Interrelation

COBIT ISO - ITIL

ISMS-IUG
6 juin 2006
Gilles Gravel

Gilles Gravel 2006

Ordre du jour
Le positionnement des rfrentiels, pratiques,
Normes et standards
Pourquoi utiliser 3 Guides de bonnes
pratiques?
COBIT
ISO17799:2005
ITIL
Leur interrelation
Leur utilisation : quand et pourquoi ?
Conclusion

Gilles Gravel 2006

Comparaison des cadres de

rfrence
QUOI

COSO
CobiT
Gouvernance
dentreprise

ISO17799
Scurit
CMMi
PMBOK
Prince2

ITIL
Processus
Service

ISO9000

Gouvernance des TI

COMMENT
Source: ISACA, AFAI & H. Ceuleman 2004
Gilles Gravel 2006

Pourquoi utiliser 3 guides de bonnes

pratiques? (1)
chaque guide a ses forces et faiblesses ;
aucun deux nest lOUTIL universel ;
Il faut optimiser loutil en fonction des objectifs

viss ;
La force des guides est dans leurs

spcifits et complmentarits.
Gilles Gravel 2006

Pourquoi utiliser 3 guides de bonnes

pratiques? (2)
Forces

Faiblesses

Cobit
Guide de bonnes pratiques de
gouvernance TI
Orient processus
Valorisation des TI
Pratiques de contrles
Guide daudit

Cobit
Quoi faire c. comment faire
Gnral, approche de haut
niveau

ISO

ISO

Code de pratiques de scurit

de linformation
Comment faire c. Quoi faire
pour scuriser les TI

ITIL

ITIL

Gilles Gravel 2006

Orient vers le service clientle

Mesurable
Valorisation des TI
Gestion des incidents
Ax sur centre de service

Nest pas de la gouvernance

des TI, cest un apport la
gouvernance
Ne mesure pas la valeur des TI
Strictement orient scurit TI
Faible en scurit
Nest pas de la gouvernance
des TI, cest un apport la
gouvernance

Objectifs dutilisation COBIT-ISO-ITIL

Rduction des risques daffaires ;
Amlioration des performances ;
Amlioration de la qualit du service ;
Transparence et valorisation des TI ;
Amlioration des contrles ;
Conformit aux lois et rglements.
Gilles Gravel 2006

COBIT
Control Objectives for Information and
related Technology

Gilles Gravel 2006

COBIT
Control Objectives for Information and related Technology

Historique(1)

Gilles Gravel 2006

1967

Premier regroupement dindividus ayant les mmes

intrts
1969 Le groupe formalise son association sous le nom EDP
Auditors Association
1976
Formation de l Information Systems Audit and Control
Fondation (ISACF)
1992
Projet de mise jour des Control Objectives de
lISACF
1993
Objectifs augments pour inclure les besoins de la
direction et des usagers
1994
Ajout de la perspective mondiale Formation dun comit
aviseur
1996
Publication et dbut de diffusion
1997
Premiers bilans d implantation

COBIT
Control Objectives for Information and related Technology

Historique(2)

1997

Premiers outils automatiss mis sur le march

1998

1998
2001
2003
2004
2005

Formation de lIT Gouvernance Institute (ITGI)

Intgration de l IT Gouvernance
COBIT-Version 2
COBIT-Version 3
IT Control Objectives for Sarbanes-Oxley
CobiT version 3.2, En ligne, CobiT Quickstart
Cobit Security Baseline

2005

CoBiT 4.0 disponible depuis novembre 2005

Gilles Gravel 2006

Pourquoi et comment
utiliser COBIT ?
COBIT rpond aux besoins

Incorpore les standards

internationaux majeurs;

est devenu le standard de

facto pour le contrle des
TI;

dmarre partir des requis

daffaires;

est orient processus .

Gilles Gravel 2006

C
OBI
OBIT
CobiT
best practices
practices
best
repository for
for
repository

IT Processes
IT
Processes
IT
IT Processes
Processes

IT Management
Management Processes
IT
IT Management Processes
Processes
IT
Governance
Processes
IT
IT Governance
Governance Processes
Processes

Pourquoi COBIT est critique

pour les TI?

