Accueil🇫🇷Chercher

COBIT

COBIT (pour « Control Objectives for Information and related Technology », ou « objectifs de contrôle de l'information et des technologies associées » en français) est un référentiel de bonnes pratiques d'audit informatique et de gouvernance des systèmes d'information d'origine américaine. Au fil des versions successives, il tend à devenir un outil fédérateur de gouvernance des systèmes d'information en intégrant progressivement les apports d'autres référentiels tels que ISO 9000, ITIL, etc.

Historique

La gouvernance des Systèmes d'Information (Information Technology (IT) Governance) s'est diffusée au sein des entreprises dans un contexte où d'une part, l'automatisation des fonctions de l'entreprise est devenue une composante essentielle au sein de l'entreprise et d'autre part, les dirigeants ne voient pas comment les SI peuvent apporter de la valeur et de la performance dans l'organisation. Ainsi, on peut parler de gouvernance des SI et donc de normes et certifications permettant cette dernière. C'est également dans un souci de transparence des informations que les SI se sont développés et que leur contrôle est devenu incontournable. Le référentiel principal de gouvernance et d'audit des SI est le COBIT. En résumé le COBIT est un cadre de référence pour maîtriser la gouvernance des SI dans le temps. Il est fondé sur un ensemble de bonnes pratiques collectées auprès d'experts du SI.

COBIT a été développé en 1994 (et publié en 1996) par l'ISACA (Information Systems Audit and Control Association). L'ISACA a été créé en 1967 et est représenté en France depuis 1982 par l'AFAI (Association française de l'audit et du conseil informatiques). C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. COBIT a évolué, la version 4 est apparue en France en 2007.

COBIT est une approche orientĂ©e processus, qu'il regroupe en quatre domaines (planification, construction, exĂ©cution et mĂ©trologie, par analogie avec la Roue de Deming), 34 processus distincts qui comprennent en tout 215 activitĂ©s et un nombre plus important encore de « pratiques de contrĂ´le ». Un volet « Ă©valuation des systèmes d'information », connu sous le nom de Val IT tente de complĂ©ter cette approche.

La version 5 de COBIT est disponible depuis [1]. COBIT 5 est, à ce jour, le seul référentiel qui est orienté business pour la Gouvernance et la Gestion des Systèmes d'Information de l'entreprise. Il représente une évolution majeure du référentiel.

COBIT 5 peut ĂŞtre adaptĂ© pour tous les types de modèles business, d'environnements technologiques, toutes les industries, les lieux gĂ©ographiques et les cultures d'entreprise. Il peut s'appliquer Ă  :

  • La sĂ©curitĂ© de l'information ;
  • La gestion des risques ;
  • La gouvernance et la gestion du système d'information de l'entreprise ;
  • Les activitĂ©s d'audit ;
  • La conformitĂ© avec la lĂ©gislation et la rĂ©glementation ;
  • Les opĂ©rations financières ou les rapports sur la responsabilitĂ© sociale de l'entreprise.

Le référentiel COBIT 5 simplifie les défis de la gouvernance avec seulement cinq principes et sept facilitateurs. Il permet l'intégration avec d'autres approches et normes, incluant TOGAF, PMBOK, PRINCE2, COSO, ISO/CEI 20000, ISO/CEI 27001, ITIL, PCI DSS, Loi Sarbanes-Oxley et Bâle III.

En , l'ISACA a annoncé la sortie progressive de la version 2019 de COBIT[2].

Principes de COBIT

COBIT fournit aux gestionnaires, auditeurs et utilisateurs de TIC (Technologies de l'information et de la communication), des indicateurs, des processus et des bonnes pratiques pour les aider à maximiser les avantages issus du recours à des techniques informatiques et à l'élaboration de la gouvernance et du contrôle d'une entreprise. Il les aide à comprendre leurs systèmes informatiques et à déterminer le niveau de sécurité et de contrôle qui est nécessaire pour protéger leur entreprise, et ceci par le biais du développement d'un modèle de gouvernance des systèmes d'information tel que COBIT. Ainsi, COBIT fournit des indicateurs clés d'objectif, des indicateurs clés de performance et des facteurs clés de succès pour chacun de ses processus. Le modèle COBIT se focalise sur ce que l'entreprise a besoin de faire et non sur la façon dont elle doit le faire.

