1

COBIT
Mlle Laila EL ABBADI Laila.abbadi@yahoo.fr
Mlle laila EL ABBADI

2
Mlle laila EL ABBADI

COBIT
Control Objectives for Information and Related TechnologyContrle de lInformation et des Technologies Associes

COBIT est un rfrentiel pour la gouvernance des Systmes d'Information avec un objectif de contrle et d'audit vis vis de l'impact de l'utilisation de ces technologies dans l'entreprise et des risques qui y sont lis.
COBIT a t dvelopp en 1994 et publi en 1996 par lISACA (Information Systems Audit and Control Association). La dernire version de CobiT, est la version 4.

3
Mlle laila EL ABBADI

Principe de COBIT
COBIT est avant tout un framework d'audit et de contrle des SI. Son objet est de dire ce qu'il faut faire et non comment le faire. L'intrt principal de COBIT est d'offrir un cadre gnral de la gouvernance des SI. Mettre en place ce cadre, c'est:

s'assurer de suivre les meilleures pratiques se garantir des risques (ie les grer convenablement) tre en mesure de se comparer la fois en interne et en externe Avoir les meilleures chances de s'aligner sur les besoins mtier

4
Mlle laila EL ABBADI

Gouvernance SI selon COBIT

COBIT vise diriger et contrler lentreprise pour quelle atteigne ses objectifs en gnrant de la valeur, en trouvant le bon quilibre risques/avantages des technologies de linformation et de leurs processus. 5 axes :

- Alignement stratgique SI - Apport de valeur - Gestion des ressources - Gestion des risques - Mesure des performances

5
Mlle laila EL ABBADI

6
Mlle laila EL ABBADI

Le cube COBIT

7
Mlle laila EL ABBADI

Le cube COBIT
Critres de l'information : cette rubrique va intresser la direction gnrale en indiquant ce que l'implantation d'un processus donn va apporter sur les informations (par exemple sur l'information dcisionnelle). Ces critres sont : efficacit : qualit et pertinence de linformation, distribution cohrente efficience : rapidit de dlivrance, efficacit optimale confidentialit : protection contre la divulgation intgrit : exactitude de linformation disponibilit : accessibilit la demande et protection (sauvegarde) conformit : respect des rgles et lois fiabilit : exactitudes des informations transmises par le management

En amliorant l'information selon ces critres, l'organisation pourra atteindre plus facilement ses objectifs, cela ouvrira des nouvelles opportunits et amliorera la rentabilit.

8
Mlle laila EL ABBADI

Le cube COBIT
Les ressources : cette partie concerne plus le directeur des SI ou responsable des SI, pour l'informer des ressources qui vont tre impactes par le processus. Les diffrentes ressources sont : Les personnes : le personnel, efficacit des collaborateurs (internes et externes) les applications : ensemble des procdures de traitement l'infrastructure : ensemble des installations Linformation

Les processus : destins l'attention du gestionnaire de processus, ils vont dfinir la structure des domaines, des processus et des tches. Il faut savoir quun processus se dfinit comme un ensemble de tches.

9
Mlle laila EL ABBADI

10
Mlle laila EL ABBADI

Centr sur les mtiers

11
Mlle laila EL ABBADI

Orient processus
COBIT regroupe les activits informatiques dans un modle gnrique de processus qui se rpartissent en quatre domaines. Ces domaines sont: Planifier et Organiser, Acqurir et Implmenter, Dlivrer et Supporter, Surveiller et valuer.

12
Mlle laila EL ABBADI

Les domaines de processus

PLANIFIER ET ORGANISER (PO)
Ce domaine recouvre la stratgie et la tactique et vise identifier la meilleure manire pour les SI de contribuer atteindre les objectifs mtiers de l'entreprise. La mise en uvre de la vision stratgique doit tre planifie, communique et gre selon diffrentes perspectives. Il faut mettre en place une organisation adquate ainsi qu'une infrastructure technologique. Ce domaine s'intresse gnralement aux problmatiques de management suivantes : Les stratgies de l'entreprise et de l'informatique sont-elles alignes ? L'entreprise fait-elle un usage optimum de ses ressources ? Est-ce que tout le monde dans l'entreprise comprend les objectifs de l'informatique ? Les risques informatiques sont-ils compris et grs ? La qualit des systmes informatiques est-elle adapte aux besoins mtiers ?

13
Mlle laila EL ABBADI

Les domaines de processus

ACQURIR ET IMPLMENTER (AI) Le succs de la stratgie informatique ncessite d'identifier, de dvelopper ou d'acqurir des solutions informatiques, de les mettre en uvre et de les intgrer aux processus mtiers. Ce domaine recouvre aussi la modification des systmes existants ainsi que leur maintenance afin d'tre sr que les solutions continuent d'tre en adquation avec les objectifs mtiers.

