Chap 3 Moisand

download Chap 3 Moisand

of 8

Transcript of Chap 3 Moisand

  • 8/8/2019 Chap 3 Moisand

    1/8

    Implmentation ISO 27

    Groupe Eyrolles 2010,ISBN : 978-2-212-12628-0

    Pour une meilleure gouvernancedes systmes d'information

    CobiT2 e d i t io n

    D O M I N I Q U EM O I S A N DFA B R I C EG A R N I E R D E L A B A R E Y R EPrface de B r u n o M n a r d , prsident du Cigref

  • 8/8/2019 Chap 3 Moisand

    2/8

    41

    Chapitre 3

    ApprhenderCobiT

    Le rfrentiel CobiT a suscit toute une srie de travaux et de publications.Dans les premires versions, V3 et antrieures, la publication principaletait le guide daudit. partir de la version 4, cest le guide de managementqui est devenu le principal ouvrage descriptif de CobiT.Dans ce chapitre, CobiT est dcrit en termes de structure gnrale etdapproche travers plusieurs points de vue : celui du guide de manage-ment pour CobiT V4.1, qui constitue le document de base, puis ceux dediverses ressources. En complment, il est utile de consulter priodi-quement le site http://www.isaca.org pour connatre les dernires publications

    proposes.La suite de cet ouvrage a pour vocation de fournir un guide de lecture pourtous ceux qui souhaitent mettre en uvre CobiT au sein de leur organisationinformatique.

    Description gnrale

    CobiT offre un cadre de rfrence de contrle structur des activits infor-matiques selon 34 processus rpartis en quatre domaines : Planier et Organiser (PO) ; Acqurir et Implmenter (AI) ; Dlivrer et Supporter (DS) ; Surveiller et valuer (SE).La gure 3-1 prsente les diffrents domaines et processus associs.

  • 8/8/2019 Chap 3 Moisand

    3/8

    Partie I CobiT et la gouvernance TI

    42

    Les composants de CobiT Les quatre domaines de CobiT regroupent des ensembles cohrents deprocessus. Le domaine PO reprsente la dimension stratgique de la gou-vernance des TI. Le domaine AI rassemble tous les processus qui impac-tent les ressources, de lacquisition limplmentation : on y trouve aussibien les projets que la mise en exploitation. Le domaine DS est consacraux services offerts aux clients de la DSI. Enn, le domaine SE couvre lar-gement la dimension de contrle, daudit et de surveillance de

    lensemble.

    Les processus de CobiT Pour chacun des 34 processus, CobiT en dcrit le primtre et lobjet pourensuite lister et dvelopper : les objectifs de contrle destins aux auditeurs informatiques, qui

    sont dtaills dans dautres publications ; un guide de management inscrit dans une logique de gouvernance des SI ; un modle de maturit propre chaque processus.

    Figure 3-1 : Organisation du rfrentiel CobiT

    Ressources

    Information

    Comptences Information Applications Infrastructure

    Efficacit Efficience Confidentialit Intgrit Disponibilit Conformit Fiabilit

    Objectifs mtier Objectifs de lagouvernance

    Cadre de rfrence gnral de CobiT

    Planifier et Organiser

    PO1 Dfinir un plan informatiquestratgique

    PO2 Dfinir larchitecture de linformationPO3 Dterminer lorientation technologiquePO4 Dfinir lorganisation,

    les relations de travailPO5 Grer linvestissement informatiquePO6 Faire connatre les buts et les

    orientations du managementPO7 Grer les ressources humainesPO8 Grer la qualitPO9 Evaluer les risquesPO10Grer les projets

    Acqurir et Implmenter

    AI1 Trouver des solutions informatiques AI2 Acqurir des applications et en

    assurer la maintenance AI3 Acqurir une infrastructure technique

    et en assurer la maintenance AI4 Faciliter le fonctionnement et

    lutilisation AI5 Acqurir des ressources

    informatiques AI6 Grer les changements AI7 Installer et valider les solutions et les

    modifications

    Dlivrer et Supporter DS1 Dfinir et grer les niveaux de

    servicesDS2 Grer les services tiersDS3 Grer la performance et la capacitDS4 Assurer un service continuDS5 Assurer la scurit des systmesDS6 Identifier et imputer les cotsDS7 Instruire et former les utilisateursDS8 Grer le service dassistance

    client et les incidentsDS9 Grer la configurationDS10 Grer les problmesDS11 Grer les donnesDS12 Grer lenvironnement physiqueDS13 Grer lexploitation