Gouvernance TI

Mthodologie daudit

Scurit
Cadre COBIT
Externalisation des
services

Gilles Gravel 2006

Sarbanes
Oxley
Procds
Standards

Politique

Gouvernance des TI selon

COBIT

Gilles Gravel 2006

COBIT : Un Cadre de rfrence

Cadre de rfrence

et de contrle des TI

Ressources
TI

Processus
TI

Donnes

Planification et
organisation

Systmes
dinformation

Acquisition et
mise en place

Technologie
Facilits
Ressources
humaines
Gilles Gravel 2006

Distribution et
support
Surveillance

Besoins
daffaires
Efficacit
Efficience
Confidentialit
Intgrit
Disponibilit
Conformit
Fiabilit de
linformation

Les quatre domaines de COBIT

Gilles Gravel 2006

 Gilles Gravel 2006

CobiT - un Cadre de rfrence

pour les TI
Comment est-il utilis?
planifier et dvelopper des programmes daudit

RISQUE

valider les contrles TI en place

valuer les risques TI
rduire les risques TI
complter le cadre de rfrence COSO
ltalonnage concurrentiel des TI
Comme cadre de rfrence pour amliorer

les pratiques TI
VALEUR
Comme fondation pour la gouvernance des TI
Gilles Gravel 2006

ISO 17799:200x

Norme pour la scurit informatique

Gilles Gravel 2006

ISO 17799:2000
La norme est publie en deux parties :

ISO/CEI 17799 Partie 1 :

Code de bonne pratique relatif la gestion de la
scurit de l'information;

BS 7799 Partie 2 :
Spcifications relatives la gestion de la scurit
de l'information.

La norme internationale ISO/CEI 17799 a t

dvelopp par le British Standards Institution

Gilles Gravel 2006

ISO 17799:2000
Origine

Gilles Gravel 2006

La norme internationale ISO/CEI 17799 a t dveloppe

par le British Standards Institution (BSI) en tant que BS
7799 et elle a t adopte selon une procdure par voie
expresse" spciale par le Comit technique mixte ISO/CEI
JTC 1, Technologies de l'information, de concert avec son
approbation par les organismes nationaux membres de lISO
et de la CEI.

ISO/CEI 17799 se prsente sous la forme de notes

d'orientation et de recommandations. Celles-ci ont t
rassembles la suite des consultations menes auprs
des plus grandes entreprises. Elle contient dix domaines
spcifiques composs de 36 objectifs et de 127 mesures de
scurit. Voici un bref aperu de chacun des domaines :

ISO 17799:2000
1. Politique de scurit - Procurer des directives et des conseils

de gestion pour amliorer la scurit des donnes.

2. Scurit de l'organisation - Faciliter la gestion de la scurit

de l'information au sein de l'organisation.

3. Classification et contrle des actifs - Rpertorier les actifs et

les protger efficacement.

4. Scurit du personnel - Rduire les risques d'erreur humaine,

de vol, de fraude ou d'utilisation abusive des quipements.

5. Scurit physique et environnementale - Empcher la

violation, la dtrioration et la perturbation des installations et des

donnes industrielles.

Gilles Gravel 2006

ISO 17799:2000
6. Gestion des tlcommunications et des oprations -

Garantir un fonctionnement sr et adquat des dispositifs de

traitement de l'information.

7. Contrle des accs - Contrler l'accs aux donnes.

8. Dveloppement et entretien des systmes - Garantir que la

scurit est incorpore aux systmes d'information.

9. Gestion de la continuit des oprations de l'entreprise -

Rduire les effets des interruptions d'activit et protger les

processus essentiels l'entreprise contre les pannes et les
sinistres majeurs.

10. Conformit - Prvenir les manquements aux lois pnales ou

Gilles Gravel 2006

civiles, aux obligations rglementaires ou contractuelles et aux

exigences de scurit.

