Mettre en place CobiT

José Bouaniche, CIA, CISA, est auditeur interne au sein du Groupe Caisse des Dépôts. Il a été
auparavant consultant interne en qualité des logiciels et en gestion de projet, et responsable sécurité
informatique. Il était antérieurement informaticien. Membre de l’IFACI et de l’AFAI, il a participé au
groupe AFAI de traduction de CobiT version 3.

« Motives determine method1 »

La 2ème édition de CobiT est structurée en 5 fascicules :

- Le fascicule « synthèse » présente l’organisation générale du cadre de référence.
- Le fascicule « cadre de référence » présente les processus CobiT et leur objectif de contrôle global
associé.
- Le fascicule « objectifs de contrôle » reprend chaque processus du cadre de référence et en
explicite les différents objectifs de contrôle détaillés.
- Le fascicule « guide d’audit » fournit, pour chaque processus, la procédure d’audit préconisée.
- Le fascicule CobiT « outils de mise en œuvre » expose les outils et démarches de mise en œuvre
de CobiT.
Le fascicule CobiT « outils de mise en œuvre » a pour objectif d’aider les acteurs de l’entreprise à
implanter le cadre de référence CobiT. Il fournit entre autres des démarches, méthodes et
documents types pour :
- Mettre en place CobiT dans une entreprise ;
- Réaliser des diagnostics de sensibilisation du management ;
- Réaliser des diagnostics des contrôles de l’informatique ;
Il offre enfin des exemples concrets de mise en place de CobiT au sein d’entreprises.

Dans le cadre de cet article, nous nous intéresserons aux activités suivantes :
- Sensibiliser la direction à l’utilisation de CobiT ;
- Planifier les audits avec CobiT ;
- Mener des audits en utilisant concrètement le « Guide d’audit » de CobiT.

Des outils pour sensibiliser la direction

Dans le fascicule « Outils de mise en œuvre », CobiT propose 2 « outils » pour sensibiliser la Direction
de l’entreprise :
- Le tableau « diagnostic des centres d’intérêts du management en informatique » ;
- Le tableau « auto-évaluation de la gouvernance de l’informatique ».

Le tableau « diagnostic des centres d’intérêts du management en informatique » (non repris dans
cet article) permet d’identifier les processus CobiT à mettre prioritairement sous contrôle à l’aide
d’une liste pré définie de préoccupations du management en matière d’informatique. Issue de travaux

1
Control Assessment for risk management and other practical applications, edited by Keith Wade & Andy Wynne, John Wiley & Sons Ltd
du Gartner Group, cette liste comprend 6 centres d’intérêts essentiels avec pour chacun des facteurs de
risque, qui sont croisés avec les processus CobiT. Ces centres d’intérêt sont les suivant :
• Management, pour lequel 6 facteurs de risques sont identifiés parmi lesquels la réduction
du coût de possession ou encore l’acquisition et le développement de nouvelles
compétences.
• Intranet / Internet, avec 6 facteurs de risque comme la fuite de données confidentielles, les
infections virales, etc.
• Progiciels, où 5 facteurs de risques sont proposés, par exemple problèmes de support
vendeur ou bien mise en place coûteuse et complexe.
• Architecture client /serveur, 6 facteurs de risque dont le contrôle des versions logiciel et
les coûts élevés de possession.
• Workgoup et Groupware, pour lesquels 5 facteurs de risque sont identifiés, dont l’intégrité
des données et le contrôle de la configuration.
• Administration du réseau, avec 6 facteurs de risques dont le contrôle de la configuration
ou la gestion des incidents.

Le tableau « auto-évaluation de la gouvernance de l’informatique » ci-dessous permet d’expliciter

pour chaque processus son degré de sensibilité2 pour l’entreprise, et de préciser
• qui réalise le processus,
• qui en est responsable,
• si le processus a déjà été audité et
• s’il est régi par un contrat de service.
Le tableau « auto-évaluation de la gouvernance de l’informatique » est révélateur de la maturité
de gestion du système d’information d’une entreprise.

Importance – Niveau d'importance pour l'organisation selon une Risque Qui le réalise
échelle de 1(pas du tout) à 5 (très)
Performance - Le niveau de satisfaction de 1 (je ne sais pas ou Qui est
mauvais) à 5 au regard du processus responsable ?
Audité – Oui, Non, ou ?
Officialisé – Existe-t-il un contrat, une convention de niveau de
L'informatique

service CNS ou une procédure clairement documentée (Oui, Non,

Performance

Ne sais pas

ou ?)
Importance

Officiliaisé

Responsabilité - Nom du responsable ou la mention "ne sait pas"

Externe

Audité
Autre

Processus informatiques
PLANIFICATION ET ORGANISATION
PO1 Définir un plan stratégique
PO2 Définir l'architecture du système d'information
PO3 Déterminer l'orientation technologique
PO4 Définir l'organisation et les relations de travail
PO5 Gérer l'investissement en Informatique
PO6 Communiquer les objectifs et les orientations de la direction
PO7 Gérer les ressources humaines
PO8 Assurer la conformité aux exigences externes
PO9 Evaluer les risques
PO10 Gérer les projets
PO11 Gérer la qualité
ACQUISITION ET MISE EN PLACE
AMP1 Identifier les solutions

2
Pour CobiT, la combinaison de l’importance du processus au regard des objectifs de l’entreprise et de la performance dudit processus
constitue un bon indicateur de risque. Il nous paraît cependant plus approprié de parler de sensibilité.

