Introduction

Constat : Le fonctionnement de la majorit des grandes entreprises, aujourd'hui, repose compltement sur le traitement de l'information. Ncessit : Il est vital, pour leur avenir, que le systme d'information soit en cohrence avec les objectifs et la stratgie globale de l'entreprise. Volont des dirigeants : Le SI doit apporter de la valeur ajout et de la performance dans lorganisation. Le CobiT est un outil puissant qui a t conu pour uvrer dans ce sens.

I. Prsentation gnrale de CobiT

1. Historique de CobiT
CobiT est le rsultat des travaux collectifs raliss par les principaux acteurs de la profession, auditeurs internes ou externes, fdrs au sein de lISACA (Information System Audit and Control Association). Cette association mondiale base aux tats-Unis est dploye dans les plus grandes villes du monde. Elle est reprsente en France par lAFAI (Association franaise pour laudit et le conseil en informatique). Dans ses premires versions, publies partir de 1996, CobiT (Control OBjectives for Information and related Technology) se positionne comme un rfrentiel de contrle. Il dcline sur le domaine IT les principes du rfrentiel COSO (Committee of Sponsoring Organizations of the Treadway Commission), publis pour la premire fois en 1992 et dont lobjectif est daider les entreprises valuer et amliorer leur systme de contrle interne. En 1998, lITGI (Information Technology Governance Institute) a t cr sur linitiative de lISACA, en rponse la place de plus en plus importante occupe par les technologies de linformation. En effet, dans la plupart des organisations ou des entreprises, lun des principaux facteurs de succs rside dans la capacit des systmes dinformation apporter la fois la diffrenciation stratgique et le support des activits. Dans un tel contexte, la gouvernance des systmes dinformation devient aussi critique que la gouvernance dentreprise. la suite des scandales ayant eu lieu au dbut des annes 2000 (Enron, etc.), le Congrs amricain vote, en 2002, la loi Sarbanes-Oxley (SOX) afin de redonner confiance aux investisseurs et aux actionnaires en garantissant la fois la transparence des comptes, lexistence de processus dalerte et lengagement des dirigeants (PDG, DAF). Ceci se traduit par un renforcement des contrles lis aux processus financiers.

Exemple : On retiendra, par exemple, la section 404 qui exige un contrle strict des accs et des autorisations. Bref : CobiT a t reconnu comme une rponse ces nouvelles exigences, tant en termes de contrle que de gouvernance. Les dispositions rglementaires, comme la loi SOX (IFRS, International Financial Reporting Standards, LSF, Loi de scurit financire, normes Ble II) ont acclr la diffusion de CobiT comme rfrentiel de contrle et de gouvernance des SI.

2. CobiT et la gouvernance des SI

En tant que rfrentiel de la gouvernance des systmes dinformation, le primtre de CobiT dpasse celui dvolu la direction des systmes dinformation pour englober toutes les parties prenantes des SI dans lentreprise (stakeholders1). 1. Stakeholders : reprsente lensemble des acteurs concerns par la gouvernance des SI, aussi bien les actionnaires et la direction gnrale que les mtiers. Ce terme est souvent traduit par les parties prenantes. Selon CobiT, la gouvernance des systmes dinformation est de la responsabilit des dirigeants et du conseil dadministration, elle est constitue des structures et processus de commandement et de fonctionnement qui conduisent linformatique de lentreprise soutenir les stratgies et les objectifs de lentreprise, et lui permettre de les largir . Shma :

Cette figure illustre aussi bien la responsabilit de la fonction IT sur les quatre grands domaines de la gouvernance selon CobiT (planifier et organiser, dlivrer et supporter, surveiller et valuer, acqurir et implmenter) que les responsabilits des mtiers. CobiT se fixe des objectifs trs pragmatiques refltant les proccupations de la direction gnrale, tels que : articuler le systme dinformation aux besoins des mtiers, cest lalignement stratgique ; apporter des avantages concrets au fonctionnement des processus mtier (efficacit et efficience) ;

utiliser lensemble des ressources en liaison avec les SI (infrastructures,applications, informations et personnes) de faon optimise et responsable; matriser les risques lis au SI et leurs impacts pour les mtiers.

