le cobit - l’état de l’art
TRANSCRIPT
-
7/30/2019 Le COBIT - Ltat de lArt
1/33
CNAM 2008 / 2009
GLG102 TECHNIQUES ET NORMES POUR LA QUALITE DU LOGICIEL
Le COBIT : Ltat de lArt
Socle de la gouvernance des SI
-
7/30/2019 Le COBIT - Ltat de lArt
2/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel1
Le
COBIT:Socle
de
la
gouvernanced
esSI
AUDITEUR
AUDITEUR NUMERODAUDITEUREric LELEU NPC008029
HISTORIQUE DES MODIFICATIONS
DATE AUTEUR DESCRIPTION VERSION
15/01/200
Eric LELEU Cration V_1.0
28/01/200
Eric LELEU Rdaction V_2.0
29/01/200
Eric LELEU Mise en forme, correction et V_3.0
-
7/30/2019 Le COBIT - Ltat de lArt
3/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel2
Le
COBIT:Socle
de
la
gouvernanced
esSI
LE COBIT : LETAT DE LART
SOCLE DE LA GOUVERNANCE DES SI
SOMMAIRE
PREAMBULE .................................................................................................................................... 3ILA GOUVERNANCE : DE QUOI S'AGIT-IL ? .............................................................................................. 4IILE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI............................................................................ 5IIIDEFINITION............................................................................................................................... 6IVLES OBJECTIFS DU COBIT .............................................................................................................. 8VLES DOMAINES DU COBIT ............................................................................................................. 10VILE COBIT POUR L'AUDITEUR INFORMATIQUE..................................................................................... 11VII-COMMENT EST UTILISE LE COBIT ................................................................................................... 12VIIILE COBIT :RAPPROCHEMENTENTRE AUDIT INTERNE ET DSI .......................................................... 14IX-CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI ....................................................................... 14
X-PRESENTATION DES 34 PROCESSUS.................................................................................................... 15
ALA PLANIFICATION & LORGANISATION .......................................................................................... 15BLACQUISITION & LINSTALLATION ............................................................................................... 17CLA LIVRAISON & LE SUPPORT ...................................................................................................... 19DLE MONITORING..................................................................................................................... 21
XILES PERSPECTIVES ...................................................................................................................... 22XII-CONCLUSION........................................................................................................................... 23LESREFERENCES :BIBLIOGRAPHIE / WEBOGRAPHIE .............................................................................. 24LEGLOSSAIRE ................................................................................................................................ 25LESANNEXES................................................................................................................................. 27
LISTE DES PROCESSUS DU COBIT EN FRANAIS ...................................................................................... 27LISTE DES PROCESSUS DU COBIT EN ANGLAIS ....................................................................................... 29EXEMPLE1DEFINIR LARCHITECTURE DE LINFORMATION.................................................................... 31EXEMPLE 2-GERER LES DONNEES ..................................................................................................... 32
-
7/30/2019 Le COBIT - Ltat de lArt
4/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel3
Le
COBIT:Socle
de
la
gouvernanced
esSI
PREAMBULE
Ce dossier a t ralis dans le cadre de lunit denseignement (UE) GLG102
Techniques et normes pour la qualit du logiciel.Le sujet trait est le COBIT. La rdaction de ce dossier a tent dexpliquer le plussimplement possible ce concept. Le but est de transcrire dans un langage simple etcomprhensible par tous, les caractristiques principales de cette mthodologie.
Mme si la rdaction de ce dossier ne fut pas simple, jai pris plaisir le constituer. Jesuis dailleurs plutt satisfait du rsultat.
Pour tre honnte, cette recherche fut un vrai challenge dans la mesure o il ma fallusurmonter la mconnaissance de ce thme.
Je vous propose, aprs un bref descriptif de la gouvernance des systmes dinformation,de dcouvrir ce quest le COBIT.
-
7/30/2019 Le COBIT - Ltat de lArt
5/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel4
Le
COBIT:Socle
de
la
gouvernanced
esSI
I LA GOUVERNANCE : DE QUOI S'AGIT-I L ?
Avant de dbuter ltude de COBIT, il convient de dfinir ce quest la gouvernance, termequi sera largement utilis tout au long de cette tude.
Le terme Gouvernance dsigne la capacit d'une organisation tre en mesure decontrler et de rguler son propre fonctionnement afin d'viter les conflits d'intrts lis la sparation entre les ayants-droits (actionnaires, direction, conseil dadministration) etles acteurs (employs, les fournisseurs, les clients, les banques, lenvironnement). Ilsagit de privilgier le partenariat entre les diffrents acteurs.
La gouvernance d'entreprise est l'ensemble des processus, rglementations, lois etinstitutions influant la manire dont l'entreprise est dirige, administre et contrle.
-
7/30/2019 Le COBIT - Ltat de lArt
6/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel5
Le
COBIT:Socle
de
la
gouvernanced
esSI
II LE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI
La Gouvernance des Technologies de lInformation (en Anglais Information Technology
Governance ou IT Governance ) est une sous discipline du gouvernementdentreprise axe sur la technologie de linformation et de la communication. Cettediscipline, en phase avec les objectifs de lentreprise, sintresse plus particulirement la gestion des risques, loptimisation des investissements et des ressources, lacration de valeurs et la performance des technologies de linformation.
