DSCG UE5

COBIT

COBIT : Une dmarche de pilotage des risques informatiques

Le COBIT (Control objectives for information and technology), initi par l'ISACA, a t conu pour prendre en charge la gestion des risques lis au domaine informatique. (24/11/2004) Les origines et objectifs de COBIT La ncessit davoir un cadre de rfrence en matire de scurit et de contrle des technologies de l'information a pouss lISACA (Information Systems Audit and Control Association) crer la mthode COBIT en 1996. Cette mthode est diffuse en France par sa branche franaise l'AFAI (Association Franaise de lAudit et du Conseil Informatique). Lobjectif tait de faire le lien entre les risques mtiers, les besoins de contrle et les questions techniques en se basant sur les meilleures pratiques en audit informatique et SI. Le COBIT se destine aussi bien au management (qui doit dcider des investissements effectuer pour assurer la scurit et la matrise des TI, et les ajuster suivant les risques de l'environnement) quaux utilisateurs (scurit, mise sous contrle des services informatiques fournis). La mthode COBIT se veut le modle de rfrence de la gouvernance des TI. Rcemment, et afin de faciliter lvolution et la formalisation de la matrise des risques relatifs aux TI notamment dans le cadre de la loi Sarbane-Oxley, lIT Governance Insitute (cr par l'ISACA en 1998) a lanc une version interactive en ligne de COBIT appele COBIT Online. Cette version permet de rechercher facilement les meilleures pratiques, modles de maturit, indicateurs cls dobjectifs et de rendement, etc. dans une base regroupant plus de 300 objectifs dtaills. Elle permet daider les managers justifier les risques lis leur gestion informatique. Les 5 parties de la mthode COBIT La synthse est une prsentation des concepts et principes de COBIT. Elle prsente les domaines, les objectifs de contrle gnraux (aussi appels processus) et le cadre de rfrence. Cest une introduction la mthode elle-mme. Elle donne une vision gnrale de ce quest la mthode COBIT. Le cadre de rfrence se dcline en check lists mthodiques couvrant 4 domaines, 34 objectifs de contrle gnraux (trs synthtiques) et 302 objectifs de contrle dtaills. Chacun de ces objectifs rpond 3 familles dimpratifs : conomiques et fiduciaires, scuritaire et qualit. Le domaine Planification & Organisation : 11 objectifs couvrent tout ce qui concerne la stratgie et les tactiques. Ils identifient les moyens permettant linformatique de contribuer le plus efficacement la ralisation des objectifs commerciaux de lentreprise. Le domaine Acquisition & Mise en place : 6 objectifs concernent la ralisation de la stratgie informatique, lidentification, lacquisition, le dveloppement, linstallation des solutions informatiques et leur intgration dans des processus commerciaux. Le domaine Distribution & Support : 13 objectifs regroupent la livraison des prestations informatiques exiges (lexploitation, la scurit, les plans durgences et la formation). Le domaine Surveillance : 4 objectifs permettent au management dvaluer la qualit et la conformit des processus informatiques aux exigences de contrle. Le guide daudit permet dvaluer et de justifier les risques et les faiblesses des objectifs gnraux et dtaills et de mettre en place des actions correctives. Ce guide daudit rpond 4 principes : lacquisition dune bonne comprhension, lvaluation des contrles, la vrification de la conformit, la justification du risque de ne pas atteindre les objectifs de contrle. Le guide de management fournit des indicateurs cls dobjectif et de performance et des facteurs cls de succs. Cest aussi dans ce guide que lon trouve le modle de maturit. Il value latteinte dun ou plusieurs objectifs gnraux sous forme dune chelle de 0 5 : 0 : Inexistant 1 : Existant mais non organis (initialis au cas par cas) 2 : Dcrit (reproductible mais intuitif)

