Support Cours Gouvernance SI Cobit Partie I

8/13/2019 Support Cours Gouvernance SI Cobit Partie I

1/53

Intervenant : M. Sofiane Mickael OUAALI

Control Objectives for Business and Related Techonology

Anne 2013


2/53

Objectifs de la Formation

1. Comprendre les avantages utiliser le rfrentiel CobiT2. Connatre les 4 domaines d'un SI

3. Comprendre la structure des processus

4. Placer chaque activit dans le bon processus

5. Dfinir les niveaux de maturit de chaque activit

6. Utiliser les indicateurs adquats

7. Valoriser les ressources du systme


3/53

Le samedi ou Dimanche

Matine de 09h00 12h30Pause 15 min

Aprs midi de 13h30 17h00Pause 15 min

Volume horaire :2 ou 3 sances de formation

Organisation de la Formation


4/53

Note de Prsence Note TP Note Examen

X - X

Note Fin Module

XX/20

Mode dEvaluation de la Formation


5/53

Module 1 : Gnralit et Principes de Base (Terminologie)

Module 2 : Rfrentiels, Normes SI et SSI

Module 3 : Framework COBIT

Module 4 : Utilisation du Cadre de Rfrences

Module 5 : Domaine 1 PLANIFIER ET ORGANISER (PO)

Module 6 : Domaine 2 ACQURIR ET IMPLMENTER (AI)

Module 7 : Domaine 3 DLIVRER ET SUPPORTER (DS)

Module 8 : Domaine 4 SURVEILLER ET EVALUER (SE)

Module 9 : Nouveauts COBIT 5

Agenda de la Formation


6/53

Module 1: Gnralits et Principes de Base (Terminologie)


7/53

Programme

1. Information2. Donnes3. Systme Informatique4. Systme dinformation5. Schma Directeur6. TCO7. ROI8. Cahier des Charges

9. Gouvernance des Systmes dInformation10. Processus11. Modle RACI

I. Gnralits & Principes de Bases (Terminologie)


8/53

1. Information



9/53

2. Donnes :

Informations numriques et alphanumriques codes et lisibles par la machine, en vue de leurenregistrement, traitement, conservation et communication.

3. Systme Informatique :

Ensemble de matriels (Serveurs, Switchs, Ordinateurs ) et de logiciels permettant :

Acqurir les donnes Traiter les donnes Communiquer les donnes Stocker les donnes

Afin de rpondre aux besoins des utilisateurs



10/53

4. Systme dInformation

Ensemble organis de ressources :

Matriel, Logiciel, Personnel, Donnes, Procdures

Permettant d'acqurir, de stocker, de communiquer des informations sous diffrentes formes(textes, images, sons) dans et vers des organisations.



11/53



12/53



13/53



14/53



15/53

5. Schma Directeur :Document conu pour prparer lvolution et ladaptation de lenvironnementinformatique duneentreprise pendant une priode donne (gnralement de 2 5 ans).

Elabor par un Comit Directeur regroupant les reprsentants de la direction gnrale del'organisation.

Dfinir les axes stratgiques selon les objectifs de l'entreprise

Repose sur lidentification dun existant et de besoins futurs

Outil de planification qui permet de prparer les investissements

Ragir face limprvu

Permet de dfinir des priorits en terme de ralisation des objectifs



16/53



17/53

6. TCO : Total Cost of Ownership est le Cot total de possession d'un bien (un systmeinformatique) tout au long de son cycle de vie.

Calcul du TCO :

Les aspects directs: (cots matriels tels qu'ordinateurs, infrastructures rseaux, etc.ou logiciels tels que le cot des licences)

Cots indirects : (cots cachs) tels que la maintenance, l'administration, la formationdes utilisateurs et des administrateurs, l'volution, le support technique et les cots

rcurrents (consommables, lectricit, loyer)


A quoi sert le TCO ?