Selon le COBIT, la gouvernance des systmes dinformation est la structure de relationset de processus visant diriger et contrler lentreprise pour quelle atteigne ses objectifsen gnrant de la valeur, tout en trouvant le bon quilibre entre les risques et lesavantages des technologies de lInformation et de leurs processus. Il sagit dunedmarche de Management.
La Gouvernance des TI permet de rpondre aux questions suivantes :
Comment sont prises les dcisions ? Qui prend les dcisions ? Qui est tenu pour responsable ? Comment le rsultat des dcisions est-il mesur et suivi ? Quels sont les risques ?
La Gouvernance des TI est un cercle vertueux permettant d'orienter et de contrler lesprocessus de gestion :
En donnant les orientations stratgiques des diffrents processus de gestion, En utilisant les processus mtier pour fournir les services demands, Chaque processus mtier doit rendre compte de l'accomplissement de ses
objectifs. En contrlant le bon droulement des processus, en les amliorant et au besoin,
en dfinissant de nouvelles orientations.
Le cercle vertueux de la Gouvernance d'un systme d'information
La clef de la gouvernance est le Contrle permettant d'atteindre des objectifs.
-
7/30/2019 Le COBIT - Ltat de lArt
7/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel6
Le
COBIT:Socle
de
la
gouvernanced
esSI
III DEFINITION
Qu'est-ce que le COBIT ?
Le fonctionnement de la majorit des grandes entreprises, aujourd'hui, reposecompltement sur le traitement de l'information. Cest dans un souci de transparence desinformations que les SI se sont dvelopps et que leur contrle est devenuincontournable. Il est vital, pour leur avenir, que leur systme d'information soit encohrence avec les objectifs et la stratgie globale de l'entreprise. Les dirigeantssouhaitent finalement que les SI apportent de la valeur et de la performance danslorganisation.
Le COBIT (Control Objectives for Business Information and related Technology, soit enfranais Control des objectifs des technologies de linformation), dvelopp en 1994 (etpubli en 1996) par l'ISACA (The Information System Audit and Control Association) estun outil puissant qui a t conu pour uvrer dans ce sens.
Il est noter que lISACA, cr en 1967, est reprsent en France depuis 1982 par l'AFAI(Association Franaise de lAudit et du conseil Informatique).
Le COBIT est un rfrentiel de gouvernance des systmes d'information qui dcomposetout systme informatique en 34 processus, lesquels sont rpartis en quatre domainesfonctionnels :
planning et organisation (Planning and Organization) (10 processus). acquisition et mise en place (Acquire and implement) (7 processus). fourniture du service et support (Deliver and Support) (13 processus). surveillance (Monitor) (4 processus).
Ces 4 domaines permettent de couvrir 318 objectifs.
Ce rfrentiel s'adresse majoritairement deux grandes catgories d'acteurs :
les auditeurs et consultants, les responsables des systmes d'information.
La direction gnrale ainsi que les diverses directions mtiers sont bien videmment
concernes dans la mise en place et lutilisation de COBIT.
Nous pouvons reprsenter de manire simplifie le COBIT de la manire suivante :
Planning et organisation Acquisition et mise en place Fourniture du service et support
Surveillance
-
7/30/2019 Le COBIT - Ltat de lArt
8/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel7
Le
COBIT:Socle
de
la
gouvernanced
esSI
Pour tre plus prcis, voici une reprsentation dtaille de COBIT :
Chaque processus
met en uvre des ressources informatiques (applications, informations,infrastructures et personnes au sens comptences),
fournit une information destine satisfaire les besoins mtiers exprims sousformes de critres (efficacit, efficience, confidentialit, intgrit, disponibilit,conformit, fiabilit)
concerne un ou plusieurs des domaines de la gouvernance des SI (alignementstratgique, apport de valeur, gestion des risques, gestion des ressources,mesure de la performance).
En conclusion, la dfinition de COBIT est :
COBIT est une mthodologie dvaluation des services informatiques au sein delentreprise. Cette dmarche s'appuie sur un rfrentiel de 34 processus (bonnespratiques collectes auprs d'experts SI) et sur des indicateurs d'objectifs (KGI) et deperformance (KPI) permettant de mettre les processus sous contrle afin de disposer desdonnes permettant l'entreprise d'atteindre ses objectifs (alignement des technologiessur la stratgie de lentreprise).
C'est un cadre de contrle qui vise aider le management grer les risques (scurit,fiabilit, conformit) et les investissements.
Il ne fournit pas dindications ou de recommandations caractre technique (choixtechnologiques, consolidation, gestion de crises). En dautres termes, COBIT se focalisesur ce que lentreprise a besoin de faire et non sur la faon dont elle doit le faire
Le COBIT a volu au fil des annes. La version actuelle est indic V4.0.
-
7/30/2019 Le COBIT - Ltat de lArt
9/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel8
Le
COBIT:Socle
de
la
gouvernanced
esSI
IV LES OBJECTIFS DU COBIT
Le COBIT tabli des objectifs concernant les informations que doivent contenir et fournir
un systme d'information performant.Ces objectifs sont les suivants (7) :
L'efficacit, L'efficience, La confidentialit, L'intgrit, La disponibilit, La conformit, La fiabilit.
Pour atteindre ces objectifs, le systme d'information dispose et pourra utiliser lesressources suivantes (5) :
Les comptences, Les applications, Les technologies, Le facility management , Les donnes.