1/5

DSCG UE5

COBIT

3 : Dfini (avec documentation) 4 : Surveill et mesur 5 : Optimis. Les outils de la mise en uvre contiennent une prsentation de " success story" dentreprises qui ont mis en place rapidement et avec succs la mthode COBIT. Cette partie intgre deux outils danalyse de sensibilisation du management et de diagnostic de contrle informatique. Le COBIT est donc troitement li aux objectifs de lentreprise tout en sintressant plus particulirement linformatique. Il permet de rassurer le management, duniformiser les mthodes de travail et de garantir la scurit et les contrles de leurs services informatiques. Exemple sur un objectif gnral appel "AMP1 Identifier les solutions" Cet objectif gnral correspond au contrle du processus informatique "trouver des solutions informatiques". Objectifs de contrle gnral : Pour garantir une meilleure approche des besoins utilisateur, il faut trouver des solutions informatiques. Pour cela, il faut une comparaison des diffrentes possibilits offertes en rponse aux besoins utilisateurs suivant plusieurs critres : - la connaissance des solutions disponibles sur le march, - les mthodologies d'acquisition et de mise en place, - l'implication des utilisateurs et de l'approvisionnement, - l'alignement sur les stratgies de l'entreprise et de la fonction informatique etc. Objectifs de contrle dtaills rattachs l'objectif "identifier les solutions" : 1. Dfinir des besoins d'information par la spcification des besoins fonctionnels et oprationnels de la solution envisage en termes de performance, scurit, fiabilit, compatibilit, et respect de la lgislation. 2. Analyser et formuler des solutions alternatives susceptibles de satisfaire les demandes de lentreprise concernant le nouveau systme ou sa modification 3. Formuler la stratgie d'achat dans le cadre dun plan court et long terme. 4. Laudit des objectifs de contrle gnraux et dtaills passe par 4 tapes : - Acqurir une bonne comprhension de lobjectifs concern (interroger les acteurs concerns). - Evaluer les contrles du processus. ex : vrifier que les politiques et les procdures existantes exigent que les logiciels du commerce qui peuvent satisfaire les besoins des utilisateurs soient identifis avant le choix final. - Vrifier la conformit du processus. ex : sassurer que toutes les faiblesses et insuffisances du systme existant ont t identifies et seront compltement traites et rsolues par le systme propos, quil soit nouveau ou modifi. - Justifier le risque de ne pas atteindre les objectifs de contrle ex : faire une analyse comparative de lidentification des besoins utilisateurs satisfait par des solutions automatises, par rapport des entreprises similaires ou aux normes internationales appropries/aux meilleures pratiques reconnues de la profession. Guide du management : - Des facteurs cls de succs (ex. : solutions disponibles sur le march bien connues). - Des indicateurs cls dobjectif (ex. : nombre ou pourcentage de projets repris de zro ou rorients). - Des indicateurs cls de performance (ex. : dlai entre la dfinition des besoins et lidentification de la solution). - Le modle de maturit : le contrle du processus informatique concern peut tre inexistant, initialis au cas par cas, reproductible mais intuitif, dfini, gr et mesurable, optimis.
Guillaume Decalf

