Intervenant : M. Sofiane Mickael OUAALI
Control Objectives for Business and Related Techonology
Année 2013
Objectifs de la Formation
1. Comprendre les avantages à utiliser le référentiel CobiT
2. Connaître les 4 domaines d'un SI
3. Comprendre la structure des processus
4. Placer chaque activité dans le bon processus
5. Définir les niveaux de maturité de chaque activité
6. Utiliser les indicateurs adéquats
7. Valoriser les ressources du système
Le samedi ou Dimanche Matinée de 09h00 à 12h30 Pause 15 min Après midi de 13h30 17h00 Pause 15 min
Volume horaire : 2 ou 3 séances de formation
Organisation de la Formation
Module 1 : Généralité et Principes de Base (Terminologie)
Module 2 : Référentiels, Normes SI et SSI Module 3 : Framework COBIT Module 4 : Utilisation du Cadre de Références Module 5 : Domaine 1 « PLANIFIER ET ORGANISER (PO) » Module 6 : Domaine 2 « ACQUÉRIR ET IMPLÉMENTER (AI) » Module 7 : Domaine 3 «DÉLIVRER ET SUPPORTER (DS)» Module 8 : Domaine 4 «SURVEILLER ET EVALUER (SE)» Module 9 : Nouveautés COBIT 5
Agenda de la Formation
Programme
1. Information 2. Données 3. Système Informatique 4. Système d’information 5. Schéma Directeur 6. TCO 7. ROI 8. Cahier des Charges 9. Gouvernance des Systèmes d’Information 10. Processus 11. Modèle RACI
I. Généralités & Principes de Bases (Terminologie)
2. Données : Informations numériques et alphanumériques codées et lisibles par la machine, en vue de leur enregistrement, traitement, conservation et communication.
3. Système Informatique : Ensemble de matériels (Serveurs, Switchs, Ordinateurs …) et de logiciels permettant :
Acquérir les données Traiter les données Communiquer les données Stocker les données
Afin de répondre aux besoins des utilisateurs
I. Généralités & Principes de Bases (Terminologie)
4. Système d’Information Ensemble organisé de ressources :
Matériel, Logiciel, Personnel, Données, Procédures
Permettant d'acquérir, de stocker, de communiquer des informations sous différentes formes (textes, images, sons…) dans et vers des organisations.
I. Généralités & Principes de Bases (Terminologie)
5. Schéma Directeur :Document conçu pour préparer l’évolution et l’adaptation de l’environnement informatique d’une entreprise pendant une période donnée (généralement de 2 à 5 ans). Elaboré par un Comité Directeur regroupant les représentants de la direction générale de l'organisation.
Définir les axes stratégiques selon les objectifs de l'entreprise Repose sur l’identification d’un existant et de besoins futurs
Outil de planification qui permet de préparer les investissements
Réagir face à l’imprévu
Permet de définir des priorités en terme de réalisation des objectifs
I. Généralités & Principes de Bases (Terminologie)
6. TCO : Total Cost of Ownership est le Coût total de possession d'un bien (un système informatique) tout au long de son cycle de vie. Calcul du TCO :
Les aspects directs: (coûts matériels tels qu'ordinateurs, infrastructures réseaux, etc.
