DSCG UE5 COBIT

COBIT : Une démarche de pilotage des risques informatiquesLe COBIT (Control objectives for information and technology), initié par l'ISACA, a été conçu pour prendre en charge la gestion des risques liés au domaine informatique. (24/11/2004)

Les origines et objectifs de COBITLa nécessité d’avoir un cadre de référence en matière de sécurité et de contrôle des technologies de l'information a poussé l’ISACA (Information Systems Audit and Control Association) à créer la méthode COBIT en 1996. Cette méthode est diffusée en France par sa branche française l'AFAI (Association Française de l’Audit et du Conseil Informatique).

L’objectif était de faire le lien entre les risques métiers, les besoins de contrôle et les questions techniques en se basant sur les meilleures pratiques en audit informatique et SI.

Le COBIT se destine aussi bien au management (qui doit décider des investissements à effectuer pour assurer la sécurité et la maîtrise des TI, et les ajuster suivant les risques de l'environnement) qu’aux utilisateurs (sécurité, mise sous contrôle des services informatiques fournis). La méthode COBIT se veut le modèle de référence de la gouvernance des TI.

Récemment, et afin de faciliter l’évolution et la formalisation de la maîtrise des risques relatifs aux TI notamment dans le cadre de la loi Sarbane-Oxley, l’IT Governance Insitute (créé par l'ISACA en 1998) a lancé une version interactive en ligne de COBIT appelée COBIT Online.

Cette version permet de rechercher facilement les meilleures pratiques, modèles de maturité, indicateurs clés d’objectifs et de rendement, etc. dans une base regroupant plus de 300 objectifs détaillés. Elle permet d’aider les managers à justifier les risques liés à leur gestion informatique.

Les 5 parties de la méthode COBITLa synthèse est une présentation des concepts et principes de COBIT. Elle présente les domaines, les objectifs de contrôle généraux (aussi appelés processus) et le cadre de référence.C’est une introduction à la méthode elle-même. Elle donne une vision générale de ce qu’est la méthode COBIT.

Le cadre de référence se décline en check lists méthodiques couvrant 4 domaines, 34 objectifs de contrôle généraux (très synthétiques) et 302 objectifs de contrôle détaillés. Chacun de ces objectifs répond à 3 familles d’impératifs : économiques et fiduciaires, sécuritaire et qualité.

Le domaine Planification & Organisation : 11 objectifs couvrent tout ce qui concerne la stratégie et les tactiques. Ils identifient les moyens permettant à l’informatique de contribuer le plus efficacement à la réalisation des objectifs commerciaux de l’entreprise.

Le domaine Acquisition & Mise en place : 6 objectifs concernent la réalisation de la stratégie informatique, l’identification, l’acquisition, le développement, l’installation des solutions informatiques et leur intégration dans des processus commerciaux.

Le domaine Distribution & Support : 13 objectifs regroupent la livraison des prestations informatiques exigées (l’exploitation, la sécurité, les plans d’urgences et la formation).

Le domaine Surveillance : 4 objectifs permettent au management d’évaluer la qualité et la conformité des processus informatiques aux exigences de contrôle.

Le guide d’audit permet d’évaluer et de justifier les risques et les faiblesses des objectifs généraux et détaillés et de mettre en place des actions correctives. Ce guide d’audit répond à 4 principes : l’acquisition d’une bonne compréhension, l’évaluation des contrôles, la vérification de la conformité, la justification du risque de ne pas atteindre les objectifs de contrôle.

Le guide de management fournit des indicateurs clés d’objectif et de performance et des facteurs clés de succès. C’est aussi dans ce guide que l’on trouve le modèle de maturité. Il évalue l’atteinte d’un ou plusieurs objectifs généraux sous forme d’une échelle de 0 à 5 :0 : Inexistant1 : Existant mais non organisé (initialisé au cas par cas)2 : Décrit (reproductible mais intuitif)

1/5

DSCG UE5 COBIT

3 : Défini (avec documentation)4 : Surveillé et mesuré5 : Optimisé.

