LL’é’évolution rvolution réécente des rcente des rééfféérentiels rentiels

Jean-Louis BleicherRégis Delayat

7 Avril 2009

2

Plan

§ COBIT V4.1§ COBIT Quickstart V2§ Guide d’audit informatique COBIT§ Val IT§ Risk IT§ Le Guide pratique CIGREF/ IFACI

3

COBIT V4.1

4

§ Synthèse§ Cadre de Référence§ Objectifs de Contrôle§ Guide de Management§ Outils de Mise en Œuvre§ Guide d'Audit

Evolution de COBIT

§ Synthèse§ Cadre de Référence§ Noyau :

• Objectifs de Contrôle• Guide de Management• Modèle de maturité

§ Annexes

§ Guide de mise en œuvre de la gouvernance des SI 2ème édition

§ Guide d’audit des SI

V3 (2000) V4.1 (2007)

Indépendant des technologies

Intégrateur de 40 référentiels dont COSO, ITIL, CMMI

5

Surveiller Surveiller et Evalueret Evaluer

SE1 Surveiller et évaluer la performance des SISE2 Surveiller le contrôle interneSE3 S’assurer de la conformité réglementaireSE4 Mettre en place une gouvernance des SI

Acquérir et Acquérir et ImplémenterImplémenter

AMP1 Trouver des solutions informatiquesAMP2 Acquérir des applications et en assurer la maintenanceAMP3 Acquérir une infrastructure technique et en assurer la maintenanceAMP4 Faciliter le fonctionnement et l’utilisationAMP5 Acquérir les ressources informatiquesAMP6 Gérer les changementsAMP7 Installer et valider les solutions et les modifications

COBIT : fondements

• applications• informations• infrastructures• personnes

Ressources Informatiques

Information• efficacité• efficience• confidentialité• intégrité• disponibilité• conformité• fiabilité

Objectifs métiers

Planifier etPlanifier etOrganiserOrganiser

PO1 Définir un plan informatique stratégiquePO2 Définir l’architecture de l’informationPO3 Déterminer l’orientation technologiquePO4 Définir les processus, l’organisation et les relations de travailPO5 Gérer les investissements informatiquePO6 Faire connaître les buts et les orientations du managementPO7 Gérer les ressources humainesPO8 Gérer la qualité de l’informatiquePO9 Evaluer et gérer les risquesPO10 Gérer les projets

DS1 Définir et gérer les niveaux de serviceDS2 Gérer les services tiersDS3 Gérer la performance et la capacitéDS4 Assurer un service continuDS5 Assurer la sécurité des systèmesDS6 Identifier et imputer les coûtsDS7 Instruire et former les utilisateursDS8 Gérer le service d’assistance client et les incidentsDS9 Gérer la configurationDS10 Gérer les problèmes et les incidentsDS11 Gérer les donnéesDS12 Gérer l’environnement physiqueDS13 Gérer l’exploitation

Délivrer etDélivrer etSupporterSupporter

6

Les nouveautés de COBIT V4.1

§ Objectifs de contrôle • Orientés bonnes pratiques de management• Prise en compte de ValIT et révision des OC (V3 = 318,

V4=215, V4.1= 210)• Révision des contrôles applicatifs (6 au lieu de 18) tournés

vers l’évaluation de l’efficacité des contrôles

§ Guide de management• Ajout d’entrées/sorties au niveau des processus• Présentation des activités et responsabilités associées

(tableau RACI)• Métriques basées sur une déclinaison cohérente d’objectifs

métiers, informatiques, processus et activités

7

Exemple : DS5 Assurer la sécurité des systèmes

8

Quickstart V2

9

Les nouveautés de Quickstart V2.0

§ Version allégée de COBIT V4.1§ 4 domaines, 32 processus et 59 objectifs de contrôle

(30 processus 62 objectifs de contrôle dans QuickstartV1)

§ Bonnes pratiques de gestion revues et référencée par rapport aux activités COBIT V4.1

§ Intègre les tableaux RACI et une révision complète des objectifs et métriques

10

Guide d’audit

11

Les nouveautés du guide d’audit

• Basé sur COBIT V4.1 et entièrement refondu

• Guide d’audit détaillé des 34 processus COBIT et des applications - sur la base des 6 contrôles retenus par COBIT - (plus de 200 pages)

• Intègre une présentation détaillée des concepts d’audit des SI

12

Guide d’Audit : démarche d’audit COBIT

PLANIFICATION

CADRAGE

EXECUTION

• Définir le périmètre d'audit des SI.• Sélectionner un cadre de référence de contrôle des SI.• Procéder à la planification de l'audit des SI en fonction des risques.• Procéder à des évaluations de haut niveau.• Définir le cadre et les objectifs généraux du projet.