ou logiciels tels que le coût des licences) Coûts indirects : (coûts cachés) tels que la maintenance, l'administration, la formation
des utilisateurs et des administrateurs, l'évolution, le support technique et les coûts récurrents (consommables, électricité, loyer…)
I. Généralités & Principes de Bases (Terminologie)
A quoi sert le TCO ? Piloter son système d'information
Mesurer la dépense informatique
Réduire le coût total
7. ROI : (Return on Investment) est un Système de mesure de performance d'entreprise qui compare via un ratio les résultats nets d'un projet, avec ses coûts totaux
I. Généralités & Principes de Bases (Terminologie)
8. Cahier des charges vise à :
Définir les besoins et les spécifications
Définir les modalités d'exécution
Définir les objectifs à atteindre
Sélectionner le prestataire (référentiel contractuel)
Formaliser les besoins dans le respect du code des marchés publics
I. Généralités & Principes de Bases (Terminologie)
9. Gouvernance SI : Le terme « Gouvernance» désigne la capacité d'une organisation à être en mesure de
contrôler et de réguler son propre fonctionnement a fin d'éviter les conflits d'intérêts liés à la séparation entre les ayants-droits (actionnaires , direction, conseil d’administration) et les acteurs (employés, les fournisseurs, les clients, les banques, l’environnement)
La gouvernance d'entreprise est l'ensemble des processus, réglementations, lois et institutions influant la manière dont l'entreprise est dirigée, administrée et contrôlée
La gouvernance des SI est de la responsabilité des dirigeants et du conseil d'administration, et elle est constituée des structures et processus de commandement et de fonctionnement qui conduisent l'informatique de l'entreprise à soutenir les stratégies et les objectifs de l'entreprise, et à lui permettre de les élargir.
I. Généralités & Principes de Bases (Terminologie)
9. Gouvernance SI : La Gouvernance SI permet de répondre aux questions suivantes : Comment sont prises les décisions ? Qui prend les décisions ? Qui est tenu pour responsable ? Comment le résultat des décisions est-il mesuré et suivi ? Quels sont les risques ? Gouvernance des TI est un cercle vertueux permet tant d'orienter et de contrôler les processus de gestion : En donnant les orientations stratégiques des différents processus de gestion
En utilisant les processus métier pour fournir les services demandés
Chaque processus métier doit rendre compte de l'accomplissement de ses objectifs
En contrôlant le bon déroulement des processus, en les améliorant et au besoin, en
définissant de nouvelles orientations
I. Généralités & Principes de Bases (Terminologie)
10. Processus (Process) : Un ensemble d’activités structurées conçues pour atteindre un objectif spécifique
Traite une ou plusieurs entrées définies et les transforme en résultats (sortie)
Peut inclure la définition de tout les rôles, responsabilités, outils et contrôles de gestion
nécessaires à la fourniture de résultats de manière fiable
Peut définir des politiques, des standards, des principes, des activités et des modes opératoires si c’est nécessaire
I. Généralités & Principes de Bases (Terminologie)
I. Généralités & Principes de Bases (Terminologie)
Propriétaire du Processus
Documentation du Processus
Objectifs du Processus
Rétroaction du Processus
Activités du Processus
Procédures du Processus
Instructions de Travail du Processus
Rôles du Processus
Améliorations du Processus
Métrique du Processus
Ressources du processus
Capacités du Processus
Politique du Processus
Entrées du Processus Sorties du Processus
Déclencheurs
Contrôle du Processus
Processus
Eléments du Processus
y compris les rapports et avis des Processus
11. Modèle RACI Est une matrice des responsabilités qui indique les rôles et les responsabilités des intervenants au sein de chaque processus et activité. Le modèle RACI Un outil utile pour aider à la définition des rôles et des responsabilités lors de la conception des processus RACI :
R : Responsible : Réalisation : Réalise l’activité. Il peut y avoir plusieurs R A : Accountable : Approbation : A l’autorité pour approuver le travail de R Il n’y a qu’un seul A. En général, il y a un rapport hiérarchique entre A et R (A est le manager de R) C : Consulted : Consultation : Est consulté par R La communication entre R et C est bidirectionnelle. Il peut y avoir plusieurs C I : Informed : Information : Est uniquement informé des travaux de R. Il peut y avoir plusieurs I
Référentiels & Normes SI et SSI
RACI apporte plusieurs avantages :
Les rôles et responsabilités sont clairement définis Encourage le travail en équipe, réduit l’incertain et éprouve la communication entre les différentes équipes La redondance des tâches est éliminées La productivité est augmentée
Référentiels & Normes SI et SSI
Enterprise Resource Planning(ERP) : Intègre tous les systèmes informatisés de support de l'entreprise (gestion de la production, relation commerciale, ressources humaines, comptabilité...)
