigences de Affaires requises et Interne
• Résultats et
l’entreprise ; l'évaluation des processus opérationnels Capacités informatiques
recommandations des
actuels, de l'environnement et des problèmes informatiques ; et la
initiatives de validation de Modifications proposées APO03.03
prise en compte des normes de référence, des bonnes pratiques
principe de l'architecture d'entreprise
et des technologies émergentes ou propositions d'innovation
validées.
Activités
1. Envisagez des technologies émergentes ou des idées d’innovation validées.
2. Identifier les menaces liées aux technologies en déclin, actuelles et nouvellement acquises.
3. Définir les objectifs/buts informatiques de haut niveau et la manière dont ils contribueront aux objectifs commerciaux de l'entreprise.
4. Définir les processus métier, les capacités informatiques et les services informatiques requis et souhaités et décrire les changements de haut niveau dans l'architecture de l'entreprise
(domaines commerciaux, d'information, de données, d'applications et technologiques), les processus et procédures commerciaux et informatiques, la structure organisationnelle informatique, les fournisseurs de services
,rengilA
informatiques, la gouvernance informatique et les aptitudes et compétences informatiques.
5. Alignezvous et acceptez avec l'architecte d'entreprise les modifications proposées à l'architecture d'entreprise.
6. Démontrer la traçabilité par rapport à la stratégie et aux exigences de l'entreprise.
APO02.04 Effectuer une analyse des écarts. Depuis Description Description À
Identifiez les écarts entre les environnements actuel et cible et

EDM02.01 Évaluation de l'alignement Lacunes et changements EDM04.01
envisagez l'alignement des actifs (les capacités qui prennent en
stratégique nécessaires pour réaliser la APO13.02
charge les services) avec les résultats commerciaux pour optimiser
capacité cible BAI03.11
l'investissement et l'utilisation de la base d'actifs internes et externes.
Considérez les facteurs de succès critiques pour soutenir l’exécution APO04.06 Évaluations de l’utilisation Déclaration de valeurbénéfice pour BAI03.11
de la stratégie. d’approches innovantes l'environnement cible
APO05.02 Attentes de rendement
des investissements
BAI01.05 Résultats du suivi de la réalisation

des objectifs du programme
BAI01.13 Résultats de l’examen post

mise en œuvre
Activités
1. Identifiez toutes les lacunes et tous les changements nécessaires pour réaliser l’environnement cible.
2. Considérez les implications de haut niveau de toutes les lacunes. Considérez la valeur des changements potentiels apportés aux capacités commerciales et informatiques, aux services informatiques et à l'entreprise.
l'architecture et les implications si aucun changement n'est réalisé.
3. Évaluer l'impact des changements potentiels sur les modèles opérationnels commerciaux et informatiques, les capacités de recherche et de développement informatique, et
Programmes d’investissement informatique.
4. Affinez la définition de l'environnement cible et préparez une déclaration de valeur présentant les avantages de l'environnement cible.
60
Chapitre 5
planif
Align
orga
Définir le plan stratégique et la feuille de route. Depuis Description Description À
Créez un plan stratégique qui définit, en coopération avec les parties

EDM04.01 Plan de ressources approuvé Définition des initiatives APO05.01
prenantes concernées, comment les objectifs liés à l'informatique
stratégiques
contribueront aux objectifs stratégiques de l'entreprise. Indiquez
comment l'informatique prendra en charge les programmes d'investissement, EDM04.03 • Commentaires sur l'allocation et Initiatives d'évaluation des risques APO05.01
les processus métier, les services informatiques et les actifs informatiques. l'efficacité des ressources APO12.01
et
Demander au service informatique de définir les initiatives qui seront et des capacités
nécessaires pour combler les écarts, la stratégie d'approvisionnement et les

mesures à utiliser pour surveiller la réalisation des objectifs, puis hiérarchiser • Des mesures correctives
les initiatives et les combiner dans une feuille de route de haut niveau. pour remédier aux écarts
de gestion des ressources
APO03.01 • Portée définie de Feuille de route stratégique EDM02.01

l'architecture APO01.03
• Analyse de rentabilisation du APO03.01

concept d'architecture et APO05.01
proposition de valeur APO08.01
APO03.02 Modèle d'architecture de

l'information
APO03.03 • Architectures de transition
• Stratégie de
mise en œuvre et de
migration de haut niveau
APO05.01 Commentaires sur la stratégie

et les objectifs
APO05.02 Options de financement
APO06.02 Allocations budgétaires
APO06.03 • Budget et plan informatique

• Communications budgétaires
APO13.02 Analyses de rentabilisation en matière
de sécurité de l'information
BAI09.05 Plan d'action pour ajuster

les numéros de licence
et les allocations
DSS04.02 Options stratégiques approuvées
Activités
1. Définir les initiatives nécessaires pour combler les lacunes et migrer de l'environnement actuel vers l'environnement cible, y compris le budget d'investissement/opérationnel, le financement
sources, stratégie d’approvisionnement et stratégie d’acquisition.
2. Identifier et traiter de manière adéquate les risques, les coûts et les implications des changements organisationnels, de l'évolution technologique, des exigences réglementaires, des activités commerciales.
la réingénierie des processus, la dotation en personnel, les opportunités d'internalisation et d'externalisation, etc., dans le processus de planification.
3. Déterminer les dépendances, les chevauchements, les synergies et les impacts entre les initiatives, et hiérarchiser les initiatives.
4. Identifier les besoins en ressources, le calendrier et les budgets d'investissement/opérationnels pour chacune des initiatives.
5. Créer une feuille de route indiquant la planification relative et les interdépendances des initiatives.
6. Traduire les objectifs en mesures de résultats représentés par des mesures (quoi) et des cibles (combien) qui peuvent être liées aux avantages de l'entreprise.
7. Obtenir formellement le soutien des parties prenantes et obtenir l’approbation du plan.
61
APO02.06 Communiquer la stratégie et l'orientation des Depuis Description Description À

TI.
EDM04.02 Communication des Plan de communication Interne
Faire connaître et comprendre les objectifs et l'orientation de l'entreprise
stratégies de ressources
et de l'informatique, tels qu'ils sont définis dans la stratégie Forfait communication Tous les APO
informatique, par le biais de la communication avec les parties Tous les BAI
prenantes et les utilisateurs appropriés dans toute l'entreprise. Tous les DSS
Tous les MEA
Activités
1. Développer et entretenir un réseau pour approuver, soutenir et piloter la stratégie informatique.
2. Élaborer un plan de communication couvrant les messages requis, les publics cibles, les mécanismes/canaux de communication et les calendriers.
3. Préparez un dossier de communication qui met en œuvre le plan de manière efficace en utilisant les médias et les technologies disponibles.
4. Obtenez des commentaires et mettez à jour le plan de communication et la livraison, si nécessaire.
Conseils associés à l’APO02

,rengilA
ISO/CEI 20000 • 4.0 Planification et mise en œuvre de la gestion des services

• 5.0 Planification et mise en œuvre de services nouveaux ou modifiés
ITIL V3 2011 Stratégie de service, 4.1 Gestion de la stratégie pour les services informatiques
62
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO03 Gérer l'architecture d'entreprise Domaine : aligner, planifier et organiser
Établir une architecture commune composée de couches d'architecture de processus métier, d'informations, de données, d'applications et technologiques pour réaliser de manière efficace et efficiente les stratégies
d'entreprise et informatiques en créant des modèles et des pratiques clés qui décrivent les architectures de base et cibles. Définir les exigences en matière de taxonomie, de normes, de lignes directrices, de procédures, de
modèles et d'outils, et fournir un lien entre ces composants. Améliorez l’alignement, augmentez l’agilité, améliorez la qualité des informations et générez des économies potentielles grâce à des initiatives telles que la
réutilisation des composants des éléments de base.
et
Représenter les différents éléments constitutifs de l'entreprise et leurs interrelations ainsi que les principes guidant leur conception et leur évolution au fil du temps, permettant une réalisation standard, réactive et efficace
des objectifs opérationnels et stratégiques.
informatiques • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
exigences
jour
1. L’architecture et les normes soutiennent efficacement l’entreprise. • Nombre d'exceptions aux normes d'architecture et aux lignes de base appliquées
pour et accordé
• Commentaires des clients sur le niveau d'architecture
• Avantages du projet réalisés qui peuvent être attribués à l'implication de l'architecture (par
exemple, réduction des coûts grâce à la réutilisation)
2. Un portefeuille de services d'architecture d'entreprise soutient le changement agile de • Pourcentage de projets utilisant des services d'architecture d'entreprise
l'entreprise. • Commentaires des clients sur le niveau d'architecture
3. Il existe des architectures de domaine et/ou fédérées appropriées et à jour qui fournissent des informations • Date de la dernière mise à jour des architectures de domaine et/ou fédérées
d'architecture fiables. • Nombre de lacunes identifiées dans les modèles dans les domaines de l'architecture de l'entreprise, de
l'information, des données, des applications et de la technologie.
• Niveau d'architecture des commentaires des clients concernant la qualité des informations
fournies
4. Un cadre et une méthodologie d’architecture d’entreprise commune • Pourcentage de projets qui utilisent le cadre et la méthodologie pour réutiliser les composants définis
ainsi qu'un référentiel d'architecture intégré sont utilisés pour permettre une réutilisation efficace dans toute
l'entreprise. • Nombre de personnes formées à la méthodologie et à l'ensemble des outils
• Nombre d'exceptions aux normes d'architecture et aux lignes de base demandées et accordées.
63
Carte RACI APO03
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
soep
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
auietesrlueaaB
g
d
vl
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
aprsé
tm
sm
pv
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
iap
tneemlbeapspnoole
uo
tm
rqtsitnianom
ae
sgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO03.01
Développer la vision de ACCRCR CRCCCCRRCCC C
l'architecture d'entreprise.
APO03.02
CCCRCR CACCCCRRCCC C
Définir l'architecture de référence.
APO03.03
ACCRCR CRCCCCRRCCC
,rengilA
Sélectionner les opportunités C

et les solutions.
APO03.04
Définir la mise en ACRCCR CRCCCCRRCCC C
œuvre de l'architecture.
APO03.05
Fournir des services ACRCCR CRCCCCRRCCC C
d'architecture d'entreprise.
APO03.01 Développer la vision de Depuis Description Description À

l'architecture d'entreprise.
EDM04.01 Principes directeurs de Portée définie APO02.05
La vision de l'architecture fournit une première description de
l'architecture d'entreprise de l'architecture
haut niveau des architectures de base et cibles, couvrant
les domaines commerciaux, de l'information, des données, APO02.05 Feuille de route stratégique Principes d'architecture BAI02.01
des applications et de la technologie. La vision de BAI03.01
l'architecture fournit au sponsor un outil clé pour vendre les BAI03.02
avantages de la capacité proposée aux parties prenantes de
En dehors de la stratégie COBIT Enterprise Analyse de rentabilisation APO02.05
l'entreprise. La vision de l'architecture décrit comment la
du concept d'architecture APO05.03
nouvelle capacité répondra aux buts et objectifs
et proposition de valeur
stratégiques de l'entreprise et répondra aux préoccupations
des parties prenantes une fois mise en œuvre.
64
Chapitre 5
planif
Align
orga
APO03 Pratiques de processus, intrants/extrants et activités (suite)
APO03.01 Activités
1. Identifier les principales parties prenantes et leurs préoccupations/objectifs, et définir les principales exigences de l'entreprise à répondre ainsi que les vues d'architecture à développer pour
satisfaire les différentes exigences des parties prenantes.
2. Identifier les objectifs et les moteurs stratégiques de l'entreprise et définir les contraintes qui doivent être traitées, y compris à l'échelle de l'entreprise.
contraintes et contraintes spécifiques au projet (temps, calendrier, ressources, etc.).
3. Aligner les objectifs de l'architecture avec les priorités stratégiques du programme.
et
4. Comprendre les capacités et les désirs de l'entreprise, puis identifier les options pour concrétiser ces capacités.
5. Évaluez la préparation de l'entreprise au changement.
6. Définir ce qui est à l'intérieur et à l'extérieur de la portée des efforts d'architecture de base et d'architecture cible, en comprenant que la ligne de base et
la cible n’a pas besoin d’être décrite avec le même niveau de détail.
7. Confirmer et élaborer les principes d'architecture, y compris les principes d'entreprise. Assurezvous que toutes les définitions existantes sont à jour et clarifiez tous les domaines
d'ambiguïté.
8. Comprendre les buts et objectifs stratégiques actuels de l'entreprise et travailler avec le processus de planification stratégique pour garantir que l'entreprise liée à l'informatique
les opportunités d’architecture sont exploitées dans l’élaboration du plan stratégique.
9. Sur la base des préoccupations des parties prenantes, des exigences en matière de capacités commerciales, de la portée, des contraintes et des principes, créer la vision de l'architecture : une vue de haut niveau
des architectures de base et cible.
10. Définir les propositions de valeur, les objectifs et les mesures de l'architecture cible.
11. Identifier le risque de changement d'entreprise associé à la vision de l'architecture, évaluer le niveau initial de risque (par exemple, critique, marginal ou négligeable) et
élaborer une stratégie d’atténuation pour chaque risque important.
12. Élaborer une analyse de rentabilisation du concept d'architecture d'entreprise, décrire les plans et l'énoncé des travaux d'architecture, et obtenir l'approbation pour lancer un projet.
aligné et intégré à la stratégie de l’entreprise.
APO03.02 Définir l'architecture de référence. Depuis Description Description À

L'architecture de référence décrit les architectures actuelles et cibles
APO01.01 • Directives opérationnelles de Descriptions des APO13.02
pour les domaines métier, information, données, applications et
l'entreprise domaines de base BAI02.01
technologie.
• Définition de la et définition de l'architecture BAI03.01
structure organisationnelle et BAI03.02

des fonctions
APO01.05 • Placement opérationnel Modèle d'architecture de processus APO01.01
défini de la fonction informatique

• Évaluation des options pour
Organisation informatique
APO01.06 Directives de classification Modèle d'architecture de APO02.05
des données l'information BAI02.01

BAI03.02
En dehors de la stratégie COBIT Enterprise
DSS05.03
DSS05.04
DSS05.06
65
APO03.02 Activités
1. Maintenir un référentiel d'architecture contenant des normes, des composants réutilisables, des artefacts de modélisation, des relations, des dépendances et des vues pour permettre
uniformité de l'organisation architecturale et de l'entretien.
2. Sélectionnez des points de vue de référence dans le référentiel d'architecture qui permettront à l'architecte de démontrer comment les préoccupations des parties prenantes sont prises en compte.
abordé dans l’architecture.
3. Pour chaque point de vue, sélectionnez les modèles nécessaires pour prendre en charge la vue spécifique requise, en utilisant les outils ou méthodes sélectionnés et le niveau approprié.
de décomposition.
4. Élaborer des descriptions de domaine architectural de base, en utilisant la portée et le niveau de détail nécessaires pour prendre en charge l'architecture cible et, dans la mesure
possible, en identifiant les éléments constitutifs de l'architecture pertinents à partir du référentiel d'architecture.
5. Maintenir un modèle d'architecture de processus dans le cadre des descriptions de référence et des domaines cibles. Standardiser les descriptions et la documentation des processus.
Définissez les rôles et les responsabilités des décideurs du processus, du propriétaire du processus, des utilisateurs du processus, de l'équipe du processus et de toute autre partie prenante du
processus qui devrait être impliquée.
6. Maintenir un modèle d'architecture de l'information dans le cadre des descriptions de référence et des domaines cibles, cohérent avec la stratégie de l'entreprise pour permettre une utilisation
optimale des informations pour la prise de décision. Maintenez un dictionnaire de données d'entreprise qui favorise une compréhension commune et un système de classification qui comprend
des détails sur la propriété des données, la définition des niveaux de sécurité appropriés et les exigences de conservation et de destruction des données.
,rengilA
7. Vérifiez la cohérence et l'exactitude internes des modèles d'architecture et effectuez une analyse des écarts entre la référence et la cible. Hiérarchisez les lacunes et définissez les
composants nouveaux ou modifiés qui doivent être développés pour l’architecture cible. Résoudre les impacts potentiels tels que les incompatibilités, les incohérences ou les conflits au
sein de l'architecture envisagée.
8. Mener un examen formel des parties prenantes en vérifiant l'architecture proposée par rapport à la motivation initiale du projet d'architecture et à la
énoncé des travaux d'architecture.
9. Finaliser les architectures des domaines métier, information, données, applications et technologies, et créer un document de définition de l'architecture.
APO03.03 Sélectionner les opportunités et les solutions. Depuis Description Description À
Rationalisez les écarts entre les architectures de base et cibles,

APO02.03 Modifications proposées Stratégie de mise en œuvre et de APO02.05
en prenant à la fois les perspectives commerciales et techniques,
de l'architecture d'entreprise migration de haut niveau
et regroupezles logiquement dans des lots de travaux de projet.
Intégrez le projet à tous les programmes d'investissement informatiques Hors COBIT • Stratégies d'entreprise Architectures de transition APO02.05
associés pour garantir que les initiatives architecturales sont alignées • Pilotes d'entreprise
et permettent ces initiatives dans le cadre du changement global
de l'entreprise.
Faitesen un effort de collaboration avec les principales parties
prenantes de l'entreprise, du secteur commercial et
informatique, pour évaluer l'état de préparation de l'entreprise

à la transformation et identifier les opportunités, les
solutions et toutes les contraintes de mise en œuvre.
Activités
1. Déterminer et confirmer les attributs clés du changement de l'entreprise, y compris la culture de l'entreprise et son impact sur la mise en œuvre de l'architecture d'entreprise, ainsi
que les capacités de transition de l'entreprise.
2. Identifier tous les facteurs d'entreprise qui pourraient limiter la séquence de mise en œuvre, y compris un examen des plans stratégiques et commerciaux de l'entreprise et du secteur
d'activité, et la prise en compte de la maturité actuelle de l'architecture d'entreprise.
3. Examiner et consolider les résultats de l'analyse des écarts entre les architectures de référence et cible et évaluer leurs implications en ce qui concerne les solutions/opportunités potentielles, les
interdépendances et l'alignement avec les programmes informatiques actuels.
4. Évaluer les exigences, les lacunes, les solutions et les facteurs pour identifier un ensemble minimal d'exigences fonctionnelles dont l'intégration dans les lots de travaux
conduirait à une mise en œuvre plus efficiente et efficace de l’architecture cible.
5. Concilier les exigences consolidées avec les solutions potentielles.
6. Affiner les dépendances initiales, en veillant à ce que toutes les contraintes sur les plans de mise en œuvre et de migration soient identifiées, et les consolider dans un
rapport d'analyse des dépendances.
7. Confirmer l'état de préparation de l'entreprise et les risques associés à la transformation de l'entreprise.
8. Formuler une stratégie de mise en œuvre et de migration de haut niveau qui guidera la mise en œuvre de l'architecture cible et structurera la transition.
des architectures alignées sur les objectifs stratégiques et les délais de l'entreprise.
9. Identifier et regrouper les principaux lots de travaux en un ensemble cohérent de programmes et de projets, en respectant l'orientation stratégique de mise en œuvre de l'entreprise.
et approche.
10. Développer une série d'architectures de transition si nécessaire lorsque l'ampleur du changement requis pour réaliser l'architecture cible nécessite un
approche progressive.
66
Chapitre 5
planif
Align
orga
APO03.04 Définir la mise en œuvre de l'architecture. Depuis Description Description À
Créer un plan de mise en œuvre et de migration viable, aligné sur

Besoins en ressources BAI01.02
les portefeuilles de programmes et de projets.
Assurezvous que le plan est étroitement coordonné pour garantir Descriptions des phases de BAI01.01
que la valeur est générée et que les ressources requises sont mise en œuvre BAI01.02
disponibles pour terminer le travail nécessaire.
BAI01.01
et
Exigences de gouvernance de
l’architecture
Activités
1. Établir ce que le plan de mise en œuvre et de migration doit inclure dans le cadre de la planification du programme et du projet et garantir qu'il est aligné sur les
exigences des décideurs concernés.
2. Confirmez les incréments et les phases de l'architecture de transition et mettez à jour le document de définition de l'architecture.
3. Définir les exigences de gouvernance de mise en œuvre de l’architecture.
APO03.05 Fournir des services d'architecture d'entreprise. Depuis Description Description À
La fourniture de services d'architecture d'entreprise au sein de

Conseils pour le développement BAI02.01
l'entreprise comprend l'orientation et la surveillance des projets
de solutions BAI02.02
de mise en œuvre, la formalisation des méthodes de travail
BAI03.02
par le biais de contrats d'architecture, ainsi que la mesure et la
communication de la valeur ajoutée de l'architecture et la
surveillance de la conformité.
Activités
1. Confirmer la portée et les priorités et fournir des conseils pour le développement et le déploiement de solutions.
2. Gérer le portefeuille de services d'architecture d'entreprise pour assurer l'alignement avec les objectifs stratégiques et le développement de solutions.
3. Gérer les exigences en matière d'architecture d'entreprise et prendre en charge les principes architecturaux, les modèles et les éléments de base.
4. Identifiez et alignez les priorités de l’architecture d’entreprise sur les moteurs de valeur. Définir et collecter des indicateurs de valeur, mesurer et communiquer sur l'entreprise
valeur architecturale.
5. Créer un forum technologique pour fournir des lignes directrices architecturales, des conseils sur les projets et des orientations sur la sélection de la technologie. Mesurer la conformité
à ces normes et directives, y compris le respect des exigences externes et leur pertinence commerciale.
TOGAF9 Au cœur de TOGAF se trouve la méthode de développement d'architecture (ADM), qui correspond aux pratiques COBIT 5 consistant à
développer une vision de l'architecture (ADM Phase A), à définir des architectures de référence (ADM Phases B, C, D), à
sélectionner des opportunités et des solutions ( ADM Phase E) et définition de la mise en œuvre de l'architecture (ADM Phases F,
G). Un certain nombre de composants TOGAF correspondent à la pratique COBIT 5 consistant à fournir des services d'architecture
d'entreprise. Ceuxci comprennent la gestion des exigences d'ADM, les principes d'architecture, la gestion des parties prenantes,
l'évaluation de l'état de préparation à la transformation opérationnelle, la gestion des risques, la planification basée sur les
capacités, la conformité de l'architecture et les contrats d'architecture.
67

,rengilA
68
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO04 Gérer l'innovation Domaine : aligner, planifier et organiser
Rester informé des tendances en matière de technologies de l'information et de services connexes, identifier les opportunités d'innovation et planifier comment bénéficier de l'innovation en fonction des besoins de l'entreprise.
Analysez les opportunités d'innovation ou d'amélioration commerciale qui peuvent être créées par les technologies émergentes, les services ou l'innovation commerciale basée sur l'informatique, ainsi que par les technologies
établies existantes et par l'innovation des processus commerciaux et informatiques. Influencer les décisions en matière de planification stratégique et d’architecture d’entreprise.
et
Bénéficiez d’un avantage concurrentiel, d’une innovation commerciale et d’une efficacité opérationnelle améliorée en exploitant les développements des technologies de l’information.
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques • Pourcentage d'investissements informatiques dont la réalisation des avantages est surveillée tout au long du
cycle de vie économique.
• Pourcentage de services informatiques où les avantages attendus sont réalisés. •

Pourcentage d'investissements informatiques où les avantages annoncés sont atteints.
ou dépassé
08 Utilisation adéquate des applications, des informations et des solutions technologiques • Pourcentage de responsables de processus métier satisfaits de la prise en charge des produits informatiques
Et services
• Niveau de compréhension des utilisateurs professionnels sur la manière dont les solutions
technologiques soutiennent leurs processus.
• Niveau de satisfaction des utilisateurs professionnels avec la formation et les manuels d'utilisation
• VAN montrant le niveau de satisfaction de l'entreprise quant à la qualité et à l'utilité des solutions technologiques
exigences
jour
et des idées
1. La valeur d’entreprise est créée grâce à la qualification et à la mise en scène des avancées et innovations • Augmentation de la part de marché ou de la compétitivité grâce aux innovations
les plus appropriées en matière de technologie, de méthodes et de solutions informatiques. • Perceptions et commentaires des parties prenantes de l'entreprise sur l'innovation informatique
2. Les objectifs de l'entreprise sont atteints avec des avantages de qualité améliorés et/ou une réduction • Pourcentage d'initiatives mises en œuvre qui génèrent les avantages escomptés
des coûts grâce à l'identification et à la mise en œuvre de solutions innovantes. • Pourcentage d'initiatives mises en œuvre ayant un lien clair avec un objectif de l'entreprise
3. L'innovation est encouragée et rendue possible et fait partie de la culture d'entreprise. • Inclusion d'objectifs liés à l'innovation ou aux technologies émergentes dans les objectifs de performance
du personnel concerné.
• Commentaires et enquêtes des parties prenantes
69
Carte RACI APO04
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
soep
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
auietesrlueaaB
g
d
vl
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
aprsé
tm
sm
pv
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
iap
tneemlbeapspnoole
uo
tm
rqtsitnianom
ae
sgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO04.01
Créer un environnement UN €€€ R. €€€€ FR
propice à l'innovation.
APO04.02
Maintenir une compréhension de ARRC €€€€
l'environnement de l'entreprise.
APO04.03
,rengilA
Surveiller et analyser ARRRR FR

l'environnement technologique.
APO04.04
Évaluer le potentiel des
je CCCI C ARRRR FR
technologies émergentes et
des idées d'innovation.
APO04.05
Recommander d'autres IRRA C €€€€ FR
initiatives appropriées.
APO04.06
Surveiller la mise en œuvre et DPA C RCCC CC
l'utilisation de l'innovation.
APO04 Gérer les pratiques, les intrants/extrants et les activités du processus d'innovation
APO04.01 Créer un environnement propice à Depuis Description Description À

l'innovation.
Plan d'innovation Interne
Créez un environnement propice à l'innovation, en tenant compte de
questions telles que la culture, la récompense, la Reconnaissance et récompense APO07.04
collaboration, les forums technologiques et les mécanismes programme
permettant de promouvoir et de capturer les idées des employés.
Activités
1. Créez un plan d'innovation qui comprend l'appétit pour le risque, le budget prévu à consacrer aux initiatives d'innovation et les objectifs d'innovation.
2. Fournir une infrastructure qui peut être un catalyseur d'innovation, comme des outils de collaboration pour améliorer le travail entre les emplacements géographiques et les divisions.
3. Créer un environnement propice à l'innovation en maintenant des initiatives RH pertinentes, telles que des programmes de reconnaissance et de récompense de l'innovation, une
rotation appropriée des postes et du temps discrétionnaire pour l'expérimentation.
4. Maintenir un programme permettant au personnel de soumettre des idées d'innovation et de créer une structure décisionnelle appropriée pour évaluer et prendre
ces idées en avant.
5. Encourager les idées d'innovation des clients, des fournisseurs et des partenaires commerciaux.
70
Chapitre 5
planif
Align
orga
APO04 Gérer les pratiques, les intrants/extrants et les activités du processus d'innovation (suite)
Maintenir une compréhension de l'environnement de l'entreprise. Depuis Description Description À
Stratégie d'entreprise en dehors de COBIT et analyse Opportunités d’innovation liées APO02.01

Travailler avec les parties prenantes concernées pour comprendre leurs
SWOT de l'entreprise aux moteurs d’affaires
défis. Maintenir une compréhension adéquate de la stratégie
d'entreprise et de l'environnement concurrentiel ou d'autres contraintes
afin que les opportunités permises par les nouvelles technologies
et
puissent être identifiées.
Activités
1. Maintenir une compréhension des moteurs de l'activité, de la stratégie d'entreprise, des moteurs de l'industrie, des opérations de l'entreprise et d'autres problèmes afin que le potentiel
la valeur ajoutée des technologies ou de l’innovation informatique peut être identifiée.
2. Organiser des réunions régulières avec les unités commerciales, les divisions et/ou d'autres entités parties prenantes pour comprendre les problèmes commerciaux actuels, les goulots
d'étranglement des processus ou d'autres contraintes où les technologies émergentes ou l'innovation informatique peuvent créer des opportunités.
3. Comprendre les paramètres d'investissement des entreprises pour l'innovation et les nouvelles technologies afin d'élaborer des stratégies appropriées.
APO04.03 Surveiller et analyser l'environnement technologique. Depuis Description Description À
Hors COBIT Technologies émergentes Analyses de recherche des BAI03.01

Effectuer une surveillance et une analyse systématiques de
possibilités d’innovation
l'environnement externe de l'entreprise pour identifier les technologies
émergentes susceptibles de créer de la valeur (par exemple, en
réalisant la stratégie d'entreprise, en optimisant les coûts, en évitant
l'obsolescence et en améliorant les processus d'entreprise et
informatiques). Surveillez le marché, le paysage concurrentiel, les
secteurs industriels et les tendances juridiques et réglementaires
pour pouvoir analyser les technologies émergentes ou
les idées d'innovation dans le contexte de l'entreprise.
Activités
1. Comprendre l'intérêt et le potentiel de l'entreprise à adopter de nouvelles innovations technologiques et concentrer les efforts de sensibilisation sur les plus opportunistes.
innovations technologiques.
2. Effectuer des recherches et une analyse de l'environnement externe, y compris des sites Web, des revues et des conférences appropriés, pour identifier
les technologies émergentes.
3. Consulter des experts tiers si nécessaire pour confirmer les résultats de la recherche ou comme source d'informations sur les technologies émergentes.
4. Capturez les idées d'innovation informatique des membres du personnel et analysezles en vue d'une mise en œuvre potentielle.
APO04.04 Évaluer le potentiel des technologies émergentes Depuis Description Description À
et des idées d'innovation.

Évaluations BAI03.01
Analyser les technologies émergentes identifiées et/ou d’autres
d’idées d’innovation
suggestions d’innovation informatique. Travailler avec les parties
prenantes pour valider les hypothèses sur le potentiel des Portée de la preuve de concept APO05.03
nouvelles technologies et de l’innovation. et analyse de rentabilisation APO06.02
Résultats des tests Interne
des initiatives de validation de principe
Activités
1. Évaluer les technologies identifiées, en tenant compte d'aspects tels que le temps nécessaire pour atteindre la maturité, le risque inhérent aux nouvelles technologies (y compris les risques juridiques potentiels).
implications), l'adéquation à l'architecture de l'entreprise et le potentiel d'apporter une valeur supplémentaire.
2. Identifiez tous les problèmes qui pourraient devoir être résolus ou prouvés grâce à une initiative de validation de principe.
3. Portée de l'initiative de validation de principe, y compris les résultats souhaités, le budget requis, les délais et les responsabilités.
4. Obtenir l'approbation de l'initiative de validation de principe.
5. Mener des initiatives de validation de principe pour tester les technologies émergentes ou d'autres idées d'innovation, identifier tout problème et déterminer si d'autres
la mise en œuvre ou le déploiement doit être envisagé en fonction de la faisabilité et du retour sur investissement potentiel.
71
APO04 Gérer les pratiques, les intrants/extrants et les activités du processus d'innovation (suite)
Recommander d'autres initiatives appropriées. Depuis Description Description À
Résultats et APO02.03
Évaluer et surveiller les résultats des initiatives de validation de
recommandations des BAI03.09
principe et, si ceuxci sont favorables, générer des recommandations
initiatives de validation de principe
pour d'autres initiatives et obtenir le soutien des parties prenantes.
Analyse des initiatives APO02.03
rejetées BAI03.08
Activités
1. Documenter les résultats de la validation de principe, y compris des orientations et des recommandations concernant les tendances et les programmes d'innovation.
2. Communiquer les opportunités d'innovation viables dans les processus de stratégie informatique et d'architecture d'entreprise.
3. Effectuer le suivi des initiatives de validation de principe pour mesurer dans quelle mesure elles ont été exploitées en investissements réels.
4. Analyser et communiquer les raisons du rejet des initiatives de validation de principe.
APO04.06 Surveiller la mise en œuvre et l'utilisation de Depuis Description Description À

,rengilA
l'innovation.
Évaluations de l’utilisation APO02.04
Surveiller la mise en œuvre et l’utilisation des technologies et
d’approches innovantes BAI03.02
innovations émergentes pendant l’intégration, l’adoption et
pendant tout le cycle de vie économique afin de garantir que les Évaluation des APO05.04
avantages promis se concrétisent et d’identifier les enseignements bénéfices de l’innovation
tirés.
Plans d'innovation ajustés Interne
Activités
1. Évaluer la mise en œuvre des nouvelles technologies ou innovations informatiques adoptées dans le cadre des évolutions de la stratégie informatique et de l'architecture d'entreprise et leur
réalisation lors de la gestion du programme des initiatives.
2. Capturez les leçons apprises et les opportunités d’amélioration.
3. Ajustez le plan d'innovation, si nécessaire.
4. Identifier et évaluer la valeur potentielle à réaliser grâce à l'utilisation de l'innovation.
Aucun
72
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO05 Gérer le portefeuille Domaine : aligner, planifier et organiser
Exécuter l'orientation stratégique fixée pour les investissements conformément à la vision de l'architecture d'entreprise et aux caractéristiques souhaitées des portefeuilles d'investissement et de services connexes, et
considérer les différentes catégories d'investissements ainsi que les ressources et les contraintes de financement. Évaluer, hiérarchiser et équilibrer les programmes et services, en gérant la demande dans le cadre des
contraintes de ressources et de financement, en fonction de leur alignement avec les objectifs stratégiques, la valeur de l'entreprise et les risques. Déplacez les programmes sélectionnés vers le portefeuille de services actifs pour
exécution. Surveiller les performances du portefeuille global de services et de programmes, en proposant les ajustements nécessaires en réponse aux performances des programmes et des services ou à
l'évolution des priorités de l'entreprise.
et
Optimisez les performances du portefeuille global de programmes en réponse aux performances des programmes et des services et à l'évolution des priorités et des demandes de l'entreprise.
stratégiques
informatiques. • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
programmes et de services.

ou dépassé
13 Livraison de programmes apportant des bénéfices, dans les délais et dans les limites du budget, et • Nombre de programmes/projets dans les délais et dans les limites du budget
répondant aux exigences et aux normes de qualité • Pourcentage de parties prenantes satisfaites de la qualité du programme/projet
• Nombre de programmes nécessitant des retouches importantes en raison de défauts de qualité
• Coût de la maintenance des applications par rapport au coût informatique global
1. Une combinaison d'investissement appropriée est définie et alignée sur la stratégie de • Pourcentage d'investissements informatiques qui ont une traçabilité par rapport à la stratégie de l'entreprise
l'entreprise. • Degré selon lequel la direction de l'entreprise est satisfaite de la contribution de l'informatique
à la stratégie de l'entreprise.
2. Les sources de financement des investissements sont identifiées et disponibles. • Ratio entre les fonds alloués et les fonds utilisés
• Ratio entre les fonds disponibles et les fonds alloués
3. Les analyses de rentabilisation du programme sont évaluées et hiérarchisées avant les fonds • Pourcentage d'unités commerciales impliquées dans l'évaluation et
sont attribués. processus de priorisation
4. Il existe une vue complète et précise de la performance du portefeuille d'investissement. • Niveau de satisfaction par rapport aux rapports de suivi du portefeuille
5. Les modifications du programme d'investissement sont reflétées dans les portefeuilles de services • Pourcentage de changements par rapport au programme d'investissement reflétés dans les portefeuilles
informatiques, d'actifs et de ressources concernés. informatiques concernés
6. Des bénéfices ont été réalisés grâce au suivi des bénéfices. • Pourcentage d'investissements pour lesquels les bénéfices réalisés ont été mesurés et
par rapport à l'analyse de rentabilisation
73
Carte RACI APO05
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
efn
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
éa
o
rxeta
soep
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
laedrtiécsn
aprsé
auietesrlue
tm
sm
pv
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
iap
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
/semme)aésgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO05.01
Établir la répartition des AR C CPI CCCC

investissements cible.
APO05.02
Déterminer la disponibilité et les C UN R. C R.
sources des fonds.
APO05.03
,rengilA
Évaluer et sélectionner les programmes VOITURE R. R. R. RC

à financer.
APO05.04
Surveiller, optimiser et
ICCCCCR UN CCCC C
rendre compte du
rendement du portefeuille de placements.
APO05.05
je IRCA R. R. CC C
Tenir à jour les portefeuilles.
APO05.06
CCCARIR je CCRC C
Gérer l'obtention des avantages sociaux.
APO05.01 Établir la répartition des investissements cible. Depuis Description Description À

Examiner et assurer la clarté des stratégies d’entreprise et
EDM02.02 Types et critères Mix d’investissement défini Interne
informatiques ainsi que des services actuels. Définir une combinaison
d'investissement
d'investissement appropriée basée sur le coût, l'alignement avec la
stratégie et des mesures financières telles que le coût et le retour sur APO02.05 • Feuille de route stratégique Ressources et capacités Interne
investissement attendu sur le cycle de vie économique complet, le degré • Initiatives d'évaluation identifiées nécessaires
de risque et le type d'avantages pour les programmes du portefeuille. des risques pour soutenir la stratégie
Ajustez les stratégies d’entreprise et informatiques si nécessaire. • Définition des initiatives
stratégiques
APO06.02 Priorisation et classement des Commentaires sur la stratégie APO02.05

initiatives informatiques et les objectifs
APO09.01 Définitions des

services standards
BAI03.11 Définitions de services
Activités
1. Valider que les investissements informatiques et les services informatiques actuels sont alignés sur la vision de l'entreprise, les principes de l'entreprise, les buts et objectifs stratégiques,
vision et priorités de l’architecture d’entreprise.
2. Obtenir une compréhension commune entre l'informatique et les autres fonctions commerciales sur les opportunités potentielles pour l'informatique de piloter et de soutenir le
stratégie d'entreprise.
3. Créer une répartition des investissements qui permet d'atteindre le juste équilibre entre un certain nombre de dimensions, y compris un équilibre approprié entre le court et le long terme.
des rendements, des avantages financiers et non financiers et des investissements à risque élevé et faible.
4. Identifier les grandes catégories de systèmes d'information, d'applications, de données, de services informatiques, d'infrastructures, d'actifs informatiques, de ressources, de compétences, de pratiques, de contrôles et
relations nécessaires pour soutenir la stratégie de l’entreprise.
5. Convenir d'une stratégie et d'objectifs informatiques, en tenant compte des interrelations entre la stratégie de l'entreprise et les services informatiques, les actifs et autres
ressources. Identifiez et exploitez les synergies qui peuvent être réalisées.
74
Chapitre 5
planif
Align
orga
Déterminer la disponibilité et les sources des fonds. Depuis Description Description À
Options de financement APO02.05

Déterminez les sources potentielles de fonds, les différentes options de
financement et les implications de la source de financement sur les Retour sur investissement EDM02.01
attentes en matière de retour sur investissement. attentes APO02.04

APO06.02
et
BAI01.06
Activités
1. Comprendre la disponibilité actuelle et l'engagement des fonds, les dépenses actuelles approuvées et le montant réel dépensé à ce jour.
2. Identifier les options permettant d'obtenir des fonds supplémentaires pour les investissements informatiques, en interne et auprès de sources externes.
3. Déterminer les implications de la source de financement sur les attentes en matière de retour sur investissement.
APO05.03 Évaluer et sélectionner les programmes à financer. Depuis Description Description À
Sur la base des exigences globales en matière de composition

EDM02.01 • Évaluation des portefeuilles Analyse de rentabilisation du programme APO06.02
du portefeuille d'investissement, évaluer et hiérarchiser les analyses
d'investissement et de services BAI01.02
de rentabilisation du programme et décider des propositions d'investissement.
• Évaluation de
Allouer des fonds et lancer des programmes.
l'alignement stratégique
EDM02.02 Types et critères Évaluations de APO06.02

d'investissement rentabilisation BAI01.06
APO03.01 Analyse de rentabilisation Programmes sélectionnés avec des EDM02.01

du concept d'architecture étapes de retour sur investissement BAI01.04
et proposition de valeur (ROI)
APO04.04 Portée de la preuve de concept

et analyse de rentabilisation
APO06.03 • Communications budgétaires

• Budget et plan informatique
APO09.01 Lacunes identifiées dans les

services informatiques à l'entreprise
APO09.03 SLA
BAI01.02 • Plan de concrétisation des
avantages du programme
• Mandat et mémoire du
programme
• Analyse de rentabilité du
concept de programme
Activités
1. Reconnaître les opportunités d’investissement et les classer en fonction des catégories du portefeuille d’investissement. Préciser les résultats attendus de l'entreprise,
toutes les initiatives nécessaires pour atteindre les résultats, les coûts, les dépendances et les risques attendus, et comment tout cela serait mesuré.
2. Effectuer des évaluations détaillées de toutes les analyses de rentabilisation du programme, en évaluant l'alignement stratégique, les avantages de l'entreprise, les risques et la disponibilité des ressources.
3. Évaluer l'impact sur le portefeuille d'investissement global de l'ajout de programmes candidats, y compris tout changement qui pourrait être nécessaire pour
d'autres programmes.
4. Décidez quels programmes candidats doivent être déplacés vers le portefeuille d'investissement actif. Décidez si les programmes rejetés doivent être conservés pendant
un examen futur ou un financement de démarrage pour déterminer si l'analyse de rentabilisation peut être améliorée ou rejetée.
5. Déterminer les étapes requises pour le cycle de vie économique complet de chaque programme sélectionné. Allouer et réserver le financement total du programme par étape. Déplacez le
programme dans le portefeuille d’investissement actif.
6. Établir des procédures pour communiquer les aspects liés aux coûts, aux avantages et aux risques de ces portefeuilles à la priorisation budgétaire, à la gestion des coûts et
processus de gestion des prestations.
75
Surveiller, optimiser et rendre compte du rendement du Depuis Description Description À
portefeuille de placements.
EDM02.01 Évaluation des portefeuilles Rapports sur le rendement EDM02.03
Surveiller et optimiser régulièrement la performance du
d'investissement et de services du portefeuille d'investissement APO09.04
portefeuille d'investissement et des programmes individuels tout au long
BAI01.06
du cycle de vie de l'investissement. EDM02.03 • Actions pour améliorer la
MEA01.03
création de valeur
• Commentaires sur les
performances du
portefeuille et du programme
APO04.06 Évaluation des

bénéfices de l’innovation
Activités
1. Examiner régulièrement le portefeuille pour identifier et exploiter les synergies, éliminer la duplication entre les programmes et identifier et atténuer les risques.
2. Lorsque des changements se produisent, réévaluez et redéfinissez les priorités du portefeuille pour vous assurer qu'il est aligné sur la stratégie commerciale et que la combinaison cible
,rengilA
d'investissements est maintenue afin que le portefeuille optimise la valeur globale. Cela peut nécessiter que des programmes soient modifiés, reportés ou supprimés, et que de nouveaux programmes
soient lancés.
3. Ajuster les objectifs, les prévisions, les budgets de l'entreprise et, si nécessaire, le degré de surveillance pour refléter les dépenses à engager et les avantages de l'entreprise qui seront réalisés par les
programmes du portefeuille d'investissement actif. Intégrer les dépenses du programme dans les mécanismes de rétrofacturation.
4. Fournir une vue précise de la performance du portefeuille d’investissement à toutes les parties prenantes.
5. Fournir des rapports de gestion pour l'examen par la haute direction des progrès de l'entreprise vers les objectifs identifiés, indiquant ce qui reste à faire.
dépensé et accompli sur quels délais.
6. Inclure dans le suivi régulier des performances des informations sur la mesure dans laquelle les objectifs prévus ont été atteints, les risques atténués, les capacités
créés, les livrables obtenus et les objectifs de performance atteints.
7. Identifiez les écarts pour :

• Contrôle budgétaire entre réel et budget • Gestion des
bénéfices de : – Réel par rapport
aux objectifs d'investissements pour les solutions, éventuellement exprimés en termes de ROI, de VAN ou de taux de rendement interne (TRI)
– La tendance réelle du coût du portefeuille de services pour les améliorations de la productivité de la prestation de services
8. Développer des mesures pour mesurer la contribution de l'informatique à l'entreprise et établir des objectifs de performance appropriés reflétant les objectifs requis en matière de capacités
informatiques et d'entreprise. Utilisez les conseils d’experts externes et des données de référence pour développer des mesures.
Maintenir les portefeuilles. Depuis Description Description À
Maintenir des portefeuilles de programmes et de projets d'investissement,

BAI01.14 Communication du retrait Portefeuilles actualisés de APO09.02
de services informatiques et d'actifs informatiques.
du programme et des responsabilités programmes, de services et BAI01.01
continues d’actifs
BAI03.11 Portefeuille de services mis à jour
Activités
1. Créer et maintenir des portefeuilles de programmes d'investissement, de services informatiques et d'actifs informatiques, qui constituent la base du budget informatique actuel et
soutenir les plans tactiques et stratégiques informatiques.
2. Travailler avec les responsables de la prestation de services pour maintenir les portefeuilles de services et avec les responsables des opérations et les architectes pour maintenir les portefeuilles d'actifs.
Hiérarchiser les portefeuilles pour soutenir les décisions d’investissement.
3. Supprimer le programme du portefeuille d'investissement actif lorsque les avantages souhaités pour l'entreprise ont été obtenus ou lorsqu'il est clair que les avantages ne seront pas obtenus dans le cadre
des critères de valeur fixés pour le programme.
76
Chapitre 5
planif
Align
orga
Gérer l'obtention des avantages sociaux. Depuis Description Description À
Surveiller les avantages de la fourniture et du maintien de

BAI01.04 Registre du budget et des Résultats des prestations et EDM02.01
services et de capacités informatiques appropriés, sur la base de
avantages du programme communications associées APO09.04
l'analyse de rentabilisation convenue et actuelle.
BAI01.06
BAI01.05 Résultats du suivi de Actions correctives pour APO09.04
et
la réalisation des bénéfices améliorer la réalisation des bénéfices BAI01.06
Activités
1. Utilisez les paramètres convenus et suivez comment les avantages sont obtenus, comment ils évoluent tout au long du cycle de vie des programmes et des projets, comment ils sont
fournis par les services informatiques et comment ils se comparent aux références internes et sectorielles. Communiquer les résultats aux parties prenantes.
2. Mettre en œuvre des mesures correctives lorsque les bénéfices obtenus s'écartent considérablement des bénéfices attendus. Mettre à jour l'analyse de rentabilisation pour les nouvelles initiatives et
mettre en œuvre des améliorations aux processus commerciaux et aux services, si nécessaire.
3. Envisagez d'obtenir des conseils d'experts externes, de leaders de l'industrie et des données d'analyse comparative pour tester et améliorer les mesures et les objectifs.
ISO/CEI 20000 • 3.1 Responsabilité de la direction

• 4.0 Planification et mise en œuvre de la gestion des services
• 5.0 Planification et mise en œuvre de services nouveaux ou modifiés
ITIL V3 2011 Stratégie de service, 4.2 Gestion du portefeuille de services
Référentiel de compétences pour l'information
Âge (SFIA)
77

,rengilA
78
Chapitre 5
plan
Alig
org
Domaine : Gestion
APO06 Gérer le budget et les coûts Domaine : aligner, planifier et organiser
et
Gérer les activités financières liées à l'informatique dans les fonctions commerciales et informatiques, couvrant la gestion du budget, des coûts et des avantages, ainsi que la
priorisation des dépenses grâce à l'utilisation de pratiques budgétaires formelles et d'un système juste et équitable de répartition des coûts à l'entreprise. Consulter les parties
prenantes pour identifier et contrôler les coûts et avantages totaux dans le contexte des plans stratégiques et tactiques informatiques, et lancer des mesures correctives si nécessaire.

