COBIT (v4.1) INTRODUCTION COBIT

Transcription

1 COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans l entreprise. Son rôle est de fournir les informations et les prestations dont les services métiers ont besoin, selon le schéma général suivant : COBIT COBIT (Control Objectives for Information and related Technology) propose ces bonnes pratiques dans un cadre de référence par domaine et par processus. Il présente les activités dans une structure logique et facile à appréhender. Les bonnes pratiques de COBIT sont le fruit d'un consensus d'experts. Elles sont très axées sur le contrôle et moins sur l'exécution. Elles ont pour but d'aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des outils de mesure (métriques) auxquels se référer pour évaluer les éventuels dysfonctionnements.

2 La figure ci-dessous représente l architecture informatique «idéale» d une l entreprise : Les catégories de processus à étudier touchent 4 types de ressources bien distinctes : Les applications sont, entre les mains des utilisateurs, les ressources logicielles automatisées et les procédures manuelles qui traitent l'information.

3 L'information est constituée des données sous toutes leurs formes, saisies, traitées et restituées par le système informatique sous diverses présentations, et utilisées par les métiers. L'infrastructure est constituée de la technologie et des équipements (machines, systèmes d'exploitation, systèmes de gestion de bases de données, réseaux, multimédia, ainsi que l'environnement qui les héberge et en permet le fonctionnement) qui permettent aux applications de traiter l'information. Les personnes sont les ressources qui s'occupent de planifier, d'organiser, d'acheter, de mettre en place, de livrer, d'assister, de surveiller et d'évaluer les systèmes et les services informatiques. Ces personnes peuvent être internes, externes ou contractuelles selon les besoins Pour une gouvernance efficace des SI, il est important d'apprécier les activités et les risques propres aux SI qui nécessitent d'être pris en compte. Ils sont généralement ordonnés dans les domaines de responsabilité que sont planifier, mettre en place, faire fonctionner et surveiller. Dans le cadre de COBIT, ces domaines portent les appellations suivantes, comme le montre la figure ci-dessous : Planifier et Organiser (PO) : fournit des orientations pour la fourniture de solutions (AI) et la fourniture de services (DS). Acquérir et Implémenter (AI) : fournit les solutions et les transmets pour les transformer en services. Délivrer et Supporter (DS) : reçoit les solutions et les rend utilisables par les utilisateurs finals. Surveiller et Evaluer (SE) : surveille tous les processus pour s'assurer que l'orientation fournie est respectée.

4 À travers ces quatre domaines, COBIT (version 4.1) a identifié 34 processus informatiques : PLANIFIER ET ORGANISER (PO) Ce domaine recouvre la stratégie et la tactique. Il vise à identifier la meilleure manière pour les SI de contribuer à atteindre les objectifs métiers de l'entreprise. La mise en œuvre de la vision stratégique doit être planifiée, communiquée et gérée selon différentes perspectives. Il s agit de mettre en place une organisation adéquate ainsi qu'une infrastructure technologique. Ce domaine s'intéresse généralement aux problématiques de management suivantes : Les stratégies de l'entreprise et de l'informatique sont-elles alignées? L'entreprise fait-elle un usage optimum de ses ressources? Est-ce que tout le monde dans l'entreprise comprend les objectifs de l'informatique? Les risques informatiques sont-ils compris et gérés? La qualité des systèmes informatiques est-elle adaptée aux besoins métiers? PROCESSUS COBIT ASSOCIES PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 Définir un plan informatique stratégique Définir l architecture de l information Déterminer l orientation technologique Définir les processus, l organisation et les relations de travail Gérer les investissements informatiques Faire connaître les buts et les orientations du management Gérer les ressources humaines de l informatique Gérer la qualité Évaluer et gérer les risques PO10 Gérer les projets

5 ACQUÉRIR ET IMPLÉMENTER (AI) Le succès de la stratégie informatique nécessite d'identifier, de développer ou d'acquérir des solutions informatiques, de les mettre en œuvre et de les intégrer aux processus métiers. Ce domaine recouvre aussi la modification des systèmes existants ainsi que leur maintenance afin d'être sûr que les solutions continuent d'être en adéquation avec les objectifs métiers. Ce domaine s'intéresse généralement aux problématiques de management suivantes : Est-on sûr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins métiers? Est-on sûr que les nouveaux projets aboutiront en temps voulu et dans les limites budgétaires? Les nouveaux systèmes fonctionneront-ils correctement lorsqu'ils seront mis en œuvre? Les changements pourront-ils avoir lieu sans perturber les opérations en cours? PROCESSUS COBIT ASSOCIES AI1 AI2 AI3 AI4 AI5 AI6 AI7 Trouver des solutions informatiques Acquérir des applications et en assurer la maintenance Acquérir une infrastructure technique et en assurer la maintenance Faciliter le fonctionnement et l utilisation Acquérir des ressources informatiques Gérer les changements Installer et valider les solutions et les modifications

