Control Objectives for Business and Related Techonology

Anne 2013
Intervenant : M. Sofiane Mickael OUAALI

Objectifs de la Formation

1. Comprendre les avantages utiliser le rfrentiel CobiT 2. Connatre les 4 domaines d'un SI 3. Comprendre la structure des processus 4. Placer chaque activit dans le bon processus 5. Dfinir les niveaux de maturit de chaque activit 6. Utiliser les indicateurs adquats 7. Valoriser les ressources du systme

Organisation de la Formation

Le samedi ou Dimanche
Matine de 09h00 12h30 Pause 15 min

Aprs midi de 13h30 17h00 Pause 15 min

Volume horaire : 2 ou 3 sances de formation

Mode dEvaluation de la Formation

Note de Prsence X

Note TP -

Note Examen X

Note Fin Module XX/20

Agenda de la Formation

Module 1 : Gnralit et Principes de Base (Terminologie) Module 2 : Rfrentiels, Normes SI et SSI Module 3 : Framework COBIT Module 4 : Utilisation du Cadre de Rfrences Module 5 : Domaine 1 PLANIFIER ET ORGANISER (PO) Module 6 : Domaine 2 ACQURIR ET IMPLMENTER (AI) Module 7 : Domaine 3 DLIVRER ET SUPPORTER (DS) Module 8 : Domaine 4 SURVEILLER ET EVALUER (SE) Module 9 : Nouveauts COBIT 5

Module 1: Gnralits et Principes de Base (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

Programme
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Information Donnes Systme Informatique Systme dinformation Schma Directeur TCO ROI Cahier des Charges Gouvernance des Systmes dInformation Processus Modle RACI

I. Gnralits & Principes de Bases (Terminologie)

1. Information

I. Gnralits & Principes de Bases (Terminologie)

2. Donnes :
Informations numriques et alphanumriques codes et lisibles par la machine, en vue de leur enregistrement, traitement, conservation et communication.

3. Systme Informatique :
Ensemble de matriels (Serveurs, Switchs, Ordinateurs ) et de logiciels permettant : Acqurir les donnes Traiter les donnes Communiquer les donnes Stocker les donnes

Afin de rpondre aux besoins des utilisateurs

I. Gnralits & Principes de Bases (Terminologie)

4. Systme dInformation
Ensemble organis de ressources : Matriel, Logiciel, Personnel, Donnes, Procdures

Permettant d'acqurir, de stocker, de communiquer des informations sous diffrentes formes (textes, images, sons) dans et vers des organisations.

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

5. Schma Directeur :Document conu pour prparer lvolution et ladaptation de lenvironnement informatique dune entreprise pendant une priode donne (gnralement de 2 5 ans). Elabor par un Comit Directeur regroupant les reprsentants de la direction gnrale de l'organisation.

Dfinir les axes stratgiques selon les objectifs de l'entreprise

Repose sur lidentification dun existant et de besoins futurs Outil de planification qui permet de prparer les investissements Ragir face limprvu Permet de dfinir des priorits en terme de ralisation des objectifs

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

6. TCO : Total Cost of Ownership est le Cot total de possession d'un bien (un systme informatique) tout au long de son cycle de vie. Calcul du TCO : Les aspects directs: (cots matriels tels qu'ordinateurs, infrastructures rseaux, etc. ou logiciels tels que le cot des licences) Cots indirects : (cots cachs) tels que la maintenance, l'administration, la formation des utilisateurs et des administrateurs, l'volution, le support technique et les cots rcurrents (consommables, lectricit, loyer)

A quoi sert le TCO ? Piloter son systme d'information

Mesurer la dpense informatique

Rduire le cot total

I. Gnralits & Principes de Bases (Terminologie)

7. ROI : (Return on Investment) est un Systme de mesure de performance d'entreprise qui compare via un ratio les rsultats nets d'un projet, avec ses cots totaux

