Embed Size (px)
Citation preview
1
Introduction à COBIT
CIA, CISA, CISM,CISSP, CFEAlain Scheirlinckx
2
Sommaire
• Pourquoi COBIT?
• Comparaison COSO - COBIT (encore un cube...)
• Vue d’ensemble des processus COBIT
• Les 4 processus en détail:- Planification et Organisation- Acquisition et Installation- Livraison et Support- Monitoring et Evaluation
• La maturité des Systèmes d’Information
• Evaluation des processus – gare aux ‘radars’!
• Conclusion
3
Pourquoi ‘COBIT’ ?
Dans les organisations où l’automatisation du business était devenue une composante essentielle, les dirigeants ne voyaient pas comment les Systèmes d’Information pourraient apporter de la valeur et de la performance dans l’organisation...
4
C’est quoi ‘COBIT’ ?(Control OBjectives for Information
& related Technology)
COBIT est un cadre de contrôle des Systèmes d’Information, collecté auprès d’experts dès 1994, qui vise à aider le management à gérer les risques (sécurité, fiabilité et conformité) et les investissements.
5
COSO
L’approche est orientée autour du processus
de gestion des risques. Le contrôle interne repose sur les notions d’objectifs et de composants.
Organisation Objectives
Ele
men
ts o
f R
isk
Man
agem
ent
Organisatio
n
Levels
Comparaison COBIT - COSO
COBIT
L’approche est orientés processus, et regroupe 4 domaines :• Planification (PO – ‘Plan & Organise’)• Construction (AI – ‘Acquire & Implement’)• Exécution (DS -‘Deliver and Support’)• Métrologie (ME – ‘Monitor & Evaluate’)
(analogie avec la roue de Deming)
6
Exemple de bonne gestion des activités : structure de projet
Type de responsabilité
Stratégique Tactique Opérationnelle
Plan & Organise (PO)
Monitor & Evaluate (ME)
Deliver & Support (DS)
Acquire & Implement (AI)
7
1. Planification et Organisation (PO)
1. Où veut-on aller ?
évaluation des risques
plan stratégique et direction technologique
2. Quoi ?
architecture globale
3. Comment ?
organisation du service informatique
gestion des investissements
respect des exigences légales
communication des objectifs de la direction
gestion de la qualité
4. Avec qui ?
gestion des ressources humaines
gestion des projets
But: comment utiliser les technologies pour atteindre les objectifs business ?
8
2. Acquisition et Installation (AI)
1. Où veut-on aller ?
identification des solutions automatiques
(implique une évaluation préalable en labo de test)
2. Quoi ?
acquisition et maintenance des applications IT
acquisition et maintenance de l’infrastructure IT
(salles, réseaux, serveurs, systèmes de back up)
3. Comment / avec qui ?
développement et maintien des procédures
installation et certification des systèmes
(obligation pour systèmes classifiés)
gestion des modifications
But: comment mettre en oeuvre les technologies et les aligner avec les processus du business ?
9
3. Livraison et Support (DS)
1. Quoi / combien ? définition des niveaux de service (métriques) décision d’internaliser / externaliser (pour chaque service) identification et attribution des coûts
2. Avec qui ? gestion des services aux tiers (SLA, OLA...) formation des utilisateurs assistance des utilisateurs
3. Comment ? gestion de l’exploitation, des performances et des capacités (Centre de Calcul) gestion de la configuration (Change Control Board – CCB) gestion des données et des applications gestion des incidents garantie de la poursuite des traitements (BCM/BCP) garantie de la sécurité des systèmes (y compris sécurité
physique
But: comment garantir l’efficacité et l’efficience des systèmes technologiquesen action ?
10
4. Monitoring et Evaluation (ME)
1. Quoi / combien / qui ?
appréciation du contrôle interne
audit par un organisme indépendant
2. Comment ?
surveillance des processus (revue des logs...)
certification par un organisme indépendant
But: comment vérifier que la solution mise en place est en adéquation avec les besoins de l’entreprise dans une vision stratégique ?
11
12
Maturité des Systèmes d’Information (SI)
Une étude menée par le Cigref (Club informatique des grandes entreprises françaises) et Capgemini Consulting en 2009 a examiné le lien existant entre la maturité de la fonction SI, l'usage que font les entreprises de l'information et leur performance (part de marché, rentabilité, innovation, réputation).
Selon le Vice-Président du Cigref, ce rapport ‘‘démontre enfin de manière probante que les entreprises financièrement ou opérationnellement les plus performantes ont une fonction SI des plus matures et savent exploiter leur patrimoine informationnel’’.
Le modèle de maturité doit répondre à 3 besoins :
• une mesure relative de la situation de notre organisation
par rapport aux autres
• un moyen de décider efficacement de la direction à prendre
• un outil pour mesurer le progrès par rapport à un objectif
13
Echelle de maturité des SI
5 niveaux :0 - processus inexistant1 - processus initial / ad hoc2 - processus répétable mais intuitif3 - processus défini4 - processus géré et mesurable5 - processus optimal
14
Représentation graphique de la maturité
Exemple pour les processus dans le domaine Planning et Organisation (PO):
15
Conclusion
Aucune organisation, même de nature commerciale et hautement compétitive (comme par ex. une banque) n’a encore atteint le niveau 5 (optimal). Essayer d’atteindre le niveau 5 est en outre une entreprise extrêmement coûteuse et consommatrice de temps.
Les grandes administrations et institutions européennes ont découvert COBIT au 21éme siécle...Leur niveau global de maturité des SI se situe entre 1 (initial / ad hoc) et 3 (défini).
Viser le niveau 4, l’atteindre et surtout y rester est un objectif réalisable mais ambitieux. Il exige une grande discipline et constance dans l’effort.