ISO 17799
10 domaines, 36 objectifs et 127 points de contrle

Gilles Gravel 2006

Source : Gartner Group

ISO 17799:2000
Architecture

1 Politique de
scurit
2 Scurit de
lorganisation
3 Classification et
contrle des actifs
4- Scurit du personnel
9- Gestion de la continuit
10- Gestion de la conformit
6- Gestion des communications
& des oprations
7- Contrle des accs logiques
8- Dveloppement

Gilles Gravel 2006

5- Scurit physique
et environnementale

ITIL
INFORMATION
TECHNOLOGY
INFRASTRUCTURE
LIBRARY

Gilles Gravel 2006

ITIL
Origine : Gouvernement du Royaume-Uni (UK)
Fin des annes 1980, CCTA (Central computer and

Telecommunication Agency)
ITIL est un rfrentiel du domaine pseudo public
Protg par copyright
Standard De-facto pour le service TI

Gilles Gravel 2006

ITIL
IT Infrastructure Library

Origine du ITSMF Information Technology Infrastructure

Management Forum , le seul groupe dutilisateurs
indpendants reconnu internationalement qui se consacre la
gestion des services informatiques.

ITIL est bas en partie sur les principes de qualit (ISO 9000
ou structures de qualit totale de lEFQM.

ITIL est divis en 7 sets ou modules (une publication par

module) et repose principalement sur les ententes de services
ou SLA Service Level Agreement

Chacun de ces modules est ensuite sous-divis en

disciplines.

Gilles Gravel 2006

Rfrence: http://www.itil-itsm-world.com/

ITIL
1 Fonction : Centre de services
10 processus rpartis dans 2 domaines cls :

Soutien en matire de service

Fourniture de services

Liens direct avec :

BS 15000
Code de dontologie (DISC PD0005)

Arrimage possible avec CoBiT

Gilles Gravel 2006

11 disciplines ITIL :
1 fonction + 10 processus
Gestion des niveaux
de service

Fourniture
des
services
Gestion
des capacits

Gestion
financire

Gestion de la Gestion de la
disponibilit
continuit

Centre de services / Gestion des incidents

Soutien
des
services

Gestion des
Problmes

Gestion des
incidents

Gestion des
Mises jour

Gestion des configurations

Gilles Gravel 2006

Infrastructure dITIL
Services (organisation des publications)
L
e
s
A
f
f
a
i
r
e
s
Gilles Gravel 2006

*
*

Perspectives
Daffaires

Planification de la mise en uvre

de la gestion des services des TI
Gestion des services des TI
Soutien aux
Gestion
Services
infrastructure
Fourniture
Des services
Gestion de
La scurit

Gestion des applications

L
a
T
e
c
h
n
o
l
o
g
i
e

Requis pour les services de base ITIL

Gestion stratgique et
appui de la haute direction

Personnel avec les aptitudes

ncessaires, la culture et la
formation

La base de gestion des

services (ITIL)

Les outils appropris et la

technologie de support

Laccent est mis sur la

gestion du SERVICE, non
pas sur la gestion des
systmes

Gilles Gravel 2006

Personne
Culture,
attitude
Croyance
aptitudes

Stratgie
Direction
Intgration
Service de support
et
livraison de service

Infrastructures
(incluant les outils)

Processus

Technologie

ITIL Cadre de rfrence

Source: www.aboutit.co.nz/iE3/ITILPresentation%5B364kb%5D.ppt
Gilles Gravel 2006

Framework

ITIL Maturity Measures

ITIL Maturity Improvement

Service Desk
5.0
Availability Management

4.5
4.0

Incident Management

3.5
3.0
IT Service Continuity Management

2.5

Problem Management

2.0
1.5
1.0
0.5
0.0

Capacity Management

Configuration Management

Starting Point
After 3 Months
After 9 Months
Financial Management

Service Level Management

Gilles Gravel 2006

Change Management

Release Management

ITIL
Avantages

Client/utilisateur

Pour lorganisation

Gilles Gravel 2006

Fourniture de services informatiques orients vers le client ;