Structur en processus1, CobiT prend en compte les besoins des mtiers,et plus gnralement des parties prenantes, dans une logique damlioration continue. Les entres des processus CobiT sont bases sur les exigences ngocies des parties prenantes (mtiers, etc.) conduisant des objectifs.Ensuite, lexcution des processus est garantie par des responsabilits clairement affectes et des mesures de performances face aux objectifs fixs. La satisfaction des clients fait partie des mesures de performance. ce stade, loriginalit de CobiT est sans doute de crer systmatiquement un lien entre parties prenantes et DSI, ce qui ncessite bien souvent une petite rvolution culturelle aussi bien pour les acteurs de la DSI dans leur tour divoire que pour les mtiers et la direction gnrale qui ignoreraient superbement le caractre stratgique des SI. Le point cl sous-jacent cette dmarche est linstauration de dialogues constructifs tous les niveaux de lorganisation, entre parties prenantes et DSI. Ce postulat pos, chaque processus propose une liste dobjectifs de contrle qui nous semble solide et une vision du management du processus (activits principales, responsabilits et indicateurs) qui nous parat plutt indicative et sujette contextualisation. Le rfrentiel CobiT, avec ses 34 processus gnriques, est une proposition qui pourra tre revue pour sadapter la cartographie propre de lorganisation considre. De la mme faon, on pourra facilement coupler CobiT dautres rfrentiels du march (ISO 27001, ITIL pour Information Technology Infrastructure Library ou CMMI pour Capability Maturity Model Integration) en btissant un cadre de rfrence satisfaisant lensemble des exigences. Ceci est dautant plus vrai que les processus de CobiT sont parfois globaux et sinterprtent souvent comme des macroprocessus de rfrentiels plus spcialiss. CobiT est donc un cadre fdrateur. CobiT sert aussi comparer entre elles (benchmark) diffrentes entits de lentreprise. Il permet galement, avec les restrictions dusage, de se comparer dautres entreprises. Plus couramment, il conduit la dfinition de ses propres objectifs et leur valuation priodique.

Les membres de lISACA utilisent CobiT dans de nombreux secteurs dactivit travers le monde. Les spcificits culturelles et les diffrences davance de dveloppement sur le plan technologique ne semblent pas limiter ladquation de CobiT pour lalignement des systmes dinformation aux objectifs stratgiques de lentreprise.

3. Les axes stratgiques de CobiT

En rponse la volont dexercer une bonne gouvernance des SI, CobiT sattache aux cinq axes prsents ci-aprs : Lalignement stratgique : Il consiste sassurer que les plans informatiques restent aligns sur les plans des mtiers, dfinir, tenir jour et valider les propositions de valeur ajoute de linformatique, aligner le fonctionnement de linformatique sur le fonctionnement de lentreprise. Exemple : Une direction marketing qui souhaite lancer un nouveau produit ou service. Il est indispensable de sassurer que les exemplaires de ce produit, lorsquils seront disponibles, pourront tre commands puis facturs. Si le canal de commande est le Web, la disponibilit de lapplication de commande en ligne doit tre assure avec lensemble des lments ncessaires la commande du produit (rfrences, prix, conditions particulires, etc.). Par alignement stratgique, il faut donc entendre la capacit fournir les services souhaits en temps et en heure avec le niveau de qualit requis. Dans le cas de notre direction marketing, cela signie que le projet de mise disposition de commande en ligne doit tre identi et prioris ds la rexion amont par la direction marketing, ceci an dtre dans les temps au moment de lannonce du produit au march. Lalignement stratgique se matrialise par un plan stratgique qui devra traiter des budgets dinvestissements et de fonctionnement, des sources de nancement, des stratgies de fourniture et dachats tout en intgrant les exigences lgales et rglementaires. Lapport de valeur : Il consiste mettre en uvre la proposition de valeur ajoute tout au long de la fourniture du service, sassurer que linformatique apporte bien les bnfices attendus sur le plan stratgique, sattacher optimiser les cots et prouver la valeur intrinsque des SI. Exemple :

