Troisième Édition. AFAI Association Française de l'audit et du Conseil Informatiques 88, rue de Courcelles Paris

Transcription

1

2 Troisième Édition AFAI Association Française de l'audit et du Conseil Informatiques 88, rue de Courcelles Paris Tél. 33 (0) ISBN La Mission de COBIT : Rechercher, développer, faire connaître et promouvoir un ensemble d'objectifs de contrôle internationaux en technologies de l'information qui soient généralement acceptés, à jour, et fassent autorité, pour l'utilisation au jour le jour par les managers et les auditeurs ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE 1

3 COBIT L'Association Française de l'audit et du conseil Informatiques a été fondée en 1982 dans le but de regrouper tous les professionnels concernés par la maîtrise des systèmes d'information et de favoriser le développement des méthodes et des techniques d'audit et de contrôle de l'informatique. Sa mission est de promouvoir l'emploi de méthodologies et techniques contribuant à une meilleure maîtrise des systèmes d'information afin d'aider à améliorer les compétences de tous les intervenants dans le domaine de l'audit et du conseil informatiques. Aujourd'hui forte de plus de 400 adhérents, l'afai représente diverses fonctions au sein des entreprises : audit, informatique, finance et contrôle de gestion. En dehors de l'entreprise, auditeurs externes, consultants, experts comptables et commissaires aux comptes, sociétés de service et d'ingénierie informatique, experts judiciaires, juristes, enseignants et spécialistes de la sécurité informatique y sont aussi présents. L'Association tire sa force et sa richesse du caractère pluridisciplinaire de ses membres. L'AFAI est le chapitre français de l'information Systems Audit and Control Association (ISACA), groupement international de auditeurs et consultants informatiques et le représentant de l'it Governance Institute. L'AFAI maintient des relations étroites et permanentes avec les autres institutions (telles que la Compagnie Nationale des Commissaires aux Comptes, la Cour des Comptes, l'ifaci et l'ordre des Experts Comptables. Elle travaille également en collaboration avec l'université Paris Dauphine, le Conservatoire National des Arts et Métiers, le CLUSIF, le CIGREF, le Forum des Compétences, l'observatoire de la Qualité Comptable et l'afitep). Ces liens permettent d'organiser des échanges, des actions de formation, des manifestations communes et une veille technique. 2 ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE

4 SYNTHÈSE L e management efficace de l'information et des technologies associées est d'une importance capitale pour le succès et la survie d'une entreprise. Dans cette société de l'information globale - où l'information traverse le cyber-espace sans contrainte de temps, de distance et de vitesse - cette importance primordiale a pour origine : La dépendance croissante de l'information et des systèmes qui la délivrent ; Une vulnérabilité croissante et un large spectre de menaces, comme les «cyber» menaces et la guerre de l'information ; L'échelle et le coût des investissements actuels et futurs en information et systèmes d'information ; SYNTHÈSE Et le potentiel qu'ont les technologies à changer radicalement les entreprises et les pratiques des affaires, à créer de nouvelles opportunités et à réduire les coûts. Pour beaucoup d'entreprises, l'information et la technologie qui la supportent constituent les actifs les plus précieux. Bien plus, dans l'environnement très compétitif et aux évolutions rapides du monde des affaires, le management a des attentes plus fortes envers les fonctions fournies par l'informatique. Ainsi, le management exige une qualité, une utilité et une ergonomie accrue ; des délais de livraison raccourcis ; des niveaux de service continuellement améliorés - tout en exigeant que ceci soit accompli au moindre coût. Beaucoup d'entreprises reconnaissent les bénéfices potentiels apportés par la technologie. Cependant, les entreprises performantes comprennent et gèrent les risques associés à la mise en œuvre des nouvelles technologies. Il y a de nombreux changements dans les Technologies de l'information (TI) et leur environnement opérationnel. Ils accroissent la nécessité de mieux gérer les risques qui leur sont liés. Les processus critiques de l'entreprise sont désormais dépendants des TI et des données informatisées. De plus l'environnement réglementaire exige des contrôles plus stricts sur l'information. Á leur tour ces contrôles sont rendus nécessaires par la survenue de sinistres informatiques et l'augmentation de la fraude électronique. On admet maintenant que la gestion des risques liés aux TI est un élément clé de la gouvernance d'entreprise. Dans la gouvernance d'entreprise, la gouvernance des TI prend une importance de premier plan, et se définit comme une structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus. La gouvernance des TI est déterminante pour le succès de la gouvernance d'entreprise par l'apport d'améliorations efficaces, efficientes et mesurables dans les processus métiers. La gouvernance des TI fournit la structure qui relie les processus, les ressources et l'information à la stratégie et aux objectifs de l'entreprise. De plus la gouvernance des TI intègre et institutionnalise les bonnes (ou meilleures) pratiques qui visent à planifier et organiser, acquérir et mettre en place, distribuer et supporter, et surveiller les performances des TI pour s'assurer que l'information de l'entreprise et la technologie qui lui est liée vont dans le sens de ses objectifs métiers. La gouvernance des TI permet ainsi à l'entreprise de tirer pleinement profit de son information, maximisant ainsi ses bénéfices, capitalisant sur les opportunités qui se présentent, et gagnant un avantage concurrentiel. GOUVERNANCE DES TI Structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus. E n ce qui concerne leur patrimoine informationnel les entreprises doivent satisfaire aux exigences fiduciaires, ainsi qu'aux exigences de qualité et de sécurité comme pour tout actif. Le management doit aussi optimiser l'utilisation des ressources disponibles : données, systèmes d'applications, technologies, infrastructures et personnels. Pour s'acquitter de ces responsabilités, de même que pour atteindre ses objectifs, le management doit comprendre le statut de ses propres systèmes informatiques et décider de la sécurité et des contrôles nécessaires. ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE 3

5 COBIT SYNTHÈSE, suite L es Objectifs de Contrôle de l'information et des Technologies Associées (COBIT), qui en sont à leur 3 ème édition, aident à faire face aux multiples besoins du management en établissant des liens entre les risques métiers, les besoins de contrôle et les questions techniques. Il fournit les bonnes pratiques au travers d'un cadre de référence par domaine et par processus et présente les activités dans une structure logique et gérable. Pour COBIT, les «bonnes pratiques» signifient un consensus des experts - elles doivent aider à optimiser l'investissement en information, et fournissent des éléments d'appréciation lorsque quelque chose fonctionne mal. Le management doit mettre en place un cadre de référence ou un système de contrôle interne au niveau des processus de gestion, et on doit voir clairement comment chaque contrôle satisfait aux exigences d'information et a un impact sur les ressources. L'impact sur les ressources informatiques est mis en évidence dans le Cadre de Référence COBIT de même que les exigences d'efficacité, d'efficience, de confidentialité, d'intégrité, de disponibilité de l'information. Le contrôle, qui comprend les politiques, les structures organisationnelles, les pratiques et les procédures, est de la responsabilité du management. Le management, au travers de sa gouvernance d'entreprise, doit s'assurer que la diligence appropriée est exercée par tous les individus impliqués dans la gestion, l'utilisation, la conception, le développement, la maintenance ou l'exploitation des systèmes d'information. Un des Objectif de Contrôle des TI est l'exposé du résultat désiré ou du but à atteindre par la mise en œuvre de procédures de contrôle pour chaque activité de l'informatique. C OBIT est principalement orienté gestion. Il est conçu non seulement pour être employé par les utilisateurs et les auditeurs mais également, ce qui est plus important, par le management et les responsables des processus de gestion en tant que guide exhaustif. De plus en plus, la pratique des affaires implique la pleine montée en puissance des responsables des processus de gestion, afin qu'ils exercent l'entière responsabilité de tous les aspects des processus de gestion. En particulier, ceci implique de mettre en place les contrôles adéquats. Le Cadre de Référence COBIT fournit un outil qui facilite la délégation de responsabilité pour le responsable d'un processus de gestion. Le Cadre de Référence part d'une prémisse simple et pragmatique : Pour fournir les informations dont l'entreprise a besoin pour réaliser ses objectifs, les ressources informatiques doivent être gérées par un ensemble de processus naturellement regroupés. Viennent ensuite un ensemble de 34 Objectifs de Contrôle généraux, un pour chacun des processus informatiques, regroupés en 4 domaines : planification et organisation, acquisition et mise en place, distribution et support, et surveillance. Cette structure couvre tous les aspects de l'information et de la technologie qui la soutient. En se référant à ces 34 objectifs de contrôle généraux, le responsable d'un processus de gestion peut s'assurer qu'un système de contrôle adéquat est mis en œuvre pour l'environnement informatique. a Gouvernance des TI se retrouve dans le LCadre de Référence COBIT. La gouvernance des TI fournit la structure qui relie les processus, les ressources et l'information à la stratégie et aux objectifs de l'entreprise. La gouvernance des TI intègre les meilleures façons de planifier et organiser, acquérir et mettre en place, distribuer et supporter, et finalement surveiller les TI et leurs performances. La gouvernance des TI permet ainsi à l'entreprise de tirer pleinement profit de son information, maximisant ainsi ses bénéfices, capitalisant sur les opportunités qui se présentent, et gagnant un avantage concurrentiel. De plus, pour chacun de ces 34 objectifs de contrôle généraux, un Guide d'audit permet la révision des processus informatiques, grâce aux 318 propositions d'objectifs de contrôle détaillés de COBIT qui fournissent au management une assurance et/ou des conseils d'amélioration. e Guide de Management, publication la plus Lrécente de COBIT, va plus loin en permettant au management de faire face plus efficacement aux besoins et aux exigences de la gouvernance des TI. Ce Guide de Management est générique et orienté vers l'action ; il fournit des conseils de gestion pour mettre sous contrôle l'information de l'entreprise et les processus qui lui sont liés, pour surveiller la réalisation des objectifs ainsi que les performances de chaque processus informatisé, et enfin pour soumettre les réalisations de l'entreprise à des tests comparatifs. 4 ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE

6 SYNTHÈSE Plus particulièrement COBIT fournit des Modèles de Maturité adaptés aux contrôles des processus informatiques, de façon à ce que le management puisse mesurer la distance qui sépare l'entreprise de ses concurrents les mieux placés, des standards internationaux, et des objectifs qu'elle se fixe ; des Facteurs Clés de Succès qui définissent les principes d'implémentation orientés gestion les plus importants pour réussir à établir un contrôle sur et au sein même de ses processus informatiques ; des Indicateurs Clés d'objectif qui définissent des mesures qui permettent au management de savoir a posteriori dans quelle mesure le processus a atteint ses objectifs métiers ; et des Indicateurs Clés de Performance, indicateurs de pilotage, qui définissent des mesures permettant de savoir a priori la capacité du processus informatique à favoriser la réalisation de l'objectif. Le Guide de Management COBIT est générique et orienté vers l'action dans le but de répondre aux types de questions suivantes du management : Jusqu'où devons-nous aller, et les bénéfices justifient-ils le coût? Quels sont les indicateurs d'une bonne performance? Quels sont les facteurs clés du succès? Quels sont les risques que nous prendrions en ne réalisant pas nos objectifs? Que font les autres? Comment effectuer des mesures et des comparaisons? COBIT contient aussi des Outils de Mise en Oeuvre qui restituent l'expérience acquise auprès des entreprises qui ont appliqué rapidement et avec succès COBIT dans leur environnement de travail. Ils intègrent également un guide de mise en œuvre comprenant deux outils utiles d'analyse de l'environnement de contrôle informatique des organisations : le Diagnostic de Sensibilisation du Management et le Diagnostic de Contrôle de l'informatique. Au cours des prochaines années le management des entreprises devra démontrer qu'il peut atteindre des niveaux de sécurité et de contrôle plus élevés. COBIT est un outil qui permet aux managers de faire le lien entre le respect des exigences de contrôle, les problèmes techniques et les risques de gestion et de communiquer ce niveau de contrôle aux tiers concernés. COBIT permet le développement d'une politique claire et de bonnes pratiques pour la maîtrise des TI dans toutes les organisations à travers le monde. Ainsi COBIT est conçu pour être l'outil innovant de gouvernance des TI qui aide à comprendre et gérer les risques et les avantages relatifs à l'information et aux technologies associées. ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE 5