Comme nous lavons prcis prcdemment, le COBIT a dfini 34 processus rpartis en 4domaines en vue de grer ces diverses ressources et atteindre lensemble de ces
objectifs. De manire simplifi, le COBIT est un rfrentiel pour la gouvernance destechnologies de l'Information avec un objectif de contrle et d'audit vis vis de l'impactde l'utilisation de ces technologies dans l'entreprise et des risques qui y sont lis.
-
7/30/2019 Le COBIT - Ltat de lArt
10/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel9
Le
COBIT:Socle
de
la
gouvernanced
esSI
Les objectifs et les ressources permettent, une fois combins, de mettre en
valeur une cartographie de la gestion du systme dinformation (formaliser les
objectifs fixs et les contrler).
Il est en effet possible de reprsenter dans un tableau la fois :
les processus dun domaine choisi, les objectifs ainsi que les ressources.
L'impact du processus sur le critre d'information peut tre Primaire, Secondaire, ouvide.
Les processus ont une responsabilit plus ou moins importante dans la gestion desressources. Le lien entre les processus et les ressources ne mesure pas le niveaud'utilisation, mais le niveau de management de la ressource par le processus COBIT.
Le tableau obtenu serait de la forme :
-
7/30/2019 Le COBIT - Ltat de lArt
11/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel10
Le
COBIT:Socle
de
la
gouvernanced
esSI
V LES DOMAINES DU COBIT
Pour rappel, le COBIT est un rfrentiel de gouvernance des systmes d'information qui
dcompose tout systme informatique en 34 processus, lesquels sont rpartis en quatredomaines fonctionnels :
planning et organisation (Planning and Organization) (10 processus).Comment utiliser au mieux les technologies afin que l'entreprise atteigne sesobjectifs ?
o Choix de la stratgie permettant d'identifier les meilleures solutionsinformatiques pour permettre d'atteindre des objectifs mtiers.
o Mise en place de la stratgie, planification, communication et gestion. acquisition et mise en place (Acquire and implement) (7 processus).Comment dfinir, acqurir et mettre en uvre les technologies ncessaires en
adquation avec les business processus de l'entreprise ?
o Cration ou achat de solutions informatiques leur intgration aux processusmtiers.
o Gestion du changement et de la maintenance. fourniture du service et support (Deliver and Support) (13 processus).
Comment garantir l'efficacit, l'efficience des systmes technologiques en action ?
o Fourniture des services mtiers,o Scurisation, disponibilit des services.
surveillance (Monitor) (4 processus).Comment s'assurer que la solution mise en uvre corresponde bien aux besoinsde l'entreprise dans une perspective stratgique ?
o Mesure de la qualit des processus,o Mesure de l'atteinte des objectifs des processus,o Contrle et amlioration de l'organisation et des processus.
Les domaines COBIT
-
7/30/2019 Le COBIT - Ltat de lArt
12/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel11
Le
COBIT:Socle
de
la
gouvernanced
esSI
VI LE COBIT POUR L'AUDITEUR INFORMATIQUE
A la base, le COBIT a t dvelopp par des auditeurs informatiques. Cest ainsi que leCOBIT est utilis pour mener tout type d'audit autour du systme d'information. Ilsappuie en effet sur une liste de 318 objectifs de contrle permettant l'auditeur decadrer ses tudes.
Il est recommand lauditeur de rechercher un complment dinformation dans dautresrfrentiels comme ITIL en ce qui concerne la production, ou CMMI en ce qui concerne lagestion de projets.
Il est important de prciser que le rfrentiel d'audit et de contrle tabli, et notammentla liste des objectifs de contrle, est trs comprhensible et accessible. En effet, un
auditeur non informaticien est capable de mener de manire professionnelle, un auditdun systme dinformation.
-
7/30/2019 Le COBIT - Ltat de lArt
13/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel12
Le
COBIT:Socle
de
la
gouvernanced
esSI
VII - COMMENT EST UTILISE LE COBIT
Le principe :
COBIT ne distingue pas la grande entreprise de la petite entreprise. Il ne tient pascompte non plus du secteur dactivit auquel lentreprise appartient. Une PME ne pourracertainement pas faire tout ce que COBIT prescrit. Une entreprise industrielle na pas lesmmes besoins quune entreprise de services.
Il faudra donc dans chaque cas slectionner dans COBIT les lments retenir .Il est dailleurs prcis que COBIT est illustratif et non exhaustif : il fournit une basedexpertise dans laquelle chaque entreprise devra slectionner ce qui correspond sespriorits.
En conclusion, lutilisation de COBIT permet de distinguer trois tapes :
Dfinition des objectifs, Dtermination et gestion des ressources, Gestion des processus.
Lors des audits :
A partir du rfrentiel gnral, COBIT donne une liste dtaille de 318 objectifs decontrle qui permettent l'auditeur de cadrer son investigation.
COBIT est utilis comme une base solide de points de contrles, il aide la slection deszones critiques et leur valuation.
Mme s'il est parfois ncessaire de le complter en fonction des spcificits du sujet(pour un audit de scurit il conviendra par exemple d'ajouter les aspects propres auxdispositifs de scurit existants. Il en sera dailleurs de mme pour tout ce qui a trait audomaine lgal et rglementaire), COBIT permet de prendre en compte des points quin'auraient pas t voqus, faute d'y songer ou par manque de connaissance. Cest ainsique COBIT sert tablir les questions drouler lors des entretiens daudit.
Lors du pilotage des systmes dinformations :
Le COBIT sert aussi valuer les processus mis en place. Il permet de dfinir leur niveaude maturit.