Le référentiel COBIT constitue une structure de relations et de processus (cadre de référence ou framework) visant à un pilotage et un contrôle des techniques informatiques par le management de l'entreprise pour atteindre ses objectifs, en utilisant ces techniques comme moyen pour améliorer l'activité et répondre aux besoins métiers, besoins consolidés dans le plan stratégique de l'entreprise. Il est basé sur 5 clés principales de la gouvernance et gestion IT :

  • RĂ©pondre aux besoins des parties prenantes ;
  • Couvrir l'entreprise de bout en bout ;
  • Appliquer un seul cadre de rĂ©fĂ©rence ;
  • SĂ©parer la gouvernance et la gestion ;
  • Favoriser une approche globale.

Fondamentaux de COBIT 5

Une des principales nouveautĂ©s de COBIT 5 est d'aborder le système d'information, au-delĂ  des processus dĂ©jĂ  mis en avant par COBIT 4.1,  au travers d'autres thĂ©matiques  complĂ©mentaires, dans le cadre d'une approche globale (ou systĂ©mique). L'ensemble de ces thĂ©matiques contribue de manière interdĂ©pendante Ă  la maĂ®trise de la gouvernance et du management du SI. 

COBIT 5 définit 37 processus regroupés en cinq domaines[3].

  1. Évaluer, diriger, et surveiller :
    1. Assurer la définition et l'entretien d'un référentiel de gouvernance
    2. Assurer la livraison des bénéfices
    3. Assurer l'optimisation du risque
    4. Assurer l'optimisation des ressources
    5. Assurer aux parties prenantes la transparence
  2. Aligner, planifier et organiser :
    1. GĂ©rer le cadre de gestion des TI
    2. Gérer la stratégie
    3. GĂ©rer l'architecture de l'entreprise
    4. GĂ©rer l'innovation
    5. GĂ©rer le portefeuille
    6. Gérer le budget et les coûts
    7. GĂ©rer les relations humaines
    8. GĂ©rer les relations
    9. GĂ©rer les accords de service
    10. GĂ©rer les fournisseurs
    11. Gérer la qualité
    12. GĂ©rer le risque
    13. Gérer la sécurité
  3. Bâtir, acquérir, et implanter :
    1. GĂ©rer les programmes et les projets
    2. Gérer la définition des exigences
    3. GĂ©rer l'identification et la construction des solutions
    4. Gérer la disponibilité et la capacité
    5. GĂ©rer le changement organisationnel
    6. GĂ©rer les changements
    7. GĂ©rer l'acceptation du changement et de la transition
    8. GĂ©rer la connaissance
    9. GĂ©rer les actifs
    10. GĂ©rer la configuration
  4. Livrer, servir et soutenir :
    1. Gérer les opérations
    2. GĂ©rer les demandes de services et les incidents
    3. Gérer les problèmes
    4. Gérer la continuité
    5. Gérer les services de sécurité
    6. GĂ©rer les contrĂ´les des processus d'affaires
  5. Surveiller, Ă©valuer et mesurer :
    1. Surveiller, évaluer et mesurer la performance et la conformité
    2. Surveiller, évaluer et mesurer le système de contrôle interne
    3. Surveiller, évaluer et mesurer la conformité aux exigences externes

Des adaptations ont Ă©tĂ© rĂ©alisĂ©es sur cette version afin d'assurer une meilleure convergence avec d'autres rĂ©fĂ©rentiels tels que ITIL et CMMI.  Ainsi le COBIT 5, encore plus que COBIT 4.1, aidera les DSI Ă  mettre en Ĺ“uvre une dĂ©marche d'amĂ©lioration globale de la DSI, homogène et coordonnĂ©e, qui ne se focalise pas que sur les processus.

Fondamentaux de CobiT 4.1

COBIT 4.1 définit 34 processus regroupés en quatre domaines.

Le COBIT consiste à décomposer tout système informatique en :

  1. Planification et Organisation : dans ce domaine nous cherchons Ă  savoir comment utiliser les techniques informatiques afin que l'entreprise atteigne ses objectifs.
    1. Définition du plan stratégique informatique
    2. DĂ©finition de l'architecture des informations
    3. DĂ©finition de la direction technologique
    4. Organisation du service informatique
    5. Gestion des investissements
    6. Communication des objectifs de la direction
    7. Gestion des ressources humaines
    8. Respect des exigences légales
    9. Évaluation des risques
    10. Gestion des projets
    11. Gestion de la qualité
  2. Acquisition et Installation : ici COBIT cherche à définir, acquérir et mettre en œuvre des technologies en les alignant avec les processus métiers de l'entreprise.
    1. Identification des solutions automatiques
    2. Acquisition et maintenance des applications informatiques
    3. Acquisition et maintenance de l'infrastructure technique
    4. Développement et maintien des procédures
    5. Installation et certification des systèmes
    6. Gestion des modifications
  3. Livraison et Support : l'objectif est de garantir l'efficacité et l'efficience des systèmes technologiques en action.
    1. DĂ©finition des niveaux de service
    2. Gestion des services aux tiers
    3. Gestion des performances et des capacités
    4. Garantie de la poursuite des traitements
    5. Garantie de la sécurité des systèmes
    6. Identification et attribution des coûts
    7. Formation des utilisateurs
    8. Assistance des utilisateurs
    9. Gestion de la configuration
    10. Gestion des incidents
    11. Gestion des données et des applications
    12. Sécurité physique du système
    13. Gestion de l'exploitation
  4. Monitoring : Il convient ici de vérifier que la solution mise en place est en adéquation avec les besoins de l'entreprise dans une vision stratégique.
    1. Surveillance des processus
    2. Appréciation du contrôle interne
    3. Certification par un organisme indépendant
    4. Audit par un organisme indépendant

