Le COBIT : L état de l Art

(1)

CNAM 2008 / 2009

GLG102 – TECHNIQUES ET NORMES POUR LA QUALITE DU LOGICIEL

Le COBIT : L’état de l’Art

Socle de la gouvernance des SI

(2)

Le COBIT : Socle de la gouvernance des SI

AUDITEUR

AUDITEUR NUMERO D’AUDITEUR

Eric LELEU NPC008029

HISTORIQUE DES MODIFICATIONS

DATE AUTEUR DESCRIPTION VERSION

15/01/200 9

Eric LELEU Création V_1.0

28/01/200 9

Eric LELEU Rédaction V_2.0

29/01/200 9

Eric LELEU Mise en forme, correction et validation

V_3.0

(3)

e COBIT : Socle de la gouvernance des SI

LE COBIT : L’ETAT DE L’ART

SOCLE DE LA GOUVERNANCE DES SI

SOMMAIRE

PREAMBULE ... 3

I–LA GOUVERNANCE : DE QUOI S'AGIT-IL ? ... 4

II–LE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI... 5

III–DEFINITION ... 6

IV–LES OBJECTIFS DU COBIT ... 8

V–LES DOMAINES DU COBIT ... 10

VI–LE COBIT POUR L'AUDITEUR INFORMATIQUE ... 11

VII-COMMENT EST UTILISE LE COBIT ... 12

VIII–LE COBIT :RAPPROCHEMENT ENTRE AUDIT INTERNE ET DSI ... 14

IX-CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI ... 14

X-PRESENTATION DES 34 PROCESSUS ... 15

A–LA PLANIFICATION & L’ORGANISATION ... 15

B–L’ACQUISITION & L’INSTALLATION ... 17

C–LA LIVRAISON & LE SUPPORT ... 19

D–LE MONITORING ... 21

XI–LES PERSPECTIVES ... 22

XII-CONCLUSION ... 23

LESREFERENCES :BIBLIOGRAPHIE /« WEBOGRAPHIE » ... 24

LEGLOSSAIRE ... 25

LESANNEXES ... 27

LISTE DES PROCESSUS DU COBIT EN FRANÇAIS ... 27

LISTE DES PROCESSUS DU COBIT EN ANGLAIS ... 29

EXEMPLE1– DEFINIR L’ARCHITECTURE DE L’INFORMATION ... 31

EXEMPLE 2-GERER LES DONNEES ... 32

(4)

PREAMBULE

Ce dossier a été réalisé dans le cadre de l’unité d’enseignement (UE) GLG102 – Techniques et normes pour la qualité du logiciel.

Le sujet traité est le COBIT. La rédaction de ce dossier a tenté d’expliquer le plus simplement possible ce concept. Le but est de transcrire dans un langage simple et compréhensible par tous, les caractéristiques principales de cette méthodologie.

Même si la rédaction de ce dossier ne fut pas simple, j’ai pris plaisir à le constituer. Je suis d’ailleurs plutôt satisfait du résultat.

Pour être honnête, cette recherche fut un vrai challenge dans la mesure où il m’a fallu surmonter la méconnaissance de ce thème.

Je vous propose, après un bref descriptif de la gouvernance des systèmes d’information, de découvrir ce qu’est le COBIT.

(5)

I – LA GOUVERNANCE : DE QUOI S'AGIT-IL ?

Avant de débuter l’étude de COBIT, il convient de définir ce qu’est la gouvernance, terme qui sera largement utilisé tout au long de cette étude.

Le terme « Gouvernance » désigne la capacité d'une organisation à être en mesure de contrôler et de réguler son propre fonctionnement afin d'éviter les conflits d'intérêts liés à la séparation entre les ayants-droits (actionnaires, direction, conseil d’administration) et les acteurs (employés, les fournisseurs, les clients, les banques, l’environnement…). Il s’agit de privilégier le partenariat entre les différents acteurs.

La gouvernance d'entreprise est l'ensemble des processus, réglementations, lois et institutions influant la manière dont l'entreprise est dirigée, administrée et contrôlée.

(6)

II – LE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI

La Gouvernance des Technologies de l’Information (en Anglais « Information Technology Governance » ou « IT Governance ») est une sous discipline du gouvernement d’entreprise axée sur la technologie de l’information et de la communication. Cette discipline, en phase avec les objectifs de l’entreprise, s’intéresse plus particulièrement à la gestion des risques, à l’optimisation des investissements et des ressources, à la création de valeurs et à la performance des technologies de l’information.

Selon le COBIT, la gouvernance des systèmes d’information est la structure de relations et de processus visant à diriger et contrôler l’entreprise pour qu’elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des technologies de l’Information et de leurs processus. Il s’agit d’une démarche de Management.

La Gouvernance des TI permet de répondre aux questions suivantes :

• Comment sont prises les décisions ?

• Qui prend les décisions ?

• Qui est tenu pour responsable ?

• Comment le résultat des décisions est-il mesuré et suivi ?