Ci-aprs une reprsentation graphique des rsultats permettant une Direction Gnralede visualiser les points forts et les points faibles de son entreprise. On peut y dceler soitune certaine homognit des processus, soit au contraire des maillons faiblesncessitant une rvision de stratgie.
-
7/30/2019 Le COBIT - Ltat de lArt
14/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel13
Le
COBIT:Socle
de
la
gouvernanced
esSI
Le modle contient 5 niveaux de maturit:
NIVEAU NOM DESCRIPTION
0 INEXISTANT (Non-existent) Les processus de gestion ne sont pas appliqus. Lentreprise nest pas
consciente du besoin.
1 INITIAL (Initial) Les processus sont ad hoc et dsorganiss. Lentreprise commence tre
consciente du besoin mais rien nexiste pour la satisfaire.
2 REPETITIF (Repeatable) Les processus suivent un modle rptable. Lentreprise traite le besoin au
cas par cas, de faon informelle, en sappuyant sur les comptences de
quelques individus.
3 DEFINI (Defined) Les processus sont formaliss et communiqus. Les procdures ont t
standardises et documentes mais les responsabilits restent individuelles. Il
nexiste pas de reporting formel, ni de suivi de la qualit.
4 GERE ET MESURABLE
(Managed)
Les processus sont surveills et mesurs. Les responsabilits sont claires, la
qualit est suivie, les personnels sont forms, les outils sont automatiss.
5 OPTIMISE (Optimized) L'amlioration du processus est gre. Lentreprise est au niveau gr et
mesurable et en outre elle assure une veille afin de mettre jour ses
mthodes et de se tenir en permanence la pointe de ltat de lart.
-
7/30/2019 Le COBIT - Ltat de lArt
15/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel14
Le
COBIT:Socle
de
la
gouvernanced
esSI
Le modle de maturit permet de dfinir :
La situation actuelle de l'organisation, La situation des entreprises dans un domaine mtier quivalent, La stratgie d'amlioration de l'entreprise (ce vers quoi elle souhaite aller).
VIII LE COBIT : RAPPROCHEMENT ENTRE AUDIT INTERNE E T DSI
Pour la DSI (Direction des Systmes d'Information), le COBIT est frquemment utiliscomme un outil d'auto valuation. C'est un moyen pour elle de dmontrer sahirarchie, et ce de faon proactive, que son niveau de matrise des systmesd'information est relativement bon, sur tous les aspects relevant de sa responsabilit.
Quant aux auditeurs, ils peuvent valider la qualit de l'valuation l'aide de ce mmeoutil.
IX - CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI
Les entreprises qui ont opt pour les modles de processus bass sur COBIT :
possdent des processus plus simples et plus comprhensibles. ont une vision comprhensible par le management de ce que fait linformatique. possdent des processus prouvant la valeur ajoute des systmes dinformation. ont un meilleur alignement de linformatique sur lactivit de lentreprise du fait de
lorientation mtier. ont une attribution claire des responsabilits du fait de lapproche par processus. sont aides dans leurs dcisions, leurs choix et leurs investissements (bnfique
lentreprise) peuvent laborer partir du standard COBIT leurs propres standards afin dtre
encore plus en phase avec les objectifs de lentreprise en terme de systmesdinformation.
peuvent sauto valuer : par des audits et en valuant la maturit de leursprocessus
peuvent se comparer dautres entreprises ayant un mme domaine mtier grce lvaluation de la maturit des processus.
ne sont pas impactes par les spcificits culturelles, les avances technologiques.Ces facteurs ne semblent pas limiter l'adquation de COBIT pour l'alignement dessystmes d'information aux objectifs stratgiques de l'entreprise.
-
7/30/2019 Le COBIT - Ltat de lArt
16/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel15
Le
COBIT:Socle
de
la
gouvernanced
esSI
X - PRESENTATION DES 34 PROCESSUS
A LA PLANIFICATION & LORGANISATION
Ce domaine couvre la stratgie et les tactiques et concerne lidentification des moyenspermettant linformatique de contribuer le plus efficacement la ralisation desobjectifs commerciaux de lentreprise.
Au sein de ce domaine, on cherche savoir comment utiliser les technologies afin quelentreprise atteigne ses objectifs.
Il comporte 10 processus :
Dfinir un plan stratgique pour le SILa dfinition du plan stratgique doit amliorer la comprhension des apports et deslimites du SI, conforter la performance et mettre en vidence le niveau desinvestissements requis. On doit retrouver dans ce plan la stratgie et les priorits delentreprise. Il est important que ce plan soit accept par le personnel informatique et lesmtiers. Lexploitation du SI doit faire lobjet de SLA (service level agreements).
Dfinir larchitecture en informationIl sagit de ce que lon appel administration des donnes : construire et partager des
rfrentiels de qualit. Dterminer lvolution technique
Il sagit de dfinir la plate-forme informatique par une veille technologique constante etun dialogue entre la DSI et les mtiers utilisateurs.
Dfinir les processus et lorganisation du SIIl sagit dorganiser et de superviser la DSI, de grer ses ressources humaines (y comprisles ressources que lui procurent les fournisseurs), de grer ses relations avec les autresmtiers de lentreprise.
Grer les investissements en SILes notions traites ce niveau concernent les cots, la rentabilit, le retour surinvestissement
Communiquer les buts et orientations de la directionIl sagit de faire connatre les objectifs de lentreprise et du SI.
Grer les ressources humaines du SICOBIT suggre de rduire la dpendance par rapport des individus cls (comptencescritiques) et de limiter le turn-over.