Favoriser le partenariat entre les parties prenantes de l'informatique et de l'entreprise pour permettre une utilisation efficace et efficiente des ressources informatiques et assurer la
transparence et la responsabilité du coût et de la valeur commerciale des solutions et des services. Permettez à l’entreprise de prendre des décisions éclairées concernant l’utilisation de
solutions et de services informatiques.
05 Bénéfices réalisés grâce au portefeuille d'investissements et de services informatiques • Pourcentage d'investissements informatiques dont la réalisation des avantages est
surveillée tout au long du cycle de vie économique.
• Pourcentage de services informatiques où les avantages attendus sont
réalisés. • Pourcentage d'investissements informatiques où les avantages annoncés sont atteints.
ou dépassé
1. Un budget informatique transparent et complet reflète fidèlement • Nombre de modifications budgétaires dues à des omissions et des erreurs
dépenses prévues. • Nombre d'écarts entre les catégories budgétaires attendues et réelles
2. L'allocation des ressources informatiques aux initiatives informatiques est hiérarchisée en fonction • Pourcentage d'alignement des ressources informatiques sur les initiatives hautement prioritaires
des besoins de l'entreprise. • Nombre de problèmes d'allocation de ressources signalés
3. Les coûts des services sont répartis de manière équitable. • Pourcentage des coûts informatiques globaux alloués selon les
modèles de coûts convenus
4. Les budgets peuvent être comparés avec précision aux coûts réels. • Pourcentage d'écart entre les budgets, les prévisions et les coûts réels
Carte RACI APO06

liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
ids'l
R
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
ids'l
étimrofnoC
etrcoefrneiD
Id'l
efn
prsodeefan
éa
ca
rxetaC
E
S
dl
riC
P
d(
p
toirpuoscfeneéa
eriansneociitvsreeG
d
s
o
aprsésoep
toirpuoscfene
sitee
nsqe
sé
eéé
sessitrnpaeertgnie
tjoroelP
iapsmssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
taéo
tm
iuéontpiivtsn
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
im
o
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
/semme)aésgrtg
uo
nm
nm
n
uro
efiig
rue
srn
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
APO06.01
ACC CR CC R.
Gérer les finances et la comptabilité.
APO06.02
IR CCCICC je AICCRCC
Prioriser l'allocation des ressources.
APO06.03
IA CCCCCC RCCCRCCC
Créer et maintenir des budgets.
APO06.04
C CCCCCC ACCCRCC
Modéliser et répartir les coûts.
APO06.05
R. CCCCCC ACCCRCC
Gérer les coûts.
79
Gérer les finances et la comptabilité. Depuis Description Description À

Établir et maintenir une méthode pour comptabiliser tous les coûts,
BAI09.01 Registre des actifs Processus comptables Interne
investissements et amortissements liés à l'informatique en tant que
partie intégrante des systèmes financiers et du plan comptable de Schéma de classification des coûts Interne
l'entreprise pour gérer les investissements et les coûts informatiques. informatiques
Capturez et répartissez les coûts réels, analysez les écarts entre les
Pratiques de planification Interne
prévisions et les coûts réels et créez des rapports à l'aide des
financière
systèmes de mesure financière de l'entreprise.
Activités
1. Définir les processus, les entrées et les sorties, ainsi que les responsabilités, conformément aux politiques et à l'approche de l'entreprise en matière de budgétisation et de comptabilité analytique pour piloter
systématiquement la budgétisation et l'établissement des coûts informatiques ; permettre une estimation juste, transparente, reproductible et comparable des coûts et des avantages informatiques à intégrer
au portefeuille de programmes commerciaux basés sur l'informatique ; et veiller à ce que les budgets et les coûts soient maintenus dans les portefeuilles d'actifs et de services informatiques.
2. Définir un système de classification pour identifier tous les éléments de coûts liés à l'informatique, comment ils sont répartis entre les budgets et les services, et comment ils sont capturés.
3. Utiliser les informations financières et de portefeuille pour contribuer aux analyses de rentabilité concernant les nouveaux investissements dans les actifs et services informatiques.
,rengilA
4. Définir comment analyser, rendre compte (à qui et comment) et utiliser les processus de contrôle budgétaire et de gestion des avantages.
5. Établir et maintenir des pratiques de planification financière, de gestion des investissements et de prise de décision, ainsi que d'optimisation des coûts opérationnels récurrents afin d'offrir une valeur
maximale à l'entreprise pour le minimum de dépenses.
APO06.02 Prioriser l'allocation des ressources. Depuis Description Description À
Mettre en œuvre un processus décisionnel pour prioriser l'allocation

EDM02.01 Évaluation des portefeuilles Priorisation et classement des APO05.01
des ressources et des règles pour les investissements discrétionnaires
d'investissement et de services initiatives informatiques
par unités commerciales individuelles. Incluez le recours potentiel à
des prestataires de services externes et envisagez les options d’achat, de EDM02.03 Actions pour améliorer la Allocations budgétaires APO02.05
développement et de location. création de valeur APO05.03

APO07.05
APO04.04 Portée de la preuve de concept
BAI03.11
et analyse de rentabilisation
APO05.02 Attentes de rendement
des investissements
APO05.03 • Évaluations de
rentabilisation
• Activités du programme
cas
Activités
1. Créer un organe décisionnel chargé de prioriser les ressources commerciales et informatiques, y compris le recours à des prestataires de services externes dans le cadre des allocations budgétaires
de haut niveau pour les programmes informatiques, les services informatiques et les actifs informatiques, comme établi par les plans stratégiques et tactiques. Considérez les options d’achat ou de
développement d’actifs et de services capitalisés par rapport aux actifs et services utilisés en externe sur une base de paiement à l’utilisation.
2. Classez toutes les initiatives informatiques en fonction d'analyses de rentabilisation et de plans stratégiques et tactiques, et établissez des procédures pour déterminer les allocations budgétaires et les limites.
Établir une procédure pour communiquer les décisions budgétaires et les examiner avec les responsables du budget de l'unité commerciale.
3. Identifier, communiquer et résoudre les impacts importants des décisions budgétaires sur les analyses de rentabilisation, les portefeuilles et les plans stratégiques (par exemple, lorsque les budgets
peuvent nécessiter une révision en raison de l'évolution de la situation de l'entreprise, lorsqu'ils ne sont pas suffisants pour soutenir les objectifs stratégiques ou les objectifs de l'analyse de rentabilisation).
4. Obtenir la ratification du comité exécutif pour les modifications globales du budget informatique qui ont un impact négatif sur les plans stratégiques ou tactiques de l'entité et proposer des actions
suggérées pour résoudre ces impacts.
80
Chapitre 5
planif
Align
orga
Créer et maintenir des budgets. Depuis Description Description À
Préparer un budget reflétant les priorités d'investissement soutenant

Budget et plan informatique APO02.05
les objectifs stratégiques en fonction du portefeuille de programmes et de
APO05.03
services informatiques.
APO07.01
BAI03.11
et
Communication budgétaire APO02.05
APO05.03
APO07.01
BAI03.11
Activités
1. Mettre en œuvre un budget informatique formel, comprenant tous les coûts informatiques attendus des programmes informatiques, des services informatiques et des actifs informatiques, conformément à la stratégie.
programmes et portefeuilles.
2. Lors de la création du budget, tenez compte des éléments suivants : • Alignement

avec l'entreprise
• Alignement avec la stratégie d'approvisionnement
• Sources de financement autorisées
• Coûts des ressources internes, y compris le personnel, les actifs informationnels et les locaux.
• Coûts de tiers, y compris les contrats d'externalisation, les consultants et les prestataires de services
• Dépenses d'investissement et d'exploitation
• Éléments de coûts qui dépendent de la charge de travail
3. Documentez les justifications pour justifier les imprévus et examinezles régulièrement.
4. Demandez aux propriétaires de processus, de services et de programmes, ainsi qu'aux gestionnaires de projets et d'actifs, de planifier les budgets.
5. Examinez les plans budgétaires et prenez des décisions concernant les allocations budgétaires. Compiler et ajuster le budget en fonction de l'évolution des besoins de l'entreprise et
considérations financières.
6. Enregistrer, maintenir et communiquer le budget informatique actuel, y compris les dépenses engagées et les dépenses courantes, en tenant compte des projets informatiques
enregistrés dans les portefeuilles d’investissements informatiques et dans l’exploitation et la maintenance des portefeuilles d’actifs et de services.
7. Surveiller l'efficacité des différents aspects de la budgétisation et utiliser les résultats pour mettre en œuvre des améliorations afin de garantir que les futurs budgets soient plus précis, fiables et rentables.
APO06.04 Modéliser et répartir les coûts. Depuis Description Description À
Établir et utiliser un modèle de calcul des coûts informatiques basé

Coûts informatiques catégorisés Interne
sur la définition du service, garantissant que la répartition des coûts pour
les services est identifiable, mesurable et prévisible, afin d'encourager Modèle de répartition des coûts Interne
l'utilisation responsable des ressources, y compris celles

Communications Interne
fournies par les prestataires de services. Examiner et évaluer régulièrement
sur la répartition des coûts
la pertinence du modèle de coût/refacturation afin de maintenir sa
pertinence et son adéquation à l'évolution des activités commerciales et Procédures opérationnelles Interne
informatiques.
Activités
1. Catégoriser tous les coûts informatiques de manière appropriée, y compris ceux liés aux prestataires de services, selon la direction de l'entreprise
cadre comptable.
2. Inspectez les catalogues de définitions de services pour identifier les services soumis à la rétrofacturation des utilisateurs et ceux qui sont des services partagés.
3. Définir et convenir d'un modèle qui : • Prend en

charge le calcul des taux de rétrofacturation par service • Définit comment les
coûts informatiques seront calculés/facturés • Est différencié, où et
quand cela est approprié • Est aligné sur le budget informatique
4. Concevoir le modèle de coûts pour qu'il soit suffisamment transparent pour permettre aux utilisateurs d'identifier leur utilisation et leurs frais réels, et pour mieux permettre la prévisibilité de l'informatique.
coûts et une utilisation efficiente et efficace des ressources informatiques.
5. Après examen avec les départements utilisateurs, obtenir l'approbation et communiquer les entrées et sorties du modèle de calcul des coûts informatiques à la direction de
départements utilisateurs.
6. Communiquer les modifications apportées au modèle de coût/refacturation aux propriétaires de processus d'entreprise.
81
APO06.05 Gérer les coûts. Depuis Description Description À
Mettre en œuvre un processus de gestion des coûts comparant les

EDM02.03 Commentaires sur les performances Méthode de collecte des données Interne
coûts réels aux budgets. Les coûts doivent être surveillés et signalés et, en
du portefeuille et du programme sur les coûts
cas d'écarts, identifiés en temps opportun et leur impact sur les
processus et services de l'entreprise évalué. BAI01.02 Plan de concrétisation des Méthode de consolidation des coûts Interne
avantages du programme
BAI01.04 Registre du budget et des Opportunités APO02.02
avantages du programme d'optimisation des coûts
BAI01.05 Résultats du suivi de la
réalisation des bénéfices
Activités
1. Assurer une autorité et une indépendance appropriées entre les responsables du budget informatique et les personnes qui capturent, analysent et déclarent les informations financières.
2. Établir des délais pour le fonctionnement du processus de gestion des coûts conformément aux exigences budgétaires et comptables.
3. Définir une méthode de collecte de données pertinentes pour identifier les écarts pour :
,rengilA
• Contrôle budgétaire entre le réel et le budget. • Gestion

des bénéfices de : – Réel par
rapport aux objectifs pour les investissements pour les solutions ; éventuellement exprimé en termes de ROI, NPV ou IRR
– La tendance réelle du coût du service pour l'optimisation des coûts des services (par exemple, défini comme le coût par utilisateur)
– Réel par rapport au budget pour améliorer la réactivité et la prévisibilité de la fourniture de solutions • Répartition des coûts
entre les coûts directs et indirects (absorbés et non absorbés)
4. Définir comment les coûts sont consolidés pour les niveaux appropriés de l'entreprise et comment ils seront présentés aux parties prenantes. Les rapports fournissent
informations permettant d’identifier en temps opportun les actions correctives requises.
5. Demandez aux responsables de la gestion des coûts de capturer, collecter et consolider les données, puis de présenter et de communiquer les données aux autorités compétentes.
propriétaires de budget. Les analystes budgétaires et les propriétaires analysent conjointement les écarts et comparent les performances aux références internes et sectorielles. Le résultat de l'analyse
fournit une explication des écarts significatifs et des actions correctives proposées.
6. Veiller à ce que les niveaux de direction appropriés examinent les résultats de l'analyse et approuvent les mesures correctives suggérées.
7. Alignez les budgets et les services informatiques sur l'infrastructure informatique, les processus de l'entreprise et les propriétaires qui les utilisent.
8. Veiller à ce que les changements dans les structures de coûts et les besoins de l'entreprise soient identifiés et que les budgets et les prévisions soient révisés si nécessaire.
9. À intervalles réguliers, et en particulier lorsque les budgets sont réduits en raison de contraintes financières, identifier les moyens d'optimiser les coûts et de réaliser des gains d'efficacité.
sans compromettre les services.
ISO/CEI 20000 6.4 Budgétisation et comptabilité des services informatiques
ITIL V3 2011 Stratégie de service, 4.3 Gestion financière des services informatiques
82
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO07 Gérer les ressources humaines Domaine : aligner, planifier et organiser
Fournir une approche structurée pour garantir une structuration, un placement, des droits de décision et des compétences optimaux des ressources humaines. Cela comprend la communication des rôles et responsabilités définis, des
plans d'apprentissage et de croissance et des attentes en matière de performance, avec le soutien de personnes compétentes et motivées.
Optimisez les capacités des ressources humaines pour atteindre les objectifs de l’entreprise.
et
• Niveaux de satisfaction des responsables commerciaux et informatiques à l'égard des coûts et des capacités
liés à l'informatique.
pour leur rôle

17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation et de compréhension des dirigeants d'entreprise
Possibilités d'innovation informatique
et des idées
1. La structure organisationnelle informatique et les relations sont flexibles et réactives. • Nombre de définitions de services et de catalogues de services
• Niveau de satisfaction des dirigeants à l'égard de la prise de décision de la direction
• Nombre de décisions qui n'ont pas pu être résolues au sein des structures de gestion et ont été transmises
aux structures de gouvernance
2. Les ressources humaines sont gérées de manière efficace et efficiente. • Pourcentage de rotation du personnel
• Durée moyenne des postes vacants
• Pourcentage de postes informatiques vacants
83
Carte RACI APO07
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
efn
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
éa
o
rxeta
soep
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
laedrtiécsn
aprsé
auietesrlue
tm
sm
pv
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
iap
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
/semme)aésgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO07.01
Maintenir un effectif adéquat R. je R. ARRRRRRRR
et approprié.
APO07.02
R. R. ARRRRRRRR
Identifier le personnel informatique clé.
APO07.03
Maintenir les aptitudes et R. R. ARRRRRRRR
,rengilA
les compétences du personnel.
APO07.04
Évaluer le rendement au R. R. ARRRRRRRR
travail des employés.
APO07.05
Planifier et suivre l'utilisation des RCARR je €€€€€€€€€€€€€€€€€€€€€€€€€€€€€€
ressources humaines en TI et en entreprise.
APO07.06
R. R. ARRRRRRRR
Gérer le personnel contractuel.
Maintenir une dotation adéquate et appropriée. Depuis Description Description À
EDM04.01 • Plan de ressources approuvé Évaluations des besoins Interne

Évaluez régulièrement les besoins en personnel ou lors de
• Principes directeurs pour en personnel
changements majeurs dans l'entreprise ou dans les
l'allocation des ressources
environnements opérationnels ou informatiques pour garantir
et des capacités
que l'entreprise dispose de ressources humaines suffisantes pour
soutenir les buts et objectifs de l'entreprise. Le personnel EDM04.03 Actions correctives pour Plans de développement de Interne
comprend des ressources internes et externes. remédier aux écarts compétences et de carrière
de gestion des ressources
APO01.02 Définition des pratiques de Plans de recrutement de personnel Interne

contrôle

Hors COBIT • Buts et objectifs de l'entreprise
• Politiques et procédures RH
de l'entreprise
Activités
1. Évaluer les besoins en personnel sur une base régulière ou lors de changements majeurs pour s'assurer que :
• La fonction informatique dispose de ressources suffisantes pour soutenir de manière adéquate et appropriée les buts et objectifs de l'entreprise. •
L'entreprise dispose de ressources suffisantes pour prendre en charge de manière adéquate et appropriée les processus et contrôles commerciaux ainsi que les initiatives informatiques.
2. Maintenir les processus de recrutement et de rétention du personnel commercial et informatique conformément aux politiques et procédures globales en matière de personnel de l'entreprise.
3. Incluez des vérifications des antécédents dans le processus de recrutement informatique des employés, des soustraitants et des fournisseurs. L'étendue et la fréquence de ces contrôles devraient
dépendent de la sensibilité et/ou de la criticité de la fonction.
4. Établir des modalités de ressources flexibles pour répondre aux besoins changeants de l'entreprise, tels que le recours à des transferts, à des soustraitants externes et à des tiers.
modalités de services.
5. Veiller à ce qu'une formation polyvalente ait lieu et à ce que le personnel clé soit remplacé afin de réduire la dépendance envers une seule personne.
84
Chapitre 5
planif
Align
orga
Identifier le personnel informatique clé. Depuis Description Description À
Identifiez le personnel informatique clé tout en minimisant le recours à

Liste du personnel clé Interne
une seule personne effectuant une fonction critique grâce à la
capture des connaissances (documentation), au partage des connaissances,
à la planification de la succession et à la sauvegarde du personnel.
et
Activités
1. Minimiser le recours à une seule personne effectuant une fonction critique grâce à la capture des connaissances (documentation), au partage des connaissances et à la succession.
planification, relève du personnel, initiatives de formation polyvalente et de rotation des postes.
2. Par mesure de sécurité, fournissez des lignes directrices sur la durée minimale des vacances annuelles que doivent prendre les personnes clés.
3. Prendre des mesures rapides concernant les changements d'emploi, en particulier les licenciements.
4. Testez régulièrement les plans de sauvegarde du personnel.
APO07.03 Maintenir les aptitudes et les compétences du personnel. Depuis Description Description À
EDM01.02 Approche du système de récompense Aptitudes et compétences APO01.02

Définir et gérer les aptitudes et compétences requises du
matrice BAI01.02
personnel. Vérifier régulièrement que le personnel possède les
BAI01.04
compétences nécessaires pour remplir ses fonctions sur la base de son
éducation, de sa formation et/ou de son expérience, et vérifier que EDM04.03 Actions correctives pour Plans de développement des compétences EDM04.01
ces compétences sont maintenues, en utilisant des programmes de remédier aux écarts de APO01.02
qualification et de certification le cas échéant. Offrir aux employés une gestion des ressources
formation continue et des opportunités de maintenir leurs connaissances,
BAI08.03 Référentiels de connaissances Examiner les rapports Interne
aptitudes et compétences à un niveau requis pour atteindre les
publiés
objectifs de l’entreprise.
BAI08.04 Programmes de sensibilisation et de
formation aux connaissances
DSS04.06 • Suivi des résultats des

aptitudes et compétences
• Exigences de formation
Buts et objectifs en dehors de COBIT Enterprise
Activités
1. Définir les aptitudes et compétences requises et actuellement disponibles des ressources internes et externes pour atteindre les objectifs de l'entreprise, de l'informatique et des processus.
2. Fournir une planification de carrière et un développement professionnel formels pour encourager le développement des compétences, les opportunités d'avancement personnel et
dépendance réduite à l’égard des personnes clés.
3. Donner accès à des référentiels de connaissances pour soutenir le développement des aptitudes et des compétences.
4. Identifier les écarts entre les compétences requises et disponibles et élaborer des plans d'action pour y remédier sur une base individuelle et collective, tels que la formation (compétences techniques
et comportementales), le recrutement, le redéploiement et les stratégies d'approvisionnement modifiées.
5. Développer et dispenser des programmes de formation basés sur les exigences organisationnelles et de processus, y compris les exigences en matière de connaissances d'entreprise, de
contrôle interne, de conduite éthique et de sécurité.
6. Effectuer des revues régulières pour évaluer l'évolution des aptitudes et compétences des ressources internes et externes. Examinez la planification de la relève.
7. Examiner régulièrement le matériel et les programmes de formation pour garantir leur adéquation aux exigences changeantes de l'entreprise et à leur impact.
sur les connaissances, compétences et aptitudes nécessaires.
85
APO07.04 Évaluer le rendement au travail des employés. Depuis Description Description À
Effectuer régulièrement des évaluations de performance en temps

EDM01.02 Approche du système de récompense Objectifs du personnel Interne
opportun par rapport aux objectifs individuels dérivés des buts de
l'entreprise, des normes établies, des responsabilités APO04.01 Programme de Évaluations des performances Interne
professionnelles spécifiques et du cadre d'aptitudes et de reconnaissance et de récompense

compétences. Les employés doivent recevoir un coaching sur leurs
BAI05.04 Objectifs de performance RH Plans d'amélioration Interne
performances et leur conduite chaque fois que cela est approprié.
alignés
BAI05.06 Résultats de l'évaluation

des performances RH
DSS06.03 Droits d'accès attribués
Buts et objectifs en dehors de COBIT Enterprise
Activités
1. Considérez les objectifs fonctionnels/d’entreprise comme contexte pour définir des objectifs individuels.
,rengilA
2. Fixez des objectifs individuels alignés sur les objectifs des processus pertinents afin qu'il y ait une contribution claire aux objectifs informatiques et de l'entreprise. Basez les buts sur des objectifs
SMART (spécifiques, mesurables, réalisables, pertinents et limités dans le temps) qui reflètent les compétences de base, les valeurs de l'entreprise et les compétences requises pour le(s)
rôle(s).
3. Compilez les résultats de l’évaluation des performances à 360 degrés.
4. Mettre en œuvre et communiquer un processus disciplinaire.
5. Fournir des instructions spécifiques pour l'utilisation et le stockage des informations personnelles dans le processus d'évaluation, conformément aux données personnelles applicables.
et la législation du travail.
6. Fournir des commentaires en temps opportun sur les performances par rapport aux objectifs de l'individu.
7. Mettre en œuvre un processus de rémunération/reconnaissance qui récompense l'engagement approprié, le développement des compétences et la réussite des objectifs de performance. Veiller
à ce que le processus soit appliqué de manière cohérente et conforme aux politiques organisationnelles.
8. Élaborer des plans d'amélioration du rendement basés sur les résultats du processus d'évaluation et les exigences identifiées en matière de formation et de développement des compétences.
APO07.05 Planifier et suivre l'utilisation des ressources humaines Depuis Description Description À
en TI et en entreprise.
EDM04.02 Communication des Inventaire des affaires et BAI01.04
Comprendre et suivre la demande actuelle et future en ressources humaines
stratégies de ressources Ressources humaines informatiques
commerciales et informatiques ayant des responsabilités en matière
d'informatique d'entreprise. Identifier les lacunes et contribuer aux EDM04.03 Commentaires sur l’allocation Analyses du manque de BAI01.06
plans de sourcing, aux processus de recrutement d'entreprise et et l’efficacité des ressources ressources
informatiques, aux plans de sourcing et aux processus de et des capacités
recrutement commerciaux et informatiques.
APO06.02 Allocations budgétaires Enregistrements d'utilisation BAI01.06
des ressources
BAI01.04 Besoins en ressources et rôles
BAI01.12 Besoins en ressources

du projet
En dehors de la structure organisationnelle de COBIT

Enterprise
Activités
1. Créer et maintenir un inventaire des ressources humaines commerciales et informatiques.
2. Comprendre la demande actuelle et future en ressources humaines pour soutenir la réalisation des objectifs informatiques et fournir des services et des solutions
en fonction du portefeuille d'initiatives informatiques actuelles, du futur portefeuille d'investissements et des besoins opérationnels quotidiens.
3. Identifier les lacunes et contribuer aux plans de sourcing ainsi qu'aux processus de recrutement d'entreprise et informatiques. Créer et réviser le plan de dotation,
garder une trace de l'utilisation réelle.
4. Conserver des informations adéquates sur le temps consacré aux différentes tâches, missions, services ou projets.
86
Chapitre 5
planif
Align
orga
Gérer le personnel contractuel. Depuis Description Description À
Veiller à ce que les consultants et le personnel contractuel qui

BAI01.04 Besoins en ressources et rôles Politiques relatives au personnel contractuel Interne
soutiennent l'entreprise avec des compétences informatiques connaissent
et respectent les politiques de l'organisation et répondent aux
exigences contractuelles convenues. BAI01.12 Besoins en ressources Accords contractuels Interne
du projet
et
BAI01.14 Communication du retrait Examens des accords Interne
du programme et des responsabilités contractuels
continues
Activités
1. Mettre en œuvre des politiques et des procédures qui décrivent quand, comment et quel type de travail peut être effectué ou augmenté par des consultants et/ou
soustraitants, conformément à la politique d'approvisionnement informatique de l'organisation à l'échelle de l'organisation et au cadre de contrôle informatique.
2. Obtenir l'accord formel des entrepreneurs au début du contrat selon lequel ils sont tenus de se conformer au contrôle informatique de l'entreprise
cadre, comme les politiques en matière d'habilitation de sécurité, de contrôle d'accès physique et logique, d'utilisation des installations, d'exigences en matière de confidentialité des informations et
d'accords de nondivulgation.
3. Informer les entrepreneurs que la direction se réserve le droit de surveiller et d'inspecter toute utilisation des ressources informatiques, y compris le courrier électronique, les communications vocales et
tous les programmes et fichiers de données.
4. Fournir aux entrepreneurs une définition claire de leurs rôles et responsabilités dans le cadre de leurs contrats, y compris des exigences explicites pour documenter leurs
travailler selon des normes et des formats convenus.
5. Examiner le travail des entrepreneurs et fonder l'approbation des paiements sur les résultats.
6. Définissez tous les travaux effectués par des parties externes dans des contrats formels et sans ambiguïté.
7. Effectuer des examens périodiques pour s'assurer que le personnel contractuel a signé et accepté tous les accords nécessaires.
8. Effectuer des examens périodiques pour garantir que les rôles et les droits d'accès des soustraitants sont appropriés et conformes aux accords.
ISO/CEI 27002 8. Sécurité des ressources humaines
SFIA Référence des compétences
87

,rengilA
88
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO08 Gérer les relations Domaine : aligner, planifier et organiser
Gérer la relation entre l'entreprise et l'informatique d'une manière formalisée et transparente qui garantit la concentration sur la réalisation d'un objectif commun et partagé de résultats d'entreprise réussis à l'appui des objectifs
stratégiques et dans le respect des contraintes budgétaires et de la tolérance au risque. Fondez la relation sur la confiance mutuelle, en utilisant des termes ouverts et compréhensibles et un langage commun et une volonté de
s'approprier et de rendre compte des décisions clés.
Créez de meilleurs résultats, une confiance accrue dans l’informatique et une utilisation efficace des ressources.
et
12 Activation et prise en charge des processus métier en intégrant des applications et des • Nombre d'incidents de traitement métier causés par des erreurs d'intégration technologique
technologies dans les processus métier
• Nombre de changements de processus métier qui doivent être retardés ou retravaillés en raison
de problèmes d'intégration technologique.
• Nombre de programmes métiers informatiques retardés ou entraînant des coûts supplémentaires
en raison de problèmes d'intégration technologique.
et des idées
1. Les stratégies, plans et exigences commerciaux sont bien compris, documentés et approuvés. • Pourcentage d'alignement des services informatiques avec les exigences
métier de l'entreprise
2. De bonnes relations existent entre l'entreprise et le service informatique. • Notes des enquêtes de satisfaction des utilisateurs et du personnel informatique
3. Les parties prenantes du monde des affaires sont conscientes des opportunités offertes par la technologie. • Enquête sur le niveau de sensibilisation à la technologie des parties prenantes de l'entreprise
• Taux d'inclusion des opportunités technologiques dans les propositions d'investissement
89
Carte RACI APO08
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
iuéontpiivtssniteecoaR
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
ds
aprsésoep
eéé
sessitrnpaeertgnie
tjoroelP
auietesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
tm
erutceltiiehscnra
im
ticm
aiem
esirpséeetriu
o
tneemlbeapspnoole
uo
tm
rqtsitnianom
/semme)aésgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO08.01
Comprendre les attentes CCCCRC C C CCACRRCRRR
de l'entreprise.
APO08.02
Identifier les opportunités, les risques

je je TRI C je CCARRR R.
et les contraintes permettant aux TI
d'améliorer l'entreprise.
,rengilA
APO08.03
Gérer la relation CCCRRI UN FR R.
d'affaires.
APO08.04
RIRRRI UN FR R.
Coordonner et communiquer.
APO08.05
Contribuer à l'amélioration C ICRI C CCCACRR RCC
continue des services.
APO08.01 Comprendre les attentes de l'entreprise. Depuis Description Description À

Comprendre les enjeux et objectifs commerciaux actuels ainsi que
APO02.05 Feuille de route stratégique Des attentes commerciales Interne
les attentes commerciales en matière d'informatique. Veiller à ce
clarifiées et convenues
que les exigences soient comprises, gérées et communiquées, et
que leur statut soit convenu et approuvé.
Activités
1. Identifiez les parties prenantes de l’entreprise, leurs intérêts et leurs domaines de responsabilités.
2. Examiner l'orientation actuelle de l'entreprise, les problèmes, les objectifs stratégiques et l'alignement avec l'architecture de l'entreprise.
3. Rester informé des processus métier et des activités associées et comprendre les modèles de demande liés aux volumes et à l'utilisation des services.
4. Clarifier les attentes de l'entreprise en matière de services et de solutions informatiques et garantir que les exigences sont définies avec l'acceptation commerciale associée
critères et mesures.
5. Confirmer l'accord sur les attentes commerciales, les critères d'acceptation et les mesures des parties pertinentes de l'informatique par toutes les parties prenantes.
6. Gérer les attentes en veillant à ce que les unités commerciales comprennent les priorités, les dépendances, les contraintes financières et la nécessité de planifier les demandes.
7. Comprendre l'environnement commercial actuel, les contraintes ou problèmes de processus, l'expansion ou la contraction géographique et les facteurs industriels/réglementaires.
90
Chapitre 5
planif
Align
orga
Identifier les opportunités, les risques et les contraintes permettant aux TI Depuis Description Description À
d'améliorer l'entreprise.
APO09.01 Lacunes identifiées dans les Prochaines étapes et plans Interne
Identifiez les opportunités potentielles permettant à l’informatique de contribuer
services informatiques à l'entreprise d'action convenus
à l’amélioration des performances de l’entreprise.
APO09.04 • Plans d'actions
d'amélioration et de remédiation
et
• Rapports sur les
performances du niveau de service
APO11.05 Causes profondes des échecs

de livraison de qualité
Activités
1. Comprendre les tendances technologiques et les nouvelles technologies et comment cellesci peuvent être appliquées de manière innovante pour améliorer les performances des processus métier.
2. Jouer un rôle proactif dans l'identification et la communication avec les principales parties prenantes sur les opportunités, les risques et les contraintes. Cela inclut les activités actuelles et émergentes
technologies, services et modèles de processus métier.
3. Collaborer pour convenir des prochaines étapes des nouvelles initiatives majeures en coopération avec la gestion de portefeuille, y compris l'élaboration d'une analyse de rentabilisation.
4. S'assurer que l'entreprise et l'informatique comprennent et apprécient les objectifs stratégiques et la vision de l'architecture d'entreprise.
5. Coordonner la planification de nouvelles initiatives informatiques pour assurer l'intégration et l'alignement avec l'architecture de l'entreprise.
APO08.03 Gérer la relation d'affaires. Depuis Description Description À
Gérer la relation avec les clients (représentants commerciaux).

DSS02.02 Incidents et demandes de Des décisions clés convenues Interne
Assurezvous que les rôles et les responsabilités relationnelles
service classifiés et priorisés
sont définis et attribués et que la communication est facilitée.
DSS02.06 • Confirmation par l'utilisateur Statut de la plainte et de l'escalade Interne
d'une exécution ou d'une

résolution satisfaisante.
• Demandes de service et
incidents clôturés
DSS02.07 • Demander un rapport sur l'état

d'exécution et les tendances
• Rapport sur l'état et les
tendances des incidents
Activités
1. Désignez un responsable des relations comme point de contact unique pour chaque unité commerciale importante. Assurezvous qu'un seul homologue est identifié dans l'organisation
commerciale et que cet homologue possède une compréhension commerciale, une connaissance technologique suffisante et le niveau d'autorité approprié.
2. Gérer la relation d'une manière formalisée et transparente qui garantit la concentration sur la réalisation d'un objectif commun et partagé de résultats d'entreprise réussis à l'appui des objectifs
stratégiques et dans le respect des contraintes budgétaires et de la tolérance au risque.
3. Définir et communiquer une procédure de réclamation et d'escalade pour résoudre tout problème relationnel.
4. Planifier des interactions et des calendriers spécifiques en fonction d'objectifs mutuellement convenus et d'un langage commun (réunions d'évaluation des services et des performances,
examen de nouvelles stratégies ou plans, etc.).
5. Veiller à ce que les décisions clés soient convenues et approuvées par les parties prenantes responsables concernées.
91
APO08.04 Coordonner et communiquer. Depuis Description Description À

Travailler avec les parties prenantes et coordonner les
APO09.03 SLA Plan de communication Interne
fourniture de bout en bout des services et solutions
informatiques fournis à l’entreprise. APO12.06 Communication Packages de communication Interne
sur l’impact des risques
BAI05.05 Plan d'exploitation et d'utilisation Réponses des clients Interne
BAI07.07 Plan de soutien supplémentaire
BAI09.02 Communications des
temps d'arrêt pour

maintenance planifiés
DSS03.04 Communication des
connaissances acquises
Activités
1. Coordonner et communiquer les changements et les activités de transition tels que les plans de projet ou de changement, les calendriers, les politiques de version, les erreurs connues de version,
,rengilA
et la sensibilisation à la formation.
2. Coordonner et communiquer les activités opérationnelles, les rôles et les responsabilités, y compris la définition des types de demandes, l'escalade hiérarchique, les principales
les pannes (planifiées et non planifiées), ainsi que le contenu et la fréquence des rapports de service.
3. S'approprier la réponse de l'entreprise aux événements majeurs susceptibles d'influencer la relation avec l'entreprise. Fournir un soutien direct
si nécessaire.
4. Maintenir un plan de communication de bout en bout qui définit le contenu, la fréquence et les destinataires des informations sur la prestation de services, y compris l'état de
valeur délivrée et tout risque identifié.
APO08.05 Contribuer à l'amélioration continue des Depuis Description Description À
services.
APO09.02 Catalogues de services Analyses de satisfaction APO09.04
Améliorer et faire évoluer continuellement les services informatiques et la
prestation de services à l'entreprise pour s'aligner sur l'évolution des APO11.03 • Examiner les résultats de la Définition de projets APO02.02
exigences de l'entreprise et de la technologie. qualité de service, y d'amélioration potentiels BAI03.11

compris les commentaires des clients.
• Exigences des clients en matière

de gestion de la qualité
APO11.04 Résultats des revues de qualité

et des audits
APO11.05 Résultats du suivi de la qualité
de la prestation des
solutions et des services
BAI03.10 Plan de maintenance
BAI05.05 Mesures de réussite et

résultats
BAI07.07 Plan de soutien supplémentaire
Activités
1. Effectuer une analyse de satisfaction des clients et des fournisseurs. Assurezvous que les problèmes sont résolus et signalez les résultats et l’état.
2. Travailler ensemble pour identifier, communiquer et mettre en œuvre des initiatives d'amélioration.
3. Travailler avec la gestion des services et les propriétaires de processus pour garantir que les services informatiques et les processus de gestion des services sont continuellement améliorés.
et les causes profondes de tout problème sont identifiées et résolues.
Conseils associés à l'APO08
ISO/CEI 20000 7.2 Gestion des relations commerciales
ITIL V3 2011 • Stratégie de service, 4.4 Gestion de la demande

• Stratégie de service, 4.5 Gestion des relations commerciales
92
Chapitre 5
plan
Alig
org
Domaine : Gestion
APO09 Gérer les contrats de service Domaine : aligner, planifier et organiser
Alignez les services informatiques et les niveaux de service avec les besoins et les attentes de l'entreprise, y compris l'identification, la spécification, la conception, la publication, l'accord et la
et
surveillance des services informatiques, des niveaux de service et des indicateurs de performance.

Assurezvous que les services informatiques et les niveaux de service répondent aux besoins actuels et futurs de l’entreprise.
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à
l'actualité (ou à la disponibilité) des informations de gestion.
• Nombre d'incidents de processus métier causés par la nondisponibilité des
informations
• Ratio et étendue des décisions commerciales erronées lorsqu'elles sont erronées ou
l'indisponibilité des informations était un facteur clé
1. L'entreprise peut utiliser efficacement les services informatiques tels que définis • Nombre de processus métier avec des contrats de service non définis
dans un catalogue.
2. Les contrats de service reflètent les besoins de l'entreprise et les capacités informatiques. • Pourcentage de services informatiques en direct couverts par des contrats de service
• Pourcentage de clients satisfaits que la prestation de services répond
aux niveaux convenus
3. Les services informatiques fonctionnent comme stipulé dans les contrats de service. • Nombre et gravité des violations de service
• Pourcentage de services surveillés jusqu'aux niveaux de service
• Pourcentage d'objectifs de service atteints
Carte RACI APO09

liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
dcl
a
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
aprsésoep
nsqe
sé
eéé
sessitrnpaeertgnie
tjoroelP
toirpuoscfene
iapsmssu
itesrlueaaB
gvl
d
o'C
d
tiduA
taéo
tm
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
tm
rqtsitnianom
uo
aue
étué
e
a
noitraum
/semme)aésgrtg
srnuo
tnaio
nm
nm
n
uro
efiig
rue
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
APO09.01
C RRRC je je IRICCCAI je
Identifier les services informatiques.
APO09.02
je je je je IRICCCAI je
Cataloguer les services informatiques.
APO09.03
Définir et préparer des ententes RC C C RCC CRRACC
de services.
APO09.04
Surveiller et signaler les niveaux je je IR C je je je IA

de service.
APO09.05
Réviser les ententes et les contrats CA C C RCC CRRRRCCI
de service.
93
Identifier les services de TI. Depuis Description Description À
Analysez les exigences métier et la manière dont les services

Lacunes identifiées dans les APO02.02
informatiques et les niveaux de service soutiennent les processus métier.
services informatiques à l'entreprise APO05.03
Discutez et convenez des services et des niveaux de service potentiels
APO08.02
avec l'entreprise, et comparezles avec le portefeuille de services
actuel pour identifier les services ou les options de niveau de Définitions des services APO05.01
service nouveaux ou modifiés. standards
Activités
1. Évaluez les services informatiques actuels et les niveaux de service pour identifier les écarts entre les services existants et les activités commerciales qu'ils prennent en charge. Identifier les zones à
amélioration des services existants et des options de niveau de service.
2. Analyser, étudier et estimer la demande future et confirmer la capacité des services informatiques existants.
3. Analyser les activités des processus métier pour identifier le besoin de services informatiques nouveaux ou repensés.
4. Comparez les exigences identifiées aux composants de service existants dans le portefeuille. Si possible, regroupez les composants de service existants (services informatiques, service
options de niveau et packages de services) en de nouveaux packages de services pour répondre aux exigences commerciales identifiées.
,rengilA
5. Dans la mesure du possible, faites correspondre les demandes aux offres de services et créez des services standardisés pour obtenir une efficacité globale.
6. Examiner régulièrement le portefeuille de services informatiques avec la gestion du portefeuille et la gestion des relations commerciales pour identifier les services obsolètes. S'accorder sur
prendre sa retraite et proposer des changements.
APO09.02 Cataloguer les services informatiques. Depuis Description Description À
Définir et maintenir un ou plusieurs catalogues de services pour les

EDM04.01 Plan de ressources approuvé Catalogues de services APO08.05
groupes cibles pertinents. Publier et maintenir des services
informatiques en direct dans les catalogues de services. EDM04.02 Communication des
stratégies de ressources
APO05.05 Portefeuilles actualisés de

programmes, de services et
d’actifs
Activités
1. Publier dans des catalogues les services informatiques en direct, les packages de services et les options de niveau de service pertinents du portefeuille.
2. Assurezvous en permanence que les composants de service du portefeuille et les catalogues de services associés sont complets et à jour.
3. Informer la direction des relations commerciales de toute mise à jour des catalogues de services.
APO09.03 Définir et préparer des ententes de services. Depuis Description Description À
Définir et préparer des contrats de services basés sur les options

APO11.03 Exigences des clients en matière SLA APO05.03
des catalogues de services. Inclure les accords opérationnels internes.
de gestion de la qualité APO08.04
DSS01.02
BAI03.02 Révisions SLA et OLA
DSS02.01
DSS02.02
DSS04.01
DSS05.02
DSS05.03
OLA DSS01.02
DSS02.07
DSS04.03
DSS05.03
Activités
1. Analyser les exigences relatives aux accords de service nouveaux ou modifiés reçus de la gestion des relations commerciales pour garantir que les exigences peuvent être satisfaites. Tenez
compte d’aspects tels que les temps de service, la disponibilité, les performances, la capacité, la sécurité, la continuité, les problèmes de conformité et de réglementation, la convivialité et les
contraintes de demande.
2. Rédiger des contrats de service client basés sur les services, les packages de services et les options de niveau de service dans les catalogues de services concernés.
3. Déterminer, convenir et documenter les accords opérationnels internes pour soutenir les accords de service client, le cas échéant.
4. Assurer la liaison avec la direction des fournisseurs pour garantir que les contrats commerciaux appropriés avec les prestataires de services externes soutiennent le service client
accords, le cas échéant.
5. Finaliser les accords de service client avec la gestion des relations commerciales.
94
Chapitre 5
planif
Align
orga
APO09.04 Surveiller et signaler les niveaux de service. Depuis Description Description À
Surveiller les niveaux de service, rendre compte des réalisations et

EDM04.03 Actions correctives pour Rapports sur les APO08.02
identifier les tendances. Fournir les informations de gestion appropriées
remédier aux écarts de performances du niveau de service MEA01.03
pour faciliter la gestion des performances.
gestion des ressources
APO05.04 Rapports sur le rendement Plans d'actions d'amélioration et APO02.02
et
du portefeuille d'investissement de remédiation APO08.02
APO05.06 • Actions correctives pour
améliorer la réalisation
des bénéfices
• Résultats des bénéfices et
communications connexes
APO08.05 Analyses de satisfaction
APO11.04 Résultats des revues de qualité et

des audits
APO11.05 • Causes profondes des échecs

• Résultats de la solution
et suivi de la qualité de la
prestation de services
DSS02.02 Incidents et demandes de service

classifiés et
priorisés
DSS02.06 Demandes de service et

incidents clôturés

Activités
1. Établir et maintenir des mesures pour surveiller et collecter des données sur les niveaux de service.
2. Évaluer les performances et fournir des rapports réguliers et formels sur les performances des accords de service, y compris les écarts par rapport aux valeurs convenues.
Distribuez ce rapport à la gestion des relations commerciales.
3. Effectuer des examens réguliers pour prévoir et identifier les tendances en matière de performances des niveaux de service.
4. Fournir les informations de gestion appropriées pour faciliter la gestion des performances.
5. Convenez des plans d'action et des mesures correctives pour tout problème de performance ou tendance négative.
APO09.05 Réviser les ententes et les contrats de Depuis Description Description À

service.
EDM04.03 Commentaires sur l’allocation Révisions des SLA Interne
Effectuer des examens périodiques des accords de service et les
et l’efficacité des ressources
réviser si nécessaire.
et des capacités
APO11.03 Résultats de la qualité de

service, y compris les
commentaires des clients
APO11.04 Résultats des revues de qualité et

des audits
BAI04.01 Évaluations par rapport aux SLA
Activités
1. Examiner régulièrement les contrats de service selon les conditions convenues pour s'assurer qu'ils sont efficaces et à jour et que les exigences évoluent,
Les services informatiques, les packages de services ou les options de niveau de service sont pris en compte, le cas échéant.
95
ISO/CEI 20000 • 5.0 Planification et mise en œuvre de services nouveaux ou modifiés

• 6.1 Gestion des niveaux de service
ITIL V3 2011 • Stratégie de service, 4.4 Gestion de la demande

• Stratégie de service, 4.2 Gestion du portefeuille de services
• Conception de services, 4.2 Gestion du catalogue de services
• Conception des services, 4.3 Gestion des niveaux de service
,rengilA
96
Chapitre 5
plan
Alig
org
Domaine : Gestion
APO10 Gérer les fournisseurs Domaine : aligner, planifier et organiser
Gérer les services liés à l'informatique fournis par tous les types de fournisseurs pour répondre aux exigences de l'entreprise, y compris la sélection des fournisseurs, la gestion des
et
relations, la gestion des contrats, ainsi que l'examen et le suivi des performances des fournisseurs pour en vérifier l'efficacité et la conformité.

Minimisez les risques associés aux fournisseurs non performants et garantissez des prix compétitifs.
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique
aux nouvelles exigences
• Nombre de processus métier critiques pris en charge par une infrastructure et
des applications à jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une
initiative convenue et approuvée.
1. Les fournisseurs exécutent comme convenu. • Pourcentage de fournisseurs répondant aux exigences convenues
• Nombre de violations de service liées aux services informatiques causées par les fournisseurs
2. Le risque fournisseur est évalué et correctement traité. • Nombre d'événements liés aux risques conduisant à des incidents de service
• Fréquence des séances de gestion des risques avec le fournisseur
• Pourcentage d'incidents liés aux risques résolus de manière acceptable (délai et coût)
3. Les relations avec les fournisseurs fonctionnent efficacement. • Nombre de réunions d'évaluation des fournisseurs
• Nombre de litiges formels avec les fournisseurs
• Pourcentage de litiges résolus à l'amiable dans un délai raisonnable
Graphique APO10 RACI

liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
siteecoaR
dcl
a
laaitsnneodpifsneeoaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
d
s
rxeta
aprsésoep
nsqe
sé
eéé
sessitrnpaeertgnie
toirpuoscfene
iapsmssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
astésrierpcitoo
taéo
tm
iuéontpiivtsn
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
im
o
tnaiotm
rqtsitnianom
uo
étué
ae
noitraum
/semme)aésgrtg
uo
nm
nm
n
uro
efiig
rue
srn
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
APO10.01
Identifier et évaluer les relations et C C CCCACCCRCCC
les contrats avec les fournisseurs.
APO10.02
C C CCCACCCRCCC
Sélectionner les fournisseurs.
APO10.03
Gérer les relations et les contrats je CCCACRRRCCC
avec les fournisseurs.
APO10.04 Gérer
C R. CCCACRR CCCC
les risques liés aux fournisseurs.
APO10.05
Surveiller le rendement et la je C C CCCACRR CCCC
conformité des fournisseurs.
97
APO10.01 Identifier et évaluer les relations et les contrats Depuis Description Description À
avec les fournisseurs.

Contrats fournisseurs hors COBIT Importance du fournisseur et Interne
Identifiez les fournisseurs et les contrats associés et classez
critères d’évaluation
les par type, importance et criticité.
Établir des critères d'évaluation des fournisseurs et des contrats et Catalogue fournisseurs BAI02.02
évaluer le portefeuille global de fournisseurs et de contrats existants et

Révisions potentielles des Interne
alternatifs.
contrats fournisseurs
Activités
1. Établir et maintenir des critères relatifs au type, à l'importance et à la criticité des fournisseurs et des contrats avec les fournisseurs, permettant de se concentrer sur les priorités et les priorités.
fournisseurs importants.
2. Établir et maintenir des critères d'évaluation des fournisseurs et des contrats pour permettre un examen global et une comparaison des performances des fournisseurs de manière cohérente.
3. Identifier, enregistrer et catégoriser les fournisseurs et les contrats existants selon des critères définis pour maintenir un registre détaillé des fournisseurs privilégiés qui
doivent être gérés avec soin.
4. Évaluer et comparer périodiquement les performances des fournisseurs existants et alternatifs pour identifier les opportunités ou un besoin impérieux de reconsidérer
,rengilA
contrats fournisseurs en cours.
APO10.02 Sélectionner les fournisseurs. Depuis Description Description À
Sélectionnez les fournisseurs selon une pratique équitable et

BAI02.02 Acquisition de haut niveau/ Demandes d'informations BAI02.01
formelle pour garantir une meilleure adéquation viable en fonction des
plan de développement (RFI) et demandes de BAI02.02
exigences spécifiées. Les exigences doivent être optimisées avec la
propositions des fournisseurs
contribution des fournisseurs potentiels.
(DP)
Évaluations des RFI et RFP BAI02.02
Résultats décisionnels des évaluations EDM04.01

des fournisseurs BAI02.02
Activités
1. Examiner toutes les RFI et RFP pour s'assurer qu'elles : •

Définissent clairement les exigences •
Incluent une procédure pour clarifier les exigences •
Laissent aux fournisseurs suffisamment de temps pour préparer leurs
propositions • Définissent clairement les critères d'attribution et le processus de décision
2. Évaluer les demandes d'information et les demandes de propositions conformément au processus/critères d'évaluation approuvés et conserver les preuves documentaires des évaluations.
Vérifier les références des fournisseurs candidats.
3. Sélectionnez le fournisseur qui correspond le mieux à l'appel d'offres. Documentez et communiquez la décision, puis signez le contrat.
4. Dans le cas spécifique de l'acquisition de logiciels, inclure et faire respecter les droits et obligations de toutes les parties dans les conditions contractuelles. Ces droits et
les obligations peuvent inclure la propriété et l'octroi de licences de propriété intellectuelle, la maintenance, les garanties, les procédures d'arbitrage, les conditions de mise à niveau et l'adéquation
à l'usage, y compris la sécurité, le dépôt et les droits d'accès.
5. Dans le cas spécifique de l'acquisition de ressources de développement, inclure et faire respecter les droits et obligations de toutes les parties dans les conditions contractuelles.
Ces droits et obligations peuvent inclure la propriété et l'octroi de licences de propriété intellectuelle ; adaptés à l'objectif, y compris les méthodologies de développement ; essai; les processus
de gestion de la qualité, y compris les critères de performance requis ; évaluations de performances ; base de paiement ; garanties; procédures d'arbitrage; Gestion des ressources humaines;
et le respect des politiques de l'entreprise.
6. Obtenir des conseils juridiques sur les accords d'acquisition de développement de ressources concernant la propriété et les licences de propriété intellectuelle.
7. Dans le cas spécifique de l'acquisition d'infrastructures, d'installations et de services connexes, inclure et faire respecter les droits et obligations de toutes les parties dans les conditions
contractuelles. Ces droits et obligations peuvent inclure les niveaux de service, les procédures de maintenance, les contrôles d'accès, la sécurité, l'évaluation des performances, la base de
paiement et les procédures d'arbitrage.
98
Chapitre 5
planif
Align
orga
Gérer les relations et les contrats avec les fournisseurs. Depuis Description Description À
BAI03.04 Plans d'acquisition approuvés Rôles et responsabilités Interne

Formaliser et gérer la relation fournisseur pour chaque fournisseur.
des fournisseurs
Gérer, maintenir et surveiller les contrats et la prestation de services.
Assurezvous que les contrats nouveaux ou modifiés sont Processus de Interne
conformes aux normes de l'entreprise et aux exigences légales et communication et d’examen
et
réglementaires. Gérer les litiges contractuels.
Résultats et améliorations Interne
suggérées
Activités
1. Attribuez des responsables de relation à tous les fournisseurs et rendezles responsables de la qualité du ou des services fournis.
2. Spécifiez un processus formel de communication et d'examen, y compris les interactions et les calendriers des fournisseurs.
3. Conclure, gérer, maintenir et renouveler les contrats formels avec le fournisseur. Veiller à ce que les contrats soient conformes aux normes de l'entreprise et aux lois et
exigences réglementaires.
4. Les contrats avec les principaux fournisseurs de services incluent des dispositions pour l'examen du site du fournisseur et des pratiques et contrôles internes par la direction ou
tiers indépendants.
5. Évaluer l'efficacité de la relation et identifier les améliorations nécessaires.
6. Définir, communiquer et convenir des moyens de mettre en œuvre les améliorations requises dans la relation.
7. Utiliser des procédures établies pour traiter les litiges contractuels, en utilisant d'abord, dans la mesure du possible, des relations et des communications efficaces pour les surmonter.
problèmes de service.
8. Définir et formaliser les rôles et responsabilités de chaque fournisseur de services. Lorsque plusieurs fournisseurs s'associent pour fournir un service, envisagez d'attribuer un
rôle d'entrepreneur principal auprès de l'un des fournisseurs pour assumer la responsabilité d'un contrat global.
Gérer les risques liés aux fournisseurs. Depuis Description Description À
Identifier et gérer les risques liés à la capacité des fournisseurs à

APO12.04 • Résultats des évaluations Risque de livraison APO12.01
fournir en permanence une prestation de services sûre, efficiente et
des risques par des tiers fournisseur identifié APO12.03
efficace.
• Rapports d'analyse des risques et BAI01.01
de profil de risque
Exigences contractuelles Interne
pour les parties prenantes
identifiées pour
minimiser les risques
Activités
1. Identifier, surveiller et, le cas échéant, gérer les risques liés à la capacité du fournisseur à fournir un service de manière efficiente, efficace, sûre et fiable.
et continuellement.
2. Lors de la définition du contrat, prévoyez les risques potentiels liés au service en définissant clairement les exigences du service, y compris les accords de dépôt de logiciels,
des fournisseurs alternatifs ou des accords de standby pour atténuer une éventuelle défaillance d'un fournisseur ; sécurité et protection de la propriété intellectuelle (PI); et toute exigence légale
ou réglementaire.
APO10.05 Surveiller le rendement et la conformité des Depuis Description Description À
fournisseurs.
Critères de contrôle de la Interne
Examiner périodiquement les performances globales des fournisseurs, la
conformité des fournisseurs
conformité aux exigences contractuelles et le rapport qualitéprix, et
résoudre les problèmes identifiés. Résultats de l'examen de la MEA01.03
surveillance de la conformité des fournisseurs
Activités
1. Définir et documenter les critères pour surveiller les performances des fournisseurs alignés sur les accords de niveau de service et garantir que le fournisseur rend compte régulièrement et
de manière transparente sur les critères convenus.
2. Surveiller et examiner la prestation de services pour s'assurer que le fournisseur fournit une qualité de service acceptable, répond aux exigences et adhère aux
conditions du contrat.
3. Examiner les performances des fournisseurs et leur rapport qualitéprix pour s'assurer qu'ils sont fiables et compétitifs par rapport aux fournisseurs alternatifs et
les conditions du marché.
4. Demander des examens indépendants des pratiques et contrôles internes des fournisseurs, si nécessaire.
5. Enregistrez et évaluez périodiquement les résultats des examens et discutezen avec le fournisseur pour identifier les besoins et les opportunités d'amélioration.
6. Surveiller et évaluer les informations disponibles en externe sur le fournisseur.
99
Conseils relatifs à l'APO10
ISO/CEI 20000 7.3 Gestion des fournisseurs
ITIL V3 2011 Conception de services, 4.8 Gestion des fournisseurs
Corps de connaissances en gestion de projet Processus d'approvisionnement de PMBOK

(PMBOK)
,rengilA
100
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO11 Gérer la qualité Domaine : aligner, planifier et organiser
Définir et communiquer les exigences de qualité dans tous les processus, procédures et résultats d'entreprise associés, y compris les contrôles, la surveillance continue et l'utilisation de pratiques et de normes éprouvées dans
les efforts d'amélioration continue et d'efficacité.
Assurer une livraison cohérente de solutions et de services pour répondre aux exigences de qualité de l'entreprise et satisfaire les besoins des parties prenantes.
et

ou dépassé
1. Les parties prenantes sont satisfaites de la qualité des solutions et des services. • Taux de satisfaction moyen des parties prenantes à l'égard des solutions et des services
• Pourcentage de parties prenantes satisfaites de la qualité informatique
• Nombre de services dotés d'un plan formel de gestion de la qualité
2. Les résultats du projet et de la prestation de services sont prévisibles. • Pourcentage de projets examinés qui répondent aux buts et objectifs de qualité visés
• Pourcentage de solutions et de services fournis avec une certification formelle
• Nombre de défauts découverts avant la production
3. Les exigences de qualité sont mises en œuvre dans tous les processus. • Nombre de processus avec une exigence de qualité définie
• Nombre de processus avec un rapport formel d'évaluation de la qualité
• Nombre de SLA incluant des critères d'acceptation de qualité
101
Graphique RACI APO11
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
efn
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
éa
o
rxeta
soep
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
laedrtiécsn
aprsé
auietesrlue
tm
sm
pv
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
iap
lbeapspnoole
uo
tnaiotm
rqtsitnianom
a
/semme)aésgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
APO11.01
Établir un système de gestion de C ACICI je C CCRCCCIRRI je je
la qualité (QMS).
APO11.02
Définir et gérer les normes,
C CRC R. C CCARRRRRRRR
pratiques et procédures
de qualité.
,rengilA
APO11.03
Concentrer la gestion de la ARC je CCRI je je IRI je
qualité sur les clients.
APO11.04
Effectuer la surveillance, le contrôle C CRCRC R. CCACCCCRCCC

et les examens de la qualité.
APO11.05
Intégrer la gestion de la qualité dans
CC je ACRR R.
les solutions de développement et
de prestation de services.
APO11.06
Maintenir l'amélioration CRC R. CCARRRRRRRR
continue.
APO11.01 Établir un système de gestion de la Depuis Description Description À

qualité (QMS).
En dehors du système qualité COBIT à l’échelle de Rôles, responsabilités et droits de décision APO01.02
Établir et maintenir un système de gestion de la qualité qui
l’entreprise du système de gestion de la qualité DSS06.03
fournit une approche standard, formelle et continue de la gestion
de la qualité de l'information, permettant une technologie Plans de gestion de la qualité BAI01.09
et des processus commerciaux alignés sur les exigences
Résultats des examens de BAI03.06
commerciales et la gestion de la qualité de l'entreprise.
l’efficacité du système de gestion de la qualité
Activités
1. Veiller à ce que le cadre de contrôle informatique et les processus métiers et informatiques incluent une approche standard, formelle et continue de la gestion de la qualité
qui est alignée sur les exigences de l'entreprise. Dans le cadre de contrôle informatique et les processus commerciaux et informatiques, identifier les exigences et les
critères de qualité (par exemple, sur la base des exigences légales et des exigences des clients).
2. Définir les rôles, les tâches, les droits de décision et les responsabilités en matière de gestion de la qualité dans la structure organisationnelle.
3. Définir des plans de gestion de la qualité pour les processus, projets ou objectifs importants, conformément aux critères de gestion de la qualité de l'entreprise et
Stratégies. Enregistrez des données de qualité.
4. Surveiller et mesurer l'efficacité et l'acceptation de la gestion de la qualité, et les améliorer si nécessaire.
5. Aligner la gestion de la qualité informatique avec un système qualité à l'échelle de l'entreprise pour encourager une approche standardisée et continue de la qualité.
6. Obtenir l'avis de la direction et des parties prenantes externes et internes sur la définition des exigences de qualité et des critères de gestion de la qualité.
7. Communiquer efficacement l'approche (par exemple, par le biais de programmes réguliers et formels de formation de qualité).
8. Examiner régulièrement la pertinence, l'efficience et l'efficacité continues de processus spécifiques de gestion de la qualité. Surveiller la réalisation de
objectifs de qualité.
102
Chapitre 5
planif
Align
orga
APO11.02 Définir et gérer les normes, pratiques et procédures de Depuis Description Description À
qualité.
BAI02.04 Examens de qualité approuvés Normes de gestion de la Tous les APO
Identifier et maintenir les exigences, les normes, les procédures
qualité Tous les BAI
et les pratiques pour les processus clés afin de guider l'entreprise dans Hors COBIT • Bonnes pratiques de l'industrie
Tous les DSS
la réalisation de l'intention du système de gestion de la qualité convenu. • Certifications de qualité
Tous les MEA
Cela doit être conforme aux exigences du cadre de contrôle disponibles
et
informatique. Envisagez une certification pour les processus clés, les
unités organisationnelles, les produits ou les services.
Activités
1. Définir les normes, pratiques et procédures de gestion de la qualité conformément aux exigences du cadre de contrôle informatique. Utiliser les bonnes pratiques du secteur
comme référence lors de l'amélioration et de l'adaptation des pratiques de qualité de l'entreprise.
2. Considérez les avantages et les coûts des certifications de qualité.
APO11.03 Concentrer la gestion de la qualité sur les clients. Depuis Description Description À
Axer la gestion de la qualité sur les clients en déterminant

Hors COBIT Business et client Exigences des clients en matière de APO08.05
leurs exigences et en assurant l'alignement avec les pratiques de gestion
exigences de qualité gestion de la qualité APO09.03
de la qualité.
BAI01.09
Critères d'acceptation BAI02.01

BAI02.02
Examiner les résultats de la APO08.05
qualité de service, y APO09.05

compris les commentaires des clients BAI05.01
BAI07.07
Activités
1. Concentrer la gestion de la qualité sur les clients en déterminant les exigences internes et externes des clients et en assurant l'alignement des normes et pratiques informatiques. Définir et communiquer les
rôles et responsabilités concernant la résolution des conflits entre l'utilisateur/client et l'organisation informatique.
2. Gérer les besoins et les attentes de l'entreprise pour chaque processus métier, service opérationnel informatique et nouvelles solutions, et maintenir leur qualité
critères d’acceptation. Capturez les critères d’acceptation de la qualité à inclure dans les SLA.
3. Communiquer les exigences et les attentes des clients à travers l'ensemble de l'entreprise et de l'organisation informatique.
4. Obtenir périodiquement l'avis des clients sur les processus métier, la fourniture de services et la fourniture de solutions informatiques, afin de déterminer l'impact sur les normes informatiques et
pratiques et de garantir que les attentes des clients sont satisfaites et mises en œuvre.
5. Surveiller et examiner régulièrement le système de gestion de la qualité par rapport aux critères d'acceptation convenus. Incluez les commentaires des clients, des utilisateurs et de la direction. Répondre à
divergences dans les résultats des examens afin d’améliorer continuellement le système de gestion de la qualité.
6. Capturez les critères d’acceptation de qualité à inclure dans les SLA.
103
APO11.04 Effectuer la surveillance, le contrôle et les examens de Depuis Description Description À

la qualité.
BAI03.06 • Résultats de l'examen qualité, Résultats des revues de qualité et APO08.05
Surveiller en permanence la qualité des processus et des services
exceptions et des audits APO09.04
tels que définis par le QMS. Définir, planifier et mettre en œuvre des
corrections APO09.05
mesures pour surveiller la satisfaction des clients en matière de qualité
• Plan d'Assurance Qualité BAI07.08
ainsi que la valeur apportée par le système de gestion de la qualité. Les
informations recueillies doivent être utilisées par le propriétaire du DSS02.07 • Demander un rapport sur l'état Objectifs et indicateurs de qualité Tous les APO
processus pour améliorer la qualité. d'exécution et les tendances de service du processus Tous les BAI
• Rapport sur l'état et les Tous les DSS
tendances des incidents Tous les MEA
Activités
1. Surveiller la qualité des processus et des services de manière continue et systématique en décrivant, mesurant, analysant, améliorant/ingénieant et
contrôler les processus.
2. Préparer et mener des revues de qualité.
3. Rapportez les résultats de l'examen et lancez des améliorations le cas échéant.