2/5
AMP2 Acquérir est maintenir le logiciel d'application
AMP3 Acquérir et maintenir l'architecture technique
AMP4 Développer et maintenir des procédures informatiques
AMP5 Installer et accréditer les systèmes
AMP6 Gérer les changements
DISTRIBUTION ET SUPPORT
DS1 Définir les niveaux de service
DS2 Gérer les services assurés par des tiers
DS3 Gérer la performance et la capacité
DS4 Assurer la continuité de service
DS5 Assurer la sécurité des systèmes
DS6 Identifier et imputer les coûts
DS7 Sensibiliser et former les utilisateurs
DS8 Assister et conseiller les clients
DS9 Gérer la configuration
DS10 Gérer les problèmes et les incidents
DS11 Gérer les données
DS12 Gérer les installations
DS13 Gérer l'exploitation
SURVEILLANCE
S1 Surveiller les processus
S2 Evaluer l'adéquation du contrôle interne
S3 Obtenir une assurance indépendante
S4 Disposer d’un audit indépendant

Ces deux tableaux peuvent efficacement servir de support à des sessions d’auto-évaluation par la
direction de l’entreprise. Ces sessions permettent alors de réaliser une véritable étude des besoins de
maîtrise de l’informatique et donc, entre autres, de définir un programme d’audit. Le fascicule « Outils
de mise en œuvre » propose aussi des exemples d’autres démarches avec ces mêmes outils.

Démarche de planification des audits

CobiT fournit aussi des outils à utiliser soit en phase de planification des missions, soit en phase
préliminaire d’une mission. Par outils on entend des tableaux ou formulaires (voir ci-dessous la liste
de ces formulaires), les objectifs qu’ils permettent d’atteindre, par qui et comment ils doivent être
complétés.
Outil Description
Formulaire des audits Identifier si des processus informatiques ont fait l’objet de travaux dans le cadre
antérieurs d’audits antérieurs. Dans ce cas, le formulaire doit être complété par l’auditeur en
reprenant les conclusions tirées de ces audits. Ce document n’est rempli que si
COBIT à été utilisé au cours des interventions précédentes. C’est l’un des 2 seuls
documents, avec le formulaire des contrats de niveau de service, qui peut n’être
rempli que par l’équipe d’audit.
Formulaire simplifié Identifier les processus informatiques considérés comme les plus importants.
d’évaluation des Collecter l’évaluation de leur fonctionnement par la direction
processus
Formulaire complet Documenter les évaluations de la direction et celle des propriétaires de processus de
d’évaluation des gestion sur les processus informatiques les plus importants et leur appréciation de la
processus qualité de performance de ces processus. Le formulaire indique également si les
contrôles internes des processus informatiques sont documentés.
Formulaire d’évaluation Aider à identifier les processus informatiques pour lesquels des travaux d’audit ou de
du risque consulting sont nécessaires.
Formulaire des Identifier qui accomplit chaque processus informatique et qui en a la responsabilité
responsabilités finale. L’ISACA préconise de considérer l’exercice de remplissage de ce formulaire
comme le prétexte à des discussions approfondies lors de la phase préliminaire de
l’audit.
Formulaire des contrats Ce formulaire est à utiliser en conjonction avec le formulaire des responsabilités.
de niveau de service CobiT s’attend en effet à ce que les processus informatiques qui ne sont pas fournis
par le département informatique interne soient systématiquement « sous contrat ». Le
formulaire permet d’identifier les prestations qui devraient être « sous contrat » mais
qui sont sans contrat ou convention explicite et le cas échéant de les inclure dans le
périmètre d’audit.

3/5
Par exemple le « formulaire d’évaluation des risques » peut s’utiliser de multiples façons : la
direction des systèmes d’information peut l’employer comme un tableau de bord de maîtrise des
processus dont elle a la charge, les auditeurs peuvent s’en servir conjointement avec la direction avant
le démarrage d’un audit, etc. Ce formulaire permet de qualifier pour chaque processus son importance,
le niveau de risque qui lui est attribué et la qualité des contrôles internes. CobiT préconise pour ce
faire d’avoir déjà une compréhension suffisante de la mission de l’organisation à auditer, de ses
principaux objectifs, des facteurs critiques de succès, des exigences légales et réglementaires et de la
structure de contrôle.
Enfin, des exemples d’adaptation de ces outils à des contextes réels sont fournis.