Customer Relationship Management(CRM) : Regroupe toutes les fonctions permettant d'intégrer les clients dans le système d'information
Supply Chain Management(SCM) : Regroupe toutes les fonctions permettant d'intégrer les fournisseurs et la logistique au système d'information
Human Resource Management(HRM) : SI pour la gestion RH
Product Data Management(PDM): Fonctions d'aide au stockage et à la gestion des données techniques (utilisé par les bureaux d'études)
I. Généralités & Principes de Bases (Terminologie)
Programme
1. ITIL 2. CMMI 3. PMBOK 4. ISO 20000 5. ISO 27001/27002 6. VAL IT 7. RISK IT
Référentiels & Normes SI et SSI
1. ITIL : Information Technology Infrastructure Library ITIL est une collection de bonnes pratiques pour assurer un management efficace du
Système d'Information
ITIL est développé pour améliorer l'efficacité des services informatiques
Référentiels & Normes SI et SSI
1. ITIL : Information Technology Infrastructure Library
La version 3 de ITIL se focalise sur le cycle de vie d'un service, ITIL V3 comporte 6 livres :
Introduction au cycle de vie des services ITIL Stratégie des services (Service Strategy) Conception des services (Service Design) Transition (passage en production) des services (Service Transition) Exploitation des services (Service Operation) Amélioration permanente des services (Continual Service Improvement)
Référentiels & Normes SI et SSI
2. CMMI : (Capability Maturity Model & Integration) est un modèle de référence, un ensemble structuré de bonnes pratiques, destiné à :
• Appréhender • Evaluer • Améliorer les activités des entreprises d'ingénierie
Référentiels & Normes SI et SSI
2. CMMI : (Capability Maturity Model & Integration) est un modèle de référence, un ensemble
Référentiels & Normes SI et SSI
3. PMBOK Guide du Project Management Institute définissant les champs de connaissance couvrant la gestion de projet, et recensant les bonnes pratiques professionnelles Le PMBOK définit les 5 groupes de processus de management de projet suivants: Démarrage Planification Exécution Surveillance et maîtrise Clôture Il aborde les dix domaines de compétences en management de projet, à savoir:
Le management de l'intégration Le management du contenu (périmètre) Le management des délais Le management des coûts Le management de la qualité Le management des ressources humaines Le management des communications Le management des risques Le management des approvisionnements Le management des parties prenantes (stakeholders) ajouté dans la 5ème édition Le PMBoK distribue un total de 47 processus dans ces groupes de processus et domaines de connaissance
Référentiels & Normes SI et SSI
4. ISO 20000 La norme ISO 20000 est un consensus pour une « qualité standard » de cette gestion des services informatiques Cette notion de gestion des services est décrite dans la norme en 13 processus inspirés du référentiel ITIL
Processus de fourniture des services
Gestion des niveaux de services Rapport de services Gestion de la continuité et de la disponibilité des services Budgétisation et comptabilisation des services Gestion de la capacité Gestion de la sécurité de l’information
Processus de gestion des relations entre clients et fournisseurs (Service Desk)
Gérer les relations commerciales Gérer les fournisseurs
Référentiels & Normes SI et SSI
4. ISO 20000
Processus de résolution de problèmes
Le contexte La gestion des incidents La gestion des problèmes
Processus de maintien pour le contrôle des systèmes d’informations
La gestion des configurations La gestion des changements
Processus de mise en production
Normes liées à la gestion des services et à l’ISO 20000
Référentiels & Normes SI et SSI
5. ISO/CE 27001/27002
standard de sécurité de l'information publié conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI, ou IEC
C’est une norme internationale de système de gestion de la sécurité de l'information
Référentiels & Normes SI et SSI
5. ISO 27001/27002
Phase Plan Fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 étapes :
Étape 1 : Définir la politique et le périmètre du SMSI Étape 2 : Identifier et évaluer les risques liés à la sécurité et élaborer la politique de sécurité Étape 3 : Traiter le risque et identifier le risque résiduel par un plan de gestion Étape 4 : Choisir les mesures de sécurité à mettre en place
Phase Do
Met en place les objectifs Former et sensibiliser le personnel
Phase Check
Consiste à gérer le SMSI au quotidien à détecter les incidents en permanence pour y réagir rapidement
Phase Act
Mettre en place des actions correctives, préventives ou d’amélioration pour les incidents et écarts
constatés lors de la phase Check
Référentiels & Normes SI et SSI
6. VAL IT Val IT est un ensemble structuré de pratiques clés de management se rapportant à la
gouvernance des systèmes d'information VAL IT comporte deux volets :
un aspect risques, qui conduit à des pratiques d'audit et à des référentiels de bonnes pratiques comme