,rengilA
4. Surveiller la qualité des processus, ainsi que la valeur qu'elle apporte. Veiller à ce que la mesure, la surveillance et l'enregistrement des informations soient utilisés par le propriétaire du processus pour
prendre les mesures correctives et préventives appropriées.
5. Surveiller les mesures de qualité axées sur les objectifs et alignées sur les objectifs de qualité globaux couvrant la qualité des projets et services individuels.
6. Veiller à ce que la direction et les propriétaires de processus examinent régulièrement les performances de gestion de la qualité par rapport aux mesures de qualité définies.
7. Analyser les résultats globaux des performances de gestion de la qualité.
APO11.05 Intégrer la gestion de la qualité dans les solutions de Depuis Description Description À
développement et de prestation de services.

Résultats du suivi de la qualité APO08.05
Intégrer des pratiques pertinentes de gestion de la qualité dans la
de la prestation des solutions APO09.04
définition, le suivi, le reporting et la gestion continue du développement
et des services BAI07.08
de solutions et des offres de services.
Causes profondes des échecs APO08.02
de livraison de qualité APO09.04

BAI07.08
MEA02.04
MEA02.07
MEA02.08
Activités
1. Intégrer les pratiques de gestion de la qualité dans les processus et pratiques de développement de solutions.
2. Surveiller en permanence les niveaux de service et intégrer des pratiques de gestion de la qualité dans les processus et pratiques de prestation de services.
3. Identifier et documenter les causes profondes de la nonconformité, et communiquer les résultats à la direction informatique et aux autres parties prenantes en temps opportun pour
permettre de prendre des mesures correctives. Le cas échéant, effectuez des examens de suivi.
104
Chapitre 5
planif
Align
orga
APO11.06 Maintenir l'amélioration continue. Depuis Description Description À
Maintenir et communiquer régulièrement un plan qualité global favorisant

Communications sur Tous les APO
l’amélioration continue. Cela devrait inclure la nécessité et les avantages
l’amélioration continue et les Tous les BAI
d’une amélioration continue. Collectez et analysez les données sur le QMS et
bonnes pratiques Tous les DSS
améliorez son efficacité. Corriger les nonconformités pour éviter la récidive.
Tous les MEA
Promouvoir une culture de qualité et d’amélioration continue.
et
Exemples de bonnes pratiques à Tous les APO
partager Tous les BAI
Tous les DSS
Tous les MEA
Résultats de Tous les APO
référence de l'examen de la qualité Tous les BAI
Tous les DSS
Tous les MEA
Activités
1. Maintenir et communiquer régulièrement la nécessité et les avantages de l’amélioration continue.
2. Établir une plateforme pour partager les bonnes pratiques et capturer des informations sur les défauts et les erreurs afin de permettre d'en tirer des leçons.
3. Identifier des exemples récurrents de défauts de qualité, déterminer leur cause profonde, évaluer leur impact et leur résultat, et convenir d'actions d'amélioration avec les équipes de livraison de services et de projets.
4. Identifier des exemples de processus de livraison d'excellente qualité qui peuvent bénéficier à d'autres services ou projets, et les partager avec le service et le projet
équipes de livraison pour encourager l’amélioration.
5. Promouvoir une culture de qualité et d’amélioration continue.
6. Établir une boucle de rétroaction entre la gestion de la qualité et la gestion des problèmes.
7. Offrir aux employés une formation aux méthodes et outils d’amélioration continue.
8. Comparez les résultats des examens de qualité aux données historiques internes, aux directives de l'industrie, aux normes et aux données provenant de types d'entreprises similaires.
ISO/CEI 9001:2008
105

,rengilA
106
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO12 Gérer les risques Domaine : aligner, planifier et organiser
Identifiez, évaluez et réduisez en permanence les risques liés à l’informatique dans les limites des niveaux de tolérance fixés par la direction de l’entreprise.
Intégrez la gestion des risques d'entreprise liés à l'informatique à l'ERM globale et équilibrez les coûts et les avantages de la gestion des risques d'entreprise liés à l'informatique.
et
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations externes • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la perte
de réputation
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de services
informatiques
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes métiers
informatiques couverts par une évaluation des risques.
10 Sécurité des informations, des infrastructures de traitement et des applications • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des activités ou un
embarras public
• Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès par rapport aux niveaux
de service convenus.
1. Les risques liés à l’informatique sont identifiés, analysés, gérés et signalés. • Degré de visibilité et de reconnaissance dans l'environnement actuel
• Nombre d'événements de perte avec des caractéristiques clés capturés dans les référentiels
• Pourcentage d'audits, d'événements et de tendances capturés dans les référentiels
2. Il existe un profil de risque actuel et complet. • Pourcentage de processus métier clés inclus dans le profil de risque
• exhaustivité des attributs et des valeurs dans le profil de risque
3. Toutes les actions significatives de gestion des risques sont gérées et sous contrôle. • Pourcentage de propositions de gestion des risques rejetées en raison du manque de prise en
compte d'autres risques connexes.
• Nombre d'incidents significatifs non identifiés et inclus dans le portefeuille de gestion des risques
4. Les actions de gestion des risques sont mises en œuvre efficacement. • Pourcentage de plans d'action contre les risques informatiques exécutés comme prévu
• Nombre de mesures ne réduisant pas le risque résiduel
107
Graphique APO12 RACI
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
ds
aprsésoep
eéé
sessitrnpaeertgnie
tjoroelP
auietesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
tm
erutceltiiehscnra
im
ticm
aiem
esirpséeetriu
o
tneemlbeapspnoole
uo
tm
rqtsitnianom
/semme)aésgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO12.01
je R. R. FR je CCARRRRRRRR
Recueillir des données.
APO12.02
je R. C RC je RRACCCCCCCC
Analyser les risques.
APO12.03
je R. C CA je RRCCCCCCCC
Maintenir un profil de risque.
,rengilA
APO12.04
je R. C RC je CCACCCCCCCC
Expliquer le risque.
APO12.05
Définir un portefeuille d'actions je R. C CA je CCRCCCCCCCCC

de gestion des risques.
APO12.06
je R. R. FR je CCARRRRRRRR
Réagir aux risques.
APO12.01 Recueillir des données. Depuis Description Description À

Identifiez et collectez les données pertinentes pour permettre une
EDM03.01 Évaluation des Données sur l’environnement Interne
identification, une analyse et un reporting efficaces des risques liés à l’informatique.
activités de gestion des risques opérationnel liées au
risque
EDM03.02 • Processus approuvé Données sur les événements à Interne
pour mesurer la gestion risque et les facteurs contributifs
des risques
• Objectifs clés à surveiller
pour la gestion des
risques
• Politiques de gestion
des risques
APO02.02 Lacunes et risques liés aux Problèmes et facteurs de EDM03.01

capacités actuelles risque émergents APO01.03
APO02.02
APO02.05 Initiatives d’évaluation des risques
APO10.04 Risque de livraison

fournisseur identifié
DSS02.07 Rapport sur l'état et les
108
Chapitre 5
planif
Align
orga
APO12.01 Activités
1. Établir et maintenir une méthode de collecte, de classification et d'analyse des données liées aux risques informatiques, prenant en compte plusieurs types d'événements, plusieurs
catégories de risques informatiques et de multiples facteurs de risque.
2. Enregistrez les données pertinentes sur l'environnement opérationnel interne et externe de l'entreprise qui pourraient jouer un rôle important dans la gestion des risques informatiques.
3. Enquêter et analyser les données historiques sur les risques informatiques et l'expérience en matière de pertes à partir de données et de tendances disponibles en externe, de pairs du secteur via des données sectorielles.
journaux d'événements, bases de données et accords industriels pour la divulgation d'événements communs.
et
4. Enregistrer les données sur les événements à risque qui ont causé ou pourraient avoir des impacts sur les avantages/valeurs informatiques, la livraison des programmes et projets informatiques et/ou l'informatique.
opérations et prestation de services. Capturez les données pertinentes sur les problèmes, incidents, problèmes et enquêtes associés.
5. Pour des classes d’événements similaires, organisez les données collectées et mettez en évidence les facteurs contributifs. Déterminer les facteurs contributifs communs
plusieurs événements.
6. Déterminer les conditions spécifiques qui existaient ou étaient absentes lorsque les événements à risque se sont produits et la manière dont ces conditions ont affecté la fréquence des événements.
et l'ampleur des pertes.
7. Effectuer une analyse périodique des événements et des facteurs de risque pour identifier les problèmes de risque nouveaux ou émergents et pour comprendre les problèmes internes et externes associés.
facteurs de risque externes.
APO12.02 Analyser les risques. Depuis Description Description À
Développer des informations utiles pour soutenir les décisions en matière de

DSS04.02 Analyses d’impact sur les activités Portée des efforts Interne
risques qui tiennent compte de la pertinence commerciale des facteurs de risque.
d’analyse des risques
DSS05.01 Évaluations des menaces Scénarios de risques informatiques Interne

potentielles
En dehors des avis de menace COBIT Résultats de l'analyse des risques EDM03.03
APO01.03
APO02.02
BAI01.10
Activités
1. Définir l’étendue et la profondeur appropriées des efforts d’analyse des risques, en tenant compte de tous les facteurs de risque et de la criticité des actifs pour l’entreprise. Définissez la portée de l’analyse des risques
après avoir effectué une analyse coûtsavantages.
2. Élaborer et mettre régulièrement à jour des scénarios de risques informatiques, y compris des scénarios composés de types de menaces en cascade et/ou fortuites, et développer des attentes en matière de risques informatiques.
activités de contrôle spécifiques, capacités de détection et autres mesures de réponse.
3. Estimez la fréquence et l'ampleur des pertes ou des gains associés aux scénarios de risques informatiques. Prendre en compte tous les facteurs de risque applicables, évaluer les risques connus
contrôles opérationnels et estimer les niveaux de risque résiduels.
4 Comparez le risque résiduel à la tolérance au risque acceptable et identifiez les expositions qui peuvent nécessiter une réponse au risque.
5. Analyser le rapport coûtsavantages des options potentielles de réponse aux risques telles que éviter, réduire/atténuer, transférer/partager, et accepter et exploiter/saisir. Proposer le
réponse optimale au risque.
6. Spécifiez les exigences de haut niveau pour les projets ou programmes qui mettront en œuvre les réponses aux risques sélectionnées. Identifier les besoins et les attentes
pour des contrôles clés appropriés pour les réponses d’atténuation des risques.
7. Valider les résultats de l'analyse des risques avant de les utiliser dans la prise de décision, en confirmant que l'analyse est conforme aux exigences de l'entreprise et en vérifiant
que les estimations étaient correctement calibrées et examinées pour déceler tout biais.
109
Maintenir un profil de risque. Depuis Description Description À
Tenir à jour un inventaire des risques et attributs de risque connus (y

EDM03.01 • Risque approuvé Scénarios de risques documentés Interne
compris la fréquence attendue, l'impact potentiel et les réponses) ainsi
niveaux de tolérance par secteur d’activité et
que des ressources, capacités et activités de contrôle actuelles associées.
• Conseils sur l'appétit pour le risque fonction
APO10.04 Risque de livraison Profil de risque agrégé, y EDM03.02
fournisseur identifié compris l'état des mesures de APO02.02
gestion des risques

DSS05.01 Évaluations des
menaces potentielles
Activités
1. Inventorier les processus opérationnels, y compris le personnel de soutien, les applications, l'infrastructure, les installations, les enregistrements manuels critiques, les vendeurs, les fournisseurs et
soustraitants et documenter la dépendance à l’égard des processus de gestion des services informatiques et des ressources de l’infrastructure informatique.
2. Déterminer et convenir des services informatiques et des ressources d'infrastructure informatique essentiels au fonctionnement des processus métier. Analyser
dépendances et identifier les maillons faibles.
3. Regroupez les scénarios de risques actuels par catégorie, secteur d'activité et domaine fonctionnel.
,rengilA
4. Sur une base régulière, capturez toutes les informations sur le profil de risque et consolidezles dans un profil de risque agrégé.
5. Sur la base de toutes les données de profil de risque, définir un ensemble d'indicateurs de risque permettant d'identifier et de surveiller rapidement les risques actuels et leurs tendances.
6. Capturez des informations sur les événements de risque informatique qui se sont matérialisés, pour les inclure dans le profil de risque informatique de l'entreprise.
7. Capturez des informations sur l'état du plan d'action contre les risques, pour les inclure dans le profil de risque informatique de l'entreprise.
APO12.04 Expliquer le risque. Depuis Description Description À

Fournir des informations sur l'état actuel des expositions et des
Analyse des risques et EDM03.03
opportunités liées à l'informatique en temps opportun à toutes les parties
rapports de profil de risque pour EDM05.02
prenantes requises pour une réponse appropriée.
les parties prenantes APO10.04
MEA02.08
Résultats des évaluations des EDM03.03

risques par des tiers APO10.04
MEA02.01
Possibilités d'acceptation EDM03.03
de plus grand risque
Activités
1. Communiquer les résultats de l'analyse des risques à toutes les parties prenantes concernées dans des termes et formats utiles pour soutenir les décisions de l'entreprise. Dans la mesure du possible, incluez
les probabilités et les fourchettes de perte ou de gain ainsi que les niveaux de confiance qui permettent à la direction d'équilibrer risquerendement.
2. Fournir aux décideurs une compréhension des scénarios les plus pessimistes et les plus probables, des risques liés au devoir de diligence et des problèmes de réputation, juridiques et juridiques importants.
ou des considérations réglementaires.
3. Communiquer le profil de risque actuel à toutes les parties prenantes, y compris l'efficacité du processus de gestion des risques, l'efficacité des contrôles, les lacunes, les incohérences, les redondances, l'état
des mesures correctives et leurs impacts sur le profil de risque.
4. Examiner les résultats des évaluations objectives par des tiers, des examens d'audit interne et d'assurance qualité, et les mapper au profil de risque. Revoir
identifié les lacunes et les risques afin de déterminer la nécessité d’une analyse de risque supplémentaire.
5. Périodiquement, pour les domaines présentant une parité relative en matière de risque et de capacité de risque, identifier les opportunités liées à l'informatique qui permettraient d'accepter un risque plus élevé.
et une croissance et un rendement améliorés.
APO12.05 Définir une gestion des risques Depuis Description Description À
portefeuille d'actions.
Propositions de projets pour APO02.02
Gérer les opportunités pour réduire le risque à un niveau acceptable en
réduire les risques APO13.02
tant que portefeuille.
Activités
1. Tenir un inventaire des activités de contrôle qui sont en place pour gérer les risques et qui permettent de prendre des risques conformément à l'appétit et à la tolérance au risque.
Classez les activités de contrôle et associezles à des déclarations de risques informatiques spécifiques et à des agrégations de risques informatiques.
2. Déterminez si chaque entité organisationnelle surveille les risques et accepte la responsabilité de fonctionner dans le cadre de ses niveaux de tolérance individuels et de portefeuille.
3. Définir un ensemble équilibré de propositions de projets conçues pour réduire les risques et/ou des projets qui permettent des opportunités stratégiques d'entreprise, en tenant compte
coûts/avantages, effet sur le profil de risque et la réglementation actuels.
110
Chapitre 5
planif
Align
orga
Réagir aux risques. Depuis Description Description À
Répondez en temps opportun avec des mesures efficaces pour limiter

EDM03.03 Mesures correctives pour Plans de réponse aux DSS02.05
l’ampleur des pertes dues aux événements liés à l’informatique.
remédier aux incidents liés aux risques
écarts en matière de gestion des risques
Communications APO01.04
sur l’impact des risques APO08.04
et
DSS04.02
Causes profondes liées au risque DSS02.03

DSS03.01
DSS03.02
DSS04.02
MEA02.04
MEA02.07
MEA02.08
Activités
1. Préparer, maintenir et tester des plans qui documentent les étapes spécifiques à suivre lorsqu'un événement à risque peut entraîner un problème opérationnel ou de développement important.
incident ayant de graves répercussions sur l’entreprise. Assurezvous que les plans incluent des voies de remontée d’informations dans l’ensemble de l’entreprise.
2. Catégorisez les incidents et comparez les expositions réelles aux seuils de tolérance au risque. Communiquer les impacts commerciaux aux décideurs dans le cadre du reporting et mettre à jour le
profil de risque.
3. Appliquer le plan d'intervention approprié pour minimiser l'impact lorsque des incidents à risque surviennent.
4. Examiner les événements indésirables/pertes passés et les opportunités manquées et déterminer les causes profondes. Communiquer la cause première, la réponse au risque supplémentaire
communiquer les exigences et les améliorations des processus aux décideurs concernés et garantir que la cause, les exigences de réponse et l'amélioration des processus sont incluses dans les
processus de gouvernance des risques.
ISO/CEI 27001:2005 Systèmes de gestion de la sécurité de l'information – Exigences, section 4
ISO/CEI 27002:2011
ISO/CEI 31000 6. Processus de gestion des risques
111

,rengilA
112
Chapitre 5
planif
Align
orga
Domaine : Gestion
APO13 Gérer la sécurité Domaine : aligner, planifier et organiser
Définir, exploiter et surveiller un système de gestion de la sécurité de l’information.

Maintenez l’impact et l’occurrence des incidents de sécurité des informations dans les limites de l’appétit pour le risque de l’entreprise.
et
02 Conformité informatique et assistance à la conformité des entreprises aux lois et réglementations • Coût de la nonconformité informatique, y compris les règlements et les amendes, et l'impact de la
externes perte de réputation
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les prestataires de
services informatiques

• Nombre d'incidents informatiques importants qui n'ont pas été identifiés lors de l'évaluation des
risques.

embarras public

• Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès, par rapport aux
niveaux de service convenus.
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à l'actualité (ou
à la disponibilité) des informations de gestion.

• Nombre d'incidents de processus métier causés par la nondisponibilité des informations
1. Un système est en place qui prend en compte et répond efficacement aux exigences de sécurité des • Nombre de rôles de sécurité clés clairement définis
informations de l’entreprise. • Nombre d'incidents liés à la sécurité
2. Un plan de sécurité a été établi, accepté et communiqué dans toute l'entreprise. • Niveau de satisfaction des parties prenantes à l'égard du plan de sécurité dans toute l'entreprise
• Nombre de solutions de sécurité s'écartant du plan

• Nombre de solutions de sécurité s'écartant de l'architecture de l'entreprise
3. Les solutions de sécurité des informations sont mises en œuvre et exploitées de manière • Nombre de services dont l'alignement sur le plan de sécurité a été confirmé
cohérente dans toute l'entreprise. • Nombre d'incidents de sécurité causés par le nonrespect du plan de sécurité
• Nombre de solutions développées avec un alignement confirmé sur le plan de sécurité
113
Graphique RACI APO13
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
ds
aprsésoep
eéé
sessitrnpaeertgnie
tjoroelP
auietesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
laedrtiécsn
tm
erutceltiiehscnra
im
ticm
aiem
esirpséeetriu
o
tneemlbeapspnoole
uo
tm
rqtsitnianom
/semme)aésgrtg
srnuo
tnaio
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
seelbusaqnsio
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
APO13.01
C CCICI CACC CCRI IRIRCC
Établir et maintenir un SMSI.
je je
APO13.02
Définir et gérer un plan de

C CCCCI je CACC CCRCCCCRCRCC
traitement des risques liés à la
sécurité de l'information.
APO13.03
,rengilA
CRC R. UN CCRRRRRRRRRR
Surveiller et examiner le SMSI.
APO13.01 Établir et maintenir un système de gestion Depuis Description Description À

de la sécurité de l'information (ISMS).
Approche de sécurité en dehors de COBIT Politique SMSI Interne
Établir et maintenir un SMSI qui fournit une
Enterprise
approche standard, formelle et continue de la gestion de Énoncé du champ d'application du SMSI APO01.02
la sécurité des informations, permettant une DSS06.03
technologie et des processus commerciaux sécurisés
alignés sur les exigences commerciales et la gestion
de la sécurité de l'entreprise.
Activités
1. Définir la portée et les limites du SMSI en termes de caractéristiques de l'entreprise, de l'organisation, de sa localisation, de ses actifs et de sa technologie.
Incluez des détails et une justification pour toute exclusion du champ d’application.
2. Définir un SMSI conforme à la politique de l'entreprise et aligné sur l'entreprise, l'organisation, son emplacement, ses actifs et sa technologie.
3. Aligner le SMSI sur l'approche globale de l'entreprise en matière de gestion de la sécurité.
4. Obtenir l'autorisation de la direction pour mettre en œuvre et exploiter ou modifier le SMSI.
5. Préparer et maintenir une déclaration d'applicabilité qui décrit la portée du SMSI.
6. Définir et communiquer les rôles et responsabilités en matière de gestion de la sécurité de l'information.
7. Communiquer l’approche SMSI.
114
Chapitre 5
planif
Align
orga
APO13.02 Définir et gérer un plan de traitement des risques liés à Depuis Description Description À
la sécurité de l'information.
APO02.04 Lacunes et changements Plan de traitement des risques liés à la Tous les GED
Maintenir un plan de sécurité des informations qui décrit comment les
nécessaires pour réaliser sécurité de l'information Tous les APO
risques liés à la sécurité des informations doivent être gérés et alignés
la capacité cible Tous les BAI
sur la stratégie et l'architecture de l'entreprise. Veiller à ce que les
Tous les DSS
recommandations pour la mise en œuvre d'améliorations de la
et
Tous les MEA
sécurité soient basées sur des analyses de rentabilisation approuvées
et mises en œuvre en tant que partie intégrante du développement APO03.02 Descriptions des Analyses de rentabilisation en matière APO02.05
de services et de solutions, puis exploitées comme partie intégrante domaines de base et de sécurité de l'information
des opérations commerciales. définition de l'architecture
APO12.05 Propositions de projets pour

réduire les risques
Activités
1. Formuler et maintenir un plan de traitement des risques liés à la sécurité de l'information aligné sur les objectifs stratégiques et l'architecture de l'entreprise. Veiller à ce que le plan identifie les pratiques de
gestion et les solutions de sécurité appropriées et optimales, ainsi que les ressources, responsabilités et priorités associées pour gérer les risques identifiés en matière de sécurité de l'information.
2. Maintenir, dans le cadre de l'architecture d'entreprise, un inventaire des composants de solution en place pour gérer les risques liés à la sécurité.
3. Élaborer des propositions pour mettre en œuvre le plan de traitement des risques liés à la sécurité de l'information, soutenus par des analyses de rentabilisation appropriées, qui incluent la prise en compte des
le financement et la répartition des rôles et des responsabilités.
4. Contribuer à la conception et au développement de pratiques et de solutions de gestion sélectionnées dans le plan de traitement des risques liés à la sécurité de l'information.
5. Définir comment mesurer l'efficacité des pratiques de gestion sélectionnées et préciser comment ces mesures doivent être utilisées pour évaluer
efficacité pour produire des résultats comparables et reproductibles.
6. Recommander des programmes de formation et de sensibilisation à la sécurité de l’information.
7. Intégrer la planification, la conception, la mise en œuvre et la surveillance des procédures de sécurité de l'information et d'autres contrôles capables de permettre une
prévention, détection des événements de sécurité et réponse aux incidents de sécurité.
APO13.03 Surveiller et examiner le SMSI. Depuis Description Description À
Maintenir et communiquer régulièrement la nécessité et les

DSS02.02 Incidents et demandes de service Rapports d'audit du SMSI MEA02.01
avantages d’une amélioration continue de la sécurité de
classifiés et priorisés
l’information. Collectez et analysez les données sur le SMSI et améliorez Recommandations pour Interne
l'efficacité du SMSI. Corriger les nonconformités pour éviter la améliorer le SMSI

récidive. Promouvoir une culture de sécurité et d’amélioration continue.
Activités
1. Entreprendre des examens réguliers de l'efficacité du SMSI, y compris le respect de la politique et des objectifs du SMSI, ainsi que l'examen des pratiques de sécurité. Prendre en compte les résultats des
audits de sécurité, les incidents, les résultats des mesures d'efficacité, les suggestions et les commentaires de toutes les parties intéressées.
2. Effectuer des audits internes du SMSI à intervalles planifiés.
3. Entreprendre régulièrement un examen de la direction du SMSI pour garantir que la portée reste adéquate et que des améliorations sont apportées au processus du SMSI.
sont identifiés.
4. Contribuer à la maintenance des plans de sécurité pour prendre en compte les conclusions des activités de surveillance et d'examen.
5. Enregistrez les actions et les événements qui pourraient avoir un impact sur l'efficacité ou la performance du SMSI.
ISO/CEI 27001:2005 Systèmes de gestion de la sécurité de l'information – Exigences, section 4
ISO/CEI 27002:2011
Institut national des normes et Contrôles de sécurité recommandés pour les systèmes d'information fédéraux des ÉtatsUnis
Technologie (NIST) SP80053 Rév. 1
ITIL V3 2011 Conception de services, 4.7 Gestion de la sécurité de l'information
115

,rengilA
116
Chapitre 5
œuvre
acquér
mettre
Constr
en
Construire, acquérir et mettre en œuvre (BAI)
et
01 Gérer les programmes et les projets.
02 Gérer la définition des exigences.
03 Gérer l'identification et la construction de solutions.
04 Gérer la disponibilité et la capacité.
05 Gérer l'activation du changement organisationnel.
06 Gérer les modifications.
07 Gérer l'acceptation du changement et la transition.
08 Gérer les connaissances.
09 Gérer les actifs.
10 Gérer la configuration.
117

,eriruirreétsruvtntqueoncœ
tm
C
a
e
118
Chapitre 5
œuvre
acquér
mettre
Constr
Domaine : Gestion
BAI01 Gérer des programmes et des projets Domaine : Construire, acquérir et mettre en œuvre
Gérer tous les programmes et projets du portefeuille d'investissement en accord avec la stratégie de l'entreprise et de manière coordonnée. Initier, planifier, contrôler et exécuter des programmes et des projets, et clôturer par un
examen postmise en œuvre.
Réalisez des avantages commerciaux et réduisez le risque de retards inattendus, de coûts et d'érosion de la valeur en améliorant les communications et l'implication des entreprises et des utilisateurs finaux, en
garantissant la valeur et la qualité des livrables du projet et en maximisant leur contribution au portefeuille d'investissements et de services.
stratégiques
informatiques. • Niveau de satisfaction des parties prenantes quant à la portée du portefeuille prévu de
programmes et de services.
en
et

ou dépassé
1. Les parties prenantes concernées sont impliquées dans les programmes et les projets. • Pourcentage de parties prenantes effectivement engagées
• Niveau de satisfaction des parties prenantes à l'égard de l'implication
2. La portée et les résultats des programmes et des projets sont viables et • Pourcentage de parties prenantes approuvant les besoins de l'entreprise, sa portée, les résultats
aligné avec les objectifs. prévus et le niveau de risque du projet.
• Pourcentage de projets entrepris sans analyse de rentabilisation approuvée
3. Les plans de programme et de projet sont susceptibles d'atteindre les résultats • Pourcentage d'activités alignées sur la portée et les résultats attendus
escomptés. • Pourcentage de programmes actifs entrepris sans cartes de valeurs de programme valides et mises à
jour
4. Les activités du programme et du projet sont exécutées conformément • Fréquence des examens de statut
les plans. • Pourcentage d'écarts par rapport au plan résolus
• Pourcentage d'approbations des parties prenantes pour les examens par étapes des
programmes actifs
5. Il existe suffisamment de ressources pour le programme et le projet pour réaliser les activités • Nombre de problèmes de ressources (par exemple, compétences, capacité)
conformément aux plans.
6. Les bénéfices attendus du programme et du projet sont atteints et acceptés. • Pourcentage des bénéfices attendus obtenus
• Pourcentage de résultats acceptés pour la première fois
• Niveau de satisfaction des parties prenantes exprimé lors de la revue de clôture du projet
119
BAI01 Graphique RACI
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
riC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
tjoroelP
itesrlueaaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
a
/semme)aésgrtg
aue
n
srnuo
nm
étué
nm
noitraum
rue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
tn
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI01.01
Maintenir une approche
IACCR R. C C RCC
standard pour la gestion des
programmes et des projets.
BAI01.02
IRCCARRRR CCCC CCCC
Lancer un programme.
BAI01.03
Gérer l'engagement des ACRRRCRI je RCCC CCCC
parties prenantes.
BAI01.04
Élaborer et maintenir le CASC RRRC CCCCCC CCCC
plan du programme.
BAI01.05
Lancer et exécuter le CCAR RRIC CCRRRR CCCC
programme.
BAI01.06
Surveiller, contrôler et rendre ACIRRRC CRR CC C
compte des résultats du programme.
BAI01.07
Démarrer et initier des projets RRIAR CCRC CCCC
cœ
,eriruirreétsruvtntqueontm
C
a
e
au sein d'un programme.
BAI01.08
CIAR CCCCCCCCCC
Planifier des projets.
BAI01.09
Gérer la qualité des RRIAR C CCCCRC CCCC
BAI01.10
Gérer les risques liés aux RRIAR C CCCCRC CCCC

programmes et aux projets.
BAI01.11
IRIAR C CRCCRC CCCC
Surveiller et contrôler les projets.
BAI01.12
Gérer les ressources du projet et RIAR C CCCCRC CCCC
les lots de travaux.
BAI01.13
CCIAR C CCCCCC CCCC
Fermer un projet ou une itération.
BAI01.14
ICCCARIRRR RCCC CCCC
Fermer un programme.
120
Chapitre 5
œuvre
acquér
mettre
Constr
BAI01 Pratiques de processus, entrées/sorties et activités
Pratique de gestion BAI01.01 Contributions Les sorties
Maintenir une approche standard pour la gestion des Depuis Description Description À

EDM02.02 Exigences relatives Approches actualisées de gestion Interne
Maintenir une approche standard pour la gestion des programmes
aux examens par étapes de programmes et de projets
et des projets qui permet l'examen de la gouvernance et de la
direction, ainsi que les activités de prise de décision et de gestion de la EDM02.03 Actions pour améliorer la
livraison axées sur la réalisation de la valeur et des objectifs (exigences, création de valeur
risques, coûts, calendrier, qualité) de l'entreprise de manière cohérente.
APO03.04 • Exigences de gouvernance de
l'architecture
• Descriptions des phases de
mise en œuvre
APO05.05 Portefeuilles actualisés de

programmes, de services et
d’actifs
en
APO10.04 Risque de livraison
fournisseur identifié
Activités
et
1. Maintenir et appliquer une approche standard de gestion de programmes et de projets alignée sur l'environnement spécifique de l'entreprise et avec de bonnes
pratique basée sur un processus défini et l’utilisation d’une technologie appropriée. Veiller à ce que l'approche couvre le cycle de vie complet et les disciplines à suivre, y compris la gestion de la portée,
des ressources, des risques, des coûts, de la qualité, du temps, de la communication, de l'implication des parties prenantes, des achats, du contrôle des changements, de l'intégration et de la
réalisation des avantages.
2. Mettre à jour l'approche de gestion du programme et du projet en fonction des enseignements tirés de son utilisation.
BAI01.02 Lancer un programme. Depuis Description Description À
Initier un programme pour confirmer les bénéfices attendus et obtenir

APO03.04 • Descriptions des phases de Analyse de rentabilisation du APO05.03
l’autorisation de procéder. Cela comprend l'accord sur le parrainage
mise en œuvre concept de programme
du programme, la confirmation du mandat du programme par
• Besoins en ressources
l'approbation de l'analyse de rentabilisation conceptuelle, la nomination des
membres du conseil d'administration ou du comité du APO05.03 Analyse de rentabilisation du programme Mandat et mémoire du APO05.03
programme, la rédaction du dossier de programme, l'examen et la mise programme
à jour de l'analyse de rentabilisation, l'élaboration d'un plan de réalisation

APO07.03 Matrice d'aptitudes et de Plan de concrétisation des APO05.03
des avantages et l'obtention de l'approbation des sponsors pour procéder.
compétences avantages du programme APO06.05
BAI05.02 Vision et objectifs communs
Activités
1. Convenir du parrainage du programme et nommer un conseil/comité du programme composé de membres ayant un intérêt stratégique dans le programme.
sera responsable de la prise de décision en matière d'investissement, sera considérablement influencé par le programme et sera nécessaire pour permettre la réalisation du changement.
2. Confirmer le mandat du programme auprès des sponsors et des parties prenantes. Articuler les objectifs stratégiques du programme, les stratégies potentielles pour
la prestation, l'amélioration et les avantages qui devraient en résulter, ainsi que la manière dont le programme s'intègre à d'autres initiatives.
3. Élaborer une analyse de rentabilisation détaillée pour un programme, si cela est justifié. Impliquer toutes les parties prenantes clés pour développer et documenter une compréhension complète des
résultats attendus de l'entreprise, de la manière dont ils seront mesurés, de la portée complète des initiatives requises, des risques impliqués et de l'impact sur tous les aspects de l'entreprise. Identifiez
et évaluez des plans d'action alternatifs pour atteindre les résultats souhaités par l'entreprise.
4. Élaborer un plan de réalisation des avantages qui sera géré tout au long du programme pour garantir que les avantages prévus ont toujours des propriétaires et sont atteints, durables et optimisés.
5. Préparer et soumettre pour approbation de principe l'analyse de rentabilité initiale (conceptuelle) du programme, en fournissant des informations essentielles à la prise de décision.
concernant le but, la contribution aux objectifs commerciaux, la valeur attendue créée, les délais, etc.
6. Nommer un responsable dédié au programme, doté des compétences et aptitudes correspondantes pour gérer efficacement le programme.
et efficacement.
121
BAI01 Pratiques de processus, entrées/sorties et activités (suite)
BAI01.03 Gérer l'engagement des parties prenantes. Depuis Description Description À
Gérer l’engagement des parties prenantes pour garantir un échange

Plan de mobilisation des parties Interne
actif d’informations précises, cohérentes et opportunes qui parviennent à
prenantes
toutes les parties prenantes concernées. Ceci comprend
planifier, identifier et impliquer les parties prenantes et gérer leurs Résultats des évaluations de Interne
attentes. l’efficacité de l’engagement des

parties prenantes
Activités
1. Planifier la manière dont les parties prenantes à l'intérieur et à l'extérieur de l'entreprise seront identifiées, analysées, engagées et gérées tout au long du cycle de vie des projets.
2. Identifier, impliquer et gérer les parties prenantes en établissant et en maintenant des niveaux appropriés de coordination, de communication et de liaison pour garantir leur implication dans le
programme/projet.
3. Mesurer l'efficacité de l'engagement des parties prenantes et prendre les mesures correctives nécessaires.
4. Analyser les intérêts et les exigences des parties prenantes.
BAI01.04 Élaborer et maintenir le plan du programme. Depuis Description Description À
Formuler un programme pour jeter les bases initiales et le positionner

APO05.03 Programmes sélectionnés avec Plan du programme Interne
pour une exécution réussie en formalisant la portée du travail à accomplir
des étapes de retour sur
et en identifiant les livrables qui satisferont ses objectifs et
investissement (ROI)
apporteront de la valeur. Maintenir et mettre à jour le plan du
programme et l'analyse de rentabilisation tout au long du cycle de vie APO07.03 Matrice d'aptitudes et de Registre du budget et des APO05.06
économique complet du programme, en garantissant l'alignement compétences avantages du programme APO06.05
avec les objectifs stratégiques et en reflétant l'état actuel et les

APO07.05 Inventaire des affaires et Besoins en ressources et rôles APO07.05
informations mises à jour acquises à ce jour.
Ressources humaines informatiques APO07.06
BAI05.02 Équipe de mise en œuvre

et rôles
BAI05.03 Plan de communication visuelle
BAI05.04 Gains rapides identifiés

tm
C
a
e
BAI07.03 Plan de test d'acceptation

approuvé
BAI07.05 Acceptation approuvée et mise en

production
Activités
1. Définir et documenter le plan de programme couvrant tous les projets, y compris ce qui est nécessaire pour apporter des changements dans l'entreprise ; son image, ses produits et services ;
processus d'affaires; compétences relationnelles et chiffres ; les relations avec les parties prenantes, les clients, les fournisseurs et autres ; les besoins technologiques ; et la restructuration
organisationnelle nécessaire pour atteindre les résultats d'entreprise attendus du programme.
2. Spécifiez les ressources et les compétences requises pour exécuter le projet, y compris les chefs de projet et les équipes de projet ainsi que les ressources commerciales. Précisez le
financement, le coût, le calendrier et les interdépendances de plusieurs projets. Préciser les bases de l'acquisition et de l'affectation de membres du personnel et/ou de soustraitants compétents
aux projets. Définir les rôles et responsabilités de tous les membres de l’équipe et des autres parties intéressées.
3. Attribuez clairement et sans ambiguïté les responsabilités pour chaque projet, y compris la réalisation des avantages, le contrôle des coûts, la gestion des risques et la coordination des
activités du projet.
4. Veiller à ce qu'il y ait une communication efficace des plans de programme et des rapports d'avancement entre tous les projets et avec l'ensemble du programme. Assurezvous que toutes les
modifications apportées aux plans individuels sont reflétées dans les autres plans du programme d'entreprise.
5. Maintenir le plan du programme pour s'assurer qu'il est à jour et reflète l'alignement avec les objectifs stratégiques actuels, les progrès réels et le matériel.
changements dans les résultats, les avantages, les coûts et les risques. Demandez à l'entreprise de définir les objectifs et de prioriser le travail tout au long pour garantir que le programme tel que
conçu répondra aux exigences de l'entreprise. Examiner l'avancement des projets individuels et ajuster les projets si nécessaire pour respecter les jalons prévus.
6. Mettre à jour et maintenir tout au long de la vie économique du programme l'analyse de rentabilisation et un registre des avantages pour identifier et définir les principaux avantages découlant de
la mise en œuvre du programme.
7. Préparer un budget de programme qui reflète l'ensemble des coûts du cycle de vie économique et les avantages financiers et non financiers associés.
122
Chapitre 5
œuvre
acquér
mettre
Constr
BAI01.05 Lancer et exécuter le programme. Depuis Description Description À
Lancer et exécuter le programme pour acquérir et diriger les

BAI05.03 Communications visuelles Résultats du suivi de la APO05.06
ressources nécessaires pour atteindre les objectifs et les avantages du
réalisation des bénéfices APO06.05
programme tels que définis dans le plan du programme. Conformément aux
critères d'examen d'étape ou de sortie, préparer les examens d'étape, Résultats du suivi de la réalisation APO02.04
d'itération ou de sortie pour rendre compte des progrès du programme des objectifs du programme
et être en mesure de plaider en faveur du financement jusqu'à l'examen
Plans d'audit du programme MEA02.06
d'étape ou de sortie suivant.
Activités
1. Planifier, financer et commander les projets nécessaires pour atteindre les résultats du programme, sur la base de l'examen du financement et des approbations à chaque fois.
examen de la porte d'étape.
en
2. Établir des étapes convenues du processus de développement (points de contrôle de développement). À la fin de chaque étape, facilitez les discussions formelles sur les critères approuvés avec les parties
prenantes. Après avoir terminé avec succès les évaluations des fonctionnalités, des performances et de la qualité, et avant de finaliser les activités de l'étape, obtenez l'approbation et la signature
formelles de toutes les parties prenantes et du sponsor/propriétaire du processus métier.
3. Entreprendre un processus de réalisation des bénéfices tout au long du programme pour garantir que les bénéfices prévus ont toujours des propriétaires et sont susceptibles d'être atteints, durables et
et
optimisés. Surveillez la fourniture des avantages et établissez des rapports par rapport aux objectifs de performance au stade de l'étape ou des examens d'itération et de publication. Effectuer une analyse
des causes profondes des écarts par rapport au plan et identifier et prendre en charge toutes les mesures correctives nécessaires.
4. Gérer chaque programme ou projet pour garantir que les activités de prise de décision et de livraison sont axées sur la valeur en générant des avantages pour l'entreprise.
et les objectifs de manière cohérente, en traitant des risques et en répondant aux exigences des parties prenantes.
5. Mettre en place un ou plusieurs bureaux de gestion de programme/projet et planifier des audits, des examens de la qualité, des examens de phase/étape et des examens des avantages réalisés.
BAI01.06 Surveiller, contrôler et rendre compte des résultats Depuis Description Description À
du programme.
EDM02.03 Commentaires sur les performances Résultats des évaluations de MEA01.03
Surveiller et contrôler les performances du programme (livraison de la
du portefeuille et du programme performance du programme
solution) et de l'entreprise (valeur/résultat) par rapport au plan tout au
long du cycle de vie économique complet de l'investissement. APO05.02 Attentes de rendement Résultats de l'examen des portes d'étape EDM02.01
Signaler cette performance au comité de pilotage du programme et des investissements APO02.04
aux sponsors. APO05.04

APO05.03 Évaluations de
rentabilisation
APO05.04 Rapports sur le rendement
du portefeuille d'investissement
APO05.06 • Actions correctives pour
améliorer la réalisation
des bénéfices
• Résultats des avantages
et communications associées
APO07.05 • Enregistrements d'utilisation des
ressources
• Analyses du manque de
ressources
BAI05.04 Communication des avantages
BAI06.03 Rapports sur l'état des demandes de
modification
BAI07.05 Évaluation des résultats

d'acceptation
123
BAI01.06 Activités
1. Surveiller et contrôler les performances du programme global et des projets au sein du programme, y compris les contributions de l'entreprise et de l'informatique aux projets, et rendre compte en
temps opportun, de manière complète et précise. Les rapports peuvent inclure le calendrier, le financement, la fonctionnalité, la satisfaction des utilisateurs, les contrôles internes et l'acceptation des
responsabilités.
2. Surveiller et contrôler les performances par rapport aux stratégies et objectifs de l'entreprise et de l'informatique, et rendre compte à la direction des changements d'entreprise mis en œuvre,
des avantages réalisés par rapport au plan de réalisation des avantages et de l'adéquation du processus de réalisation des avantages.
3. Surveiller et contrôler les services, actifs et ressources informatiques créés ou modifiés à la suite du programme. Notez les dates de mise en œuvre et de mise en service.
Faire rapport à la direction sur les niveaux de performance, la prestation de services soutenue et la contribution à la valeur.
4. Gérer les performances du programme par rapport à des critères clés (par exemple, portée, calendrier, qualité, réalisation des avantages, coûts, risques, rapidité), identifier les écarts par rapport
le plan et prendre des mesures correctives en temps opportun, si nécessaire.
5. Surveiller les performances de chaque projet liées à la fourniture des capacités attendues, au calendrier, à la réalisation des avantages, aux coûts, aux risques ou à d'autres mesures afin
d'identifier les impacts potentiels sur les performances du programme. Prendre des mesures correctives en temps opportun si nécessaire.
6. Mettre à jour les portefeuilles informatiques opérationnels reflétant les changements résultant du programme dans les portefeuilles de services, d'actifs ou de ressources informatiques pertinents.
7. Conformément aux critères d'examen par étape, de publication ou d'itération, entreprendre des examens pour rendre compte de l'avancement du programme afin que la direction
peut prendre des décisions de nonparticipation ou d'ajustement et approuver un financement supplémentaire jusqu'à l'étape, la libération ou l'itération suivante.
BAI01.07 Démarrer et initier des projets au sein d'un programme. Depuis Description Description À
Énoncés de la portée du projet Interne

Définir et documenter la nature et la portée du projet pour
confirmer et développer parmi les parties prenantes une compréhension Définitions de projets Interne
commune de la portée du projet et de ses liens avec d'autres projets

au sein du programme global d'investissement informatique. La
définition doit être formellement approuvée par les sponsors
du programme et du projet.
Activités
1. Pour créer une compréhension commune de la portée du projet parmi les parties prenantes, fournir aux parties prenantes une déclaration écrite claire définissant la nature, la portée et les avantages
de chaque projet.
tm
C
a
e
2. Veiller à ce que chaque projet ait un ou plusieurs sponsors dotés d'une autorité suffisante pour gérer l'exécution du projet dans le cadre du programme global.
3. Veiller à ce que les principales parties prenantes et sponsors au sein de l'entreprise et du département informatique conviennent et acceptent les exigences du projet, y compris la définition des
critères de réussite (acceptation) du projet et indicateurs de performance clés (KPI).
4. Assurezvous que la définition du projet décrit les exigences d'un plan de communication du projet qui identifie les projets internes et externes.
communications.
5. Avec l'approbation des parties prenantes, maintenir la définition du projet tout au long du projet, reflétant l'évolution des exigences.
6. Pour suivre l'exécution d'un projet, mettre en place des mécanismes tels que des rapports réguliers et des examens d'étape, de publication ou de phase en temps opportun.
avec l'approbation appropriée.
BAI01.08 Planifier des projets. Depuis Description Description À
Établir et maintenir un plan de projet intégré formel et approuvé

BAI07.03 Plan de test d'acceptation Plans de projet Interne
(couvrant les ressources commerciales et informatiques) pour guider
approuvé
l'exécution et le contrôle du projet tout au long de sa durée de vie. Référence du projet Interne
La portée des projets doit être clairement définie et liée au

Rapports et Interne
développement ou au renforcement des capacités commerciales.
communications de projet
Activités
1. Élaborer un plan de projet qui fournit des informations permettant à la direction de contrôler progressivement l'avancement du projet. Le plan doit inclure des détails sur
les livrables du projet et les critères d'acceptation, les ressources et responsabilités internes et externes requises, les structures de répartition du travail et les lots de travaux clairs, les estimations
des ressources requises, les jalons/plan/phases de version, les dépendances clés et l'identification d'un chemin critique.
2. Maintenir le plan de projet et tous les plans dépendants (par exemple, plan de risque, plan de qualité, plan de réalisation des avantages) pour garantir qu'ils sont à jour et reflètent les progrès réels et
les changements importants approuvés.
3. Veiller à ce qu'il y ait une communication efficace des plans de projet et des rapports d'avancement entre tous les projets et avec l'ensemble du programme. Assurezvous que toute modification
apportée aux plans individuels est reflétée dans les autres plans.
4. Déterminer les activités, les interdépendances ainsi que la collaboration et la communication requises entre plusieurs projets au sein d'un programme.
5. Assurezvous que chaque étape est accompagnée d'un livrable important nécessitant un examen et une approbation.
6. Établir une base de référence pour le projet (par exemple, coût, calendrier, portée, qualité) qui est correctement examinée, approuvée et intégrée au plan intégré.
plan de projet.
124
Chapitre 5
œuvre
acquér
mettre
Constr
Pratique de gestion BAI01.09 Intrants Les sorties
Gérer la qualité des programmes et des projets. Depuis Description Plans Description À
Préparer et exécuter un plan, des processus et des pratiques de