Piloter son systme d'information

Mesurer la dpense informatique

Rduire le cot total


18/53

7. ROI : (Return on Investment) est un Systme de mesure de performance d'entreprise quicompare via un ratio les rsultats nets d'un projet, avec ses cots totaux



19/53

8. Cahier des charges vise :

Dfinir les besoins et les spcifications

Dfinir les modalits d'excution

Dfinir les objectifs atteindre

Slectionner le prestataire (rfrentiel contractuel)

Formaliser les besoins dans le respect du code des marchs publics



20/53

9. Gouvernance SI :

Le terme Gouvernance dsigne la capacit d'une organisation tre en mesure decontrler et de rguler son propre fonctionnement a fin d'viter les conflits d'intrts lis

la sparation entre les ayants-droits (actionnaires , direction, conseil dadministration)et lesacteurs (employs, les fournisseurs, les clients, les banques, lenvironnement)

La gouvernance d'entreprise est l'ensemble des processus, rglementations, lois etinstitutions influant la manire dont l'entreprise est dirige, administre et contrle

La gouvernance des SI est de la responsabilit des dirigeants et du conseil d'administration,et elle est constitue des structures et processus de commandement et de fonctionnementqui conduisent l'informatique de l'entreprise soutenir les stratgies et les objectifs del'entreprise, et lui permettre de les largir.



21/53

9. Gouvernance SI :

La Gouvernance SI permet de rpondre aux questions suivantes :

Comment sont prises les dcisions ? Qui prend les dcisions ? Qui est tenu pour responsable ? Comment le rsultat des dcisions est-il mesur et suivi ? Quels sont les risques ?

Gouvernance des TI est un cercle vertueux permet tant d'orienter et de contrler les processusde gestion :

En donnant les orientations stratgiques des diffrents processus de gestion

En utilisant les processus mtier pour fournir les services demands

Chaque processus mtier doit rendre compte de l'accomplissement de ses objectifs

En contrlant le bon droulement des processus, en les amliorant et au besoin, endfinissant de nouvelles orientations



22/53

10. Processus (Process) :

Un ensemble dactivitsstructures conues pour atteindre un objectif spcifique

Traite une ou plusieurs entres dfinies et les transforme en rsultats (sortie)

Peut inclure la dfinition de tout les rles, responsabilits, outils et contrles de gestionncessaires la fourniture de rsultats de manire fiable

Peut dfinir des politiques, des standards, des principes, des activits et des modesopratoires si cestncessaire



23/53


Propritaire

du Processus

Documentation du

Processus

Objectifs

du Processus

Rtroaction du

Processus

Activits du Processus

Procdures du

Processus

Instructions de

Travail du Processus

Rles du Processus

Amliorations du

Processus

Mtrique du Processus

Ressources du

processus

Capacits du

Processus

Politique du Processus

Entres du Processus Sorties du Processus

Dclencheurs

Contrle du Processus

Processus

Elments du Processus

y compris les rapports

et avis des Processus


24/53

11. Modle RACI

Est une matrice des responsabilits qui indique les rles et les responsabilits des intervenantsau sein de chaque processus et activit.

Le modle RACI Un outil utile pour aider la dfinition des rles et des responsabilits lors dela conception des processus

RACI :R : Responsible : Ralisation : Ralise lactivit. Il peut y avoir plusieurs R

A : Accountable : Approbation : A lautoritpour approuver le travail de RIl ny a quun seul A. En gnral, il y a un rapport hirarchique entre A et R (A est lemanager de R)

C : Consulted : Consultation : Est consult par RLa communication entre R et C est bidirectionnelle. Il peut y avoir plusieurs C

I : Informed : Information : Est uniquement inform des travaux de R.Il peut y avoir plusieurs I

Rfrentiels & Normes SI et SSI


25/53



26/53

RACI apporte plusieurs avantages :

Les rles et responsabilits sont clairement dfinis

Encourage le travail en quipe, rduit lincertain et prouve la communication entre

les diffrentes quipes

La redondance des tches est limines

La productivit est augmente



27/53

Enterprise Resource Planning(ERP) : Intgre tous les systmes informatiss de support de

l'entreprise (gestion de la production, relation commerciale, ressources humaines, comptabilit...)