• Quels sont les risques ?

La Gouvernance des TI est un cercle vertueux permettant d'orienter et de contrôler les processus de gestion :

• En donnant les orientations stratégiques des différents processus de gestion,

• En utilisant les processus métier pour fournir les services demandés,

• Chaque processus métier doit rendre compte de l'accomplissement de ses objectifs.

• En contrôlant le bon déroulement des processus, en les améliorant et au besoin, en définissant de nouvelles orientations.

Le cercle vertueux de la Gouvernance d'un système d'information

La clef de la gouvernance est le Contrôle permettant d'atteindre des objectifs.

(7)

III – DEFINITION

Qu'est-ce que le COBIT ?

Le fonctionnement de la majorité des grandes entreprises, aujourd'hui, repose complètement sur le traitement de l'information. C’est dans un souci de transparence des informations que les SI se sont développés et que leur contrôle est devenu incontournable. Il est vital, pour leur avenir, que leur système d'information soit en cohérence avec les objectifs et la stratégie globale de l'entreprise. Les dirigeants souhaitent finalement que les SI apportent de la valeur et de la performance dans l’organisation.

Le COBIT (Control Objectives for Business Information and related Technology, soit en français “Control des objectifs des technologies de l’information”), développé en 1994 (et publié en 1996) par l'ISACA (The Information System Audit and Control Association) est un outil puissant qui a été conçu pour œuvrer dans ce sens.

Il est à noter que l’ISACA, créé en 1967, est représenté en France depuis 1982 par l'AFAI (Association Française de l’Audit et du conseil Informatique).

Le COBIT est un référentiel de gouvernance des systèmes d'information qui décompose tout système informatique en 34 processus, lesquels sont répartis en quatre domaines fonctionnels :

• planning et organisation (Planning and Organization) (10 processus).

• acquisition et mise en place (Acquire and implement) (7 processus).

• fourniture du service et support (Deliver and Support) (13 processus).

• surveillance (Monitor) (4 processus).

Ces 4 domaines permettent de couvrir 318 objectifs.

Ce référentiel s'adresse majoritairement à deux grandes catégories d'acteurs :

• les auditeurs et consultants,

• les responsables des systèmes d'information.

La direction générale ainsi que les diverses directions métiers sont bien évidemment concernées dans la mise en place et l’utilisation de COBIT.

Nous pouvons représenter de manière simplifiée le COBIT de la manière suivante :

Planning et organisation Acquisition et mise en place Fourniture du service et support

Surveillance

(8)

Pour être plus précis, voici une représentation détaillée de COBIT :

Chaque processus

• met en œuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens compétences),

• fournit une information destinée à satisfaire les besoins métiers exprimés sous formes de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité)

• concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratégique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance).

En conclusion, la définition de COBIT est :

« COBIT est une méthodologie d’évaluation des services informatiques au sein de l’entreprise. Cette démarche s'appuie sur un référentiel de 34 processus (bonnes pratiques collectées auprès d'experts SI) et sur des indicateurs d'objectifs (KGI) et de performance (KPI) permettant de mettre les processus sous contrôle afin de disposer des données permettant à l'entreprise d'atteindre ses objectifs (alignement des technologies sur la stratégie de l’entreprise).

C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements.

Il ne fournit pas d’indications ou de recommandations à caractère technique (choix technologiques, consolidation, gestion de crises…). En d’autres termes, COBIT se focalise sur ce que l’entreprise a besoin de faire et non sur la façon dont elle doit le faire»

Le COBIT a évolué au fil des années. La version actuelle est indicé V4.0.

(9)

IV – LES OBJECTIFS DU COBIT

Le COBIT établi des objectifs concernant les informations que doivent contenir et fournir un système d'information performant.

Ces objectifs sont les suivants (7) :

• L'efficacité,

• L'efficience,

• La confidentialité,

• L'intégrité,

• La disponibilité,

• La conformité,

• La fiabilité.

Pour atteindre ces objectifs, le système d'information dispose et pourra utiliser les ressources suivantes (5) :

• Les compétences,

• Les applications,

• Les technologies,

• Le « facility management »,

• Les données.

Comme nous l’avons précisé précédemment, le COBIT a défini 34 processus répartis en 4 domaines en vue de gérer ces diverses ressources et atteindre l’ensemble de ces objectifs. De manière simplifié, le COBIT est un référentiel pour la gouvernance des technologies de l'Information avec un objectif de contrôle et d'audit vis à vis de l'impact de l'utilisation de ces technologies dans l'entreprise et des risques qui y sont liés.

(10)

Les objectifs et les ressources permettent, une fois combinés, de mettre en valeur une cartographie de la gestion du système d’information (formaliser les objectifs fixés et les contrôler).

Il est en effet possible de représenter dans un tableau à la fois :

• les processus d’un domaine choisi,

• les objectifs

• ainsi que les ressources.