APO11.01 de gestion de la qualité Plan de gestion de la qualité BAI02.04
gestion de la qualité, alignés sur le système de gestion de la qualité,
BAI03.06
qui décrit l'approche qualité du programme et du projet et la manière dont
BAI07.01
elle sera mise en œuvre. Le plan doit être formellement examiné
et accepté par toutes les parties concernées, puis incorporé dans APO11.03 Exigences des clients en matière de Exigences relatives à BAI07.03
les plans intégrés du programme et du projet. gestion de la qualité la vérification indépendante des
livrables
Activités
1. Identifier les tâches et les pratiques d'assurance requises pour soutenir l'accréditation des systèmes nouveaux ou modifiés pendant la planification des programmes et des projets, et les inclure dans
les plans intégrés. Veiller à ce que les tâches fournissent l'assurance que les contrôles internes et les solutions de sécurité répondent aux exigences définies.
en
2. Fournir une assurance qualité pour les livrables du projet, identifier la propriété et les responsabilités, les processus d'examen de la qualité, les critères de réussite et
indicateurs de performance.
3. Définir toutes les exigences en matière de validation et de vérification indépendantes de la qualité des livrables du plan.
4. Effectuer les activités d'assurance et de contrôle de la qualité conformément au plan de gestion de la qualité et au système de gestion de la qualité.
et
BAI01.10 Gérer les risques liés aux programmes et aux projets. Depuis Description Description À
Éliminer ou minimiser les risques spécifiques associés aux

APO12.02 Résultats de l'analyse des risques Plan de gestion Interne
programmes et projets grâce à un processus systématique de planification,
des risques du projet
d'identification, d'analyse, de réponse, de surveillance et de contrôle des
domaines ou des événements susceptibles de provoquer des changements BAI02.03 • Actions d'atténuation des risques Résultats de Interne
indésirables. Les risques auxquels est confrontée la gestion des • Registre des risques liés l'évaluation des risques du projet
programmes et des projets doivent être établis et enregistrés de aux exigences

manière centralisée.
En dehors du cadre COBIT ERM Registre des risques du projet Interne
Activités
1. Établir une approche formelle de gestion des risques du projet alignée sur le cadre GRE. Veiller à ce que l'approche comprenne l'identification, l'analyse,
réagir, atténuer, surveiller et contrôler les risques.
2. Attribuer à un personnel dûment qualifié la responsabilité d'exécuter le processus de gestion des risques de projet de l'entreprise au sein d'un projet et veiller à ce que celuici soit intégré dans les
pratiques de développement de solutions. Pensez à confier ce rôle à une équipe indépendante, surtout si un point de vue objectif est requis ou si un projet est considéré comme critique.
3. Effectuer l'évaluation des risques du projet en identifiant et en quantifiant les risques en continu tout au long du projet. Gérer et communiquer les risques
de manière appropriée au sein de la structure de gouvernance du projet.
4. Réévaluer périodiquement les risques du projet, y compris au lancement de chaque phase majeure du projet et dans le cadre des évaluations des demandes de changements majeurs.
5. Identifiez les propriétaires pour les actions visant à éviter, accepter ou atténuer les risques.
6. Tenir et examiner un registre des risques du projet de tous les risques potentiels du projet, ainsi qu'un journal d'atténuation des risques de tous les problèmes du projet et leur résolution. Analyser le journal
périodiquement pour connaître les tendances et les problèmes récurrents afin de garantir que les causes profondes sont corrigées.
125
BAI01.11 Surveiller et contrôler les projets. Depuis Description Description À
Mesurez la performance du projet par rapport à des critères de

Critères de performance Interne
performance clés tels que le calendrier, la qualité, le coût et le risque.
du projet
Identifiez tout écart par rapport à ce qui était attendu. Évaluer l'impact
des écarts sur le projet et le programme global, et Rapports d'avancement du projet Interne
rendre compte des résultats aux principales parties

Modifications convenues Interne
prenantes.
du projet
Activités
1. Établir et utiliser un ensemble de critères de projet comprenant, sans toutefois s'y limiter, la portée, le calendrier, la qualité, le coût et le niveau de risque.
2. Mesurer la performance du projet par rapport aux principaux critères de performance du projet. Analyser les écarts par rapport aux critères de performance clés du projet établis pour cause et
évaluer les effets positifs et négatifs sur le programme et ses projets composants.
3. Faire rapport aux principales parties prenantes identifiées sur les progrès du projet au sein du programme, les écarts par rapport aux critères de performance clés du projet établis, et
effets positifs et négatifs potentiels sur le programme et ses projets constitutifs.
4. Surveiller les changements apportés au programme et examiner les principaux critères de performance du projet existants pour déterminer s'ils représentent toujours des mesures valables de
progrès.
5. Documenter et soumettre tous les changements nécessaires aux principales parties prenantes du programme pour approbation avant adoption. Communiquer les critères révisés
aux chefs de projet pour utilisation dans les futurs rapports de performance.
6. Recommander et surveiller les mesures correctives, le cas échéant, conformément au cadre de gouvernance du programme et du projet.
7. Obtenez l'approbation et l'approbation des livrables produits à chaque itération, version ou phase de projet auprès des responsables et des utilisateurs désignés dans les fonctions
commerciales et informatiques concernées.
8. Fonder le processus d'approbation sur des critères d'acceptation clairement définis et convenus par les principales parties prenantes avant le début des travaux sur la phase du projet ou
itération livrable.
9. Évaluer le projet à des étapes, versions ou itérations majeures convenues et prendre des décisions formelles de démarrage ou d'arrêt basées sur des critères critiques prédéterminés.
critères de succès.
10. Établir et exploiter un système de contrôle des changements pour le projet afin que tous les changements apportés à la référence du projet (par exemple, coût, calendrier, portée, qualité) soient
être examiné, approuvé et intégré de manière appropriée dans le plan de projet intégré, conformément au cadre de gouvernance du programme et du projet.
tm
C
a
e
BAI01.12 Gérer les ressources du projet et les lots de Depuis Description Description À
travaux.
Besoins en ressources APO07.05
Gérer les lots de travaux du projet en imposant des exigences
du projet APO07.06
formelles concernant l'autorisation et l'acceptation des lots de
travaux, ainsi qu'en attribuant et en coordonnant les ressources Rôles et responsabilités Interne
commerciales et informatiques appropriées. du projet
Lacunes dans la planification du projet Interne
Activités
1. Identifier les besoins en ressources commerciales et informatiques pour le projet et cartographier clairement les rôles et responsabilités appropriés, avec escalade et prise de décision
les autorités étaient d’accord et comprises.
2. Identifier les compétences requises et les délais requis pour toutes les personnes impliquées dans les phases du projet en relation avec les rôles définis. Dotez les rôles en fonction des informations disponibles sur
les compétences (par exemple, matrice des compétences informatiques).
3. Utiliser des ressources expérimentées en matière de gestion de projet et de chef d'équipe possédant des compétences adaptées à la taille, à la complexité et au risque du projet.
4. Considérez et définissez clairement les rôles et responsabilités des autres parties impliquées, notamment les finances, les services juridiques, les achats, les ressources humaines, l'audit interne et
conformité.
5. Définir clairement et convenir de la responsabilité de l'approvisionnement et de la gestion des produits et services tiers, et gérer les relations.
6. Identifier et autoriser l'exécution des travaux selon le plan du projet.
7. Identifiez les lacunes du plan de projet et fournissez des commentaires au chef de projet pour y remédier.
126
Chapitre 5
œuvre
acquér
mettre
Constr
Fermer un projet ou une itération. Depuis Description Description À
À la fin de chaque projet, version ou itération, demandez aux parties

BAI07.08 • Plan d'actions correctives Résultats de l’examen APO02.04
prenantes du projet de vérifier si le projet, la version ou l'itération
• Rapport d'examen post postmise en œuvre
a fourni les résultats et la valeur prévus. Identifier et communiquer toutes
mise en œuvre
les activités en cours nécessaires pour atteindre les résultats prévus Leçons apprises du projet Interne
du projet et les avantages du programme, et identifier et
Confirmations d'acceptation Interne
documenter les leçons apprises pour les utiliser dans les futurs
du projet par les parties prenantes
projets, versions, itérations et programmes.
Activités
1. Définir et appliquer les étapes clés de la clôture du projet, y compris les examens postmise en œuvre qui évaluent si un projet a atteint les résultats souhaités.
et des avantages.
en
2. Planifier et exécuter des examens postmise en œuvre pour déterminer si les projets ont apporté les avantages attendus et pour améliorer la méthodologie du processus de gestion de projet
et de développement de systèmes.
3. Identifier, attribuer, communiquer et suivre toutes les activités inachevées nécessaires pour atteindre les résultats et avantages prévus du projet de programme.
4. Régulièrement et à la fin du projet, recueillir auprès des participants au projet les leçons apprises. Passezles en revue ainsi que les activités clés qui ont conduit à
et
apporté des avantages et de la valeur. Analyser les données et faire des recommandations pour améliorer le projet en cours ainsi que la méthode de gestion de projet pour les projets futurs.
5. Obtenir l'acceptation des parties prenantes sur les livrables du projet et transférer la propriété.
BAI01.14 Fermer un programme. Depuis Description Description À
Supprimez le programme du portefeuille d'investissement actif

BAI07.08 • Plan d'actions correctives Communication du APO05.05
lorsqu'il existe un accord sur le fait que la valeur souhaitée a été
• Rapport d'examen post retrait du programme et des APO07.06
atteinte ou lorsqu'il est clair qu'elle ne sera pas atteinte dans le cadre
mise en œuvre responsabilités continues
des critères de valeur fixés pour le programme.
Activités
1. Amener le programme à une clôture ordonnée, y compris l'approbation formelle, la dissolution de l'organisation du programme et de la fonction de soutien, la validation des livrables et la
communication du retrait.
2. Examiner et documenter les leçons apprises. Une fois le programme retiré, supprimezle du portefeuille d'investissement actif.
3. Mettez en place des responsabilités et des processus pour garantir que l'entreprise continue d'optimiser la valeur du service, de l'actif ou des ressources. Supplémentaire
des investissements pourraient être nécessaires à un moment ultérieur pour garantir que cela se produise.
Conseils associés à BAI01
PMBOK
PRINCE2
127

tm
C
a
e
128
Chapitre 5
œuvre
acquér
mettre
Constr
Domaine : Gestion
BAI02 Gérer la définition des exigences Domaine : Construire, acquérir et mettre en œuvre
Identifiez les solutions et analysez les exigences avant l'acquisition ou la création pour garantir qu'elles sont conformes aux exigences stratégiques de l'entreprise couvrant les processus commerciaux, les applications, les
informations/données, l'infrastructure et les services. Coordonner avec les parties prenantes concernées l'examen des options réalisables, y compris les coûts et avantages relatifs, l'analyse des risques et l'approbation des
exigences et des solutions proposées.
Créez des solutions optimales réalisables qui répondent aux besoins de l’entreprise tout en minimisant les risques.
en
et
1. Les exigences fonctionnelles et techniques de l’entreprise reflètent les besoins et les attentes de l’entreprise. • Pourcentage d'exigences retravaillées en raison d'un nonalignement avec les besoins et les attentes de
l'entreprise.
• Niveau de satisfaction des parties prenantes à l'égard des exigences
2. La solution proposée répond aux exigences fonctionnelles, techniques et de conformité de • Pourcentage d'exigences satisfaites par la solution proposée
l'entreprise.
3. Les risques associés aux exigences ont été pris en compte dans la solution proposée. • Nombre d'incidents non identifiés comme étant à risque
• Pourcentage de risque atténué sans succès
4. Les exigences et les solutions proposées répondent aux objectifs de l'analyse de rentabilisation (valeur • Pourcentage des objectifs de l'analyse de rentabilisation atteints par la solution proposée
attendue et coûts probables). • Pourcentage de parties prenantes n'approuvant pas la solution par rapport à l'analyse de rentabilisation
129
Carte RACI BAI02
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
prsodeefan
toirpuoscfeneéa
coa
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfeneéa
rxeta
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
itesrlueaaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
ae
sgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI02.01
Définir et maintenir les exigences
IR RA C CCCRRC CCCC
fonctionnelles et techniques
de l'entreprise.
BAI02.02
Réaliser une étude de faisabilité FR RA CCCCRC CCCC
et formuler des solutions alternatives.
BAI02.03
FR RA R. CCRCRR CCCC
Gérer le risque lié aux exigences.
BAI02.04
Obtenir l'approbation des exigences FR RA CCCCCC CCCC
et des solutions.
BAI02.01 Définir et maintenir les exigences fonctionnelles Depuis Description Description À

et techniques de l'entreprise.
APO01.06 Référentiel de définition BAI03.01
cœ
C
a
e
• Procédures d'intégrité des données

Sur la base de l'analyse de rentabilisation, identifier, prioriser,
• Directives en matière de sécurité et de des exigences BAI03.02
spécifier et convenir des informations commerciales,
contrôle des données BAI04.01
des exigences fonctionnelles, techniques et de contrôle
• Directives de classification BAI05.01
couvrant la portée/la compréhension de toutes les initiatives
des données
nécessaires pour atteindre les résultats attendus de la solution
commerciale informatique proposée. APO03.01 Principes d'architecture Critères d’acceptation BAI03.01
confirmés par les parties prenantes BAI03.02
BAI04.03
BAI05.01
BAI05.02
APO03.02 • Modèle d'architecture de Enregistrement des demandes de BAI03.09

l'information modification des exigences
• Descriptions des
domaines de base
et définition de l'architecture
APO03.05 Conseils pour le développement
de solutions
APO10.02 RFI et RFP des fournisseurs
APO11.03 Critères d'acceptation
130
Chapitre 5
œuvre
acquér
mettre
Constr
BAI02.01 Activités
1. Définir et mettre en œuvre une procédure de définition et de maintenance des exigences ainsi qu'un référentiel d'exigences adaptés à la taille, à la complexité, aux objectifs et au risque de
l'initiative que l'entreprise envisage d'entreprendre.
2. Exprimer les exigences de l'entreprise en termes de manière dont l'écart entre les capacités commerciales actuelles et souhaitées doit être comblé et comment un rôle sera
interagir avec et utiliser la solution.
3. Tout au long du projet, obtenir, analyser et confirmer que toutes les exigences des parties prenantes, y compris les critères d'acceptation pertinents, sont prises en compte, capturées, hiérarchisées et
enregistrées d'une manière compréhensible pour les parties prenantes, les sponsors commerciaux et le personnel technique de mise en œuvre, en reconnaissant que les exigences peuvent changer et
deviendront plus détaillés au fur et à mesure de leur mise en œuvre.
4. Spécifier et hiérarchiser les exigences informationnelles, fonctionnelles et techniques en fonction des exigences confirmées des parties prenantes. Incluez des exigences de contrôle des informations dans
les processus métier, les processus automatisés et les environnements informatiques pour gérer les risques liés aux informations et respecter les lois, réglementations et contrats commerciaux.
5. Validez toutes les exigences grâce à des approches telles que l'examen par les pairs, la validation du modèle ou le prototypage opérationnel.
en
6. Confirmer l'acceptation des aspects clés des exigences, y compris les règles d'entreprise, les contrôles de l'information, la continuité des activités, les aspects juridiques et réglementaires.
conformité, auditabilité, ergonomie, opérabilité et convivialité, sécurité et documentation justificative.
7. Suivre et contrôler la portée, les exigences et les changements tout au long du cycle de vie de la solution tout au long du projet afin de comprendre les
la solution évolue.
et
8. Tenir compte des exigences relatives aux politiques et normes d'entreprise, à l'architecture d'entreprise, aux plans informatiques stratégiques et tactiques, aux processus commerciaux et informatiques
internes et externalisés, aux exigences de sécurité, aux exigences réglementaires, aux compétences des personnes, à la structure organisationnelle, à l'analyse de rentabilisation et à la technologie
habilitante.
BAI02.02 Réaliser une étude de faisabilité et formuler des solutions Depuis Description Description À
alternatives.
APO03.05 Conseils pour le développement Rapport d'étude de faisabilité BAI03.02
Réaliser une étude de faisabilité des solutions alternatives
de solutions BAI03.03
potentielles, évaluer leur viabilité et sélectionner l’option privilégiée. Le cas
échéant, mettez en œuvre l’option sélectionnée à titre pilote pour déterminer APO10.01 Catalogue fournisseurs Acquisition de haut niveau/ APO10.02
les améliorations possibles. plan de développement BAI03.01

APO10.02 • Résultats des décisions de
évaluations des fournisseurs

• Évaluations des RFI et RFP
• Demandes d'informations et appels d'offres auprès des fournisseurs
APO11.03 Critères d'acceptation
Activités
1. Définir et exécuter une étude de faisabilité, un projet pilote ou une solution de travail de base qui décrit de manière claire et concise les solutions alternatives qui satisferont le
exigences commerciales et fonctionnelles. Inclure une évaluation de leur faisabilité technologique et économique.
2. Identifier les actions requises pour l'acquisition ou le développement de solutions basées sur l'architecture d'entreprise, et prendre en compte la portée et/ou le temps et/ou
limites budgétaires.
3. Examinez les solutions alternatives avec toutes les parties prenantes et sélectionnez la plus appropriée en fonction de critères de faisabilité, y compris le risque et le coût.
4. Traduire le plan d'action préféré en un plan d'acquisition/développement de haut niveau identifiant les ressources à utiliser et les étapes nécessitant une
décision aller/nonaller.
131
Gérer les risques liés aux exigences. Depuis Description Description À
Identifier, documenter, prioriser et atténuer les risques fonctionnels,

Exigences registre des risques BAI01.10
techniques et liés au traitement de l'information associés aux
BAI03.02
exigences de l'entreprise et à la solution proposée.
BAI04.01
BAI05.01
Actions d’atténuation des risques BAI01.10

BAI03.02
BAI05.01
Activités
1. Impliquer les parties prenantes pour créer une liste d'exigences potentielles en matière de qualité, fonctionnelles et techniques, ainsi que des risques liés au traitement de l'information.
(en raison, par exemple, du manque d'implication des utilisateurs, d'attentes irréalistes, des développeurs ajoutant des fonctionnalités inutiles).
2. Analyser et hiérarchiser les risques liés aux exigences en fonction de leur probabilité et de leur impact. Le cas échéant, déterminez les impacts sur le budget et le calendrier.
3. Identifier les moyens de contrôler, d'éviter ou d'atténuer le risque lié aux exigences par ordre de priorité.
BAI02.04 Obtenir l'approbation des exigences et des Depuis Description Description À

solutions.
BAI01.09 Plan de gestion de la qualité Approbations par le sponsor des BAI03.02
Coordonner les commentaires des parties prenantes concernées et, à
exigences et des solutions BAI03.03
des étapes clés prédéterminées, obtenir l'approbation et l'approbation
proposées BAI03.04
du sponsor commercial ou du propriétaire du produit sur les
exigences fonctionnelles et techniques, les études de faisabilité, Examens de qualité approuvés APO11.02
les analyses de risques et les solutions recommandées.
Activités
1. S'assurer que le sponsor commercial ou le propriétaire du produit prend la décision finale concernant le choix de la solution, l'approche d'acquisition et la conception de haut niveau, conformément
à l'analyse de rentabilisation. Coordonner les commentaires des parties prenantes concernées et obtenir l'approbation des autorités commerciales et techniques appropriées (par exemple,
propriétaire des processus métier, architecte d'entreprise, responsable des opérations, sécurité) pour l'approche proposée.
2. Obtenez des évaluations de qualité tout au long et à la fin de chaque étape clé du projet, itération ou version pour évaluer les résultats par rapport aux critères d'acceptation d'origine. Demandez
aux sponsors commerciaux et aux autres parties prenantes d’approuver chaque évaluation qualité réussie.
tm
C
a
e
ITIL V3 2011 Conception de services, 4.1 Coordination de la conception
132
Chapitre 5
œuvre
acquér
mettre
Constr
Domaine : Gestion
BAI03 Gérer l'identification et la création de solutions Domaine : Construire, acquérir et mettre en œuvre
Établir et maintenir des solutions identifiées conformément aux exigences de l'entreprise couvrant la conception, le développement, l'approvisionnement/l'approvisionnement et le partenariat avec les fournisseurs/
vendeurs. Gérer la configuration, la préparation des tests, les tests, la gestion des exigences et la maintenance des processus métier, des applications, des informations/données, de l'infrastructure et des services.

Établir des solutions rapides et rentables capables de soutenir les objectifs stratégiques et opérationnels de l’entreprise.
en
1. La conception de la solution, y compris les composants pertinents, répond aux besoins de l'entreprise, • Nombre de conceptions de solutions retravaillées en raison d'un nonalignement avec
et
s'aligne sur les normes et répond à tous les risques identifiés. les exigences
• Temps nécessaire pour approuver que le livrable de conception réponde aux exigences
2. La solution est conforme à la conception, aux normes organisationnelles et dispose d'un contrôle, d'une • Nombre d'exceptions de solution à la conception constatées lors des revues d'étape
sécurité et d'une auditabilité appropriés.
3. La solution est de qualité acceptable et a été testée avec succès. • Nombre d'erreurs trouvées lors des tests
• Temps et efforts pour terminer les tests
4. Les modifications approuvées aux exigences sont correctement intégrées dans • Nombre de modifications approuvées suivies qui génèrent de nouvelles erreurs
la solution.
5. Les activités de maintenance répondent avec succès aux besoins commerciaux et • Nombre de demandes de maintenance restées insatisfaites
besoins technologiques.
133
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfene
nitee
c
eéé
sessitrnpaeertgnie
toirpuoscfene
aaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
iuéontpiivtss
itesrlue
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
a
/semme)aésgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI03.01
R. IR CCCICC CCCC
Concevoir des solutions de haut niveau.
BAI03.02
Concevoir les composants R. IR CCCICC CCCC

détaillés de la solution.
BAI03.03
R. IR CCCICC CCCC
Développer les composants de la solution.
BAI03.04
IR je je CCAIRRRCCCC
Acquérir les composants de la solution.
BAI03.05
R. IR CCCICC CCCC
Créer des solutions.
BAI03.06
IR RA CCCIRC CCCC
Effectuer l'assurance qualité.
BAI03.07
R. IA CCI FR €€€€
Préparezvous aux tests de solution.
BAI03.08
R. IA je je je FR je je je je
Exécuter les tests de solution.
BAI03.09
Gérer les modifications IR RA je CICR CCCC

tm
C
a
e
apportées aux exigences.
BAI03.10
R. R. CCCICC CCCC
Maintenir les solutions.
BAI03.11
Définir les services informatiques et je je je je IRICCCAI je
maintenir le portefeuille de services.
134
Chapitre 5
œuvre
acquér
mettre
Constr
Concevoir des solutions de haut niveau. Depuis Description Description À
Développer et documenter des conceptions de haut niveau à

APO03.01 Principes d'architecture Spécification de conception BAI04.03
l’aide de techniques de développement agiles progressives ou
de haut niveau approuvée BAI05.01
rapides convenues et appropriées. Assurer l’alignement avec la APO03.02 Descriptions des
stratégie informatique et l’architecture de l’entreprise. Réévaluez et domaines de base et

mettez à jour les conceptions lorsque des problèmes importants surviennent définition de l'architecture
pendant les phases de conception détaillée ou de construction ou à

APO04.03 Analyses de recherche des
mesure que la solution évolue. Assurezvous que les parties prenantes
possibilités d’innovation
participent activement à la conception et approuvent chaque version.
APO04.04 Évaluations d’idées d’innovation
BAI02.01 • Critères d'acceptation confirmés

par les parties
en
prenantes
• Référentiel de définition des

exigences
BAI02.02 Acquisition de haut niveau/
et
plan de développement
Activités
1. Établir une spécification de conception de haut niveau qui traduit la solution proposée en processus métier, services de support, applications,
une infrastructure et des référentiels d'informations capables de répondre aux exigences commerciales et d'architecture d'entreprise.
2. Impliquer des utilisateurs et des spécialistes informatiques dûment qualifiés et expérimentés dans le processus de conception pour garantir que la conception fournit une solution qui
utilise de manière optimale les capacités informatiques proposées pour améliorer le processus métier.
3. Créer une conception conforme aux normes de conception de l'organisation, à un niveau de détail approprié à la solution et à la méthode de développement et cohérente avec les stratégies
commerciales, d'entreprise et informatiques, l'architecture d'entreprise, le plan de sécurité et les lois et réglementations applicables. et les contrats.
4. Après l'approbation de l'assurance qualité, soumettez la conception finale de haut niveau aux parties prenantes du projet et au sponsor/propriétaire du processus métier, pour approbation sur la base
de critères convenus. Cette conception évoluera tout au long du projet à mesure que la compréhension se développera.
BAI03.02 Concevoir les composants détaillés de la solution. Depuis Description Description À
Développer, documenter et élaborer des conceptions détaillées

APO03.01 Principes d'architecture Spécification de BAI04.03
progressivement en utilisant des techniques de développement agiles
conception détaillée approuvée BAI05.01
progressives ou rapides convenues et appropriées, abordant tous les
composants (processus commerciaux et contrôles automatisés et manuels APO03.02 • Modèle d'architecture de Révisions SLA et OLA APO09.03
associés, applications informatiques de support, services l'information BAI04.02
d'infrastructure et produits technologiques, et partenaires/fournisseurs). • Descriptions des
Assurezvous que la conception détaillée inclut les SLA et OLA domaines de base et
internes et externes. définition de l'architecture
APO03.05 Conseils pour le développement
de solutions
APO04.06 Évaluations de l’utilisation

d’approches innovantes
BAI02.01 • Critères d'acceptation confirmés

par les parties
prenantes
• Référentiel de définition des

exigences
BAI02.02 Rapport d'étude de faisabilité
BAI02.03 • Actions d'atténuation des risques

• Registre des risques liés
aux exigences
BAI02.04 Approbations par les

sponsors des exigences et
des solutions proposées
135
BAI03 Pratiques de processus, intrants/extrants et activités (suite)
BAI03.02 Activités
1. Concevoir progressivement les activités des processus métier et les flux de travail qui doivent être exécutés en conjonction avec le nouveau système d'application pour
répondre aux objectifs de l'entreprise, y compris la conception des activités de contrôle manuel.
2. Concevoir les étapes de traitement des applications, y compris la spécification des types de transactions et des règles de traitement métier, des contrôles automatisés, des définitions de
données/objets métier, des cas d'utilisation, des interfaces externes, des contraintes de conception et d'autres exigences (par exemple, licences, juridiques, normes et internationalisation/
localisation).
3. Classez les entrées et sorties de données selon les normes d'architecture d'entreprise. Spécifier la conception de la collecte de données source, en documentant les données
les entrées (quelle que soit la source) et la validation pour le traitement des transactions ainsi que les méthodes de validation. Concevoir les résultats identifiés, y compris les sources de données.
4. Concevoir l'interface système/solution, y compris tout échange de données automatisé.
5. Concevoir le stockage, l'emplacement, la récupération et la récupérabilité des données.
6. Concevoir une redondance, une récupération et une sauvegarde appropriées.
7. Concevoir l'interface entre l'utilisateur et l'application système de manière à ce qu'elle soit facile à utiliser et autodocumentée.
8. Considérez l'impact du besoin de la solution en termes de performances de l'infrastructure, étant sensible au nombre d'actifs informatiques et à l'intensité de la bande passante.
et la sensibilité temporelle des informations.
9. Évaluer de manière proactive les faiblesses de la conception (par exemple, incohérences, manque de clarté, défauts potentiels) tout au long du cycle de vie, en identifiant les améliorations
si nécessaire.
10. Fournir la capacité de vérifier les transactions et d'identifier les causes profondes des erreurs de traitement.
BAI03.03 Développer les composants de la solution. Depuis Description Description À
Développer progressivement les composants de la

BAI02.02 Rapport d'étude de faisabilité Composants de solution BAI04.03
solution conformément aux conceptions détaillées suivant
documentés BAI05.05
les méthodes de développement et les normes de documentation, les BAI02.04 Approbations par les
BAI08.03
exigences d'assurance qualité (AQ) et les normes d'approbation. sponsors des exigences
BAI08.04
Veiller à ce que toutes les exigences de contrôle dans les et des solutions proposées
processus commerciaux, prenant en charge les applications
informatiques et les services d'infrastructure, les services et produits
technologiques, ainsi que les partenaires/fournisseurs, soient satisfaites.
tm
C
a
e
Activités
1. Développer des processus métier, des services de support, des applications et des infrastructures, ainsi que des référentiels d'informations sur la base de spécifications et d'exigences
commerciales, fonctionnelles et techniques convenues.
2. Lorsque des fournisseurs tiers sont impliqués dans le développement de la solution, assurezvous que la maintenance, le support, les normes de développement et les licences sont respectés.
abordés et respectés dans les obligations contractuelles.
3. Suivre les demandes de changement et les examens de conception, de performance et de qualité, en garantissant la participation active de toutes les parties prenantes concernées.
4. Documenter tous les composants de la solution conformément aux normes définies et maintenir le contrôle des versions sur tous les composants développés et
documentation associée.
5. Évaluer l'impact de la personnalisation et de la configuration des solutions sur les performances et l'efficacité des solutions acquises et sur l'interopérabilité avec les applications, systèmes
d'exploitation et autres infrastructures existants. Adaptez les processus métier selon les besoins pour tirer parti des capacités de l'application.
6. Veiller à ce que les responsabilités liées à l'utilisation de composants d'infrastructure à haute sécurité ou à accès restreint soient clairement définies et comprises par ceux qui développent et
intègrent les composants d'infrastructure. Leur utilisation doit être surveillée et évaluée.
BAI03.04 Acquérir les composants de la solution. Depuis Description Description À
Procurer les composants de la solution en fonction du plan d'acquisition

BAI02.04 Approbations par les Plan d'acquisition approuvé APO10.03
conformément aux exigences et aux conceptions détaillées, aux
sponsors des exigences
principes et normes d'architecture, ainsi qu'aux procédures globales
et des solutions proposées
d'approvisionnement et de contrat de l'entreprise, aux exigences
d'assurance qualité et aux normes d'approbation. Mises à jour de l'inventaire des actifs BAI09.01
Assurezvous que toutes les exigences légales et contractuelles sont
identifiées et traitées par le fournisseur.
Activités
1. Créer et maintenir un plan pour l'acquisition de composants de solution, en tenant compte de la flexibilité future pour les ajouts de capacité, les coûts de transition, les risques et
mises à niveau tout au long de la durée de vie du projet.
2. Examiner et approuver tous les plans d'acquisition, en tenant compte des risques, des coûts, des avantages et de la conformité technique aux normes d'architecture d'entreprise.
3. Évaluer et documenter dans quelle mesure les solutions acquises nécessitent une adaptation des processus métier pour tirer parti des avantages de la solution acquise.
4. Suivre les approbations requises aux points de décision clés au cours des processus d'approvisionnement.
5. Enregistrer la réception de toutes les acquisitions d'infrastructures et de logiciels dans un inventaire des actifs.
136
Chapitre 5
œuvre
acquér
mettre
Constr
BAI03.05 Créer des solutions. Depuis Description Description À
Installer et configurer des solutions et les intégrer aux activités

Composants de solution intégrés BAI06.01
des processus métier. Mettre en œuvre des mesures de contrôle, de
et configurés
sécurité et d'auditabilité lors de la configuration et lors de l'intégration
du matériel et des logiciels d'infrastructure, pour protéger les
ressources et garantir la disponibilité et l'intégrité des données. Mettre
à jour le catalogue de services pour refléter les nouvelles solutions.
Activités
1. Intégrer et configurer les composants et les référentiels d'informations des solutions métiers et informatiques conformément aux spécifications détaillées et aux exigences de qualité.
Considérez le rôle des utilisateurs, des parties prenantes de l'entreprise et du propriétaire du processus dans la configuration des processus métier.
2. Compléter et mettre à jour les processus opérationnels et les manuels opérationnels, si nécessaire, pour tenir compte de toute personnalisation ou conditions particulières propres à
en
la mise en oeuvre.
3. Tenir compte de toutes les exigences pertinentes en matière de contrôle des informations lors de l'intégration et de la configuration des composants de la solution, y compris la mise en œuvre
de contrôles commerciaux, le cas échéant, dans des contrôles d'application automatisés afin que le traitement soit précis, complet, opportun, autorisé et vérifiable.
4. Mettre en œuvre des pistes d'audit lors de la configuration et de l'intégration du matériel et des logiciels d'infrastructure pour protéger les ressources et garantir la disponibilité
et
et l'intégrité.
5. Déterminez quand l'effet des personnalisations et des configurations cumulatives (y compris les modifications mineures qui n'ont pas été soumises aux spécifications de conception
formelles) nécessite une réévaluation de haut niveau de la solution et des fonctionnalités associées.
6. Assurer l'interopérabilité des composants de la solution avec des tests à l'appui, de préférence automatisés.
7. Configurer le logiciel d'application acquis pour répondre aux exigences de traitement de l'entreprise.
8. Définir des catalogues de services pour les groupes cibles internes et externes pertinents en fonction des exigences de l'entreprise.
BAI03.06 Effectuer l'assurance de la qualité (AQ). Depuis Description Description À
Développer, ressources et exécuter un plan d'assurance qualité

APO11.01 Résultats des examens de Plan d'Assurance Qualité APO11.04
aligné sur le système de gestion de la qualité pour obtenir la
l’efficacité du système de gestion de la qualité
qualité spécifiée dans la définition des exigences et les politiques
et procédures qualité de l'entreprise. BAI01.09 Plan de gestion de la qualité Résultats de l'examen de la qualité, APO11.04
exceptions et corrections
Activités
1. Définir un plan et des pratiques d'AQ comprenant, par exemple, la spécification des critères de qualité, les processus de validation et de vérification, la définition de la façon dont la qualité sera
examinés, les qualifications nécessaires des évaluateurs de la qualité, ainsi que les rôles et responsabilités pour l'atteinte de la qualité.
2. Surveiller fréquemment la qualité de la solution en fonction des exigences du projet, des politiques de l'entreprise, du respect des méthodologies de développement et de la qualité.
procédures de gestion et critères d’acceptation.
3. Utiliser l'inspection du code, les pratiques de développement basées sur les tests, les tests automatisés, l'intégration continue, les visites guidées et les tests des applications, le cas échéant. Faire
rapport sur les résultats du processus de surveillance et des tests à l'équipe de développement de logiciels d'application et à la direction informatique.
4. Surveiller toutes les exceptions de qualité et prendre toutes les mesures correctives. Tenir un registre de tous les examens, résultats, exceptions et corrections. Qualité de répétition
des examens, le cas échéant, en fonction de la quantité de retouches et d'actions correctives.
BAI03.07 Se préparer aux tests de solution. Depuis Description Description À
Établir un plan de test et les environnements requis pour tester les

Plan de test BAI07.03
composants individuels et intégrés de la solution, y compris les
processus métier et les services, applications et infrastructures Les procédures d'essai BAI07.03
de support.
Activités
1. Créer un plan de test intégré et des pratiques adaptées à l'environnement de l'entreprise et aux plans technologiques stratégiques qui permettront
création d'environnements de test et de simulation appropriés pour aider à vérifier que la solution fonctionnera avec succès dans l'environnement réel et fournira les résultats escomptés et que les
contrôles sont adéquats.
2. Créer un environnement de test qui prend en charge toute la portée de la solution et reflète, aussi fidèlement que possible, les conditions réelles, y compris celles de l'entreprise.
processus et procédures, gamme d'utilisateurs, types de transactions et conditions de déploiement.
3. Créer des procédures de test qui s'alignent sur le plan et les pratiques et permettent d'évaluer le fonctionnement de la solution dans des conditions réelles. Veiller à ce que les procédures de test
évaluent l'adéquation des contrôles, sur la base de normes à l'échelle de l'entreprise qui définissent les rôles, les responsabilités et les critères de test, et soient approuvées par les parties
prenantes du projet et le sponsor/propriétaire du processus métier.
137
Exécuter des tests de solutions. Depuis Description Description À
Exécuter des tests en continu pendant le développement, y

APO04.05 Analyse des initiatives Journaux de résultats de tests BAI07.03
compris des tests de contrôle, conformément au plan de test défini et aux
rejetées et pistes d’audit
pratiques de développement dans l'environnement approprié. Engagez les
propriétaires de processus métier et les utilisateurs finaux dans l’équipe de Communication BAI07.03
test. Identifiez, enregistrez et hiérarchisez les erreurs et les problèmes des résultats des tests
identifiés lors des tests.
Activités
1. Entreprendre les tests des solutions et de leurs composants conformément au plan de test. Incluez des testeurs indépendants de l’équipe de solution, avec des propriétaires de processus métier et
des utilisateurs finaux représentatifs. Assurezvous que les tests sont effectués uniquement dans les environnements de développement et de test.
2. Utiliser des instructions de test clairement définies, telles que définies dans le plan de test, et considérer l'équilibre approprié entre les tests scriptés automatisés et
tests utilisateurs interactifs.
3. Entreprendre tous les tests conformément au plan et aux pratiques de test, y compris l'intégration des processus opérationnels et des composants de la solution informatique ainsi que des exigences non
fonctionnelles (par exemple, sécurité, interopérabilité, convivialité).
4. Identifier, enregistrer et classer les erreurs (par exemple mineures, significatives et critiques) pendant les tests. Répétez les tests jusqu'à ce que toutes les erreurs significatives aient été résolues.
Veiller à ce qu'une piste d'audit des résultats des tests soit conservée.
5. Enregistrer les résultats des tests et communiquer les résultats des tests aux parties prenantes conformément au plan de test.
BAI03.09 Gérer les modifications apportées aux exigences. Depuis Description Description À
Suivez l’état des exigences individuelles (y compris toutes les exigences

APO04.05 Résultats et Enregistrement de toutes les demandes BAI06.03
rejetées) tout au long du cycle de vie du projet et gérez l’approbation des
recommandations des initiatives de changement approuvées et appliquées
modifications apportées aux exigences.
de validation de principe
BAI02.01 Enregistrement des demandes de
modification des exigences
Activités
1. Évaluer l'impact de toutes les demandes de changement de solution sur le développement de la solution, l'analyse de rentabilisation originale et le budget, et catégoriser et
tm
C
a
e
priorisezles en conséquence.
2. Suivez les modifications apportées aux exigences, permettant à toutes les parties prenantes de surveiller, examiner et approuver les modifications. Veiller à ce que les résultats du changement
Le processus est entièrement compris et accepté par toutes les parties prenantes et le sponsor/propriétaire du processus métier.
3. Appliquer les demandes de modification, en maintenant l'intégrité de l'intégration et de la configuration des composants de la solution. Évaluez l'impact de toute mise à niveau majeure d'une solution
et classezla selon des critères objectifs convenus (tels que les exigences de l'entreprise), en fonction du résultat de l'analyse des risques impliqués (tels que l'impact sur les systèmes et processus
existants ou la sécurité), du coût. justification des prestations et autres exigences.
BAI03.10 Maintenir les solutions. Depuis Description Description À
Élaborer et exécuter un plan de maintenance des composants de la

Plan de maintenance APO08.05
solution et de l'infrastructure. Incluez des examens périodiques
par rapport aux besoins de l’entreprise et aux exigences Composants de la BAI05.05
opérationnelles. solution mis à jour et

documentation associée
Activités
1. Élaborer et exécuter un plan de maintenance des composants de la solution qui comprend des examens périodiques par rapport aux besoins commerciaux et opérationnels.
exigences telles que la gestion des correctifs, les stratégies de mise à niveau, les risques, l’évaluation des vulnérabilités et les exigences de sécurité.
2. Évaluer l'importance d'une activité de maintenance proposée sur la conception, la fonctionnalité et/ou les processus opérationnels actuels de la solution. Tenez compte du risque, de l’impact sur les
utilisateurs et de la disponibilité des ressources. Assurezvous que les propriétaires des processus métier comprennent l’effet de la désignation des modifications comme maintenance.
3. En cas de changements majeurs dans les solutions existantes qui entraînent des changements significatifs dans les conceptions et/ou les fonctionnalités et/ou les processus commerciaux actuels,
suivre le processus de développement utilisé pour les nouveaux systèmes. Pour les mises à jour de maintenance, utilisez le processus de gestion des modifications.
4. Veiller à ce que le modèle et le volume des activités de maintenance soient analysés périodiquement pour détecter des tendances anormales indiquant des problèmes de qualité ou de
performances sousjacents, le coût/bénéfice d'une mise à niveau majeure ou un remplacement en lieu et place de la maintenance.
5. Pour les mises à jour de maintenance, utilisez le processus de gestion des modifications pour contrôler toutes les demandes de maintenance.
138
Chapitre 5
œuvre
acquér
mettre
Constr
BAI03.11 Définir les services informatiques et maintenir le Depuis Description Description À
portefeuille de services.
EDM04.01 Principes directeurs pour Définitions de services APO05.01
Définir et convenir des services informatiques nouveaux ou modifiés et
l’allocation des ressources et DSS01.03
des options de niveau de service. Documentez les définitions de service
des capacités
nouvelles ou modifiées et les options de niveau de service à mettre à jour
dans le portefeuille de services. APO02.04 • Déclaration de valeur et Portefeuille de services mis à jour APO05.05
d'avantages pour l'environnement cible
• Lacunes et changements
nécessaires pour réaliser
la capacité cible
en
APO08.05 Définition de projets

d'amélioration potentiels
BAI10.02 Base de référence de configuration
et
BAI10.03 Modifications approuvées
de la référence
BAI10.04 Rapports sur l'état de la

configuration
Activités
1. Proposer des définitions des services informatiques nouveaux ou modifiés pour garantir que les services sont adaptés à leur objectif. Documentez les définitions de services proposées dans le
liste du portefeuille de services à développer.
2. Proposer des options de niveau de service nouvelles ou modifiées (durées de service, satisfaction des utilisateurs, disponibilité, performances, capacité, sécurité, continuité, conformité et
convivialité) pour garantir que les services informatiques sont adaptés à l’utilisation. Documentez les options de service proposées dans le portefeuille.
3. Interfacer avec la gestion des relations commerciales et la gestion du portefeuille pour convenir des définitions de service proposées et des options de niveau de service.
4. Si le changement de service relève de l'autorité d'approbation convenue, créez les services informatiques ou les options de niveau de service nouveaux ou modifiés. Sinon, passez le service
changement dans la gestion du portefeuille pour l'examen des investissements.
Aucun
139

tm
C
a
e
140
Chapitre 5
œuvre
acquér
mettre
Constr
Domaine : Gestion
BAI04 Gérer la disponibilité et la capacité Domaine : Construire, acquérir et mettre en œuvre
Équilibrez les besoins actuels et futurs en matière de disponibilité, de performances et de capacité avec une fourniture de services rentable. Inclure l'évaluation des capacités actuelles, la prévision des besoins futurs
en fonction des exigences de l'entreprise, l'analyse des impacts sur l'entreprise et l'évaluation des risques pour planifier et mettre en œuvre des actions pour répondre aux exigences identifiées.
Maintenez la disponibilité des services, la gestion efficace des ressources et l’optimisation des performances du système grâce à la prévision des performances futures et des besoins en capacité.
en
et
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à l'actualité (ou à la
disponibilité) des informations de gestion.
1. Le plan de disponibilité anticipe les attentes de l'entreprise en matière de • Nombre de mises à niveau non planifiées de capacité, de performances ou de disponibilité
exigences en matière de capacité.
2. La capacité, les performances et la disponibilité répondent aux exigences. • Nombre de pics de transactions où les performances cibles sont dépassées
• Nombre d'incidents de disponibilité
• Nombre d'événements où la capacité a dépassé les limites prévues
3. Les problèmes de disponibilité, de performances et de capacité sont identifiés et régulièrement • Nombre et pourcentage de problèmes non résolus de disponibilité, de performances et de capacité.
résolus.
141
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
prsodeefan
toirpuoscfeneéa
coa
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfeneéa
rxeta
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
itesrlueaaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
ae
sgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI04.01
Évaluer la disponibilité, les
je C Californie RCC
performances et la capacité
actuelles et créer une référence.
BAI04.02
UN C CR RCC
Évaluer l'impact sur les activités.
BAI04.03
Planifier les exigences de service R. C Californie RCC
nouvelles ou modifiées.
BAI04.04
Surveiller et examiner la disponibilité R. C Californie RCC
et la capacité.
BAI04.05
Enquêter et résoudre les
IR IRCA RI je
problèmes de disponibilité, de
performance et de capacité.

cœ
C
a
e
BAI04.01 Évaluer la disponibilité, les performances et la Depuis Description Description À

capacité actuelles et créer une référence.
BAI02.01 Référentiel de définition Bases de référence en matière de Interne
Évaluez la disponibilité, les performances et la capacité des services et
des exigences disponibilité, de performances et de capacité
des ressources pour garantir que des capacités et des performances
justifiées par les coûts sont disponibles pour répondre BAI02.03 Registre des risques liés aux exigences Évaluations par rapport aux SLA APO09.05
aux besoins de l'entreprise et respecter les SLA. Créez des
références de disponibilité, de performances et de capacité
pour des comparaisons futures.
Activités
1. Tenir compte des éléments suivants (actuels et prévus) dans l'évaluation de la disponibilité, des performances et de la capacité des services et des ressources : client
exigences, priorités commerciales, objectifs commerciaux, impact budgétaire, utilisation des ressources, capacités informatiques et tendances du secteur.
2. Surveillez les performances réelles et l'utilisation de la capacité par rapport aux seuils définis, pris en charge si nécessaire par un logiciel automatisé.
3. Identifier et suivre tous les incidents causés par des performances ou des capacités inadéquates.
4. Évaluez régulièrement les niveaux de performance actuels pour tous les niveaux de traitement (demande commerciale, capacité de service et capacité des ressources) en comparant
les comparer aux tendances et aux SLA, en tenant compte des changements de l’environnement.
142
Chapitre 5
œuvre
acquér
mettre
Constr
Évaluer l'impact sur les activités. Depuis Description Description À
Identifiez les services importants pour l'entreprise, mappez les

APO09.03 SLA et OLA Scénarios de disponibilité, de Interne
services et les ressources aux processus métier et identifiez les
performances et de capacité
dépendances métier. Assurezvous que l’impact des ressources
indisponibles est entièrement convenu et accepté par le client. Assurez BAI03.02 Révisions SLA et OLA Évaluations de l'impact sur Interne
vous que, pour les fonctions commerciales vitales, les exigences de l'entreprise en matière de
disponibilité du SLA peuvent être satisfaites. disponibilité, de performance et de capacité
Activités
1. Identifiez uniquement les solutions ou services essentiels au processus de gestion de la disponibilité et de la capacité.
2. Mappez les solutions ou services sélectionnés avec les applications et l'infrastructure (informatique et installations) dont ils dépendent pour permettre de se concentrer sur les ressources critiques.
pour la planification des disponibilités.
en
3. Collectez des données sur les modèles de disponibilité à partir des journaux des pannes passées et de la surveillance des performances. Utilisez des outils de modélisation qui aident à prédire les pannes en fonction du passé
les tendances d'utilisation et les attentes de gestion du nouvel environnement ou des conditions d'utilisation.
4. Créez des scénarios basés sur les données collectées, décrivant les situations de disponibilité futures pour illustrer une variété de niveaux de capacité potentiels nécessaires pour atteindre l'objectif
de performance de disponibilité.
et
5. Déterminez la probabilité que l'objectif de performances de disponibilité ne soit pas atteint en fonction des scénarios.
6. Déterminez l'impact des scénarios sur les mesures de performance de l'entreprise (par exemple, revenus, bénéfices, services client). Engager le métier,
les dirigeants fonctionnels (en particulier financiers) et régionaux pour comprendre leur évaluation de l’impact.
7. Assurezvous que les propriétaires de processus métier comprennent parfaitement et acceptent les résultats de cette analyse. Obtenez auprès des propriétaires d’entreprise une liste de
scénarios de risques inacceptables qui nécessitent une réponse pour réduire les risques à des niveaux acceptables.
BAI04.03 Planifier les exigences de service Depuis Description Description À
nouvelles ou modifiées.
BAI02.01 Critères d’acceptation Améliorations prioritaires APO02.02
Planifiez et hiérarchisez les implications en matière de disponibilité, de performances
confirmés par les parties prenantes
et de capacité en fonction de l'évolution des besoins de l'entreprise et des
exigences de service. BAI03.01 Spécification de conception Plans de performance APO02.02
de haut niveau approuvée et de capacité
BAI03.02 Spécification de conception

détaillée approuvée
BAI03.03 Composants de solution
documentés
Activités
1. Examiner les implications en matière de disponibilité et de capacité de l’analyse des tendances des services.
2. Identifier les implications en matière de disponibilité et de capacité de l'évolution des besoins commerciaux et des opportunités d'amélioration. Utilisez des techniques de modélisation pour valider
les plans de disponibilité, de performances et de capacité.
3. Hiérarchisez les améliorations nécessaires et créez des plans de disponibilité et de capacité justifiables en termes de coûts.
4. Ajuster les plans de performance et de capacité et les SLA en fonction de processus commerciaux et de services de support réalistes, nouveaux, proposés et/ou projetés,
les modifications apportées aux applications et à l'infrastructure, ainsi que des examens des performances réelles et de l'utilisation de la capacité, y compris les niveaux de charge de travail.
5. S'assurer que la direction effectue des comparaisons entre la demande réelle de ressources et l'offre et la demande prévues pour évaluer les prévisions actuelles.
techniques et apporter des améliorations lorsque cela est possible.
143
Surveiller et examiner la disponibilité et la capacité. Depuis Description Description À
Disponibilité, performances MEA01.03

Surveiller, mesurer, analyser, rapporter et examiner la disponibilité, les
et rapports de capacité
performances et la capacité. Identifiez les écarts par rapport aux
lignes de base établies. Examiner les rapports d'analyse des
tendances en identifiant les problèmes et écarts importants,
en lançant des actions si nécessaire et en veillant à ce que tous les
problèmes en suspens soient suivis.
Activités
1. Établir un processus de collecte de données pour fournir à la direction des informations de suivi et de reporting sur la disponibilité, les performances et la charge de travail de capacité de
toutes les ressources liées à l'information.
2. Fournir des rapports réguliers sur les résultats sous une forme appropriée pour examen par la direction informatique et commerciale et communication avec
la gestion de l'entreprise.
3. Intégrer les activités de suivi et de reporting dans les activités itératives de gestion des capacités (surveillance, analyse, réglage et mises en œuvre).
4. Fournir des rapports de capacité aux processus budgétaires.
BAI04.05 Enquêter et résoudre les problèmes de disponibilité, Depuis Description Description À
de performance et de capacité.
Lacunes en matière de Interne
Corrigez les écarts en enquêtant et en résolvant les problèmes
performances et de capacités
identifiés de disponibilité, de performances et de capacité.
Mesures correctives APO02.02
Procédure d'escalade DSS02.02
d'urgence
Activités
1. Obtenez des conseils dans les manuels de produits des fournisseurs pour garantir un niveau approprié de disponibilité des performances pour les traitements et les charges de travail de pointe.
2. Identifier les lacunes en matière de performances et de capacités en fonction du suivi des performances actuelles et prévues. Utiliser la disponibilité, la continuité et la récupération connues
des spécifications pour classer les ressources et permettre la priorisation.
tm
C
a
e
3. Définir des actions correctives (par exemple, déplacer la charge de travail, hiérarchiser les tâches ou ajouter des ressources, lorsque des problèmes de performance et de capacité sont identifiés).
4. Intégrer les actions correctives requises dans les processus appropriés de planification et de gestion du changement.
5. Définir une procédure d'escalade pour une résolution rapide en cas de problèmes de capacité et de performances d'urgence.
ISO/CEI 20000 6.3 Gestion de la continuité de service et de la disponibilité
ITIL V3 2011 • Conception de services, 4.4 Gestion de la disponibilité

• Conception de services, 4.5 Gestion des capacités
144
Chapitre 5
œuvre
acquér
mettre
Constr
Domaine : Gestion
BAI05 Gérer l'activation du changement organisationnel Domaine : Construire, acquérir et mettre en œuvre
Maximisez les chances de mettre en œuvre avec succès un changement organisationnel durable à l’échelle de l’entreprise, rapidement et avec un risque réduit, en couvrant le cycle de vie complet du changement et
toutes les parties prenantes concernées de l’entreprise et de l’informatique.
Préparez et engagez les parties prenantes au changement de l’entreprise et réduisez le risque d’échec.
Et services
en
• VAN montrant le niveau de satisfaction de l'entreprise quant à la qualité et à l'utilité des solutions
technologiques
et
et des idées
1. Le désir de changement des parties prenantes a été compris. • Niveau de désir des parties prenantes pour le changement
• Niveau d'implication de la haute direction
2. L’équipe de mise en œuvre est compétente et capable de conduire le changement. • Taux de satisfaction de l'équipe de mise en œuvre par les parties prenantes concernées
• Nombre de problèmes de compétences ou de capacités identifiés
3. Le changement souhaité est compris et accepté par les parties prenantes. • Commentaires des parties prenantes sur le niveau de compréhension
• Nombre de requêtes reçues
4. Les acteurs sont habilités à apporter le changement. • Pourcentage d'acteurs dotés d'une autorité appropriée
• Commentaires des acteurs sur le niveau d'autonomisation
5. Les acteurs sont habilités à opérer, utiliser et maintenir le changement. • Pourcentage d'acteurs formés
• Autoévaluation des capacités pertinentes par les acteurs
• Niveau de satisfaction des acteurs opérant, utilisant et maintenant le changement
6. Le changement est intégré et durable. • Pourcentage d'utilisateurs correctement formés pour le changement
• Niveau de satisfaction des utilisateurs quant à l'adoption du changement
145
Carte BAI05 RACI
liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
R
d'il
R
id
s'l
R
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
prsodeefan
toirpuoscfeneéa
coa
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfeneéa
rxeta
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
auietesrlueaaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
seelbusaqnsio
iap
lbeapspnoole
uo
rqtsitnianom
a
sgrtg
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
BAI05.01
RACCRCRR C RCCRCCCCCC
Établir le désir de changement.
BAI05.02
Former une équipe je ICACCRR RCPC RCCCCCC
de mise en œuvre efficace.
BAI05.03
ACCRIRI je je je je IRI je je je je je je je
Communiquer la vision souhaitée.
BAI05.04
Donner du pouvoir aux acteurs RCCRC RCCRCCC CCCC

et identifier les gains à court terme.
BAI05.05
VOITURE R. RCRR €€€€
Activer le fonctionnement et l'utilisation.
BAI05.06
€RRAR R. RCRR €€€€
Intégrer de nouvelles approches.
BAI05.07
€€€€ R. RCRR €€€€
Soutenir les changements.
tm
C
a
e
BAI05.01 Établir le désir de changement. Depuis Description Description À

