1
Cobit.Le référentiel de la gouvernance
du système d’information. Présentation, principes de mise en oeuvre
et perspectives.
Association Nationale des Directeurs de Systèmes d’Information.16 janvier 2007
[email protected]://www.delvaux-conseil.com
2Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Le contexte…
Source CIGREF
3Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Agenda
• Présentation de COBIT– Historique– La Gouvernance des TI et les processus– Modèle de maturité– Tableau de bord équilibré
• « Mapping » entre COBIT et d’autres standards• Principes de mise en œuvre
– Une approche processus– Double stratégie– Identifier le commun et le spécifique– Planifier la mise en oeuvre– Réapproprier l’existant– Organisation– Logiciels supportant la démarche – Retour d’expérience
• Perspectives– COBIT V4– ValIT
4Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Agenda
• Présentation de COBIT– Historique– La Gouvernance des TI et les processus– Modèle de maturité– Tableau de bord équilibré
• « Mapping » entre COBIT et d’autres standards• Principes de mise en œuvre
– Une approche processus– Double stratégie– Identifier le commun et le spécifique– Planifier la mise en oeuvre– Réapproprier l’existant– Organisation– Logiciels supportant la démarche– Retour d’expérience
• Perspectives– COBIT V4– ValIT
5Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Historique
• Conçu et géré par l’IT Governance Institute.– http://www.itgi.org/ – http://itgi-france.com/
• Indépendant et libre de droits.
• Forte évolution du positionnement.– Issu du milieu de l’audit SI (V1 : 1996).– Largement accaparé par le management des SI.
- Le présent exposé se place résolument dans cette approche.– La dernière version (V4 : 2006) consacre cette évolution.
• Intègre 41 Directives & Standards internationaux.
• Diffusion mondiale.
• Très nombreuses traductions.– L'AFAI publiera la version française de COBIT V4 début 2007.
• Utilisation importante et en croissance forte.
• Utilisé dans les cadres Sarbanes Oxley, IFRS, LSF.
6Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Historique
7Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus
8Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus
COBIT : Structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus.
9Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus• Planification et Organisation (PO)
– Stratégie et tactique informatique– Contribution aux objectifs de l’entreprise– Planification, communication et gestion– Organisation adéquate et infrastructure technologique
• Acquisition et Mise en Place (AMP)– Mise en œuvre de la stratégie informatique– Identification, développement ou acquisition, mise en place des
solutions– Intégration des solutions aux processus de gestion– Modification et maintenance des systèmes
• Distribution et Support (DS)– Fourniture des services nécessaires– Sécurité de l’exploitation– Mise en place des processus de support– Traitement des données par les applications
• Surveillance (S)– Evaluation régulière de tous les processus informatiques– Conformité aux exigences de contrôle et qualité des contrôles
10Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus
11Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus
12Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus
4
34
318
COBIT exprime le QUOI, pas le COMMENT.(OCD)
13Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBITModèle de maturité
14Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBITModèle de maturité
• Définition plus détaillée de chaque niveau de maturité.
• 6 dimensions de la maturité :– Compréhension & Sensibilisation– Formation & Communication– Processus & Pratiques– Techniques & Automatisation– Conformité– Expertise
• Déclinaison de chaque dimension pour tous les niveaux de maturité.
• Le modèle de maturité est décliné– Pour chaque processus– Pour chaque niveau de maturité.
15Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Tableau de bord équilibré
• Un Indicateur Clé d'Objectif (ICO) est la mesure de "ce qui" doit être accompli. Cet indicateur est souvent défini comme le but à atteindre.
• Un Indicateur Clé de Performance (ICP), est la mesure de la "qualité" de la progression du processus.
16Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Tableau de bord équilibré
• Vue externe.• Gestion financière
– Comment les actionnaires nous voient-ils ?• Clients
– Comment les clients nous voient-ils ? • Vue interne.
• Processus interne– Comment nous considérons-nous nous-mêmes ? (orientation et
qualité du processus)• Connaissance/Innovation
– Avons-nous la capacité de continuer à améliorer nos produits/services, et à créer de la valeur ?
17Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Tableau de bord équilibré
18Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Agenda
• Présentation de COBIT– Historique– La Gouvernance des TI et les processus– Modèle de maturité– Tableau de bord équilibré
• « Mapping » entre COBIT et d’autres standards• Principes de mise en œuvre
– Une approche processus– Double stratégie– Identifier le commun et le spécifique– Planifier la mise en oeuvre– Réapproprier l’existant– Organisation– Logiciels supportant la démarche – Retour d’expérience
• Perspectives– COBIT V4– ValIT
19Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
« Mapping » entre COBIT et d’autres standards
• Les différents « standards » ne sont pas concurrents mais complémentaires!
• COBIT est le standard intégrateur du SI de l’entreprise.
• COBIT adresse le SI de l’entreprise et donc s’adresse à l’ensemble des directions de l’entreprise.
• COBIT est un outil de leadership du DSI sur le SI de l’entreprise.
• ITIL et CMMI s’adressent aux responsables internes ou externes des opérations et du développement.
• Il importe de bien positionner le standard au bon niveau de responsabilité!
– Et les positionnements sont différents!
COBIT adresse le SI et s’adresse à l’ensemble de l’entreprise.
20Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Project Program
ITILITIL
Deliver & SupportDeliver & SupportMonitorMonitor
Planning & Organization
Acquire & Implement
Planning & Organization
Acquire & ImplementPlan & OrganisePlan & OrganiseDefine
Strategic IT Plan
Define Strategic IT Plan
Define IT Organization
& Relationships
Define IT Organization
& Relationships
Manage IT InvestmentManage IT
Investment
Determine Technological
Direction
Determine Technological
Direction
Communicate Aims & Direction
Communicate Aims & Direction
Manage Human
Resource
Manage Human
Resource
Ensure Compliance With External
Standards
Ensure Compliance With External
Standards
Assess RisksAssess
Risks
Manage ProjectsManage
Projects
Manage QualityManage
Quality
Identify Automated Solutions
Identify Automated Solutions
Acquire & Maintain
Application Software
Acquire & Maintain
Application Software
Acquire & Maintain
Technology Infrastructure
Acquire & Maintain
Technology Infrastructure
Develop & Maintain
IT Procedures
Develop & Maintain
IT Procedures
Install & Accredit Systems
Install & Accredit Systems
Manage ChangeManage
Change
Manage Performance
& Capacity
Manage Performance
& Capacity
Ensure Continuous
Service
Ensure Continuous
Service
Ensure System Security
Ensure System Security
Identify & Allocate
Costs
Identify & Allocate
Costs
Manage Third-Party
Services
Manage Third-Party
Services
Define & Manage Service Levels
Define & Manage Service Levels
Educate &
Train Users
Educate &
Train Users
Assist & Advise
IT Customers
Assist & Advise
IT Customers
Manage ConfigurationManage
Configuration
Manage Problems & Incidents
Manage Problems & Incidents
Manage DataManage
Data
Manage FacilitiesManage
Facilities
Manage OperationsManage
Operations
Monitor The
Process
Monitor The
Process
Assess Internal Control
Adequacy
Assess Internal Control
Adequacy
Obtain Independent
Assurance
Obtain Independent
Assurance
Provide Independent
Audit
Provide Independent
Audit
Define Information
Architecture
Define Information
Architecture
PRINCE2
PRINCE2
ISO 9001ISO 9001
ASLASL
IIPIIPISO
17799ISO
17799
EFQMEFQMSix
SigmaSix
Sigma
No ProjectNo
Project
GartnerGartner
21Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
« Mapping » entre COBIT et d’autres standards
22Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
« Mapping » entre COBIT et d’autres standards
Source ITSMF France
23Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Agenda
• Présentation de COBIT– Historique– La Gouvernance des TI et les processus– Modèle de maturité– Tableau de bord équilibré
• « Mapping » entre COBIT et d’autres standards• Principes de mise en œuvre
– Une approche processus– Double stratégie– Identifier le commun et le spécifique– Planifier la mise en oeuvre– Réapproprier l’existant– Organisation– Logiciels supportant la démarche – Retour d’expérience
• Perspectives– COBIT V4– ValIT
24Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBITUne approche processus
Mettre COBIT en œuvre c’est faire fonctionner
une sélection de processus
et viser un niveau de maturité.
Mettre COBIT en œuvre ce n’est pas
faire fonctionner indépendamment des activités.
4
34
318
Processus > Activités
25Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Double stratégie
Type de stratégie Excellence ciblée Amélioration globale
Concerne les processus …
choisis en fonction des objectifs et du contexte de l’entreprise et de l’énergie
affectable à COBIT.
l’ensemble des autres processus COBIT.