COBIT s'adresse à différents utilisateurs :

  • Le management pour lequel il offre un moyen d'aide Ă  la dĂ©cision ;
  • Les utilisateurs directs pour lesquels il permet d'apporter des garanties sur la sĂ©curitĂ© et les contrĂ´les des services informatiques ;
  • Les auditeurs et les consultants auxquels il propose des moyens d'interventions reconnus internationalement.

Le package COBIT 4.1

Il comprend six publications :

  • Executive summary (rĂ©sumĂ© de la vue d'ensemble de la mĂ©thodologie CobiT pour les managers pressĂ©s) ;
  • Framework (cadre de rĂ©fĂ©rence explicatif de la mĂ©thode, des domaines et processus) ;
  • Control objectives (215 objectifs de contrĂ´le : ces objectifs sont directement orientĂ©s vers le management et les Ă©quipes responsables des services informatiques) ;
  • Audit guidelines (le guide de l'audit) : il s'agit de dĂ©celer, d'analyser et expliquer les failles d'un système et les risques qui en dĂ©coulent ainsi que de leur apporter des solutions ;
  • Implementation Tool Set (les outils de la mise en Ĺ“uvre du CobiT) ;
  • Management Guidelines (le guide du management). Celui-ci dispose d'un modèle de maturitĂ© pour Ă©valuer, sur une Ă©chelle de cinq degrĂ©s, le niveau d'Ă©volution de chacun des processus. Ce guide propose un cadre de pilotage de type tableau de bord prospectif (balanced scorecard).

L'objectif est d'assurer l'adéquation durable entre les technologies, les processus métiers et la stratégie de l'entreprise.

Critères de l'information

Cette rubrique va intéresser la direction générale en indiquant ce que l'implantation d'un processus donné va apporter sur les informations (par exemple sur l'information décisionnelle). Ces critères sont :

  • efficacitĂ© : qualitĂ© et pertinence de l'information, distribution cohĂ©rente ;
  • efficience : rapiditĂ© de dĂ©livrance ;
  • confidentialitĂ© : protection contre la divulgation ;
  • intĂ©gritĂ© : exactitude de l'information ;
  • disponibilitĂ© : accessibilitĂ© Ă  la demande et protection (sauvegarde) ;
  • conformitĂ© : respect des règles et lois ;
  • fiabilitĂ© : exactitudes des informations transmises par le management.

En améliorant l'information selon ces critères, l'organisation pourra atteindre plus facilement ses objectifs, cela ouvrira des nouvelles opportunités et améliorera la rentabilité.

Les ressources

Cette partie concerne plus le directeur des systèmes d'informations (DSI) ou responsable des systèmes d'informations (RSI), pour l'informer des ressources qui vont être impactées par le processus. Les différentes ressources sont :

  • les compĂ©tences : le personnel, efficacitĂ© des collaborateurs (internes et externes) ;
  • les applications : ensemble des procĂ©dures de traitement ;
  • l'infrastructure : ensemble des installations, Data Center, … ;
  • les donnĂ©es : informations au sens global (format, structure, …) ;
  • les techniques : Ă©quipement, logiciels, bases de donnĂ©es, rĂ©seaux, …

Les processus

Destinés à l'attention du gestionnaire de processus, ils vont définir la structure des domaines, des processus et des tâches. Il faut savoir qu'un processus se définit comme un ensemble de tâches. Par exemple, le processus « comptable » intervient dans le domaine « administratif et financier » et se divise en activités telles que « la saisie de factures, l'édition de balance… ». CobiT propose un modèle de maturité pour chaque processus afin de le situer par rapport aux meilleures pratiques du marché. Le modèle comprend 6 niveaux (0 à 5).