COBIT
un aspect performance
I. Généralités & Principes de Bases (Terminologie)
6. VAL IT VAL IT répond à 4 : (Business Case) Faisons-nous les choses appropriées (right things) ?
Faisons-nous les choses de façon appropriée (right way) ?
Les tâches sont-elles effectuées correctement (done well) ?
En tirons-nous les bénéfices attendus ?
I. Généralités & Principes de Bases (Terminologie)
The strategic question
The architecture question
The value question
The delivery question
6. VAL IT Domaine 1 : Gouvernance de la Valeur (GV ou VG pour Value Governance) a pour objectif de s'assurer que :
le concept de valeur est présent dans les pratiques de management
le processus de décision est organisé
Les indicateurs sont fournis pour la vérification de l'atteinte des objectifs
I. Généralités & Principes de Bases (Terminologie)
6. VAL IT Domaine 1 : Gouvernance de la Valeur (GV ou VG pour Value Governance)
Liste des processus
VG1 : établir un leadership informé et impliqué,
VG2 : définir et mettre en place les processus (et les structures associées, les rôles, les responsabilités),
VG3 : définir les caractéristiques des différents portefeuilles de projets (composition, poids relatifs...),
VG4 : aligner et intégrer la gestion de la valeur dans la gestion financière de l'entreprise,
VG5 : établir une surveillance efficace de la gouvernance (et identifier les dérives),
VG6 : mettre en place un processus d'amélioration continue des pratiques.
I. Généralités & Principes de Bases (Terminologie)
6. VAL IT Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management) vise à optimiser à :
construire le portefeuille d'investissement
identifier les ressources nécessaires à chaque projet
définir les seuils d'investissement, évaluer, classer puis sélectionner (ou rejeter) les projets à lancer,
gérer globalement le portefeuille d'investissements en termes de risques et rentabilité
surveiller les performances et en rendre-compte
I. Généralités & Principes de Bases (Terminologie)
6. VAL IT Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management)
Liste des processus PM1 : établir une stratégie claire et définir la structure de la cible en termes d'investissements
PM2 : déterminer les sources et la disponibilité des budgets
PM3 : gérer la disponibilité des ressources humaines
PM4 : évaluer et sélectionner les programmes à financer
PM5 : monitorer et rendre compte de la performance des portefeuilles d'investissement
PM6 : optimiser la performance des portefeuilles par une revue régulière des opportunités et risques
I. Généralités & Principes de Bases (Terminologie)
6. VAL IT Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management )
vise à assurer :
la rentabilité de chaque investissement ou "programme"
L’amélioration des compétences des managers opérationnels dans :
a) l'identification des exigences de leur métier
b) la capacité d'apprécier les approches alternatives, c) la définition, rédaction et maintien des business cases détaillés au long de la vie du projet, d) l'affectation des responsabilités et de la propriété du projet, e) de la gestion du cycle de vie complet du programme, retrait inclus, f) du suivi régulier de la performance et des comptes-rendus
I. Généralités & Principes de Bases (Terminologie)
6. VAL IT Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management )
Liste des processus
IM1 : développer et évaluer le business case initial du programme
IM2 : comprendre les implications des candidats-programmes
IM3 : développer le plan du programme,
IM4 : préparer le budget sur le cycle de vie complet
IM5 : construire le business case complet, détaillé
IM6 : lancer le programme et gérer sa vie
IM7 : mettre à jour les portefeuilles opérationnels
IM8 : mettre à jour le business case à mesure de l'acquisition d'informations nouvelles
IM9 : monitorer le programme et rendre-compte
IM10 : procéder au retrait du programme en fin de vie
I. Généralités & Principes de Bases (Terminologie)