L'impact du processus sur le critère d'information peut être Primaire, Secondaire, ou vide.

Les processus ont une responsabilité plus ou moins importante dans la gestion des ressources. Le lien entre les processus et les ressources ne mesure pas le niveau d'utilisation, mais le niveau de management de la ressource par le processus COBIT.

Le tableau obtenu serait de la forme :

(11)

V – LES DOMAINES DU COBIT

Pour rappel, le COBIT est un référentiel de gouvernance des systèmes d'information qui décompose tout système informatique en 34 processus, lesquels sont répartis en quatre domaines fonctionnels :

• planning et organisation (Planning and Organization) (10 processus).

Comment utiliser au mieux les technologies afin que l'entreprise atteigne ses objectifs ?

o Choix de la stratégie permettant d'identifier les meilleures solutions informatiques pour permettre d'atteindre des objectifs métiers.

o Mise en place de la stratégie, planification, communication et gestion.

• acquisition et mise en place (Acquire and implement) (7 processus).

Comment définir, acquérir et mettre en œuvre les technologies nécessaires en adéquation avec les business processus de l'entreprise ?

o Création ou achat de solutions informatiques leur intégration aux processus métiers.

o Gestion du changement et de la maintenance.

• fourniture du service et support (Deliver and Support) (13 processus).

Comment garantir l'efficacité, l'efficience des systèmes technologiques en action ?

o Fourniture des services métiers,

o Sécurisation, disponibilité des services.

• surveillance (Monitor) (4 processus).

Comment s'assurer que la solution mise en œuvre corresponde bien aux besoins de l'entreprise dans une perspective stratégique ?

o Mesure de la qualité des processus,

o Mesure de l'atteinte des objectifs des processus,

o Contrôle et amélioration de l'organisation et des processus.

Les domaines COBIT

(12)

VI – LE COBIT POUR L'AUDITEUR INFORMATIQUE

A la base, le COBIT a été développé par des auditeurs informatiques. C’est ainsi que le COBIT est utilisé pour mener tout type d'audit autour du système d'information. Il s’appuie en effet sur une liste de 318 objectifs de contrôle permettant à l'auditeur de cadrer ses études.

Il est recommandé à l’auditeur de rechercher un complément d’information dans d’autres référentiels comme ITIL en ce qui concerne la production, ou CMMI en ce qui concerne la gestion de projets.

Il est important de préciser que le référentiel d'audit et de contrôle établi, et notamment la liste des objectifs de contrôle, est très compréhensible et accessible. En effet, un auditeur non informaticien est capable de mener de manière professionnelle, un audit d’un système d’information.

(13)

VII - COMMENT EST UTILISE LE COBIT

Le principe :

COBIT ne distingue pas la grande entreprise de la petite entreprise. Il ne tient pas compte non plus du secteur d’activité auquel l’entreprise appartient. Une PME ne pourra certainement pas faire tout ce que COBIT prescrit. Une entreprise industrielle n’a pas les mêmes besoins qu’une entreprise de services.

Il faudra donc dans chaque cas sélectionner dans COBIT les éléments à retenir.

Il est d’ailleurs précisé que COBIT est « illustratif et non exhaustif» : il fournit une base d’expertise dans laquelle chaque entreprise devra sélectionner ce qui correspond à ses priorités.

En conclusion, l’utilisation de COBIT permet de distinguer trois étapes :

• Définition des objectifs,

• Détermination et gestion des ressources,

• Gestion des processus.

Lors des audits :

A partir du référentiel général, COBIT donne une liste détaillée de 318 objectifs de contrôle qui permettent à l'auditeur de cadrer son investigation.

COBIT est utilisé comme une base solide de points de contrôles, il aide à la sélection des zones critiques et à leur évaluation.

Même s'il est parfois nécessaire de le compléter en fonction des spécificités du sujet (pour un audit de sécurité il conviendra par exemple d'ajouter les aspects propres aux dispositifs de sécurité existants. Il en sera d’ailleurs de même pour tout ce qui a trait au domaine légal et réglementaire), COBIT permet de prendre en compte des points qui n'auraient pas été évoqués, faute d'y songer ou par manque de connaissance. C’est ainsi que COBIT sert à établir les questions à dérouler lors des entretiens d’audit.

Lors du pilotage des systèmes d’informations :

Le COBIT sert aussi à évaluer les processus mis en place. Il permet de définir leur niveau de maturité.

Ci-après une représentation graphique des résultats permettant à une Direction Générale de visualiser les points forts et les points faibles de son entreprise. On peut y déceler soit une certaine homogénéité des processus, soit au contraire des maillons faibles nécessitant une révision de stratégie.

(14)

Le modèle contient 5 niveaux de maturité:

NIVEAU NOM DESCRIPTION

0 INEXISTANT (Non-existent) Les processus de gestion ne sont pas appliqués. L’entreprise n’est pas consciente du besoin.

1 INITIAL (Initial) Les processus sont ad hoc et désorganisés. L’entreprise commence à être consciente du besoin mais rien n’existe pour la satisfaire.

