Le COBIT : L état de l Art

Transcription

1 Le COBIT : L état de l Art Socle de la gouvernance des SI CNAM 2008 / 2009 GLG102 TECHNIQUES ET NORMES POUR LA QUALITE DU LOGICIEL

2 AUDITEUR Eric LELEU AUDITEUR NUMERO D AUDITEUR NPC HISTORIQUE DES MODIFICATIONS DATE AUTEUR DESCRIPTION VERSION 15/01/ /01/ /01/200 9 Eric LELEU Création V_1.0 Eric LELEU Rédaction V_2.0 Eric LELEU Mise en forme, correction et validation V_3.0 1 CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

3 LE COBIT : L ETAT DE L ART SOCLE DE LA GOUVERNANCE DES SI SOMMAIRE PREAMBULE... 3 I LA GOUVERNANCE : DE QUOI S'AGIT-IL?... 4 II LE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI... 5 III DEFINITION... 6 IV LES OBJECTIFS DU COBIT... 8 V LES DOMAINES DU COBIT VI LE COBIT POUR L'AUDITEUR INFORMATIQUE VII - COMMENT EST UTILISE LE COBIT VIII LE COBIT : RAPPROCHEMENT ENTRE AUDIT INTERNE ET DSI IX - CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI X - PRESENTATION DES 34 PROCESSUS A LA PLANIFICATION & L ORGANISATION B L ACQUISITION & L INSTALLATION C LA LIVRAISON & LE SUPPORT D LE MONITORING XI LES PERSPECTIVES XII - CONCLUSION LES REFERENCES : BIBLIOGRAPHIE / «WEBOGRAPHIE» LE GLOSSAIRE LES ANNEXES LISTE DES PROCESSUS DU COBIT EN FRANÇAIS LISTE DES PROCESSUS DU COBIT EN ANGLAIS EXEMPLE 1 DEFINIR L ARCHITECTURE DE L INFORMATION EXEMPLE 2 - GERER LES DONNEES CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 2

4 PREAMBULE Ce dossier a été réalisé dans le cadre de l unité d enseignement (UE) GLG102 Techniques et normes pour la qualité du logiciel. Le sujet traité est le COBIT. La rédaction de ce dossier a tenté d expliquer le plus simplement possible ce concept. Le but est de transcrire dans un langage simple et compréhensible par tous, les caractéristiques principales de cette méthodologie. Même si la rédaction de ce dossier ne fut pas simple, j ai pris plaisir à le constituer. Je suis d ailleurs plutôt satisfait du résultat. Pour être honnête, cette recherche fut un vrai challenge dans la mesure où il m a fallu surmonter la méconnaissance de ce thème. Je vous propose, après un bref descriptif de la gouvernance des systèmes d information, de découvrir ce qu est le COBIT. 3 CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

5 I LA GOUVERNANCE : DE QUOI S'AGIT-IL? Avant de débuter l étude de COBIT, il convient de définir ce qu est la gouvernance, terme qui sera largement utilisé tout au long de cette étude. Le terme «Gouvernance» désigne la capacité d'une organisation à être en mesure de contrôler et de réguler son propre fonctionnement afin d'éviter les conflits d'intérêts liés à la séparation entre les ayants-droits (actionnaires, direction, conseil d administration) et les acteurs (employés, les fournisseurs, les clients, les banques, l environnement ). Il s agit de privilégier le partenariat entre les différents acteurs. La gouvernance d'entreprise est l'ensemble des processus, réglementations, lois et institutions influant la manière dont l'entreprise est dirigée, administrée et contrôlée. CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 4