-
7/30/2019 Le COBIT - Ltat de lArt
17/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel16
Le
COBIT:Socle
de
la
gouvernanced
esSI
Grer la qualitIl sagit de la qualit du SI (et non de celle des processus de production de lentreprise).
Evaluer et grer les risques du SIIl faut identifier tous les vnements qui peuvent avoir des consquences (ngatives oupositives) sur le fonctionnement de lentreprise : production, rglementation,partenariats, ressources humaines Il faut anticiper la rponse aux incidents, et grer unplan daction.
Grer les projetsIl sagit tout dabord de la slection des projets retenir (priorisation).
Il sagit ensuite de prendre en compte, dans la gestion de projet proprement dite,limplication les parties prenantes, linterdpendance entre projets, les changements quisurviennent dans la dfinition du projet (cot, calendrier, contenu et qualit).
-
7/30/2019 Le COBIT - Ltat de lArt
18/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel17
Le
COBIT:Socle
de
la
gouvernanced
esSI
B LACQUISITION & LINSTALLATION
Ce domaine concerne la ralisation de la stratgie informatique, lidentification,
lacquisition, le dveloppement et linstallation des solutions informatiques et leurintgration dans les processus commerciaux.
Au sein de ce domaine, COBIT cherche dfinir, acqurir et mettre en uvre destechnologies en les alignant avec les processus mtiers de lentreprise.
Il comporte 7 processus :
Dfinir les solutions automatisesIl sagit dquiper les agents oprationnels en outils automatiques et de fournir desindicateurs de contrle aux managers oprationnels. Il faut trouver des solutions
ralisables et conomiques : cela suppose le recours des tudes de faisabilit.
Acqurir et entretenir les logiciels applicatifsIl sagit de rdiger les spcifications (gnrales, dtailles et techniques), de dfinir leshabilitations et rgles de scurit, dintgrer les acquisitions sur la plate-forme delentreprise, de raliser ou faire raliser les logiciels spcifiques, dassurer le suivi de laralisation et des modifications des exigences, de mettre en place la gestion deconfiguration et la maintenance.
Acqurir et entretenir la plate-forme techniqueIl sagit de fournir lentreprise une plate-forme matrielle et logicielle convenable enregard des besoins des applications et de ltat de lart technique. Cette plate-forme doitpouvoir satisfaire les besoins applicatifs connus et elle devra satisfaire les besoins futurs.Elle doit tre convenablement dimensionne (taille des processeurs et des mmoires,dbit des rseaux) et mettre en uvre des solutions darchitecture bien choisies. Il fautquelle soit convenable sur un plan qualitatif comme quantitatif.
Elle doit comporter les outils de contrle et de scurit et les responsabilits doiventavoir t dfinies. Son entretien doit tre assur. Elle doit comporter un environnementpour tester les modifications qui lui sont apportes. Elle doit tre quipe dune gestionde configuration.
Permettre l'exploitation et l'utilisationIl sagit dans ce processus de documenter les applications sur les aspects techniques,oprationnels et de niveaux de service.
Grer les achatsIl sagit dquiper le SI dune direction des achats. Elle y appliquera la politique delentreprise en matire dachats, grera les contrats avec les fournisseurs, les droits deproprits sur le logiciel et contrlera la qualit des fournitures (dveloppements etinfrastructure).
-
7/30/2019 Le COBIT - Ltat de lArt
19/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel18
Le
COBIT:Socle
de
la
gouvernanced
esSI
Grer les volutionsIl sagit de la gestion des volutions du SI interne la DSI. Il sagit de documenter,autoriser, suivre et faire connatre les changements techniques.
Installer et recetter les solutions et les changementsCe processus concerne les oprations de recette, dessai sur site pilote et de dploiementdun nouveau produit.
Un plan de test est obligatoire pour mener bien ce processus.
-
7/30/2019 Le COBIT - Ltat de lArt
20/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel19
Le
COBIT:Socle
de
la
gouvernanced
esSI
C LA LIVRAISON & LE SUPPORT
Ce domaine concerne la livraison des prestations informatiques exiges, ce qui comprend
lexploitation, la scurit, les plans durgence et la formation.Au sein de ce domaine, COBIT a pour objectif de garantir lefficacit et lefficience dessystmes technologiques en action.
Il comporte 13 processus :
Dfinir et grer les niveaux de serviceCe processus concerne la qualit du service rendu aux utilisateurs, les service levelagreements .
Le SLA doit tre dfini en fonction des exigences et associ un OLA ( operating levelagreement) qui prcise le niveau que doivent atteindre les services techniques en vuede rpondre aux SLA (dbit des rseaux, dimension des mmoires).
Grer les services fournis par lextrieurIl sagit de documenter les relations avec les fournisseurs, de grer les risques(confidentialit, prennit du fournisseur et du produit, pnalits...) et de mettre enuvre un suivi de la performance des fournisseurs.
Grer les performancesIl sagit dtre en mesure de fournir la charge de travail anticipe, de minimiser le risquede blocage, de grer la pnurie en cas de sous-capacit (prioriser les tches, allocationde ressources). Toute panne doit faire lobjet dun rapport se concluant par desrecommandations.