2/5

DSCG UE5

COBIT

Cobit 4.1 : socle de la Gouvernance des systmes d'information

Pour que linformatique rponde correctement aux attentes de lentreprise les dirigeants doivent mettre en place un systme de contrle ou de rfrence interne qui les guidera dans la gouvernance des SI. (09/04/2009) Cobit est devenu lintgrateur des meilleures pratiques en technologies de linformation et le rfrentiel gnral de la gouvernance des SI qui aide comprendre et grer les risques et les bnfices qui leur sont associs. Les bonnes pratiques de Cobit sont le fruit d'un consensus d'experts . Elles sont trs axes sur le contrle au sens matrise et moins sur l'excution. Elles ont pour but d'aider optimiser les investissements informatiques, assurer la fourniture des services et fournir des mtriques auxquelles se rfrer pour valuer les dysfonctionnements. Cobit est en permanence tenu jour et harmonis avec les autres standards. Cobit concerne diffrents types d'utilisateurs : - les directions gnrales : pour que l'investissement informatique produise de la valeur et pour trouver le bon quilibre entre risques et investissements en contrles dans un environnement informatique souvent imprvisible, - les directions mtiers : pour obtenir des assurances sur la gestion et le contrle des services informatiques fournis en interne ou par des tiers, - les directions informatiques : pour fournir les services informatiques dont les mtiers ont besoin pour rpondre la stratgie de l'entreprise, et pour contrler et bien grer ces services, - les auditeurs et consultants : pour justifier leurs opinions et/ou donner des conseils au management sur les contrles internes et la gouvernance des SI. Le cadre de rfrence de contrle de Cobit facilite la mise en place d'une gouvernance des SI en : - tablissant un lien avec les exigences mtier de l'entreprise, - structurant les activits informatiques selon un Modle de Processus largement reconnu, - identifiant les principales ressources informatiques mobiliser, - dfinissant les objectifs de contrle prendre en compte. L'orientation mtier de Cobit consiste lier les objectifs mtier aux objectifs informatiques , fournir les mtriques (dfinir ce qui doit tre mesur et comment) et les modles de maturit pour faire apparatre leur degr de russite, et identifier les responsabilits communes aux responsables de processus mtier et de processus informatiques. L'orientation processus de Cobit est illustre par un modle de processus qui subdivise l'informatique en 34 processus rpartis entre les quatre domaines de responsabilits que sont planifier, mettre en place, faire fonctionner et surveiller , donnant ainsi une vision complte de l'activit informatique. Les concepts d'architecture d'entreprise aident identifier les ressources essentielles au bon droulement des processus comme les applications, l'information, les infrastructures et les personnes. Pour fournir les informations dont l'entreprise a besoin pour raliser ses objectifs, les ressources informatiques doivent tre gres par un ensemble de processus regroups selon une certaine logique. Les dirigeants ont besoin d'objectifs de contrle pour fournir l'assurance raisonnable que les objectifs de l'entreprise seront atteints et que des dispositifs sont en place pour prvenir ou dtecter et corriger des vnements indsirables. Les entreprises ont besoin de pouvoir mesurer objectivement o elles en sont et o elles doivent apporter des amliorations, et elles ont besoin d'implmenter des outils de gestion pour surveiller ces amliorations. La rponse ce besoin de dterminer et de surveiller les niveaux de contrle et de performance de l'informatique appropris est apporte par Cobit sous forme de : - Tests comparatifs de la capacit des processus informatiques prsents sous la forme de modles de maturit inspirs du Capability Maturity Model du Software Engineering Institute, - Objectifs et mtriques des processus informatiques pour dfinir et mesurer leurs rsultats et leurs performances (capacit atteindre les objectifs mtiers et informatiques) selon les principes du