    Surveiller et Evaluer

    SE1 Surveiller et valuer la performancedes SI

    SE2 Surveiller et valuer le contrleinterne

    SE3 Sassurer de la conformitrglementaire

    SE4 Grer la gouvernance des SI

  • 8/8/2019 Chap 3 Moisand

    4/8

    Chapitre 3 Apprhender CobiT

    43

    Les critres dinformation

    Pour la gouvernance des TI, CobiT prend en compte une trs riche segmen-tation de linformation selon des critres prcis (efcacit, efcience, con-

    dentialit, intgrit, disponibilit, conformit et abilit). Ces critrescorrespondent aussi bien au point de vue dun auditeur qu celui dumanager : efcacit : la mesure par laquelle linformation contribue au rsultat

    des processus mtier par rapport aux objectifs xs ; efcience : la mesure par laquelle linformation contribue au rsultat

    des processus mtier au meilleur cot ; condentialit : la mesure par laquelle linformation est protge des

    accs non autoriss ;

    intgrit : la mesure par laquelle linformation correspond la ralitde la situation ;

    disponibilit : la mesure par laquelle linformation est disponible pourles destinataires en temps voulu ;

    conformit : la mesure par laquelle les processus sont en conformitavec les lois, les rglements et les contrats ;

    abilit : la mesure par laquelle linformation de pilotage est pertinente.

    Les ressources informatiques Cette dnomination regroupe les quatre classes suivantes : applications,informations, infrastructures et personnes. Application : les systmes automatiss et les procdures pour traiter

    linformation. Information : les donnes, comme entres ou sorties des systmes

    dinformation, quelle que soit leur forme. Infrastructure : les technologies et les installations qui permettent le

    traitement des applications.

    Personnes : les ressources humaines ncessaires pour organiser, planier,acqurir, dlivrer, supporter, surveiller et valuer les systmes dinformationet les services.

    Objectifs mtier et objectifs informatiques De faon globale, CobiT propose 17 objectifs mtier rpartis selon lesquatre axes dun BSC, savoir : perspective nancire, perspectiveclient, perspective interne la DSI et perspective future ou anticipation.Ces 17 objectifs mtier renvoient 28 objectifs informatiques, eux-mmes lis aux processus CobiT, un mme objectif informatique tant

  • 8/8/2019 Chap 3 Moisand

    5/8

    Partie I CobiT et la gouvernance TI

    44

    associ un ou plusieurs processus CobiT. Ainsi, CobiT offre une transi-tivit entre objectifs mtier et informatiques, processus et activits.Cette structuration permet dobtenir une sorte de synthse de la gouver-nance des SI.

    Les processus dans CobiT V4.1Chaque processus est dcrit sur quatre pages, ce qui correspond lapproche gnrale, laudit, le management du processus et le modle dematurit.

    Les objectifs de contrleLes objectifs de contrle sont dcrits en termes dattendus rsultant de lamise en uvre des processus. Des documents plus dtaills ( Guide dauditdes systmes dinformation Utilisation de CobiT, ou en version anglaise : IT Assu-rance Guide: Using CobiT) dclinent la structure de contrle des ns opra-tionnelles. Il apparat clairement que CobiT est un outil oprationnel pourles auditeurs qui y trouveront toute la matire ncessaire pour tablir desquestionnaires et des grilles dinvestigation.

    Le guide de management La page consacre au guide de management comprend un descriptif des

    entres-sorties du processus, un RACI avec rles et responsabilits asso-cis aux activits du processus, et enn, une proposition dindicateurs decontrle.

    Les activits CobiT distingue les objectifs de contrle (vision destine lauditeur) desactivits (vision management). Cette distinction peut surprendre car laliste des activits reprend certains objectifs de contrle dans ses intituls.Parfois, ces activits sont directement extraites de la description des

    objectifs de contrle. De plus, les activits sont listes mais non dcrites.Le lecteur doit donc faire leffort de dterminer dans la description desobjectifs de contrle ce qui relve de la description dactivit. Il devraitdcortiquer chaque objectif de contrle en tentant disoler linformationattache aux activits, aux instances/organisations, aux fonctions, auxdocuments/livrables et enn au contexte.Pour la mise en uvre de CobiT, partir des activits est intressant conditionde ne pas sy enfermer. Il vaut mieux prendre cette liste comme un pense-bte pour donner du corps une description personnalise en fonctionde lorganisation.

  • 8/8/2019 Chap 3 Moisand

    6/8

    Chapitre 3 Apprhender CobiT

    45

    Les responsabilits et fonctions dans CobiT (RACI )CobiT ne distingue pas moins de 19 parties prenantes ou fonctions pour lagouvernance des systmes dinformation. Chacune delles peut avoir un ouplusieurs rles pour chaque activit.

    1. RACI : en anglaisResponsible, Accoun- table, Consulted,Informed , traduit parResponsabilit, Auto-rit (celui qui est garant), Consult,Inform. Lautorit (A)dicte la politique qui sera applique

    par le responsable (R).

