Introduction à COBIT

Alain Scheirlinckx CIA, CISA, CISM,CISSP, CFE

1
 Sommaire
• Pourquoi COBIT?
• Comparaison COSO - COBIT (encore un cube...)
• Vue d’ensemble des processus COBIT
• Les 4 processus en détail:
- Planification et Organisation
- Acquisition et Installation
- Livraison et Support
- Monitoring et Evaluation
• La maturité des Systèmes d’Information
• Evaluation des processus – gare aux ‘radars’!
• Conclusion 2
 Pourquoi ‘COBIT’ ?

Dans les organisations où l’automatisation du

business était devenue une composante
essentielle, les dirigeants ne voyaient pas
comment les Systèmes d’Information pourraient
apporter de la valeur et de la performance dans
l’organisation...

3
 C’est quoi ‘COBIT’ ?
(Control OBjectives for Information
& related Technology)

COBIT est un cadre de contrôle des Systèmes

d’Information, collecté auprès d’experts dès
1994, qui vise à aider le management à gérer les
risques (sécurité, fiabilité et conformité) et les
investissements.

4
 Comparaison COBIT - COSO
Organisation Objectives

COSO

Elements of Risk Management

L’approche est orientée autour du processus
de gestion des risques.
Le contrôle interne repose sur les notions
d’objectifs et de composants.

n
a tio
s
ni
r ga ls
O ve
Le

COBIT
L’approche est orientés processus, et
regroupe 4 domaines :
• Planification (PO – ‘Plan & Organise’)
• Construction (AI – ‘Acquire & Implement’)
• Exécution (DS -‘Deliver and Support’)
• Métrologie (ME – ‘Monitor & Evaluate’)
(analogie avec la roue de Deming) 5
 Exemple de bonne gestion des activités : structure de projet

Type de responsabilité

Stratégique Tactique Opérationnelle

Plan & Organise (PO)

Acquire & Implement (AI)

Deliver & Support (DS)

Monitor & Evaluate (ME)

6
 1. Planification et Organisation (PO)

But: comment utiliser les technologies pour atteindre les objectifs business ?

1. Où veut-on aller ?
 évaluation des risques
 plan stratégique et direction technologique

2. Quoi ?
 architecture globale

3. Comment ?
 organisation du service informatique
 gestion des investissements
 respect des exigences légales
 communication des objectifs de la direction
 gestion de la qualité

4. Avec qui ?
 gestion des ressources humaines
 gestion des projets 7
 2. Acquisition et Installation (AI)
But: comment mettre en oeuvre les technologies et les aligner avec les
processus du business ?

1. Où veut-on aller ?
 identification des solutions automatiques
(implique une évaluation préalable en labo de test)

2. Quoi ?
 acquisition et maintenance des applications IT
 acquisition et maintenance de l’infrastructure IT
(salles, réseaux, serveurs, systèmes de back up)

3. Comment / avec qui ?

 développement et maintien des procédures
 installation et certification des systèmes
(obligation pour systèmes classifiés)
 gestion des modifications

8
 3. Livraison et Support (DS)
But: comment garantir l’efficacité et l’efficience des systèmes technologiques
en action ?
1. Quoi / combien ?
 définition des niveaux de service (métriques)
 décision d’internaliser / externaliser (pour chaque service)
 identification et attribution des coûts

2. Avec qui ?
 gestion des services aux tiers (SLA, OLA...)
 formation des utilisateurs
 assistance des utilisateurs

3. Comment ?
 gestion de l’exploitation, des performances et des capacités
(Centre de Calcul)
 gestion de la configuration (Change Control Board – CCB)
 gestion des données et des applications
 gestion des incidents
 garantie de la poursuite des traitements (BCM/BCP)
 garantie de la sécurité des systèmes (y compris sécurité physique
9
 4. Monitoring et Evaluation (ME)
But: comment vérifier que la solution mise en place est en adéquation avec
les besoins de l’entreprise dans une vision stratégique ?

1. Quoi / combien / qui ?

 appréciation du contrôle interne
 audit par un organisme indépendant

2. Comment ?
 surveillance des processus (revue des logs...)
 certification par un organisme indépendant

10
11
 Maturité des Systèmes d’Information (SI)

Une étude menée par le Cigref (Club informatique des grandes

entreprises françaises) et Capgemini Consulting en 2009 a examiné le
lien existant entre la maturité de la fonction SI, l'usage que font les
entreprises de l'information et leur performance (part de marché,
rentabilité, innovation, réputation).
Selon le Vice-Président du Cigref, ce rapport ‘‘démontre enfin de
manière probante que les entreprises financièrement ou
opérationnellement les plus performantes ont une fonction SI des plus
matures et savent exploiter leur patrimoine informationnel’’.

Le modèle de maturité doit répondre à 3 besoins :

• une mesure relative de la situation de notre organisation
par rapport aux autres
• un moyen de décider efficacement de la direction à prendre
• un outil pour mesurer le progrès par rapport à un objectif

12
 Echelle de maturité des SI
5 niveaux :
0 - processus inexistant
1 - processus initial / ad hoc
2 - processus répétable mais intuitif
3 - processus défini
4 - processus géré et mesurable
5 - processus optimal

13
 Représentation graphique de la maturité
Exemple pour les processus dans le domaine Planning et Organisation (PO):

14
 Conclusion

Aucune organisation, même de nature commerciale et

hautement compétitive (comme par ex. une banque) n’a
encore atteint le niveau 5 (optimal).
Essayer d’atteindre le niveau 5 est en outre une entreprise
extrêmement coûteuse et consommatrice de temps.

Les grandes administrations et institutions européennes ont

découvert COBIT au 21éme siécle...
Leur niveau global de maturité des SI se situe entre
1 (initial / ad hoc) et 3 (défini).

Viser le niveau 4, l’atteindre et surtout y rester est un

objectif réalisable mais ambitieux.
Il exige une grande discipline et constance dans l’effort.

15