Comprendre la portée et l’impact du changement envisagé
APO11.03 Résultats de la qualité de Communications des moteurs Interne
ainsi que la préparation/volonté de changement des parties
service, y compris les du changement
prenantes. Identifiez les actions pour motiver les parties
commentaires des clients
prenantes à accepter et à vouloir que le changement fonctionne avec succès.
BAI02.01 • Acceptation confirmée Communications de Interne
critères des la direction exécutive
parties prenantes s’engageant à changer
• Référentiel de définition
des exigences
BAI02.03 • Actions d'atténuation des risques

• Registre des risques liés
aux exigences
BAI03.01 Spécification de conception

de haut niveau approuvée
BAI03.02 Spécification de
conception détaillée approuvée
Activités
1. Évaluer la portée et l'impact du changement envisagé, les différentes parties prenantes concernées, la nature de l'impact et de l'implication requise de la part de
chaque groupe de parties prenantes, ainsi que la préparation et la capacité actuelles à adopter le changement.
2. Identifier, exploiter et communiquer les points faibles actuels, les événements négatifs, les risques, l'insatisfaction des clients et les problèmes commerciaux, ainsi que les premiers
les avantages, les opportunités et récompenses futures, ainsi que les avantages des concurrents, comme base pour établir le désir de changement.
3. Publier des communications clés du comité exécutif ou du PDG pour démontrer l'engagement envers le changement.
4. Assurer un leadership visible de la part de la haute direction pour établir une orientation et aligner, motiver et inspirer les parties prenantes à désirer le changement.
146
Chapitre 5
œuvre
acquér
mettre
Constr
Former une équipe de mise en œuvre efficace. Depuis Description Description À
Établissez une équipe de mise en œuvre efficace en

BAI02.01 Critères d’acceptation Équipe de mise en œuvre BAI01.04
rassemblant les membres appropriés, en créant la confiance et en
confirmés par les parties prenantes et rôles
établissant des objectifs communs et des mesures d'efficacité.
Vision et objectifs communs BAI01.02
Activités
1. Identifier et constituer une équipe de mise en œuvre de base efficace qui comprend les membres appropriés des secteurs commercial et informatique, capables de consacrer le temps requis et
d'apporter leurs connaissances, leur expertise, leur expérience, leur crédibilité et leur autorité. Envisagez d'inclure des parties externes telles que des consultants pour fournir un point de vue
indépendant ou pour combler les déficits de compétences. Identifiez les agents de changement potentiels au sein de différentes parties de l’entreprise avec lesquels l’équipe principale peut travailler
pour soutenir la vision et répercuter les changements vers le bas.
2. Créer la confiance au sein de l'équipe de mise en œuvre principale grâce à des événements soigneusement planifiés avec une communication efficace et des activités conjointes.
en
3. Développer une vision et des objectifs communs qui soutiennent les objectifs de l'entreprise.
BAI05.03 Communiquer la vision souhaitée. Depuis Description Description À
Communiquer la vision souhaitée du changement de langue des

Plan de communication de la vision BAI01.04
et
personnes concernées. La communication doit être effectuée par la
haute direction et inclure la justification et les avantages du Communications visuelles BAI01.05
changement, les impacts de l'absence de changement ; et la

vision, la feuille de route et l'implication requise des différentes parties
prenantes.
Activités
1. Élaborer un plan de communication de vision pour aborder les principaux groupes d'audience, leurs profils comportementaux et leurs besoins en informations, la communication
canaux et principes.
2. Assurer la communication aux niveaux appropriés de l'entreprise conformément au plan.
3. Renforcez la communication à travers de multiples forums et la répétition.
4. Vérifiez la compréhension de la vision souhaitée et répondez à tout problème souligné par le personnel.
5. Rendre tous les niveaux de leadership responsables de la démonstration de la vision.
BAI05.04 Donner du pouvoir aux acteurs et identifier les gains Depuis Description Description À
à court terme.
En dehors de la structure organisationnelle de COBIT Objectifs de performance RH APO07.04
Donnez du pouvoir à ceux qui jouent un rôle de mise en œuvre en
Enterprise alignés
veillant à ce que les responsabilités soient attribuées, en proposant
des formations et en alignant les structures organisationnelles Gains rapides identifiés BAI01.04
et les processus RH. Identifiez et communiquez les gains à court terme

Communications des BAI01.06
qui peuvent être réalisés et qui sont importants du point de vue de
avantages
l’activation du changement.
Activités
1. Identifier les structures organisationnelles compatibles avec la vision ; si nécessaire, apportez des modifications pour assurer l’alignement.
2. Planifiez la formation dont le personnel a besoin pour développer les compétences et les attitudes appropriées pour se sentir autonome.
3. Aligner les processus RH et les systèmes de mesure (par exemple, évaluation des performances, décisions en matière de rémunération, décisions de promotion, recrutement et embauche)
pour soutenir la vision.
4. Identifiez et gérez les dirigeants qui continuent de résister aux changements nécessaires.
5. Identifiez, priorisez et offrez des opportunités de gains rapides. Ceuxci pourraient être liés à des domaines de difficulté connus ou à des facteurs externes qui doivent être pris en compte.
être abordé de toute urgence.
6. Tirez parti des gains rapides obtenus en communiquant les avantages aux personnes concernées pour montrer que la vision est sur la bonne voie. Affiner la vision, garder les dirigeants en poste
monter à bord et créer une dynamique.
147
Permettre l'exploitation et l'utilisation. Depuis Description Description À
Planifier et mettre en œuvre tous les aspects techniques,

BAI03.03 Composants de solution Plan d'exploitation et d'utilisation APO08.04
opérationnels et d'utilisation afin que tous ceux qui sont impliqués
documentés BAI08.04
dans l'environnement de l'état futur puissent exercer leur
DSS01.01
responsabilité.
DSS01.02
DSS06.02
BAI03.10 Composants de la Mesures de réussite et APO08.05
solution mis à jour et résultats BAI07.07

documentation associée BAI07.08
MEA01.03
Activités
1. Élaborer un plan d’opération et d’utilisation du changement qui communique et s’appuie sur les gains rapides réalisés, aborde les aspects comportementaux et culturels de la transition plus large et
augmente l’adhésion et l’engagement. Assurezvous que le plan couvre une vue globale du changement et fournit de la documentation (par exemple, des procédures), du mentorat, de la formation,
du coaching, du transfert de connaissances, un soutien amélioré immédiat après la mise en service et un soutien continu.
2. Mettre en œuvre le plan d'exploitation et d'utilisation. Définissez et suivez les mesures de réussite, y compris les mesures commerciales strictes et les mesures de perception qui indiquent ce que
les gens pensent d'un changement, en prenant des mesures correctives si nécessaire.
BAI05.06 Intégrer de nouvelles approches. Depuis Description Description À
Intégrez les nouvelles approches en suivant les changements mis en

Résultats de l'audit de conformité MEA02.02
œuvre, en évaluant l'efficacité du plan d'exploitation et d'utilisation et
MEA03.03
en maintenant une sensibilisation continue grâce à une
communication régulière. Prendre des mesures correctives le Communications Interne
cas échéant, qui peuvent inclure le respect de la conformité. de sensibilisation
Résultats de l'évaluation APO07.04

des performances RH
Activités
1. Célébrez les réussites et mettez en œuvre des programmes de récompense et de reconnaissance pour renforcer le changement.
tm
C
a
e
2. Utiliser des systèmes de mesure des performances pour identifier les causes profondes d’une faible adoption et prendre des mesures correctives.
3. Rendre les propriétaires de processus responsables des opérations quotidiennes normales.
4. Mener des audits de conformité pour identifier les causes profondes de la faible adoption et recommander des mesures correctives.
5. Assurer une sensibilisation continue grâce à une communication régulière sur le changement et son adoption.
BAI05.07 Maintenir les changements. Depuis Description Description À
Soutenir les changements grâce à une formation efficace du nouveau

Plans de transfert de connaissances BAI08.03
personnel, des campagnes de communication continues, un
BAI08.04
engagement continu de la haute direction, un suivi de l'adoption et
le partage des leçons apprises dans toute l'entreprise. Communications de Interne
l'engagement de la
direction
Examens d'utilisation opérationnelle MEA02.02
Activités
1. Assurer le mentorat, la formation, l’encadrement et le transfert de connaissances aux nouveaux employés pour soutenir le changement.
2. Maintenir et renforcer le changement par une communication régulière démontrant l'engagement de la haute direction.
3. Effectuer des revues périodiques du fonctionnement et de l'utilisation du changement et identifier les améliorations.
4. Capturer les enseignements tirés de la mise en œuvre du changement et partager les connaissances au sein de l'entreprise.
Kotter, John ; Diriger le changement, Harvard Business School Press, ÉtatsUnis, 1996
148
Chapitre 5
acqué
Const
œuvr
mettr
Domaine : Gestion
BAI06 Gérer les modifications Domaine : Construire, acquérir et mettre en œuvre
Gérez tous les changements de manière contrôlée, y compris les changements standard et la maintenance d'urgence liés aux processus métier, aux applications et à l'infrastructure.
Cela comprend les normes et procédures de changement, l'évaluation d'impact, la priorisation et l'autorisation, les changements d'urgence, le suivi, le reporting, la clôture et la
documentation.

Permettre une livraison rapide et fiable des changements à l’entreprise et atténuer le risque d’impact négatif sur la stabilité ou l’intégrité de l’environnement modifié.
en
et
10 Sécurité des informations, des infrastructures de traitement et des applications • Nombre d'incidents de sécurité entraînant des pertes financières, des perturbations des
activités ou un embarras public
• Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès, par rapport
aux niveaux de service convenus.
• Fréquence des évaluations de sécurité par rapport aux dernières normes
et directives
1. Les modifications autorisées sont apportées en temps opportun et avec • Quantité de retouches causées par des modifications échouées
erreurs minimes. • Réduction du temps et des efforts nécessaires pour apporter des modifications
• Nombre et ancienneté des demandes de modification en retard
2. Les analyses d'impact révèlent l'effet du changement sur toutes les • Pourcentage de changements infructueux en raison d'évaluations d'impact inadéquates
composantes concernées.
3. Tous les changements d'urgence sont examinés et autorisés après le changement. • Pourcentage du total des modifications qui constituent des correctifs d'urgence
• Nombre de changements d'urgence non autorisés après le changement
4. Les principales parties prenantes sont tenues informées de tous les aspects du changement. • Évaluations des commentaires des parties prenantes sur la satisfaction à l'égard des communications
Carte RACI BAI06

liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
ids'l
R
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
ids'l
étimrofnoC
etrcoefrneiD
Id'l
oa
efn
prsodeefan
toirpuoscfeneéa
iuéontpiivtssniteecoa
C
E
S
dl
tjoroelrPiC
P
d(
p
toirpuoscfeneéa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
aprsésoep
nsqe
sé
eéé
sessitrnpaeertgnie
auietesrlueaaB
gvl
d
iapsmssu
o'C
d
tiduA
taéo
tm
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
im
o
uo
tnaiotm
rqtsitnianom
étué
ae
noitraum
/semme)aésgrtg
srnuo
nm
n
nm
uro
efiig
rue
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
éetlib
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI06.01
Évaluer, prioriser et autoriser les RA C C CCCRCRRCRC
demandes de changement.
BAI06.02
IA C CCRRIR CI
Gérer les changements d'urgence.
BAI06.03
CR C UN FR R.
Suivre et signaler l'état des modifications.
BAI06.04
Fermez et documentez RA R. C CCCRCRRI je
les modifications.
149
Évaluer, prioriser et autoriser les demandes de changement. Depuis Description Description À
BAI03.05 Composants de solution intégrés Évaluations d'impact Interne

Évaluez toutes les demandes de changement pour déterminer l'impact
et configurés
sur les processus métier et les services informatiques, et pour évaluer
si le changement affectera négativement l'environnement DSS02.03 Demandes de service approuvées Demandes approuvées BAI07.01
opérationnel et introduira un risque inacceptable. Assurezvous que pour changer

les changements sont enregistrés, hiérarchisés, catégorisés, DSS03.03 Solutions proposées aux
évalués, autorisés, planifiés et programmés. erreurs connues
DSS03.05 Solutions durables identifiées Changement de plan et d'horaire BAI07.01
DSS04.08 Modifications approuvées

aux plans
DSS06.01 Analyses des causes profondes

et recommandations
Activités
1. Utiliser des demandes de modification formelles pour permettre aux propriétaires de processus métier et au service informatique de demander des modifications aux processus métier, à l'infrastructure, aux systèmes ou
applications. Assurezvous que tous ces changements surviennent uniquement via le processus de gestion des demandes de changement.
2. Catégoriser tous les changements demandés (par exemple, processus métier, infrastructure, systèmes d'exploitation, réseaux, systèmes d'application, achetés/emballés
logiciel d'application) et associez les éléments de configuration concernés.
3. Hiérarchisez toutes les modifications demandées en fonction des exigences commerciales et techniques, des ressources requises et des raisons juridiques, réglementaires et contractuelles
de la modification demandée.
4. Planifiez et évaluez toutes les demandes de manière structurée. Inclure une analyse d'impact sur les processus métier, l'infrastructure, les systèmes et les applications,
plans de continuité des activités (PCA) et prestataires de services pour garantir que tous les composants concernés ont été identifiés. Évaluer la probabilité d’avoir un impact négatif sur
l’environnement opérationnel et le risque de mise en œuvre du changement. Tenez compte des implications en matière de sécurité, juridiques, contractuelles et de conformité du changement
demandé. Tenez également compte des interdépendances entre les changements. Impliquez les propriétaires de processus métier dans le processus d’évaluation, le cas échéant.
5. Approuver formellement chaque changement par les propriétaires de processus métier, les gestionnaires de services et les parties prenantes techniques informatiques, le cas échéant. Des changements qui sont
les changements à faible risque et relativement fréquents devraient être préapprouvés en tant que changements standard.
tm
C
a
e
6. Planifiez et programmez tous les changements approuvés.
7. Tenir compte de l'impact des prestataires de services sous contrat (par exemple, du traitement commercial externalisé, de l'infrastructure, du développement d'applications et des services
partagés) sur le processus de gestion du changement, y compris l'intégration des processus de gestion du changement organisationnel avec les processus de gestion du changement des
prestataires de services et l'impact sur les processus contractuels. conditions et SLA.
BAI06.02 Gérer les changements d'urgence. Depuis Description Description À
Gérez soigneusement les changements d’urgence pour minimiser

Examen postmise en Interne
d’autres incidents et assurezvous que le changement est contrôlé et se
œuvre des changements
déroule en toute sécurité. Vérifiez que les changements d’urgence sont
d’urgence
correctement évalués et autorisés après le changement.
Activités
1. S'assurer qu'il existe une procédure documentée pour déclarer, évaluer, donner une approbation préliminaire, autoriser après le changement et enregistrer un changement d'urgence.
2. Vérifiez que toutes les dispositions d'accès d'urgence pour les modifications sont correctement autorisées, documentées et révoquées une fois la modification appliquée.
3. Surveiller tous les changements d'urgence et effectuer des examens postmise en œuvre impliquant toutes les parties concernées. L'examen doit envisager et lancer des actions correctives
basées sur les causes profondes telles que les problèmes liés aux processus métier, au développement et à la maintenance du système d'application, aux environnements de développement
et de test, à la documentation et aux manuels, ainsi qu'à l'intégrité des données.
4. Définissez ce qui constitue un changement d’urgence.
150
Chapitre 5
œuvre
acquér
mettre
Constr
BAI06.03 Suivre et signaler l'état des modifications. Depuis Description Description À
Maintenir un système de suivi et de reporting pour documenter les

BAI03.09 Enregistrement de toutes les demandes Rapports sur l'état des demandes de BAI01.06
modifications rejetées, communiquer l'état des modifications approuvées
de changement approuvées et appliquées modification BAI10.03
et en cours et compléter les modifications.
Assurezvous que les changements approuvés sont mis en œuvre
comme prévu.
Activités
1. Catégoriser les demandes de changement dans le processus de suivi (par exemple, rejetées, approuvées mais pas encore initiées, approuvées et en cours, et clôturées).
2. Mettre en œuvre des rapports sur l'état des changements avec des mesures de performance pour permettre l'examen et la surveillance par la direction de l'état détaillé des changements et de l'état
général (par exemple, analyse chronologique des demandes de changement). Assurezvous que les rapports d'état forment une piste d'audit afin que les modifications puissent ensuite être suivies
depuis leur création jusqu'à leur disposition finale.
3. Surveiller les modifications ouvertes pour garantir que toutes les modifications approuvées sont clôturées en temps opportun, en fonction de la priorité.
en
4. Maintenir un système de suivi et de reporting pour toutes les demandes de changement.
BAI06.04 Clôturer et documenter les modifications. Depuis Description Description À
et
Chaque fois que des changements sont implémentés, mettre
Documentation sur les modifications Interne
à jour en conséquence la solution et la documentation utilisateur ainsi
que les procédures affectées par le changement.
Activités
1. Inclure les modifications apportées à la documentation (par exemple, les procédures opérationnelles commerciales et informatiques, la documentation sur la continuité des activités et la reprise après sinistre,
informations de configuration, documentation de l'application, écrans d'aide et matériel de formation) dans le cadre de la procédure de gestion du changement en tant que partie intégrante du
changement.
2. Définir une période de conservation appropriée pour la documentation sur les modifications et la documentation système et utilisateur avant et après les modifications.
3. Soumettez la documentation au même niveau d'examen que le changement réel.
ISO/CEI 20000 9.2 Gestion du changement
ITIL V3 2011 Transition des services, 4.2 Gestion du changement
151

tm
C
a
e
152
Chapitre 5
œuvre
acquér
mettre
Constr
Domaine : Gestion
BAI07 Gérer l'acceptation des changements et la transition Domaine : Construire, acquérir et mettre en œuvre
Accepter formellement et rendre opérationnelles de nouvelles solutions, y compris la planification de la mise en œuvre, la conversion des systèmes et des données, les tests d'acceptation, la communication,
la préparation des versions, la promotion en production de processus commerciaux et de services informatiques nouveaux ou modifiés, le support de production précoce et un examen postimplémentation.
Mettre en œuvre des solutions en toute sécurité et conformément aux attentes et aux résultats convenus.
Et services
en
• VAN montrant le niveau de satisfaction de l'entreprise quant à la qualité et à l'utilité des solutions
technologiques
et
1. Les tests d'acceptation rencontrent l'approbation des parties prenantes et prennent en compte • Pourcentage de parties prenantes satisfaites de l'exhaustivité du processus de test
tous les aspects des plans de mise en œuvre et de conversion.
2. Les versions sont prêtes à être promues en production avec les parties prenantes • Nombre et pourcentage de versions qui ne sont pas prêtes à être publiées dans les délais.
préparation et soutien.
3. Les versions sont promues avec succès, sont stables et répondent aux attentes. • Nombre ou pourcentage de rejets qui ne parviennent pas à se stabiliser dans un délai
acceptable
• Pourcentage de versions entraînant des temps d'arrêt
4. Les leçons apprises contribuent aux versions futures. • Nombre et pourcentage d'analyses des causes profondes réalisées
153
Carte BAI07 RACI
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
toirpuoscfene
nitee
c
eéé
sessitrnpaeertgnie
toirpuoscfene
aaB
g
d
vl
ssu
sé
nsqe
o'C
d
tiduA
astésrierpcitoo
taéo
tm
laedrtiécsn
iuéontpiivtss
itesrlue
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
iem
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
a
/semme)aésgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI07.01
Établir un CR CA R. CCRCRC RRRC
plan de mise en œuvre.
BAI07.02
Planifier la conversion des processus CR CA R. CCRCRC RRRC

opérationnels, des systèmes et des données.
BAI07.03
RA RI CI FR IRRC
Planifier les tests d'acceptation.
BAI07.04
RA RI je FR IRRC
Établir un environnement de test.
BAI07.05
RA RI je FR IRRC
Effectuer des tests d'acceptation.
BAI07.06
Promouvoir la production et R. IA je FR RI je je
gérer les versions.

BAI07.07
Fournir un R. IA je FR RI je je
soutien précoce à la production.
BAI07.08
Effectuer un examen post R. IA CCI FR RCI je
tm
C
a
e
implémentation.
BAI07.01 Établir un plan de mise en œuvre. Depuis Description Description À

Établissez un plan de mise en œuvre qui couvre la conversion
BAI01.09 Plan de gestion de la qualité Mise en œuvre approuvée Interne
du système et des données, les critères de tests
plan
d'acceptation, la communication, la formation, la
préparation de la version, la promotion en production, le BAI06.01 • Modifier le plan Processus de repli et de Interne
support de production précoce, un plan de secours/backout et et le calendrier récupération de la mise en œuvre
un examen postimplémentation. Obtenez l’approbation des parties concernées. • Demandes de changement
approuvées
Activités
1. Créer un plan de mise en œuvre qui reflète la stratégie globale de mise en œuvre, la séquence des étapes de mise en œuvre, les besoins en ressources,
interdépendances, critères d'acceptation par la direction de la mise en œuvre de la production, exigences de vérification de l'installation, stratégie de transition pour
le support de production et mise à jour des PCA.
2. Confirmez que tous les plans de mise en œuvre sont approuvés par les parties prenantes techniques et commerciales et examinés par l'audit interne, le cas échéant.
3. Obtenir l'engagement des fournisseurs de solutions externes quant à leur implication à chaque étape de la mise en œuvre.
4. Identifiez et documentez le processus de secours et de récupération.
5. Examiner formellement les risques techniques et commerciaux associés à la mise en œuvre et s'assurer que le risque clé est pris en compte et traité dans le
processus de planification.
154
Chapitre 5
œuvre
acquér
mettre
Constr
BAI07.02 Planifier la conversion des processus opérationnels, des Depuis Description Description À
systèmes et des données.
Projet de migration DSS06.02
Préparez la migration des processus métier, des données des
services informatiques et de l'infrastructure dans le cadre des
méthodes de développement de l'entreprise, y compris des pistes
d'audit et un plan de reprise en cas d'échec de la migration.
Activités
1. Définir un processus métier, informatique : plan de migration des données de service et de l'infrastructure. Tenez compte, par exemple, du matériel, des réseaux, des systèmes d'exploitation, des logiciels, des
données de transaction, des fichiers maîtres, des sauvegardes et des archives, des interfaces avec d'autres systèmes (internes et externes), des exigences de conformité possibles, des procédures
commerciales et de la documentation du système, dans le développement de le plan.
2. Envisager tous les ajustements nécessaires aux procédures, y compris les rôles et responsabilités révisés et les procédures de contrôle, dans le processus opérationnel
projet de reconversion.
en
3. Incorporer dans le plan de conversion des données des méthodes de collecte, de conversion et de vérification des données à convertir, ainsi que d'identification et de résolution des erreurs éventuelles.
trouvé lors de la conversion. Incluez la comparaison des données originales et converties pour en vérifier l'exhaustivité et l'intégrité.
4. Confirmez que le plan de conversion des données ne nécessite pas de modification des valeurs des données, sauf si cela est absolument nécessaire pour des raisons commerciales. Modifications du document
apportées aux valeurs des données et obtenir l'approbation du propriétaire des données du processus métier.
et
5. Répétez et testez la conversion avant de tenter une conversion en direct.
6. Tenez compte du risque de problèmes de conversion, de planification de la continuité des activités et de procédures de repli dans le plan de migration des processus métier, des données et de
l'infrastructure lorsqu'il existe une gestion des risques, des besoins commerciaux ou des exigences réglementaires/de conformité.
7. Coordonner et vérifier le calendrier et l'intégralité du basculement de la conversion afin qu'il y ait une transition fluide et continue sans perte de transaction
données. Si nécessaire, en l’absence d’autre alternative, geler les opérations en direct.
8. Prévoyez de sauvegarder tous les systèmes et données pris avant la conversion. Maintenir des pistes d'audit pour permettre de retracer la conversion et garantir
qu'il existe un plan de récupération couvrant l'annulation de la migration et le retour au traitement précédent en cas d'échec de la migration.
9. Planifiez la conservation des données de sauvegarde et archivées pour vous conformer aux besoins de l'entreprise et aux exigences réglementaires ou de conformité.
BAI07.03 Planifier les tests d'acceptation. Depuis Description Description À
Établissez un plan de test basé sur des normes à l’échelle de l’entreprise qui
BAI01.09 Exigences relatives à la Plan de test d'acceptation BAI01.04
définissent les rôles, les responsabilités et les critères d’entrée et de
vérification indépendante des approuvé BAI01.08
sortie. Assurezvous que le plan est approuvé par les parties concernées.
livrables
BAI03.07 • Les procédures d'essai

• Plan de test
BAI03.08 • Communications
des résultats des tests
• Journaux des résultats des

tests et pistes d'audit
Activités
1. Élaborer et documenter le plan de test, qui s'aligne sur le plan qualité du programme et du projet et sur les normes organisationnelles pertinentes. Communiquer et consulter les propriétaires de processus métier
et les parties prenantes informatiques appropriés.
2. S'assurer que le plan de test reflète une évaluation des risques du projet et que toutes les exigences fonctionnelles et techniques sont testées. Basé sur
Lors de l'évaluation du risque de défaillance du système et des défauts lors de la mise en œuvre, le plan doit inclure des exigences en matière de performances, de stress, d'utilisabilité, de tests pilotes et de
sécurité.
3. Assurezvous que le plan de test répond au besoin potentiel d'accréditation interne ou externe des résultats du processus de test (par exemple,
exigences réglementaires).
4. Assurezvous que le plan de test identifie les ressources nécessaires pour exécuter les tests et évaluer les résultats. Des exemples de ressources incluent la construction d'environnements de test et
l'utilisation du temps du personnel pour le groupe de test, y compris le remplacement temporaire potentiel du personnel de test dans les environnements de production ou de développement. Veiller à ce que
les parties prenantes soient consultées sur les implications en termes de ressources du plan de test.
5. Assurezvous que le plan de test identifie les phases de test appropriées aux exigences opérationnelles et à l'environnement. Des exemples de telles phases de tests comprennent les tests unitaires, les
tests système, les tests d'intégration, les tests d'acceptation des utilisateurs, les tests de performances, les tests de résistance, les tests de conversion de données, les tests de sécurité, les tests de
préparation opérationnelle et les tests de sauvegarde et de récupération.
6. Confirmez que le plan de test prend en compte la préparation des tests (y compris la préparation du site), les exigences de formation, l'installation ou la mise à jour d'un environnement de test défini, la
planification/l'exécution/la documentation/la conservation des cas de test, la gestion des erreurs et des problèmes, la correction et l'escalade, et les formalités formelles. approbation.
7. Veiller à ce que le plan de test établisse des critères clairs pour mesurer le succès de chaque phase de test. Consultez les propriétaires de processus métier et les parties prenantes informatiques pour définir les
critères de réussite. Déterminer que le plan établit des procédures de remédiation lorsque les critères de réussite ne sont pas remplis (par exemple, en cas d'échecs importants lors d'une phase de test, le plan
fournit des indications sur l'opportunité de passer à la phase suivante, d'arrêter les tests ou de reporter la mise en œuvre).
8. Confirmez que tous les plans de test sont approuvés par les parties prenantes, y compris les propriétaires de processus métier et le service informatique, le cas échéant. Des exemples de ces parties prenantes sont
les responsables du développement d'applications, les chefs de projet et les utilisateurs finaux des processus métier.
155
BAI07.04 Établir un environnement de test. Depuis Description Description À

Définir et établir un environnement de test sécurisé représentatif
Données de test Interne
de l'environnement des processus métier et des opérations
informatiques planifiés, des performances et de la capacité, de la sécurité,
des contrôles internes, des pratiques opérationnelles, des exigences en
matière de qualité et de confidentialité des données et des charges de travail.
Activités
1. Créez une base de données de données de test représentatives de l'environnement de production. Désinfectez les données utilisées dans l'environnement de test de l'environnement de
production en fonction des besoins de l'entreprise et des normes organisationnelles (par exemple, déterminez si les exigences de conformité ou réglementaires obligent l'utilisation de données
nettoyées).
2. Protéger les données et résultats de tests sensibles contre toute divulgation, y compris l'accès, la conservation, le stockage et la destruction. Considérons l'effet de l'interaction de
systèmes organisationnels avec ceux de tiers.
3. Mettre en place un processus permettant de conserver ou d'éliminer correctement les résultats des tests, les supports et autres documents associés afin de permettre un examen adéquat
et analyse ultérieure comme l'exige le plan de test. Tenez compte de l’effet des exigences réglementaires ou de conformité.
4. S'assurer que l'environnement de test est représentatif du futur paysage commercial et opérationnel, y compris les procédures et les rôles des processus métier, le stress probable de la
charge de travail, les systèmes d'exploitation, les logiciels d'application nécessaires, les systèmes de gestion de bases de données et l'infrastructure réseau et informatique trouvée
dans l'environnement de production.
5. Assurezvous que l'environnement de test est sécurisé et incapable d'interagir avec les systèmes de production.
BAI07.05 Effectuer les tests d'acceptation. Depuis Description Description À
Testez les modifications de manière indépendante conformément

Journal des résultats des tests Interne
au plan de test défini avant la migration vers
l'environnement opérationnel réel. Évaluation des résultats BAI01.06
d'acceptation
Acceptation approuvée et mise BAI01.04
en production
Activités
tm
C
a
e
1. Examinez le journal catégorisé des erreurs trouvées dans le processus de test par l'équipe de développement, en vérifiant que toutes les erreurs ont été corrigées ou
formellement accepté.
2. Évaluer l'acceptation finale par rapport aux critères de réussite et interpréter les résultats des tests d'acceptation finale. Présentezles sous une forme
compréhensible pour les propriétaires de processus métier et le service informatique afin qu'un examen et une évaluation éclairés puissent avoir lieu.
3. Approuver l'acceptation avec l'approbation formelle des propriétaires de processus métier, des tiers (le cas échéant) et des parties prenantes informatiques avant
promotion à la production.
4. Veiller à ce que les tests des modifications soient effectués conformément au plan de test. Assurezvous que les tests sont conçus et réalisés par un groupe de test indépendant de l'équipe
de développement. Considérez dans quelle mesure les propriétaires de processus métier et les utilisateurs finaux sont impliqués dans le groupe de test. Assurezvous que les tests sont
effectués uniquement dans l’environnement de test.
5. S'assurer que les tests et les résultats attendus sont conformes aux critères de réussite définis dans le plan de test.
6. Envisagez d'utiliser des instructions de test (scripts) clairement définies pour mettre en œuvre les tests. Assurezvous que le groupe de test indépendant évalue et approuve chaque script de
test pour confirmer qu'il répond de manière adéquate aux critères de réussite des tests énoncés dans le plan de test. Pensez à utiliser des scripts pour vérifier dans quelle mesure le système
répond aux exigences de sécurité.
7. Réfléchissez à l'équilibre approprié entre les tests scriptés automatisés et les tests utilisateur interactifs.
8. Entreprendre des tests de sécurité conformément au plan de test. Mesurez l’étendue des faiblesses ou des failles de sécurité. Considérez l'effet des incidents de sécurité depuis la construction
du plan de test. Considérez l’effet sur les contrôles d’accès et de frontières.
9. Entreprendre des tests de performances du système et des applications conformément au plan de test. Tenez compte d'une gamme de mesures de performances (par exemple, les temps de réponse
de l'utilisateur final et les performances de mise à jour du système de gestion de base de données).
10. Lorsque vous effectuez des tests, assurezvous que les éléments de repli et de restauration du plan de test ont été pris en compte.
11. Identifier, enregistrer et classer les erreurs (par exemple mineures, significatives, critiques pour la mission) pendant les tests. Assurezvous qu’une piste d’audit des résultats des tests est disponible.
Communiquer les résultats des tests aux parties prenantes conformément au plan de test pour faciliter la correction des bogues et l'amélioration supplémentaire de la qualité.
156
Chapitre 5
œuvre
acquér
mettre
Constr
Promouvoir la production et gérer les versions. Depuis Description Description À
Plan de sortie BAI10.01

Promouvoir la solution acceptée auprès de l'entreprise et des
opérations. Le cas échéant, exécutez la solution en tant qu'implémentation Journal de version Interne
pilote ou en parallèle avec l'ancienne solution pendant une période

définie et comparez le comportement et les résultats. Si des problèmes
importants surviennent, revenez à l’environnement d’origine en
fonction du plan de secours/backout.
Gérer les versions des composants de la solution.
Activités
1. Préparer le transfert des procédures commerciales et des services, applications et infrastructures de support depuis les tests vers l'environnement de production dans
conformément aux normes de gestion du changement organisationnel.
en
2. Déterminer l'étendue de la mise en œuvre pilote ou du traitement parallèle des anciens et des nouveaux systèmes conformément au plan de mise en œuvre.
3. Mettre à jour rapidement la documentation pertinente sur les processus métier et le système, les informations de configuration et les documents du plan d'urgence, le cas échéant.
4. Assurezvous que toutes les bibliothèques multimédias sont mises à jour rapidement avec la version du composant de la solution transférée du test à la production.
environnement. Archivez la version existante et sa documentation complémentaire. Veiller à ce que la promotion vers la production des systèmes, des logiciels d'application et de l'infrastructure soit
et
sous contrôle de la configuration.
5. Lorsque la distribution des composants de la solution est effectuée par voie électronique, contrôler la distribution automatisée pour garantir que les utilisateurs sont informés et que la distribution a
lieu uniquement vers des destinations autorisées et correctement identifiées. Inclure dans le processus de publication des procédures d'annulation pour permettre la révision de la distribution des
modifications en cas de dysfonctionnement ou d'erreur.
6. Lorsque la distribution prend une forme physique, tenir un registre formel des articles qui ont été distribués, à qui, où ils ont été mis en œuvre et
lorsque chacun a été mis à jour.
BAI07.07 Fournir un soutien précoce à la production. Depuis Description Description À
Fournir une assistance précoce aux utilisateurs et aux opérations

APO11.03 Examiner les résultats de la Plan de soutien complémentaire APO08.04
informatiques pendant une période convenue pour résoudre les problèmes
qualité de service, y APO08.05
et aider à stabiliser la nouvelle solution.
compris les commentaires des clients DSS02.04

résultats
Activités
1. Fournir des ressources supplémentaires, si nécessaire, aux utilisateurs finaux et au personnel d'assistance jusqu'à ce que la version soit stabilisée.
2. Fournir des ressources de systèmes informatiques supplémentaires, si nécessaire, jusqu'à ce que la version soit dans un environnement opérationnel stable.
157
BAI07.08 Effectuer un examen postmise en œuvre. Depuis Description Description À
Effectuer un examen postmise en œuvre pour confirmer les

APO11.04 Résultats des revues de qualité Rapport d'examen post BAI01.13
résultats, identifier les leçons apprises et élaborer un plan d'action.
et des audits mise en œuvre BAI01.14
Évaluez et vérifiez les performances et les résultats réels du service
nouveau ou modifié par rapport aux performances et aux résultats APO11.05 • Causes profondes des échecs Plan de mesures correctives BAI01.13
prévus (c'estàdire le service attendu par l'utilisateur ou le de livraison de qualité BAI01.14
client). • Résultats du suivi de la qualité
de la prestation des
solutions et des services

résultats
Activités
1. Établir des procédures pour garantir que les examens postmise en œuvre identifient, évaluent et rendent compte de la mesure dans laquelle :
• Les exigences de l'entreprise ont été respectées.
• Les bénéfices attendus ont été réalisés.
• Le système est considéré comme utilisable.
• Les attentes des parties prenantes internes et externes sont satisfaites.
• Des impacts inattendus sur l'entreprise se sont produits.
• Le risque clé est atténué.
• Les processus de gestion du changement, d'installation et d'accréditation ont été exécutés de manière efficace et efficiente.
2. Consulter les propriétaires de processus métier et la direction technique informatique dans le choix des mesures permettant de mesurer le succès et la réalisation des objectifs.
exigences et avantages.
3. Effectuer l'examen postmise en œuvre conformément au processus de gestion du changement organisationnel. Engager les propriétaires de processus métier et
des tiers, le cas échéant.
4. Tenir compte des exigences en matière d'examen postmise en œuvre découlant des activités externes et de l'informatique (par exemple, audit interne, GRE, conformité).
5. Convenir et mettre en œuvre un plan d'action pour résoudre les problèmes identifiés lors de l'examen postmise en œuvre. Engager les propriétaires de processus métier et la direction
technique informatique dans l’élaboration du plan d’action.
tm
C
a
e
ISO/CEI 20000 0.1 Processus de gestion des versions
ITIL V3 2011 • Transition des services, 4.1 Planification et prise en charge de la transition
• Transition des services, gestion des versions 4.4 et du déploiement
• Transition des services, 4.5 Validation et tests des services
• Transition des services, 4.6 Évaluation des changements
PMBOK Assurance qualité PMBOK et acceptation de tous les produits
PRINCE2 Planification basée sur les produits PRINCE2
158
acqué
Chapitre 5
Const
œuvr
mettr
Domaine : Gestion
BAI08 Gérer le processus de Domaine : Construire, acquérir et mettre en œuvre
connaissances Description
Maintenir la disponibilité de connaissances pertinentes, actuelles, validées et fiables pour soutenir toutes les activités de processus et faciliter la prise de décision. Planifier
l’identification, la collecte, l’organisation, le maintien, l’utilisation et la retraite des connaissances.

Fournir les connaissances nécessaires pour soutenir tout le personnel dans ses activités professionnelles et pour une prise de décision éclairée et une productivité améliorée.
en
09 Agilité informatique • Niveau de satisfaction des dirigeants d'entreprise quant à la réactivité de l'informatique
aux nouvelles exigences
• Nombre de processus métier critiques pris en charge par une
infrastructure et des applications à jour
• Délai moyen nécessaire pour transformer les objectifs informatiques stratégiques en une
et
initiative convenue et approuvée.
17 Connaissances, expertises et initiatives pour l’innovation des entreprises • Niveau de sensibilisation et de compréhension des dirigeants d'entreprise
Possibilités d'innovation informatique
• Niveau de satisfaction des parties prenantes quant aux niveaux d'expertise en innovation informatique et
idées
1. Les sources d'information sont identifiées et classées. • Pourcentage de catégories d'informations couvertes
• Volume d'informations classifiées
• Pourcentage d'informations catégorisées validées
2. Les connaissances sont utilisées et partagées. • Pourcentage de connaissances disponibles réellement utilisées
• Nombre d'utilisateurs formés à l'utilisation et au partage des connaissances
3. Le partage des connaissances est ancré dans la culture de l'entreprise. • Niveau de satisfaction des utilisateurs
• Pourcentage du référentiel de connaissances utilisé
4. Les connaissances sont mises à jour et améliorées pour répondre aux exigences. • Fréquence de mise à jour
Graphique BAI08 RACI

liesnoC
ri'D
d
P
d
p
oteietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
riC
P
d(
p
eriansneociitvsreeG
d
s
rxeta
soep
toirpuoscfene
nitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
tjoroelP
toirpuoscfene
aaB
gvl
d
ssu
o'C
d
tiduA
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
auietesrlue
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
na
tm
rqtsitnianom
étué
noitraum
a
sgrtg
uo
tnaio
nm
u
nm
uro
efiig
rue
srn
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
éetlib
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI08.01
Entretenir et faciliter une RA RRRRRRRRRRR
culture de partage des connaissances.
BAI08.02
Identifier et classer les sources RA RCPC FR R.
d'information.
BAI08.03
Organiser et contextualiser C CI IA €€€
l'information pour en faire des connaissances.
BAI08.04
UN RRCCCRCCCC
Utiliser et partager les connaissances.
BAI08.05
UN CCRRRRRRRRRR
Évaluer et retirer l'information.
159
BAI08.01 Entretenir et faciliter une culture de Depuis Description Description À
partage des connaissances.

Communications sur la valeur des APO01.04
Concevoir et mettre en œuvre un programme pour nourrir et faciliter une
connaissances
culture de partage des connaissances.
Activités
1. Communiquer de manière proactive la valeur des connaissances pour encourager la création, l’utilisation, la réutilisation et le partage des connaissances.
2. Encourager le partage et le transfert de connaissances en identifiant et en tirant parti des facteurs de motivation.
3. Créer un environnement, des outils et des artefacts qui soutiennent le partage et le transfert des connaissances.
4. Intégrez les pratiques de gestion des connaissances dans d’autres processus informatiques.
5. Définir les attentes de la direction et démontrer une attitude appropriée concernant l'utilité des connaissances et la nécessité de les partager.
connaissance de l'entreprise.
BAI08.02 Identifier et classer les sources d'information. Depuis Description Description À
Exigences et sources de connaissances en dehors de Classification des Interne

Identifier, valider et classer diverses sources d'informations internes et
COBIT sources d'information
externes nécessaires pour permettre une utilisation et un fonctionnement
efficaces des processus métier et des services informatiques.
Activités
1. Identifier les utilisateurs potentiels des connaissances, y compris les propriétaires d'informations qui pourraient avoir besoin de contribuer et d'approuver les connaissances. Obtenir les exigences en
matière de connaissances et les sources d’informations auprès des utilisateurs identifiés.
2. Tenir compte des types de contenu (procédures, processus, structures, concepts, politiques, règles, faits, classifications), des artefacts (documents, enregistrements, vidéo, voix) et des informations
structurées et non structurées (experts, médias sociaux, courrier électronique, messagerie vocale, Flux RSS).
3. Classer les sources d'informations sur la base d'un système de classification de contenu (par exemple, un modèle d'architecture de l'information). Associer les sources d’information aux
schéma de classement.
4. Recueillir, rassembler et valider les sources d'information sur la base de critères de validation de l'information (par exemple, compréhensibilité, pertinence, importance, intégrité,
exactitude, cohérence, confidentialité, actualité et fiabilité).
tm
C
a
e
BAI08.03 Organiser et contextualiser l'information pour en faire des Depuis Description Description À
connaissances.
BAI03.03 Composants de solution Référentiels de connaissances APO07.03
Organiser les informations en fonction de critères de classification.
documentés publiés
Identifiez et créez des relations significatives entre les éléments
d’information et permettez l’utilisation des informations. BAI05.07 Plans de transfert de connaissances
Identifiez les propriétaires et définissez et mettez en œuvre des niveaux
d’accès aux ressources de connaissances.
Activités
1. Identifiez les attributs partagés et faites correspondre les sources d'informations, en créant des relations entre les ensembles d'informations (étiquetage des informations).
2. Créez des vues sur les ensembles de données associés, en tenant compte des exigences des parties prenantes et de l'organisation.
3. Concevoir et mettre en œuvre un système pour gérer les connaissances non structurées non disponibles via des sources formelles (par exemple, les connaissances d'experts).
4. Publier et rendre les connaissances accessibles aux parties prenantes concernées en fonction des rôles et des mécanismes d'accès.
BAI08.04 Utiliser et partager les connaissances. Depuis Description Description À
Diffuser les ressources de connaissances disponibles aux

BAI03.03 Composants de solution Base de données des utilisateurs de connaissances Interne
parties prenantes concernées et communiquer comment ces
documentés
ressources peuvent être utilisées pour répondre à différents besoins (par
exemple, résolution de problèmes, apprentissage, BAI05.05 Plan d'exploitation et d'utilisation Programmes de sensibilisation et de APO07.03
planification stratégique et prise de décision). formation aux connaissances

BAI05.07 Plans de transfert de connaissances
Activités
1. Identifiez les utilisateurs potentiels des connaissances par classification des connaissances.
2. Transférer les connaissances aux utilisateurs des connaissances sur la base d'une analyse des lacunes des besoins et de techniques d'apprentissage et d'outils d'accès efficaces.
3. Éduquer et former les utilisateurs sur les connaissances disponibles, l'accès aux connaissances et l'utilisation des outils d'accès aux connaissances.
160
Chapitre 5
œuvre
acquér
mettre
Constr
BAI08.05 Évaluer et retirer l'information. Depuis Description Description À

Mesurer l’utilisation et évaluer l’actualité et la pertinence de
Résultats de l’évaluation Interne
l’information. Supprimez les informations obsolètes.
de l’utilisation des connaissances
Règles pour la retraite des Interne

connaissances
Activités
1. Mesurer l’utilisation et évaluer l’utilité, la pertinence et la valeur des éléments de connaissances. Identifiez les informations connexes qui ne sont plus pertinentes par rapport aux besoins en
connaissances de l'entreprise.
2. Définir les règles de retrait des connaissances et retirer les connaissances en conséquence.
en
ITIL V3 2011 Transition des services, 4.7 Gestion des connaissances
et
161

tm
C
a
e
162
acqué
Chapitre 5
Const
œuvr
mettr
Domaine : Gestion
BAI09 Gérer les actifs Domaine : Construire, acquérir et mettre en œuvre
Gérer les actifs informatiques tout au long de leur cycle de vie pour garantir que leur utilisation génère de la valeur à un coût optimal, qu'ils restent opérationnels
(adaptés à leur objectif), qu'ils sont comptabilisés et physiquement protégés, et que les actifs essentiels au support de la capacité de service sont fiables et
disponibles. . Gérez les licences logicielles pour garantir que le nombre optimal est acquis, conservé et déployé par rapport à l'utilisation professionnelle requise, et que
les logiciels installés sont conformes aux accords de licence.

Tenez compte de tous les actifs informatiques et optimisez la valeur fournie par ces actifs.
en
et
1. Les licences sont conformes et alignées sur les besoins de l'entreprise. • Pourcentage de licences utilisées par rapport aux licences payantes
2. Les actifs sont maintenus à des niveaux optimaux. • Nombre d'actifs non utilisés
• Coûts de référence
• Nombre d'actifs obsolètes

liesnoC
ri'D
d
éerrm
P
d
p
itjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
caR
d
a
cl
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
ds
laaitsnneodpifsnee
o
rxeta
soep
toirpuoscfene
nitee
nsqe
sé
eéé
sessitrnpaeertgnie
toirpuoscfene
auietesrlueaaB
gvl
d
ssu
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
otee
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
na
tnaiotm
rqtsitnianom
étué
noitraum
a
/semme)aésgrtg
uo
nm
u
nm
uro
efiig
rue
srn
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
tn
sce
éetlib
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI09.01
Identifier et enregistrer les actifs C C ICCARC
courants.
BAI09.02
C CI CC RRARCCC
Gérer les actifs critiques.
BAI09.03
C CCARR
Gérer le cycle de vie des actifs.
BAI09.04
R. CI ARRRRRR
Optimiser les coûts des actifs.
BAI09.05
CI ARC RRRC
Gérer les licences.
163
Identifier et enregistrer les actifs courants. Depuis Description Description À
Maintenir un enregistrement à jour et précis de tous les actifs

BAI03.04 Mises à jour de l'inventaire des actifs Registre des actifs APO06.01
informatiques nécessaires à la fourniture des services et garantir
BAI10.03
l'alignement avec la gestion de la configuration et la gestion financière.
BAI10.02 Référentiel de configuration Résultats des contrôles BAI10.03
d'inventaire physique BAI10.04

DSS05.03
Résultats des examens adaptés APO02.02

aux besoins
Activités
1. Identifiez tous les actifs détenus dans un registre d'actifs qui enregistre l'état actuel. Maintenir l'alignement avec la gestion du changement et la configuration
les processus de gestion, le système de gestion de la configuration et les registres de comptabilité financière.
2. Identifiez les exigences légales, réglementaires ou contractuelles qui doivent être prises en compte lors de la gestion de l'actif.
3. Vérifier l'existence de tous les actifs possédés en effectuant régulièrement des contrôles et des rapprochements d'inventaire physique et logique, y compris l'utilisation de logiciels.
outils de découverte.
4. Vérifiez que les actifs sont adaptés à leur usage (c'estàdire dans un état utile).
5. Déterminez régulièrement si chaque actif continue de fournir de la valeur et, si tel est le cas, estimez la durée de vie utile prévue pour générer de la valeur.
6. Assurer la comptabilité de tous les actifs.
BAI09.02 Gérer les actifs critiques. Depuis Description Description À
Identifiez les actifs essentiels à la fourniture de capacités de service

Communication des temps d'arrêt APO08.04
et prenez des mesures pour maximiser leur fiabilité et leur disponibilité
pour maintenance planifiés
afin de répondre aux besoins de l'entreprise.
Contrats de maintenance Interne
Activités
1. Identifiez les actifs essentiels à la fourniture de capacités de service en faisant référence aux exigences dans les définitions de service, les SLA et la configuration.
tm
C
a
e
Système de gestion.
2. Surveiller les performances des actifs critiques en examinant les tendances des incidents et, si nécessaire, prendre des mesures pour les réparer ou les remplacer.
3. Tenez régulièrement compte du risque de défaillance ou de la nécessité de remplacer chaque actif critique.
4. Maintenir la résilience des actifs critiques en appliquant une maintenance préventive régulière, en surveillant les performances et, si nécessaire, en proposant des solutions alternatives.
et/ou des actifs supplémentaires pour minimiser la probabilité de défaillance.
5. Établir un plan de maintenance préventive pour tout le matériel, en tenant compte de l'analyse coûtsavantages, des recommandations du fournisseur, du risque de panne, des
personnel et d’autres facteurs pertinents.
6. Établir des accords de maintenance impliquant l'accès de tiers aux installations informatiques de l'organisation pour les activités sur site et hors site (par exemple, l'externalisation).
Établir des contrats de service formels contenant ou faisant référence à toutes les conditions de sécurité nécessaires, y compris les procédures d'autorisation d'accès, pour garantir le respect des
politiques et normes de sécurité de l'organisation.
7. Communiquer aux clients et utilisateurs concernés l'impact attendu (par exemple, restrictions de performances) des activités de maintenance.
8. Assurezvous que les services d'accès à distance et les profils d'utilisateurs (ou autres moyens utilisés pour la maintenance ou le diagnostic) sont actifs uniquement lorsque cela est nécessaire.
9. Incorporer les temps d'arrêt planifiés dans un calendrier de production global et planifier les activités de maintenance pour minimiser l'impact négatif sur
processus d'affaires.
164
Chapitre 5
œuvre
acquér
mettre
Constr
Gérer le cycle de vie des actifs. Depuis Description Description À
Gérer les actifs depuis l'achat jusqu'à leur élimination pour garantir que les
Demandes Interne
actifs sont utilisés de la manière la plus efficace et efficiente possible et
d’acquisition d’actifs approuvées
qu'ils sont comptabilisés et physiquement protégés.
Révisions du registre des actifs BAI10.03
Retraits d'actifs BAI10.03

autorisés
Activités
1. Acquérir tous les actifs sur la base des demandes approuvées et conformément aux politiques et pratiques d'approvisionnement de l'entreprise.
2. Rechercher, recevoir, vérifier, tester et enregistrer tous les actifs de manière contrôlée, y compris l'étiquetage physique, si nécessaire.
3. Approuver les paiements et terminer le processus avec les fournisseurs conformément aux conditions contractuelles convenues.
en
4. Déployez les actifs en suivant le cycle de vie de mise en œuvre standard, y compris la gestion des changements et les tests d'acceptation.
5. Attribuez les actifs aux utilisateurs, en acceptant les responsabilités et en les approuvant, le cas échéant.
6. Réaffectez les actifs autant que possible lorsqu'ils ne sont plus nécessaires en raison d'un changement de rôle d'utilisateur, d'une redondance au sein d'un service ou d'un départ à la retraite.
et
d'une prestation.
7. Éliminer les actifs lorsqu'ils ne servent à rien en raison du retrait de tous les services associés, d'une technologie obsolète ou du manque d'utilisateurs.
8. Éliminez les actifs en toute sécurité, en tenant compte, par exemple, de la suppression permanente de toutes les données enregistrées sur les appareils multimédias et des dommages potentiels à l'environnement.
9. Planifier, autoriser et mettre en œuvre les activités liées à la retraite, en conservant les dossiers appropriés pour répondre aux besoins commerciaux et réglementaires continus.
Optimiser les coûts des actifs. Depuis Description Description À
Examinez régulièrement la base globale des actifs pour identifier

Résultats des APO02.02
les moyens d’optimiser les coûts et de maintenir l’alignement avec les
revues d’optimisation des coûts
besoins de l’entreprise.
Possibilités de réduire les coûts APO02.02

des actifs ou
d’augmenter la valeur
Activités
1. Examinez régulièrement la base globale des actifs, pour déterminer si elle est conforme aux exigences de l'entreprise.
2. Évaluer les coûts de maintenance, considérer le caractère raisonnable et identifier les options les moins coûteuses, y compris, si nécessaire, le remplacement par de nouvelles alternatives.
3. Examinez les garanties et envisagez le rapport qualitéprix et les stratégies de remplacement pour déterminer les options les moins coûteuses.
4. Examiner la base globale pour identifier les opportunités de normalisation, de source unique et d'autres stratégies susceptibles de réduire les achats, le support et
coûts de maintenance.
5. Utiliser les statistiques de capacité et d'utilisation pour identifier les actifs sousutilisés ou redondants dont la cession ou le remplacement pourrait être envisagé pour réduire les coûts.
6. Examiner l'état général pour identifier les opportunités de tirer parti des technologies émergentes ou des stratégies d'approvisionnement alternatives pour réduire les coûts ou augmenter la valeur.
pour de l'argent.
165
Gérer les licences. Depuis Description Description À
Gérez les licences logicielles de manière à ce que le nombre optimal de

Registre des licences de BAI10.02
licences soit maintenu pour répondre aux besoins de l'entreprise et que
logiciels
le nombre de licences détenues soit suffisant pour couvrir les logiciels
installés et utilisés. Résultats des audits de MEA03.03
licences installées
Plan d'action pour ajuster APO02.05

les numéros de
licence et les allocations
Activités
1. Tenir un registre de toutes les licences logicielles achetées et des contrats de licence associés.
2. Réalisez régulièrement un audit pour identifier toutes les instances de logiciels sous licence installés.
3. Comparez le nombre d'instances logicielles installées avec le nombre de licences détenues.
4. Lorsque le nombre d'instances est inférieur au nombre détenu, décidez s'il est nécessaire de conserver ou de résilier les licences, en tenant compte du potentiel d'économies sur
maintenance, formation et autres coûts inutiles.
5. Lorsque le nombre d'instances est supérieur au nombre possédé, envisagez d'abord la possibilité de désinstaller les instances qui ne sont plus nécessaires ou justifiées, et
puis, si nécessaire, achetez des licences supplémentaires pour respecter le contrat de licence.
6. Réfléchissez régulièrement à la possibilité d'obtenir une meilleure valeur en mettant à niveau les produits et les licences associées.
ITIL V3 2011 Transition des services, 4.3 Gestion des actifs de service et de la configuration
tm
C
a
e
166
acqué
Chapitre 5
Const
œuvr
mettr
Domaine : Gestion
BAI10 Gérer la configuration Domaine : Construire, acquérir et mettre en œuvre
Définir et maintenir les descriptions et les relations entre les ressources et capacités clés requises pour fournir des services informatiques, y compris la collecte d'informations de
configuration, l'établissement de lignes de base, la vérification et l'audit des informations de configuration et la mise à jour du référentiel de configuration.