Dans le cas de notre direction marketing, lapport de valeur va se matrialiser par la mise en place dun canal de distribution adressant une nouvelle clientle. Il permettra la vente permanente du produit tout en saffranchissant des contraintes de la distribution classique organise autour dun lieu gographique et de plages horaires plus limites que laccs Web. Dans le processus de distribution, lapport de linformatique doit pouvoir tre mesur an didentier la valeur apporte en termes de volume de ventes, de progression de chiffre daffaires et de marge par rapport aux prvisions. Lapport de valeur se concrtise par la matrise des processus de fonctionnement en termes defficacit et defficience. Ceci vient complter le processus de pilotage des investissements qui traitera des cots, des bnces et des priorits en fonction de critres dinvestissement tablis (ROI [Return On Investment], dure damortissement, valeur nette actuelle). La gestion des risques : Elle exige une conscience des risques de la part des cadres suprieurs, une vision claire de lapptence de lentreprise pour le risque, une bonne connaissance des exigences de conformit, de la transparence propos des risques significatifs encourus par lentreprise et lattribution des responsabilits dans la gestion des risques au sein de lentreprise. Exemple : Dans notre exemple de distribution par le Web, si ce canal est le seul prvu pour le produit en question, lindisponibilit pour cause de panne ou de retard dans louverture du service de commande en ligne se solde par une perte nette de revenus qui ne sera jamais rcupre. Dans le secteur du transport arien, la panne du systme de rservation peut clouer au sol lensemble des avions dune compagnie. Dans le monde boursier, larrt des systmes informatiques stoppe immdiatement toutes les transactions. La gestion des risques informatiques ou des systmes dinformation correspond un rfrentiel qui comprend une analyse de risque et un plan de traitement des risques associ. Ce plan de traitement des risques doit tre tabli selon des critres de tolrance par rapport au prjudice nancier li la ralisation des risques. Cela veut dire en dautres termes que les moyens engags pour couvrir les risques ne doivent pas coter plus cher que le prjudice lui-mme. La gestion des ressources : Elle consiste optimiser linvestissement dans les ressources informatiques vitales et bien les grer applications, informations, infrastructures et personnes. Les questions cls concernent loptimisation des connaissances et de linfrastructure. Exemple :

Dans notre exemple de direction marketing, cela revient dire que les ressources humaines et technologiques sont mobilises au mieux en termes de volume, dexpertise/comptences, de dlai et de capacit. Cette gestion des ressources se matrialise par une cartographie des comptences et un plan de recrutement/formation en ce qui concerne les ressources humaines. Cette gestion des ressources est articule la gestion des tiers an doptimiser le make or buy. Les ressources technologiques font partie du primtre et donneront lieu un plan dinfrastructure. Celui-ci traitera des orientations technologiques, des acquisitions, des standards et des migrations. Dans ce cas, la responsabilit du mtier consiste exprimer ses besoins, par exemple, en termes de capacit (comme le nombre de clients en ligne simultanment). La mesure de la performance : Elle consiste en un suivi et une surveillance de la mise en uvre de la stratgie, de laboutissement des projets, de lutilisation des ressources, de la performance des processus et de la fourniture des services, en utilisant par exemple des tableaux de bord quilibrs qui traduisent la stratgie en actions orientes vers le succs dobjectifs mesurables autrement que par la comptabilit conventionnelle. Exemple : La mesure de la performance rpond aux exigences de transparence et de comprhension des cots, des bnces, des stratgies, des politiques et des niveaux de services informatiques offerts conformment aux attentes de la gouvernance des systmes dinformation. L encore, CobiT tente de faire le lien entre les objectifs de la gouvernance et les objectifs dcliner sur les processus ou les activits. Ce faisant, on cre du lien et on donne du sens aux objectifs de performance des SI comme support aux mtiers. Ces mesures peuvent facilement se traduire par la mise en place dun BSC (Balanced Scorecard1) qui va offrir une vision densemble de la performance.