Assurer la continuit du serviceIl sagit dassurer une exploitation en continu minimisant le risque de panne sur lesfonctions cruciales. (Gestion de crise en cas dincident, solutions de repli)
Assurer la scurit du SIUne quipe doit tre ddie au sein de la DSI la scurit. Elle met en uvre un plan descurit, dfinit la gestion des identifications et habilitations, dtecte les attaques,documente les incidents, assure le chiffrement, met en uvre les protections antivirus,firewalls Elle protge les donnes sensibles.
Identifier et imputer les cotsIl sagit dvaluer le cot du SI et de limputer aux utilisateurs (refacturation).
-
7/30/2019 Le COBIT - Ltat de lArt
21/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel20
Le
COBIT:Socle
de
la
gouvernanced
esSI
Former et entraner les utilisateursIl sagit de former le personnel en tenant compte des besoins de lentreprise, de sesvaleurs, du contenu du SI (infrastructure et applications), des besoins de comptences etdes mthodes de formation (cours magistral, Intranet).
Grer les incidents et le service deskIl sagit de fournir un dpannage en cas dincident. Le service desk reoit les appelstlphoniques et les oriente vers lquipe comptente. Il assure la traabilit de larponse lincident.
Grer la configurationIl faut tablir un rfrentiel du matriel, du logiciel, des paramtres, de ladocumentation, comportant des identifiants, des numros de version, des dtails sur leslicences Ce rfrentiel doit tre jour (toujours exacte) et tre utilis pour prvenir la
mise en place de logiciels non autoriss.
Grer les problmesTraiter un problme, cela suppose que lon ait su dtecter des incidents rpts et quelon ait pu en consquence amliorer le fonctionnement de lentreprise.
Grer les donnesIl ne sagit pas de ladministration des donnes mais de la gestion physique desdonnes : back-up et restauration des donnes, disponibilit, dispositifs de saisie ettraitements, scurit
Grer lenvironnement physiqueIl sagit de la gestion des locaux, des accs (primtre de scurit), de lalimentationlectrique et tlcoms, des risques divers (tempte).
Grer lexploitationIl sagit de lorganisation mise en place entre les acteurs (passage des consignes dunequipe la suivante), la supervision de la plate-forme,
-
7/30/2019 Le COBIT - Ltat de lArt
22/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel21
Le
COBIT:Socle
de
la
gouvernanced
esSI
D LE MONITORING
Permet au management dvaluer la qualit et la conformit des processus informatiques
aux exigences de contrle.Au sein de ce domaine, COBIT cherche vrifier si la solution mise en place est enadquation avec les besoins de lentreprise dans une vision stratgique.
Ce domaine comporte 4 processus :
Suivre et valuer la performance du SIIl sagit de dfinir des indicateurs de performance du SI (cot, rentabilit, niveau deservice, alignement stratgique) et dagir si lon constate des drapages.
Suivre et valuer le contrle interne
Il sagit de dfinir un contrle interne au SI puis de rendre compte de son efficacit. Il estconseill de faire des benchmarks, de faire procder des audits externes, de faireporter le contrle galement sur les fournisseurs, de dfinir et mettre en uvre lesactions pour remdier aux dfauts constats.
Assurer la conformit la rglementationLe SI doit tre conforme la rglementation notamment dans les domaines ducommerce lectronique, des changes de donnes, de la confidentialit, du contrleinterne, du reporting financier, de la proprit intellectuelle, de lhygine et de la
scurit, et des rgulations spcifiques au secteur dactivit.
Assurer la gouvernance du SIIl sagit de dfinir les structures de lorganisation, les processus, les pouvoirs de dcision,les rles et responsabilits de faon pouvoir sassurer que le SI est conforme auxpriorits et la stratgie de lentreprise. Il est conseill de faire appel un auditeurexterne pour valider cette organisation.
-
7/30/2019 Le COBIT - Ltat de lArt
23/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel22
Le
COBIT:Socle
de
la
gouvernanced
esSI
XI LES PERSPECTIVES
En 2006, l'AFAI, le CIGREF et INEUMConsulting ont ralis une enqute sur la maturitdes entreprises franaises vis--vis de lIT Gouvernance. Il en est rsult que 75% desrponses taient infrieures 2,5 / 6 ce qui correspond un dbut de formalisation.
Il est indniable que des marges de progression importantes sont envisageables
dans les annes venir.
-
7/30/2019 Le COBIT - Ltat de lArt
24/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel23
Le
COBIT:Socle
de
la
gouvernanced
esSI
XII - CONCLUSION
Vous vous demandez probablement en quoi ce sujet se rapproche des normes. Jaivolontairement vit de faire rfrence aux normes durant cette prsentation de COBITet ce pour chacune des diffrentes parties traites. Je souhaitais conclure en faisant unparallle entre COBIT et les normes.
COBIT peut tre assimil ou tout au moins rapproch des normes car :
- Il a une approche structurante : dcomposition de tout systme informatique en 4domaines, 34 processus et 318 objectifs.
- Il a une couverture dutilisation internationale.- COBIT est un outil fdrateur qui permet dinstaurer un langage commun pour
parler de la gouvernance des SI.
- COBIT est capable de sintgrer dautres rfrentiels tels quISO9000, ITIL,COSO En dautres termes, dans le cadre dune approche qualit de typeISO9000, trs oriente processus, COBIT se rvle tre un outil prcieux.
- L'ISO 27000 et ITIL peuvent tre considrs comme des mises en application duCOBIT dans le domaine du service IT et de la scurit.
- On constate que la dmarche est digne dune mthodologie, continuellementdocumente et dveloppe par les experts en systmes dinformation.