Fournissez suffisamment d'informations sur les actifs du service pour permettre au service d'être géré efficacement, d'évaluer l'impact des changements et de gérer les incidents de service.
en
02 Conformité informatique et assistance à la conformité des entreprises aux lois et • Coût de la nonconformité informatique, y compris les règlements et les amendes, et
réglementations externes l'impact de la perte de réputation
et
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les
prestataires de services informatiques
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à
l'actualité (ou à la disponibilité) des informations de gestion.
• Nombre d'incidents de processus métier causés par la nondisponibilité des
informations
1. Le référentiel de configuration est précis, complet et à jour. • Nombre d'écarts entre le référentiel de configuration et la configuration réelle
• Nombre d'écarts liés à des informations de configuration incomplètes ou

manquantes

liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
R
di
o
R
d'il
R
id
s'l
Rd
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
efn
prsodeefan
éa
oa
C
E
S
dl
tjoroelrPiC
P
d(
p
toirpuoscfeneéa
eriansneociitvsreeG
d
s
rxeta
soep
toirpuoscfene
nitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
auietesrlueaaB
gvl
d
ssu
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
iem
o
iap
uo
tnaiotm
rqtsitnianom
étué
noitraum
a
sgrtg
srnuo
nm
n
nm
uro
efiig
tnrue
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
sce
éetlib
sersiu
elsbea
aua
noeietlb
Pratique de gestion
BAI10.01
Établir et maintenir un modèle C CCCIARR
de configuration.
BAI10.02
Établir et maintenir un
CRARR
référentiel de configuration et une
base de référence.
BAI10.03
Maintenir et contrôler les ACRRRC
éléments de configuration.
BAI10.04
Produire des rapports d'état et de je je ICCARI
configuration.
BAI10.05
Vérifier et examiner l'intégrité du je R. ARR R.
référentiel de configuration.
167
BAI10.01 Établir et maintenir un modèle de Depuis Description Description À
configuration.
BAI07.06 Plan de sortie Portée du modèle de gestion Interne
Établir et maintenir un modèle logique des services, des
de configuration
actifs et de l'infrastructure et comment enregistrer les éléments de
configuration (CI) et les relations entre eux. Incluez les CI jugés Modèle de configuration Interne
nécessaires pour gérer efficacement les services et pour fournir une logique
description unique et fiable des actifs d'un service.
Activités
1. Définir et convenir de la portée et du niveau de détail de la gestion de la configuration (c'estàdire quels services, actifs et infrastructures configurables
éléments à inclure).
2. Établir et maintenir un modèle logique pour la gestion de la configuration, comprenant des informations sur les types d'éléments de configuration, les attributs des éléments de configuration,
types de relation, attributs de relation et codes de statut.
BAI10.02 Établir et maintenir un référentiel de configuration et une Depuis Description Description À
base de référence.
BAI09.05 Registre des licences de Référentiel de configuration BAI09.01
Établissez et maintenez un référentiel de gestion de configuration
logiciels DSS02.01
et créez des lignes de base de configuration contrôlées.
Base de référence de configuration BAI03.11
Activités
1. Identifiez et classez les éléments de configuration et remplissez le référentiel.
2. Créer, examiner et convenir formellement des bases de configuration d'un service, d'une application ou d'une infrastructure.
BAI10.03 Maintenir et contrôler les éléments de configuration. Depuis Description Description À
Maintenez un référentiel à jour des éléments de configuration en le

BAI06.03 Rapports sur l'état des Référentiel mis à jour avec des DSS02.01
remplissant avec les modifications.
demandes de modification éléments de configuration
BAI09.01 BAI03.11
tm
C
a
e
• Résultats des contrôles Modifications approuvées

d'inventaire physique de la référence
• Registre des actifs
BAI09.03 • Retraits d'actifs

autorisés
• Révisions du registre des actifs
Activités
1. Identifiez régulièrement toutes les modifications apportées aux éléments de configuration.
2. Examinez les modifications proposées aux éléments de configuration par rapport à la référence pour garantir l'exhaustivité et l'exactitude.
3. Mettez à jour les détails de configuration pour les modifications approuvées des éléments de configuration.
4. Créez, examinez et acceptez formellement les modifications apportées aux lignes de base de configuration chaque fois que nécessaire.
BAI10.04 Produire des rapports d'état et de configuration. Depuis Description Description À
Définir et produire des rapports de configuration sur les

BAI09.01 Résultats des contrôles Rapports sur l'état de la BAI03.11
changements d'état des éléments de configuration.
d'inventaire physique configuration DSS02.01
Activités
1. Identifiez les changements d’état des éléments de configuration et établissez un rapport par rapport à la ligne de base.
2. Faites correspondre toutes les modifications de configuration avec les demandes de modification approuvées pour identifier toute modification non autorisée. Signaler les modifications non autorisées à
gestion du changement.
3. Identifier les exigences en matière de reporting de toutes les parties prenantes, y compris le contenu, la fréquence et les médias. Produire des rapports selon les
besoins identifiés.
168
Chapitre 5
œuvre
acquér
mettre
Constr
Vérifier et examiner l'intégrité du référentiel de configuration. Depuis Description Description À
Résultats de la Interne
Examinez périodiquement le référentiel de configuration et vérifiez
vérification
qu'il est complet et correct par rapport à la cible souhaitée.
physique des éléments de configuration
Déviations de licence MEA03.03
Résultats des examens Interne
de l'exhaustivité du référentiel
Activités
1. Vérifiez périodiquement les éléments de configuration en direct par rapport au référentiel de configuration en comparant les configurations physiques et logiques et en utilisant les
outils de découverte, selon les besoins.
2. Signalez et examinez tous les écarts pour les corrections approuvées ou les actions visant à supprimer tout actif non autorisé.
en
3. Vérifiez périodiquement que tous les éléments de configuration physique, tels que définis dans le référentiel, existent physiquement. Signalez tout écart à la direction.
4. Définissez et examinez périodiquement l'objectif d'exhaustivité du référentiel de configuration en fonction des besoins de l'entreprise.
5. Comparer périodiquement le degré d'exhaustivité et d'exactitude par rapport aux objectifs et prendre des mesures correctives, si nécessaire, pour améliorer la qualité du
et
données du référentiel.
ISO/CEI 20000 9.1 Gestion des configurations
ITIL V3 2011 Transition des services, 4.3 Gestion des actifs de service et de la configuration
169

tm
C
a
e
170
assistanc
Chapitre 5
Livraison,
service
Livraison, service et support (DSS)
01 Gérer les opérations.
02 Gérer les demandes de service et les incidents.
03 Gérer les problèmes.
et
04 Gérer la continuité.
05 Gérer les services de sécurité.
06 Gérer les contrôles des processus métier.
171

etia
ivirsrvs
asctisa
e,cnnoe L
e
s
172
Livraison
Chapitre 5
assistan
Domaine : Gestion
DSS01 Gérer les opérations Domaine : livraison, service et support
service
Coordonner et exécuter les activités et les procédures opérationnelles nécessaires à la fourniture de services informatiques internes et externalisés, y compris l'exécution de procédures
opérationnelles standard prédéfinies et les activités de surveillance requises.

Fournir les résultats des services opérationnels informatiques comme prévu.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et
Programmes commerciaux informatiques couverts par l’évaluation des risques
1. Les activités opérationnelles sont réalisées selon les besoins et selon le calendrier. • Nombre de procédures opérationnelles non standards exécutées
et
• Nombre d'incidents causés par des problèmes opérationnels
2. Les opérations sont surveillées, mesurées, signalées et corrigées. • Ratio d'événements par rapport au nombre d'incidents
• Pourcentage de types d'événements opérationnels critiques couverts par des systèmes
de détection automatique
Carte RACI DSS01

liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
dcl
a
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
aprsésoep
nsqe
sé
eéé
sessitrnpaeertgnie
iapsmssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
taéo
tm
pv
laedrtiécsn
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
im
o
tnaiotm
rqtsitnianom
uo
étué
ae
noitraum
/semme)aésgrtg
srnuo
nm
n
nm
uro
efiig
tnrue
elbaéstsn
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
DSS01.01
UN CCC
Exécuter les procédures opérationnelles.
DSS01.02
je UN R.
Gérer les services informatiques externalisés.
DSS01.03
je C je CI Californie CC
Surveiller l'infrastructure informatique.
DSS01.04
je Californie CCCICR IRI
Gérer l'environnement.
DSS01.05
je Californie CCCICR IRI
Gérer les installations.
173
DSS01 Pratiques de processus, entrées/sorties et activités
Pratique de gestion DSS01.01 Contributions Les sorties
Exécuter les procédures opérationnelles. Depuis Description Description À
Maintenir et exécuter les procédures opérationnelles et les tâches

BAI05.05 Plan d'exploitation et d'utilisation Calendrier opérationnel Interne
opérationnelles de manière fiable et cohérente.
Journal de sauvegarde Interne
Activités
1. Développer et maintenir des procédures opérationnelles et des activités connexes pour soutenir tous les services fournis.
2. Maintenir un calendrier des activités opérationnelles, exécuter les activités et gérer les performances et le débit des activités planifiées.
3. Vérifier que toutes les données attendues pour le traitement sont reçues et traitées de manière complète, précise et en temps opportun. Livrer des résultats conformément
avec les exigences de l'entreprise. Prise en charge des besoins de redémarrage et de retraitement. Assurezvous que les utilisateurs reçoivent les bons résultats de manière sécurisée et en temps opportun.
4. Veiller à ce que les normes de sécurité applicables soient respectées pour la réception, le traitement, le stockage et la sortie des données d'une manière qui répond aux objectifs de l'entreprise, à la
la politique de sécurité et les exigences réglementaires de l'entreprise.
5. Planifiez, effectuez et enregistrez des sauvegardes conformément aux politiques et procédures établies.
DSS01.02 Gérer les services informatiques externalisés. Depuis Description Description À
Gérer le fonctionnement des services informatiques externalisés

APO09.03 • OLA Plans d’assurance indépendants MEA02.06
pour maintenir la protection des informations de l'entreprise et la
• SLA
fiabilité de la prestation de services.
BAI05.05 Plan d'exploitation et d'utilisation
Activités
1. S'assurer que les exigences de l'entreprise en matière de sécurité des processus d'information sont respectées conformément aux contrats et aux SLA avec des tiers.
parties hébergeant ou fournissant des services.
2. Veiller à ce que les exigences opérationnelles et les priorités en matière de traitement informatique de l'entreprise pour la prestation de services soient respectées conformément aux contrats et aux
SLA avec des tiers hébergeant ou fournissant des services.
3. Intégrer les processus critiques de gestion informatique interne à ceux des prestataires de services externalisés, couvrant par exemple la planification des performances et des capacités,
gestion des changements, gestion de la configuration, gestion des demandes de service et des incidents, gestion des problèmes, gestion de la sécurité, continuité des activités et surveillance des
performances des processus et des rapports.
4. Planifier un audit indépendant et une assurance des environnements opérationnels des fournisseurs externalisés pour confirmer que les exigences convenues sont respectées.
adéquatement abordée.
DSS01.03 Surveiller l'infrastructure informatique. Depuis Description Description À

Surveiller l’infrastructure informatique et les événements associés.
BAI03.11 Définitions de services Règles de surveillance des actifs et DSS02.01
Conserver suffisamment d'informations chronologiques dans les
conditions des événements DSS02.02
journaux d'opérations pour permettre la reconstruction, l'examen et
l'examen des séquences temporelles des opérations et des autres Journaux d'événements Interne
activités entourant ou soutenant les opérations.

Billets d'incident DSS02.02
Activités
1. Consigner les événements, en identifiant le niveau d'informations à enregistrer en fonction du risque et des performances.
2. Identifier et maintenir une liste des actifs d'infrastructure qui doivent être surveillés en fonction de la criticité du service et de la relation entre la configuration
etia
ivirsrvs
asctisa
e,cnnoe L
e
s
les biens et services qui en dépendent.
3. Définir et mettre en œuvre des règles qui identifient et enregistrent les dépassements de seuils et les conditions des événements. Trouvez un équilibre entre la génération d’événements mineurs
parasites et d’événements importants afin que les journaux d’événements ne soient pas surchargés d’informations inutiles.
4. Produire des journaux d'événements et les conserver pendant une période appropriée pour faciliter les enquêtes futures.
5. Établir des procédures de surveillance des journaux d'événements et effectuer des examens réguliers.
6. Assurezvous que les tickets d'incident sont créés en temps opportun lorsque la surveillance identifie des écarts par rapport aux seuils définis.
174
assistanc
Chapitre 5
Livraison,
DSS01 Pratiques de processus, entrées/sorties et activités (suite)
Gérer l'environnement. Depuis Description Description À
Maintenir des mesures de protection contre les facteurs environnementaux.

Politiques environnementales APO01.08
Installer des équipements et des dispositifs spécialisés pour surveiller et
contrôler l’environnement. Rapports sur les polices d'assurance MEA03.03
service
Activités
1. Identifiez les catastrophes naturelles et d'origine humaine qui pourraient survenir dans la zone dans laquelle se trouvent les installations informatiques. Évaluer l’effet potentiel sur
les installations informatiques.
2. Identifiez comment les équipements informatiques, y compris les équipements mobiles et hors site, sont protégés contre les menaces environnementales. Veiller à ce que la politique limite ou exclue
le fait de manger, de boire et de fumer dans les zones sensibles, et interdise le stockage de papeterie et autres fournitures présentant un risque d'incendie dans les salles informatiques.
3. Situer et construire des installations informatiques pour minimiser et atténuer la vulnérabilité aux menaces environnementales.
4. Surveillez et entretenez régulièrement les appareils qui détectent de manière proactive les menaces environnementales (par exemple, le feu, l'eau, la fumée, l'humidité).
5. Répondez aux alarmes environnementales et autres notifications. Documenter et tester les procédures, qui doivent inclure la priorisation des alarmes et le contact
avec les autorités locales d'intervention d'urgence et former le personnel à ces procédures.
6. Comparez les mesures et les plans d'urgence avec les exigences de la police d'assurance et rapportez les résultats. Traiter les points de nonconformité de manière
en temps opportun.
7. Veiller à ce que les sites informatiques soient construits et conçus pour minimiser l'impact des risques environnementaux (par exemple, vol, air, incendie, fumée, eau, vibrations, terreur, vandalisme, produits
chimiques, explosifs). Envisagez des zones de sécurité spécifiques et/ou des cellules ignifuges (par exemple, en éloignant les environnements/serveurs de production et de développement les uns des autres).
8. Maintenir les sites informatiques et les salles de serveurs propres et sécuritaires à tout moment (c'estàdire pas de dégâts, pas de boîtes de papier ou de carton, pas de poubelles remplies, pas de
produits chimiques ou de matériaux inflammables).
DSS01.05 Gérer les installations. Depuis Description Description À
Gérer les installations, y compris les équipements électriques et de

Rapports d'évaluation des MEA01.03
communication, conformément aux lois et réglementations, aux exigences
installations
techniques et commerciales, aux spécifications du fournisseur et aux
directives de santé et de sécurité. Santé et sécurité Interne
et
conscience
Activités
1. Examiner les exigences des installations informatiques en matière de protection contre les fluctuations et les pannes de courant, conjointement avec d'autres exigences en matière de planification de la
continuité des activités. Procurezvous des équipements d'alimentation sans interruption appropriés (par exemple, batteries, générateurs) pour soutenir la planification de la continuité des activités.
2. Testez régulièrement les mécanismes de l'alimentation sans coupure et assurezvous que l'alimentation peut être commutée sur l'alimentation sans aucun effet significatif sur
Operations commerciales.
3. Assurezvous que les installations hébergeant les systèmes informatiques disposent de plusieurs sources pour les services publics dépendants (par exemple, électricité, télécommunications, eau, gaz).
Séparez l’entrée physique de chaque service public.
4. Confirmez que le câblage externe au site informatique est situé sous terre ou dispose d'une protection alternative appropriée. Déterminez que le câblage du site informatique est contenu dans des conduits
sécurisés et que l'accès aux armoires de câblage est réservé au personnel autorisé. Protégez correctement le câblage contre les dommages causés par le feu, la fumée, l'eau, les interceptions et les
interférences.
5. Assurezvous que le câblage et les correctifs physiques (données et téléphone) sont structurés et organisés. Les structures de câblage et de conduits doivent être documentées
(par exemple, plan de construction et schémas de câblage).
6. Analyser les installations hébergeant les systèmes à haute disponibilité pour les exigences de redondance et de basculement en matière de câblage (externe et interne).
7. Veiller à ce que les sites et installations informatiques soient en conformité continue avec les lois, réglementations, directives et spécifications des fournisseurs en matière de santé et de sécurité.
8. Éduquer régulièrement le personnel sur les lois, les réglementations et les directives pertinentes en matière de santé et de sécurité. Former le personnel aux exercices d'incendie et de sauvetage pour
garantir les connaissances et les mesures prises en cas d'incendie ou d'incidents similaires.
9. Enregistrer, surveiller, gérer et résoudre les incidents liés aux installations conformément au processus de gestion des incidents informatiques. Mettre à disposition des rapports sur les installations
incidents pour lesquels la divulgation est requise en termes de lois et de réglementations.
10. S'assurer que les sites et équipements informatiques sont entretenus conformément aux intervalles d'entretien et aux spécifications recommandés par le fournisseur. La maintenance
doit être effectué uniquement par du personnel autorisé.
11. Analyser les modifications physiques des sites ou locaux informatiques pour réévaluer le risque environnemental (par exemple, incendie ou dégâts des eaux). Communiquer les résultats de cette analyse à
la continuité des activités et à la gestion des installations.
Directives connexes DSS01
ITIL V3 2011 Exploitation des services, 4.1 Gestion des événements
175

etia
ivirsrvs
asctisa
e,cnnoe L
e
s
176
assistanc
Chapitre 5
Livraison,
Domaine : Gestion
DSS02 Gérer les demandes de service et les incidents Domaine : livraison, service et support
Fournir une réponse rapide et efficace aux demandes des utilisateurs et résoudre tous les types d’incidents. Rétablir le service normal ; enregistrer et répondre aux demandes des utilisateurs ; et enregistrer, enquêter, diagnostiquer,
faire remonter et résoudre les incidents.
service
Augmentez votre productivité et minimisez les interruptions grâce à une résolution rapide des requêtes et des incidents des utilisateurs.
risques.
1. Les services liés à l'informatique sont disponibles. • Nombre et pourcentage d'incidents entraînant une perturbation des processus
critiques pour l'entreprise
• Temps moyen entre les incidents selon le service informatique
2. Les incidents sont résolus selon les niveaux de service convenus. • Pourcentage d'incidents résolus dans un délai convenu/acceptable
de temps
3. Les demandes de service sont traitées selon les niveaux de service convenus et à la satisfaction des • Niveau de satisfaction des utilisateurs concernant le traitement des demandes de service
utilisateurs. • Temps moyen écoulé pour traiter chaque type de demande de service
et
177
Tableau RACI DSS02
liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
id
s'l
coaR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
iuéontpiivtssnitee
eéé
sessitrnpaeertgnie
itesrlueaaB
g
d
vl
ssu
sé
o'C
d
nsqe
tiduA
taéo
tm
laedrtiécsn
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
ae
sgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
DSS02.01
Définir les systèmes de classification C je je ACRR RCCC
des incidents et des demandes de service.
DSS02.02
Enregistrer, classer et prioriser les je je je UN R. je
demandes et les incidents.
DSS02.03
Vérifier, approuver et exécuter les R. je FR UN
demandes de service.
DSS02.04
Enquêter, diagnostiquer et attribuer R. je je je je je CR CA

les incidents.
DSS02.05
Résoudre les incidents et je je je CCI FR RA C
s'en remettre.
DSS02.06
Clôture des demandes de je je je je je je IA IR je
service et des incidents.
DSS02.07
Suivre l'état et produire je je je je je je IA RI
des rapports.
DSS02.01 Définir les systèmes de classification des incidents et des Depuis Description Description À
demandes de service.
APO09.03 SLA Schémas et modèles de Interne
Définir des schémas et des modèles de classification des incidents et
classification des incidents et
des demandes de service.
des demandes de service
BAI10.02 Référentiel de configuration Règles de remontée des Interne

incidents
BAI10.03 Référentiel mis à jour avec des Critères d'enregistrement DSS03.01
éléments de configuration des problèmes

etia
asctisaivirsrvs
e,cnnoe L
e
s
BAI10.04 Rapports sur l'état de la configuration
DSS01.03 Règles de surveillance des actifs et

conditions des événements
DSS03.01 Schéma de classification des

problèmes
DSS04.03 Actions et communications de

réponse aux incidents
Activités
1. Définir des schémas et des critères de classification et de priorisation des incidents et des demandes de service pour l'enregistrement des problèmes, afin de garantir des approches cohérentes pour
manipulation, information des utilisateurs et analyse des tendances.
2. Définir des modèles d'incidents pour les erreurs connues afin de permettre une résolution efficace et efficiente.
3. Définissez des modèles de demande de service en fonction du type de demande de service pour permettre une assistance autonome et un service efficace pour les demandes standard.
4. Définir les règles et procédures de remontée des incidents, notamment pour les incidents majeurs et les incidents de sécurité.
5. Définir les incidents et demander les sources de connaissances et leur utilisation.
178
assistanc
Chapitre 5
Livraison,
Enregistrer, classer et hiérarchiser les demandes et les incidents. Depuis Description Description À
APO09.03 SLA Journal des incidents et des Interne

Identifiez, enregistrez et classifiez les demandes de service et
demandes de service
les incidents, et attribuez une priorité en fonction de la criticité de
service
l'entreprise et des accords de service. BAI04.05 Procédure d'escalade Incidents et demandes de service APO08.03
d'urgence classifiés et priorisés APO09.04

APO13.03
DSS01.03 • Billets d'incident
• Règles de surveillance des actifs

et conditions des événements
DSS05.07 Billets d'incident de sécurité
Activités
1. Enregistrez toutes les demandes de service et incidents, en enregistrant toutes les informations pertinentes afin qu'ils puissent être traités efficacement et qu'un enregistrement historique complet puisse
être maintenu.
2. Pour permettre l'analyse des tendances, classez les demandes de service et les incidents en identifiant le type et la catégorie.
3. Hiérarchisez les demandes de service et les incidents en fonction de la définition du service SLA de l'impact commercial et de l'urgence.
DSS02.03 Vérifier, approuver et exécuter les demandes de service. Depuis Description Description À
Sélectionnez les procédures de demande appropriées et vérifiez que

APO12.06 Causes profondes liées au risque Demandes de service approuvées BAI06.01
les demandes de service répondent aux critères de demande définis.
Obtenez l’approbation, si nécessaire, et répondez aux demandes. Demandes de service satisfaites Interne
Activités
1. Vérifiez le droit aux demandes de service en utilisant, si possible, un flux de processus prédéfini et des modifications standard.
2. Obtenir l'approbation ou l'approbation financière et fonctionnelle, si nécessaire, ou des approbations prédéfinies pour les modifications standard convenues.
3. Répondez aux demandes en exécutant la procédure de demande sélectionnée, en utilisant, si possible, des menus automatisés d'autoassistance et des modèles de demande prédéfinis.
pour les articles fréquemment demandés.
et
Enquêter, diagnostiquer et attribuer les incidents. Depuis Description Description À
BAI07.07 Plan d'assistance supplémentaire Symptômes d'incident Interne

Identifiez et enregistrez les symptômes de l'incident, déterminez
les causes possibles et attribuezles à la résolution. Journal des problèmes DSS03.01
Activités
1. Identifier et décrire les symptômes pertinents pour établir les causes les plus probables des incidents. Référencer les ressources de connaissances disponibles (y compris
erreurs et problèmes connus) pour identifier les résolutions possibles des incidents (solutions temporaires et/ou solutions permanentes).
2. Si un problème connexe ou une erreur connue n'existe pas déjà et si l'incident répond aux critères convenus pour l'enregistrement du problème, enregistrez un nouveau problème.
3. Attribuez les incidents à des fonctions spécialisées si une expertise plus approfondie est nécessaire et engagez le niveau de direction approprié, où et si nécessaire.
DSS02.05 Résoudre les incidents et s'en remettre. Depuis Description Description À
Documenter, appliquer et tester les solutions ou solutions de

APO12.06 Plans de réponse aux Résolutions d'incidents DSS03.04
contournement identifiées et effectuer des actions de récupération pour
incidents liés aux risques
restaurer le service informatique.
DSS03.03 Enregistrements d'erreurs connues
DSS03.04 Communication des
connaissances acquises
Activités
1. Sélectionnez et appliquez les résolutions d'incidents les plus appropriées (solution de contournement temporaire et/ou solution permanente).
2. Enregistrez si des solutions de contournement ont été utilisées pour la résolution des incidents.
3. Effectuez des actions de récupération, si nécessaire.
4. Documenter la résolution des incidents et évaluer si la résolution peut être utilisée comme future source de connaissances.
179
DSS02.06 Clôture des demandes de service et des incidents. Depuis Description Description À
Vérifier la résolution satisfaisante de l'incident et/ou l'exécution de la

DSS03.04 Enregistrements de problèmes fermés Demandes de service et APO08.03
demande, et clôturer.
incidents clôturés APO09.04
DSS03.04
Confirmation par l'utilisateur APO08.03
d'une exécution ou d'une

résolution satisfaisante
Activités
1. Vérifiez auprès des utilisateurs concernés (si convenu) que la demande de service a été satisfaite de manière satisfaisante ou que l'incident a été résolu de manière satisfaisante.
2. Clôturez les demandes de service et les incidents.
DSS02.07 Suivre l'état et produire des rapports. Depuis Description Description À
Suivre, analyser et signaler régulièrement les tendances en matière

APO09.03 OLA Rapport sur l'état et les tendances des APO08.03
d'incidents et d'exécution des demandes afin de fournir des informations
incidents APO09.04
pour une amélioration continue. DSS03.01 Rapports sur l'état des problèmes
APO11.04
DSS03.02 Rapports de résolution de problèmes APO12.01
MEA01.03
DSS03.05 Rapports de surveillance de
la résolution des problèmes Demander un rapport sur l'état APO08.03
d'exécution et les tendances APO09.04

APO11.04
MEA01.03
Activités
1. Surveiller et suivre les escalades et les résolutions d'incidents et demander des procédures de traitement pour progresser vers la résolution ou l'achèvement.
2. Identifier les parties prenantes de l'information et leurs besoins en données ou en rapports. Identifiez la fréquence et le support des rapports.
3. Analyser les incidents et les demandes de service par catégorie et type pour établir des tendances et identifier les modèles de problèmes récurrents, de violations des SLA ou
inefficacités. Utilisez les informations comme contribution à la planification de l’amélioration continue.
4. Produisez et distribuez des rapports en temps opportun ou fournissez un accès contrôlé aux données en ligne.
ISO/CEI 20000 • 6.1 Gestion des niveaux de service

• 8.2 Gestion des incidents
OIN 27002 13. Gestion des incidents de sécurité de l'information
ITIL V3 2011 • Exploitation du service, 4.2 Gestion des incidents

• Exploitation du service, 4.3 Exécution des demandes
etia
ivirsrvs
asctisa
e,cnnoe L
e
s
180
assistanc
Chapitre 5
Livraison,
Domaine : Gestion
DSS03 Gérer les problèmes Domaine : livraison, service et support
Identifiez et classez les problèmes et leurs causes profondes et apportez une résolution rapide pour éviter les incidents récurrents. Fournir des recommandations d’améliorations.
service
Augmentez la disponibilité, améliorez les niveaux de service, réduisez les coûts et améliorez le confort et la satisfaction des clients en réduisant le nombre de problèmes opérationnels.
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à l'actualité (ou à la
disponibilité) des informations de gestion.
et
1. Les problèmes informatiques sont résolus afin qu’ils ne se reproduisent plus. • Diminution du nombre d'incidents récurrents causés par des problèmes non
résolus
• Pourcentage d'incidents majeurs pour lesquels des problèmes ont été enregistrés
• Pourcentage de solutions de contournement définies pour les problèmes ouverts
• Pourcentage de problèmes enregistrés dans le cadre de l'activité de gestion proactive des
problèmes.
• Nombre de problèmes pour lesquels une solution satisfaisante abordant les causes profondes a été trouvée
181
Carte RACI DSS03
liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
eéé
sessitrnpaeertgnie
itesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
taéo
tm
laedrtiécsn
tm
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
tneemlbeapspnoole
uo
rqtsitnianom
ae
/semme)aésgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
DSS03.01
CI je je je IRCRR CA
Identifier et classer les problèmes.
DSS03.02
Enquêter et je je DPA FR
diagnostiquer les problèmes.
DSS03.03
UN FR
Générer des erreurs connues.
DSS03.04
CI je je CCICCR UN
Résoudre et clôturer les problèmes.
DSS03.05
Effectuer une gestion C RCC UN
proactive des problèmes.
DSS03.01 Identifier et classer les problèmes. Depuis Description Description À

Définir et mettre en œuvre des critères et des procédures pour APO12.06 Causes profondes liées au risque Schéma de classification des DSS02.01
signaler les problèmes identifiés, y compris la classification, la problèmes
catégorisation et la priorisation des problèmes.
DSS02.01 Critères d'enregistrement Rapports sur l'état des problèmes DSS02.07
des problèmes
DSS02.04 Journal des problèmes Registre des problèmes Interne
Activités
1. Identifiez les problèmes grâce à la corrélation des rapports d'incidents, des journaux d'erreurs et d'autres ressources d'identification des problèmes. Déterminer les niveaux de priorité et
catégorisation pour résoudre les problèmes en temps opportun en fonction du risque commercial et de la définition du service.
2. Gérer formellement tous les problèmes avec accès à toutes les données pertinentes, y compris les informations du système de gestion des changements et la configuration/l'actif informatique.
et les détails de l'incident.
3. Définir des groupes de soutien appropriés pour aider à l'identification du problème, à l'analyse des causes profondes et à la détermination de solutions pour résoudre le problème.
gestion. Déterminez les groupes de support en fonction de catégories prédéfinies, telles que le matériel, le réseau, les logiciels, les applications et les logiciels de support.
4. Définir les niveaux de priorité en consultant l'entreprise pour garantir que l'identification des problèmes et l'analyse des causes profondes sont traitées en temps opportun,
conformément aux SLA convenus. Basez les niveaux de priorité sur l’impact commercial et l’urgence.
ivirsrvsetia
L
e
s
5. Signalez l'état des problèmes identifiés au centre de services afin que les clients et la direction informatique puissent être tenus informés.
asctisa
e,cnnoe
6. Maintenir un catalogue unique de gestion des problèmes pour enregistrer et signaler les problèmes identifiés et établir des pistes d'audit de la gestion des problèmes.
processus, y compris l'état de chaque problème (c'estàdire ouvert, rouvert, en cours ou fermé).
DSS03.02 Enquêter et diagnostiquer les problèmes. Depuis Description Description À

Enquêter et diagnostiquer les problèmes en faisant appel à des experts en APO12.06 Causes profondes liées au risque Interne
Causes profondes des
gestion de sujets pertinents pour évaluer et analyser les
causes profondes. problèmes Rapports de résolution de problèmes DSS02.07
Activités
1. Identifier les problèmes qui peuvent être des erreurs connues en comparant les données d'incidents avec la base de données des erreurs connues et suspectées (par exemple, celles communiquées
par des fournisseurs externes) et classer les problèmes comme une erreur connue.
2. Associez les éléments de configuration concernés à l'erreur établie/connue.
3. Produire des rapports pour communiquer les progrès réalisés dans la résolution des problèmes et pour surveiller l'impact continu des problèmes non résolus. Surveiller l'état de
le processus de gestion des problèmes tout au long de son cycle de vie, y compris les apports de la gestion des modifications et de la configuration.
182
assistanc
Chapitre 5
Livraison,
DSS03.03 Générer des erreurs connues. Depuis Description Description À
Dès que les causes profondes des problèmes sont identifiées, créez
Enregistrements d'erreurs connues DSS02.05
des enregistrements d'erreurs connues et une solution de
contournement appropriée, et identifiez les solutions potentielles. Solutions proposées aux BAI06.01
service
erreurs connues
Activités
1. Dès que les causes profondes des problèmes sont identifiées, créez des enregistrements d’erreurs connues et développez une solution de contournement appropriée.
2. Identifier, évaluer, prioriser et traiter (via la gestion du changement) les solutions aux erreurs connues sur la base d'une analyse de rentabilisation coûtsavantages et d'une stratégie commerciale.
impact et urgence.
DSS03.04 Résoudre et clôturer les problèmes. Depuis Description Description À
Identifiez et lancez des solutions durables s'attaquant à la cause profonde,

DSS02.05 Résolutions d'incidents Enregistrements de problèmes fermés DSS02.06
en soulevant des demandes de changement via le processus de gestion
du changement établi si nécessaire pour résoudre les erreurs. DSS02.06 Demandes de service et Communication des APO08.04
Assurezvous que le personnel concerné est au courant des mesures incidents clôturés connaissances acquises DSS02.05
prises et des plans élaborés pour prévenir de futurs incidents.
Activités
1. Fermez les enregistrements de problèmes soit après confirmation de l'élimination réussie de l'erreur connue, soit après accord avec l'entreprise sur la manière de traiter alternativement le
problème.
2. Informer le service d'assistance du calendrier de résolution du problème, par exemple le calendrier de correction des erreurs connues, la solution de contournement possible ou le fait que le problème
persistera jusqu'à ce que le changement soit mis en œuvre, et les conséquences de l'approche adoptée. Tenez les utilisateurs et les clients concernés informés, le cas échéant.
3. Tout au long du processus de résolution, obtenez des rapports réguliers de la gestion du changement sur les progrès réalisés dans la résolution des problèmes et des erreurs.
4. Surveiller l'impact continu des problèmes et des erreurs connues sur les services.
5. Examiner et confirmer le succès des résolutions de problèmes majeurs.
et
6. Assurezvous que les connaissances acquises lors de l'examen sont intégrées à une réunion d'examen du service avec le client professionnel.
DSS03.05 Effectuer une gestion proactive des problèmes. Depuis Description Description À
Recueillir et analyser les données opérationnelles (en particulier les enregistrements

Rapports de surveillance de DSS02.07
d'incidents et de changements) pour identifier les tendances émergentes
la résolution des problèmes
pouvant indiquer des problèmes. Enregistrez les enregistrements de
problèmes pour permettre l’évaluation. Solutions durables identifiées BAI06.01
Activités
1. Capturez les informations sur les problèmes liés aux changements et incidents informatiques et communiquezles aux principales parties prenantes. Cette communication pourrait prendre la forme de
rapports et de réunions périodiques entre les propriétaires des processus de gestion des incidents, des problèmes, des changements et des configurations pour examiner les problèmes récents et les
actions correctives potentielles.
2. Veiller à ce que les propriétaires de processus et les responsables de la gestion des incidents, des problèmes, des changements et des configurations se réunissent régulièrement pour discuter des problèmes connus.
et les futurs changements prévus.
3. Pour permettre à l'entreprise de surveiller les coûts totaux des problèmes, capturer les efforts de changement résultant des activités du processus de gestion des problèmes
(par exemple, corrections de problèmes et d'erreurs connues) et en rendre compte.
4. Produire des rapports pour surveiller la résolution des problèmes par rapport aux exigences commerciales et aux SLA. Assurer la bonne escalade des problèmes, par exemple,
escalade vers un niveau de gestion supérieur selon des critères convenus, contact avec des fournisseurs externes ou référence au comité consultatif des changements pour augmenter la priorité
d'une demande urgente de changement (RFC) afin de mettre en œuvre une solution de contournement temporaire.
5. Pour optimiser l'utilisation des ressources et réduire les solutions de contournement, suivez les tendances des problèmes.
6. Identifier et initier des solutions durables (correction permanente) s'attaquant à la cause profonde et soulever des demandes de changement via le changement établi
processus de gestion.
ISO/CEI 20000 8.3 Gestion des problèmes
ITIL V3 2011 Opération de service, 4.4 Gestion des problèmes
183

etia
ivirsrvs
asctisa
e,cnnoe L
e
s
184
assistanc
Chapitre 5
Livraison,
Domaine : Gestion
DSS04 Gérer la continuité Domaine : livraison, service et support
Établir et maintenir un plan pour permettre à l'entreprise et à l'informatique de répondre aux incidents et aux perturbations afin de poursuivre le fonctionnement des processus métier critiques et des services
informatiques requis et de maintenir la disponibilité des informations à un niveau acceptable pour l'entreprise.
Énoncé de l'objectif du processus
service
Poursuivre les opérations commerciales critiques et maintenir la disponibilité des informations à un niveau acceptable pour l'entreprise en cas de perturbation importante.
04 Gestion des risques métiers liés à l’informatique • Pourcentage de processus métier critiques, de services informatiques et de programmes
métiers informatiques couverts par une évaluation des risques.
risques.
14 Disponibilité d'informations fiables et utiles pour la prise de décision • Niveau de satisfaction des utilisateurs professionnels quant à la qualité et à l'actualité (ou
à la disponibilité) des informations de gestion.
1. Les informations critiques pour l'entreprise sont disponibles pour l'entreprise conformément aux • Pourcentage de services informatiques répondant aux exigences de disponibilité
niveaux de service minimaux requis. • Pourcentage de restauration réussie et en temps opportun à partir de copies de sauvegarde ou de
supports alternatifs
• Pourcentage de supports de sauvegarde transférés et stockés en toute sécurité
et
2. Une résilience suffisante est en place pour les services critiques. • Nombre de systèmes d'entreprise critiques non couverts par le plan
3. Des tests de continuité de service ont vérifié l'efficacité du plan. • Nombre d'exercices et de tests ayant atteint les objectifs de récupération
• Fréquence des tests
4. Un plan de continuité à jour reflète les exigences commerciales actuelles. • Pourcentage d'améliorations convenues du plan qui ont été reflétées dans le plan
• Pourcentage de problèmes identifiés qui ont ensuite été traités dans le plan
5. Les parties internes et externes ont été formées au plan de continuité. • Pourcentage de parties prenantes internes et externes ayant reçu une formation
• Pourcentage de problèmes identifiés qui ont ensuite été abordés dans les supports de formation
185
Tableau RACI DSS04
liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
eéé
sessitrnpaeertgnie
itesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
taéo
tm
laedrtiécsn
tm
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
tneemlbeapspnoole
uo
rqtsitnianom
ae
/semme)aésgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
DSS04.01
Définir la politique, les objectifs et la ACR C RCC RCR R.
portée de la continuité des activités.
DSS04.02
ACR je CCRRCR R.
Maintenir une stratégie de continuité.
DSS04.03
Élaborer et mettre en œuvre IR ICCRCCR UN
une réponse à la continuité des activités.
DSS04.04
Exercer, tester et réviser IR je FR CR UN
le PCA.
DSS04.05
Réviser, maintenir et améliorer AIR je R. CR R.
le plan de continuité.
DSS04.06
IR R. €€€ UN
Organiser une formation sur le plan de continuité.
DSS04.07
Californie R.
Gérer les arrangements de sauvegarde.
DSS04.08
Effectuer un examen après CR je RCCRR UN
la reprise.
DSS04.01 Définir la politique, les objectifs et la portée de Depuis Description Description À

la continuité des activités.
APO09.03 SLA Politique et objectifs de APO01.04
Définir la politique et la portée de la continuité des activités alignées sur
continuité des activités
les objectifs de l'entreprise et des parties prenantes.
Scénarios d'incidents Interne
perturbateurs
etia
asctisaivirsrvs
e,cnnoe L
e
s
Évaluations des capacités et des Interne

lacunes actuelles en matière
de continuité
Activités
1. Identifier les processus commerciaux et les activités de service internes et externalisés qui sont essentiels aux opérations de l'entreprise ou nécessaires pour respecter les exigences juridiques et/ou légales.
ou des obligations contractuelles.
2. Identifier les principales parties prenantes ainsi que les rôles et responsabilités pour définir et convenir de la politique et de la portée de la continuité.
3. Définir et documenter les objectifs politiques minimaux convenus et la portée de la continuité des activités et intégrer la nécessité d'une planification de la continuité dans le
culture d'entreprise.
4. Identifier les processus opérationnels de support essentiels et les services informatiques associés.
186
assistanc
Chapitre 5
Livraison,
Maintenir une stratégie de continuité. Depuis Description Description À
Évaluez les options de gestion de la continuité des activités et choisissez

APO12.06 • Causes profondes liées au risque Analyses d'impact sur les activités APO12.02
une stratégie de continuité rentable et viable qui garantira la reprise et
• Communications
la continuité de l’entreprise face à un sinistre ou à un autre incident ou Exigences de continuité Interne
service
sur l'impact des risques
perturbation majeur.
Options stratégiques approuvées APO02.05
Activités
1. Identifier les scénarios potentiels susceptibles de donner lieu à des événements susceptibles de provoquer des incidents perturbateurs significatifs.
2. Effectuer une analyse d'impact sur l'entreprise pour évaluer l'impact au fil du temps d'une perturbation des fonctions commerciales critiques et l'effet qu'une perturbation aurait
avoir sur eux.
3. Établir le temps minimum requis pour récupérer un processus métier et prendre en charge l'informatique en fonction d'une durée acceptable d'interruption des activités et
panne maximale tolérable.
4. Évaluer la probabilité de menaces susceptibles d'entraîner une perte de continuité des activités et identifier les mesures qui réduiront la probabilité et l'impact grâce à une meilleure prévention et une
résilience accrue.
5. Analyser les exigences de continuité pour identifier les options commerciales et techniques stratégiques possibles.
6. Déterminer les conditions et les propriétaires des décisions clés qui entraîneront l'invocation des plans de continuité.
7. Identifier les besoins en ressources et les coûts pour chaque option technique stratégique et formuler des recommandations stratégiques.
8. Obtenir l'approbation de la direction commerciale pour les options stratégiques sélectionnées.
DSS04.03 Élaborer et mettre en œuvre une réponse à la Depuis Description Description À
continuité des activités.

APO09.03 OLA Actions et communications de DSS02.01
Élaborer un plan de continuité des activités (PCA) basé sur la stratégie
réponse aux incidents
qui documente les procédures et les informations prêtes à être utilisées en
cas d'incident pour permettre à l'entreprise de poursuivre ses PCA Interne
activités critiques.
Activités
et
1. Définir les actions de réponse aux incidents et les communications à prendre en cas de perturbation. Définir les rôles et responsabilités associés, y compris la responsabilité en matière de politique
et de mise en œuvre.
2. Développer et maintenir des PCA opérationnels contenant les procédures à suivre pour permettre le fonctionnement continu des processus commerciaux critiques et/ou
des modalités de traitement temporaires, y compris des liens vers des plans de prestataires de services externalisés.
3. Assurezvous que les principaux fournisseurs et partenaires externalisés disposent de plans de continuité efficaces. Obtenir des preuves vérifiées si nécessaire.
4. Définir les conditions et les procédures de reprise qui permettraient la reprise des traitements métier, y compris la mise à jour et le rapprochement des
bases de données d’informations pour préserver l’intégrité de l’information.
5. Définir et documenter les ressources nécessaires pour prendre en charge les procédures de continuité et de reprise, en tenant compte des personnes, des installations et de l'infrastructure informatique.
6. Définir et documenter les exigences de sauvegarde des informations requises pour soutenir les plans, y compris les plans et les documents papier ainsi que les fichiers de données,
et considérez le besoin de sécurité et de stockage hors site.
7. Déterminer les compétences requises pour les personnes impliquées dans l'exécution du plan et des procédures.
8. Distribuez les plans et les pièces justificatives en toute sécurité aux parties intéressées dûment autorisées et assurezvous qu'ils sont accessibles sous tous les
scénarios de catastrophe.
187
DSS04.04 Exercer, tester et réviser le PCA. Depuis Description Description À
Tester régulièrement les dispositifs de continuité pour tester les

Objectifs des tests Interne
plans de redressement par rapport à des résultats prédéterminés et
permettre la mise en œuvre de solutions innovantes. Exercices de test Interne
élaborés et aident à vérifier au fil du temps que le plan fonctionnera

Résultats des tests Interne
comme prévu.
et recommandations
Activités
1. Définir les objectifs d'exercice et de test des systèmes commerciaux, techniques, logistiques, administratifs, procéduraux et opérationnels du plan à vérifier
l'exhaustivité du PCA pour faire face aux risques commerciaux.
2. Définir et convenir avec les parties prenantes d'exercices réalistes, valider les procédures de continuité et inclure les rôles, les responsabilités et les données
des dispositions de rétention qui perturbent le moins possible les processus opérationnels.
3. Attribuez des rôles et des responsabilités pour effectuer les exercices et les tests du plan de continuité.
4. Planifier les exercices et les activités de tests tels que définis dans le plan de continuité.
5. Effectuer un débriefing et une analyse postexercice pour évaluer la réussite.
6. Élaborer des recommandations pour améliorer le plan de continuité actuel sur la base des résultats de l'examen.
DSS04.05 Réviser, maintenir et améliorer le plan de continuité. Depuis Description Description À
Résultats des revues des plans Interne

Effectuer un examen de la direction de la capacité de continuité
à intervalles réguliers pour garantir son adéquation, son adéquation Modifications recommandées Interne
et son efficacité continues. Gérer les modifications apportées aux plans

au plan conformément au processus de contrôle des changements
pour garantir que le plan de continuité est tenu à jour et reflète
continuellement les exigences commerciales réelles.
Activités
1. Examiner régulièrement le plan de continuité et les capacités par rapport aux hypothèses formulées et aux objectifs opérationnels et stratégiques actuels de l'entreprise.
2. Déterminez si une évaluation révisée de l’impact sur les entreprises peut être nécessaire, selon la nature du changement.
3. Recommander et communiquer les changements apportés aux politiques, aux plans, aux procédures, à l'infrastructure, ainsi qu'aux rôles et responsabilités, pour approbation par la direction et
traitement via le processus de gestion du changement.
4. Examiner régulièrement le plan de continuité pour prendre en compte l'impact des changements nouveaux ou majeurs sur : l'organisation de l'entreprise, les processus métier,
les accords d'externalisation, les technologies, l'infrastructure, les systèmes d'exploitation et les systèmes d'application.
Organiser une formation sur le plan de continuité. Depuis Description Description À
Offrir à toutes les parties internes et externes concernées des sessions

HEURE
Liste du personnel Exigences de formation APO07.03
de formation régulières concernant les procédures et leurs rôles et
nécessitant une formation
responsabilités en cas de perturbation. Suivi des résultats des aptitudes APO07.03
et compétences
Activités
etia
ivirsrvs
asctisa
e,cnnoe L
e
s
1. Définir et maintenir les exigences et les plans de formation pour ceux qui effectuent la planification de la continuité, les évaluations d'impact, les évaluations des risques, la communication
avec les médias et la réponse aux incidents. Veiller à ce que les plans de formation tiennent compte de la fréquence de la formation et des mécanismes de prestation de la formation.
2. Développer des compétences basées sur une formation pratique comprenant la participation à des exercices et des tests.
3. Surveiller les aptitudes et les compétences en fonction des résultats des exercices et des tests.
188
assistanc
Chapitre 5
Livraison,
Gérer les arrangements de sauvegarde. Depuis Description Description À
Maintenir la disponibilité des informations critiques pour l’entreprise.

