CobiT pour la gouvernance des systèmes d’information (source AFAI)

Le CobiT (Control objectives for information and Technology), initié par l’ISACA, a été conçu pour prendre en charge la gestion des risques liés au domaine informatique.

CobiT est considéré comme l’intégrateur des meilleures pratiques en technologies de l’information et le référentiel général de la gouvernance des SI qui aide à comprendre et à gérer les risques et les bénéfices qui leur sont associés. Les bonnes pratiques formalisées par CobiT sont issues d’un consensus des experts. Ces bonnes pratiques sont axées plus sur la maîtrise que sur l’exécution : elles permettent d’aider à l’optimisation des investissements informatiques, d’assurer la fourniture des services et de fournir des métriques auxquelles se référer pour évaluer les dysfonctionnements.

CobiT distingue plusieurs catégories d’utilisateurs :

les Directions générales : pour que l’investissement informatique produise de la valeur et pour trouver le bon équilibre entre risques et investissements en contrôles dans un environnement informatique souvent imprévisible ;

les Directions métiers : pour obtenir des assurances sur la gestion et le contrôle des services informatiques fournis en interne ou par des tiers ;

les Directions informatiques : pour fournir les services informatiques dont les métiers ont besoin pour répondre à la stratégie de l’entreprise, et pour contrôler et bien gérer ces services ;

les auditeurs et consultants : pour justifier leurs opinions et/ou donner des conseils au management sur les contrôles internes et la gouvernance des SI.

Le cadre de référence de contrôle de CobiT vise la mise en place d’une gouvernance des SI en :

établissant un lien avec les exigences métier de l’entreprise ;

structurant les activités informatiques selon un modèle de processus largement reconnu ;

identifiant les principales ressources informatiques à mobiliser ;
définissant les objectifs de contrôle à prendre en compte.

L’orientation métier de CobiT consiste à lier les objectifs « métier » aux objectifs informatiques, à fournir les métriques (définir ce qui doit être mesuré et comment) et les modèles de maturité pour faire apparaître leur degré de réussite, et à identifier les responsabilités communes aux responsables de processus métier et de processus informatiques.

L’orientation processus de CobiT est illustrée par un modèle de processus qui subdivise l’informatique en 34 processus répartis entre les quatre domaines de responsabilités que sont planifier, mettre en place, faire fonctionner et surveiller, donnant ainsi une vision complète de l’activité informatique. Les concepts d’architecture d’entreprise aident à identifier les ressources essentielles au bon déroulement des processus comme les applications, l’information, les infrastructures et les personnes. Pour fournir les informations dont l'entreprise a besoin pour réaliser ses objectifs, les ressources informatiques doivent être gérées par un ensemble de processus regroupés selon une certaine logique.

Les dirigeants ont besoin d’objectifs de contrôle pour fournir l’assurance raisonnable que les objectifs de l’entreprise seront atteints et que des dispositifs sont en place pour prévenir ou

détecter et corriger des événements indésirables. Les entreprises ont besoin de pouvoir mesurer objectivement où elles en sont et où elles doivent apporter des améliorations, et elles ont besoin d’implémenter des outils de gestion pour surveiller ces améliorations. La réponse à ce besoin de déterminer et de surveiller les niveaux de contrôle et de performance de l’informatique appropriés est apportée par CobiT sous forme de :

Tests comparatifs de la capacité des processus informatiques présentés sous la forme de modèles de maturité inspirés du Capability Maturity Model du Software Engineering Institute ;

Objectifs et métriques des processus informatiques pour définir et mesurer leurs résultats et leurs performances (capacité à atteindre les objectifs métiers et informatiques) selon les principes du tableau de bord équilibré de Robert Kaplan et David Norton ;

Objectifs des activités pour mettre ces processus sous contrôle en se basant sur des objectifs de contrôle détaillés.

L’évaluation de la capacité des processus au moyen des modèles de maturité de CobiT est un élément clé de la mise en place d’une gouvernance des SI. Lorsque l’on a identifié les processus et les contrôles informatiques essentiels, le modèle de maturité permet de mettre en évidence les défauts de capacité et d’en faire la démonstration au management. On peut alors concevoir des plans d’action pour amener ces processus au niveau de capacité désiré.

CobiT concourt à la gouvernance des SI en aidant à s’assurer que :
Les SI sont alignés sur le métier de l'entreprise ;

Les SI apportent un plus au métier, et maximisent ses résultats ;
Les ressources des SI sont utilisées de façon responsable ;
Les risques liés aux SI sont gérés comme il convient.

La mesure de la performance est essentielle à la gouvernance des SI. Elle est un élément de CobiT et consiste entre autres à fixer et à surveiller des objectifs mesurables pour ce que les processus informatiques sont censés fournir (résultat du processus) et pour la façon dont ils le fournissent (capacité et performance du processus).

Pour que cette gouvernance soit efficace, les dirigeants doivent obtenir des directions opérationnelles qu’elles mettent en place des contrôles dans un cadre de référence défini pour tous les processus informatiques.

Un meilleur alignement de l’informatique sur l’activité de l’entreprise du fait de son orientation métier ;

Une vision compréhensible par le management de ce que fait l’informatique ;

Une attribution claire de la propriété et des responsabilités, du fait de l’approche par processus ;

Un préjugé favorable de la part des tiers et des organismes de contrôle ;

Une bonne compréhension de toutes les parties prenantes grâce à un langage commun ;

Le respect des exigences du COSO13 pour le contrôle de l’environnement informatique.

Le modèle de référence de CobiT :

Chacun des 34 processus met en œuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens compétences), fournit une information destinée à satisfaire les besoins métiers exprimés sous formes de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) et concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratégique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance).

13 _{COSO est un référentiel de contrôle interne défini par le Committee Of Sponsoring Organizations of the}

Treadway Commission. Il est utilisé notamment dans le cadre de la mise en place des dispositions relevant des lois Sarbanes-Oxley ou LSF pour les entreprises assujetties respectivement aux lois américaines ou françaises.

Figure 16 : La mécanique de cobiT, source AFAI.