Ce domaine s'intresse gnralement aux problmatiques de management suivantes :

Est-on sr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins mtiers ? Est-on sr que les nouveaux projets aboutiront en temps voulu et dans les limites budgtaires ? Les nouveaux systmes fonctionneront-ils correctement lorsqu'ils seront mis en uvre ? Les changements pourront-ils avoir lieu sans perturber les oprations en cours ?

14
Mlle laila EL ABBADI

Les domaines de processus

DLIVRER ET SUPPORTER (DS) Ce domaine s'intresse la livraison effective des services demands, ce qui comprend l'exploitation informatique, la gestion de la scurit et de la continuit, le service d'assistance aux utilisateurs et la gestion des donnes et des quipements. Il s'agit gnralement des problmatiques de management suivantes : Les services informatiques sont-ils fournis en tenant compte des priorits mtiers ? Les cots informatiques sont-ils optimiss ? Les employs sont-ils capables d'utiliser les systmes informatiques de faon productive et sre ? La confidentialit, l'intgrit et la disponibilit sont-elles mises en uvre pour la scurit de l'information ?

15
Mlle laila EL ABBADI

Les domaines de processus

SURVEILLER ET VALUER (SE) Tous les processus informatiques doivent tre rgulirement valus pour vrifier leur qualit et leur conformit par rapport aux spcifications de contrle. Ce domaine s'intresse la gestion de la performance, la surveillance du contrle interne, au respect des normes rglementaires et la gouvernance. Il s'agit gnralement des problmatiques de management suivantes : La performance de l'informatique est-elle mesure de faon ce que les problmes soient mis en vidence avant qu'il ne soit trop tard ? Le management s'assure-t-il que les contrles internes sont efficaces et efficients ? La performance de l'informatique peut-elle tre relie aux objectifs mtiers ? Des contrles de confidentialit, d'intgrit et de disponibilit appropris sontils mis en place pour la scurit de l'information ?

16
Mlle laila EL ABBADI

Les domaines de processus

travers ces quatre domaines, COBIT a identifi 34 processus .

Chacun de ces 34 processus est li aux objectifs mtiers et aux objectifs informatiques qui sont pris en charge. Des informations sont galement fournies sur la faon dont les objectifs peuvent tre mesurs, sur les activits cls et les principaux livrables et sur les personnes qui en sont responsables

17
Mlle laila EL ABBADI

18
Mlle laila EL ABBADI

Bas sur des contrles

COBIT ajoute des exemples pour chaque processus ; ces exemples ont pour but d'illustrer, mais pas de prescrire ni d'tre exhaustifs : entres et sorties gnriques de donnes/informations ; activits et conseils sur les rles et les responsabilits dans un tableau RACI (Responsable: celui qui donne les orientations et qui autorise une activit, Approuve: celui qui fait excuter la tche, Consult: celui qui doit soutenir le processus, Inform: celui qui doit savoir ce qui se passe). objectifs des activits cls (les choses les plus importantes faire) ; Mtriques.

19
Mlle laila EL ABBADI

20
Mlle laila EL ABBADI

Bas sur des contrles

Les objectifs de contrle par processus
Les objectifs de contrle sont identifis par un domaine de rfrence deux caractres (PO, AI, DS et SE), plus un numro de processus et un numro dobjectif de contrle

Les exigences du contrle gnriques (PC)

21
Mlle laila EL ABBADI

Bas sur des contrles

Les exigences de contrles gnriques
PC1 Buts et objectifs du processus Dfinir et communiquer des buts et objectifs spcifiques, mesurables, incitatifs, ralistes, axs sur les rsultats et opportuns (SMARRT, Specific, Measurable, Actionable, Realistic, Results-oriented and Timely) pour l'excution efficace de chaque processus informatique. S'assurer qu'ils sont relis aux objectifs mtiers et soutenus par des mtriques adaptes. PC2 Proprit des processus Affecter un propritaire chaque processus informatique et dfinir clairement les rles et les responsabilits du propritaire du processus. Inclure, par exemple, la charge de conception du processus, d'interaction avec les autres processus, la responsabilit du rsultat final, l'valuation des performances du processus et l'identification des possibilits d'amlioration. PC3 Reproductibilit du processus Dfinir et mettre en place chaque processus informatique cl de faon ce qu'il soit reproductible et qu'il produise invariablement les rsultats escompts. Fournir un enchanement logique, flexible et volutif d'activits qui conduiront aux rsultats souhaits et suffisamment souple pour grer les exceptions et les urgences. Si possible, utiliser des processus cohrents et personnaliser uniquement si c'est invitable.