COBIT est… le référentiel de gestion du SI. un langage commun des professionnels du SI.
Maturité cibleNiveau 4 : géré.
(Voire 5 optimisé - S1 par ex.)Niveau 3 : défini.
Mode d’organisation Démarche projet. Démarche « participative ».
Responsabilités Propriétaire de processus et typologie des responsabilités. Champion de processus.
Mesure ICO, ICP. -
Financement Spécifique. -
Démarche Top-Down. Bottom-Up.
Planification de la mise en oeuvre Plan de projet. -
26Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Double stratégie
Temps
3
1
5
1 2 3
0,5 Niveau / an
1 Niveau / an
« Le temps ne respecte pas ce qu'on a fait sans lui. »SENEQUE
Mat
uri
té C
ible
Excellence ciblée
Amélioration globale
27Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Identifier le commun et le spécifique
Commun à l’ensemble des processus :-fonctionnement en processus-structure COBIT-sensibilisation, formation-…
Spécifique à chaque processus COBIT-ICO, ICP-FCS-…
Processus Objectif
Pilotage
Support
ICOICP TBEActivité
OC
D
Activité
OC
D
Activité
OC
D
Activité
OC
D
Activité
OC
D
Activité
OC
D
FCS
COBIT laisse libre le COMMENT :-Existant-Bonnes pratiques-Meilleures pratiques
28Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Planifier la mise en oeuvre
Temps
3
1
5
1 2 3
Mat
uri
té C
ible
Le plan est déterminé à partir :-des dimensions de la maturité-des niveaux de la maturité.
Plan d’actionPlan d’actionPlan d’actionPlan d’action
Plan d’actionPlan d’actionPlan d’actionPlan d’action1 Niveau / an
Pour chaque processus, viser un niveau égal pour chaque activité plutôt qu’un niveau élevé pour un nombre limité d’activités.
Veiller à respecter l’équilibre entre les différentes dimensions.
29Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Réapproprier l’existant
Mettre en œuvre la gouvernance du SI, c’est aussi :- tabler sur la gestion existante - la remettre progressivement dans le cadre COBIT.
Existant
Cible
Sp
écif
iqu
e
Commun
Le fossé entre la cible et l’existantest généralement plus granden ce qui concerne le fonctionnement en processus
30Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Organisation
Comité de pilotage des TIDSI
Dirigeants MoA
Propriétaire de processus« Excellence ciblée »
Propriétaire de processus« Excellence ciblée »
Propriétaire de processus« Excellence ciblée »
Propriétaire de processus« Excellence ciblée »
Propriétaire de processus« Excellence ciblée »
Propriétaire de processus« Excellence ciblée »
Direction Générale CA / Comité de Stratégie des TI
Champion de processus« Amélioration globale»
Champion de processus« Amélioration globale»
Champion de processus« Amélioration globale»
Champion de processus« Amélioration globale»
Champion de processus« Amélioration globale»
Champion de processus« Amélioration globale»
Champion de processus« Amélioration globale»
Champion de processus« Amélioration globale»
Champion de processus« Amélioration globale»
Champion de processus« Amélioration globale»
Responsable IT Gouvernance
31Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBITLogiciels supportant la démarche
• Approche suivi de la mise en œuvre– Construit autour de la structure COBIT (processus, OCD, FCS, …)– Environnement d’évaluation et de suivi de l’implantation– Origine : logiciels pour auditeurs
• Par exemple : CobiT Advisor (Methodware Ltd)– Version en français
32Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBITLogiciels supportant la démarche
• L’«ERP de la DSI ».– Pas de solution globale aujourd’hui, mais des solutions sur des parties
du paysage– Stratégies de développement par acquisition
- Mercury, Niku (Clarity CA), ITM Software, …
– Modèle COBIT (très) progressivement intégré.
33Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBITLogiciels supportant la démarche
• Plus simple…– Outils basiques et standards (Notes,
MS Project, …)– Open Source Tools?
• Dans tous les cas se focaliser d’abord sur
–Les meilleures pratiques
–La maturité des processus.
34Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBITRetour d’expérience
• Usinor– Approche Top-Down– Mise en avant de l’identification et le la gestion des risques– Prise en charge par la hiérarchie des métiers – COBIT = référentiel des risques – JP Delvaux : Gestion de l’information du Groupe.