7. RISK IT RISK IT est le référentiel de management du système d’information et des technologies par
les risques RISK IT un guide de principes directeurs et de bonnes pratiques
RISK IT aide les entreprises à mettre en place une gouvernance ad hoc, à identifier et à gérer efficacement les risques informatiques
RISK IT comprend deux documents : Référentiel RISK IT
Guide Utilisateur RISK IT
aide à mettre en place le modèle détaille les concepts fournit de nombreux conseils cartographie s’appuyant sur 36 scénarios de risque informatique propose des bonnes pratiques de contrôle et de management tirées des référentiels COBIT et Val IT
I. Généralités & Principes de Bases (Terminologie)
Programme
1. Stratégie/Tactique/Opération 2. COBIT 3. COBIT Historique des Versions 4. Package COBIT
Framework COBIT
Framework COBIT
Tactique
Comment ?
Opérations
Y aller !
Stratégie
Où aller ?
STRATEGIE : C'est l'art de diriger et de coordonner des actions pour atteindre un objectif. La stratégie a un objectif global et à plus long terme
TACTIQUE : L'art d'utiliser de manière optimale les modes opératoires et les moyens dont on dispose, pour emporter un gain ou une décision
Framework COBIT
COBIT (Control Objectives for Information and related Technology, Objectifs de contrôle de l’Information et des Technologies Associées)
COBIT s’adresse à différents utilisateurs :
Le management pour lequel il offre un moyen d’aide à la décision
Les utilisateurs directs pour lesquels il permet d’apporter des garanties sur la sécurité et les contrôles des services informatiques
Les auditeurs et les consultants auxquels il propose des moyens d’interventions reconnus internationalement
Package COBIT Il comprend 6 publications : Executive summary (résumé de la vue d’ensemble de la méthodologie CobiT)
Framework (cadre de référence explicatif de la méthode, des domaines et processus)
Control objectives (215 objectifs de contrôle : ces objectifs sont directement orientés vers le management
et les équipes responsables des services informatiques)
Audit guidelines (le guide de l’audit) ; il s’agit de déceler, d’analyser et expliquer les failles d’un système et les risques qui en découlent ainsi que de leur apporter des solutions
Implementation Tool Set (les outils de la mise en œuvre du CobiT)
Management Guidelines (le guide du management modèle de maturité pour évaluer, sur une échelle de 5 degrés, le niveau d’évolution de chacun des processus
L’objectif est d’assurer l’adéquation durable entre les technologies, les processus métiers et la stratégie de l’entreprise
Framework COBIT
Framework COBIT
Pourquoi COBIT ? savoir en particulier si la gestion des SI permet :
d'atteindre les objectifs
d'avoir assez de résilience pour apprendre et s'adapter
de gérer judicieusement les risques auxquels ils doivent faire face
de savoir bien identifier les opportunités et d'agir pour en tirer parti
aligner la stratégie de l'informatique sur celle de l'entreprise
assurer aux investisseurs et aux actionnaires que l'entreprise respecte une "norme de
prudence et de diligence" relative à la réduction des risques informatiques
répercuter la stratégie et les objectifs de l'informatique dans l'entreprise
Framework COBIT
Pourquoi COBIT ? savoir en particulier si la gestion des SI permet :
faire en sorte que l'investissement informatique produise de la valeur
apporter les structures qui faciliteront la mise en œuvre de cette stratégie et de ces
objectifs
susciter des relations constructives entre les métiers et l'informatique, et avec les partenaires externes
mesurer la performance des SI
d'établir un lien avec les exigences métiers de l'entreprise
de rendre leurs performances transparentes par rapport à ces exigences
d'organiser leurs activités selon un modèle de processus largement reconnu
d'identifier les principales ressources informatiques à mobiliser
de définir les objectifs de contrôle de management à envisager
Framework COBIT
COBIT pour Qui ?