6 II LE COBIT COMME SOCLE DE LA GOUVERNANCE DES SI La Gouvernance des Technologies de l Information (en Anglais «Information Technology Governance» ou «IT Governance») est une sous discipline du gouvernement d entreprise axée sur la technologie de l information et de la communication. Cette discipline, en phase avec les objectifs de l entreprise, s intéresse plus particulièrement à la gestion des risques, à l optimisation des investissements et des ressources, à la création de valeurs et à la performance des technologies de l information. Selon le COBIT, la gouvernance des systèmes d information est la structure de relations et de processus visant à diriger et contrôler l entreprise pour qu elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des technologies de l Information et de leurs processus. Il s agit d une démarche de Management. La Gouvernance des TI permet de répondre aux questions suivantes : Comment sont prises les décisions? Qui prend les décisions? Qui est tenu pour responsable? Comment le résultat des décisions est-il mesuré et suivi? Quels sont les risques? La Gouvernance des TI est un cercle vertueux permettant d'orienter et de contrôler les processus de gestion : En donnant les orientations stratégiques des différents processus de gestion, En utilisant les processus métier pour fournir les services demandés, Chaque processus métier doit rendre compte de l'accomplissement de ses objectifs. En contrôlant le bon déroulement des processus, en les améliorant et au besoin, en définissant de nouvelles orientations. Le cercle vertueux de la Gouvernance d'un système d'information La clef de la gouvernance est le Contrôle permettant d'atteindre des objectifs. 5 CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

7 III DEFINITION Qu'est-ce que le COBIT? Le fonctionnement de la majorité des grandes entreprises, aujourd'hui, repose complètement sur le traitement de l'information. C est dans un souci de transparence des informations que les SI se sont développés et que leur contrôle est devenu incontournable. Il est vital, pour leur avenir, que leur système d'information soit en cohérence avec les objectifs et la stratégie globale de l'entreprise. Les dirigeants souhaitent finalement que les SI apportent de la valeur et de la performance dans l organisation. Le COBIT (Control Objectives for Business Information and related Technology, soit en français Control des objectifs des technologies de l information ), développé en 1994 (et publié en 1996) par l'isaca (The Information System Audit and Control Association) est un outil puissant qui a été conçu pour œuvrer dans ce sens. Il est à noter que l ISACA, créé en 1967, est représenté en France depuis 1982 par l'afai (Association Française de l Audit et du conseil Informatique). Le COBIT est un référentiel de gouvernance des systèmes d'information qui décompose tout système informatique en 34 processus, lesquels sont répartis en quatre domaines fonctionnels : planning et organisation (Planning and Organization) (10 processus). acquisition et mise en place (Acquire and implement) (7 processus). fourniture du service et support (Deliver and Support) (13 processus). surveillance (Monitor) (4 processus). Ces 4 domaines permettent de couvrir 318 objectifs. Ce référentiel s'adresse majoritairement à deux grandes catégories d'acteurs : les auditeurs et consultants, les responsables des systèmes d'information. La direction générale ainsi que les diverses directions métiers sont bien évidemment concernées dans la mise en place et l utilisation de COBIT. Nous pouvons représenter de manière simplifiée le COBIT de la manière suivante : Planning et organisation Acquisition et mise en place Fourniture du service et support Surveillance CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 6

8 Pour être plus précis, voici une représentation détaillée de COBIT : Chaque processus met en œuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens compétences), fournit une information destinée à satisfaire les besoins métiers exprimés sous formes de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratégique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance). En conclusion, la définition de COBIT est : «COBIT est une méthodologie d évaluation des services informatiques au sein de l entreprise. Cette démarche s'appuie sur un référentiel de 34 processus (bonnes pratiques collectées auprès d'experts SI) et sur des indicateurs d'objectifs (KGI) et de performance (KPI) permettant de mettre les processus sous contrôle afin de disposer des données permettant à l'entreprise d'atteindre ses objectifs (alignement des technologies sur la stratégie de l entreprise). C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. Il ne fournit pas d indications ou de recommandations à caractère technique (choix technologiques, consolidation, gestion de crises ). En d autres termes, COBIT se focalise sur ce que l entreprise a besoin de faire et non sur la façon dont elle doit le faire» Le COBIT a évolué au fil des années. La version actuelle est indicé V CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