Les outils de la mise en œuvre contiennent une présentation de "success story" d’entreprises qui ont mis en place rapidement et avec succès la méthode COBIT. Cette partie intègre deux outils d’analyse de sensibilisation du management et de diagnostic de contrôle informatique.

Le COBIT est donc étroitement lié aux objectifs de l’entreprise tout en s’intéressant plus particulièrement à l’informatique. Il permet de rassurer le management, d’uniformiser les méthodes de travail et de garantir la sécurité et les contrôles de leurs services informatiques.

Exemple sur un objectif général appelé "AMP1 Identifier les solutions"Cet objectif général correspond au contrôle du processus informatique "trouver des solutions informatiques".

Objectifs de contrôle général :

Pour garantir une meilleure approche des besoins utilisateur, il faut trouver des solutions informatiques. Pour cela, il faut une comparaison des différentes possibilités offertes en réponse aux besoins utilisateurs suivant plusieurs critères :

- la connaissance des solutions disponibles sur le marché,- les méthodologies d'acquisition et de mise en place, - l'implication des utilisateurs et de l'approvisionnement, - l'alignement sur les stratégies de l'entreprise et de la fonction informatique etc.

Objectifs de contrôle détaillés rattachés à l'objectif "identifier les solutions" :

1. Définir des besoins d'information par la spécification des besoins fonctionnels et opérationnels de la solution envisagée en termes de performance, sécurité, fiabilité, compatibilité, et respect de la législation.2. Analyser et formuler des solutions alternatives susceptibles de satisfaire les demandes de l’entreprise concernant le nouveau système ou sa modification3. Formuler la stratégie d'achat dans le cadre d’un plan à court et long terme.4. …

L’audit des objectifs de contrôle généraux et détaillés passe par 4 étapes :

- Acquérir une bonne compréhension de l’objectifs concerné (interroger les acteurs concernés).- Evaluer les contrôles du processus.ex : vérifier que les politiques et les procédures existantes exigent que les logiciels du commerce qui peuvent satisfaire les besoins des utilisateurs soient identifiés avant le choix final.- Vérifier la conformité du processus.ex : s’assurer que toutes les faiblesses et insuffisances du système existant ont été identifiées et seront complètement traitées et résolues par le système proposé, qu’il soit nouveau ou modifié.- Justifier le risque de ne pas atteindre les objectifs de contrôle ex : faire une analyse comparative de l’identification des besoins utilisateurs satisfait par des solutions automatisées, par rapport à des entreprises similaires ou aux normes internationales appropriées/aux meilleures pratiques reconnues de la profession.

Guide du management :

- Des facteurs clés de succès (ex. : solutions disponibles sur le marché bien connues).- Des indicateurs clés d’objectif (ex. : nombre ou pourcentage de projets repris de zéro ou réorientés).- Des indicateurs clés de performance (ex. : délai entre la définition des besoins et l’identification de la solution).- Le modèle de maturité : le contrôle du processus informatique concerné peut être inexistant, initialisé au cas par cas, reproductible mais intuitif, défini, géré et mesurable, optimisé.

Guillaume Decalf

2/5

DSCG UE5 COBIT

Cobit 4.1 : socle de la Gouvernance des systèmes d'informationPour que l’informatique réponde correctement aux attentes de l’entreprise les dirigeants doivent mettre en place un système de contrôle ou de référence interne qui les guidera dans la gouvernance des SI.(09/04/2009)

Cobit est devenu l’intégrateur des meilleures pratiques en technologies de l’information et le référentiel général de la gouvernance des SI qui aide à comprendre et à gérer les risques et les bénéfices qui leur sont associés.

Les bonnes pratiques de Cobit sont le fruit d'un consensus d'experts. Elles sont très axées sur le contrôle au sens maîtrise et moins sur l'exécution. Elles ont pour but d'aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des métriques auxquelles se référer pour évaluer les dysfonctionnements. Cobit est en permanence tenu à jour et harmonisé avec les autres standards.