I. Gnralits & Principes de Bases (Terminologie)

8. Cahier des charges vise : Dfinir les besoins et les spcifications Dfinir les modalits d'excution Dfinir les objectifs atteindre Slectionner le prestataire (rfrentiel contractuel) Formaliser les besoins dans le respect du code des marchs publics

I. Gnralits & Principes de Bases (Terminologie)

9. Gouvernance SI : Le terme Gouvernance dsigne la capacit d'une organisation tre en mesure de contrler et de rguler son propre fonctionnement a fin d'viter les conflits d'intrts lis la sparation entre les ayants-droits (actionnaires , direction, conseil dadministration) et les acteurs (employs, les fournisseurs, les clients, les banques, lenvironnement) La gouvernance d'entreprise est l'ensemble des processus, rglementations, lois et institutions influant la manire dont l'entreprise est dirige, administre et contrle La gouvernance des SI est de la responsabilit des dirigeants et du conseil d'administration, et elle est constitue des structures et processus de commandement et de fonctionnement qui conduisent l'informatique de l'entreprise soutenir les stratgies et les objectifs de l'entreprise, et lui permettre de les largir.

I. Gnralits & Principes de Bases (Terminologie)

9. Gouvernance SI : La Gouvernance SI permet de rpondre aux questions suivantes : Comment sont prises les dcisions ? Qui prend les dcisions ? Qui est tenu pour responsable ? Comment le rsultat des dcisions est-il mesur et suivi ? Quels sont les risques ?

Gouvernance des TI est un cercle vertueux permet tant d'orienter et de contrler les processus de gestion :
En donnant les orientations stratgiques des diffrents processus de gestion En utilisant les processus mtier pour fournir les services demands Chaque processus mtier doit rendre compte de l'accomplissement de ses objectifs En contrlant le bon droulement des processus, en les amliorant et au besoin, en dfinissant de nouvelles orientations

I. Gnralits & Principes de Bases (Terminologie)

10. Processus (Process) : Un ensemble dactivits structures conues pour atteindre un objectif spcifique Traite une ou plusieurs entres dfinies et les transforme en rsultats (sortie) Peut inclure la dfinition de tout les rles, responsabilits, outils et contrles de gestion ncessaires la fourniture de rsultats de manire fiable

Peut dfinir des politiques, des standards, des principes, des activits et des modes opratoires si cest ncessaire

I. Gnralits & Principes de Bases (Terminologie)

Contrle du Processus Politique du Processus

Propritaire du Processus Documentation du Processus

Objectifs du Processus Rtroaction du Processus

Dclencheurs

Processus

Mtrique du Processus Activits du Processus Entres du Processus Procdures du Processus Instructions de Travail du Processus Rles du Processus Amliorations du Processus Sorties du Processus

y compris les rapports et avis des Processus

Elments du Processus

Ressources du processus

Capacits du Processus

Rfrentiels & Normes SI et SSI

11. Modle RACI Est une matrice des responsabilits qui indique les rles et les responsabilits des intervenants au sein de chaque processus et activit. Le modle RACI Un outil utile pour aider la dfinition des rles et des responsabilits lors de la conception des processus

RACI : R : Responsible : Ralisation : Ralise lactivit. Il peut y avoir plusieurs R A : Accountable : Approbation : A lautorit pour approuver le travail de R Il ny a quun seul A. En gnral, il y a un rapport hirarchique entre A et R (A est le manager de R) C : Consulted : Consultation : Est consult par R La communication entre R et C est bidirectionnelle. Il peut y avoir plusieurs C I : Informed : Information : Est uniquement inform des travaux de R. Il peut y avoir plusieurs I

Rfrentiels & Normes SI et SSI

Rfrentiels & Normes SI et SSI

RACI apporte plusieurs avantages : Les rles et responsabilits sont clairement dfinis Encourage le travail en quipe, rduit lincertain et prouve la communication entre les diffrentes quipes La redondance des tches est limines La productivit est augmente

