2B Quinio
COBIT : AFAI COBIT est l’intégrateur des meilleures pratiques en TI et le
référentiel général de la gouvernance des SI» aide à comprendre et à gérer les risques et les bénéfices qui leur
sont associés. Les bonnes pratiques de CobiT sont le fruit d’un consensus
d’experts.» Elles sont très axées sur le contrôle et moins sur l’exécution. » Elles ont pour but d’aider à optimiser les investissements
informatiques, à assurer la fourniture des services et à fournir des métriques auxquelles se référer pour évaluer les dysfonctionnements.
COBIT est en permanence tenu à jour et harmonisé avec les autres standards.» Version actuelle V4» Panoplie d’outils : quickstart, ValIT, …
3B Quinio
COBIT
Conçu et géré par l’IT Governance Institute.– http://itgi-france.com/– http://www.afai.fr/
Indépendant et libre de droits.Issu du milieu de l’audit SI (V1 : 1996).
» Très utilisée dans les SI. Diffusion mondiale. Très nombreuses traductions.
» L'AFAI a publié la version française de COBIT V4.1 Utilisation importante et en croissance forte. Utilisé dans les cadres Sarbanes Oxley, IFRS, LSF.
4B Quinio
COBIT et les processus
COBIT : Structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus.
7B Quinio
Structure de COBIT
Regroupement de processusPlanifier / Construire / exploiter / contrôlerPlan an Organize / Acquire and Implement / Deliver and Support / Monitor and Evaluate
34
318
Domaines
Processus
Activité
4
ProcessusSérie d’activités reliées entre elle
Activité ou bonne pratiqueTâches associées à un résultat mesurable (ce qu’on doit obtenir et pas comment)
8B Quinio
Processus PO9 Evaluer les riques 10 Activités1) Déterminer l’alignement pour la gestion des risques (ex. évaluer les
risques)2) Identifier les objectifs métier stratégiques concernés3) Identifier les objectifs processus métier concernés4) Identifier les objectifs informatiques internes et établir leur contexte
risque.5) Identifier les événements associés aux objectifs [certains événements
sont orientés métier ; certains sont orientés SI6) Évaluer les risques associés aux événements7) Évaluer les réponses aux risques8) Planifier les activités de contrôle en tenant compte des priorités9) Approuver les plans d’action de traitement des risques et en assurer le
financement10) Tenir à jour et surveiller un plan d’action de traitement des risques.
Exemple de structure de COBIT
10B Quinio
Exemple de positionnement maturité
source : AFAI PO9 PO9 Évaluer et gérer les risques 0 Inexistante quand
» On ne fait pas d'évaluation des risques liés aux processus ou aux décisions métier. L’entreprise ne prend pas en compte les conséquences pour son activité des faiblesses de sa sécurité et des incertitudes liées au développement de ses projets.
» La gestion des risques n'a pas été identifiée comme pertinente dans l'acquisition de solutions et la livraison de services informatiques.
1 Initialisée, quand» Les risques informatiques sont traités au cas par cas. » On fait des évaluations informelles des risques projet
selon une approche spécifique à chaque projet.