9 IV LES OBJECTIFS DU COBIT Le COBIT établi des objectifs concernant les informations que doivent contenir et fournir un système d'information performant. Ces objectifs sont les suivants (7) : L'efficacité, L'efficience, La confidentialité, L'intégrité, La disponibilité, La conformité, La fiabilité. Pour atteindre ces objectifs, le système d'information dispose et pourra utiliser les ressources suivantes (5) : Les compétences, Les applications, Les technologies, Le «facility management», Les données. Comme nous l avons précisé précédemment, le COBIT a défini 34 processus répartis en 4 domaines en vue de gérer ces diverses ressources et atteindre l ensemble de ces objectifs. De manière simplifié, le COBIT est un référentiel pour la gouvernance des technologies de l'information avec un objectif de contrôle et d'audit vis à vis de l'impact de l'utilisation de ces technologies dans l'entreprise et des risques qui y sont liés. CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 8

10 Les objectifs et les ressources permettent, une fois combinés, de mettre en valeur une cartographie de la gestion du système d information (formaliser les objectifs fixés et les contrôler). Il est en effet possible de représenter dans un tableau à la fois : les processus d un domaine choisi, les objectifs ainsi que les ressources. L'impact du processus sur le critère d'information peut être Primaire, Secondaire, ou vide. Les processus ont une responsabilité plus ou moins importante dans la gestion des ressources. Le lien entre les processus et les ressources ne mesure pas le niveau d'utilisation, mais le niveau de management de la ressource par le processus COBIT. Le tableau obtenu serait de la forme : 9 CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

11 V LES DOMAINES DU COBIT Pour rappel, le COBIT est un référentiel de gouvernance des systèmes d'information qui décompose tout système informatique en 34 processus, lesquels sont répartis en quatre domaines fonctionnels : planning et organisation (Planning and Organization) (10 processus). Comment utiliser au mieux les technologies afin que l'entreprise atteigne ses objectifs? o o Choix de la stratégie permettant d'identifier les meilleures solutions informatiques pour permettre d'atteindre des objectifs métiers. Mise en place de la stratégie, planification, communication et gestion. acquisition et mise en place (Acquire and implement) (7 processus). Comment définir, acquérir et mettre en œuvre les technologies nécessaires en adéquation avec les business processus de l'entreprise? o o Création ou achat de solutions informatiques leur intégration aux processus métiers. Gestion du changement et de la maintenance. fourniture du service et support (Deliver and Support) (13 processus). Comment garantir l'efficacité, l'efficience des systèmes technologiques en action? o o Fourniture des services métiers, Sécurisation, disponibilité des services. surveillance (Monitor) (4 processus). Comment s'assurer que la solution mise en œuvre corresponde bien aux besoins de l'entreprise dans une perspective stratégique? o o o Mesure de la qualité des processus, Mesure de l'atteinte des objectifs des processus, Contrôle et amélioration de l'organisation et des processus. Les domaines COBIT CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 10

12 VI LE COBIT POUR L'AUDITEUR INFORMATIQUE A la base, le COBIT a été développé par des auditeurs informatiques. C est ainsi que le COBIT est utilisé pour mener tout type d'audit autour du système d'information. Il s appuie en effet sur une liste de 318 objectifs de contrôle permettant à l'auditeur de cadrer ses études. Il est recommandé à l auditeur de rechercher un complément d information dans d autres référentiels comme ITIL en ce qui concerne la production, ou CMMI en ce qui concerne la gestion de projets. Il est important de préciser que le référentiel d'audit et de contrôle établi, et notamment la liste des objectifs de contrôle, est très compréhensible et accessible. En effet, un auditeur non informaticien est capable de mener de manière professionnelle, un audit d un système d information. 11 CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

