Académique Documents
Professionnel Documents
Culture Documents
e.isiam.ma
Le processus TI
2
Pour chacun des 34 processus, Cobit détermine 4 rôles présentés sous
l’acronyme RACI :
3
Le cube Cobit
4
Cobit détermine dans le processus TI:
5
Le concept de « domaine » est important dans l’architecture de Cobit,
car il définit une répartition logique vis-à-vis des systèmes
d’information
6
Planification et Organisation (PO)
7
Le domaine PO, regroupe les 10 processus suivants:
8
Application (des exemples)
Objectif de contrôle:
9
PO7.4 Formation
Objectif de contrôle:
10
Acquisition et Implémentation (AI)
11
Le domaine AI porte sur les points suivants:
12
Le domaine AI, regroupe les 7 processus suivants:
13
Exemple
14
AI1.1 Définition et actualisation des exigences métiers, techniques et
fonctionnelles
Objectif de contrôle:
15
Distribution et support (DS)
16
Le domaine DS, regroupe les 13 processus suivants:
17
Exemple
Objectif de contrôle:
18
Surveillance et Évaluation (SE)
Ce domaine recouvre l’évaluation et la surveillance de la qualité et de la
conformité des processus informatiques par rapport à des critères préétablies
19
Le domaine SE, regroupe les 4 processus suivants:
20
Exemple
Objectif de contrôle
21
Objectifs de l’entreprise
Gouvernance des Technologies de l’Information
ME1 Monitor and evaluate IT performance. PO1 Define a strategic IT plan.
ME2 Monitor and evaluate internal control. PO2 Define the information architecture.
ME3 Ensure regulatory compliance. PO3 Determine technological direction.
ME4 Provide IT governance. PO4 Define the IT processes, organisation and relationships.
PO5 Manage the IT investment.
PO6 Communicate management aims and direction.
PO7 Manage IT human resources.
PO8 Manage quality.
INFORMATION PO9 Assess and manage IT risks.
• Effectiveness PO10 Manage projects.
• Efficiency
• Confidentiality
• Integrity
• Availability
• Compliance
• Reliability
MONITOR AND PLAN AND
COBIT 4.1
EVALUATE ORGANISE
IT RESSOURCES
• Applications
• Information
• Infrastructure
• People
ACQUIRE AND
DS1 Define and manage service levels.
DS2 Manage third-party services.
DELIVER AND IMPLEMENT
DS3 Manage performance and capacity. SUPPORT
DS4 Ensure continuous service.
DS5 Ensure systems security. AI1 Identify automated solutions.
DS6 Identify and allocate costs. AI2 Acquire and maintain application software.
DS7 Educate and train users. AI3 Acquire and maintain technology infrastructure.
DS8 Manage service desk and incidents. AI4 Enable operation and use.
DS9 Manage the configuration. AI5 Procure IT resources.
DS10 Manage problems. AI6 Manage changes.
DS11 Manage data. AI7 Install and accredit solutions and changes.
DS12 Manage the physical environment.
DS13 Manage operations.
22
Le modèle de maturité de Cobit
Pour contrôler efficacement l'infrastructure du système d'information, les
managers se posent souvent le genre de questions suivantes:
23
Le modèle de maturité de Cobit permet au propriétaire du processus,
de déterminer le niveau d'adhésion de ce processus aux objectifs de
contrôle, soit sous la forme d'une auto-évaluation, soit en ayant
recours à une évaluation externe
24
Modèle de maturité
25
En s’appuyant sur le modèle de maturité, la direction peut faire
apparaître, pour chacun des 34 processus TI du CobiT, :
26
Modèle général de maturité
27
Niveau 2 (Reproductible): Des processus se sont développés
jusqu'au stade où des personnes différentes exécutant la même
tâche utilisent des procédures similaires. Il n'y a pas de formation
formelle ou de communication des procédures standard, et la
responsabilité est laissée à l'individu. On se repose beaucoup sur
les connaissances individuelles, d'où une probabilité d'erreurs
28
Niveau 3 (Défini): Des procédures ont été standardisées,
documentées et communiquées via des séances de formation.
Toutefois, leur utilisation est laissée à l'initiative de chacun, et il est
probable que des déviations seront constatées. Concernant les
procédures elles-mêmes, elles ne sont pas sophistiquées, mais
formalisent des pratiques existantes.
29
Niveau 4 (Géré): Il est possible de contrôler et de mesurer la
conformité aux procédures et d'agir lorsque des processus
semblent ne pas fonctionner correctement. Les processus sont en
constante amélioration et correspondent à une bonne pratique.
L'automatisation et l'utilisation d'outils s'effectuent d'une manière
limitée ou partielle
30
Niveau 5 (Optimisé): Les processus ont atteint le niveau des
meilleures pratiques, suite à une amélioration constante et à la
comparaison avec d'autres organisations. L'informatique est utilisée
comme moyen intégré d'automatiser les flux de travaux, offrant des
outils qui permettent d'améliorer la qualité et l'efficacité et de
rendre l‘organisation rapidement adaptable.
