Control Objectives for Business and Related Techonology

Anne 2013
Intervenant : M. Sofiane Mickael OUAALI

Objectifs de la Formation

1. Comprendre les avantages utiliser le rfrentiel CobiT 2. Connatre les 4 domaines d'un SI 3. Comprendre la structure des processus 4. Placer chaque activit dans le bon processus 5. Dfinir les niveaux de maturit de chaque activit 6. Utiliser les indicateurs adquats 7. Valoriser les ressources du systme

Organisation de la Formation

Le samedi ou Dimanche
Matine de 09h00 12h30 Pause 15 min

Aprs midi de 13h30 17h00 Pause 15 min

Volume horaire : 2 ou 3 sances de formation

Mode dEvaluation de la Formation

Note de Prsence X

Note TP -

Note Examen X

Note Fin Module XX/20

Agenda de la Formation

Module 1 : Gnralit et Principes de Base (Terminologie) Module 2 : Rfrentiels, Normes SI et SSI Module 3 : Framework COBIT Module 4 : Utilisation du Cadre de Rfrences Module 5 : Domaine 1 PLANIFIER ET ORGANISER (PO) Module 6 : Domaine 2 ACQURIR ET IMPLMENTER (AI) Module 7 : Domaine 3 DLIVRER ET SUPPORTER (DS) Module 8 : Domaine 4 SURVEILLER ET EVALUER (SE) Module 9 : Nouveauts COBIT 5

Module 1: Gnralits et Principes de Base (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

Programme
1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. Information Donnes Systme Informatique Systme dinformation Schma Directeur TCO ROI Cahier des Charges Gouvernance des Systmes dInformation Processus Modle RACI

I. Gnralits & Principes de Bases (Terminologie)

1. Information

I. Gnralits & Principes de Bases (Terminologie)

2. Donnes :
Informations numriques et alphanumriques codes et lisibles par la machine, en vue de leur enregistrement, traitement, conservation et communication.

3. Systme Informatique :
Ensemble de matriels (Serveurs, Switchs, Ordinateurs ) et de logiciels permettant : Acqurir les donnes Traiter les donnes Communiquer les donnes Stocker les donnes

Afin de rpondre aux besoins des utilisateurs

I. Gnralits & Principes de Bases (Terminologie)

4. Systme dInformation
Ensemble organis de ressources : Matriel, Logiciel, Personnel, Donnes, Procdures

Permettant d'acqurir, de stocker, de communiquer des informations sous diffrentes formes (textes, images, sons) dans et vers des organisations.

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

5. Schma Directeur :Document conu pour prparer lvolution et ladaptation de lenvironnement informatique dune entreprise pendant une priode donne (gnralement de 2 5 ans). Elabor par un Comit Directeur regroupant les reprsentants de la direction gnrale de l'organisation.

Dfinir les axes stratgiques selon les objectifs de l'entreprise

Repose sur lidentification dun existant et de besoins futurs Outil de planification qui permet de prparer les investissements Ragir face limprvu Permet de dfinir des priorits en terme de ralisation des objectifs

I. Gnralits & Principes de Bases (Terminologie)

I. Gnralits & Principes de Bases (Terminologie)

6. TCO : Total Cost of Ownership est le Cot total de possession d'un bien (un systme informatique) tout au long de son cycle de vie. Calcul du TCO : Les aspects directs: (cots matriels tels qu'ordinateurs, infrastructures rseaux, etc. ou logiciels tels que le cot des licences) Cots indirects : (cots cachs) tels que la maintenance, l'administration, la formation des utilisateurs et des administrateurs, l'volution, le support technique et les cots rcurrents (consommables, lectricit, loyer)

A quoi sert le TCO ? Piloter son systme d'information

Mesurer la dpense informatique

Rduire le cot total

I. Gnralits & Principes de Bases (Terminologie)

7. ROI : (Return on Investment) est un Systme de mesure de performance d'entreprise qui compare via un ratio les rsultats nets d'un projet, avec ses cots totaux

I. Gnralits & Principes de Bases (Terminologie)

8. Cahier des charges vise : Dfinir les besoins et les spcifications Dfinir les modalits d'excution Dfinir les objectifs atteindre Slectionner le prestataire (rfrentiel contractuel) Formaliser les besoins dans le respect du code des marchs publics