I. Gnralits & Principes de Bases (Terminologie)

Enterprise Resource Planning(ERP) : Intgre tous les systmes informatiss de support de l'entreprise (gestion de la production, relation commerciale, ressources humaines, comptabilit...) Customer Relationship Management(CRM) : Regroupe toutes les fonctions permettant d'intgrer les clients dans le systme d'information Supply Chain Management(SCM) : Regroupe toutes les fonctions permettant d'intgrer les fournisseurs et la logistique au systme d'information Human Resource Management(HRM) : SI pour la gestion RH Product Data Management(PDM): Fonctions d'aide au stockage et la gestion des donnes techniques (utilis par les bureaux d'tudes)

Module 2 : Rfrentiels, Normes SI et SSI

Rfrentiels & Normes SI et SSI

Programme

1. 2. 3. 4. 5. 6. 7.

ITIL CMMI PMBOK ISO 20000 ISO 27001/27002 VAL IT RISK IT

Rfrentiels & Normes SI et SSI

1. ITIL : Information Technology Infrastructure Library ITIL est une collection de bonnes pratiques pour assurer un management efficace du Systme d'Information ITIL est dvelopp pour amliorer l'efficacit des services informatiques

Rfrentiels & Normes SI et SSI

1. ITIL : Information Technology Infrastructure Library

La version 3 de ITIL se focalise sur le cycle de vie d'un service, ITIL V3 comporte 6 livres :

Introduction au cycle de vie des services ITIL Stratgie des services (Service Strategy) Conception des services (Service Design) Transition (passage en production) des services (Service Transition) Exploitation des services (Service Operation) Amlioration permanente des services (Continual Service Improvement)

Rfrentiels & Normes SI et SSI

2. CMMI : (Capability Maturity Model & Integration) est un modle de rfrence, un ensemble structur de bonnes pratiques, destin : Apprhender Evaluer Amliorer les activits des entreprises d'ingnierie

Rfrentiels & Normes SI et SSI

2. CMMI : (Capability Maturity Model & Integration) est un modle de rfrence, un ensemble

Rfrentiels & Normes SI et SSI

3. PMBOK
Guide du Project Management Institute dfinissant les champs de connaissance couvrant la gestion de projet, et recensant les bonnes pratiques professionnelles
Le PMBOK dfinit les 5 groupes de processus de management de projet suivants: Dmarrage Planification Excution Surveillance et matrise Clture

Il aborde les dix domaines de comptences en management de projet, savoir: Le management de l'intgration Le management du contenu (primtre) Le management des dlais Le management des cots Le management de la qualit Le management des ressources humaines Le management des communications Le management des risques Le management des approvisionnements Le management des parties prenantes (stakeholders) ajout dans la 5me dition

Le PMBoK distribue un total de 47 processus dans ces groupes de processus et domaines de connaissance

Rfrentiels & Normes SI et SSI

4. ISO 20000
La norme ISO 20000 est un consensus pour une qualit standard de cette gestion des services informatiques Cette notion de gestion des services est dcrite dans la norme en 13 processus inspirs du rfrentiel ITIL

Processus de fourniture des services

Gestion des niveaux de services Rapport de services Gestion de la continuit et de la disponibilit des services Budgtisation et comptabilisation des services Gestion de la capacit Gestion de la scurit de linformation

Processus de gestion des relations entre clients et fournisseurs (Service Desk) Grer les relations commerciales Grer les fournisseurs

Rfrentiels & Normes SI et SSI

4. ISO 20000
Processus de rsolution de problmes Le contexte La gestion des incidents La gestion des problmes

Processus de maintien pour le contrle des systmes dinformations La gestion des configurations La gestion des changements

Processus de mise en production Normes lies la gestion des services et lISO 20000

Rfrentiels & Normes SI et SSI

5. ISO/CE 27001/27002
standard de scurit de l'information publi conjointement par l'Organisation internationale de normalisation (ISO) et la Commission lectrotechnique internationale (CEI, ou IEC Cest une norme internationale de systme de gestion de la scurit de l'information