Mener des audits en utilisant COBIT

Le fascicule « Outils de mise en œuvre » décrit aussi comment les divers fascicules de COBIT et les
formulaires évoqués plus haut peuvent être utilisés dans une procédure d'audit « type ».
La première étape est optionnelle, et consiste à choisir le type de mission d'audit à réaliser : audit
financier, audit de performance, audit de conformité, audit informatique (infrastructure, système en
développement, revue post démarrage, planification et organisation, conseil au management), … Il
faudra pour ce faire évaluer les risques, en utilisant d’une part le fascicule « Cadre de Référence »
pour la définition des processus en jeu, et d’autre part le fascicule « Outils de mise en œuvre » pour
s’inspirer des tableaux "Formulaire simplifié d’évaluation des processus", "Formulaire des
responsabilités", et "Formulaire des Contrats de niveau de Service/CNS" évoqués précédemment.

La deuxième étape doit permettre de préciser le champ de l’audit et déterminer les objectifs.
Afin de préciser le champ de l’audit, il convient d’affiner le choix des processus (fascicule " Cadre de
Référence") en étudiant les objectifs de contrôle détaillés (fascicule "Objectifs de Contrôle"). Une fois
le champ de l’audit délimité, les objectifs d'audit sont développés à partir du fascicule "Objectifs de
Contrôle". Le champ de l’audit et les objectifs d'audit doivent être re-discutés avec le client durant la
réunion de présentation de la mission. Cette étape peut être répétée autant de fois que nécessaire en
cours d'audit.

La troisième étape consiste à développer le programme de travail d'Audit.

A. S'il existe un programme de travail :

I. Comparer les objectifs d'audit aux Objectifs de Contrôle de COBIT.
II. Comparer les étapes du programme d'audit aux activités décrites dans le Guide d’Audit de
COBIT.
III. Ajouter des activités d'audit proposées dans les guides et les manuels relatifs aux
différents outils et systèmes ainsi que dans les guides et les manuels juridiques et
réglementaires.
B. S'il n'existe pas de programme de travail préétabli dans le service d’audit, on suivra la procédure
typique d’un programme de travail basé sur COBIT.
(a) Examiner les 34 processus et sélectionnez les objectifs qui s'appliquent à cet audit (deuxième
étape explicitée plus haut).
(b) Décrire les risques («ce à quoi on s’expose » ou les « conséquences » ) qui peuvent résulter de
l’impossibilité d'atteindre chaque objectif choisi en (a).
(c) Sélectionnez à partir du fascicule « Objectifs de Contrôle » les objectifs de contrôle détaillés
qui s'appliquent à cet audit. Normalement seuls les objectifs de contrôle détaillés
correspondants aux processus choisis en (a), doivent être examinés.

4/5
 (d) En utilisant le fascicule « Guide d’Audit », énumérer les procédures d'audit à effectuer. Dans
cette étape, l'auditeur informatique doit choisir les procédures d'audit qui ont un rapport avec
les objectifs de contrôle détaillés choisis en (c).
(e) Pour compléter le programme d'audit, l'auditeur informatique peut alors ajouter des tests d'audit
propres à la plate-forme ou aux techniques auditées.

La quatrième étape est constituée par la réalisation de la mission d’audit.

La cinquième étape consiste à rédiger le rapport d'audit. Rédiger les conclusions en soulignant les
objectifs atteints et non atteints.

Conclusion
Schéma CobiT

objectifs de
l'entreprise

définir un plan stratégique

défnir l'architecture du système d'information
déterminer l'orientation technologique
définir l'organisation et les relations de travail
gérer l'investissement
COBIT communiquer les objectifs et les orientations de la direction
gérer les ressources humaines
garantir la conformité avec les impératifs externes
évaluer les risques
surveiller les processus gérer les projets
évaluer l'adéquation du contrôle interne gérer la qualité
acquérir une assurance indépendante
désposer d'un audit indépendant

information

efficacité
efficience
confidentialité
intégrité pilotage et
disponibilité organisation
supervision conformité
fiabilité

ressources
informatiques

donnée
systèmes d'application
technologie
installation
ressources humaines

acquisition et mise en
distribution et support
place

définir des niveaux de service

identifier des solutions automatisées
gérer les services assurés par des tiers
acquérir et maintenir les logiciels d'application
gérer la performance et la capacité
acquérir et maintenir l'infrastructure technologique
assurer un service continu
développer et maintenir des procédures
assurer la sécurité des systèmes
installer et receptionner les systèmes
identifier et imputer les coûts
gérer les modifications
sensibiliser et former les utilisateurs
assister et conseiller les clients
gérer la configuration
gérer les problèmes et les incidents
gérer les données
gérer les installations
gérer l'exploitation

CobiT propose des outils de mise en œuvre variés, dont l’adaptation est laissée au jugement et à
l’imagination de chacun, en fonction du terrain sur lequel il manœuvre. Deux aspects pratiques
apparaissent rapidement à la lecture du CobiT :
1. La vision managériale est essentielle pour bâtir un programme d’audit. La mise en pratique du
schéma CobiT implique que le système d'information s’évalue au travers du service rendu pour
atteindre les objectifs de l’entreprise.
2. Le dialogue est fondamental pour la réussite de toute mission d’audit. Les auditeurs ne détenant
pas par essence la vérité, seule la discussion entre le donneur d’ordre de la mission, les auditeurs et
les audités peut faire émerger une vision commune sur les objectifs et les moyens. CobiT fournit
tous les outils pour bâtir ce dialogue.

5/5