II. Apprhender CobiT

1. Les composants de CobiT
Les quatre domaines de CobiT regroupent des ensembles cohrents de processus. Le domaine PO reprsente la dimension stratgique de la gouvernance des TI. Le domaine AI rassemble tous les processus qui impactent les ressources, de lacquisition limplmentation : on y trouve aussi bien les projets que la mise en exploitation. Le domaine DS est consacr

aux services offerts aux clients de la DSI. Enn, le domaine SE couvre largement la dimension de contrle, daudit et de surveillance de lensemble. Les critres dinformation : Pour la gouvernance des TI, CobiT prend en compte une trs riche segmentation de linformation selon des critres prcis (efficacit, efficience, condentialit, intgrit, disponibilit, conformit et abilit). Ces critres correspondent aussi bien au point de vue dun auditeur qu celui du manager. Les ressources informatiques : Cette dnomination regroupe les quatre classes suivantes : applications, informations, infrastructures et personnes. Application : les systmes automatiss et les procdures pour traiter linformation. Information : les donnes, comme entres ou sorties des systmes dinformation, quelle que soit leur forme. Infrastructure : les technologies et les installations qui permettent le traitement des applications. Personnes : les ressources humaines ncessaires pour organiser, planier, acqurir, dlivrer, supporter, surveiller et valuer les systmes dinformation et les services. Objectifs mtier et objectifs informatiques : De faon globale, CobiT propose 17 objectifs mtier rpartis selon les quatre axes dun BSC, savoir : perspective nancire, perspective client, perspective interne la DSI et perspective future ou anticipation. Ces 17 objectifs mtier renvoient 28 objectifs informatiques, eux mmes lis aux processus CobiT, un mme objectif informatique tant associ un ou plusieurs processus CobiT. Ainsi, CobiT offre une transitivit entre objectifs mtier et informatiques, processus et activits.

2. Les processus de CobiT

Le COBIT est un rfrentiel de gouvernance des systmes d'information qui dcompose tout systme informatique en 34 processus, lesquels sont rpartis en quatre domaines fonctionnels : Planifier et Oragniser (Plan and Organise) (10 processus).

 Acqurir et Implmenter (Acquire and Implement) (7 processus). Livrer et Supporter (Deliver and Support) (13 processus). Surveiller et Evaluer (Monitor and Evaluate) (4 processus). Ces 4 domaines permettent de couvrir 318 objectifs. Ce rfrentiel s'adresse majoritairement deux grandes catgories d'acteurs : Les auditeurs et consultants, Les responsables des systmes d'information. La direction gnrale ainsi que les diverses directions mtiers sont bien videmment concernes dans la mise en place et lutilisation de COBIT. Chaque processus : Met en uvre des ressources informatiques (applications, informations, infrastructures et personnes au sens comptences) ; Fournit une information destine satisfaire les besoins mtiers exprims sous formes de critres (efficacit, efficience, confidentialit, intgrit, disponibilit, conformit, fiabilit) ; Concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratgique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance).

3. Le modle de maturit
Le CobiT sert aussi valuer les processus mis en place. Il permet de dfinir leur niveau de maturit. CobiT propose un modle de maturit gnrique faisant lobjet dune dclinaison spcifique pour chacun des 34 processus. Ainsi, la mise en uvre de chacun des 34 processus peut tre confronte des stades du modle de maturit selon une chelle classique en la matire. En se limitant cette description gnrique, on peut donc mesurer de faon globale la maturit de chaque processus et piloter leur amlioration. Ci-aprs une reprsentation graphique des rsultats permettant une Direction Gnrale de visualiser les points forts et les points faibles de son entreprise. On peut y dceler soit une certaine homognit des processus, soit au contraire des maillons faibles ncessitant une rvision de stratgie.

Conclusion
Les limites : ce que CobiT nest pas Mme si CobiT est lorigine un rfrentiel issu du monde du contrle interne, il na pas pour vocation de servir de rfrentiel de certification selon une approche de conformit des exigences rglementaires ou contractuelles comme lISO 9001, ou dvaluation de processus comme lapproche CMMI. En revanche, les objectifs de contrle de CobiT sont largement utiliss pour rpondre des exigences de certification ou de contrle interne comme SOX, Ble II. CobiT ne propose pas une organisation spcifique lie la gouvernance des systmes dinformation dune entreprise comme le proposent les normes de systme de management pour la filire qualit. Enfin, CobiT nest pas un outil de conduite du changement miraculeux qui diffuserait une culture de la mesure de la performance et de lamlioration. En revanche, son dploiement peut aider le management mener une action de changement simultanment.