Les parties prenantes internes à l’entreprise qui ont intérêt à voir les investissements
informatiques générer de la valeur sont :
celles qui prennent les décisions d’investissements celles qui définissent les exigences celles qui utilisent les services informatiques
Les parties prenantes internes et externes qui fournissent les services informatiques sont :
celles qui gèrent l’organisation et les processus informatiques celles qui en développent les capacités celles qui exploitent les systèmes d’information au quotidien
Les parties prenantes internes et externes qui ont des responsabilités dans le contrôle et le risque sont :
celles qui sont en charge de la sécurité, du respect de la vie privée et/ou des risques celles qui sont en charge des questions de conformité celles qui fournissent des services d’assurance ou qui en ont besoin
Framework COBIT
Quoi ? un cadre de référence pour la gouvernance et le contrôle des SI doivent respecter les spécifications générales suivantes : Fournir une vision métiers qui permette d’aligner les objectifs de l’informatique sur ceux de l’entreprise
Établir un schéma par processus qui définisse ce que chacun d’eux recouvre, avec une structure précise
qui permette de s’y retrouver facilement
Faire en sorte que l’ensemble puisse être généralement accepté, en se conformant aux meilleures pratiques et aux standards informatiques, et en restant indépendant des technologies spécifiques
Fournir un langage commun, avec son glossaire, qui puisse être généralement compris par toutes les parties prenantes
Aider à remplir les obligations réglementaires en se conformant aux standards généralement acceptés de la gouvernance des entreprises et du contrôle informatique tels que les pratiquent les régulateurs et les auditeurs externes
Framework COBIT
Basé sur les processus (4 domaines, 34 processus, 210 activités)
Planification/Organisation
Acquisition /Développement/Mise en place
Fonctionnement/Soutien
Surveillance/Evaluation/Contrôle/Suivi
Framework COBIT
Basé sur des Critères «Business » (7 critères) Efficacité
Efficience
Confidentialité
Intégrité
Disponibilité
Conformité
Fiabilité
Framework COBIT
1. L'Efficacité qualifie toute information pertinente utile aux processus métiers, livrée au moment
opportun, sous une forme correcte, cohérente et utilisable
2. L'Efficience qualifie la mise à disposition de l'information grâce à l'utilisation optimale (la plus productive et la plus économique) des ressources
3. La Confidentialité concerne la protection de l'information sensible contre toute divulgation non autorisée
4. L'Intégrité touche à l'exactitude et à l'exhaustivité de l'information ainsi qu'à sa validité au regard des valeurs de l'entreprise et de ses attentes
5. La Disponibilité qualifie l'information dont peut disposer un processus métier tant dans l'immédiat qu'à l'avenir. Elle concerne aussi la sauvegarde des ressources nécessaires et les moyens associés
6. La Conformité consiste à se conformer aux lois, aux réglementations et aux clauses contractuelles auxquelles le processus métier est soumis, c'est-à-dire aux critères professionnels imposés par l'extérieur comme par les politiques internes
7. La Fiabilité concerne la fourniture d'informations appropriées qui permettent au management de piloter l'entreprise et d'exercer ses responsabilités fiduciaires et de gouvernance
Framework COBIT
RESSOURCES INFORMATIQUES Les ressources informatiques identifiées par COBIT : Les applications sont, entre les mains des utilisateurs, les ressources logicielles automatisées et les
procédures manuelles qui traitent l'information.
L'information est constituée des données sous toutes leurs formes, saisies, traitées et restituées par le système informatique sous diverses présentations, et utilisées par les métiers.