Jespre sincrement que ce dossier pourra tre utile dautres personnes. Il sera mis disposition sur mon site personnel comme dautres supports de cours.(http://home.nordnet.fr/~ericleleu).
-
7/30/2019 Le COBIT - Ltat de lArt
25/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel24
Le
COBIT:Socle
de
la
gouvernanced
esSI
LES REFERENCES : BIBLIOGRAPHIE / WEBOGRAPHIE
De nombreuses informations ont t trouves sur Internet. La liste des sites visitscourant Dcembre 2008 et Janvier 2009 sont :
- http://www.delvaux-conseil.com/JPDelvaux_Integration2005.ppt- http://www.univ-angers.fr/docs/etudquassi/COBIT.pdf- http://www.aud-it.ch/cobit.htm- http://fr.wikipedia.org/wiki/Cobit- http://www.afai.asso.fr- http://cigref.typepad.fr/itgifrance/files/place_gouvernance_SI_dans_gouvernance_generale.pdf- http://www.guideinformatique.com/fiche-cobit-741.htm
- http://www.piloter.org/gouvernance/COBIT_gouvernance_SI.htm- http://www.commentcamarche.net/contents/qualite/cobit.php3- http://www.btcweb.com/btc/fr/services/organisation/cobit/index.html- http://www.volle.com/travaux/cobit.htm- http://www.volle.com/travaux/cobitimp.htm- http://www.bonneaud.net/cobit/- http://www.numeraladvance.com/Role_des_Normes/Normes_pour_SI/COBIT/Le_COBIT.htm
-
7/30/2019 Le COBIT - Ltat de lArt
26/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel25
Le
COBIT:Socle
de
la
gouvernanced
esSI
LE GLOSSAIRE
AUDIT : Processus systmatique, indpendant et document permettant de recueillir desinformations objectives pour dterminer dans quelle mesure les lments du systmecible satisfont aux exigences des rfrentiels du domaine concern.
BENCHMARK : En informatique, un benchmark est un banc d'essai permettant demesurer les performances d'un systme pour le comparer d'autres.
CMMI : (Capability Maturity Model & Integration) - est un modle de rfrence, unensemble structur de bonnes pratiques, destin apprhender, valuer et amliorer lesactivits des entreprises d'ingnierie. Il est largement employ par les entreprisesd'ingnierie informatique, les DSI et les industriels pour valuer et amliorer leurs
propres dveloppements de produits.
COBIT : Control Objectives for Business Information and related Technology, soit enfranais Control des objectifs des technologies de linformation.
COSO : COSO est lacronyme abrg de Committee Of Sponsoring Organizations of theTread way Commission. Il s'agit d'une commission qui a un but non lucratif et qui a tablien 1992 une dfinition standard du contrle interne et cr un cadre pour valuer sonefficacit.
DSI : Direction des Services Informatiques
EFFICIENCE : Lefficience dsigne le fait de raliser un objectif avec le minimum demoyens engags possibles
FACILITY MANAGEMENT : Le Facility Management consiste en une gestion globale desfonctions support de l'entreprise (services gnraux) par des prestataires de servicestiers spcialiss. La problmatique principale du Facility Management est d'amliorer laqualit des prestations dans le cadre d'une rduction des couts.
ISO 9000 : ISO 9000 dsigne un ensemble de normes relatives la gestion de la qualitpublies par l'Organisation internationale de normalisation (ISO).
ISO 27000 : ISO/CEI 27000 est le nom rserv pour un nouveau standard de scuritde l'information publi conjointement par l'Organisation internationale de normalisation(ISO) et la Commission lectrotechnique internationale (CEI, ou IEC en anglais), faisantpartie de la suite ISO/CEI 27000.
IT (TI en franais) : Information Technology , soit Technologie des systmesdinformations.
ITIL : ITIL (Information Technology Infrastructure Library, soit en franais "Bibliothquepour l'infrastructure des technologies de l'information") est un ensemble d'ouvragesrecensant les bonnes pratiques ("best practices") pour la gestion des services
informatiques.
-
7/30/2019 Le COBIT - Ltat de lArt
27/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel26
Le
COBIT:Socle
de
la
gouvernanced
esSI
OLA : Operating level agreements - Dfinit les relations qui existent entre lesdiffrents groupes support. L'accord dcrit entre autre les responsabilits et les tchesoprationnelles qui incombent chacun des groupes supports.
SERVICE DESK : En informatique, le support technique est l'assistance donne par un
tlassistant, ou un service, un utilisateur pour l'aider rsoudre un problme logiciel(software) ou matriel (hardware), ou simplement pour lui donner une information dont ila besoin. Dans le langage ITIL, on parle de centre de services.
SI : Systme dinformations
SLA : Service level agreements - Document qui dfinit la qualit de service requiseentre un prestataire et un client. Il s'agit d'un contrat dans lequel on formalise la qualitdu service attendu.
STRATEGIE : C'est l'art de diriger et de coordonner des actions pour atteindre unobjectif. La stratgie a un objectif global et plus long terme.
TACTIQUE : L'art d'utiliser de manire optimale les modes opratoires et les moyensdont on dispose, pour emporter un gain ou une dcision. L'enjeu est local et limit dansle temps.