2 REPETITIF (Repeatable) Les processus suivent un modèle répétable. L’entreprise traite le besoin au cas par cas, de façon informelle, en s’appuyant sur les compétences de quelques individus.

3 DEFINI (Defined) Les processus sont formalisés et communiqués. Les procédures ont été standardisées et documentées mais les responsabilités restent individuelles. Il n’existe pas de reporting formel, ni de suivi de la qualité.

4 GERE ET MESURABLE

(Managed)

Les processus sont surveillés et mesurés. Les responsabilités sont claires, la qualité est suivie, les personnels sont formés, les outils sont automatisés.

5 OPTIMISE (Optimized) L'amélioration du processus est gérée. L’entreprise est au niveau « géré et mesurable » et en outre elle assure une veille afin de mettre à jour ses méthodes et de se tenir en permanence à la pointe de l’état de l’art.

(15)

e COBIT : Socle de la gouvernance des SI Le modèle de maturité permet de définir :

• La situation actuelle de l'organisation,

• La situation des entreprises dans un domaine métier équivalent,

• La stratégie d'amélioration de l'entreprise (ce vers quoi elle souhaite aller).

VIII – LE COBIT : RAPPROCHEMENT ENTRE AUDIT INTERNE ET DSI

Pour la DSI (Direction des Systèmes d'Information), le COBIT est fréquemment utilisé comme un outil d'auto évaluation. C'est un moyen pour elle de démontrer à sa hiérarchie, et ce de façon proactive, que son niveau de maîtrise des systèmes d'information est relativement bon, sur tous les aspects relevant de sa responsabilité.

Quant aux auditeurs, ils peuvent valider la qualité de l'évaluation à l'aide de ce même outil.

IX - CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI

Les entreprises qui ont opté pour les modèles de processus basés sur COBIT :

• possèdent des processus plus simples et plus compréhensibles.

• ont une vision compréhensible par le management de ce que fait l’informatique.

• possèdent des processus prouvant la valeur ajoutée des systèmes d’information.

• ont un meilleur alignement de l’informatique sur l’activité de l’entreprise du fait de l’orientation métier.

• ont une attribution claire des responsabilités du fait de l’approche par processus.

• sont aidées dans leurs décisions, leurs choix et leurs investissements… (bénéfique à l’entreprise)

• peuvent élaborer à partir du standard COBIT leurs propres standards afin d’être encore plus en phase avec les objectifs de l’entreprise en terme de systèmes d’information.

• peuvent s’auto évaluer : par des audits et en évaluant la maturité de leurs processus

• peuvent se comparer à d’autres entreprises ayant un même domaine métier grâce à l’évaluation de la maturité des processus.

• ne sont pas impactées par les spécificités culturelles, les avances technologiques.

Ces facteurs ne semblent pas limiter l'adéquation de COBIT pour l'alignement des systèmes d'information aux objectifs stratégiques de l'entreprise.

(16)

X - PRESENTATION DES 34 PROCESSUS

A – LA PLANIFICATION & L’ORGANISATION

Ce domaine couvre la stratégie et les tactiques et concerne l’identification des moyens permettant à l’informatique de contribuer le plus efficacement à la réalisation des objectifs commerciaux de l’entreprise.

Au sein de ce domaine, on cherche à savoir comment utiliser les technologies afin que l’entreprise atteigne ses objectifs.

Il comporte 10 processus :

• Définir un plan stratégique pour le SI

La définition du plan stratégique doit améliorer la compréhension des apports et des limites du SI, conforter la performance et mettre en évidence le niveau des investissements requis. On doit retrouver dans ce plan la stratégie et les priorités de l’entreprise. Il est important que ce plan soit accepté par le personnel informatique et les métiers. L’exploitation du SI doit faire l’objet de SLA (service level agreements).

• Définir l’architecture en information

Il s’agit de ce que l’on appel « administration des données » : construire et partager des référentiels de qualité.

• Déterminer l’évolution technique

Il s’agit de définir la plate-forme informatique par une veille technologique constante et un dialogue entre la DSI et les métiers utilisateurs.

• Définir les processus et l’organisation du SI

Il s’agit d’organiser et de superviser la DSI, de gérer ses ressources humaines (y compris les ressources que lui procurent les fournisseurs), de gérer ses relations avec les autres métiers de l’entreprise.

• Gérer les investissements en SI

Les notions traitées à ce niveau concernent les coûts, la rentabilité, le retour sur investissement…

• Communiquer les buts et orientations de la direction

Il s’agit de faire connaître les objectifs de l’entreprise et du SI.

• Gérer les ressources humaines du SI

COBIT suggère de réduire la dépendance par rapport à des individus clés (compétences

(17)

• Gérer la qualité

Il s’agit de la qualité du SI (et non de celle des processus de production de l’entreprise).