Cobit concerne différents types d'utilisateurs :- les directions générales : pour que l'investissement informatique produise de la valeur et pour trouver le bon équilibre entre risques et investissements en contrôles dans un environnement informatique souvent imprévisible,- les directions métiers : pour obtenir des assurances sur la gestion et le contrôle des services informatiques fournis en interne ou par des tiers,- les directions informatiques : pour fournir les services informatiques dont les métiers ont besoin pour répondre à la stratégie de l'entreprise, et pour contrôler et bien gérer ces services,- les auditeurs et consultants : pour justifier leurs opinions et/ou donner des conseils au management sur les contrôles internes et la gouvernance des SI.

Le cadre de référence de contrôle de Cobit facilite la mise en place d'une gouvernance des SI en : - établissant un lien avec les exigences métier de l'entreprise, - structurant les activités informatiques selon un Modèle de Processus largement reconnu,- identifiant les principales ressources informatiques à mobiliser, - définissant les objectifs de contrôle à prendre en compte.

L'orientation métier de Cobit consiste à lier les objectifs métier aux objectifs informatiques , à fournir les métriques (définir ce qui doit être mesuré et comment) et les modèles de maturité pour faire apparaître leur degré de réussite, et à identifier les responsabilités communes aux responsables de processus métier et de processus informatiques.

L'orientation processus de Cobit est illustrée par un modèle de processus qui subdivise l'informatique en 34 processus répartis entre les quatre domaines de responsabilités que sont planifier, mettre en place, faire fonctionner et surveiller, donnant ainsi une vision complète de l'activité informatique.

Les concepts d'architecture d'entreprise aident à identifier les ressources essentielles au bon déroulement des processus comme les applications, l'information, les infrastructures et les personnes. Pour fournir les informations dont l'entreprise a besoin pour réaliser ses objectifs, les ressources informatiques doivent être gérées par un ensemble de processus regroupés selon une certaine logique.

Les dirigeants ont besoin d'objectifs de contrôle pour fournir l'assurance raisonnable que les objectifs de l'entreprise seront atteints et que des dispositifs sont en place pour prévenir ou détecter et corriger des événements indésirables. Les entreprises ont besoin de pouvoir mesurer objectivement où elles en sont et où elles doivent apporter des améliorations, et elles ont besoin d'implémenter des outils de gestion pour surveiller ces améliorations.

La réponse à ce besoin de déterminer et de surveiller les niveaux de contrôle et de performance de l'informatique appropriés est apportée par Cobit sous forme de :

- Tests comparatifs de la capacité des processus informatiques présentés sous la forme de modèles de maturité inspirés du Capability Maturity Model du Software Engineering Institute,- Objectifs et métriques des processus informatiques pour définir et mesurer leurs résultats et leurs performances (capacité à atteindre les objectifs métiers et informatiques) selon les principes du

3/5

DSCG UE5 COBIT

tableau de bord équilibré de Robert Kaplan et David Norton,- Objectifs des activités pour mettre ces processus sous contrôle en se basant sur des objectifs de contrôle détaillés.

L'évaluation de la capacité des processus au moyen des modèles de maturité de COBIT élément clé de la mise en place d'une gouvernance des SI. Lorsqu'on a identifié les processus et les contrôles informatiques essentiels, le modèle de maturité permet de mettre en évidence les défauts de capacité et d'en faire la démonstration au management. On peut alors concevoir des plans d'action pour amener ces processus au niveau de capacité désiré.

Cobit concourt à la gouvernance des SI en aidant à s'assurer que les :

- les SI sont alignés sur le métier de l'entreprise,- les SI apportent un plus au métier, et maximisent ses résultats,- les ressources des SI sont utilisées de façon responsable,- les risques liés aux SI sont gérés comme il convient.