-
7/30/2019 Le COBIT - Ltat de lArt
28/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel27
Le
COBIT:Socle
de
la
gouvernanced
esSI
LES ANNEXES
LISTE DES PROCESSUS DU COBIT EN FRANAIS
Planification et organisation
PO1 - Dfinir un plan informatique stratgique PO2 - Dfinir l'architecture de l'information PO3 - Dterminer l'orientation technologique PO4 - Dfinir l'organisation et les relations de travail PO5 - Grer l'investissement informatique PO6 - Faire connatre les buts et les orientations du management PO7 - Grer les ressources humaines PO8 - Se conformer aux exigences externes PO9 - valuer les risques PO10 - Grer les projets PO11 - Grer la qualit
Acquisition et mise en place
AMP1 - Trouver des solutions informatiques AMP2 - Acqurir des applications et en assurer la maintenance AMP3 - Acqurir une infrastructure et en assurer la maintenance AMP4 - Dvelopper les procdures et en assurer la maintenance AMP5 - Installer les systmes et les valider AMP6 - Grer les changements
Distribution et support
DS1 - Dfinir et grer des niveaux de service DS2 - Grer des services tiers DS3 - Grer la performance et la capacit DS4 - Assurer un service continu DS5 - Assurer la scurit des systmes DS6 - Identifier et imputer les cots DS7 - Instruire et former les utilisateurs DS8 - Assister et conseiller les clients DS9 - Grer la configuration DS10 - Grer les problmes et les incidents DS11 - Grer les donnes DS12 - Grer les installations DS13 - Grer l'exploitation
-
7/30/2019 Le COBIT - Ltat de lArt
29/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel28
Le
COBIT:Socle
de
la
gouvernanced
esSI
Surveillance
S1 - Surveiller les processus S2 - valuer l'adquation du contrle interne S3 - Acqurir une assurance indpendante S4 - Disposer d'un audit indpendant
-
7/30/2019 Le COBIT - Ltat de lArt
30/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel29
Le
COBIT:Socle
de
la
gouvernanced
esSI
LISTE DES PROCESSUS DU COBIT EN ANGLAIS
Planning & Organisation
PO1 - Define a strategic IT plan PO2 - Define the information architecture PO3 - Determine technological direction PO4 - Define the IT organisation and relationships PO5 - Manage the IT investment PO6 - Communicate management aims and direction PO7 - Manage human resources PO8 - Ensure compliance with external requirements PO9 - Assess risks PO10 - Manage projects PO11 - Manage quality
Acquisition & Implementation
AI1 - Identify automated solutions AI2 - Acquire and maintain application software AI3 - Acquire and maintain technology infrastructure AI4 - Develop and maintain procedures AI5 - Install and accredit systems AI6 - Manage changes
Delivery & Support
DS1 - Define and manage service levels DS2 - Manage third-party services DS3 - Manage performance and capacity DS4 - Ensure continuous service DS5 - Ensure systems security DS6 - Identify and allocate costs DS7 - Educate and train users DS8 - Assist and advise customers DS9 - Manage the configuration DS10 - Manage problems and incidents DS11 - Manage data DS12 - Manage facilities DS13 - Manage operations
-
7/30/2019 Le COBIT - Ltat de lArt
31/33
Dossier ralis par Eric LELEU
CNAM 2007 / 2008 - GLG102 Techniques et Normes pour la qualit du logiciel30
Le
COBIT:Socle
de
la
gouvernanced
esSI
Monitoring
M1 - Monitor the processes M2 - Assess internal control adequacy M3 - Obtain independent assurance M4 - Provide for independent audit
-
7/30/2019 Le COBIT - Ltat de lArt
32/33
Dossier ralis par Eric LELEU
CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualit du logiciel31
Le
COBIT:Socle
de
la
gouvernanced
esSI
EXEMPLE 1 DEFINIR LARCHITECTURE DE LINFORMATION
PLANIFICATION et ORGANISATION
PO2 Dfinir larchitecture de linformation
Objectif : Optimiser lorganisation des systmes informatiques
. Dveloppement plus rapide
dapplications
. Rduction du dlai de ralisation
des SI majeurs
. Rduction des redondances de
donnes. Interoprabilit entre systmes et
applications
. Nombre de modifications
dapplications entreprises pour se
raligner sur le modle de donnes
. Nombre dincidents dans les
applications dus aux incohrences du
modle de donnes. Quantit de travail refaire due
aux incohrences du modle de
donnes
. Dlai entre les modifications de
larchitecture de linformation et
celles apportes aux applications
. Il existe une fonction dadministration des donnes de lentreprise ayant une autorit suffisante pour administrer le
modle de donnes et les standards dinformations
. On a document, communiqu et appliqu les standards darchitecture de linformation
. Un modle de donnes refltant lactivit de lentreprise a t dfini et pilote larchitecture de linformation
Indicateurs
Cl de
performance
Indicateurs
cl dobjectif
Facteurs cl de succs
-
7/30/2019 Le COBIT - Ltat de lArt
33/33
Le
COBIT:Socle
de
la
gouvernanced
esSI
EXEMPLE 2 - GERER LES DONNEES
DISTRIBUTION SUPPORT
DS11 Grer les donnes
Objectif : Sassurer que les donnes restent compltes, exactes et valides au cours de leur traitement
. Rduction du nombre de donnes
dfectueuses comme redondance,
duplication et incohrence.
. Nombre de contrles automatiques
dintgrit des donnes lances
indpendamment des applications
. On utilise des outils efficaces de transfert de donnes dune plate-forme lautre sans perte dintgrit ni de fiabilit.
Indicateurs
Cl de
performance
Indicateurs
cl dobjectif
Facteurs cl de succs