6 DÉLIVRER ET SUPPORTER (DS) Ce domaine s'intéresse à la livraison effective des services demandés, ce qui comprend l'exploitation informatique, la gestion de la sécurité et de la continuité, le service d'assistance aux utilisateurs et la gestion des données et des équipements. Il s'agit généralement des problématiques de management suivantes : Les services informatiques sont-ils fournis en tenant compte des priorités métiers? Les coûts informatiques sont-ils optimisés? Les employés sont-ils capables d'utiliser les systèmes informatiques de façon productive et sûre? La confidentialité, l'intégrité et la disponibilité sont-elles mises en oeuvre pour la sécurité de l'information? PROCESSUS COBIT ASSOCIES DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 Définir et gérer les niveaux de services Gérer les services tiers Gérer la performance et la capacité Assurer un service continu Assurer la sécurité des systèmes Identifier et imputer les coûts Instruire et former les utilisateurs Gérer le service d assistance client et les incidents Gérer la configuration DS10 Gérer les problèmes DS11 Gérer les données DS12 Gérer l environnement physique DS13 Gérer l exploitation

7 SURVEILLER ET ÉVALUER (SE) Tous les processus informatiques doivent être régulièrement évalués pour vérifier leur qualité et leur conformité par rapport aux spécifications de contrôle. Ce domaine s'intéresse à la gestion de la performance, à la surveillance du contrôle interne, au respect des normes réglementaires et à la gouvernance. Il s'agit généralement des problématiques de management suivantes : La performance de l'informatique est-elle mesurée de façon à ce que les problèmes soient mis en évidence avant qu'il ne soit trop tard? Le management s'assure-t-il que les contrôles internes sont efficaces et efficients? La performance de l'informatique peut-elle être reliée aux objectifs métiers? Des contrôles de confidentialité, d'intégrité et de disponibilité appropriés sont-ils mis en place pour la sécurité de l'information? PROCESSUS COBIT ASSOCIES SE1 SE2 SE3 SE4 Surveiller et évaluer la performance des SI Surveiller et évaluer le contrôle interne S assurer de la conformité aux obligations externes Mettre en place une gouvernance des SI

8 Partage des responsabilités Le modèle suivant éclaire le partage des responsabilités entre Métier et Informatique:

9 LE MODELE DE MATURITE DES PROCESSUS COBIT définit un degré de maturité pour les processus 0 = Inexistant (il n y a pas de processus défini, chacun fait «au mieux», avec ses compétences, ses connaissances, etc.) 1= Initialisé au cas par cas (il existe un embryon de «marche à suivre», que l on peut trouver dans des procès-verbaux et des documents épars. Des formations sont parfois organisées au cas par cas, en fonction des besoins les plus urgents). 2 = Reproductible mais intuitif (il existe une marche à suivre facile à trouver. Le contour du processus est défini, mais pas en détail). 3 = Processus défini (il existe un processus de travail bien défini, facile d accès, précis, ainsi que des modèles de documents annexes. Le travail est réalisé selon une approche systématique. Les collaborateurs sont spécifiquement formés en fonction des processus qu ils doivent appliquer). 4 = Géré et mesurable (il existe un processus de travail bien défini, les buts sont clairement explicités et mesurés périodiquement. Il existe un plan de formation et une gestion des ressources poussée). 5 = Optimisé (il existe un processus de travail très précis prenant en compte tous les aspects de l activité à effectuer. Les buts sont clairement explicités et mesurés périodiquement. Le processus a été validé par toutes les parties prenantes. Il est périodiquement révisé. Un auditeurqualité est désigné et impliqué dans les projets sous-jacents).

10 MISE EN PLACE DE COBIT Il s agit de sélectionner les processus les plus importants (en fonction de la stratégie de l entreprise) et de les aligner au référentiel COBIT, en cherchant à obtenir un degré de maturité acceptable par rapport aux différents paramètres de l état actuel. REFERENCES (français) COBIT est une marque déposée de l ISACA - Information Systems Audit and Control Association Les schémas utilisés dans ce papier sont la propriété de l AFAI Association Française de l Audit et du Conseil Informatiques