I. Gnralits & Principes de Bases (Terminologie)

9. Gouvernance SI : Le terme Gouvernance dsigne la capacit d'une organisation tre en mesure de contrler et de rguler son propre fonctionnement a fin d'viter les conflits d'intrts lis la sparation entre les ayants-droits (actionnaires , direction, conseil dadministration) et les acteurs (employs, les fournisseurs, les clients, les banques, lenvironnement) La gouvernance d'entreprise est l'ensemble des processus, rglementations, lois et institutions influant la manire dont l'entreprise est dirige, administre et contrle La gouvernance des SI est de la responsabilit des dirigeants et du conseil d'administration, et elle est constitue des structures et processus de commandement et de fonctionnement qui conduisent l'informatique de l'entreprise soutenir les stratgies et les objectifs de l'entreprise, et lui permettre de les largir.

I. Gnralits & Principes de Bases (Terminologie)

9. Gouvernance SI : La Gouvernance SI permet de rpondre aux questions suivantes : Comment sont prises les dcisions ? Qui prend les dcisions ? Qui est tenu pour responsable ? Comment le rsultat des dcisions est-il mesur et suivi ? Quels sont les risques ?

Gouvernance des TI est un cercle vertueux permet tant d'orienter et de contrler les processus de gestion :
En donnant les orientations stratgiques des diffrents processus de gestion En utilisant les processus mtier pour fournir les services demands Chaque processus mtier doit rendre compte de l'accomplissement de ses objectifs En contrlant le bon droulement des processus, en les amliorant et au besoin, en dfinissant de nouvelles orientations

I. Gnralits & Principes de Bases (Terminologie)

10. Processus (Process) : Un ensemble dactivits structures conues pour atteindre un objectif spcifique Traite une ou plusieurs entres dfinies et les transforme en rsultats (sortie) Peut inclure la dfinition de tout les rles, responsabilits, outils et contrles de gestion ncessaires la fourniture de rsultats de manire fiable

Peut dfinir des politiques, des standards, des principes, des activits et des modes opratoires si cest ncessaire

I. Gnralits & Principes de Bases (Terminologie)

Contrle du Processus Politique du Processus

Propritaire du Processus Documentation du Processus

Objectifs du Processus Rtroaction du Processus

Dclencheurs

Processus

Mtrique du Processus Activits du Processus Entres du Processus Procdures du Processus Instructions de Travail du Processus Rles du Processus Amliorations du Processus Sorties du Processus

y compris les rapports et avis des Processus

Elments du Processus

Ressources du processus

Capacits du Processus

Rfrentiels & Normes SI et SSI

11. Modle RACI Est une matrice des responsabilits qui indique les rles et les responsabilits des intervenants au sein de chaque processus et activit. Le modle RACI Un outil utile pour aider la dfinition des rles et des responsabilits lors de la conception des processus

RACI : R : Responsible : Ralisation : Ralise lactivit. Il peut y avoir plusieurs R A : Accountable : Approbation : A lautorit pour approuver le travail de R Il ny a quun seul A. En gnral, il y a un rapport hirarchique entre A et R (A est le manager de R) C : Consulted : Consultation : Est consult par R La communication entre R et C est bidirectionnelle. Il peut y avoir plusieurs C I : Informed : Information : Est uniquement inform des travaux de R. Il peut y avoir plusieurs I

Rfrentiels & Normes SI et SSI

Rfrentiels & Normes SI et SSI

RACI apporte plusieurs avantages : Les rles et responsabilits sont clairement dfinis Encourage le travail en quipe, rduit lincertain et prouve la communication entre les diffrentes quipes La redondance des tches est limines La productivit est augmente

I. Gnralits & Principes de Bases (Terminologie)

Enterprise Resource Planning(ERP) : Intgre tous les systmes informatiss de support de l'entreprise (gestion de la production, relation commerciale, ressources humaines, comptabilit...) Customer Relationship Management(CRM) : Regroupe toutes les fonctions permettant d'intgrer les clients dans le systme d'information Supply Chain Management(SCM) : Regroupe toutes les fonctions permettant d'intgrer les fournisseurs et la logistique au systme d'information Human Resource Management(HRM) : SI pour la gestion RH Product Data Management(PDM): Fonctions d'aide au stockage et la gestion des donnes techniques (utilis par les bureaux d'tudes)

Module 2 : Rfrentiels, Normes SI et SSI

Rfrentiels & Normes SI et SSI

Programme

1. 2. 3. 4. 5. 6. 7.