• Evaluer et gérer les risques du SI

Il faut identifier tous les événements qui peuvent avoir des conséquences (négatives ou positives) sur le fonctionnement de l’entreprise : production, réglementation, partenariats, ressources humaines… Il faut anticiper la réponse aux incidents, et gérer un plan d’action.

• Gérer les projets

Il s’agit tout d’abord de la sélection des projets à retenir (priorisation).

Il s’agit ensuite de prendre en compte, dans la gestion de projet proprement dite, l’implication les parties prenantes, l’interdépendance entre projets, les changements qui surviennent dans la définition du projet (coût, calendrier, contenu et qualité).

(18)

B – L’ACQUISITION & L’INSTALLATION

Ce domaine concerne la réalisation de la stratégie informatique, l’identification, l’acquisition, le développement et l’installation des solutions informatiques et leur intégration dans les processus commerciaux.

Au sein de ce domaine, COBIT cherche à définir, acquérir et mettre en œuvre des technologies en les alignant avec les processus métiers de l’entreprise.

• Définir les solutions automatisées

Il s’agit d’équiper les agents opérationnels en outils automatiques et de fournir des indicateurs de contrôle aux managers opérationnels. Il faut trouver des solutions réalisables et économiques : cela suppose le recours à des études de faisabilité.

• Acquérir et entretenir les logiciels applicatifs

Il s’agit de rédiger les spécifications (générales, détaillées et techniques), de définir les habilitations et règles de sécurité, d’intégrer les acquisitions sur la plate-forme de l’entreprise, de réaliser ou faire réaliser les logiciels spécifiques, d’assurer le suivi de la réalisation et des modifications des exigences, de mettre en place la gestion de configuration et la maintenance.

• Acquérir et entretenir la plate-forme technique

Il s’agit de fournir à l’entreprise une plate-forme matérielle et logicielle convenable en regard des besoins des applications et de l’état de l’art technique. Cette plate-forme doit pouvoir satisfaire les besoins applicatifs connus et elle devra satisfaire les besoins futurs.

Elle doit être convenablement dimensionnée (taille des processeurs et des mémoires, débit des réseaux…) et mettre en œuvre des solutions d’architecture bien choisies. Il faut qu’elle soit convenable sur un plan qualitatif comme quantitatif.

Elle doit comporter les outils de contrôle et de sécurité et les responsabilités doivent avoir été définies. Son entretien doit être assuré. Elle doit comporter un environnement pour tester les modifications qui lui sont apportées. Elle doit être équipée d’une gestion de configuration.

• Permettre l'exploitation et l'utilisation

Il s’agit dans ce processus de documenter les applications sur les aspects techniques, opérationnels et de niveaux de service.

• Gérer les achats

Il s’agit d’équiper le SI d’une direction des achats. Elle y appliquera la politique de l’entreprise en matière d’achats, gèrera les contrats avec les fournisseurs, les droits de propriétés sur le logiciel et contrôlera la qualité des fournitures (développements et infrastructure).

(19)

• Gérer les évolutions

Il s’agit de la gestion des évolutions du SI interne à la DSI. Il s’agit de documenter, autoriser, suivre et faire connaître les changements techniques.

• Installer et recetter les solutions et les changements

Ce processus concerne les opérations de recette, d’essai sur site pilote et de déploiement d’un nouveau produit.

Un plan de test est obligatoire pour mener à bien ce processus.

(20)

C – LA LIVRAISON & LE SUPPORT

Ce domaine concerne la livraison des prestations informatiques exigées, ce qui comprend l’exploitation, la sécurité, les plans d’urgence et la formation.

Au sein de ce domaine, COBIT a pour objectif de garantir l’efficacité et l’efficience des systèmes technologiques en action.

• Définir et gérer les niveaux de service

Ce processus concerne la qualité du service rendu aux utilisateurs, les « service level agreements ».

Le SLA doit être défini en fonction des exigences et associé à un OLA (« operating level agreement ») qui précise le niveau que doivent atteindre les services techniques en vue de répondre aux SLA (débit des réseaux, dimension des mémoires…).

• Gérer les services fournis par l’extérieur

Il s’agit de documenter les relations avec les fournisseurs, de gérer les risques (confidentialité, pérennité du fournisseur et du produit, pénalités...) et de mettre en œuvre un suivi de la performance des fournisseurs.

• Gérer les performances

Il s’agit d’être en mesure de fournir la charge de travail anticipée, de minimiser le risque de blocage, de gérer la pénurie en cas de sous-capacité (prioriser les tâches, allocation de ressources). Toute panne doit faire l’objet d’un rapport se concluant par des recommandations.

• Assurer la continuité du service

Il s’agit d’assurer une exploitation en continu minimisant le risque de panne sur les fonctions cruciales. (Gestion de crise en cas d’incident, solutions de repli…)

• Assurer la sécurité du SI

Une équipe doit être dédiée au sein de la DSI à la sécurité. Elle met en œuvre un plan de sécurité, définit la gestion des identifications et habilitations, détecte les attaques, documente les incidents, assure le chiffrement, met en œuvre les protections antivirus, firewalls… Elle protège les données sensibles.