Les facteurs clés de succès définissent les actions les plus importantes à entreprendre pour maîtriser les processus. Les indicateurs clés d'objectif permettent de savoir a posteriori si un processus a répondu aux objectifs (en ce qui concerne les critères d'information). Enfin, les indicateurs clés de performance déterminent la qualité de fonctionnement d'un processus (capacité à atteindre les objectifs).

CobiT Quickstart

Cette version simplifiée de CobiT s'adresse principalement aux PME pour lesquelles les techniques informatiques ne représentent pas un enjeu stratégique mais simplement un levier dans leur stratégie de croissance. Elle se repose sur les hypothèses suivantes :

  • l'infrastructure informatique n'est pas complexe ;
  • du fait de la taille de l'entreprise, le système d'information et l'activitĂ© sont bien alignĂ©s ;
  • les tâches les plus complexes sont externalisĂ©es ;
  • la tolĂ©rance aux risques est relativement Ă©levĂ©e ;
  • l'Ă©ventail des contrĂ´les est peu Ă©tendu ;
  • la structure de commandement est simple.

Cette version conserve de COBIT 30 processus sur les 34, et 62 objectifs de contrĂ´le sur les 318.

La mise en Ĺ“uvre Quickstart comprend six Ă©tapes :

  • Évaluer le bien-fondĂ© c'est-Ă -dire dĂ©terminer si cette version est adaptĂ©e Ă  l'entreprise ;
  • Évaluer la situation actuelle Ă  partir de collectes d'informations auprès des personnes clĂ© et de rapports d'audit ;
  • DĂ©terminer la cible avec la dĂ©finition de l'activitĂ©, des contraintes lĂ©gales, et de la dĂ©pendance de l'entreprise vis-Ă -vis de la technologie ;
  • Analyser les Ă©carts par l'examen des pratiques de contrĂ´le et des facteurs clĂ©s de succès ;
  • DĂ©finir les projets d'amĂ©lioration des processus
  • Élaborer un programme intĂ©grĂ© de mise en place de la gouvernance en tenant compte des besoins immĂ©diats de l'entreprise, des interdĂ©pendances entre les projets et des ressources disponibles.

Limites

Selon Georges Épinette, administrateur du CIGREF, la démarche d'appréhension de ce référentiel doit se faire intelligemment, notamment lorsqu'il s'agit du cycle de vie de la relation client-fournisseur. En effet, CobiT présente une relative indigence en matière :

En particulier, CobiT repose sur une approche très fonctionnelle de l'organisation. Sur ce modèle, le Système d'information opère en parallèle de l'organisation réelle - et d'une certaine manière, déconnecté de celle-ci - car il se base sur l'agencement nominal des fonctions[5]. Dans ce contexte, l'alignement du système d'information consiste à réconcilier, souvent de façon ponctuelle, la réalité des opérations avec une vision idéalisée de l'organisation. D'autres approches, qui mêlent de façon dynamique Système d'information et Organisation selon des modélisations qui étendent le modèle fonctionnel évitent cet écueil : c'est le cas, par exemple, de l'Analyse décisionnelle des systèmes complexes inspirée des travaux de l'école socio-technique et du courant cybernétique.

Un groupe de travail du club des maîtres d'ouvrage des systèmes d'information a publié en 2006 une étude sur CobiT, dans laquelle figurent un certain nombre de remarques sur les apports et les limites de CobiT[6].

Notes et références

  1. L'ISACA publie le cadre de référence de gouvernance COBIT 5 - Isaca.org, 10 avril 2012
  2. « ISACA Refreshes COBIT Framework to Address Latest Business Technology Trends and Standards », sur www.isaca.org (consulté le )
  3. ISACA : « Un référentiel orienté affaires pour la gouvernance et la gestion des TI de l'entreprise » et « Processus facilitants ».
  4. Ahmed Bounfour, Capital immatériel, connaissance et performance, Harmattan, 2006 (ISBN 978-2-2960-1128-1) p. 127
  5. Système d'information : analyse prospective - Philippe Gautier, IGD
  6. COBIT (Control Objectives for Information and related Technologies), version 4.0, 2005 - Club des maîtres d'ouvrage des systèmes d'information, Volle.com, 31 décembre 2006

Annexes

Articles connexes

Bibliographie

  • FrĂ©dĂ©ric Georgel, IT Gouvernance : Management stratĂ©gique d'un système d'information, Paris, Dunod, 2009 (ISBN 978-2100525744)
  • D. Moisand et F. Garnier de Labareyre, CobiT : Pour une meilleure gouvernance des systèmes d'information, Paris, Eyrolles, 2009 (ISBN 978-2212124279)

Liens externes

Cet article est issu de wikipedia. Text licence: CC BY-SA 4.0, Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.