Customer Relationship Management(CRM) : Regroupe toutes les fonctions permettant d'intgrer

les clients dans le systme d'information

Supply Chain Management(SCM) : Regroupe toutes les fonctions permettant d'intgrer les

fournisseurs et la logistique au systme d'information

Human Resource Management(HRM) : SI pour la gestion RH

Product Data Management(PDM): Fonctions d'aide au stockage et la gestion des donnes

techniques (utilis par les bureaux d'tudes)



28/53


29/53

Module 2 : Rfrentiels, Normes SI et SSI

Rf ti l & N SI t SSI


30/53

Programme

1. ITIL

2. CMMI3. PMBOK

4. ISO 20000

5. ISO 27001/27002

6. VAL IT

7. RISK IT




31/53

1. ITIL : Information Technology Infrastructure Library

ITIL est une collection de bonnes pratiques pour assurer un management efficace du

Systme d'Information

ITIL est dvelopp pour amliorer l'efficacit des services informatiques




32/53

1. ITIL : Information Technology Infrastructure Library

La version 3 de ITIL se focalise sur le cycle de vie d'un service, ITIL V3 comporte 6 livres :

Introduction au cycle de vie des services ITIL

Stratgie des services (Service Strategy)

Conception des services (Service Design)

Transition (passage en production) des services (Service Transition)

Exploitation des services (Service Operation)

Amlioration permanente des services (Continual Service Improvement)




33/53

2. CMMI : (Capability Maturity Model & Integration) est un modle de rfrence, un ensemble

structur de bonnes pratiques, destin :

Apprhender Evaluer

Amliorer les activits des entreprises d'ingnierie




34/53

2. CMMI : (Capability Maturity Model & Integration) est un modle de rfrence, un ensemble




35/53

3. PMBOK

Guide du Project Management Institute dfinissant les champs de connaissance couvrant la gestion deprojet, et recensant les bonnes pratiques professionnelles

Le PMBOK dfinit les 5 groupes de processus de management de projet suivants:

Dmarrage Planification Excution Surveillance et matrise Clture

Il aborde les dix domaines de comptences en management de projet, savoir:

Le management de l'intgration Le management du contenu (primtre) Le management des dlais Le management des cots Le management de la qualit Le management des ressources humaines Le management des communications Le management des risques Le management des approvisionnements Le management des parties prenantes (stakeholders) ajout dans la 5me dition

Le PMBoK distribue un total de 47 processus dans ces groupes de processus et domaines de

connaissance




36/53

4. ISO 20000

La norme ISO 20000 est un consensus pour une qualit standard de cette gestion des servicesinformatiques

Cette notion de gestion des services est dcrite dans la norme en 13 processusinspirs du rfrentiel ITIL

Processus de fourniture des services

Gestion des niveaux de services Rapport de services Gestion de la continuit et de la disponibilit des services Budgtisation et comptabilisation des services Gestion de la capacit Gestion de la scurit de linformation

Processus de gestion des relations entre clients et fournisseurs (Service Desk)

Grer les relations commerciales Grer les fournisseurs




37/53

4. ISO 20000

Processus de rsolution de problmes

Le contexte La gestion des incidents La gestion des problmes

Processus de maintien pour le contrle des systmes dinformations

La gestion des configurations La gestion des changements

Processus de mise en production

Normes lies la gestion des services et lISO 20000




38/53

5. ISO/CE 27001/27002

standard de scurit de l'information publi conjointement par l'Organisation internationale denormalisation (ISO) et la Commission lectrotechnique internationale (CEI, ou IEC

Cestune norme internationale de systme de gestion de la scurit de l'information




39/53

5. ISO 27001/27002

Phase Plan

Fixe les objectifs du SMSI

La phase Plan du SMSI comprend 4 tapes :

tape 1 : Dfinir la politique et le primtre du SMSI tape 2 : Identifier et valuer les risques lis la scurit et laborer la politique de scurit tape 3 : Traiter le risque et identifier le risque rsiduel par un plan de gestion

tape 4 : Choisir les mesures de scurit mettre en place

Phase Do

Met en place les objectifs Former et sensibiliser le personnel

Phase Check

Consiste grer le SMSI au quotidien dtecter les incidents en permanence pour y ragir rapidement

Phase Act

Mettre en place des actions correctives, prventives ou damlioration pour les incidents et carts

constats lors de la phase Check




40/53




41/53


I Gnralits & Principes de Bases (Terminologie)


42/53

6. VAL IT

Val IT est un ensemble structur de pratiques cls de management se rapportant lagouvernance des systmes d'information

VAL IT comporte deux volets :

un aspect risques, qui conduit des pratiques d'audit et des rfrentiels de bonnes pratiques commeCOBIT

un aspect performance




43/53

6. VAL IT

VAL IT rpond 4 : (Business Case)

Faisons-nous les choses appropries (right things) ?