Rfrentiels & Normes SI et SSI

5. ISO 27001/27002
Phase Plan Fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 tapes : tape tape tape tape 1 2 3 4 : : : : Dfinir la politique et le primtre du SMSI Identifier et valuer les risques lis la scurit et laborer la politique de scurit Traiter le risque et identifier le risque rsiduel par un plan de gestion Choisir les mesures de scurit mettre en place

Phase Do
Met en place les objectifs Former et sensibiliser le personnel

Phase Check Consiste grer le SMSI au quotidien dtecter les incidents en permanence pour y ragir rapidement

Phase Act

Mettre en place des actions correctives, prventives ou damlioration pour les incidents et carts constats lors de la phase Check

Rfrentiels & Normes SI et SSI

Rfrentiels & Normes SI et SSI

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Val IT est un ensemble structur de pratiques cls de management se rapportant la gouvernance des systmes d'information VAL IT comporte deux volets : un aspect risques, qui conduit des pratiques d'audit et des rfrentiels de bonnes pratiques comme COBIT un aspect performance

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT VAL IT rpond 4 : (Business Case) Faisons-nous les choses appropries (right things) ? Faisons-nous les choses de faon approprie (right way) ? Les tches sont-elles effectues correctement (done well) ? En tirons-nous les bnfices attendus ?

The strategic question

The value question

The architecture question

The delivery question

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 1 : Gouvernance de la Valeur (GV ou VG pour Value Governance) a pour objectif de s'assurer que : le concept de valeur est prsent dans les pratiques de management le processus de dcision est organis Les indicateurs sont fournis pour la vrification de l'atteinte des objectifs

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 1 : Gouvernance de la Valeur (GV ou VG pour Value Governance) Liste des processus
VG1 : tablir un leadership inform et impliqu, VG2 : dfinir et mettre en place les processus (et les structures associes, les rles, les responsabilits), VG3 : dfinir les caractristiques des diffrents portefeuilles de projets (composition, poids relatifs...), VG4 : aligner et intgrer la gestion de la valeur dans la gestion financire de l'entreprise, VG5 : tablir une surveillance efficace de la gouvernance (et identifier les drives), VG6 : mettre en place un processus d'amlioration continue des pratiques.

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management) vise optimiser : construire le portefeuille d'investissement identifier les ressources ncessaires chaque projet dfinir les seuils d'investissement, valuer, classer puis slectionner (ou rejeter) les projets lancer, grer globalement le portefeuille d'investissements en termes de risques et rentabilit surveiller les performances et en rendre-compte

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management) Liste des processus
PM1 : tablir une stratgie claire et dfinir la structure de la cible en termes d'investissements PM2 : dterminer les sources et la disponibilit des budgets PM3 : grer la disponibilit des ressources humaines PM4 : valuer et slectionner les programmes financer PM5 : monitorer et rendre compte de la performance des portefeuilles d'investissement PM6 : optimiser la performance des portefeuilles par une revue rgulire des opportunits et risques

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management ) vise assurer : la rentabilit de chaque investissement ou "programme" Lamlioration des comptences des managers oprationnels dans :

a) l'identification des exigences de leur mtier b) la capacit d'apprcier les approches alternatives,

c) la dfinition, rdaction et maintien des business cases dtaills au long de la vie du projet,
d) l'affectation des responsabilits et de la proprit du projet, e) de la gestion du cycle de vie complet du programme, retrait inclus, f) du suivi rgulier de la performance et des comptes-rendus

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management ) Liste des processus
IM1 : dvelopper et valuer le business case initial du programme IM2 : comprendre les implications des candidats-programmes IM3 : dvelopper le plan du programme, IM4 : prparer le budget sur le cycle de vie complet