Objectifs métiersObjectifs informatiques

Principaux processus informatiques et ressources informatiquesPrincipaux objectifs de contrôle

Principaux objectifs de contrôle personnalisés

Affiner la compréhension

du domaine d'audit des SI

Affiner le champ d'action des principaux objectifs de

contrôle pour le domaine d'audit

des SI

Evaluer l'efficacité des

contrôles associés aux

principaux objectifs de

contrôle

En remplacement ou en complément,

évaluer le résultat des principaux objectifs de

contrôle

Evaluer l'impact de la faiblesse des contrôles

Formuler et communiquer l’ensemble des conclusions et

recommandations

PLANS D'AUDIT DES SI CHAM

P D'ACTION ET

OBJECTIFS DÉTAILLÉS

CONCLUSIO

N DE L'AUDIT

13

Plan du guide d’audit détaillé des processus

Procédures d’évaluation de l'impact des faiblesses de contrôle

Procédures d’évaluation du résultat des objectifs de contrôle

Procédures d’évaluation des contrôles

Objectifs de contrôle Enoncé des valeurs Enoncé des risques

14

Exemple DS5 Assurer la sécurité des systèmes (extrait)

15

Exemple DS5 Assurer la sécurité des systèmes (extrait)

16

17

3 domaines :

• Gouvernance de la valeur

• Gestion de portefeuille

• Gestion de l’investissement

22 processus

68 bonnes pratiques

VAL IT 2.0

Gestion de l’investissement

(GI)

Gestion de portefeuille

(GP)

Gouvernance de la valeur

(GV)

68 bonnes pratiques

25

22

21

18

Les nouveautés de VAL IT 2.0

§ Référentiel• Présentation alignée sur COBIT• Modèles de maturité au niveau de chaque domaine• Restructuration des processus qui passent de 15 à 22

§ Pratiques clés de gestion clés• Elles sont plus nombreuses et passent de 40 à 68

§ Guide de management• Nouveauté de cette version • Aligné sur celui de COBIT V4.1 avec quelques différences de

présentation des objectifs et métriques modèle

§ Suppression du business case ING

19

Exemple VG3 Définir les caractéristiques du portefeuille

20

21

Risk IT

3 domaines :

• Gouvernance du risque

• Appréciation du risque

• Traitement du risque

9 processus

47 bonnes pratiques

Présentation similaire à VAL IT, le modèle de maturité s’appliquant au domaine

22

Exemple RR2 Gérer les risques informatiques

23

Le contrôle interne du systèmed’information des organisations

24

Contrôle Interne : Du Cadre de RContrôle Interne : Du Cadre de Rééfféérence AMF au rence AMF au Guide OpGuide Opéérationnel rationnel CigrefCigref//IfaciIfaci

Cadre de Référence AMF Charte Cigref/Ifaci Le Contrôle Interne du SI : Guide opérationnel Cigref/Ifaci

2007Janvier

2007Janvier

2007Octobre

2007Octobre

2009Mars

2009Mars

25

5 principes clés du contrôle interne

1. Le management doit instaurer une culture et une dynamique du contrôle

2. Le contrôle interne doit être intégré dans les processus de l’entreprise

3. Les systèmes d’information jouent un rôle clé

4. Un principe de proportionnalité et granularité doit s’appliquer

5. Il faut être conscient de la non-exhaustivité et des limites du dispositif de contrôle

26

Le contrôle interne du systLe contrôle interne du systèème dme d’’information : information : Deux parties distinctes et complDeux parties distinctes et compléémentairesmentaires

27

Les processus de lLes processus de l’’entrepriseentreprise……et le Systet le Systèème me dd’’InformationInformation

28

Typologie des points de contrôleTypologie des points de contrôle

29

DDéémarche des travaux sur le contrôle interne marche des travaux sur le contrôle interne du systdu systèème dme d’’information de linformation de l’’entrepriseentreprise

30

Démarche des travaux sur le contrôle interne de la Direction des Systèmes d’Information

§ Principes• Utilisation des référentiels existantsè point de départ = COBIT

• Identification de 6 processus IT clés• Production d’un livrable concret, utile à la DSI et à

l’audit interne§ Pour chacun des processus étudiés

• Identification des risques et points de contrôle associés

• Proposition de bonnes pratiques issues de l’expérience et la connaissance des sociétés participantes

• Adaptation au contexte laissé à l’initiative de chaque entreprise

Synthèse du guide opérationnel Cigref/Ifaci

Achats

Contrôle Interne du SI

Contrôle Interne de l’Entreprise

Métiers IT (COBIT)

Ventes

Consolidation

Compétences

Projets

Maintenance &Changements

Incidents

Sécurité logique& Accès

Sous-traitance

Livrable

• Démarche

• Cartographie processus

• Processus• Etapes• Acteurs/RACI• Flow-chart• Risques• Exemples de contrôles• Bonnes pratiques

Périmètre

Processus de l’entreprise