La mesure de la performance est essentielle à la gouvernance des SI. Elle est un élément de Cobit et consiste entre autres à fixer et à surveiller des objectifs mesurables pour ce que les processus informatiques sont censés fournir (résultat du processus) et pour la façon dont ils le fournissent (capacité et performance du processus).

Pour que cette gouvernance soit efficace, les dirigeants doivent obtenir des directions opérationnelles qu'elles mettent en place des contrôles dans un cadre de référence défini pour tous les processus informatiques.

En conclusion, parmi les avantages à adopter Cobit comme cadre de gouvernance des SI on peut citer :

- un meilleur alignement de l'informatique sur l'activité de l'entreprise du fait de son orientation métier,- une vision compréhensible par le management de ce que fait l'informatique,- une attribution claire de la propriété et des responsabilités, du fait de l'approche par processus,- un préjugé favorable de la part des tiers et des organismes de contrôle,- une bonne compréhension de toutes les parties prenantes grâce à un langage commun,- le respect des exigences du Coso pour le contrôle de l'environnement informatique.

Cobit : Le modèle de référence

Cobit retient 34 processus regroupés en 4 domaines qui correspondent au cycle de vie des SI et à leur maîtrise : Planifier et Organiser (10 processus), Acquérir et Implémenter (7 processus), Délivrer et Supporter (13 processus), Surveiller et Evaluer (4 processus).

Chaque processus met en œuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens compétences), fournit une information destinée à satisfaire les besoins métiers exprimés sous formes de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) et concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratégique, apport de valeur, Gestion des risques, gestion des ressources, mesure de la performance).

Cobit 4.1 est une version incrémentale de COBIT 4.0 comprenant :

- Une amélioration de la partie synthèse, - Une présentation des objectifs et des métriques dans la partie cadre de référence, - De meilleures définitions des concepts essentiels. Il est important de mentionner que la définition de l'objectif de contrôle a évoluée pour devenir davantage l'exposé d'une pratique de management, - Une amélioration des objectifs de contrôle résultant d'une mise à jour des pratiques de contrôle et de la prise en compte de Val IT. Certains objectifs de contrôle ont été regroupés et/ou réécrits pour éviter les redondances et rendre la liste des objectifs de contrôle plus cohérente. Il en a résulté une

4/5

DSCG UE5 COBIT

renumérotation des objectifs de contrôle restants. Quelques objectifs de contrôle ont été réécrits afin de les rendre plus cohérents et davantage tournés vers l'action.

Plus précisément :

- AI5.5 et AI5.6 ont été regroupés avec AI5.4- AI 7.9, AI7.10 et AI7.11 ont été regroupés avec AI7.8- SE3 intègre désormais la conformité aux obligations contractuelles en plus des obligations légales et réglementaires.

- Les contrôles applicatifs ont été retravaillés afin de les rendre plus efficaces, pour aider à évaluer et rendre compte de l'efficacité des contrôles. Il en résulte une liste de six contrôles applicatifs au lieu des 18 de Cobit 4.0 avec des détails additionnels provenant des Pratiques de Contrôle Cobit , 2ème version.- La liste des objectifs métiers et informatiques de l'Annexe I a été améliorée sur la base d'un nouveau regard résultant des travaux de recherche menés par l'Ecole de Management de Université d'Anvers (Belgique).- Le hors texte a été enrichi. Il intègre une liste de référence rapide des processus Cobit et le diagramme de synthèse de description des domaines a été revu afin d'intégrer une référence aux contrôles de processus et aux contrôles applicatifs du Cadre de Référence Cobit.- Les améliorations proposées par les utilisateurs de Cobit (Cobit 4.0 et Cobit Online) ont été revues et intégrées quand cela était opportun.

Cobit V4.1 est disponible en version française sous forme d'un livre dans lequel est encartée une version numérique sur cédérom. Vous pouvez le commander sur ce site.

Source : AFAI

5/5