Faisons-nous les choses de faon approprie (right way) ?

Les tches sont-elles effectues correctement (done well) ?

En tirons-nous les bnfices attendus ?


The strategicquestion

The architecturequestion

The valuequestion

The deliveryquestion



44/53

6. VAL IT

Domaine 1 : Gouvernance de la Valeur (GV ou VGpour Value Governance)

a pour objectif de s'assurer que :

le concept de valeur est prsent dans les pratiques de management

le processus de dcision est organis

Les indicateurs sont fournis pour la vrification de l'atteinte des objectifs




45/53

6. VAL IT

Domaine 1 : Gouvernance de la Valeur (GV ou VGpour Value Governance)

Liste des processus

VG1 : tablir un leadership inform et impliqu,

VG2 : dfinir et mettre en place les processus (et les structures associes, les rles, les responsabilits),

VG3 : dfinir les caractristiques des diffrents portefeuilles de projets (composition, poids relatifs...),

VG4 : aligner et intgrer la gestion de la valeur dans la gestion financire de l'entreprise,

VG5 : tablir une surveillance efficace de la gouvernance (et identifier les drives),

VG6 : mettre en place un processus d'amlioration continue des pratiques.




46/53

6. VAL IT

Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management)

vise optimiser :

construire le portefeuille d'investissement

identifier les ressources ncessaires chaque projet

dfinir les seuils d'investissement, valuer, classer puis slectionner (ou rejeter) les projets lancer,

grer globalement le portefeuille d'investissements en termes de risques et rentabilit surveiller les performances et en rendre-compte




47/53

6. VAL IT

Domaine 2 : Gestion de portefeuille (GP, ou PM pour Portfolio Management)

Liste des processus

PM1 : tablir une stratgie claire et dfinir la structure de la cible en termes d'investissements

PM2 : dterminer les sources et la disponibilit des budgets

PM3 : grer la disponibilit des ressources humaines

PM4 : valuer et slectionner les programmes financer

PM5 : monitorer et rendre compte de la performance des portefeuilles d'investissement

PM6 : optimiser la performance des portefeuilles par une revue rgulire des opportunits et risques




48/53

6. VAL IT

Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management )

vise assurer :

la rentabilit de chaque investissement ou "programme"

Lamliorationdes comptences des managers oprationnels dans :

a) l'identification des exigences de leur mtier

b) la capacit d'apprcier les approches alternatives,

c) la dfinition, rdaction et maintien des business cases dtaills au long de la vie du projet,

d) l'affectation des responsabilits et de la proprit du projet,

e) de la gestion du cycle de vie complet du programme, retrait inclus,

f) du suivi rgulier de la performance et des comptes-rendus




49/53

6. VAL IT

Domaine 3 : Gouvernance des Investissements (GI ou IM pour Investment Management )

Liste des processus

IM1 : dvelopper et valuer le business case initial du programme

IM2 : comprendre les implications des candidats-programmes

IM3 : dvelopper le plan du programme,

IM4 : prparer le budget sur le cycle de vie complet

IM5 : construire le business case complet, dtaill

IM6 : lancer le programme et grer sa vie

IM7 : mettre jour les portefeuilles oprationnels

IM8 : mettre jour le business case mesure de l'acquisition d'informations nouvelles IM9 : monitorer le programme et rendre-compte

IM10 : procder au retrait du programme en fin de vie




50/53

6. VAL IT

G a s & c pes de ases ( e o og e)



51/53

7. RISK IT

RISK IT est le rfrentiel de management du systme dinformationet des technologies parles risques

RISK IT un guide de principes directeurs et de bonnes pratiques

RISK IT aide les entreprises mettre en place une gouvernance ad hoc, identifier et grer efficacement les risques informatiques

RISK IT comprend deux documents :

Rfrentiel RISK IT

Guide Utilisateur RISK IT

aide mettre en place le modle

dtaille les concepts fournit de nombreux conseils cartographie sappuyantsur 36 scnarios de risque informatique propose des bonnes pratiques de contrle et de management tires des rfrentiels COBIT et Val IT

p ( g )



52/53

7. RISK IT (Rfrentiel RISK IT)

p ( g )


53/53

Support Cours Gouvernance SI Cobit Partie I

Documents

Transcript of Support Cours Gouvernance SI Cobit Partie I