IM5 : construire le business case complet, dtaill

IM6 : lancer le programme et grer sa vie IM7 : mettre jour les portefeuilles oprationnels IM8 : mettre jour le business case mesure de l'acquisition d'informations nouvelles IM9 : monitorer le programme et rendre-compte IM10 : procder au retrait du programme en fin de vie

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT

I. Gnralits & Principes de Bases (Terminologie)

7. RISK IT RISK IT est le rfrentiel de management du systme dinformation et des technologies par les risques RISK IT un guide de principes directeurs et de bonnes pratiques RISK IT aide les entreprises mettre en place une gouvernance ad hoc, identifier et grer efficacement les risques informatiques RISK IT comprend deux documents : Rfrentiel RISK IT Guide Utilisateur RISK IT aide mettre en place le modle dtaille les concepts fournit de nombreux conseils cartographie sappuyant sur 36 scnarios de risque informatique propose des bonnes pratiques de contrle et de management tires des rfrentiels COBIT et Val IT

I. Gnralits & Principes de Bases (Terminologie)

7. RISK IT (Rfrentiel RISK IT)

Module 3 : Framework COBIT

Framework COBIT
Programme
1. 2. 3. 4. Stratgie/Tactique/Opration COBIT COBIT Historique des Versions Package COBIT

Framework COBIT

Stratgie
O aller ?

Tactique
Comment ?

Oprations

Y aller !
STRATEGIE : C'est l'art de diriger et de coordonner des actions pour atteindre un objectif. La stratgie a un objectif global et plus long terme TACTIQUE : L'art d'utiliser de manire optimale les modes opratoires et les moyens dont on dispose, pour emporter un gain ou une dcision

Framework COBIT
COBIT (Control Objectives for Information and related Technology, Objectifs de contrle de lInformation et des Technologies Associes)

COBIT sadresse diffrents utilisateurs : Le management pour lequel il offre un moyen daide la dcision

Les utilisateurs directs pour lesquels il permet dapporter des garanties sur la scurit et les contrles des services informatiques
Les auditeurs et les consultants auxquels il propose des moyens dinterventions reconnus internationalement

Framework COBIT

Framework COBIT
Package COBIT Il comprend 6 publications : Executive summary (rsum de la vue densemble de la mthodologie CobiT) Framework (cadre de rfrence explicatif de la mthode, des domaines et processus) Control objectives (215 objectifs de contrle : ces objectifs sont directement orients vers le management et les quipes responsables des services informatiques) Audit guidelines (le guide de laudit) ; il sagit de dceler, danalyser et expliquer les failles dun systme et les risques qui en dcoulent ainsi que de leur apporter des solutions Implementation Tool Set (les outils de la mise en uvre du CobiT) Management Guidelines (le guide du management modle de maturit pour valuer, sur une chelle de 5 degrs, le niveau dvolution de chacun des processus

Lobjectif est dassurer ladquation durable entre les technologies, les processus mtiers et la stratgie de lentreprise

Framework COBIT

27001/2

Framework COBIT
Pourquoi COBIT ? savoir en particulier si la gestion des SI permet : d'atteindre les objectifs d'avoir assez de rsilience pour apprendre et s'adapter de grer judicieusement les risques auxquels ils doivent faire face de savoir bien identifier les opportunits et d'agir pour en tirer parti aligner la stratgie de l'informatique sur celle de l'entreprise assurer aux investisseurs et aux actionnaires que l'entreprise respecte une "norme de prudence et de diligence" relative la rduction des risques informatiques rpercuter la stratgie et les objectifs de l'informatique dans l'entreprise

Framework COBIT
Pourquoi COBIT ? savoir en particulier si la gestion des SI permet : faire en sorte que l'investissement informatique produise de la valeur apporter les structures qui faciliteront la mise en uvre de cette stratgie et de ces objectifs susciter des relations constructives entre les mtiers et l'informatique, et avec les partenaires externes mesurer la performance des SI d'tablir un lien avec les exigences mtiers de l'entreprise de rendre leurs performances transparentes par rapport ces exigences d'organiser leurs activits selon un modle de processus largement reconnu d'identifier les principales ressources informatiques mobiliser de dfinir les objectifs de contrle de management envisager