• Identifier et imputer les coûts

Il s’agit d’évaluer le coût du SI et de l’imputer aux utilisateurs (refacturation).

(21)

• Former et entraîner les utilisateurs

Il s’agit de former le personnel en tenant compte des besoins de l’entreprise, de ses valeurs, du contenu du SI (infrastructure et applications), des besoins de compétences et des méthodes de formation (cours magistral, Intranet…).

• Gérer les incidents et le service desk

Il s’agit de fournir un dépannage en cas d’incident. Le service desk reçoit les appels téléphoniques et les oriente vers l’équipe compétente. Il assure la traçabilité de la réponse à l’incident.

• Gérer la configuration

Il faut établir un référentiel du matériel, du logiciel, des paramètres, de la documentation, comportant des identifiants, des numéros de version, des détails sur les licences… Ce référentiel doit être à jour (toujours exacte) et être utilisé pour prévenir la mise en place de logiciels non autorisés.

• Gérer les problèmes

Traiter un problème, cela suppose que l’on ait su détecter des incidents répétés et que l’on ait pu en conséquence améliorer le fonctionnement de l’entreprise.

• Gérer les données

Il ne s’agit pas de l’administration des données mais de la gestion physique des données : back-up et restauration des données, disponibilité, dispositifs de saisie et traitements, sécurité…

• Gérer l’environnement physique

Il s’agit de la gestion des locaux, des accès (périmètre de sécurité), de l’alimentation électrique et télécoms, des risques divers (tempête…).

• Gérer l’exploitation

Il s’agit de l’organisation mise en place entre les acteurs (passage des consignes d’une équipe à la suivante…), la supervision de la plate-forme,…

(22)

D – LE MONITORING

Permet au management d’évaluer la qualité et la conformité des processus informatiques aux exigences de contrôle.

Au sein de ce domaine, COBIT cherche à vérifier si la solution mise en place est en adéquation avec les besoins de l’entreprise dans une vision stratégique.

Ce domaine comporte 4 processus :

• Suivre et évaluer la performance du SI

Il s’agit de définir des indicateurs de performance du SI (coût, rentabilité, niveau de service, alignement stratégique) et d’agir si l’on constate des dérapages.

• Suivre et évaluer le contrôle interne

Il s’agit de définir un contrôle interne au SI puis de rendre compte de son efficacité. Il est conseillé de faire des benchmarks, de faire procéder à des audits externes, de faire porter le contrôle également sur les fournisseurs, de définir et mettre en œuvre les actions pour remédier aux défauts constatés.

• Assurer la conformité à la réglementation

Le SI doit être conforme à la réglementation notamment dans les domaines du commerce électronique, des échanges de données, de la confidentialité, du contrôle interne, du reporting financier, de la propriété intellectuelle, de l’hygiène et de la sécurité, … et des régulations spécifiques au secteur d’activité.

• Assurer la gouvernance du SI

Il s’agit de définir les structures de l’organisation, les processus, les pouvoirs de décision, les rôles et responsabilités de façon à pouvoir s’assurer que le SI est conforme aux priorités et à la stratégie de l’entreprise. Il est conseillé de faire appel à un auditeur externe pour valider cette organisation.

(23)

XI – LES PERSPECTIVES

En 2006, l'AFAI, le CIGREF et INEUMConsulting ont réalisé une enquête sur la maturité des entreprises françaises vis-à-vis de l’IT Gouvernance. Il en est résulté que 75% des réponses étaient inférieures à 2,5 / 6 ce qui correspond à un début de formalisation.

Il est indéniable que des marges de progression importantes sont envisageables dans les années à venir.

(24)

XII - CONCLUSION

Vous vous demandez probablement en quoi ce sujet se rapproche des normes. J’ai volontairement évité de faire référence aux normes durant cette présentation de COBIT et ce pour chacune des différentes parties traitées. Je souhaitais conclure en faisant un parallèle entre COBIT et les normes.

COBIT peut être assimilé ou tout au moins rapproché des normes car :

- Il a une approche structurante : décomposition de tout système informatique en 4 domaines, 34 processus et 318 objectifs.

- Il a une couverture d’utilisation internationale.

- COBIT est un outil fédérateur qui permet d’instaurer un langage commun pour parler de la gouvernance des SI.

- COBIT est capable de s’intégrer à d’autres référentiels tels qu’ISO9000, ITIL, COSO… En d’autres termes, dans le cadre d’une approche qualité de type ISO9000, très orientée processus, COBIT se révèle être un outil précieux.

- L'ISO 27000 et ITIL peuvent être considérés comme des mises en application du COBIT dans le domaine du service IT et de la sécurité.

- On constate que la démarche est digne d’une méthodologie, continuellement documentée et développée par les experts en systèmes d’information.