L'infrastructure est constituée de la technologie et des équipements (machines, systèmes d'exploitation, systèmes de gestion de bases de données, réseaux, multimédia, ainsi que l'environnement qui les héberge et en permet le fonctionnement) qui permettent aux applications de traiter l'information.
Les personnes sont les ressources qui s'occupent de planifier, d'organiser, d'acheter, de mettre en place, de livrer, d'assister, de surveiller et d'évaluer les systèmes et les services informatiques. Ces personnes peuvent être internes, externes ou contractuelles selon les besoins.
Framework COBIT
Gouvernance SI, focalisée sur 5 domaines : 1. Alignement stratégique
2. Création et gestion de la valeur
3. Mesure de la performance
4. Gestion des ressources
5. Gestion des risques
IT Governance
Resource Management
Framework COBIT
Contenu : pour chaque processus SI Description du processus
Objectifs , Ressources, Critères et Domaines de focalisation concernées
Indicateurs Identification des Objectifs de contrôle et des bonnes pratiques associées Directives pour le management
Entrants et sortants
Identification des activités et des indicateurs (métriques)
RACI (Responsible, Accountable, Consulted, Informed) pour chaque activité Niveaux de maturité (5 niveaux)
Chaque processus COBIT met en oeuvre des ressources informatiques (applications, informations, infrastructures et personnes au
sens compétences)
fournit une information destinée à satisfaire les besoins métiers exprimés sous formes de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité)
concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratégique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance)
Framework COBIT
Framework COBIT
COMMENT COBIT RÉPOND À CES BESOINS 1. Centré sur les métiers
2. Orienté processus
3. Basé sur des contrôles
4. Fondé sur la mesure
Framework COBIT
2. Orienté Processus
Le cadre COBIT propose un modèle de processus de référence et un langage commun gérer les activités
informatiques Un modèle de processus encourage la propriété des processus, ce qui favorise la définition des
responsabilités opérationnelles et des responsabilités finales (responsabilité de celui qui agit et responsabilité de celui qui est comptable du résultat)
Planifier et Organiser (PO) : fournit des orientations pour la fourniture de solutions (AI) et la
fourniture de services (DS)
Acquérir et Implémenter (AI) : fournit les solutions et les transmets pour les transformer en services
Délivrer et Supporter (DS) : reçoit les solutions et les rend utilisables par les utilisateurs finals
Surveiller et Evaluer (SE) : surveille tous les processus pour s'assurer que l'orientation fournie est respectée
DOMAINES COBIT : DOMAINE 1 : PLANIFIER ET ORGANISER (PO)
PO1 Définir un plan informatique stratégique
PO2 Définir l’architecture de l’information
PO3 Déterminer l’orientation technologique
PO4 Définir les processus, l’organisation et les relations de travail
PO5 Gérer les investissements informatiques
PO6 Faire connaître les buts et les orientations du management
PO7 Gérer les ressources humaines de l’informatique
PO8 Gérer la qualité
PO9 Évaluer et gérer les risques
PO10 Gérer les projets
Framework COBIT
DOMAINES COBIT : DOMAINE 2 : ACQUÉRIR ET IMPLÉMENTER (AI)
AI1 Trouver des solutions informatiques
AI2 Acquérir des applications et en assurer la maintenance
AI3 Acquérir une infrastructure technique et en assurer la maintenance
AI4 Faciliter le fonctionnement et l’utilisation
AI5 Acquérir des ressources informatiques
AI6 Gérer les changements
AI7 Installer et valider les solutions et les modifications
Framework COBIT
DOMAINES COBIT : DOMAINE 3 : DÉLIVRER ET SUPPORTER (DS)
DS1 Définir et gérer les niveaux de services DS2 Gérer les services tiers DS3 Gérer la performance et la capacité DS4 Assurer un service continu DS5 Assurer la sécurité des systèmes DS6 Identifier et imputer les coûts DS7 Instruire et former les utilisateurs DS8 Gérer le service d’assistance client et les incidents DS9 Gérer la configuration DS10 Gérer les problèmes DS11 Gérer les données DS12 Gérer l’environnement physique DS13 Gérer l’exploitation
Framework COBIT
DOMAINES COBIT : DOMAINE 4 : SURVEILLER ET EVALUER (SE)
SE1 Surveiller et évaluer la performance des SI
SE2 Surveiller et évaluer le contrôle interne
SE3 S’assurer de la conformité aux obligations externes
SE4 Mettre en place une gouvernance des SI
Framework COBIT
Framework COBIT
Les politiques, les procédures, les pratiques et les structures organisationnelles conçues
pour fournir l'assurance raisonnable que les objectifs métiers seront atteints et que les événements indésirables seront prévenus ou détectés et corrigés
Les objectifs de contrôle SI :
accroître la valeur ou à réduire le risque
fournir l'assurance raisonnable que les objectifs métiers seront atteints et que les événements
indésirables seront prévenus ou détectés et corrigés Le choix des objectifs de contrôle :
sélectionnant ceux qui sont applicables
désignant ceux qui seront mis en œuvre
choisissant la façon de les mettre en œuvre (fréquence, durée, automatisation, etc.)