Framework COBIT
COBIT pour Qui ? Les parties prenantes internes lentreprise qui ont intrt voir les investissements informatiques gnrer de la valeur sont : celles qui prennent les dcisions dinvestissements celles qui dfinissent les exigences celles qui utilisent les services informatiques

Les parties prenantes internes et externes qui fournissent les services informatiques sont : celles qui grent lorganisation et les processus informatiques celles qui en dveloppent les capacits celles qui exploitent les systmes dinformation au quotidien

Les parties prenantes internes et externes qui ont des responsabilits dans le contrle et le risque sont : celles qui sont en charge de la scurit, du respect de la vie prive et/ou des risques celles qui sont en charge des questions de conformit celles qui fournissent des services dassurance ou qui en ont besoin

Framework COBIT
Quoi ? un cadre de rfrence pour la gouvernance et le contrle des SI doivent respecter les spcifications gnrales suivantes : Fournir une vision mtiers qui permette daligner les objectifs de linformatique sur ceux de lentreprise

tablir un schma par processus qui dfinisse ce que chacun deux recouvre, avec une structure prcise qui permette de sy retrouver facilement
Faire en sorte que lensemble puisse tre gnralement accept, en se conformant aux meilleures pratiques et aux standards informatiques, et en restant indpendant des technologies spcifiques Fournir un langage commun, avec son glossaire, qui puisse tre gnralement compris par toutes les parties prenantes Aider remplir les obligations rglementaires en se conformant aux standards gnralement accepts de la gouvernance des entreprises et du contrle informatique tels que les pratiquent les rgulateurs et les auditeurs externes

Framework COBIT
Bas sur les processus (4 domaines, 34 processus, 210 activits) Planification/Organisation Acquisition /Dveloppement/Mise en place

Fonctionnement/Soutien
Surveillance/Evaluation/Contrle/Suivi

Framework COBIT
Bas sur des Critres Business (7 critres) Efficacit Efficience

Confidentialit
Intgrit Disponibilit Conformit Fiabilit

Framework COBIT
1. L'Efficacit qualifie toute information pertinente utile aux processus mtiers, livre au moment opportun, sous une forme correcte, cohrente et utilisable
2. L'Efficience qualifie la mise disposition de l'information grce l'utilisation optimale (la plus productive et la plus conomique) des ressources

3. La Confidentialit concerne la protection de l'information sensible contre toute divulgation non autorise
4. L'Intgrit touche l'exactitude et l'exhaustivit de l'information ainsi qu' sa validit au regard des valeurs de l'entreprise et de ses attentes 5. La Disponibilit qualifie l'information dont peut disposer un processus mtier tant dans l'immdiat qu' l'avenir. Elle concerne aussi la sauvegarde des ressources ncessaires et les moyens associs 6. La Conformit consiste se conformer aux lois, aux rglementations et aux clauses contractuelles auxquelles le processus mtier est soumis, c'est--dire aux critres professionnels imposs par l'extrieur comme par les politiques internes 7. La Fiabilit concerne la fourniture d'informations appropries qui permettent au management de piloter l'entreprise et d'exercer ses responsabilits fiduciaires et de gouvernance

Framework COBIT
RESSOURCES INFORMATIQUES
Les ressources informatiques identifies par COBIT : Les applications sont, entre les mains des utilisateurs, les ressources logicielles automatises et les procdures manuelles qui traitent l'information.

L'information est constitue des donnes sous toutes leurs formes, saisies, traites et restitues par le systme informatique sous diverses prsentations, et utilises par les mtiers.
L'infrastructure est constitue de la technologie et des quipements (machines, systmes d'exploitation, systmes de gestion de bases de donnes, rseaux, multimdia, ainsi que l'environnement qui les hberge et en permet le fonctionnement) qui permettent aux applications de traiter l'information. Les personnes sont les ressources qui s'occupent de planifier, d'organiser, d'acheter, de mettre en place, de livrer, d'assister, de surveiller et d'valuer les systmes et les services informatiques. Ces personnes peuvent tre internes, externes ou contractuelles selon les besoins.