ITIL CMMI PMBOK ISO 20000 ISO 27001/27002 VAL IT RISK IT

Rfrentiels & Normes SI et SSI

1. ITIL : Information Technology Infrastructure Library ITIL est une collection de bonnes pratiques pour assurer un management efficace du Systme d'Information ITIL est dvelopp pour amliorer l'efficacit des services informatiques

Rfrentiels & Normes SI et SSI

1. ITIL : Information Technology Infrastructure Library

La version 3 de ITIL se focalise sur le cycle de vie d'un service, ITIL V3 comporte 6 livres :

Introduction au cycle de vie des services ITIL Stratgie des services (Service Strategy) Conception des services (Service Design) Transition (passage en production) des services (Service Transition) Exploitation des services (Service Operation) Amlioration permanente des services (Continual Service Improvement)

Rfrentiels & Normes SI et SSI

2. CMMI : (Capability Maturity Model & Integration) est un modle de rfrence, un ensemble structur de bonnes pratiques, destin : Apprhender Evaluer Amliorer les activits des entreprises d'ingnierie

Rfrentiels & Normes SI et SSI

2. CMMI : (Capability Maturity Model & Integration) est un modle de rfrence, un ensemble

Rfrentiels & Normes SI et SSI

3. PMBOK
Guide du Project Management Institute dfinissant les champs de connaissance couvrant la gestion de projet, et recensant les bonnes pratiques professionnelles
Le PMBOK dfinit les 5 groupes de processus de management de projet suivants: Dmarrage Planification Excution Surveillance et matrise Clture

Il aborde les dix domaines de comptences en management de projet, savoir: Le management de l'intgration Le management du contenu (primtre) Le management des dlais Le management des cots Le management de la qualit Le management des ressources humaines Le management des communications Le management des risques Le management des approvisionnements Le management des parties prenantes (stakeholders) ajout dans la 5me dition

Le PMBoK distribue un total de 47 processus dans ces groupes de processus et domaines de connaissance

Rfrentiels & Normes SI et SSI

4. ISO 20000
La norme ISO 20000 est un consensus pour une qualit standard de cette gestion des services informatiques Cette notion de gestion des services est dcrite dans la norme en 13 processus inspirs du rfrentiel ITIL

Processus de fourniture des services

Gestion des niveaux de services Rapport de services Gestion de la continuit et de la disponibilit des services Budgtisation et comptabilisation des services Gestion de la capacit Gestion de la scurit de linformation

Processus de gestion des relations entre clients et fournisseurs (Service Desk) Grer les relations commerciales Grer les fournisseurs

Rfrentiels & Normes SI et SSI

4. ISO 20000
Processus de rsolution de problmes Le contexte La gestion des incidents La gestion des problmes

Processus de maintien pour le contrle des systmes dinformations La gestion des configurations La gestion des changements

Processus de mise en production Normes lies la gestion des services et lISO 20000

Rfrentiels & Normes SI et SSI

5. ISO/CE 27001/27002
standard de scurit de l'information publi conjointement par l'Organisation internationale de normalisation (ISO) et la Commission lectrotechnique internationale (CEI, ou IEC Cest une norme internationale de systme de gestion de la scurit de l'information

Rfrentiels & Normes SI et SSI

5. ISO 27001/27002
Phase Plan Fixe les objectifs du SMSI La phase Plan du SMSI comprend 4 tapes : tape tape tape tape 1 2 3 4 : : : : Dfinir la politique et le primtre du SMSI Identifier et valuer les risques lis la scurit et laborer la politique de scurit Traiter le risque et identifier le risque rsiduel par un plan de gestion Choisir les mesures de scurit mettre en place

Phase Do
Met en place les objectifs Former et sensibiliser le personnel

Phase Check Consiste grer le SMSI au quotidien dtecter les incidents en permanence pour y ragir rapidement

Phase Act

Mettre en place des actions correctives, prventives ou damlioration pour les incidents et carts constats lors de la phase Check