    On peut ainsi tre responsable ou garant, ou simplement consult ouinform, selon la situation. Ceci est dcrit dans un tableau crois activits/ fonctions.CobiT ne propose pas proprement parler une organisation, mais lesobjectifs de contrle font parfois rfrence des instances comme lecomit stratgique informatique ou le comit de pilotage informatiquedont les missions sont clairement nonces. L encore, le RACI1 est indi-catif. Selon la taille et lorganisation de la DSI, certaines fonctions gnriques peuvent tre plus ou moins structures en postes et

    emplois. Le RACI de CobiT est une base afner au cas par cas.

    Tableau 3-1 : Exemple de RACI (pocessus POI)

    ACTIVITS D G D F

    D i r e c t i o n m t i e r

    D S I

    P r o p r i t a i r e p r o c e s s u

    s m t i e r

    R e s p o n s a b

    l e e x p l o i t a t i o n

    R e s p o n s a b

    l e a r c h i t e c t u r e

    R e s p o n s a b l e

    d v e l o p p e m e n t s

    R e s p o n s a b l e a d m i n i s t r a t i f

    B u r e

    a u

    p r o j e t

    C o n f o r m i t , a u d i t

    , r i s q u

    e e t s c u r i t

    Lier objectifs mtier et objectifsinformatiques.

    C I A/R R C

    Identier les dpen-dances critiques et lesperformances actuelles.

    C C R A/R C C C C C C

    Construire un plan informatique strat-gique.

    A C C R I C C C C I C

    laborer des plans informatiques tactiques. C I A C C C C C R

    Analyser les portefeuilles de programmes et grer les portefeuilles de projetset de services.

    C I I A R R C R C C I

  • 8/8/2019 Chap 3 Moisand

    7/8

    Partie I CobiT et la gouvernance TI

    46

    Les objectifs et les indicateurs

    Chacun de cesbjectifs donne lieu

    ne mesure de perfor-ance qui permet de

    avoir si lobjectif est teint (lag indicator

    n anglais), ce quionstitue en mmemps le contextee lobjectif suivant ead indicator ).insi, lobjectif infor-atique sassurer

    ue les services infor-matiques sont capa-les de rsister destaques et den sur-

    monter les effets,ar exemple, sinscrit la fois dans unontexte (lead :

    nombre daccsauduleux) et savreesur par un rsul-t (lag : le nombreincidents informati-

    ues rels qui ont eun impact sur lacti-t de lentreprise).

    Pour chaque processus, on dtaille les objectifs et les mtriques associes.Un processus est considr comme pilot lorsque des objectifs lui ont tassigns et que des indicateurs ont t dnis pour atteindre les objectifs 1.Nul doute que cette construction garantisse la bonne gouvernance enreliant ainsi les diffrents indicateurs de lactivit lmentaire au mtier.Ceci tant, il faut disposer dun vrai systme dinformation de pilotagepour le mettre en uvre, ce qui correspond au stade ultime de la gouver-nance SI. Autant les objectifs de contrle nous semblent trs structurantset invariants, autant la partie guide de management est considrercomme un exemple mritant dtre contextualis, complt et personna-lis au cas par cas.

    Le modle de maturit CobiT propose un modle de maturit gnrique faisant lobjet dunedclinaison spcique pour chacun des 34 processus. Ainsi, la mise enuvre de chacun des 34 processus peut tre confronte des stades dumodle de maturit selon une chelle classique en la matire (voirgure 3-2). En se limitant cette description gnrique, on peut doncmesurer de faon globale la maturit de chaque processus et piloterleur amlioration.

    Figure 3-2 : Modle de maturit

    Les

    m m

  • 8/8/2019 Chap 3 Moisand

    8/8

    Chapitre 3 Apprhender CobiT

    47

    CobiT veut aller plus loin en groupant trois dimensions au modle de matu-rit, pour chacun des 34 processus. Il propose ainsi les dimensions suivantes : quoi : contrle (initialis, reproductible, dni, gr et optimis), stades

    de 0 5 ; combien : couverture en termes de primtre ; comment : capacit raliser les objectifs.

    1. Il y a au moins unecentaine de modlesde maturit dont unbon nombre servent des rfrentiels utili-ss en DSI. Le prcur-seur est celui du SEI

    ( Software Enginee- ring Institute) qui adonn le CMM (Capa- bility Maturity Model ) , conu pourvaluer la maturitdes organisations encharge du dveloppe-ment de logiciel. Engnral, un modlede maturit a cinqniveaux : inexistant,intuitif, dni, gr et mesurable, optimis.

    En tudiant la description du modle de maturit 1 par processus, il sembleque chaque stade caractrise un palier de mise en uvre en fonction deson primtre de dploiement au sein de lentreprise. Il peut ainsi y avoirconfusion entre le primtre spcique de dploiement dun processus(dimension combien ) et le stade de maturit gnrique quil a atteint,au sens du CMM (dimension contrle ).