Framework COBIT
RESSOURCES INFORMATIQUES

Framework COBIT
Gouvernance SI, focalise sur 5 domaines : 1. Alignement stratgique 2. Cration et gestion de la valeur 3. Mesure de la performance 4. Gestion des ressources 5. Gestion des risques

IT Governance

Resource Management

Framework COBIT

Framework COBIT
Contenu : pour chaque processus SI Description du processus Objectifs , Ressources, Critres et Domaines de focalisation concernes Indicateurs

Identification des Objectifs de contrle et des bonnes pratiques associes Directives pour le management Entrants et sortants Identification des activits et des indicateurs (mtriques) RACI (Responsible, Accountable, Consulted, Informed) pour chaque activit

Niveaux de maturit (5 niveaux)

Framework COBIT

Framework COBIT
Chaque processus COBIT met en oeuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens comptences) fournit une information destine satisfaire les besoins mtiers exprims sous formes de critres (efficacit, efficience, confidentialit, intgrit, disponibilit, conformit, fiabilit) concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratgique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance)

Framework COBIT

Framework COBIT

Framework COBIT

Framework COBIT

COMMENT COBIT RPOND CES BESOINS

1. Centr sur les mtiers

2. Orient processus 3. Bas sur des contrles

4. Fond sur la mesure

Framework COBIT
1. Centr sur les mtiers

Framework COBIT

Framework COBIT
2. Orient Processus Le cadre COBIT propose un modle de processus de rfrence et un langage commun grer les activits informatiques Un modle de processus encourage la proprit des processus, ce qui favorise la dfinition des responsabilits oprationnelles et des responsabilits finales (responsabilit de celui qui agit et responsabilit de celui qui est comptable du rsultat)

Planifier et Organiser (PO) : fournit des orientations pour la fourniture de solutions (AI) et la fourniture de services (DS) Acqurir et Implmenter (AI) : fournit les solutions et les transmets pour les transformer en services Dlivrer et Supporter (DS) : reoit les solutions et les rend utilisables par les utilisateurs finals Surveiller et Evaluer (SE) : surveille tous les processus pour s'assurer que l'orientation fournie est respecte

Framework COBIT
DOMAINES COBIT : DOMAINE 1 : PLANIFIER ET ORGANISER (PO) PO1 Dfinir un plan informatique stratgique PO2 Dfinir larchitecture de linformation PO3 Dterminer lorientation technologique PO4 Dfinir les processus, lorganisation et les relations de travail PO5 Grer les investissements informatiques PO6 Faire connatre les buts et les orientations du management PO7 Grer les ressources humaines de linformatique PO8 Grer la qualit PO9 valuer et grer les risques PO10 Grer les projets

Framework COBIT
DOMAINES COBIT : DOMAINE 2 : ACQURIR ET IMPLMENTER (AI) AI1 Trouver des solutions informatiques AI2 Acqurir des applications et en assurer la maintenance AI3 Acqurir une infrastructure technique et en assurer la maintenance AI4 Faciliter le fonctionnement et lutilisation AI5 Acqurir des ressources informatiques AI6 Grer les changements AI7 Installer et valider les solutions et les modifications

Framework COBIT
DOMAINES COBIT : DOMAINE 3 : DLIVRER ET SUPPORTER (DS) DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 Dfinir et grer les niveaux de services Grer les services tiers Grer la performance et la capacit Assurer un service continu Assurer la scurit des systmes Identifier et imputer les cots Instruire et former les utilisateurs Grer le service dassistance client et les incidents Grer la configuration Grer les problmes Grer les donnes Grer lenvironnement physique Grer lexploitation