13 VII - COMMENT EST UTILISE LE COBIT Le principe : COBIT ne distingue pas la grande entreprise de la petite entreprise. Il ne tient pas compte non plus du secteur d activité auquel l entreprise appartient. Une PME ne pourra certainement pas faire tout ce que COBIT prescrit. Une entreprise industrielle n a pas les mêmes besoins qu une entreprise de services. Il faudra donc dans chaque cas sélectionner dans COBIT les éléments à retenir. Il est d ailleurs précisé que COBIT est «illustratif et non exhaustif» : il fournit une base d expertise dans laquelle chaque entreprise devra sélectionner ce qui correspond à ses priorités. En conclusion, l utilisation de COBIT permet de distinguer trois étapes : Définition des objectifs, Détermination et gestion des ressources, Gestion des processus. Lors des audits : A partir du référentiel général, COBIT donne une liste détaillée de 318 objectifs de contrôle qui permettent à l'auditeur de cadrer son investigation. COBIT est utilisé comme une base solide de points de contrôles, il aide à la sélection des zones critiques et à leur évaluation. Même s'il est parfois nécessaire de le compléter en fonction des spécificités du sujet (pour un audit de sécurité il conviendra par exemple d'ajouter les aspects propres aux dispositifs de sécurité existants. Il en sera d ailleurs de même pour tout ce qui a trait au domaine légal et réglementaire), COBIT permet de prendre en compte des points qui n'auraient pas été évoqués, faute d'y songer ou par manque de connaissance. C est ainsi que COBIT sert à établir les questions à dérouler lors des entretiens d audit. Lors du pilotage des systèmes d informations : Le COBIT sert aussi à évaluer les processus mis en place. Il permet de définir leur niveau de maturité. Ci-après une représentation graphique des résultats permettant à une Direction Générale de visualiser les points forts et les points faibles de son entreprise. On peut y déceler soit une certaine homogénéité des processus, soit au contraire des maillons faibles nécessitant une révision de stratégie. CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 12

14 Le modèle contient 5 niveaux de maturité: NIVEAU NOM DESCRIPTION 0 INEXISTANT (Non-existent) Les processus de gestion ne sont pas appliqués. L entreprise n est pas consciente du besoin. 1 INITIAL (Initial) Les processus sont ad hoc et désorganisés. L entreprise commence à être consciente du besoin mais rien n existe pour la satisfaire REPETITIF (Repeatable) Les processus suivent un modèle répétable. L entreprise traite le besoin au cas par cas, de façon informelle, en s appuyant sur les compétences de quelques individus. 3 DEFINI (Defined) Les processus sont formalisés et communiqués. Les procédures ont été standardisées et documentées mais les responsabilités restent individuelles. Il n existe pas de reporting formel, ni de suivi de la qualité. 4 GERE ET MESURABLE (Managed) Les processus sont surveillés et mesurés. Les responsabilités sont claires, la qualité est suivie, les personnels sont formés, les outils sont automatisés. 5 OPTIMISE (Optimized) L'amélioration du processus est gérée. L entreprise est au niveau «géré et mesurable» et en outre elle assure une veille afin de mettre à jour ses méthodes et de se tenir en permanence à la pointe de l état de l art. CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