31
Exemple. Maturité du processus DS5 Assurer la sécurité du
système
32
Niveau 1 Initialisé, au cas par cas: L’entreprise reconnaît le besoin
de sécurité informatique. La sensibilisation au besoin de sécurité
est principalement une affaire individuelle. On réagit aux
circonstances. La sécurité informatique ne fait pas l’objet de
mesures. Chacun désigne quelqu'un d'autre lorsque des atteintes à
la sécurité sont détectées, parce que les responsabilités ne sont pas
clairement définies. On ne peut pas prévoir quelles réponses
seront données aux incidents de sécurité.
33
Niveau 2 Reproductible, mais intuitif: Les responsabilités
opérationnelles et finales de la sécurité des SI sont confiées à un
coordinateur bien que son autorité soit limitée. La sensibilisation
au besoin de sécurité est fragmentaire et limitée. Bien que les
systèmes produisent des informations relatives à la sécurité, on ne
les analyse pas. Les services fournis par des tiers ne répondent pas
toujours aux besoins de sécurité spécifiques de l’entreprise. On
développe des politiques de sécurité, mais les compétences et les
outils sont inadéquats. Les rapports sur la sécurité sont incomplets,
trompeurs ou sans pertinence. Il existe une formation à la sécurité,
mais elle reste avant tout une initiative individuelle. La sécurité
informatique est considérée surtout comme de la responsabilité et
du domaine de l’informatique, et les métiers ne voient pas qu’elle
fait partie du sien.
34
Niveau 3: Défini: Le management fait la promotion de la sécurité et
le personnel commence à y être sensibilisé. Les procédures de
sécurité informatique sont définies et alignées sur la politique de
sécurité des SI. Les responsabilités dans ce domaine sont attribuées
et comprises, mais pas systématiquement exercées. Il existe un plan
de sécurité des SI et des solutions élaborées à partir de l’analyse des
risques. Les rapports sur la sécurité ne sont pas clairement axés sur
les métiers. On fait des tests de sécurité (ex. tests d’intrusion) au
cas par cas. La formation à la sécurité est accessible au personnel
informatique et des métiers, mais elle n’est gérée et planifiée que
de façon informelle.
35
Niveau 4: Géré et mesurable: Les responsabilités de la sécurité des SI sont
clairement attribuées, gérées et exercées. On analyse régulièrement les
risques informatiques et leurs conséquences. On complète les politiques et
les procédures de sécurité par des principes de base spécifiques à la
sécurité. On rend obligatoire les méthodes pour promouvoir la
sensibilisation à la sécurité. On a standardisé l'identification des
utilisateurs, leur authentification, et leurs droits d'accès. On poursuit la
certification des personnels responsables de l’audit et de la gestion de la
sécurité. Les tests de sécurité utilisent un processus standardisé et
formalisé qui conduit à des améliorations des niveaux de sécurité. Les
processus de sécurité des SI sont coordonnés avec la fonction de sécurité
générale de l'entreprise. Les rapports sur la sécurité informatique sont liés
aux objectifs métiers. La formation à la sécurité est suivie à la fois par le
personnel informatique et par le personnel des métiers. La formation à la
sécurité est planifiée et gérée de façon à répondre aux besoins des métiers
et aux profils de risques définis pour la sécurité. On a défini des objectifs et
des métriques de gestion de la sécurité mais on ne les évalue pas encore.
36
Niveau 5 Optimisé: La sécurité des SI est sous la responsabilité conjointe des responsables
métiers et informatique, et elle fait partie des objectifs de sécurité de l'entreprise. Les
exigences de sécurité informatique sont clairement définies, optimisées, et incluses
dans un plan de sécurité approuvé. Les utilisateurs et les clients sont de plus en plus
responsables de la définition des exigences de sécurité, et les fonctions de sécurité
sont intégrées aux applications dès la conception. On traite rapidement les incidents
de sécurité à l’aide de procédures spécifiques formalisées qui s’appuient sur des outils
informatiques. Des évaluations périodiques de la sécurité permettent d’évaluer le bon
fonctionnement du plan de sécurité. On collecte et on analyse systématiquement les
informations sur les menaces et sur les failles de sécurité. On communique et on met
rapidement en place des contrôles adaptés pour réduire les risques. L'amélioration
permanente des processus s'appuie sur des tests de sécurité, une analyse causale des
incidents de sécurité, et une identification proactive des risques. Les processus et
technologies de sécurité sont intégrés dans l'ensemble de l'entreprise. On évalue, on
recueille les métriques de la gestion de la sécurité et on en communique le résultat. Le
management en utilise les résultats pour adapter le plan de sécurité selon un
processus d’amélioration continue.
37
Le modèle de maturité se base donc sur le principe suivant :
La qualité d'un système est largement tributaire de la qualité du processus utilisé pour son développement (et
sa maintenance)
Perte de temps ;
Stress et burn-out ;
Technologie mal exploitée ;
Contribution faible aux objectifs d’affaires.
38