22
Mlle laila EL ABBADI

Bas sur des contrles

PC4 Rles et Responsabilits Dfinir les activits cls et les livrables finaux du processus. Attribuer et communiquer des rles et responsabilits non ambigus, pour une excution efficace et efficiente des activits cls et de leur documentation, ainsi que la responsabilit des livrables finaux du processus. PC5 Politique, Plans et Procdures Dterminer et indiquer comment tous les plans, les politiques et les procdures qui gnrent un processus informatique sont documents, tudis, grs, valids, stocks, communiqus et utiliss pour la formation. Rpartir les responsabilits pour chacune de ces activits et, au moment opportun, vrifier si elles sont correctement effectues. S'assurer que les politiques, plans et procdures sont accessibles, corrects, compris et jour. PC6 Amlioration des performances du processus Identifier un ensemble de mtriques fournissant des indications sur les rsultats et les performances du processus. Dfinir des cibles refltant les objectifs du processus et des indicateurs de performance permettant d'atteindre les objectifs du processus. Dfinir le mode d'obtention des donnes. Comparer les mesures relles et les objectifs et, si ncessaire, prendre des mesures pour corriger les carts. Aligner les mtriques, les objectifs et les mthodes avec l'approche globale de surveillance des performances des SI.

23
Mlle laila EL ABBADI

Bas sur des mesures

Obtenir une vue objective du niveau de performance d'une entreprise n'est pas une chose aise. Que doit-on mesurer et comment ? Les entreprises ont besoin de pouvoir mesurer o elles en sont et o il faut apporter des amliorations, et il leur faut des outils de gestion pour surveiller ces amliorations. COBIT traite ces questions en fournissant : des modles de maturit pour permettre de se comparer et de dfinir l'amlioration ncessaire des capacits ; des objectifs de performances et des mtriques pour les processus informatiques, qui montrent jusqu' quel point les processus permettent d'atteindre les objectifs mtiers et les objectifs informatiques ; ils servent mesurer la performance des processus internes; des objectifs d'activit pour favoriser une performance efficace des processus.

24
Mlle laila EL ABBADI

Modle de maturit
En utilisant les modles de maturit dfinis pour chacun des 34 processus informatiques de COBIT, le management peut mettre en vidence : l'tat actuel de l'entreprise : o elle se situe aujourd'hui ; l'tat actuel du march : la comparaison ; l'ambition de l'entreprise : o elle veut se situer ; la trajectoire de croissance requise entre les situations en cours et les situations cibles.

25
Mlle laila EL ABBADI

Modle de maturit
Reprsentation graphique du modle de maturit

26
Mlle laila EL ABBADI

Modle de maturit
0 Inexistant : Absence totale de processus identifiables. Lentreprise na mme pas pris conscience quil sagissait dun problme tudier.

1 Initialis/Cas par cas : On constate que lentreprise a pris conscience de lexistence du problme et de la ncessit de ltudier. Il nexiste toutefois aucun processus standardis, mais des dmarches dans ce sens tendent tre entreprises individuellement ou cas par cas. Lapproche globale du management nest pas organise.

2 Reproductible mais intuitif : Des processus se sont dvelopps jusquau stade o des personnes diffrentes excutant la mme tche utilisent des procdures similaires. Il ny a pas de formation organise ni de communication des procdures standard et la responsabilit et laisse lindividu. On se repose beaucoup sur les connaissances individuelles, do un risque derreurs.

27
Mlle laila EL ABBADI

Modle de maturit
3 Processus dfini : On a standardis, document et communiqu des processus via des sances de formation. Ces processus doivent imprativement tre suivis ; toutefois, des carts seront probablement constats. Concernant les procdures elles-mmes, elles ne sont pas sophistiques mais formalisent des pratiques existantes. 4 Gr et mesurable : La direction contrle et mesure la conformit aux procdures et agit lorsque certains processus semblent ne pas fonctionner correctement. Les processus sont en constante amlioration et correspondent une bonne pratique. Lautomatisation et les outils sont utiliss dune manire limite ou partielle. 5 Optimis : Les processus ont atteint le niveau des bonnes pratiques, suite une amlioration constante et la comparaison avec dautres entreprises (Modles de Maturit). Linformatique est utilise comme moyen intgr dautomatiser le flux des tches, offrant des outils qui permettent damliorer la qualit et lefficacit et de rendre lentreprise rapidement adaptable.