15 Le modèle de maturité permet de définir : La situation actuelle de l'organisation, La situation des entreprises dans un domaine métier équivalent, La stratégie d'amélioration de l'entreprise (ce vers quoi elle souhaite aller). VIII LE COBIT : RAPPROCHEMENT ENTRE AUDIT INTERNE ET DSI Pour la DSI (Direction des Systèmes d'information), le COBIT est fréquemment utilisé comme un outil d'auto évaluation. C'est un moyen pour elle de démontrer à sa hiérarchie, et ce de façon proactive, que son niveau de maîtrise des systèmes d'information est relativement bon, sur tous les aspects relevant de sa responsabilité. Quant aux auditeurs, ils peuvent valider la qualité de l'évaluation à l'aide de ce même outil. IX - CE QU'APPORTE LE COBIT SUR LA GOUVERNANCE DES SI Les entreprises qui ont opté pour les modèles de processus basés sur COBIT : possèdent des processus plus simples et plus compréhensibles. ont une vision compréhensible par le management de ce que fait l informatique. possèdent des processus prouvant la valeur ajoutée des systèmes d information. ont un meilleur alignement de l informatique sur l activité de l entreprise du fait de l orientation métier. ont une attribution claire des responsabilités du fait de l approche par processus. sont aidées dans leurs décisions, leurs choix et leurs investissements (bénéfique à l entreprise) peuvent élaborer à partir du standard COBIT leurs propres standards afin d être encore plus en phase avec les objectifs de l entreprise en terme de systèmes d information. peuvent s auto évaluer : par des audits et en évaluant la maturité de leurs processus peuvent se comparer à d autres entreprises ayant un même domaine métier grâce à l évaluation de la maturité des processus. ne sont pas impactées par les spécificités culturelles, les avances technologiques. Ces facteurs ne semblent pas limiter l'adéquation de COBIT pour l'alignement des systèmes d'information aux objectifs stratégiques de l'entreprise. CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 14

16 X - PRESENTATION DES 34 PROCESSUS A LA PLANIFICATION & L ORGANISATION Ce domaine couvre la stratégie et les tactiques et concerne l identification des moyens permettant à l informatique de contribuer le plus efficacement à la réalisation des objectifs commerciaux de l entreprise. Au sein de ce domaine, on cherche à savoir comment utiliser les technologies afin que l entreprise atteigne ses objectifs. Il comporte 10 processus : Définir un plan stratégique pour le SI La définition du plan stratégique doit améliorer la compréhension des apports et des limites du SI, conforter la performance et mettre en évidence le niveau des investissements requis. On doit retrouver dans ce plan la stratégie et les priorités de l entreprise. Il est important que ce plan soit accepté par le personnel informatique et les métiers. L exploitation du SI doit faire l objet de SLA (service level agreements). Définir l architecture en information Il s agit de ce que l on appel «administration des données» : construire et partager des référentiels de qualité. Déterminer l évolution technique Il s agit de définir la plate-forme informatique par une veille technologique constante et un dialogue entre la DSI et les métiers utilisateurs. Définir les processus et l organisation du SI 15 Il s agit d organiser et de superviser la DSI, de gérer ses ressources humaines (y compris les ressources que lui procurent les fournisseurs), de gérer ses relations avec les autres métiers de l entreprise. Gérer les investissements en SI Les notions traitées à ce niveau concernent les coûts, la rentabilité, le retour sur investissement Communiquer les buts et orientations de la direction Il s agit de faire connaître les objectifs de l entreprise et du SI. Gérer les ressources humaines du SI COBIT suggère de réduire la dépendance par rapport à des individus clés (compétences critiques) et de limiter le turn-over. CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

17 Gérer la qualité Il s agit de la qualité du SI (et non de celle des processus de production de l entreprise). Evaluer et gérer les risques du SI Il faut identifier tous les événements qui peuvent avoir des conséquences (négatives ou positives) sur le fonctionnement de l entreprise : production, réglementation, partenariats, ressources humaines Il faut anticiper la réponse aux incidents, et gérer un plan d action. Gérer les projets Il s agit tout d abord de la sélection des projets à retenir (priorisation). Il s agit ensuite de prendre en compte, dans la gestion de projet proprement dite, l implication les parties prenantes, l interdépendance entre projets, les changements qui surviennent dans la définition du projet (coût, calendrier, contenu et qualité). CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 16