Rfrentiels & Normes SI et SSI

Rfrentiels & Normes SI et SSI

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Val IT est un ensemble structur de pratiques cls de management se rapportant la gouvernance des systmes d'information VAL IT comporte deux volets : un aspect risques, qui conduit des pratiques d'audit et des rfrentiels de bonnes pratiques comme COBIT un aspect performance

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT VAL IT rpond 4 : (Business Case) Faisons-nous les choses appropries (right things) ? Faisons-nous les choses de faon approprie (right way) ? Les tches sont-elles effectues correctement (done well) ? En tirons-nous les bnfices attendus ?

The strategic question

The value question

The architecture question

The delivery question

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 1 : Gouvernance de la Valeur (GV ou VG pour Value Governance) a pour objectif de s'assurer que : le concept de valeur est prsent dans les pratiques de management le processus de dcision est organis Les indicateurs sont fournis pour la vrification de l'atteinte des objectifs

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 1 : Gouvernance de la Valeur (GV ou VG pour Value Governance) Liste des processus
VG1 : tablir un leadership inform et impliqu, VG2 : dfinir et mettre en place les processus (et les structures associes, les rles, les responsabilits), VG3 : dfinir les caractristiques des diffrents portefeuilles de projets (composition, poids relatifs...), VG4 : aligner et intgrer la gestion de la valeur dans la gestion financire de l'entreprise, VG5 : tablir une surveillance efficace de la gouvernance (et identifier les drives), VG6 : mettre en place un processus d'amlioration continue des pratiques.

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management) vise optimiser : construire le portefeuille d'investissement identifier les ressources ncessaires chaque projet dfinir les seuils d'investissement, valuer, classer puis slectionner (ou rejeter) les projets lancer, grer globalement le portefeuille d'investissements en termes de risques et rentabilit surveiller les performances et en rendre-compte

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management) Liste des processus
PM1 : tablir une stratgie claire et dfinir la structure de la cible en termes d'investissements PM2 : dterminer les sources et la disponibilit des budgets PM3 : grer la disponibilit des ressources humaines PM4 : valuer et slectionner les programmes financer PM5 : monitorer et rendre compte de la performance des portefeuilles d'investissement PM6 : optimiser la performance des portefeuilles par une revue rgulire des opportunits et risques

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management ) vise assurer : la rentabilit de chaque investissement ou "programme" Lamlioration des comptences des managers oprationnels dans :

a) l'identification des exigences de leur mtier b) la capacit d'apprcier les approches alternatives,

c) la dfinition, rdaction et maintien des business cases dtaills au long de la vie du projet,
d) l'affectation des responsabilits et de la proprit du projet, e) de la gestion du cycle de vie complet du programme, retrait inclus, f) du suivi rgulier de la performance et des comptes-rendus

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management ) Liste des processus
IM1 : dvelopper et valuer le business case initial du programme IM2 : comprendre les implications des candidats-programmes IM3 : dvelopper le plan du programme, IM4 : prparer le budget sur le cycle de vie complet

IM5 : construire le business case complet, dtaill

IM6 : lancer le programme et grer sa vie IM7 : mettre jour les portefeuilles oprationnels IM8 : mettre jour le business case mesure de l'acquisition d'informations nouvelles IM9 : monitorer le programme et rendre-compte IM10 : procder au retrait du programme en fin de vie

I. Gnralits & Principes de Bases (Terminologie)

6. VAL IT

I. Gnralits & Principes de Bases (Terminologie)

7. RISK IT RISK IT est le rfrentiel de management du systme dinformation et des technologies par les risques RISK IT un guide de principes directeurs et de bonnes pratiques RISK IT aide les entreprises mettre en place une gouvernance ad hoc, identifier et grer efficacement les risques informatiques RISK IT comprend deux documents : Rfrentiel RISK IT Guide Utilisateur RISK IT aide mettre en place le modle dtaille les concepts fournit de nombreux conseils cartographie sappuyant sur 36 scnarios de risque informatique propose des bonnes pratiques de contrle et de management tires des rfrentiels COBIT et Val IT

I. Gnralits & Principes de Bases (Terminologie)

7. RISK IT (Rfrentiel RISK IT)