J’espère sincèrement que ce dossier pourra être utile à d’autres personnes. Il sera mis à disposition sur mon site personnel comme d’autres supports de cours.

(http://home.nordnet.fr/~ericleleu).

(25)

LES REFERENCES : BIBLIOGRAPHIE / « WEBOGRAPHIE »

De nombreuses informations ont été trouvées sur Internet. La liste des sites visités courant Décembre 2008 et Janvier 2009 sont :

- http://www.delvaux-conseil.com/JPDelvaux_Integration2005.ppt - http://www.univ-angers.fr/docs/etudquassi/COBIT.pdf

- http://www.aud-it.ch/cobit.htm - http://fr.wikipedia.org/wiki/Cobit - http://www.afai.asso.fr

- http://cigref.typepad.fr/itgifrance/files/place_gouvernance_SI_dans_gouvernance_generale.pdf - http://www.guideinformatique.com/fiche-cobit-741.htm

- http://www.piloter.org/gouvernance/COBIT_gouvernance_SI.htm - http://www.commentcamarche.net/contents/qualite/cobit.php3 - http://www.btcweb.com/btc/fr/services/organisation/cobit/index.html - http://www.volle.com/travaux/cobit.htm

- http://www.volle.com/travaux/cobitimp.htm - http://www.bonneaud.net/cobit/

- http://www.numeraladvance.com/Role_des_Normes/Normes_pour_SI/COBIT/Le_COBIT.htm

(26)

LE GLOSSAIRE

AUDIT : Processus systématique, indépendant et documenté permettant de recueillir des informations objectives pour déterminer dans quelle mesure les éléments du système cible satisfont aux exigences des référentiels du domaine concerné.

BENCHMARK : En informatique, un benchmark est un banc d'essai permettant de mesurer les performances d'un système pour le comparer à d'autres.

CMMI : (Capability Maturity Model & Integration) - est un modèle de référence, un ensemble structuré de bonnes pratiques, destiné à appréhender, évaluer et améliorer les activités des entreprises d'ingénierie. Il est largement employé par les entreprises d'ingénierie informatique, les DSI et les industriels pour évaluer et améliorer leurs propres développements de produits.

COBIT : Control Objectives for Business Information and related Technology, soit en français “Control des objectifs des technologies de l’information”.

COSO : COSO est l’acronyme abrégé de Committee Of Sponsoring Organizations of the Tread way Commission. Il s'agit d'une commission qui a un but non lucratif et qui a établi en 1992 une définition standard du contrôle interne et créé un cadre pour évaluer son efficacité.

DSI : Direction des Services Informatiques

EFFICIENCE : L’efficience désigne le fait de réaliser un objectif avec le minimum de moyens engagés possibles

FACILITY MANAGEMENT : Le Facility Management consiste en une gestion globale des fonctions support de l'entreprise (services généraux) par des prestataires de services tiers spécialisés. La problématique principale du Facility Management est d'améliorer la qualité des prestations dans le cadre d'une réduction des couts.

ISO 9000 : ISO 9000 désigne un ensemble de normes relatives à la gestion de la qualité publiées par l'Organisation internationale de normalisation (ISO).

ISO 27000 : ISO/CEI 27000 est le nom réservé pour un nouveau standard de sécurité de l'information publié conjointement par l'Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI, ou IEC en anglais), faisant partie de la suite ISO/CEI 27000.

IT (TI en français) : « Information Technology », soit Technologie des systèmes d’informations.

ITIL : ITIL (Information Technology Infrastructure Library, soit en français "Bibliothèque pour l'infrastructure des technologies de l'information") est un ensemble d'ouvrages recensant les bonnes pratiques ("best practices") pour la gestion des services informatiques.

(27)

e COBIT : Socle de la gouvernance des SI OLA : « Operating level agreements » - Définit les relations qui existent entre les différents groupes support. L'accord décrit entre autre les responsabilités et les tâches opérationnelles qui incombent à chacun des groupes supports.

SERVICE DESK : En informatique, le support technique est l'assistance donnée par un téléassistant, ou un service, à un utilisateur pour l'aider à résoudre un problème logiciel (software) ou matériel (hardware), ou simplement pour lui donner une information dont il a besoin. Dans le langage ITIL, on parle de centre de services.

SI : Système d’informations

SLA : « Service level agreements » - Document qui définit la qualité de service requise entre un prestataire et un client. Il s'agit d'un contrat dans lequel on formalise la qualité du service attendu.

STRATEGIE : C'est l'art de diriger et de coordonner des actions pour atteindre un objectif. La stratégie a un objectif global et à plus long terme.

TACTIQUE : L'art d'utiliser de manière optimale les modes opératoires et les moyens dont on dispose, pour emporter un gain ou une décision. L'enjeu est local et limité dans le temps.