18 B L ACQUISITION & L INSTALLATION Ce domaine concerne la réalisation de la stratégie informatique, l identification, l acquisition, le développement et l installation des solutions informatiques et leur intégration dans les processus commerciaux. Au sein de ce domaine, COBIT cherche à définir, acquérir et mettre en œuvre des technologies en les alignant avec les processus métiers de l entreprise. Il comporte 7 processus : Définir les solutions automatisées Il s agit d équiper les agents opérationnels en outils automatiques et de fournir des indicateurs de contrôle aux managers opérationnels. Il faut trouver des solutions réalisables et économiques : cela suppose le recours à des études de faisabilité. Acquérir et entretenir les logiciels applicatifs Il s agit de rédiger les spécifications (générales, détaillées et techniques), de définir les habilitations et règles de sécurité, d intégrer les acquisitions sur la plate-forme de l entreprise, de réaliser ou faire réaliser les logiciels spécifiques, d assurer le suivi de la réalisation et des modifications des exigences, de mettre en place la gestion de configuration et la maintenance. Acquérir et entretenir la plate-forme technique Il s agit de fournir à l entreprise une plate-forme matérielle et logicielle convenable en regard des besoins des applications et de l état de l art technique. Cette plate-forme doit pouvoir satisfaire les besoins applicatifs connus et elle devra satisfaire les besoins futurs. Elle doit être convenablement dimensionnée (taille des processeurs et des mémoires, débit des réseaux ) et mettre en œuvre des solutions d architecture bien choisies. Il faut qu elle soit convenable sur un plan qualitatif comme quantitatif. Elle doit comporter les outils de contrôle et de sécurité et les responsabilités doivent avoir été définies. Son entretien doit être assuré. Elle doit comporter un environnement pour tester les modifications qui lui sont apportées. Elle doit être équipée d une gestion de configuration. Permettre l'exploitation et l'utilisation Il s agit dans ce processus de documenter les applications sur les aspects techniques, opérationnels et de niveaux de service. Gérer les achats Il s agit d équiper le SI d une direction des achats. Elle y appliquera la politique de l entreprise en matière d achats, gèrera les contrats avec les fournisseurs, les droits de propriétés sur le logiciel et contrôlera la qualité des fournitures (développements et infrastructure). 17 CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

19 Gérer les évolutions Il s agit de la gestion des évolutions du SI interne à la DSI. Il s agit de documenter, autoriser, suivre et faire connaître les changements techniques. Installer et recetter les solutions et les changements Ce processus concerne les opérations de recette, d essai sur site pilote et de déploiement d un nouveau produit. Un plan de test est obligatoire pour mener à bien ce processus. CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 18

20 C LA LIVRAISON & LE SUPPORT Ce domaine concerne la livraison des prestations informatiques exigées, ce qui comprend l exploitation, la sécurité, les plans d urgence et la formation. Au sein de ce domaine, COBIT a pour objectif de garantir l efficacité et l efficience des systèmes technologiques en action. Il comporte 13 processus : Définir et gérer les niveaux de service Ce processus concerne la qualité du service rendu aux utilisateurs, les «service level agreements». Le SLA doit être défini en fonction des exigences et associé à un OLA («operating level agreement») qui précise le niveau que doivent atteindre les services techniques en vue de répondre aux SLA (débit des réseaux, dimension des mémoires ). Gérer les services fournis par l extérieur Il s agit de documenter les relations avec les fournisseurs, de gérer les risques (confidentialité, pérennité du fournisseur et du produit, pénalités...) et de mettre en œuvre un suivi de la performance des fournisseurs. Gérer les performances Il s agit d être en mesure de fournir la charge de travail anticipée, de minimiser le risque de blocage, de gérer la pénurie en cas de sous-capacité (prioriser les tâches, allocation de ressources). Toute panne doit faire l objet d un rapport se concluant par des recommandations. Assurer la continuité du service Il s agit d assurer une exploitation en continu minimisant le risque de panne sur les fonctions cruciales. (Gestion de crise en cas d incident, solutions de repli ) Assurer la sécurité du SI Une équipe doit être dédiée au sein de la DSI à la sécurité. Elle met en œuvre un plan de sécurité, définit la gestion des identifications et habilitations, détecte les attaques, documente les incidents, assure le chiffrement, met en œuvre les protections antivirus, firewalls Elle protège les données sensibles. Identifier et imputer les coûts Il s agit d évaluer le coût du SI et de l imputer aux utilisateurs (refacturation). 19 CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