    Pour un mme processus, il est ainsi possible de xer des objectifs diff-rents de progression de la maturit en fonction de ltat de maturitobserv sur plusieurs primtres de sa mise en uvre. Pour un mtier ouun systme donn, le processus peut tre valu au niveau 2 du modle dematurit alors que, pour dautres, il peut ltre au niveau 3. Selon les exi-gences mtier et la criticit de linformatique sur les mtiers de lentre-prise, la cible en termes de niveau de maturit peut tre diffrente.Dans le cas dun primtre dvaluation de la maturit globale selon CobiT(cest--dire tous les mtiers et tous les systmes), il serait donc rducteurde dire par exemple quun processus donn est globalement au niveau 2 si,selon les endroits o il est applicable, il se trouve au niveau 3, 4 ou 1.Le modle de maturit CobiT est conu pour offrir une grande exibilit lvaluateur en fonction de ses objectifs et des besoins damlioration. Il estadapt lactivit daudit du ou des processus considrs plutt qu uneactivit de mise en uvre dune dmarche CobiT globale dans lentreprise.En effet, il ny a aucune recommandation ni orientation quant la prioritou lordre de mise en uvre des processus. Les 34 processus du rfrentielCobiT ne sont pas prsents pour se loger dans un modle de maturittag avec une logique de mise en place progressive comme dans CMMI.

    En revanche, un ordre de mise en place des processus CobiT peut treenvisag mais, dans ce cas, il sera toujours spcique chaque entrepriseen fonction de ses exigences mtier et de ses objectifs informatiques. Cestdailleurs partir dune valuation initiale des 34 processus CobiT et selonles exigences mtier quil sera possible de dnir un plan de mise en place.Ce plan spciera, processus par processus, les diffrents niveaux dematurit atteindre en fonction des mtiers et de la criticit des systmesinformatiques associs. Nous navons donc pas repris, dans la suite de laprsentation des processus, les lments spciques des modles dematurit de CobiT.


Chap It Re 3

Chap It Re 3

3eme chap 3

3eme chap 3

Microbiologie chap 3...Microsoft PowerPoint - Microbiologie chap 3 Author Laurence Created Date 10/8/2016 7:54:39 PM ...

Microbiologie chap 3...Microsoft PowerPoint - Microbiologie chap 3 Author Laurence Created Date 10/8/2016 7:54:39 PM ...

Extraits Chap-3 Perf Ressources Humaines Autissier

Extraits Chap-3 Perf Ressources Humaines Autissier

Chap 3 Traduction Dun Modle EA-Relation

Chap 3 Traduction Dun Modle EA-Relation

Tunisie chap. 3.pdf

Tunisie chap. 3.pdf

BV3 chap 3

BV3 chap 3

Chap 3 1 Principes Generaux

Chap 3 1 Principes Generaux

Chap 3 - Les freins -ESSTT -++++pour ETU_4

Chap 3 - Les freins -ESSTT -++++pour ETU_4

Chap 3 - AOP

Chap 3 - AOP

Cours Chap 3

Cours Chap 3

Philosophie Rasta Chap.3

Philosophie Rasta Chap.3

Chap 3 StructFonction21!11!13

Chap 3 StructFonction21!11!13

MV - Chap 3

MV - Chap 3

Onduleurs Exercices CHAP 1 - physiquedehez.free.frphysiquedehez.free.fr/Files/Other/CRSA2/M2-2/CHAP 3/TCRSA-3-EXE... · Exercices Physique Appliquée PARTIE 3 : Onduleurs CHAP 1 :

Onduleurs Exercices CHAP 1 - physiquedehez.free.frphysiquedehez.free.fr/Files/Other/CRSA2/M2-2/CHAP 3/TCRSA-3-EXE... · Exercices Physique Appliquée PARTIE 3 : Onduleurs CHAP 1 :

Chap 3 Synthese Des Systemes Combinatoires

Chap 3 Synthese Des Systemes Combinatoires

Chap 3 : Topologie et analyse fonctionnelle · Chap 3: Topologie et analyse fonctionnelle Fiches de maths - MP* - - 1 Chap 3 : Topologie et analyse fonctionnelle Préliminaires :

Chap 3 : Topologie et analyse fonctionnelle · Chap 3: Topologie et analyse fonctionnelle Fiches de maths - MP* - - 1 Chap 3 : Topologie et analyse fonctionnelle Préliminaires :

2014 diapo chap 3 mondialisation

2014 diapo chap 3 mondialisation

Malin Vaud Chap 3

Malin Vaud Chap 3

2016 diapo chap 3 mondialisation-tes3

2016 diapo chap 3 mondialisation-tes3