Accord de qualit des services amliorant les relations ;
Services rendus sont plus clairs et mieux dcrits et compris;
Meilleure gestion de la qualit et du cot des services ;
Communications avec les services TI amliores du fait quil est
convenu de points de contact.
Structure plus claire, efficace, oriente vers les objectifs de
lentreprise ;
Gestion plus efficace et meilleur contrle des changements ;
Structure de processus efficace fournissant un cadre pour
lexternalisation potentielle de ressources informatiques ;
Changement culturel ax sur la qualit bas sur la norme ISO
9000 ;
Cadre de rfrence uniforme pour la communication interne et
externe ainsi que pour la normalisation et lidentification des
procdures.

ITIL
Problmes potentiels

Exiger beaucoup de temps et des efforts considrables ainsi quun

changement de culture draconien ;
Une introduction trop ambitieuse peut conduire des frustrations car
les objectifs ne sont jamais atteints ;
Si les structures de processus deviennent elle-mme des objectifs, cela
peut nuire la qualit du service et devenir des obstacles
bureaucratiques ;
Si la mise en place nimplique pas tous les niveaux du personnel et son
engagement, le dpartement spcialis qui en fera limplantation pourra
se retrouver isol et donner une orientation qui ne sera pas accepte
par les autres dpartements ;
Lamlioration en matire de fourniture de services et de rduction des
cots nest pas assez perceptible ;
Aucune amlioration due un manque de comprhension de ce que
doivent offrir les processus, de ce que rvlent les indicateurs de
performance et la faon de contrler les processus ;
Un manque en investissement dans les outils de soutien pourra causer
une mauvaise perception des processus et le service ne sera pas
amlior.
Des ressources et du personnel supplmentaire peuvent tre
ncessaires si lorganisation est dj surcharge.

Gilles Gravel 2006

ITIL
Pratique dimplantation

Conditions pralables:

Engagement de la haute direction

Dsir culturel et organisationnel de faire mieux
Approche tapiste
Mode projet et non activits courantes
Bonne gestion du changement

Participation du personnel et de la direction

Budget en RH et RM

Point

de dpart

1- Identification dun projet ou dune zone problme

2- Identification des ressources ncessaires (personnel, outils) et
des besoins en formation et en ressources externes au besoin
3- Prparation dun projet prsent la direction
4- Appui de la direction ainsi que les fonds ncessaires
5- Dmarrage du projet avec lquipe de ralisation
6- Audit de la performance
Gilles Gravel 2006

Linterrelation COBITITIL-ISO

COBIT-ISO

Gilles Gravel 2006

Exemple dinterrelation COBIT-ISO-ITIL

Gilles Gravel 2006

Exemple dinterrelation COBIT-ISO-ITIL

Gilles Gravel 2006

Exemple dinterrelation COBIT-ISO-ITIL

Gilles Gravel 2006

Exemple dinterrelation ITIL-COBIT

Gilles Gravel 2006

Problmatiques dinterrelation
Versions de Cobit et dISO 17799 peuvent

causer une certaine confusion :

Gilles Gravel 2006

Cobit 3.0

Cobit 3.2

Cobit 4.0

ISO17799:2000
ISO17799:2005
ISO27002

Pratiques dimplantation

Gilles Gravel 2006

Dfinition des objectifs et de la porte

Identification des risques de projet
Participation de la haute direction ds le dbut
Participation des ressources humaines et matrielles
Dmarrer de prfrence avec une zone problme
Petites victoires rapides plutt quun niveau de
maturit
Limite la porte initiale du projet
Mesurer, mesurer, mesurer.
Rendre compte des gains
Persister et duquer
Il ny a pas de recettes magiques

Conclusion
Profitez des forces en commun ou

sparment de chacun de ces guides de

bonnes pratiques et il y aura des gains ;
Les gains seront plus apprciables par
combinaison des trois ;
Slectionnez et ajustez les lments les plus
intressants pour votre organisation ;
Soyez flexible.

Gilles Gravel 2006