21 Former et entraîner les utilisateurs Il s agit de former le personnel en tenant compte des besoins de l entreprise, de ses valeurs, du contenu du SI (infrastructure et applications), des besoins de compétences et des méthodes de formation (cours magistral, Intranet ). Gérer les incidents et le service desk Il s agit de fournir un dépannage en cas d incident. Le service desk reçoit les appels téléphoniques et les oriente vers l équipe compétente. Il assure la traçabilité de la réponse à l incident. Gérer la configuration Il faut établir un référentiel du matériel, du logiciel, des paramètres, de la documentation, comportant des identifiants, des numéros de version, des détails sur les licences Ce référentiel doit être à jour (toujours exacte) et être utilisé pour prévenir la mise en place de logiciels non autorisés. Gérer les problèmes Traiter un problème, cela suppose que l on ait su détecter des incidents répétés et que l on ait pu en conséquence améliorer le fonctionnement de l entreprise. Gérer les données Il ne s agit pas de l administration des données mais de la gestion physique des données : back-up et restauration des données, disponibilité, dispositifs de saisie et traitements, sécurité Gérer l environnement physique Il s agit de la gestion des locaux, des accès (périmètre de sécurité), de l alimentation électrique et télécoms, des risques divers (tempête ). Gérer l exploitation Il s agit de l organisation mise en place entre les acteurs (passage des consignes d une équipe à la suivante ), la supervision de la plate-forme, CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 20

22 D LE MONITORING Permet au management d évaluer la qualité et la conformité des processus informatiques aux exigences de contrôle. Au sein de ce domaine, COBIT cherche à vérifier si la solution mise en place est en adéquation avec les besoins de l entreprise dans une vision stratégique. Ce domaine comporte 4 processus : Suivre et évaluer la performance du SI Il s agit de définir des indicateurs de performance du SI (coût, rentabilité, niveau de service, alignement stratégique) et d agir si l on constate des dérapages. Suivre et évaluer le contrôle interne Il s agit de définir un contrôle interne au SI puis de rendre compte de son efficacité. Il est conseillé de faire des benchmarks, de faire procéder à des audits externes, de faire porter le contrôle également sur les fournisseurs, de définir et mettre en œuvre les actions pour remédier aux défauts constatés. Assurer la conformité à la réglementation Le SI doit être conforme à la réglementation notamment dans les domaines du commerce électronique, des échanges de données, de la confidentialité, du contrôle interne, du reporting financier, de la propriété intellectuelle, de l hygiène et de la sécurité, et des régulations spécifiques au secteur d activité. Assurer la gouvernance du SI Il s agit de définir les structures de l organisation, les processus, les pouvoirs de décision, les rôles et responsabilités de façon à pouvoir s assurer que le SI est conforme aux priorités et à la stratégie de l entreprise. Il est conseillé de faire appel à un auditeur externe pour valider cette organisation. 21 CNAM 2008 / 2009 GLG102 Techniques et Normes pour la qualité du logiciel

23 XI LES PERSPECTIVES En 2006, l'afai, le CIGREF et INEUMConsulting ont réalisé une enquête sur la maturité des entreprises françaises vis-à-vis de l IT Gouvernance. Il en est résulté que 75% des réponses étaient inférieures à 2,5 / 6 ce qui correspond à un début de formalisation. Il est indéniable que des marges de progression importantes sont envisageables dans les années à venir. CNAM 2007 / GLG102 Techniques et Normes pour la qualité du logiciel 22