Résultats des tests des données de sauvegarde Interne
Activités
service
1. Sauvegarder les systèmes, les applications, les données et la documentation selon un calendrier défini, en tenant compte :
• Fréquence (mensuelle, hebdomadaire, quotidienne, etc.)
• Mode de sauvegarde (par exemple, mise en miroir de disque pour des sauvegardes en temps réel ou DVDROM pour une conservation à
long terme) • Type de sauvegarde (par exemple, complète
ou incrémentielle) •
Type de support • Sauvegardes en ligne
automatisées • Types de données (par
exemple, vocales,
optiques) • Création de journaux • Données informatiques critiques de
l'utilisateur final (par exemple, feuilles de calcul) • Emplacement
physique et logique des sources de
données • Sécurité et droits d'accès • Chiffrement
2. Veiller à ce que les systèmes, applications, données et documentations conservés ou traités par des tiers soient correctement sauvegardés ou autrement sécurisés.
Pensez à exiger le retour des sauvegardes de tiers. Envisagez des modalités de dépôt ou de dépôt.
3. Définir les exigences en matière de stockage sur site et hors site des données de sauvegarde qui répondent aux exigences de l'entreprise. Considérez l’accessibilité requise pour
sauvegarder les données.
4. Déployer la sensibilisation et la formation aux PCA.
5. Testez et actualisez périodiquement les données archivées et sauvegardées.
DSS04.08 Effectuer un examen après la reprise. Depuis Description Description À
Évaluer l'adéquation du PCA après la reprise réussie des

Rapport d'examen Interne
processus et services commerciaux après une interruption.
postreprise
Modifications approuvées BAI06.01
aux plans
et
Activités
1. Évaluer le respect du PCA documenté.
2. Déterminer l'efficacité du plan, les capacités de continuité, les rôles et responsabilités, les aptitudes et compétences, la résilience à l'incident, les aspects techniques.
l’infrastructure, ainsi que les structures et relations organisationnelles.
3. Identifier les faiblesses ou les omissions dans le plan et les capacités et formuler des recommandations d'amélioration.
4. Obtenez l'approbation de la direction pour toute modification apportée au plan et appliquezla via le processus de contrôle des modifications de l'entreprise.
BS 25999:2007 Norme de continuité des activités
ISO/CEI 20000 6.3 Gestion de la continuité de service et de la disponibilité
ISO/CEI 27002:2011 14. Gestion de la continuité des activités
ITIL V3 2011 Conception des services, 4.6 Gestion de la continuité des services informatiques
189

etia
ivirsrvs
asctisa
e,cnnoe L
e
s
190
assistanc
Chapitre 5
Livraison,
Domaine : Gestion
DSS05 Gérer les services de sécurité Domaine : livraison, service et support
Protéger les informations de l'entreprise pour maintenir le niveau de risque de sécurité des informations acceptable pour l'entreprise conformément à la politique de sécurité.
Établir et maintenir des rôles de sécurité des informations et des privilèges d'accès et effectuer une surveillance de la sécurité.
service
Minimisez l’impact commercial des vulnérabilités et des incidents opérationnels en matière de sécurité des informations.

risques.
embarras public

• Temps nécessaire pour accorder, modifier et supprimer les privilèges d'accès, par rapport aux
niveaux de service convenus.
et
1. La sécurité des réseaux et des communications répond aux besoins des entreprises. • Nombre de vulnérabilités découvertes
• Nombre de violations du parefeu
2. Les informations traitées, stockées et transmises par les appareils terminaux sont protégées. • Pourcentage de personnes bénéficiant d'une formation de sensibilisation relative à l'utilisation des
terminaux.
• Nombre d'incidents impliquant des terminaux

• Nombre d'appareils non autorisés détectés sur le réseau ou dans le
environnement de l'utilisateur final
3. Tous les utilisateurs sont identifiables de manière unique et disposent de droits d'accès conformément • Délai moyen entre changement et mise à jour des comptes
avec leur rôle commercial. • Nombre de comptes (par rapport au nombre d'utilisateurs/personnel autorisés)
4. Des mesures physiques ont été mises en œuvre pour protéger les informations contre tout accès non • Pourcentage de tests périodiques des dispositifs de sécurité environnementale
autorisé, tout dommage et toute interférence lors de leur traitement, stockage ou transmission. • Note moyenne pour les évaluations de sécurité physique
• Nombre d'incidents liés à la sécurité physique
5. Les informations électroniques sont correctement sécurisées lorsqu'elles sont stockées, transmises • Nombre d'incidents liés à un accès non autorisé à l'information
ou détruites.
191
Tableau RACI DSS05
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
R
d'il
R
ids'l
R
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
ids'l
étimrofnoC
etrcoefrneiD
Id'l
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
éa
o
rxeta
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
gvl
d
toirpuoscfene
iapsmssu
pvsé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
tm
laedrtiécsn
auietesrlue
tm
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
lbeapspnoole
uo
rqtsitnianom
e
a
/semme)aésgrtg
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
DSS05.01
RI Californie RCCCIRR IR
Protéger contre les logiciels malveillants.
DSS05.02
Gérer la sécurité du je Californie CCCIRR IR
réseau et de la connectivité.
DSS05.03
je Californie CCCIRR IR
Gérer la sécurité des points de terminaison.
DSS05.04
Gérer l'identité des utilisateurs R. Californie ICCCICR IR C
et l'accès logique.
DSS05.05
Gérer l'accès physique aux je Californie CCCICR IRI
actifs informatiques.
DSS05.06
Gérer les documents sensibles et je DPA R.
les périphériques de sortie.
DSS05.07
Surveiller l'infrastructure pour détecter je C IA CCCICR IRI je
les événements liés à la sécurité.
DSS05.01 Protéger contre les logiciels malveillants. Depuis Description Description À

Mettre en œuvre et maintenir en place des mesures préventives,
Politique de prévention APO01.04
de détection et correctives (en particulier des correctifs de
des logiciels malveillants
sécurité et un contrôle des virus à jour) dans toute l'entreprise pour
protéger les systèmes d'information et la technologie contre les Évaluations des APO12.02
logiciels malveillants (par exemple, virus, vers, logiciels espions, spam). menaces potentielles APO12.03
Activités
etia
asctisaivirsrvs
e,cnnoe L
e
s
1. Communiquer la sensibilisation aux logiciels malveillants et appliquer les procédures et responsabilités de prévention.
2. Installez et activez les outils de protection contre les logiciels malveillants sur toutes les installations de traitement, avec des fichiers de définition de logiciels malveillants mis à jour selon les besoins.
(automatiquement ou semiautomatiquement).
3. Distribuez tous les logiciels de protection de manière centralisée (version et niveau de correctif) à l'aide d'une configuration centralisée et d'une gestion des modifications.
4. Examinez et évaluez régulièrement les informations sur les nouvelles menaces potentielles (par exemple, en examinant les avis de sécurité sur les produits et services des fournisseurs).
5. Filtrez le trafic entrant, tel que les emails et les téléchargements, pour vous protéger contre les informations non sollicitées (par exemple, les logiciels espions, les emails de phishing).
6. Organisez des formations périodiques sur les logiciels malveillants dans l'utilisation du courrier électronique et d'Internet. Formez les utilisateurs à ne pas installer de logiciels partagés ou non approuvés.
192
assistanc
Chapitre 5
Livraison,
Gérer la sécurité du réseau et de la Depuis Description Description À
connectivité.
APO01.06 Directives de classification Politique de sécurité de la connectivité APO01.04
Utilisez des mesures de sécurité et des procédures de gestion
des données
associées pour protéger les informations sur toutes les méthodes
service
de connectivité. APO09.03 SLA Résultats des tests d'intrusion MEA02.08
Activités
1. Sur la base des évaluations des risques et des exigences commerciales, établir et maintenir une politique de sécurité de la connectivité.
2. Autorisez uniquement les appareils autorisés à accéder aux informations de l'entreprise et au réseau de l'entreprise. Configurez ces appareils pour forcer la saisie du mot de passe.
3. Mettre en œuvre des mécanismes de filtrage du réseau, tels que des parefeu et des logiciels de détection d'intrusion, avec des politiques appropriées pour contrôler les flux entrants et
trafic sortant.
4. Chiffrez les informations en transit selon leur classification.
5. Appliquez les protocoles de sécurité approuvés à la connectivité réseau.
6. Configurez les équipements réseau de manière sécurisée.
7. Établir des mécanismes fiables pour prendre en charge la transmission et la réception sécurisées des informations.
8. Effectuer des tests d'intrusion périodiques pour déterminer l'adéquation de la protection du réseau.
9. Effectuer des tests périodiques de sécurité du système pour déterminer l'adéquation de la protection du système.
Gérer la sécurité des points finaux. Depuis Description Description À
Assurezvous que les points finaux (par exemple, ordinateur

APO03.02 Modèle d'architecture de Politiques de sécurité APO01.04
portable, ordinateur de bureau, serveur et autres appareils ou
l'information pour les appareils finaux
logiciels mobiles et réseau) sont sécurisés à un niveau égal ou
supérieur aux exigences de sécurité définies pour les informations APO09.03 • OLA
traitées, stockées ou transmises. • SLA
BAI09.01 Résultats des contrôles

d'inventaire physique
et
DSS06.06 Rapports de violations
Activités
1. Configurez les systèmes d'exploitation de manière sécurisée.
2. Mettez en œuvre des mécanismes de verrouillage des appareils.
3. Chiffrez les informations stockées en fonction de leur classification.
4. Gérez l'accès et le contrôle à distance.
5. Gérez la configuration du réseau de manière sécurisée.
6. Implémentez le filtrage du trafic réseau sur les appareils finaux.
7. Protégez l’intégrité du système.
8. Assurer la protection physique des appareils finaux.
9. Jetez les terminaux en toute sécurité.
193
Gérer l'identité des utilisateurs et l'accès logique. Depuis Description Description À
Assurezvous que tous les utilisateurs disposent de droits d'accès aux

APO01.02 Définition des rôles et Droits d'accès des Interne
informations conformément à leurs besoins commerciaux et coordonnez
responsabilités liés à l'informatique utilisateurs approuvés
vous avec les unités commerciales qui gèrent leurs propres droits d'accès
au sein des processus commerciaux. APO03.02 Modèle d'architecture de Résultats des examens des Interne
l'information comptes d'utilisateurs et des privilèges
Activités
1. Maintenir les droits d’accès des utilisateurs conformément aux exigences des fonctions commerciales et des processus. Aligner la gestion des identités et des droits d’accès
les rôles et responsabilités définis, sur la base des principes du moindre privilège, du besoin d’avoir et du besoin de savoir.
2. Identifier de manière unique toutes les activités de traitement de l'information par rôles fonctionnels, en coordination avec les unités commerciales pour garantir que tous les rôles sont cohérents.
définis, y compris les rôles définis par l'entreprise ellemême dans les applications de processus métier.
3. Authentifier tous les accès aux actifs informationnels en fonction de leur classification de sécurité, en coordination avec les unités commerciales qui gèrent l'authentification
au sein des applications utilisées dans les processus métier pour garantir que les contrôles d’authentification ont été correctement administrés.
4. Administrer toutes les modifications apportées aux droits d'accès (création, modifications et suppressions) pour qu'elles prennent effet au moment approprié sur la base uniquement des informations approuvées et
transactions documentées autorisées par les dirigeants désignés.
5. Séparez et gérez les comptes d'utilisateurs privilégiés.
6. Effectuer un examen régulier de la direction de tous les comptes et privilèges associés.
7. S'assurer que tous les utilisateurs (internes, externes et temporaires) et leur activité sur les systèmes informatiques (application métier, infrastructure informatique, opérations système,
développement et maintenance) sont identifiables de manière unique. Identifiez de manière unique toutes les activités de traitement de l’information par utilisateur.
8. Maintenir une piste d'audit de l'accès aux informations classées comme hautement sensibles.
DSS05.05 Gérer l'accès physique aux actifs informatiques. Depuis Description Description À
Définir et mettre en œuvre des procédures pour accorder, limiter

Demandes d'accès approuvées Interne
et révoquer l'accès aux locaux, bâtiments et zones en fonction des
besoins de l'entreprise, y compris les urgences. Journaux d'accès DSS06.03
L'accès aux locaux, bâtiments et zones doit être justifié, autorisé,

enregistré et surveillé. Cela devrait s'appliquer à toutes les personnes
entrant dans les locaux, y compris le personnel, le personnel temporaire,
les clients, les vendeurs, les visiteurs ou tout autre tiers.
Activités
1. Gérer la demande et l'octroi d'accès aux installations informatiques. Les demandes d'accès formelles doivent être complétées et autorisées par
gestion du site informatique, et les enregistrements de demandes conservés. Les formulaires doivent identifier spécifiquement les zones auxquelles la personne a accès.
2. Assurezvous que les profils d'accès restent à jour. Basez l'accès aux sites informatiques (salles de serveurs, bâtiments, zones ou zones) sur la fonction et les responsabilités du poste.
3. Enregistrez et surveillez tous les points d'entrée aux sites informatiques. Enregistrez tous les visiteurs, y compris les entrepreneurs et les fournisseurs, du site.
4. Demandez à tout le personnel d'afficher une pièce d'identité visible à tout moment. Empêcher la délivrance de cartes d'identité ou de badges sans autorisation appropriée.
5. Exiger que les visiteurs soient accompagnés à tout moment lorsqu'ils sont sur place. Si une personne non accompagnée et inconnue qui ne porte pas de pièce d'identité du personnel est identifiée,
alerter le personnel de sécurité.
6. Restreignez l'accès aux sites informatiques sensibles en établissant des restrictions de périmètre, telles que des clôtures, des murs et des dispositifs de sécurité sur les portes intérieures et extérieures.
etia
ivirsrvs
asctisa
e,cnnoe L
e
s
Assurezvous que les appareils enregistrent l’entrée et déclenchent une alarme en cas d’accès non autorisé. Des exemples de tels dispositifs comprennent les badges ou les cartesclés, les claviers, la
télévision en circuit fermé et les scanners biométriques.
7. Organisez régulièrement des formations de sensibilisation à la sécurité physique.
194
assistanc
Chapitre 5
Livraison,
Gérer les documents sensibles et les périphériques de sortie. Depuis Description Description À
APO03.02 Modèle d'architecture de Inventaire des documents Interne

Établissez des mesures de protection physiques, des pratiques
l'information et appareils sensibles
comptables et une gestion des stocks appropriées pour les actifs
service
informatiques sensibles, tels que les formulaires spéciaux, les Privilèges d'accès Interne
instruments négociables, les imprimantes spéciales ou les jetons de sécurité.
Activités
1. Établir des procédures pour régir la réception, l'utilisation, le retrait et l'élimination des formulaires spéciaux et des dispositifs de sortie dans, à l'intérieur et à l'extérieur de l'entreprise.
2. Attribuez des privilèges d'accès aux documents et périphériques de sortie sensibles sur la base du principe du moindre privilège, en équilibrant les risques et les exigences commerciales.
3. Établir un inventaire des documents sensibles et des périphériques de sortie et effectuer des rapprochements réguliers.
4. Établir des protections physiques appropriées sur les formulaires spéciaux et les appareils sensibles.
5. Détruire les informations sensibles et protéger les périphériques de sortie (par exemple, démagnétisation des supports électroniques, destruction physique des périphériques de mémoire, fabrication
déchiqueteuses ou corbeilles à papier verrouillées disponibles pour détruire les formulaires spéciaux et autres documents confidentiels).
DSS05.07 Surveiller l'infrastructure pour détecter les Depuis Description Description À
événements liés à la sécurité.

Journaux d'événements de sécurité Interne
À l’aide d’outils de détection d’intrusion, surveillez l’infrastructure pour
détecter tout accès non autorisé et assurezvous que tous les événements Caractéristiques des Interne
sont intégrés à la surveillance générale des événements et incidents de sécurité
à la gestion des incidents.

Billets d'incident de sécurité DSS02.02
Activités
1. Consigner les événements liés à la sécurité signalés par les outils de surveillance de la sécurité des infrastructures, en identifiant le niveau d'informations à enregistrer en fonction d'une
prise en compte du risque. Conservezles pendant une période appropriée pour faciliter les enquêtes futures.
2. Définir et communiquer la nature et les caractéristiques des incidents potentiels liés à la sécurité afin qu'ils puissent être facilement reconnus ainsi que leurs impacts
compris pour permettre une réponse proportionnée.
3. Examinez régulièrement les journaux d'événements pour détecter les incidents potentiels.
et
4. Maintenir une procédure de collecte de preuves conforme aux règles locales en matière de preuves médicolégales et veiller à ce que tout le personnel soit informé des exigences.
5. Assurezvous que les tickets d'incident de sécurité sont créés en temps opportun lorsque la surveillance identifie des incidents de sécurité potentiels.
ISO/CEI 27002:2011 Code de bonnes pratiques pour la gestion de la sécurité de l'information
NIST SP80053 Rév. 1 Contrôles de sécurité recommandés pour les systèmes d'information fédéraux des ÉtatsUnis
ITIL V3 2011 Exploitation des services, 4.5 Gestion des accès
195

etia
ivirsrvs
asctisa
e,cnnoe L
e
s
196
assistanc
Chapitre 5
Livraison,
Domaine : Gestion
DSS06 Gérer les contrôles des processus métier Domaine : livraison, service et support
Définir et maintenir des contrôles de processus métier appropriés pour garantir que les informations liées et traitées par des processus métier internes ou externalisés satisfont à toutes les exigences pertinentes en matière
de contrôle des informations. Identifier les exigences pertinentes en matière de contrôle de l'information et gérer et mettre en œuvre des contrôles adéquats pour garantir que les informations et le traitement de
l'information satisfont à ces exigences.
service
Maintenir l'intégrité des informations et la sécurité des actifs informationnels traités dans le cadre des processus métier de l'entreprise ou externalisés.
1. La couverture et l’efficacité des contrôles clés pour répondre aux exigences opérationnelles • Pourcentage de l'inventaire complété des processus critiques et des contrôles clés
en matière de traitement des informations sont complètes. • Pourcentage de couverture des contrôles clés dans les plans de test
• Nombre d'incidents et de conclusions du rapport d'audit indiquant une défaillance des contrôles
clés
2. L'inventaire des rôles, des responsabilités et des droits d'accès est aligné sur • Pourcentage de rôles de processus métier dotés de droits d'accès et de niveaux d'autorité attribués.
besoins commerciaux autorisés.
• Pourcentage de rôles liés aux processus métier avec une séparation claire des tâches
• Nombre d'incidents et de conclusions d'audit dus à des violations en matière d'accès ou de séparation
des tâches.
et
3. Les transactions commerciales sont conservées entièrement et comme requis dans les journaux. • Pourcentage d'exhaustivité du journal des transactions traçable
• Nombre d'incidents où l'historique des transactions ne peut pas être récupéré
197
Carte RACI DSS06
liesnoC
ri'D
d
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
toirpuoscfeneéaR
ids'l
dcl
a
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
toirpuoscfeneéaR
ids'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
eéé
sessitrnpaeertgnie
itesrlueaaB
gvl
d
iapsmssu
pvsé
o'C
d
nsqe
tiduA
taéo
tm
laedrtiécsn
tm
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
tneemlbeapspnoole
uo
rqtsitnianom
ae
/semme)aésgrtg
aue
n
srnuo
nm
étué
nm
noitraum
tnrue
uro
elbaéstsn
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
DSS06.01
Aligner les activités de contrôle intégrées
CCCAR je je CCC C CC C
dans les processus métier avec
les objectifs de l'entreprise.
DSS06.02
Contrôler le traitement €RRAR je je CCC C CC
de l'information.
DSS06.03
Gérer les rôles, les responsabilités,
R. RA je CCCI C CR C
les privilèges d'accès et les
niveaux d'autorité.
DSS06.04
je IA CCI C R.
Gérer les erreurs et les exceptions.
DSS06.05
Assurer la traçabilité
Californie je CCC C CC
des événements
d'information et des responsabilités.
DSS06.06
CCCA je je CCC C CCC
Sécuriser les actifs informationnels.
DSS06.01 Aligner les activités de contrôle intégrées Depuis Description Description À

dans les processus métier avec les objectifs de l'entreprise.
APO01.06 • Procédures d'intégrité des données Résultats des examens MEA02.04
Évaluer et surveiller en permanence l'exécution des activités
• Directives de classification de l’efficacité du traitement
des processus métier et des contrôles associés, en fonction du
des données
risque d'entreprise, pour garantir que les contrôles de traitement Analyses des causes BAI06.01
sont alignés sur les besoins de l'entreprise. profondes et recommandations MEA02.04
MEA02.07
MEA02.08
Activités
etia
asctisaivirsrvs
e,cnnoe L
e
s
1. Identifier et documenter les activités de contrôle des processus métier clés pour satisfaire aux exigences de contrôle en matière stratégique, opérationnelle, de reporting et
objectifs de conformité
2. Hiérarchiser les activités de contrôle en fonction du risque inhérent à l'entreprise et identifier les contrôles clés.
3. Assurer la propriété des activités de contrôle clés.
4. Surveiller continuellement les activités de contrôle de bout en bout pour identifier les opportunités d'amélioration.
5. Améliorer continuellement la conception et le fonctionnement des contrôles des processus métier.
198
assistanc
Chapitre 5
Livraison,
DSS06.02 Contrôler le traitement de l'information. Depuis Description Description À
Gérer l'exécution des activités des processus métier et des contrôles

BAI05.05 Plan d'exploitation et d'utilisation Traitement des rapports de contrôle Interne
associés, en fonction du risque d'entreprise, pour garantir que
le traitement des informations est valide, complet, précis, opportun et BAI07.02 Projet de migration
service
sécurisé (c'estàdire qu'il reflète une utilisation commerciale légitime et
autorisée).
Activités
1. Créer des transactions par des personnes autorisées selon des procédures établies, y compris, le cas échéant, une séparation adéquate des tâches concernant l'origination et l'approbation de ces
transactions.
2. Authentifiez l'initiateur des transactions et vérifiez qu'il a le pouvoir d'initier la transaction.
3. Saisissez les transactions en temps opportun. Vérifiez que les transactions sont exactes, complètes et valides. Valider les données saisies et les modifier ou, le cas échéant, les envoyer
retour pour correction aussi près que possible du point d’origine.
4. Corrigez et soumettez à nouveau les données saisies par erreur sans compromettre les niveaux d'autorisation de transaction d'origine. Le cas échéant pour
reconstruction, conserver les documents sources originaux pendant la durée appropriée.
5. Maintenir l'intégrité et la validité des données tout au long du cycle de traitement. S'assurer que la détection des transactions erronées ne perturbe pas le traitement
de transactions valides.
6. Maintenir l'intégrité des données lors d'interruptions inattendues du traitement commercial et confirmer l'intégrité des données après des échecs de traitement.
7. Gérer la sortie de manière autorisée, livrer au destinataire approprié et protéger les informations pendant la transmission. Vérifier l'exactitude et
exhaustivité de la sortie.
8. Avant de transmettre des données de transaction entre les applications internes et les fonctions commerciales/opérationnelles (à l'intérieur ou à l'extérieur de l'entreprise), vérifiez que
adressage, authenticité de l’origine et intégrité du contenu. Maintenir l’authenticité et l’intégrité pendant la transmission ou le transport.
DSS06.03 Gérer les rôles, les responsabilités, les privilèges d'accès Depuis Description Description À
et les niveaux d'autorité.

EDM04.02 Responsabilités assignées pour Rôles et responsabilités APO01.02
Gérer les rôles commerciaux, les responsabilités, les niveaux
la gestion des ressources attribués
d'autorité et la séparation des tâches nécessaires pour soutenir les
objectifs des processus commerciaux. Autoriser l'accès à tous les APO11.01 Rôles, responsabilités et droits de décision Niveaux d'autorité APO01.02
et
actifs informationnels liés aux processus d'information de l'entreprise, y du système de gestion de la qualité attribués
compris ceux sous la garde de l'entreprise, du service informatique
APO13.01 Énoncé du champ d'application du SMSI Droits d'accès attribués APO07.04
et de tiers. Cela garantit que l'entreprise sait où se trouvent les
données et qui les gère en son nom. DSS05.05 Journaux d'accès
Activités
1. Attribuez les rôles et les responsabilités en fonction des descriptions de poste approuvées et des activités de processus métier allouées.
2. Attribuer des niveaux d'autorité pour l'approbation des transactions, des limites et de toute autre décision relative au processus métier, en fonction des rôles professionnels approuvés.
3. Attribuez des droits d'accès et des privilèges en fonction uniquement de ce qui est requis pour effectuer les activités professionnelles, en fonction de rôles professionnels prédéfinis. Supprimer ou réviser
droits d'accès immédiats si le rôle du poste change ou si un membre du personnel quitte le domaine de processus métier. Examinez périodiquement pour vous assurer que l'accès est approprié aux
menaces, aux risques, à la technologie et aux besoins commerciaux actuels.
4. Attribuez des rôles aux activités sensibles afin qu'il y ait une séparation claire des tâches.
5. Assurer régulièrement une sensibilisation et une formation concernant les rôles et les responsabilités afin que chacun comprenne ses responsabilités ; l'importance des contrôles; et
l'intégrité, la confidentialité et la confidentialité des informations de l'entreprise sous toutes leurs formes.
6. Examinez périodiquement les définitions de contrôle d'accès, les journaux et les rapports d'exception pour vous assurer que tous les privilèges d'accès sont valides et alignés sur les membres actuels
du personnel et les rôles qui leur sont attribués.
199
Gérer les erreurs et les exceptions. Depuis Description Description À
Gérez les exceptions et les erreurs des processus métier et facilitez

Preuve de correction MEA02.04
leur correction. Inclure la remontée des erreurs et des exceptions des
d’erreur et de remédiation
processus métier et l'exécution des actions correctives définies.
Cela garantit l’exactitude et l’intégrité du processus d’information Rapports d'erreurs et analyse Interne
commerciale. des causes profondes
Activités
1. Définir et maintenir des procédures pour attribuer la propriété, corriger les erreurs, remplacer les erreurs et gérer les conditions de déséquilibre.
2. Examinez les erreurs, les exceptions et les écarts.
3. Suivre, corriger, approuver et soumettre à nouveau les documents sources et les transactions.
4. Conserver la preuve des mesures correctives.
5. Signalez les erreurs pertinentes dans les processus d'information commerciale en temps opportun pour effectuer une analyse des causes profondes et des tendances.
DSS06.05 Assurer la traçabilité des événements d'information et des Depuis Description Description À
responsabilités.
Exigences de conservation Interne
Assurezvous que les informations commerciales peuvent être
retracées jusqu'à l'événement commercial d'origine et aux parties Enregistrement des transactions Interne
responsables. Cela permet la traçabilité des informations tout au long

de leur cycle de vie et des processus associés. Cela garantit que les
informations qui animent l’entreprise sont fiables et ont été traitées
conformément aux objectifs définis.
Activités
1. Définir les exigences de conservation, en fonction des exigences de l'entreprise, pour répondre aux besoins opérationnels, financiers et de conformité.
2. Capturez les informations sources, les preuves à l’appui et l’enregistrement des transactions.
3. Éliminer les informations sources, les preuves à l'appui et l'enregistrement des transactions conformément à la politique de conservation.
DSS06.06 Sécuriser les actifs informationnels. Depuis Description Description À
Sécurisez les actifs informationnels accessibles par l'entreprise via des

Rapports de violations DSS05.03
méthodes approuvées, y compris les informations sous forme
électronique (telles que les méthodes qui créent de nouveaux actifs sous
quelque forme que ce soit, les appareils multimédias portables, les
applications utilisateur et les périphériques de stockage), les informations
sous forme physique (telles que les documents sources ou les documents
de sortie). rapports) et des informations pendant le transport. Cela profite
à l’entreprise en assurant une protection des informations de bout en bout.
Activités
1. Appliquer la classification des données, leur utilisation acceptable et les politiques et procédures de sécurité pour protéger les actifs informationnels sous le contrôle de l'entreprise.
etia
ivirsrvs
asctisa
e,cnnoe L
e
s
2. Assurer une sensibilisation et une formation à l’utilisation acceptable.
3. Restreindre l'utilisation, la distribution et l'accès physique aux informations en fonction de leur classification.
4. Identifier et mettre en œuvre des processus, des outils et des techniques pour vérifier raisonnablement la conformité.
5. Signaler aux entreprises et aux autres parties prenantes les violations et les écarts.
Aucun
200
Chapitre 5
Surveiller,
Surveiller, évaluer et évaluer (MEA)
évaluer
01 Surveiller, évaluer et évaluer les performances et la conformité.
02 Surveiller, évaluer et évaluer le système de contrôle interne.
03 Surveiller, évaluer et évaluer la conformité aux exigences externes.
et
201

,rerlleieuvlaruvtS
e
é
202
Chapitre 5
Domaine : Gestion
MEA01 Surveiller, évaluer et évaluer les performances et la conformité Domaine : Surveiller, évaluer et évaluer
Collectez, validez et évaluez les objectifs et les mesures de l'entreprise, de l'informatique et des processus. Surveiller que les processus fonctionnent par rapport aux objectifs et mesures de performance et de conformité
convenus et fournir des rapports systématiques et opportuns.
Surveiller,
Assurer la transparence des performances et de la conformité et favoriser la réalisation des objectifs.
évaluer
efficaces
1. Les objectifs et les mesures sont approuvés par les parties prenantes. • Pourcentage d'objectifs et de mesures approuvés par les parties prenantes
2. Les processus sont mesurés par rapport aux objectifs et aux mesures convenus. • Pourcentage de processus avec des objectifs et des indicateurs définis
3. L’approche de l’entreprise en matière de suivi, d’évaluation et d’information est efficace et opérationnelle. • Pourcentage de processus dont l'efficacité des objectifs et des mesures a été examinée et améliorée.
• Pourcentage de processus critiques surveillés
4. Les objectifs et les mesures sont intégrés dans les systèmes de surveillance de l'entreprise. • Pourcentage d'objectifs et de mesures alignés sur le système de surveillance de l'entreprise
5. Les rapports sur les performances et la conformité sont utiles et opportuns. • Pourcentage de rapports de performances livrés comme prévu
et
203
Carte RACI MEA01
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
R
d'il
R
id
s'l
R
d
acl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
prsodeefan
éa
ca
C
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
éa
o
rxeta
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
tm
laedrtiécsn
itesrlue
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
lbeapspnoole
uo
rqtsitnianom
e
a
sgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
tneem
Pratique de gestion
MEA01.01
Établir une approche de ARRIC je CCCRICCICI je je
surveillance.
MEA01.02
Fixer des objectifs de je je RAI je C CCRRRIRI je je
performance et de conformité.
MEA01.03
Collecter et traiter les
CR je C UN RRIRI je je
données de
performances et de conformité.
MEA01.04
RA C CCCCCRRCRCCC
Analyser et rendre compte du rendement.
MEA01.05
Assurer la mise en œuvre des je je je ICR C CCCACRRRCRCCC
actions correctives.
MEA01 Pratiques de processus, entrées/sorties et activités
MEA01.01 Établir une approche de surveillance. Depuis Description Description À

S'engager avec les parties prenantes pour établir et maintenir une
EDM05.01 • Rapports et Exigences de surveillance Interne
approche de surveillance afin de définir les objectifs, la portée et la
principes de
méthode de mesure des solutions commerciales et de la prestation Objectifs et mesures de Interne
communication
de services ainsi que de la contribution aux objectifs de l'entreprise. surveillance approuvés
• Évaluation des exigences de
Intégrez cette approche au système de gestion de la performance
reporting de l'entreprise
de l’entreprise.
EDM05.02 Règles de validation et
d'approbation des rapports
obligatoires
EDM05.03 Évaluation de l’efficacité des

rapports
Activités
1. Identifiez les parties prenantes (par exemple, la direction, les propriétaires de processus et les utilisateurs).
2. S'engager avec les parties prenantes et communiquer les exigences et les objectifs de l'entreprise en matière de surveillance, d'agrégation et de reporting, en utilisant des outils communs.
définitions (par exemple, glossaire d'entreprise, métadonnées et taxonomie), référence et analyse comparative.
3. Aligner et maintenir continuellement l'approche de suivi et d'évaluation avec l'approche d'entreprise et les outils à utiliser pour la collecte de données et
reporting d'entreprise (par exemple, applications de business intelligence).
4. Convenez des objectifs et des mesures (par exemple, conformité, performance, valeur, risque), de la taxonomie (classification et relations entre les objectifs et les mesures)
et la conservation des données (preuves).
5. Convenir d'un processus de gestion du cycle de vie et de contrôle des changements pour le suivi et le reporting. Inclure des opportunités d'amélioration pour les rapports, les mesures,
approche, référencement et analyse comparative.
6. Demander, hiérarchiser et allouer des ressources pour le suivi (en tenant compte de la pertinence, de l'efficience, de l'efficacité et de la confidentialité).
7. Valider périodiquement l'approche utilisée et identifier les parties prenantes, les exigences et les ressources nouvelles ou modifiées.
,rerlleieuvlaruvtS
e
é
204
Chapitre 5
MEA01 Pratiques de processus, intrants/extrants et activités (suite)
Pratique de gestion MEA01.02 Contributions Les sorties
Fixer des objectifs de performance et de Depuis Description Description À
conformité.
APO01.07 Objectifs de performance et Objectifs de surveillance Tous les APO
Travailler avec les parties prenantes pour définir, examiner périodiquement,
Surveiller,
mesures du processus Tous les BAI
mettre à jour et approuver les objectifs de performance et de conformité
suivi des améliorations Tous les DSS
au sein du système de mesure des performances.
Tous les MEA
Activités
1. Définir et examiner périodiquement avec les parties prenantes les objectifs et les mesures pour identifier tout élément manquant important et définir le caractère raisonnable des objectifs
et les tolérances.
2. Communiquer les modifications proposées aux objectifs et tolérances de performance et de conformité (relatives aux mesures) avec les principales parties prenantes en matière de diligence raisonnable
(par exemple, juridique, audit, ressources humaines, éthique, conformité, finance).
3. Publier les cibles et tolérances modifiées aux utilisateurs de ces informations.
4. Évaluer si les objectifs et les paramètres sont adéquats, c'estàdire spécifiques, mesurables, réalisables, pertinents et limités dans le temps (SMART).
évaluer
MEA01.03 Recueillir et traiter les données de performance et de Depuis Description Description À
conformité.
APO01.07 Évaluations de la Données de surveillance traitées Interne
Collectez et traitez des données opportunes et précises, alignées sur les
capacité des processus
approches de l'entreprise.
APO05.04 Rapports sur le rendement
du portefeuille d'investissement
APO09.04 Rapports sur les
performances du niveau de service
APO10.05 Résultats de l'examen de la
surveillance de la conformité des fournisseurs
BAI01.06 Résultats des évaluations de

performance du programme
BAI04.04 Disponibilité, performances et

rapports

résultats
DSS01.05 Rapports d'évaluation des
installations

Activités
1. Collectez des données à partir de processus définis, automatisés si possible.
2. Évaluer l'efficacité (effort par rapport aux informations fournies) et la pertinence (utilité et signification) et valider l'intégrité (exactitude et exhaustivité) des données collectées.
3. Regroupez les données pour prendre en charge la mesure des paramètres convenus.
4. Alignez les données agrégées sur l'approche et les objectifs de reporting de l'entreprise.
5. Utiliser des outils et des systèmes adaptés au traitement et au format des données à analyser.
et
205
Analyser et rendre compte du rendement. Depuis Description Description À
Examinez et rapportez périodiquement les performances par rapport

Rapports de performances EDM01.03
aux objectifs, en utilisant une méthode qui fournit une vue globale
Tous les APO
succincte des performances informatiques et s'intègre dans le système
Tous les BAI
de surveillance de l'entreprise.
Tous les DSS
Tous les MEA
Activités
1. Concevoir des rapports sur les performances des processus concis, faciles à comprendre et adaptés aux différents besoins et publics de gestion. Facilitez une prise de décision efficace et rapide
(par exemple, tableaux de bord, rapports sur les feux de circulation) et assurezvous que la cause et l'effet entre les objectifs et les mesures sont communiqués de manière compréhensible.
2. Comparez les valeurs de performance aux objectifs et aux références internes et, si possible, aux références externes (secteur et principaux concurrents).
3. Recommander des modifications aux objectifs et aux paramètres, le cas échéant.
4. Distribuer les rapports aux parties prenantes concernées.
5. Analyser la cause des écarts par rapport aux objectifs, lancer des actions correctives, attribuer les responsabilités en matière de remédiation et assurer le suivi. Au moment approprié, examinez tous les
écarts et recherchez les causes profondes, si nécessaire. Documentez les problèmes pour obtenir des conseils supplémentaires si le problème se reproduit. Documenter les résultats.
6. Lorsque cela est possible, lier la réalisation des objectifs de performance au système de récompense et de rémunération de l'organisation.
MEA01.05 Assurer la mise en œuvre des actions correctives. Depuis Description Description À
EDM05.02 Directives de remontée d'informations Actions correctives et Tous les APO

Aider les parties prenantes à identifier, lancer et suivre les actions correctives
missions Tous les BAI
pour corriger les anomalies.
Tous les DSS
Tous les MEA
APO01.08 Actions correctives en Statut et résultats des EDM01.03

cas de nonconformité actions
Activités
1. Examiner les réponses, les options et les recommandations de la direction pour résoudre les problèmes et les écarts majeurs.
2. Veiller à ce que l'attribution de la responsabilité des mesures correctives soit maintenue.
3. Suivez les résultats des actions engagées.
4. Communiquer les résultats aux parties prenantes.
Orientations connexes MEA01
ISO/CEI 20000 6.2 Rapports de service
ITIL V3 2011 Amélioration continue du service, 4.1 Le processus d'amélioration en 7 étapes

,rerlleieuvlaruvtS
e
é
206
Chapitre 5
Domaine : Gestion
MEA02 Surveiller, évaluer et évaluer le système de contrôle interne Domaine : Surveiller, évaluer et évaluer
Surveiller et évaluer en permanence l'environnement de contrôle, y compris des autoévaluations et des examens d'assurance indépendants. Permettre à la direction d’identifier les déficiences et les inefficacités des
contrôles et d’initier des actions d’amélioration. Planifier, organiser et maintenir des normes pour les activités d’évaluation et d’assurance du contrôle interne.
Surveiller,
Obtenir de la transparence pour les principales parties prenantes sur l'adéquation du système de contrôles internes et ainsi assurer la confiance dans les opérations, la confiance dans la réalisation des objectifs de
l'entreprise et une compréhension adéquate du risque résiduel.
évaluer

risques.
efficaces
1. Les processus, les ressources et les informations répondent aux exigences du système de contrôle • Pourcentage de processus dont le résultat est garanti et qui atteint les objectifs dans
interne de l’entreprise. les limites des tolérances.
• Pourcentage de processus garantis comme étant conformes aux objectifs de contrôle interne
2. Toutes les initiatives d'assurance sont planifiées et exécutées efficacement. • Pourcentage d'initiatives d'assurance conformes aux normes approuvées des programmes
et plans d'assurance.
3. Assurance indépendante que le système de contrôle interne est opérationnel • Pourcentage de processus faisant l'objet d'un examen indépendant
et efficace est fourni.
4. Un contrôle interne est établi et les déficiences sont identifiées et signalées. • Nombre de faiblesses identifiées par les rapports externes de qualification et de certification
• Nombre de violations majeures du contrôle interne

• Délai entre l'apparition d'une déficience du contrôle interne et le reporting
et
207
Carte RACI MEA02
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eD
R
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
caR
d
a
cl
R
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
éaR
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
rxetaC
E
S
dl
tjoroelrPiC
P
d(
p
aprsésoep
eriansneociitvsreeG
ds
o
toirpuoscfene
sitee
eéé
sessitrnpaeertgnie
aaB
g
d
vl
toirpuoscfene
ssu
sé
o'C
d
nsqe
tiduA
astésrierpcitoo
taéo
iuéontpiivtsn
tm
laedrtiécsn
itesrlue
tm
sm
pv
tnaio
erutceltiiehscnra
im
ticm
im
esirpséeetriu
o
seelbusaqnsio
iap
tneemlbeapspnoole
uo
rqtsitnianom
e
a
sgrtg
aue
n
uo
nm
étué
nm
noitraum
tnrue
uro
srn
elbaéstsn
/semme)aé
enlboaitsaé
efiig
enlboaitsaé
rule
éetlib
n
sce
sersiu
elsbea
aua
noeietlb
Pratique de gestion
MEA02.01
IICCR R. R. RRAIRRRRRRR
Surveiller les contrôles internes.
MEA02.02
Examiner l'efficacité des je IRIARI je je CRR C CCC
contrôles des processus opérationnels.
MEA02.03
Effectuer des auto IICCR R. R. RRAIRRRRRRR
évaluations de contrôle.
MEA02.04
Identifier et signaler les IICCR R. je je RRAIRRRRRRR
déficiences des contrôles.
MEA02.05
Veiller à ce que les prestataires de R. RAA
certification soient indépendants et qualifiés.
MEA02.06
UN CR C CCRCCCCCCCCC
Planifier les initiatives d'assurance.
MEA02.07
€€€ C CARCCCCCCCC
Initiatives d’assurance de la portée.
MEA02.08
je je CR C je je CARCCCCCCCC
Exécuter les initiatives d'assurance.
MEA02.01 Surveiller les contrôles internes. Depuis Description Description À

Surveiller, comparer et améliorer en permanence APO12.04 Résultats des suivis et EDM01.03
Résultats des évaluations des
l'environnement de contrôle informatique et le cadre de contrôle
risques par des tiers revues du contrôle interne Tous les APO
pour atteindre les objectifs organisationnels. Tous les BAI
Tous les DSS
Tous les MEA
APO13.03 Rapports d'audit du SMSI Résultats des analyses EDM01.03

comparatives et autres évaluations Tous les APO
En dehors des normes et bonnes pratiques de
Tous les BAI
l’industrie COBIT
Tous les DSS
Tous les MEA
Activités
1. Effectuer des activités de surveillance et d'évaluation du contrôle interne basées sur les normes de gouvernance organisationnelle et les cadres acceptés par l'industrie et
les pratiques. Inclure le suivi et l’évaluation de l’efficience et de l’efficacité des examens de supervision de la direction.
2. Envisager des évaluations indépendantes du système de contrôle interne (par exemple, par un audit interne ou par des pairs).
3. Identifier les limites du système de contrôle interne informatique (par exemple, réfléchir à la manière dont les contrôles internes informatiques de l'organisation prennent en compte les activités de
développement ou de production externalisées et/ou offshore).
4. S'assurer que les activités de contrôle sont en place et que les exceptions sont rapidement signalées, suivies et analysées, et que les mesures correctives appropriées sont priorisées
et mises en œuvre conformément au profil de gestion des risques (par exemple, classer certaines exceptions comme un risque clé et d'autres comme un risque non important). risque clé).
5. Maintenir le système de contrôle interne informatique, en tenant compte des changements continus dans l'entreprise et les risques informatiques, de l'environnement de contrôle organisationnel et des activités concernées.
et les processus informatiques, ainsi que les risques informatiques. Si des lacunes existent, évaluez et recommandez des changements.
6. Évaluer régulièrement les performances du cadre de contrôle informatique, en les comparant aux normes et bonnes pratiques acceptées par l'industrie. Considérer
,rerlleieuvlaruvtS
e
é
adoption formelle d’une démarche d’amélioration continue du suivi du contrôle interne.
7. Évaluer l'état des contrôles internes des prestataires de services externes et confirmer que les prestataires de services se conforment aux exigences légales et réglementaires et
obligations contractuelles.
208
Chapitre 5
Examiner l'efficacité des contrôles des processus Depuis Description Description À

opérationnels.
BAI05.06 Résultats de l'audit de conformité Preuve de l’efficacité du Interne
Examiner le fonctionnement des contrôles, y compris un examen des
Surveiller,
contrôle
preuves de surveillance et de test, pour garantir que les contrôles au sein BAI05.07 Examens de l'utilisation opérationnelle
des processus opérationnels fonctionnent efficacement. Inclure des
activités visant à conserver la preuve du fonctionnement efficace des
contrôles au moyen de mécanismes tels que des tests périodiques
des contrôles, une surveillance continue des contrôles, des évaluations
indépendantes, des centres de commandement et de contrôle et
des centres d'exploitation du réseau. Cela donne à l’entreprise l’assurance
de l’efficacité des contrôles pour répondre aux exigences liées aux
responsabilités commerciales, réglementaires et sociales.
Activités
1. Comprendre et hiérarchiser les risques par rapport aux objectifs organisationnels.
évaluer
2. Identifier les contrôles clés et développer une stratégie adaptée à la validation des contrôles.
3. Identifiez les informations qui indiqueront de manière convaincante si l’environnement de contrôle interne fonctionne efficacement.
4. Élaborer et mettre en œuvre des procédures rentables pour déterminer que les informations convaincantes sont basées sur les critères d'information.
5. Conserver les preuves de l'efficacité du contrôle.
MEA02.03 Effectuer des autoévaluations de contrôle. Depuis Description Description À
Encourager la direction et les propriétaires de processus à s'approprier

Plans et critères d’auto Tous les APO
positivement l'amélioration du contrôle grâce à un programme continu
évaluation Tous les BAI
d'autoévaluation pour évaluer l'exhaustivité et l'efficacité du contrôle de la
Tous les DSS
direction sur les processus, les politiques et les contrats.
Tous les MEA
Résultats des Interne

autoévaluations
Résultats des examens des EDM01.03

autoévaluations Tous les APO
Tous les BAI
Tous les DSS
Tous les MEA
Activités
1. Maintenir les plans et la portée et identifier les critères d'évaluation pour mener des autoévaluations. Planifier la communication des résultats de l’autoévaluation
processus aux entreprises, à l'informatique, à la direction générale et au conseil d'administration. Tenir compte des normes d’audit interne lors de la conception des autoévaluations.
2. Déterminer la fréquence des autoévaluations périodiques, en tenant compte de l'efficacité globale et de l'efficience du suivi continu.
3. Attribuez la responsabilité de l'autoévaluation aux personnes appropriées pour garantir l'objectivité et la compétence.
4. Prévoir des examens indépendants pour garantir l'objectivité de l'autoévaluation et permettre le partage des bonnes pratiques de contrôle interne des
d'autres entreprises.
5. Comparez les résultats des autoévaluations aux normes et bonnes pratiques de l’industrie.
6. Résumer et rendre compte des résultats des autoévaluations et de l'analyse comparative des mesures correctives.
7. Définir une approche convenue et cohérente pour effectuer des autoévaluations de contrôle et assurer la coordination avec les auditeurs internes et externes.
et
209
Identifier et signaler les déficiences en matière de contrôle. Depuis Description Description À
Identifier les déficiences du contrôle et analyser et identifier leurs causes

APO11.05 Causes profondes des échecs Lacunes du contrôle Tous les APO
profondes sousjacentes. Faire remonter les déficiences du
de livraison de qualité Tous les BAI
contrôle et en rendre compte aux parties prenantes.
Tous les DSS
APO12.06 Causes profondes liées au risque
Tous les MEA
DSS06.01 • Analyses des causes profondes et Des mesures correctives Tous les APO
recommandations Tous les BAI
• Résultats des examens de Tous les DSS
l'efficacité du traitement Tous les MEA
DSS06.04 Preuve de correction

d’erreur et de remédiation
Activités
1. Identifiez, signalez et enregistrez les exceptions de contrôle, et attribuez la responsabilité de les résoudre et de rendre compte de leur statut.
2. Tenir compte des risques d'entreprise associés pour établir des seuils de remontée des exceptions et des pannes de contrôle.
3. Communiquer les procédures de remontée des exceptions de contrôle, d'analyse des causes profondes et de reporting aux propriétaires de processus et aux parties prenantes informatiques.
4. Décidez quelles exceptions de contrôle doivent être communiquées à la personne responsable de la fonction et quelles exceptions doivent être signalées.
Informer les propriétaires de processus concernés et les parties prenantes.
5. Effectuer un suivi de toutes les exceptions pour garantir que les actions convenues ont été prises en compte.
6. Identifier, lancer, suivre et mettre en œuvre des mesures correctives découlant des évaluations de contrôle et des rapports.
Depuis Description Description À
MEA02.05 Veiller à ce que les prestataires de certification soient Résultats des évaluations Interne
indépendants et qualifiés. des prestataires de certification

Veiller à ce que les entités effectuant l’assurance soient indépendantes
de la fonction, des groupes ou des organisations concernés. Les entités
effectuant l’assurance doivent démontrer une attitude et une apparence
appropriées, des compétences dans les compétences et les connaissances
nécessaires pour effectuer l’assurance et le respect des codes d’éthique et
des normes professionnelles.
Activités
1. Assurer le respect des codes et normes d'éthique applicables (par exemple, le Code d'éthique professionnelle de l'ISACA) et des normes d'assurance (spécifiques au secteur et à la géographie), par exemple les
normes d'audit et d'assurance informatiques de l'ISACA et le Conseil des normes internationales d'audit et d'assurance. (IAASB)
Cadre international pour les missions d’assurance (Cadre d’assurance de l’IAASB).
2. Assurer l’indépendance des prestataires de certification.
3. Établir la compétence et la qualification des prestataires de certification.
MEA02.06 Planifier les initiatives d'assurance. Depuis Description Description À
Planifier les initiatives d'assurance en fonction des objectifs et des priorités

BAI01.05 Plans d'audit du programme Évaluations de haut niveau Interne
stratégiques de l'entreprise, des risques inhérents, des contraintes
de ressources et d'une connaissance suffisante de l'entreprise. DSS01.02 Plans d’assurance indépendants Plans d'assurance EDM01.03
Tous les APO
Tous les BAI
Tous les DSS
Tous les MEA
Critères d'évaluation Interne
Activités
1. Déterminer les utilisateurs prévus des résultats de l’initiative d’assurance et l’objet de l’examen.
2. Effectuer une évaluation des risques de haut niveau et/ou une évaluation de la capacité des processus pour diagnostiquer les risques et identifier les processus informatiques critiques.
3. Sélectionner, personnaliser et parvenir à un accord sur les objectifs de contrôle des processus critiques qui constitueront la base de l'évaluation du contrôle.
,rerlleieuvlaruvtS
e
é
210
Chapitre 5
MEA02.07 Initiatives d’assurance de la portée. Depuis Description Description À
Définir et convenir avec la direction de la portée de l'initiative d'assurance, en

APO11.05 Causes profondes des échecs Portée de l’examen d’assurance Interne
fonction des objectifs d'assurance.
Surveiller,
APO12.06 Causes profondes liées au risque Plan de mobilisation Interne
DSS06.01 Analyses des causes profondes et Pratiques d’examen Interne

recommandations d’assurance
MEA03.04 Rapports sur les problèmes de non

conformité et leurs causes profondes
Activités
1. Définir la portée réelle en identifiant les objectifs d'entreprise et informatiques pour l'environnement examiné, l'ensemble des processus et ressources informatiques, ainsi que tous les
entités auditables pertinentes au sein de l'entreprise et à l'extérieur de l'entreprise (par exemple, les prestataires de services), le cas échéant.
2. Définir le plan d'engagement et les besoins en ressources.
3. Définir les pratiques de collecte et d'évaluation des informations provenant du ou des processus examinés afin d'identifier les contrôles à valider et les conclusions actuelles (à la fois l'assurance positive et
évaluer
les éventuelles lacunes) pour l'évaluation des risques.
4. Définir des pratiques pour valider la conception et les résultats des contrôles et déterminer si le niveau d'efficacité supporte un risque acceptable (requis par l'évaluation des risques organisationnels ou de
processus).
5. Lorsque l'efficacité du contrôle n'est pas acceptable, définir des pratiques pour identifier les risques résiduels (en préparation du reporting).
MEA02.08 Exécuter les initiatives d'assurance. Depuis Description Description À
Exécuter l’initiative d’assurance planifiée. Rapport sur les

APO11.05 Causes profondes des échecs Portée raffinée Tous les APO
constatations identifiées. Fournir des avis d’assurance positifs, le cas
de livraison de qualité Tous les BAI
échéant, et des recommandations d’amélioration concernant les
Tous les DSS
performances opérationnelles identifiées, la conformité externe et le
Tous les MEA
risque résiduel du système de contrôle interne.
APO12.04 Analyse des risques et Résultats de l'examen d'assurance EDM05.01
rapports de profil de risque pour EDM05.03

les parties prenantes Tous les APO
Tous les BAI
APO12.06 Causes profondes liées au risque
Tous les DSS
DSS05.02 Résultats des tests d'intrusion Tous les MEA
DSS06.01 Analyses des causes profondes et Rapport d'examen de l'assurance EDM05.03

recommandations Tous les APO
Tous les BAI
MEA03.03 Lacunes de conformité identifiées
Tous les DSS
Tous les MEA
Activités
1. Affiner la compréhension du sujet de l’assurance informatique.
2. Affiner la portée des objectifs de contrôle clés pour le sujet de l'assurance informatique.
3. Tester l'efficacité de la conception du contrôle des principaux objectifs de contrôle. et

4. Alternativement/en plus, testez les résultats des objectifs de contrôle clés.
5. Documenter l'impact des faiblesses des contrôles.
6. Communiquer avec la direction pendant l'exécution de l'initiative afin qu'il y ait une compréhension claire du travail effectué et un accord sur et
acceptation des conclusions et recommandations préliminaires.
7. Superviser les activités d'assurance et s'assurer que le travail effectué est complet, répond aux objectifs et est d'une qualité acceptable.
8. Fournir à la direction un rapport (aligné sur les termes de référence, la portée et les normes de reporting convenues) qui soutient les résultats de l'initiative et permet de se concentrer clairement sur les questions
clés et les actions importantes.
Aucun
211

,rerlleieuvlaruvtS
e
é
212
Chapitre 5
Domaine : Gestion
MEA03 Surveiller, évaluer et évaluer la conformité aux exigences externes Domaine : Surveiller, évaluer et évaluer
Surveiller,
Évaluez que les processus informatiques et les processus métier pris en charge par l'informatique sont conformes aux lois, réglementations et exigences contractuelles.
Obtenez l’assurance que les exigences ont été identifiées et respectées, et intégrez la conformité informatique à la conformité globale de l’entreprise.