Framework COBIT
DOMAINES COBIT : DOMAINE 4 : SURVEILLER ET EVALUER (SE) SE1 Surveiller et valuer la performance des SI SE2 Surveiller et valuer le contrle interne SE3 Sassurer de la conformit aux obligations externes SE4 Mettre en place une gouvernance des SI

Framework COBIT

Framework COBIT
3. Bas sur le contrle Les politiques, les procdures, les pratiques et les structures organisationnelles conues pour fournir l'assurance raisonnable que les objectifs mtiers seront atteints et que les vnements indsirables seront prvenus ou dtects et corrigs Les objectifs de contrle SI : accrotre la valeur ou rduire le risque fournir l'assurance raisonnable que les objectifs mtiers seront atteints et que les vnements indsirables seront prvenus ou dtects et corrigs

Le choix des objectifs de contrle :

slectionnant ceux qui sont applicables dsignant ceux qui seront mis en uvre

choisissant la faon de les mettre en uvre (frquence, dure, automatisation, etc.)

acceptant le risque de ne pas mettre en uvre des objectifs qui pourraient s'appliquer

Framework COBIT

Framework COBIT
Chacun des processus informatiques de COBIT est associ une description et un certain nombre d'objectifs de contrle

Les objectifs de contrle sont identifis par un domaine de rfrence deux caractres (PO, AI, DS et SE), plus un numro de processus et un numro d'objectif de contrle

PC1 Buts et objectifs du processus

Dfinir et communiquer des buts et objectifs spcifiques, mesurables, incitatifs, ralistes, axs sur les rsultats et opportuns (SMARRT, Specific, Measurable, Actionable, Realistic, Results-oriented and Timely) pour l'excution efficace de chaque processus informatique. S'assurer qu'ils sont relis aux objectifs mtiers et soutenus par des mtriques adaptes PC2 Proprit des processus
Affecter un propritaire chaque processus informatique et dfinir clairement les rles et les responsabilits du propritaire du processus PC3 Reproductibilit du processus Dfinir et mettre en place chaque processus informatique cl de faon ce qu'il soit reproductible et qu'il produise invariablement les rsultats escompts. Fournir un enchanement logique, flexible et volutif d'activits qui conduiront aux rsultats souhaits et suffisamment souple pour grer les exceptions et les urgences

Framework COBIT
PC4 Rles et Responsabilits Dfinir les activits cls et les livrables finaux du processus Attribuer et communiquer des rles et responsabilits non ambigus, pour une excution efficace et efficiente des activits cls et de leur documentation, ainsi que la responsabilit des livrables finaux du processus

PC5 Politique, Plans et Procdures

Dterminer et indiquer comment tous les plans, les politiques et les procdures qui gnrent un processus informatique sont documents, tudis, grs, valids, stocks, communiqus et utiliss pour la formation Rpartir les responsabilits pour chacune de ces activits et, au moment opportun, vrifier si elles sont correctement effectues S'assurer que les politiques, plans et procdures sont accessibles, corrects, compris et jour

PC6 Amlioration des performances du processus Identifier un ensemble de mtriques fournissant des indications sur les rsultats et les performances du processus Dfinir des cibles refltant les objectifs du processus et des indicateurs de performance permettant d'atteindre les objectifs du processus Dfinir le mode d'obtention des donnes Comparer les mesures relles et les objectifs et, si ncessaire, prendre des mesures pour corriger les carts Aligner les mtriques, les objectifs et les mthodes avec l'approche globale de surveillance des performances des SI

Framework COBIT
4. Fond sur la Mesure Les modles de maturit sont crs partir du modle qualitatif gnral auquel on ajoute progressivement, de niveau en niveau, des principes issus des attributs suivants : sensibilisation et communication politiques, plans et procdures outils et automatisation comptences et expertise responsabilit oprationnelle et responsabilit finale dsignation des objectifs et mtriques

Framework COBIT

Framework COBIT