• Arcelor– Approche Bottom-Up – Contexte de fusion– Réseau 50 top IT managers; international– COBIT = langage commun IT– JP Delvaux : « IT Governance Officer » rapportant au Group CIO.
• SMABTP– Démarche initiée et pilotée par le DSI– Accent mis sur l’implantation concrète dans le fonctionnement réel
- Étapes de sensibilisation, formation, planification, …
– Comité de pilotage, propriétaires de processus, …– Préparer Solvabilité 2– COBIT = Référentiel de gestion du SI– JP Delvaux : Consultant externe.
35Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Agenda
• Présentation de COBIT– Historique– La Gouvernance des TI et les processus– Modèle de maturité– Tableau de bord équilibré
• « Mapping » entre COBIT et d’autres standards• Principes de mise en œuvre
– Une approche processus– Double stratégie– Identifier le commun et le spécifique– Planifier la mise en oeuvre– Réapproprier l’existant– Organisation– Logiciels supportant la démarche– Retour d’expérience
• Perspectives– COBIT V4– ValIT
36Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
PerspectiveCOBIT V4
• Publié en novembre 2005; version française annoncée début 2007.• Entièrement orienté vers les gestionnaires des métiers et du
système d’information.– L’aspect audit du SI est totalement séparé.– Ce qui acte officiellement le glissement de fait de la cible de Cobit.
• L’accent est mis sur le rôle des gestionnaires (métier et SI) dans les processus de la gouvernance IT.
– Définition structurée des fonctions.– Croisement RACI avec les Processus.
• Fort alignement (des OCD) sur les référentiels de fait– Principalement ITIL, CMMI, ISO17799
• « Process Controls »– Génériques pour l’ensemble des processus; ils complètent les OCD
spécifiques à chaque processus.– Objectifs, Répétabilité, Rôles, Responsabilités, Performance, Plans,
Procédures, …• « Application controls »
– Identifie la responsabilité des propriétaires des processus métier pr aux applications.
– Complétude, validité, autorisation, séparation des responsabilités, …
37Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
PerspectiveCOBIT V4
• Plus forte capacité d’alignement des processus et objectifs IT sur les métiers.
• 20 Objectifs métier standardisés :– Vue financière
- Augmenter les parts de marché- ..
– Vue du client- Disponibilité du service- …
– Vue interne- Améliorer et maintenir les fonctionnalités des processus métier- …
– Vue Apprentissage & croissance- Acquérir et conserver du personnel qualitifé et motivé- …
• 28 « Objectifs IT » standardisés.– Intégrer les applications et les solutions technologiques harmonieusement
dans les processus des métiers– Assurer que les services IT sont disponibles comme requis– Livrer les projets à temps, dans le budget et en respectant les standards de
qualité.– …
• Tableaux croisés Processus / Objectifs métier / Objectifs IT
38Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
PerspectiveCOBIT V4
Gouvernance du SI
Alignement
stratégique
Fourniture
de valeur
G
esti
on
des
ris
qu
es
Gestion desressources
Mesu
re des
perfo
rman
ces
-Alignement avec l’activité professionnelle.-Solutions collaboratives.
- Preuves de la valeur du SI.- Optimisation des dépenses.
-Préservation des actifs informationnels.-Remise en service après incidents graves.-Continuité de l’activité.
Optimisation de la connaissance etdes infrastructures informatiques.
-Suivi des projets.-Suivi des services fournis par le SI.
• 5 domaines de la gouvernance– Croisement avec les processus
39Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
PerspectiveValIT
40Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Merci de votre attention!
• Présentation de COBITPrésentation de COBIT– HistoriqueHistorique– La Gouvernance des TI et les processusLa Gouvernance des TI et les processus– Modèle de maturitéModèle de maturité– Tableau de bord équilibréTableau de bord équilibré
• « Mapping » entre COBIT et d’autres standards« Mapping » entre COBIT et d’autres standards• Principes de mise en œuvrePrincipes de mise en œuvre
– Une approche processusUne approche processus– Double stratégieDouble stratégie– Identifier le commun et le spécifiqueIdentifier le commun et le spécifique– Planifier la mise en oeuvrePlanifier la mise en oeuvre– Réapproprier l’existantRéapproprier l’existant– OrganisationOrganisation– Logiciels supportant la démarcheLogiciels supportant la démarche– Retour d’expérience Retour d’expérience
• PerspectivesPerspectives– COBIT V4COBIT V4– ValITValIT