Assurezvous que l'entreprise est conforme à toutes les exigences externes applicables.
02 Conformité informatique et assistance à la conformité des entreprises aux lois et • Coût de la nonconformité informatique, y compris les règlements et les amendes, et
réglementations externes l'impact de la perte de réputation
évaluer
• Nombre de problèmes de nonconformité liés aux accords contractuels avec les
prestataires de services informatiques
1. Toutes les exigences de conformité externes sont identifiées. • Délai moyen entre l'identification des problèmes de conformité externes
et résolution
• Fréquence des contrôles de conformité
2. Les exigences de conformité externes sont correctement satisfaites. • Nombre de problèmes de nonconformité critiques identifiés par an
• Pourcentage de propriétaires de processus signant, confirmant la conformité
Carte RACI MEA03
et
liesnoC
ri'D
d
éerrm
P
d
p
ateietjsrouerB
g
d
p
oes'C
d
ir
eeH
R
d
etcetihcrA
eDR
efnR
di
o
prsodeefanR
d'il
éaR
id
s'l
oaR
d
a
cl
oaR
dcl
atrcéenréiD
g
rrueeictcnearniDif
rriP
d
g
rusetucqessreiR
D
d
R
id
s'l
étimrofnoC
etrcoefrneiD
Id'l
C
E
S
dl
tjoroelrPiC
P
d(
p
éa
eriansneociitvsreeG
d
s
laaitsnneodpifsnee
rxeta
soep
toirpuoscfene
nitee
c
nsqe
sé
eéé
sessitrnpaeertgnie
toirpuoscfene
ssu
auietesrlueaaB
gvl
d
o'C
d
tiduA
astésrierpcitoo
taéo
tm
pv
aprsé
iuéontpiivtss
laedrtiécsn
sm
esirpséeetriu
ticm
erutceltiiehscnra
tneemlbeapspnoole
im
imo
iap
tnaiotm
rqtsitnianom
uo
étué
e
a
noitraum
sgrtg
uo
nm
nm
n
uro
efiig
tnrue
srn
elbaéstsn
/semme)aé
enlboaitsaé
n
enlboaitsaé
seelbusaqnsio
rule
sce
sersiu
éetlib
elsbea
aua
noeietlb
Pratique de gestion
MEA03.01 RA €€€ R.
Identifier les
exigences de conformité externes.
MEA03.02 RRRARI R. RRRRRRRRRRR

Optimiser la réponse
aux exigences externes.
MEA03.03 IRRRRRI CI AIRCCCCCCCR
Confirmer la conformité externe.
MEA03.04 je je je CICI C CARCCCCCCCC

Obtenir l'assurance
de la conformité externe.
213
Identifier les exigences de conformité Depuis Description Description À
externes.
En dehors de COBIT Exigences de conformité Registre des exigences de Interne
Sur une base continue, identifier et surveiller les changements dans les
légales et réglementaires conformité
lois, réglementations et autres exigences externes locales et
internationales qui doivent être respectées du point de vue informatique. Journal des actions Interne
de conformité requises
Activités
1. Attribuer la responsabilité d'identifier et de surveiller tout changement dans les exigences légales, réglementaires et autres exigences contractuelles externes pertinentes à l'utilisation de
Ressources informatiques et traitement de l'information au sein des opérations commerciales et informatiques de l'entreprise.
2. Identifier et évaluer toutes les exigences de conformité potentielles et leur impact sur les activités informatiques dans des domaines tels que le flux de données, la confidentialité, les contrôles internes, les finances.
reporting, réglementations spécifiques à l’industrie, propriété intellectuelle, santé et sécurité.
3. Évaluer l'impact des exigences juridiques et réglementaires liées à l'informatique sur les contrats de tiers liés aux opérations informatiques, aux fournisseurs de services et aux activités
partenaires commerciaux.
4. Obtenir un conseil indépendant, le cas échéant, sur les modifications apportées aux lois, réglementations et normes applicables.
5. Tenir un journal à jour de toutes les exigences légales, réglementaires et contractuelles pertinentes, de leur impact et des actions requises.
6. Maintenir un registre global harmonisé et intégré des exigences de conformité externes pour l'entreprise.
MEA03.02 Optimiser la réponse aux exigences Depuis Description Description À
externes.
Politiques, principes, APO01.07
Examiner et ajuster les politiques, principes, normes, procédures
procédures et normes mis à APO01.08
et méthodologies pour garantir que les exigences légales,
jour
réglementaires et contractuelles sont prises en compte et communiquées.
Tenez compte des normes industrielles, des codes de bonnes Communications des EDM01.01
pratiques et des conseils de bonnes pratiques pour l’adoption et exigences de conformité Tous les APO
l’adaptation. modifiées Tous les BAI
Tous les DSS
Tous les MEA
Activités
1. Examiner et ajuster régulièrement les politiques, principes, normes, procédures et méthodologies pour vérifier leur efficacité à assurer la conformité nécessaire et à gérer les risques de l'entreprise en
faisant appel à des experts internes et externes, selon les besoins.
2. Communiquer les exigences nouvelles et modifiées à tout le personnel concerné.
Confirmer la conformité externe. Depuis Description Description À
Confirmer la conformité des politiques, principes, normes, procédures

BAI05.06 Résultats de l'audit de conformité Lacunes de conformité identifiées MEA02.08
et méthodologies avec les exigences légales, réglementaires et
contractuelles. BAI09.05 Résultats des audits de licences Confirmations de conformité EDM01.03
installées
BAI10.05 Déviations de licence
DSS01.04 Rapports sur les polices d'assurance
Activités
1. Évaluer régulièrement les politiques organisationnelles, les normes, les procédures et les méthodologies dans toutes les fonctions de l'entreprise pour garantir le respect des
exigences légales et réglementaires pertinentes en matière de traitement des informations.
2. Combler en temps opportun les lacunes en matière de conformité aux politiques, normes et procédures.
3. Évaluer périodiquement les processus et activités commerciaux et informatiques pour garantir le respect des exigences légales, réglementaires et contractuelles applicables.
4. Examinez régulièrement les modèles récurrents de manquements à la conformité. Si nécessaire, améliorer les politiques, les normes, les procédures, les méthodologies et
processus et activités associés.
,rerlleieuvlaruvtS
e
é
214
Chapitre 5
Obtenir l'assurance de la conformité externe. Depuis Description Description À
Obtenir et rendre compte de l'assurance de la conformité et

EDM05.02 Règles de validation et Rapports d'assurance de EDM01.03
du respect des politiques, principes, normes, procédures et
Surveiller,
d'approbation des rapports conformité
méthodologies. Confirmez que les mesures correctives visant à
obligatoires
combler les lacunes en matière de conformité sont corrigées en
temps opportun. EDM05.03 Évaluation de l’efficacité des Rapports sur les problèmes de non EDM01.03
rapports conformité et leurs causes profondes MEA02.07
Activités
1. Obtenez une confirmation régulière du respect des politiques internes auprès des propriétaires de processus commerciaux et informatiques et des chefs d'unité.
2. Effectuer des examens internes et externes réguliers (et, le cas échéant, indépendants) pour évaluer les niveaux de conformité.
3. Si nécessaire, obtenez des affirmations de fournisseurs de services informatiques tiers sur leur niveau de conformité aux lois et réglementations applicables.
4. Si nécessaire, obtenez des affirmations des partenaires commerciaux sur leurs niveaux de conformité aux lois et réglementations applicables en ce qui concerne les relations intersociétés.
transactions électroniques.
5. Surveiller et signaler les problèmes de nonconformité et, si nécessaire, enquêter sur la cause première.
évaluer
6. Intégrer le reporting sur les exigences légales, réglementaires et contractuelles à l'échelle de l'entreprise, en impliquant toutes les unités commerciales.
Aucun
et
215

,rerlleieuvlaruvtS
e
é
216
Annexe A
Cartographie entre COBIT 5 et les anciens frameworks ISACA
Annexe A
La figure 13 montre les cadres ISACA inclus dans COBIT 5.
Figure 13—Cadres ISACA inclus dans COBIT 5
COBIT4.1
Carte pour
Objectifs de contrôle
COBIT5
Val Informatique 2.0
Gouvernance et
Gestion Carte pour
Gestion
Les pratiques
Les pratiques
Risque informatique
Gestion Carte pour
Les pratiques
La cartographie des composants COBIT 4.1, Val IT et Risk IT avec COBIT 5 est présentée dans les figures 14, 15 et 16.
Figure 14—Objectifs de contrôle COBIT 4.1 mappés à COBIT 5
Objectif de contrôle COBIT 4.1 Couvert dans COBIT 5 par :
AC1 Préparation et autorisation des données sources DSS06.02 ; DSS06.03 ; BAI03.02 ; BAI03.03 ; BAI03.05 ; BAI03.07
AC2 Collecte et saisie des données sources DSS06.02
AC3 Contrôles d’exactitude, d’exhaustivité et d’authenticité DSS06.02
AC4 Intégrité et validité du traitement DSS06.02
AC5 Examen des résultats, rapprochement et gestion des erreurs DSS06.02
AC6 Authentification et intégrité des transactions DSS06.02
OREN1.1 Gestion de la valeur informatique EDM02
OREN1.2 Alignement entrepriseinformatique APO02.01
OREN1.3 Évaluation de la capacité et des performances actuelles APO02.02
OREN1.4 Plan stratégique informatique APO02.0305
PO1.5 Plans tactiques informatiques APO02.05
PO1.6 Gestion du portefeuille informatique APO05.05
PO2.1 Modèle d'architecture de l'information d'entreprise APO03.02
PO2.2 Dictionnaire de données d'entreprise et règles de syntaxe des données APO03.02
PO2.3 Schéma de classification des données APO03.02
PO2.4 Gestion de l'intégrité APO01.06
OREN3.1 Planification de l'orientation technologique APO02.03 ; APO04.03
PO3.2 Plan d'infrastructure technique APO02.0305 ; APO04.0305
PO3.3 Surveiller les tendances et réglementations futures EDM01.01 ; APO04.03
OREN3.4 Normes technologiques APO03.05
PO3.5 Conseil d'architecture informatique APO01.01
OREN4.1 Cadre de processus informatique APO01.03 ; APO01.07
OREN4.2 Comité de stratégie informatique APO01.01
PO4.3 Comité directeur informatique APO01.01
OREN4.4 Placement organisationnel de la fonction informatique APO01.05
217
Figure 14—Objectifs de contrôle COBIT 4.1 mappés à COBIT 5 (suite)

PO4.5 Structure organisationnelle informatique APO01.01
PO4.6 Établissement des rôles et des responsabilités APO01.02
PO4.7 Responsabilité de l'assurance qualité informatique APO11.01
PO4.8 Responsabilité du risque, de la sécurité et de la conformité Supprimé : ces rôles spécifiques ne sont plus explicitement spécifiés en tant
que pratique.
PO4.9 Propriété des données et du système APO01.06
OREN4.10 Surveillance APO01.02
OREN4.11 Séparation des tâches APO01.02
OREN4.12 Personnel informatique APO07.01
OREN4.13 Personnel informatique clé APO07.02
PO4.14 Politiques et procédures concernant le personnel contractuel APO07.06
OREN4.15 Des relations APO01.01
OREN5.1 Cadre de gestion financière APO06.01
OREN5.2 Priorisation dans le budget informatique APO06.02
OREN5.3 Budgétisation informatique APO06.03
OREN5.4 La gestion des coûts APO06.0405
PO5.5 Gestion des avantages sociaux APO05.06
OREN6.1 Politique informatique et environnement de contrôle APO01.03
OREN6.2 Cadre de contrôle et de risque informatique d'entreprise EDM03.02 ; APO01.03
OREN6.3 Gestion des politiques informatiques APO01.03 ; APO01.08
OREN6.4 Déploiement des politiques, normes et procédures APO01.03 ; APO01.08
PO6.5 Communication des objectifs et orientations informatiques APO01.04
OREN7.1 Recrutement et rétention du personnel APO07.01 ; APO07.05
OREN7.2 Compétences du personnel APO07.03
OREN7.3 Dotation des rôles APO01.02 ; APO07.01
OREN7.4 Formation du personnel APO07.03
OREN7.5 Dépendance envers les individus APO07.02
OREN7.6 Procédures d'autorisation du personnel APO07.01 ; APO07.06
OREN7.7 Évaluation du rendement au travail des employés APO07.04
OREN7.8 Changement d'emploi et licenciement APO07.01
OREN8.1 Système de gestion de la qualité APO11.01
OREN8.2 Normes informatiques et pratiques de qualité APO11.02
OREN8.3 Normes de développement et d’acquisition APO11.02 ; APO11.05
OREN8.4 Orientation client APO11.03
PO8.5 Amélioration continue APO11.06
OREN8.6 Mesure, surveillance et examen de la qualité APO11.04
OREN9.1 Cadre de gestion des risques informatiques EDM03.02 ; APO01.03
OREN9.2 Établissement du contexte de risque APO12.03
OREN9.3 Identification de l'événement APO12.01 ; APO12.03
OREN9.4 L'évaluation des risques APO12.02 ; APO12.04
OREN9.5 Réponse aux risques APO12.06
OREN9.6 Maintien et suivi d’un plan d’action contre les risques APO12.0405
OREN10.1 Cadre de gestion du programme BAI01.01
OREN10.2 Cadre de gestion de projet BAI01.01
OREN10.3 Approche de gestion de projet BAI01.01
218
Annexe A

PO10.4 Engagement des parties prenantes BAI01.03
OREN10.5 Énoncé de la portée du projet BAI01.07
OREN10.6 Lancement de la phase du projet BAI01.07
OREN10.7 Plan de projet intégré BAI01.08
OREN10.8 Ressources du projet BAI01.08
OREN10.9 Gestion des risques du projet BAI01.10
PO10.10 Plan qualité du projet BAI01.09
OREN10.11 Contrôle des modifications du projet BAI01.11
PO10.12 Planification de projet des méthodes d'assurance BAI01.08
PO10.13 Mesure du rendement du projet, rapports et suivi BAI01.06 ; BAI01.11
OREN10.14 Clôture du projet BAI01.13
AI1.1 Définition et maintenance des exigences fonctionnelles et BAI02.01
techniques de l'entreprise
AI1.2 Rapport d'analyse des risques BAI02.03
AI1.3 Étude de faisabilité et formulation de plans d’action alternatifs BAI02.02
AI1.4 Exigences et faisabilité Décision et approbation BAI02.04
AI2.1 Conception de haut niveau BAI03.01
AI2.2 Conception détaillée BAI03.02
AI2.3 Contrôle et auditabilité des applications BAI03.05
AI2.4 Sécurité et disponibilité des applications BAI03.0103 ; BAI03.05
AI2.5 Configuration et mise en œuvre des logiciels d'application acquis BAI03.03 ; BAI03.05
AI2.6 Mises à niveau majeures des systèmes existants BAI03.10
AI2.7 Développement de logiciels d'application BAI03.0304
AI2.8 Assurance qualité des logiciels BAI03.06
AI2.9 Gestion des exigences des applications BAI03.09
AI2.10 Maintenance des logiciels d'application BAI03.10
AI3.1 Plan d'acquisition d'infrastructures technologiques BAI03.04
AI3.2 Protection et disponibilité des ressources d’infrastructure BAI03.03 ; DSS02.03
AI3.3 Entretien des infrastructures BAI03.10
AI3.4 Environnement de test de faisabilité BAI03.0708
AI4.1 Planification des solutions opérationnelles BAI05.05
AI4.2 Transfert de connaissances vers la gestion d'entreprise BAI08.0104
AI4.3 Transfert de connaissances vers les utilisateurs finaux BAI08.0104
AI4.4 Transfert de connaissances au personnel opérationnel et de soutien BAI08.0104
AI5.1 Contrôle des approvisionnements BAI03.04
AI5.2 Gestion des contrats fournisseurs APO10.01 ; APO10.03
AI5.3 Choix du fournisseur APO10.02
AI5.4 Acquisition de ressources informatiques APO10.03
AI6.1 Modifier les normes et les procédures BAI06.0104
AI6.2 Analyse d'impact, priorisation et autorisation BAI06.01
AI6.3 Modifications d'urgence BAI06.02
AI6.4 Suivi et reporting du statut des modifications BAI06.03
AI6.5 Clôture du changement et documentation BAI06.04
AI7.1 Entraînement BAI05.05
AI7.2 Plan de test BAI07.01 ; BAI07.03
219

AI7.3 Plan de mise en œuvre BAI07.01
AI7.4 Environnement de test BAI07.04
AI7.5 Conversion du système et des données BAI07.02
AI7.6 Test des modifications BAI07.05
AI7.7 Test d'acceptation finale BAI07.05
AI7.8 Promotion en production BAI07.06
AI7.9 Examen après mise en œuvre BAI07.08
DS1.1 Cadre de gestion des niveaux de service APO09.0105
DS1.2 Définition des services APO09.0102
DS1.3 Accords de Niveau de Service APO09.03
DS1.4 Accords de niveau opérationnel APO09.03
DS1.5 Surveillance et reporting des réalisations des niveaux de service APO09.04
DS1.6 Examen des accords de niveau de service et des contrats APO09.05
DS2.1 Identification de toutes les relations avec les fournisseurs APO10.01
DS2.2 Gestion de la relation fournisseurs APO10.03
DS2.3 Gestion des risques fournisseurs APO10.04
DS2.4 Surveillance des performances des fournisseurs APO10.05
DS3.1 Planification des performances et des capacités BAI04.03
DS3.2 Performances et capacités actuelles BAI04.0102
DS3.3 Performances et capacités futures BAI04.01
DS3.4 Disponibilité des ressources informatiques BAI04.05
DS3.5 Surveillance et rapports BAI04.04
DS4.1 Cadre de continuité informatique DSS04.0102
DS4.2 Plans de continuité informatique DSS04.03
DS4.3 Ressources informatiques critiques DSS04.04
DS4.4 Maintien du Plan de Continuité Informatique DSS04.02 ; DSS04.05
DS4.5 Test du plan de continuité informatique DSS04.04
DS4.6 Formation Plan de Continuité Informatique DSS04.06
DS4.7 Diffusion du Plan de Continuité Informatique DSS04.03
DS4.8 Récupération et reprise des services informatiques DSS04.03
DS4.9 Stockage de sauvegarde hors site DSS04.07
DS4.10 Examen postreprise DSS04.08
DS5.1 Gestion de la sécurité informatique APO13.01 ; APO13.03
DS5.2 Plan de sécurité informatique APO13.02
DS5.3 Gestion des identités DSS05.04
DS5.4 Gestion des comptes utilisateurs DSS05.04
DS5.5 Tests de sécurité, surveillance et contrôle DSS05.07
DS5.6 Définition des incidents de sécurité DSS02.01
DS5.7 Protection de la technologie de sécurité DSS05.05
DS5.8 Gestion des clés cryptographiques DSS05.03
DS5.9 Prévention, détection et correction des logiciels malveillants DSS05.01
DS5.10 Sécurité Internet DSS05.02
DS5.11 Échange de données sensibles DSS05.02
DS6.1 Définition des services APO06.04
DS6.2 Comptabilité informatique APO06.01
220
Annexe A

DS6.3 Modélisation et facturation des coûts APO06.04
DS6.4 Maintenance du modèle de coûts APO06.04
DS7.1 Identification des besoins en matière d'éducation et de formation APO07.03
DS7.2 Prestation de formation et d'éducation APO07.03
DS7.3 Évaluation de la formation reçue APO07.03
DS8.1 Bureau de service Supprimé : ITIL 3 ne fait pas référence à Service Desk en tant que processus.
DS8.2 Enregistrement des requêtes des clients DSS02.0103
DS8.3 Escalade des incidents DSS02.04
DS8.4 Clôture de l'incident DSS02.0506
DS8.5 Rapports et analyse des tendances DSS02.07
DS9.1 Référentiel de configuration et référence BAI10.0102 ; BAI10.04 ; DSS02.01
DS9.2 Identification et maintenance des éléments de configuration BAI10.03
DS9.3 Examen de l'intégrité de la configuration BAI10.0405 ; DSS02.05
DS10.1 Identification et classification des problèmes DSS03.01
DS10.2 Suivi et résolution des problèmes DSS03.02
DS10.3 Clôture du problème DSS03.0304
DS10.4 Intégration de la gestion de la configuration, des incidents et des problèmes DSS03.05
DS11.1 Exigences commerciales pour la gestion des données DSS01.01
DS11.2 Dispositions de stockage et de conservation DSS04.08 ; DSS06.04
DS11.3 Système de gestion de médiathèque DSS04.08
DS11.4 Élimination DSS05.06 ; DSS06.0506
DS11.5 Sauvegarde et restauration DSS04.08
DS11.6 Exigences de sécurité pour la gestion des données DSS001.01 ; DSS05.0205 ; DSS06.03 ; DSS06.06
DS12.1 Sélection et disposition du site DSS01.0405 ; DSS05.05
DS12.2 Mesures de sécurité physique DSS05.05
DS12.3 Accès physique DSS05.05
DS12.4 Protection contre les facteurs environnementaux DSS01.04
DS12.5 Gestion des installations physiques DSS01.05
DS13.1 Procédures et instructions d'exploitation DSS01.01
DS13.2 Planification des tâches DSS01.01
DS13.3 Surveillance de l'infrastructure informatique DSS01.03
DS13.4 Documents sensibles et périphériques de sortie DSS05.06
DS13.5 Maintenance préventive du matériel BAI09.02
ME1.1 Approche de surveillance MEA01.01
ME1.2 Définition et collecte des données de surveillance MEA01.0203
ME1.3 Méthode de surveillance MEA01.03
ME1.4 Évaluation de la performance MEA01.04
ME1.5 Rapports au conseil d'administration et à la direction MEA01.04
ME1.6 Des mesures correctives MEA01.05
ME2.1 Surveillance du cadre de contrôle interne MEA02.0102
ME2.2 Examen de surveillance MEA02.01
ME2.3 Contrôler les exceptions MEA02.04
ME2.4 Contrôle Autoévaluation MEA02.03
ME2.5 Assurance du contrôle interne MEA02.0608
ME2.6 Contrôle interne chez les tiers MEA02.01
221

ME2.7 Des mesures correctives MEA02.04
ME3.1 Identification des aspects juridiques, réglementaires et contractuels externes MEA03.01
Les exigences de conformité
ME3.2 Optimisation de la réponse aux exigences externes MEA03.02
ME3.3 Évaluation de la conformité aux exigences externes MEA03.03
ME3.4 Assurance positive de conformité MEA03.04
ME3.5 Rapports intégrés MEA03.04
ME4.1 Mise en place d'un cadre de gouvernance informatique EDM01
ME4.2 Alignement stratégique Supprimé – Dans COBIT 5, l’alignement est considéré comme le résultat de toutes les
activités de gouvernance et de gestion.
ME4.3 Livraison de valeur EDM02
ME4.4 La gestion des ressources EDM04
ME4.5 Gestion des risques EDM03
ME4.6 Mesure du rendement EDM01.03 ; EDM02.03 ; EDM03.03 ; EDM04.03
ME4.7 Assurance indépendante MEA02.0507 ; MEA0208
Figure 15—Pratiques de gestion Val IT 2.0 couvertes par COBIT 5

Pratique de gestion Val IT 2.0 Couvert dans COBIT 5 par :
VG1.1 Développer une compréhension de l’importance de l’informatique et du rôle de la EDM01.01
gouvernance.
VG1.2 Établir des lignes hiérarchiques efficaces. EDM01.01
VG1.3 Établir un forum de leadership. EDM01.02 ; APO01.01
VG1.4 Définir la valeur pour l'entreprise. EDM02.02
VG1.5 Assurer l’alignement et l’intégration des stratégies commerciales et informatiques avec les APO02.01
objectifs commerciaux clés.
VG2.1 Définir le cadre de gouvernance des valeurs. EDM01.02
VG2.2 Évaluer la qualité et la couverture des processus actuels. APO01.07
VG2.3 Identifiez et priorisez les exigences du processus. APO01.07
VG2.4 Définir et documenter les processus. APO01.07
VG2.5 Établir, mettre en œuvre et communiquer les rôles, les responsabilités et les APO01.02
obligations de rendre compte.
VG2.6 Établir des structures organisationnelles. EDM01.02 ; APO01.02
VG3.1 Définir les types de portefeuille. EDM02.02
VG3.2 Définir des catégories (au sein des portefeuilles). EDM02.02
VG3.3 Élaborer et communiquer des critères d’évaluation (pour chaque catégorie). EDM02.02
VG3.4 Attribuez des pondérations aux critères. EDM02.02
VG3.5 Définir les exigences relatives aux étapes et autres examens (pour EDM02.02
chaque catégorie).
VG4.1 Examinez les pratiques budgétaires actuelles de l’entreprise. APO06.03
VG4.2 Déterminer les exigences en matière de pratiques de planification financière en matière APO06.01
de gestion de la valeur.
VG4.3 Identifiez les changements requis. APO06.01
VG4.4 Mettre en œuvre des pratiques de planification financière optimales pour la gestion de la valeur. APO06.01
VG5.1 Identifiez les indicateurs clés. EDM02.03
TB5.2 Définir les processus et les approches de capture d’informations. EDM02.03
VG5.3 Définir les méthodes et techniques de reporting. EDM02.03
VG5.4 Identifier et suivre les actions d'amélioration des performances. EDM02.03
VG6.1 Mettre en œuvre les leçons apprises. EDM02.03
PM1.1 Examiner et assurer la clarté de la stratégie et des objectifs commerciaux. APO05.01
222
Annexe A
Figure 15—Pratiques de gestion Val IT 2.0 couvertes par COBIT 5 (suite)

Pratique de gestion Val IT 2.0 Couvert dans COBIT 5 par :
PM1.2 Identifiez les opportunités permettant à l’informatique d’influencer et de soutenir APO05.01
la stratégie commerciale.
PM1,3 Définir une combinaison d’investissement appropriée. APO05.01
PM1,4 Traduire la stratégie et les objectifs commerciaux en stratégie et objectifs informatiques. APO05.01
PM2.1 Déterminez les fonds d’investissement globaux. APO05.02
PM3.1 Créer et maintenir un inventaire des ressources humaines de l'entreprise. APO07.01
PM3.2 Comprendre la demande actuelle et future (en ressources humaines APO07.01
d'entreprise).
PM3.2 Identifier les déficits (entre la demande actuelle et future en ressources humaines APO07.01
des entreprises).
PM3,4 Créer et maintenir des plans tactiques (pour les ressources humaines de l'entreprise). APO07.01
PM3,5 Surveiller, examiner et ajuster (attribution des fonctions commerciales et dotation en personnel). APO07.05
PM3,6 Créer et maintenir un inventaire des ressources humaines informatiques. APO07.05
PM3,7 Comprendre la demande actuelle et future (en ressources humaines informatiques). APO07.05
PM3,8 Identifier les déficits (entre la demande actuelle et future en ressources APO07.05
humaines informatiques).
PM3,9 Créer et maintenir des plans tactiques (pour les ressources humaines informatiques). APO07.05
PM3.10 Surveiller, examiner et ajuster (attribution des fonctions informatiques et dotation en personnel). APO07.05
PM4.1 Évaluer et attribuer des scores relatifs aux analyses de rentabilisation du programme. APO05.03
PM4.2 Créez une vue globale du portefeuille d’investissement. APO05.03
PM4.3 Prendre et communiquer des décisions d'investissement. APO05.03
PM4.4 Préciser les étapes et allouer des fonds aux programmes sélectionnés. APO05.03
PM4,5 Ajuster les objectifs commerciaux, les prévisions et les budgets. APO05.03
PM5.1 Surveiller et rendre compte de la performance du portefeuille d'investissement. APO05.04
PM6.1 Optimiser la performance du portefeuille d’investissement. APO05.04
PM6,2 Redéfinir les priorités du portefeuille d’investissement. APO05.04
IM1.1 Reconnaître les opportunités d’investissement. APO05.03
IM1.2 Élaborer l’analyse de rentabilisation initiale du concept de programme. BAI01.02
IM1.3 Évaluer l’analyse de rentabilisation initiale du concept de programme. APO05.03
IM2.1 Développer une compréhension claire et complète du programme BAI01.02
du candidat.
IM2.2 Effectuer une analyse des alternatives. BAI01.02
IM3.1 Élaborer le plan du programme. BAI01.04
IM4.1 Identifiez les coûts et les avantages du cycle de vie complet. BAI01.04
IM4.2 Élaborer un plan de réalisation des bénéfices. BAI01.04
IM4.3 Effectuer les examens appropriés et obtenir les approbations. BAI01.0304
IM5.1 Élaborer l’analyse de rentabilisation détaillée du programme. BAI01.02
IM5.2 Attribuez des responsabilités et une appropriation claires. BAI01.02
IM5.3 Effectuer les examens appropriés et obtenir les approbations. BAI01.0203
IM6.1 Planifier des projets, financer et lancer le programme. BAI01.05
IM6.2 Gérer le programme. BAI01.05
IM6.3 Suivez et gérez les avantages. BAI01.05
IM7.1 Mettre à jour les portefeuilles informatiques opérationnels. APO05.05
IM8.1 Mettez à jour l’analyse de rentabilisation. BAI01.04
IM9.1 Surveiller et rendre compte des performances du programme (livraison de solutions). BAI01.06
IM9.2 Surveiller et rendre compte des performances de l'entreprise (avantages/résultats). BAI01.06
IM9.3 Surveiller et rendre compte des performances opérationnelles (prestation de services). BAI01.06
IM10.1 Retirez le programme. BAI10.14
223
Figure 16—Pratiques de gestion des risques informatiques couvertes par COBIT 5
Pratique de gestion des risques informatiques Couvert dans COBIT 5 par :
GR1.1 Effectuer une évaluation des risques informatiques de l’entreprise. EDM03.01 ; APO12.0203
GR1.2 Proposer des seuils de tolérance aux risques informatiques. EDM03.01
GR1.3 Approuver la tolérance au risque informatique. EDM03.0102
GR1.4 Alignez la politique des risques informatiques.

EDM03.0102
RG1.5 Promouvoir une culture de sensibilisation aux risques informatiques. EDM03.02
RG1.6 Encouragez une communication efficace sur les risques informatiques. EDM03.03
RG2.1 Établir et maintenir la responsabilité de la gestion des risques informatiques. EDM03.02
RG2.2 Coordonner la stratégie de risque informatique et la stratégie de risque commercial. EDM03.0102
RG2.3 Adaptez les pratiques en matière de risques informatiques aux pratiques en matière de risques de l’entreprise. EDM03.0102
RG2.4 Fournir des ressources adéquates pour la gestion des risques informatiques. EDM04.01 ; APO07.01 ; APO07.03
RG2.5 Fournir une assurance indépendante sur la gestion des risques informatiques. EDM03.03
RG3.1 Obtenez l’adhésion de la direction à l’approche d’analyse des risques informatiques. EDM01.0102 ; EDM03.02
RG3.2 Approuver l’analyse des risques informatiques. EDM03.01
RG3.3 Intégrez les considérations liées aux risques informatiques dans la prise de décision stratégique de l’entreprise. EDM03.01
RG3.4 Acceptez le risque informatique. EDM03.01
RG3.5 Prioriser les activités de réponse aux risques informatiques. EDM03.02
RE1.1 Établir et maintenir un modèle de collecte de données. APO12.01
RE1.2 Recueillir des données sur l'environnement d'exploitation. APO12.01
RE1.3 Recueillir des données sur les événements à risque. APO12.01
RE1.4 Identifiez les facteurs de risque. APO12.01
RE2.1 Définir le périmètre d’analyse des risques informatiques. APO12.02
RE2.2 Estimer le risque informatique. APO12.02
RE2.3 Identifiez les options de réponse aux risques. APO12.02
RE2.4 Effectuer un examen par les pairs de l’analyse des risques informatiques. APO12.02
RE3.1 Mapper les ressources informatiques aux processus métier. APO12.02
RE3.2 Déterminer la criticité métier des ressources informatiques. APO12.03
RE3.3 Comprendre les capacités informatiques. APO12.03
RE3.4 Mettre à jour les composants du scénario de risque informatique. APO12.03
RE3.5 Tenir à jour le registre des risques informatiques et la cartographie des risques informatiques. APO12.03
RE3.6 Développer des indicateurs de risques informatiques. APO12.03
RR1.1 Communiquer les résultats de l’analyse des risques informatiques. APO12.04
RR1.2 Signaler les activités de gestion des risques informatiques et l’état de conformité. APO12.04
RR1.3 Interpréter les résultats d’une évaluation informatique indépendante. APO12.04
RR 1.4 Identifiez les opportunités liées à l’informatique. APO12.04
RR2.1 Contrôles des stocks. APO12.05
RR2.2 Surveiller l’alignement opérationnel avec les seuils de tolérance au risque. APO12.05
RR2.3 Répondre aux risques et opportunités découverts. APO12.05
RR2.4 Mettre en œuvre des contrôles. APO12.05
RR2,5 Signaler l’avancement du plan d’action contre les risques informatiques. APO12.05
RR3.1 Maintenir les plans de réponse aux incidents. APO12.06
RR3.2 Surveillez les risques informatiques. APO12.06
RR3.3 Initier la réponse aux incidents. APO12.06
RR3.4 Communiquer les enseignements tirés des événements à risque. APO12.06
224
Appendice B
Cartographie détaillée des objectifs de l'entreprise – Objectifs liés à l'informatique
Appendice B
Cartographie détaillée des objectifs de l'entreprise – Objectifs liés à l'informatique
La cascade d'objectifs COBIT 5 est expliquée au chapitre 2. La figure 17 contient : • Dans les colonnes, les
17 objectifs génériques d'entreprise définis dans COBIT 5, regroupés par dimension BSC. • Dans les lignes, les 17 objectifs liés à l'informatique,
également regroupés dans l'informatique. Dimensions BSC • Une cartographie de la manière dont chaque
objectif de l'entreprise est soutenu par les objectifs informatiques. Cette cartographie est exprimée à l'aide de l'échelle suivante : – « P » signifie primaire, lorsqu'il
existe une relation
importante, c'estàdire que l'objectif informatique est un support principal pour l'objectif informatique.
objectif de l'entreprise.
– « S » signifie secondaire, lorsqu'il existe encore une relation forte, mais moins importante, c'estàdire que l'objectif lié à l'informatique est un
soutien secondaire à l’objectif de l’entreprise.
Le tableau a été créé sur la base des apports suivants : • Recherche menée
par l'Institut de recherche sur l'alignement informatique et la gouvernance de l'École de gestion de l'Université d'Anvers. • Examens supplémentaires et avis
d'experts obtenus au cours du processus de développement et d'examen de COBIT 5.
225
Lorsque vous utilisez le tableau de la figure 17, veuillez tenir compte des remarques faites au chapitre 2 sur la façon d'utiliser la cascade
d'objectifs COBIT 5.
Figure 17 : Mappage des objectifs d'entreprise COBIT 5 avec les objectifs liés à l'informatique
Objectif d'entreprise
cisR
gc(
d
a
hrG
'd
pc
ortP
dcs
p
e
ecneerraèpicsnnaanrTif
sem
tiC
es
d
rurtP
ib
ds'l
lotunirt’C
d
p
e
C
arl
e
iirlC
dcs
o
orO
psc
d
perm
oO
df
p
orm
O
dc
p
prtP
o
e
d
p
C
ai
p
eV
pil
d
e
om
tD
pc
e
nlxsgtouxiéto
utn
orn
o
fsirsate
é
soee
roe
oéD
acr
u
à
e
scfrina
e
é
lrue
rpe
pe
odrséore
u
iloo
ro
rltvsan
a
e
istroee
ntsé
vtro
n
é
é
ste
eitcitso
so
endtrn
m
tninvtee
sa
tssitetéifcupeidm
h
reiertuse
vlpien
g
ogeiérseéotisa
cstisvtiû
esctitû
txe
oiitvip
tgn
pvsm
u
roqnfirn
q
)uvsé
rfe
ogrrin
reom
isa
uesen
rnoe
ruu
crgeeem
eeérctu
étéilitbsiusienrce
nointaossietiam
nasnsssoirm
nosituassssirm
itua
io
snn
éo
ita
vrtp
eem
pneea
neouitqanim
m
sseestisrnsrp
otcn
esue
noeitsaie
o
nsg
sestnesenetn
rm
snoitaéttnism
étsim
vin
eslfliu
smim
re
eldaria
situ
ne
n
elleéntlie
eisca
ee
séntiola
latn
stnem
stn
tnem
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.
Apprentissage et
Objectif lié à l'informatique Financier Client Interne Croissance
01 Alignement de la stratégie informatique et commerciale PPS PSPPSPSP SS

02 Conformité informatique et assistance à la
conformité des entreprises aux lois et PS P.
reicnaniF
réglementations externes
03 Engagement de la direction exécutive dans la prise

PSS SS S P. SS
de décisions liées à l'informatique
04 Gestion des risques métiers liés à l’informatique PS PS P. S SS

05 Bénéfices réalisés grâce au portefeuille
PP S S PAS S S
d'investissements et de services informatiques
06 Transparence des coûts, avantages et risques informatiques S S P. PS P.

tneilC
07 Livraison de services informatiques en adéquation avec

PPSS PSPS PSS SS
les besoins métiers
08 Utilisation adéquate des applications, des informations

SSS SS SSPS P. SS
et des solutions technologiques
09 Agilité informatique SPS S P. P. SS PS

10 Sécurité des informations, des infrastructures
PP P. P.
de traitement et des applications
11 Optimisation des actifs, ressources et capacités

PS S PSPSS S
enretnI
informatiques
12 Habilitation et soutien des entreprises

processus en intégrant les applications et la SPS S S SPSSSS S
technologie dans les processus métiers
13 Exécution des programmes

avantages, dans les délais, dans les limites du budget et PSS S S SPS
répondant aux exigences et aux normes de qualité
14 Disponibilité d'informations fiables SSSS P. P. S

et utiles pour la prise de décision
te
15 Conformité informatique aux politiques internes SS P.

ecnassiorC
egassitnerppA
16 Entreprise compétente et motivée et PAS S S P. PS

Personnel informatique
17 Connaissances, expertises et initiatives pour

PS S PS S S PS
l’innovation des entreprises
226
Annexe C
Cartographie détaillée des objectifs liés à l'informatique – Processus liés à l'informatique
Annexe C
La figure 18 contient :
• Dans les colonnes, les 17 objectifs génériques liés à l'informatique définis au chapitre 2, regroupés en dimensions IT BSC.
• Dans les lignes, les 37 processus COBIT 5, regroupés par domaine
• Une cartographie de la façon dont chaque objectif lié à l'informatique est soutenu par un processus informatique COBIT 5. Cette cartographie
s'exprime à l'aide de l'échelle suivante :
– 'P' signifie primaire, lorsqu'il existe une relation importante, c'estàdire que le processus COBIT 5 est un support primaire pour le
réalisation d’un objectif lié à l’informatique.
– « S » signifie secondaire, lorsqu'il existe encore une relation forte, mais moins importante, c'estàdire que le processus COBIT 5 est un
support secondaire pour l’objectif lié à l’informatique.
Le tableau a été créé sur la base des entrées suivantes :

• Recherche de l'Institut de recherche sur l'alignement informatique et la gouvernance de l'École de gestion de l'Université d'Anvers
• Examens supplémentaires et avis d'experts obtenus au cours du processus de développement et d'examen de COBIT 5.
Lorsque vous utilisez le tableau de la figure 18, veuillez tenir compte des remarques faites au chapitre 2 sur la façon d'utiliser la cascade d'objectifs
COBIT 5.
Figure 18—Mappage des objectifs informatiques de COBIT 5 aux processus

Objectif lié à l'informatique
vfm
ib
L
d
e
a
sli
iq
Lirl
p
o
b
e
a
n
d
noitacirbaf
enesém
G
ià
d
i’irl
nC
p
d
a
e
c'rli
icefénéD
iài'l
'B
g
a
p
e
d
sri
étiligA
trm
tnA
actli
e
d
p
utfnC
ai
p
C
ie
p’li
d
n
e
rtfe
iE
dfl
e
p
O
a
e
dcri
vé
ftm
nP
e
ci
xitn
rto
a
tn
vm
fieé
ufiré
ve
n
d
tn
ih
é
a
o
e
u
fx
rxia
eftnS
ra
eti
d
técsca
n
p
e
h
o
cfe
tnn
o
e
osgtou
n
e
ix
aée
o
snoitulos
iloo
rs
olis
pito
ré
roeo
érno
e
tistpe
éo
srirp
riutoistsqsfé
fsrtnT
a
e
d
icri
tisa
feséeivcrivntlonrâ
o
e
in
p
cirvié
ts
gta
n
d
x
rnru
s
tsoiréa
a
n
txe
o
vicrlh
tnemengilA
s
tlx
taU
id
a’tl
e
’D
eifl
u
à
d
ala
so
,osarsfip
ito
opvsrm
fn
e
itacregu
qnfirn
rnsg
e
irm
io
g
teea
rfre
euqsitnaomisrso
nsléiaita
o
dte
qae
v
a
o
rlcp
a
n
iq
g
s
o
trace
g
tirn
oe
ie
p
tcrsueia
tsnte
ce
rm
isflcn
euqitansmoree
o
û
a
rm
og
isutistcaeséim
unrts
ietsauerm
iirviavp
cm
so
a
noutoinstliae
qnistsoasensu
c
e
qstaciétsratuim
se
teném
rim
lfcb
rn
m
tuacnrqsiolhp
é
é
n
itgu
ta
spie
ttaatm
,d
e,stsn
istesa
ape
agcos
nm
m
tre
escenuseqeriatgaspam
enveo
nsrioe
o
inrta
oses
eétqtsntisim
euéqtsim
e
ssenisg
untoonciiée
u
stnee
llse
sase
iece
aittalm
iao
se,sm
tnem
uo
io
essq
snéotitliabnm
,secnn
sie
q
atln
sen
snoietaué
eto
se,ssrn
stnesmeeu
elu
eo
io
n
nig
sn
,nseo
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Apprentissage et
Processus COBIT 5 Financier Client Interne Croissance
EDM01 Assurer la gouvernance

Définition du cadre et PSPSSSP SSS S S SSSS
Entretien
EDM02 Assurer le versement des prestations P. S PPP S S S S S PS
EDM03 Assurer l’optimisation des risques SSSP PSS S SPSS
garivrutiÉ
elv
,rlelriu d
e
s
P.
re
EDM04 Assurer la ressource

S SSSSSSP P. S PS
Optimisation
EDM05 Assurer les parties prenantes
PAS PP S SS S
Transparence
227
Figure 18—Mappage des objectifs informatiques de COBIT 5 aux processus (suite)

vfm
ib
L
d
e
a
sli
iq
Lirl
p
o
b
e
a
n
d
noitacirbaf
enesém
G
ià
d
i’irl
nC
p
d
a
e
c'rli
'B
g
a
p
e
d
sri
étiligA
trmnA
actli
e
d
p
utfnC
ai
p
xitnC
ie
p’li
d
n
e
rtfe
iE
ià
ei'l
p
d
O
a
e
dcri
vé
fm
tnP
e
ci
rto
a
rtn
te
vim
fieé
ufié
rixéra
ve
n
d
cfetn
ih
é
a
o
e
u
fx
eftnS
ra
eti
d
técsca
n
p
e
h
o
tnn
o
e
osgtou
n
e
ix
rée
o
iloo
oreeriutoistsqsfé
snoitulos
rs
rls
spito
ré
itoroeo
sefné
a
e
te
éo
srip
o
sfrtnT
a
e
d
icri
tisa
eivcrivntlonâ
a
o
e
in
p
cirvié
ts
tisp
lgta
n
d
x
rnru
a
a
n
tsoiré
txe
o
virclh
tnemengilA
s
tlx
taU
id
a’tl
e
’D
eifl
u
à
d
aa
é
so
,osarsfip
opvsrm
fn
e
csoign
c
qnfirn
rnsg
e
irm
io
g
teea
rfre
iita
o
dte
qae
v
rlcp
a
o
a
n
iq
g
s
o
trace
g
nsléa
tirn
oe
ie
p
tcrsueia
tsnte
euqitansm
rce
ase
cfesé
isflcn
m
o
û
a
rm
og
ceséim
unrts
ietsauerm
so
iirviavp
iitrs
cm
a
noutoinstliae
qnistsoasensu
e
qstaciétsratuim
se
tném
rim
flcb
a
rn
m
tuacnrqsiolhp
é
é
n
iotgu
agcos,dta
spie
utaatm
e,stsn
eseisstesa
ape
nm
m
tre
utista
veo
e
ie
o
inrta
eétqtsntism
éqtsim
ie
ssenisg
nsro
is
te
ciié
an
stnee
llse
,secnnsaso
stn
iece
aittalm
iao
se,sm
qm
untoon
io
uo
ie
essq
snéotitliabnm
sie
q
atln
sen
é
eto
se,ssrn
itau
stnesmeeu
eu
ue
elu
eo
nio
nig
snoe
etn
sn
,nseo
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17
Apprentissage et
Processus COBIT 5 Financier Client Interne Croissance
APO01 Gérer l'informatique

PPSS S PS P. S S SPPP
Cadre de gestion
APO02 Gérer la stratégie P. SSS P. SS S S S SSSP
APO03 Gérer l'entreprise P. SSSSSSPS P. S S S
Architecture
APO04 Gérer l'innovation S PS PP P. S S P.
APO05 Gérer le portefeuille P. SSPSSSSS S P. S
APO06 Gérer le budget et les coûts S SSPPSS S S

,rengilA
APO07 Gérer l'humain PSSS S SS P. P. PPS

Ressources
APO08 Gérer les relations P. SSSP S S P. S PAS

APO09 Gérer le service S SSSP SSSS S PS
les accords
APO10 Gérer les fournisseurs S PSSP SPSS S SS S
APO11 Gérer la qualité SS PS P. SS S P. SSSS

APO12 Gérer les risques P. P. PSSSP P. SSSS
APO13 Gérer la sécurité P. P. PSS P. P.
BAI01 Gérer les programmes et P. SPPSSS S P. SS

Projets
BAI02 Gérer les exigences PSSSS P. SSSS P. S S S
Définition
BAI03 Gérer les solutions S SS P. S S S S S S

Identification et construction
BAI04 Gérer la disponibilité et SS P. SS P. S P. S

Capacité
BAI05 Gérer l'organisation

cœ
,eriruirreétsruvtntqueonm
tC
a
e
S S S SPS S S P. PS
Activation du changement
BAI06 Gérer les modifications SPS P. SSPS S S SS S
BAI07 Gérer le changement

Acceptation et SS SPS P. S SS S
Transition
BAI08 Gérer les connaissances S S SSPSS S PS
BAI09 Gérer les actifs S S PS SS P. SS
BAI10 Gérer la configuration P. S S SSS P. PS
228
,rerlleieuvlaruvtS
e
é e,cnnoeasctisaivirsrvsetia
Ls
e
Contrôles
Conformité
Processus COBIT 5
et les incidents
Contrôle interne
DSS03 Gérer les problèmes
DSS04 Gérer la continuité

DSS01 Gérer les opérations
MEA03 Surveiller, évaluer et

Évaluer le système de
Exigences externes
Évaluer les performances et
Évaluer la conformité avec

DSS02 Gérer les demandes de service
DSS06 Gérer les processus métier

tnemengilA
SS
01 02
snoe
itaué
eétqtsntism
ie
m
tre
ape
m
rrn
m
e
og
oe
rfre
fn
tlxn
a
o
ssgtou
n
e
ixo
h
fieré
to
nC
ap
d
a
e
c'rli
S
S
S
P.
P.
DSS05 Gérer le SP des services de sécurité
SSSPSSP
etn
ueqm
ie
stn
an
veo
m
iotgu
iitra
sscesoign
e
cé
sefné
a
e
rixéra
iE
ià
ei'l
p
d
P.
P.
P.
P.
Financier
euqitansm
oree
riutoistsqsfé
enesém
G
ià
d
i’irl
PS
PS
PS
PS
stnesmeeu
essq
llsieu
stistcaeséim
fcesé
eivcrivn
tlonrâ
aée
ufiré
o tn
'B
g
a
p
e
d
sri
e,stsn
unrtsa
û
o
qae
vo
fsrtnT
a
e
d
icri
03 04 05 06 07 08 09 10
SSS
S
P.
P.
P.
P.
P. sen
uoqnistsoasensu
m
rce
iqo
a
cirvié
tse
o
rrés
ve
n
d
vfm
n
e
ib
L
d
e
a
sli
SS
Client
,nseo
nig
n
io
eto
aittalm
iao
tuacnrqsiolhp
é
isflcn
ie
dte
p taU
id
a’tl
e
S
S
snoitulos
SS
SSS
SSS
SSSS
étiligA
se,ssrn
untoonciié
u
e
ttaatm
rim
tcrsueia
rlcp
tsoiré
a
eftnS
p ra
eti
d
S
S
S
PS
S
P.
P.
P.
11
sn
eou
sie
qstaciétsratuim
cm
,osarsfisp
o
tistpe
ca
fe
tn
O
a
e
dcri
Figure 18—Mappage des objectifs informatiques de COBIT 5 aux processus (suite)
ssenisg
noutoinstliae
a
o
strace
g
rnsg
e
vic
rlh
in
p
tisa
éo
té
csca
n
p
e
ih
tre
tm
nA
a
e
d
p
ctli
S
S
S
S
12
Interne
se,sm
tsnee
nm
agco,sd
ta
n
é
a
se
tsnte
irm
g
sn
a
io
g
aa
lgta
n
d
srirp
x ols
vim
é
a
o
e
u
fx
vré
tfe
iq
Lirl
p
o
b
e
a
n
d
S
snéotitliabnm
io
nsro
ie
o
spie
flcb
nsléa
iita
’D
eifl
u
à
d
noitacirbaf
SS
SS
PS
PS
13 14 15 16 17
SSSS
SSSS
SPSS
PSSS
S
euéqtsim
ietsauerm
o
qnfirn
txe
o
iloo
utfnC
ai
p
elu
atln
q
iece
inrta
teném
opvsrm
itoroeo
ftm
nP
e
ci
Annexe C
,secnn
sase
osesistesa
iirviavptirn
o
teea
rnru
spito
tnn
o
e
xitnC
ie
p’li
d
S
S
S
S
Croissance
229
Apprentissage et
230

COBIT 5 - Enabling Processes V - (Traduction Française)

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

COBIT 5 - Enabling Processes V - (Traduction Française)

Transféré par

Droits d'auteur :

Formats disponibles

Machine Translated by Google

Activation des processus

: Activation des processus

3701 Algonquin Road, Suite 1010 Rolling

Courriel : info@isaca.org Site

COBIT® 5 : Processus habilitants

Groupe de travail COBIT 5 (2009­2011)

Participants à l'atelier Gary

: Activation des processus

: Activation des processus

Comité Cadre (2009­2012)

Affiliés et sponsors de l'ISACA et de l'IT Governance Institute® (ITGI®) American

Entreprise GRC Solutions Inc.

Table des matières

Table des matières

Chapitre 1 Introduction .............................................. .................................................................. .................................................................. .............. 11

Chapitre 3. Le modèle de processus COBIT 5 ............................................ .................................................................. ...................................... 19 Gestion

Chapitre 4. Le modèle de référence de processus COBIT 5 .................................................. .................................................................. ....................... 23 Processus

Chapitre 5. Contenu du guide de référence du processus COBIT 5 ................................................. .................................................................. ........... 25

: Activation des processus

Page laissée volontairement vierge

Liste des figures

Liste des figures

Figure 1— Famille de produits COBIT 5.................................................. .................................................................. ......................................................11

: Activation des processus

Page laissée volontairement vierge

Figure 1—Famille de produits COBIT 5

Guides du facilitateur COBIT 5

COBIT 5 Guides Professionnels

Environnement collaboratif en ligne COBIT5

La famille de produits COBIT 5 comprend les produits suivants :

Cette publication est structurée comme suit :

: Activation des processus

Page laissée volontairement vierge

Cascade d'objectifs COBIT 5

Figure 2—L'objectif de gouvernance : création de valeur

Objectif de gouvernance : création de valeur

Avantages Risque Ressource

La cascade des objectifs COBIT 5 est illustrée à la figure 3.

Étape 2. Les besoins des parties prenantes se transforment en objectifs d'entreprise

: Activation des processus

Figure 3—Aperçu de la cascade des objectifs COBIT 5

Moteurs des parties prenantes

(Environnement, Evolution technologique, …)

Besoins des parties prenantes

Avantages Risque Ressource

Cascade vers Annexe D, COBIT 5

Objectifs de l'entreprise Figure 4

Cascade vers Appendice B

Objectifs liés à l'informatique Figure 5

Cascade vers Annexe C

Figure 4—Objectifs d'entreprise COBIT 5

Avantages Risque Ressource

2. Portefeuille de produits et services compétitifs P. P. S

3. Gestion des risques commerciaux (sauvegarde des actifs) P. S

4. Conformité aux lois et réglementations externes P.

Client 6. Culture de service orientée client P. S

7. Continuité et disponibilité des services commerciaux P.

8. Des réponses agiles à un environnement commercial changeant P. S

9. Prise de décision stratégique basée sur l'information P. P. P.

10. Optimisation des coûts de prestation de services P. P.

Interne 11. Optimisation de la fonctionnalité des processus métier P. P.

12. Optimisation des coûts des processus métier P. P.

Groupe de travail COBIT 5 (20092011)

Comité Cadre (20092012)

processus métier provoqués par la nondisponibilité des informations.