(28)

LES ANNEXES

LISTE DES PROCESSUS DU COBIT EN FRANÇAIS

Planification et organisation

• PO1 - Définir un plan informatique stratégique

• PO2 - Définir l'architecture de l'information

• PO3 - Déterminer l'orientation technologique

• PO4 - Définir l'organisation et les relations de travail

• PO5 - Gérer l'investissement informatique

• PO6 - Faire connaître les buts et les orientations du management

• PO7 - Gérer les ressources humaines

• PO8 - Se conformer aux exigences externes

• PO9 - Évaluer les risques

• PO10 - Gérer les projets

• PO11 - Gérer la qualité

Acquisition et mise en place

• AMP1 - Trouver des solutions informatiques

• AMP2 - Acquérir des applications et en assurer la maintenance

• AMP3 - Acquérir une infrastructure et en assurer la maintenance

• AMP4 - Développer les procédures et en assurer la maintenance

• AMP5 - Installer les systèmes et les valider

• AMP6 - Gérer les changements

Distribution et support

• DS1 - Définir et gérer des niveaux de service

• DS2 - Gérer des services tiers

• DS3 - Gérer la performance et la capacité

• DS4 - Assurer un service continu

• DS5 - Assurer la sécurité des systèmes

• DS6 - Identifier et imputer les coûts

• DS7 - Instruire et former les utilisateurs

• DS8 - Assister et conseiller les clients

• DS9 - Gérer la configuration

• DS10 - Gérer les problèmes et les incidents

• DS11 - Gérer les données

• DS12 - Gérer les installations

• DS13 - Gérer l'exploitation

(29)

e COBIT : Socle de la gouvernance des SI Surveillance

• S1 - Surveiller les processus

• S2 - Évaluer l'adéquation du contrôle interne

• S3 - Acquérir une assurance indépendante

• S4 - Disposer d'un audit indépendant

(30)

LISTE DES PROCESSUS DU COBIT EN ANGLAIS

Planning & Organisation

• PO1 - Define a strategic IT plan

• PO2 - Define the information architecture

• PO3 - Determine technological direction

• PO4 - Define the IT organisation and relationships

• PO5 - Manage the IT investment

• PO6 - Communicate management aims and direction

• PO7 - Manage human resources

• PO8 - Ensure compliance with external requirements

• PO9 - Assess risks

• PO10 - Manage projects

• PO11 - Manage quality

Acquisition & Implementation

• AI1 - Identify automated solutions

• AI2 - Acquire and maintain application software

• AI3 - Acquire and maintain technology infrastructure

• AI4 - Develop and maintain procedures

• AI5 - Install and accredit systems

• AI6 - Manage changes Delivery & Support

• DS1 - Define and manage service levels

• DS2 - Manage third-party services

• DS3 - Manage performance and capacity

• DS4 - Ensure continuous service

• DS5 - Ensure systems security

• DS6 - Identify and allocate costs

• DS7 - Educate and train users

• DS8 - Assist and advise customers

• DS9 - Manage the configuration

• DS10 - Manage problems and incidents

• DS11 - Manage data

• DS12 - Manage facilities

• DS13 - Manage operations

(31)

e COBIT : Socle de la gouvernance des SI Monitoring

• M1 - Monitor the processes

• M2 - Assess internal control adequacy

• M3 - Obtain independent assurance

• M4 - Provide for independent audit

(32)

EXEMPLE 1 – DEFINIR L’ARCHITECTURE DE L’INFORMATION

PLANIFICATION et ORGANISATION

PO2 – Définir l’architecture de l’information

Objectif : Optimiser l’organisation des systèmes informatiques

. Développement plus rapide d’applications

. Réduction du délai de réalisation des SI majeurs

. Réduction des redondances de données

. Interopérabilité entre systèmes et applications

. Nombre de modifications d’applications entreprises pour se réaligner sur le modèle de données . Nombre d’incidents dans les applications dus aux incohérences du modèle de données

. Quantité de travail à refaire due aux incohérences du modèle de données

. Délai entre les modifications de l’architecture de l’information et celles apportées aux applications

. Il existe une fonction d’administration des données de l’entreprise ayant une autorité suffisante pour administrer le modèle de données et les standards d’informations

. On a documenté, communiqué et appliqué les standards d’architecture de l’information

. Un modèle de données reflétant l’activité de l’entreprise a été défini et pilote l’architecture de l’information Indicateurs

Clé de performance Indicateurs

clé d’objectif

Facteurs clé de succès

(33)

e COBIT : Socle de la gouvernance des SI EXEMPLE 2 - GERER LES DONNEES

DISTRIBUTION SUPPORT DS11 – Gérer les données

Objectif : S’assurer que les données restent complètes, exactes et valides au cours de leur traitement

. Réduction du nombre de données défectueuses comme redondance, duplication et incohérence.

. Nombre de contrôles automatiques d’intégrité des données lancées indépendamment des applications

. On utilise des outils efficaces de transfert de données d’une plate-forme à l’autre sans perte d’intégrité ni de fiabilité.

Indicateurs Clé de performance Indicateurs

clé d’objectif

Facteurs clé de succès