acceptant le risque de ne pas mettre en œuvre des objectifs qui pourraient s'appliquer
3. Basé sur le contrôle
Framework COBIT
Chacun des processus informatiques de COBIT est associé à une description et à un certain nombre d'objectifs de contrôle
Les objectifs de contrôle sont identifiés par un domaine de référence à deux caractères (PO,
AI, DS et SE), plus un numéro de processus et un numéro d'objectif de contrôle
PC1 Buts et objectifs du processus Définir et communiquer des buts et objectifs spécifiques, mesurables, incitatifs, réalistes, axés sur les résultats et opportuns (SMARRT, Specific, Measurable, Actionable, Realistic, Results-oriented and Timely) pour l'exécution efficace de chaque processus informatique. S'assurer qu'ils sont reliés aux objectifs métiers et soutenus par des métriques adaptées PC2 Propriété des processus Affecter un propriétaire à chaque processus informatique et définir clairement les rôles et les responsabilités du propriétaire du processus PC3 Reproductibilité du processus Définir et mettre en place chaque processus informatique clé de façon à ce qu'il soit reproductible et qu'il produise invariablement les résultats escomptés. Fournir un enchaînement logique, flexible et évolutif d'activités qui conduiront aux résultats souhaités et suffisamment souple pour gérer les exceptions et les urgences
Framework COBIT
PC4 Rôles et Responsabilités Définir les activités clés et les livrables finaux du processus Attribuer et communiquer des rôles et responsabilités non ambigus, pour une exécution efficace et
efficiente des activités clés et de leur documentation, ainsi que la responsabilité des livrables finaux du processus
PC5 Politique, Plans et Procédures Déterminer et indiquer comment tous les plans, les politiques et les procédures qui génèrent un
processus informatique sont documentés, étudiés, gérés, validés, stockés, communiqués et utilisés pour la formation
Répartir les responsabilités pour chacune de ces activités et, au moment opportun, vérifier si elles sont correctement effectuées
S'assurer que les politiques, plans et procédures sont accessibles, corrects, compris et à jour
PC6 Amélioration des performances du processus Identifier un ensemble de métriques fournissant des indications sur les résultats et les performances du
processus Définir des cibles reflétant les objectifs du processus et des indicateurs de performance permettant
d'atteindre les objectifs du processus Définir le mode d'obtention des données Comparer les mesures réelles et les objectifs et, si nécessaire, prendre des mesures pour corriger les
écarts Aligner les métriques, les objectifs et les méthodes avec l'approche globale de surveillance des
performances des SI
Framework COBIT
4. Fondé sur la Mesure Les modèles de maturité sont créés à partir du modèle qualitatif général auquel on ajoute progressivement, de niveau en niveau, des principes issus des attributs suivants :
sensibilisation et communication politiques, plans et procédures outils et automatisation compétences et expertise responsabilité opérationnelle et responsabilité finale désignation des objectifs et métriques