3/5

DSCG UE5

COBIT

tableau de bord quilibr de Robert Kaplan et David Norton, - Objectifs des activits pour mettre ces processus sous contrle en se basant sur des objectifs de contrle dtaills. L'valuation de la capacit des processus au moyen des modles de maturit de COBIT lment cl de la mise en place d'une gouvernance des SI. Lorsqu'on a identifi les processus et les contrles informatiques essentiels, le modle de maturit permet de mettre en vidence les dfauts de capacit et d'en faire la dmonstration au management. On peut alors concevoir des plans d'action pour amener ces processus au niveau de capacit dsir. Cobit concourt la gouvernance des SI en aidant s'assurer que les : - les SI sont aligns sur le mtier de l'entreprise , - les SI apportent un plus au mtier, et maximisent ses rsultats , - les ressources des SI sont utilises de faon responsable , - les risques lis aux SI sont grs comme il convient . La mesure de la performance est essentielle la gouvernance des SI . Elle est un lment de Cobit et consiste entre autres fixer et surveiller des objectifs mesurables pour ce que les processus informatiques sont censs fournir (rsultat du processus) et pour la faon dont ils le fournissent (capacit et performance du processus). Pour que cette gouvernance soit efficace, les dirigeants doivent obtenir des directions oprationnelles qu'elles mettent en place des contrles dans un cadre de rfrence dfini pour tous les processus informatiques. En conclusion, parmi les avantages adopter Cobit comme cadre de gouvernance des SI on peut citer : - un meilleur alignement de l'informatique sur l'activit de l'entreprise du fait de son orientation mtier, - une vision comprhensible par le management de ce que fait l'informatique, - une attribution claire de la proprit et des responsabilits , du fait de l'approche par processus, - un prjug favorable de la part des tiers et des organismes de contrle, - une bonne comprhension de toutes les parties prenantes grce un langage commun, - le respect des exigences du Coso pour le contrle de l'environnement informatique. Cobit : Le modle de rfrence Cobit retient 34 processus regroups en 4 domaines qui correspondent au cycle de vie des SI et leur matrise : Planifier et Organiser (10 processus), Acqurir et Implmenter (7 processus), Dlivrer et Supporter (13 processus), Surveiller et Evaluer (4 processus). Chaque processus met en uvre des ressources informatiques (applications, informations, infrastructures et personnes au sens comptences), fournit une information destine satisfaire les besoins mtiers exprims sous formes de critres (efficacit, efficience, confidentialit, intgrit, disponibilit, conformit, fiabilit) et concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratgique, apport de valeur, Gestion des risques, gestion des ressources, mesure de la performance). Cobit 4.1 est une version incrmentale de COBIT 4.0 comprenant : - Une amlioration de la partie synthse, - Une prsentation des objectifs et des mtriques dans la partie cadre de rfrence, - De meilleures dfinitions des concepts essentiels . Il est important de mentionner que la dfinition de l'objectif de contrle a volue pour devenir davantage l'expos d'une pratique de management, - Une amlioration des objectifs de contrle rsultant d'une mise jour des pratiques de contrle et de la prise en compte de Val IT. Certains objectifs de contrle ont t regroups et/ou rcrits pour viter les redondances et rendre la liste des objectifs de contrle plus cohrente. Il en a rsult une

4/5

DSCG UE5

COBIT

renumrotation des objectifs de contrle restants. Quelques objectifs de contrle ont t rcrits afin de les rendre plus cohrents et davantage tourns vers l'action. Plus prcisment : - AI5.5 et AI5.6 ont t regroups avec AI5.4 - AI 7.9, AI7.10 et AI7.11 ont t regroups avec AI7.8 - SE3 intgre dsormais la conformit aux obligations contractuelles en plus des obligations lgales et rglementaires. - Les contrles applicatifs ont t retravaills afin de les rendre plus efficaces, pour aider valuer et rendre compte de l'efficacit des contrles. Il en rsulte une liste de six contrles applicatifs au lieu des 18 de Cobit 4.0 avec des dtails additionnels provenant des Pratiques de Contrle Cobit , 2me version. - La liste des objectifs mtiers et informatiques de l'Annexe I a t amliore sur la base d'un nouveau regard rsultant des travaux de recherche mens par l'Ecole de Management de Universit d'Anvers (Belgique). - Le hors texte a t enrichi . Il intgre une liste de rfrence rapide des processus Cobit et le diagramme de synthse de description des domaines a t revu afin d'intgrer une rfrence aux contrles de processus et aux contrles applicatifs du Cadre de Rfrence Cobit. - Les amliorations proposes par les utilisateurs de Cobit (Cobit 4.0 et Cobit Online) ont t revues et intgres quand cela tait opportun. Cobit V4.1 est disponible en version franaise sous forme d'un livre dans lequel est encarte une version numrique sur cdrom. Vous pouvez le commander sur ce site. Source : AFAI

5/5