11B Quinio
Autre exemple de positionnement de maturité
AMP04 : Développer les procédures et en assurer la maintenance» documenter les applications afin de former les exploitants comme les
utilisateurs.» Documenter tous les aspects : technique, opérationnel, niveaux de
service. « L’entreprise sans maturité en est au stade de la
documentation sur papier, peu commode et non à jour. Lorsque la maturité croît, l’entreprise met la documentation sur l’Intranet et la formation est organisée. Si elle s’améliore encore, elle recherche le feedback des utilisateurs et met en place une gestion automatisée de la documentation » www.volle.com
12B Quinio
COBIT :3 Objectifs et 3 types d’indicateurs
3 Objectifs» Objectif pour le métier ou l’activité concerné» Objectif pour le processus concerné» Objectifs pour l’informatique
1 Indicateur Clé de Performance (ICP), est la mesure de la "qualité" de la progression du processus
» Key Performance Indicator (KPI)
2 indicateurs Clé d'Objectif (ICO) pour les processus et le TI» Process Key Goal Indicator (PKGI) et ITKGI
13B Quinio
COBIT :3 Objectifs et 3 types d’indicateurs
Objectif d’activité
KPI
Objectif Processus
Objectif Informatiques
Est mesuré par
PKGI
Est mesuré par
ITKGI
Est mesuré parimpacte
impacte
14B Quinio
COBIT :3 Objectifs et 3 types d’indicateurs
Exemple pour le processus PO9 : Evaluer et gérer les risques» Objectif activité
– Effectuer des évaluations de risques régulières avec le management
» Objectif Processus :– Mettre en place des plans d’actions pour les risques informatiques critiques
» Objectif Informatique– Protéger l’atteinte des objectifs informatiques critiques
» KPI :– % d’évaluation de risques visées par le management
» PKGI : – % de risques critiques avec des plans d’action développés
» ITKGI :– % d’objectifs informatiques critiques pris en compte dans l’évaluation des
risques
15B Quinio
COBIT :4 types de rôles pour les acteurs concernés par une activité
(1) Responsable
» Celui qui fait le travail ou qui fait en sorte que le travail soit fait, c’est-à-dire que le processus soit mis en oeuvre
Accontable :» Celui qui donne les directives et les priorités» GARANT en Français dans la traduction AFAI
Consulté :» Personne a qui on demande son avis pour la réalisation du processus
Informé :» Personne que l’on tient au courant
RACI (en version originale) RGCI (en version française)
16B Quinio
COBIT :4 types de rôles pour les acteurs concernés par une activité
(2) Exemple : pour 2 activités du PO9 Evaluer les riques
Déterminer l’alignement pour la gestion des risques (ex. évaluer les risques)
» Garant : Direction Générale» Responsable / Garant : Direction financière» Consulté : responsable métier et DSI» Informé : Responsable exploitation, et fonction support (juridique,
sécurité)
Identifier les objectifs informatiques internes et établir leur contexte risque.
» Garant / Responsable : DSI
» Consulté : responsable architecture, responsable développement» Informé : fonction support (juridique, sécurité)
17B Quinio
Description d’un processus COBIT
1) High-Level control objective : » définition du processus et description succincte des besoins qu’il satisfait, des moyens qu’il utilise
et des indicateurs de contrôle : PKGI, ITGI et KPI
2) Detailed control objectives :» liste des fonctions que le processus doit remplir» décrites chacune en quelques lignes ;
3) Management guidelines :» tableaux indiquant les relations avec d’autres processus» la répartition des responsabilités (selon la liste RACI : Responsible, Accountable, Consulted et
Informed)» les objectifs et les indicateurs associés ;
4) Maturity model : » décrit ce que font des entreprises types classées selon les six niveaux de maturité.
Exemple PO9» http://www.afai.fr/public/doc/351.pdf
Source : volle.com
18B Quinio
Mise en oeuvre de COBIT
Choisir un domaine
34
318
Domaines
Processus
Activité
4
Choisir un processus à contrôler et optimiser
Contrôler les activités associées
MaturitéSe positionner sur l’échelle de maturité (de 0 à 5)
19B Quinio
ValIT : complément à COBIT
Val IT complète Cobit» traite de la création de valeur pour l'entreprise via les
investissements technologiques» pour fournir un cadre de référence complet de la
gouvernance des SI. le référentiel Val IT porte sur la gestion des
investissements, des portefeuilles de programmes/projets, ainsi que la gouvernance de la valeur.
Val IT est disponible en françqis via l’AFAI
21B Quinio
Pour les PME : COBIT Quickstart
Source : AFAI Une première approche aux nombreuses PME et autres
entités pour lesquelles les TI ne sont ni un enjeu stratégique ni un élément clé de leur survie
Peut être un point de départ pour étudier la pertinence de COBIT
30 processus sur les 34,– et
62 objectifs de contrôle détaillés sur les 318 habituels. Un test en ligne :
» http://www.afai.fr/index.php?m=136
23B Quinio
Logiciels supportant la démarche
Aide à la mise en œuvre» Construit autour de la structure COBIT (processus, KGI,
KPI)» Environnement d’évaluation et de suivi de l’implantation» Origine : logiciels pour auditeurs et BPM
Par exemple : » CobiT Advisor (Methodware Ltd)» WorkflowGen
24B Quinio
Deux certifications pour les personnes physiques
La certification CISA (Certified Information security Auditor) sanctionne la réussite à un examen dans le domaine de la compétence à l’audit informatique.» QCM de 200 questions à traiter en 4 heures
La certification CISM (Certified Information Security Manager) sanctionne la réussite à un examen dans le domaine de la compétence de la sécurité des systèmes d’information
Les deux sont valables 1 an avec 20h de formation