Introduction à COBIT

Alain Scheirlinckx

CIA, CISA, CISM,CISSP, CFE

1

COBIT (encore un cube.Acquisition et Installation .Sommaire • Pourquoi COBIT? • Comparaison COSO ...) • Vue d’ensemble des processus COBIT • Les 4 processus en détail: .Monitoring et Evaluation • La maturité des Systèmes d’Information • Evaluation des processus – gare aux ‘radars’! • Conclusion 2 .Planification et Organisation .Livraison et Support .

les dirigeants ne voyaient pas comment les Systèmes d’Information pourraient apporter de la valeur et de la performance dans l’organisation...Pourquoi ‘COBIT’ ? Dans les organisations où l’automatisation du business était devenue une composante essentielle. 3 .

fiabilité et conformité) et les investissements. 4 . collecté auprès d’experts dès 1994.C’est quoi ‘COBIT’ ? (Control OBjectives for Information & related Technology) COBIT est un cadre de contrôle des Systèmes d’Information. qui vise à aider le management à gérer les risques (sécurité.

Comparaison COBIT . Elements of Risk Management n io at is an rg els O v Le COBIT L’approche est orientés processus. et regroupe 4 domaines : • Planification (PO – ‘Plan & Organise’) • Construction (AI – ‘Acquire & Implement’) • Exécution (DS -‘Deliver and Support’) • Métrologie (ME – ‘Monitor & Evaluate’) (analogie avec la roue de Deming) 5 .COSO Organisation Objectives COSO L’approche est orientée autour du processus de gestion des risques. Le contrôle interne repose sur les notions d’objectifs et de composants.

Exemple de bonne gestion des activités : structure de projet Type de responsabilité Stratégique Tactique Plan & Organise (PO) Opérationnelle Acquire & Implement (AI) Deliver & Support (DS) Monitor & Evaluate (ME) 6 .

1. Où veut-on aller ?  évaluation des risques  plan stratégique et direction technologique 2. Avec qui ?  gestion des ressources humaines  gestion des projets 7 . Comment ?  organisation du service informatique  gestion des investissements  respect des exigences légales  communication des objectifs de la direction  gestion de la qualité 4. Quoi ?  architecture globale 3. Planification et Organisation (PO) But: comment utiliser les technologies pour atteindre les objectifs business ? 1.

réseaux. Quoi ?  acquisition et maintenance des applications IT  acquisition et maintenance de l’infrastructure IT (salles.2. Acquisition et Installation (AI) But: comment mettre en oeuvre les technologies et les aligner avec les processus du business ? 1. Où veut-on aller ?  identification des solutions automatiques (implique une évaluation préalable en labo de test) 2. systèmes de back up) 3. Comment / avec qui ?  développement et maintien des procédures  installation et certification des systèmes (obligation pour systèmes classifiés)  gestion des modifications 8 . serveurs.

.)  formation des utilisateurs  assistance des utilisateurs 3. Comment ?  gestion de l’exploitation. Livraison et Support (DS) But: comment garantir l’efficacité et l’efficience des systèmes technologiques en action ? 1.3. Avec qui ?  gestion des services aux tiers (SLA. OLA. des performances et des capacités (Centre de Calcul)  gestion de la configuration (Change Control Board – CCB)  gestion des données et des applications  gestion des incidents  garantie de la poursuite des traitements (BCM/BCP)  garantie de la sécurité des systèmes (y compris sécurité physique 9 . Quoi / combien ?  définition des niveaux de service (métriques)  décision d’internaliser / externaliser (pour chaque service)  identification et attribution des coûts 2..

)  certification par un organisme indépendant 10 .. Comment ?  surveillance des processus (revue des logs. Quoi / combien / qui ?  appréciation du contrôle interne  audit par un organisme indépendant 2.4.. Monitoring et Evaluation (ME) But: comment vérifier que la solution mise en place est en adéquation avec les besoins de l’entreprise dans une vision stratégique ? 1.

11 .

rentabilité. Le modèle de maturité doit répondre à 3 besoins : • une mesure relative de la situation de notre organisation par rapport aux autres • un moyen de décider efficacement de la direction à prendre • un outil pour mesurer le progrès par rapport à un objectif 12 . innovation. l'usage que font les entreprises de l'information et leur performance (part de marché. réputation). ce rapport ‘‘démontre enfin de manière probante que les entreprises financièrement ou opérationnellement les plus performantes ont une fonction SI des plus matures et savent exploiter leur patrimoine informationnel’’. Selon le Vice-Président du Cigref.Maturité des Systèmes d’Information (SI) Une étude menée par le Cigref (Club informatique des grandes entreprises françaises) et Capgemini Consulting en 2009 a examiné le lien existant entre la maturité de la fonction SI.

processus inexistant .processus initial / ad hoc .Echelle de maturité des SI 5 0 1 2 3 4 5 niveaux : .processus optimal 13 .processus défini .processus répétable mais intuitif .processus géré et mesurable .

Représentation graphique de la maturité Exemple pour les processus dans le domaine Planning et Organisation (PO): 14 .

même de nature commerciale et hautement compétitive (comme par ex. une banque) n’a encore atteint le niveau 5 (optimal). Les grandes administrations et institutions européennes ont e découvert COBIT au 21ém siécle.. 15 . Viser le niveau 4.Conclusion Aucune organisation. Il exige une grande discipline et constance dans l’effort. Leur niveau global de maturité des SI se situe entre 1 (initial / ad hoc) et 3 (défini). Essayer d’atteindre le niveau 5 est en outre une entreprise extrêmement coûteuse et consommatrice de temps.. l’atteindre et surtout y rester est un objectif réalisable mais ambitieux.

Sign up to vote on this title
UsefulNot useful