7 COBIT LES QUATRE DOMAINES DES PROCESSUS DE COBIT Objectifs de l Entreprise Gouvernance des Technologies de l Information S1 Surveiller les processus S2 Evaluer l'adéquation du contrôle interne S3 Acquérir une assurance indépendante S4 Disposer d'un audit indépendant Surveillance COBIT Information efficacité efficience confidentialité intégrité disponibilité conformité fiabilité PO1 Définir un plan informatique stratégique PO2 Définir l architecture de l information PO3 Déterminer l orientation technologique PO4 Définir l organisation et les relations de travail PO5 Gérer l investissement informatique PO6 Faire connaître les buts et les orientations du management PO7 Gérer les ressources humaines PO8 Se conformer aux exigences externes PO9 Evaluer les risques PO10 Gérer les projets PO11 Gérer la qualité Planification et Organisation DS1 Définir et gérer des niveaux de service DS2 Gérer des services tiers DS3 Gérer la performance et la capacité DS4 Assurer un service continu DS5 Assurer la sécurité des systèmes DS6 Identifier et imputer les coûts DS7 Instruire et former les utilisateurs DS8 Assister et conseiller les clients DS9 Gérer la configuration DS10 Gérer les problèmes et les incidents DS11 Gérer les données DS12 Gérer les installations DS13 Gérer l exploitation Ressources Informatiques Distribution et Support données applications technologies installations personnel Acquisition et Mise en place AMP1 Trouver des solutions informatiques AMP2 Acquérir des applications et en assurer la maintenance AMP3 Acquérir une infrastructure technologique et en assurer la maintenance AMP4 Développer les procédures et en assurer la maintenance AMP5 Installer les systèmes et les valider AMP6 Gérer les changements 6 ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE

8 SYNTHÈSE LE CADRE DE RÉFÉRENCE LE BESOIN DE MAÎTRISE DES TECHNOLOGIES DE L'INFORMATION Depuis quelques années il devient de plus en plus évident qu'il existe un besoin de disposer d'un cadre de référence en matière de sécurité et de contrôle des TI. A tous les niveaux, les entreprises performantes ont besoin d'avoir une appréciation et une connaissance de base des risques et des contraintes liées aux TI pour assurer un management efficace et mettre en place des contrôles adéquats. LE MANAGEMENT doit décider des investissements raisonnables à effectuer pour assurer la sécurité et la maîtrise des TI, et ajuster ses investissements en fonction du risque dans l'environnement souvent imprévisible des TI. Si la sécurité et le contrôle des systèmes d'information aident à gérer les risques, ils ne les éliminent pas. De plus, le niveau exact du risque ne peut jamais être connu, car il y a toujours un certain degré d'incertitude. Enfin, le management doit décider du niveau de risque qu'il est disposé à accepter. Juger quel niveau peut être toléré, et particulièrement quand il est évalué en regard des coûts, est une décision de management difficile à prendre. Par conséquent, le management a clairement besoin d'un cadre de pratiques communément acceptées concernant la sécurité et la maîtrise des TI, afin de réaliser une analyse comparative de l'environnement informatique existant et envisagé. LES UTILISATEURS des services informatiques éprouvent le besoin croissant d'avoir l'assurance, via l'accréditation et l'audit des services informatiques fournis par une structure interne ou par des tiers, qu'il existe réellement une sécurité et un contrôle adaptés. Toutefois, aujourd'hui, la mise en œuvre de contrôles informatiques satisfaisants au sein des systèmes d'information, qu'ils soient commerciaux, à but non lucratif ou gouvernementaux, se heurte à une certaine confusion. Cette confusion provient de différentes méthodes d'évaluation telles que ITSEC, TCSEC, ISO 9000, l'apparition des évaluations de contrôle interne du COSO, etc. Par conséquent, les utilisateurs ont besoin que des fondements généraux soient établis en tout premier lieu. LES AUDITEURS ont souvent été les premiers à s'investir dans une standardisation valable au niveau international parce qu'ils sont constamment confrontés au besoin de justifier leur opinion sur le contrôle interne auprès du management. Sans cadre de référence, ceci s'avère être une tâche extrêmement difficile. De plus, le management fait de plus en plus souvent appel à des auditeurs pour réaliser des expertises et faire du conseil de façon proactive en matière de sécurité et de contrôle des TI. LE MONDE DES AFFAIRES : CONCURRENCE, ÉVOLUTION ET COÛT La concurrence est mondiale. Les entreprises se restructurent pour rationaliser leurs activités et, conjointement profiter des progrès des TI afin d'améliorer leur compétitivité. La ré-ingénierie de l'entreprise, la recherche de la taille idéale, l'externalisation, l'augmentation du pouvoir, la réduction des niveaux hiérarchiques et la décentralisation sont autant de changements qui influent sur le fonctionnement des entreprises et des organismes gouvernementaux. Ces changements ont et continueront d'avoir des répercussions profondes sur les structures de management et de fonctionnement des entreprises dans le monde entier. Mettre en avant la compétitivité et le rapport coûtefficacité implique une confiance toujours accrue dans les technologies qui deviennent une composante essentielle de la stratégie de la plupart des entreprises. L'automatisation des fonctions de l'entreprise dicte, de par sa nature même, l'incorporation de mécanismes de contrôle plus puissants dans les ordinateurs et les réseaux, qui s'appuient à la fois sur le matériel et le logiciel. De plus, les caractéristiques structurelles fondamentales de ces contrôles évoluent à la même vitesse et de la même manière, par bonds successifs, que les technologies sous-jacentes de l'informatique et des réseaux. Si, au sein de cet environnement de changements qui s'accélèrent, le management, les spécialistes des systèmes d'information et les auditeurs veulent pouvoir être en mesure de remplir pleinement leur rôle, leurs compétences doivent évoluer aussi rapidement que la technologie et l'environnement. ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE 7

9 COBIT Il convient de bien comprendre la technologie des contrôles concernés et sa nature évolutive pour pouvoir ensuite juger raisonnablement et prudemment de la pertinence des pratiques de contrôle telles qu'on peut les trouver dans les entreprises classiques ou les organismes gouvernementaux. ÉMERGENCE DE LA GOUVERNANCE D'ENTREPRISE ET DE LA GOUVERNANCE DES TI Pour réussir dans cette économie de l'information, la gouvernance d'entreprise et celle des TI ne doivent plus être considérées comme des disciplines séparées et distinctes. Une gouvernance d'entreprise efficace se concentre sur l'expertise et l'expérience des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure les performances, et prévoit une assurance pour les points critiques. Les TI, longtemps considérées seulement comme un élément de plus en faveur de la stratégie de l'entreprise, doivent maintenant être considérées comme partie intégrante de cette stratégie. La gouvernance des TI fournit la structure qui relie les processus, les ressources et l'information à la stratégie et aux objectifs de l'entreprise. La gouvernance des TI intègre et institutionnalise les meilleures manières de planifier et organiser, acquérir et mettre en oeuvre, distribuer et supporter, et finalement surveiller les performances des TI. La gouvernance des TI est déterminante pour le succès de la gouvernance d'entreprise par l'apport d'améliorations efficaces, efficientes et mesurables dans les processus métiers. La gouvernance des TI permet ainsi à l'entreprise de tirer pleinement profit de son information, maximisant ainsi ses bénéfices, capitalisant sur les opportunités qui se présentent, et gagnant un avantage concurrentiel. Lorsqu'on examine les interactions entre les processus de gouvernance d'entreprise et les processus de gouvernance des TI plus en détail, la gouvernance d'entreprise, qui est le système par lequel les entités sont dirigées et contrôlées, pilote et définit les paramètres de la gouvernance des TI. En même temps, les TI doivent constituer une composante importante des plans stratégiques et leur apporter des données essentielles. Les TI doivent en fait influencer les opportunités stratégiques mises en avant par l'entreprise. LA GOUVERNANCE D'ENTREPRISE définit et pilote LA GOUVERNANCE DES TI Les activités de l'entreprise ont besoin d'informations provenant des activités informatiques pour que les objectifs soient atteints. Dans les entreprises qui réussissent la planification stratégique et les activités informatiques sont étroitement liées. Les TI doivent être en ligne avec l'entreprise et lui permettre de tirer pleinement profit de son information, de façon à ce qu'elle accroisse ainsi ses bénéfices, capitalise sur les opportunités qui se présentent, et gagne un avantage concurrentiel. LES ACTIVITÉS DE L'ENTREPRISE ont besoin d'informations PROVENANT DES ACTIVITÉS DES TI Pour atteindre leurs objectifs les entreprises sont gouvernées par des pratiques généralement adoptées parce qu'elle sont considérées comme bonnes (ou comme les meilleures ), ce qui est garanti par certains contrôles. De ces objectifs découlent les orientations de l'entreprise, qui dictent les choix de certaines activités et l'utilisation des ressources de l'entreprise. Les résultats des activités de l'entreprise sont mesurés, ce qui donne lieu à des rapports, fournissant ainsi des informations aux processus de révision et de maintenance permanents, relançant ainsi le cycle. 8 ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE

10 SYNTHÈSE Gouvernance d'entreprise Objectifs Contrôler Orienter Rendre compte Activités de l'entreprise Utilisation Ressources Les TI sont également gouvernées par les bonnes (ou les meilleures) pratiques, de façon à garantir que les informations de l'entreprise et les technologies associées s ont bien orientées vers les objectifs métiers, que les ressources sont utilisées de façon responsable, et que les risques sont gérés comme il convient. Ces pratiques constituent une base pour le management des activités des TI, que l'on peut répartir dans les catégories planifier et organiser, acquérir et mettre en place, distribuer et supporter, et finalement surveiller, dans le double but de gérer les risques (pour gagner en sécurité, fiabilité et conformité), et de réaliser des bénéfices (en augmentant l'efficacité et l'efficience). On fait des rapports sur les résultats des activités des TI, on les mesure au moyen des différents contrôles, puis le cycle recommence. Gouvernance des TI OBJECTIFS ORIENTER ACTIVITÉS TI Les TI vont dans le sens de l'entreprise, lui facilite la tâche, et augmente ses bénéfices Planifier Faire Vérifier Planification et Organisation Acquisition et Mise en Place Distribution et Support Les ressources informatiques sont utilisées de façon responsable Les risques liés aux TI sont bien gérés CONTRÔLER Corriger Gérer les risques Sécurité Fiabilité Conformité Faire des Bénéfices Augmenter l'automatisation être performant Diminuer les coûts être rentable Surveillance RENDRE COMPTE Pour être sûr d'atteindre ses objectifs, le management doit orienter et gérer les activités des TI pour arriver à un équilibre réel entre la gestion des risques et la recherche de bénéfices. Dans ce but le management doit identifier les activités les plus importantes, mesurer les progrès vers le but, et déterminer à quel point les processus fonctionnent bien. De plus il doit avoir la capacité à évaluer le niveau de maturité de l'entreprise par comparaison avec les meilleures pratiques de la profession et les standards internationaux. A l'appui de ces besoins du management, le Guide de Management COBIT a identifié des Facteurs Clés de Succès, des Indicateurs Clés d'objectifs, des Indicateurs Clés de Performance, et un Modèle de Maturité spécifiques pour la gouvernance des TI ; ils sont présentés dans l'annexe I. ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE 9

11 COBIT RÉPONSE AU BESOIN Dans la perspective de ces changements permanents, le développement de ce cadre de référence pour les objectifs de contrôle des TI, allié à la recherche appliquée sur les contrôles des TI basés sur ce cadre, constituent les pierres angulaires d'un progrès efficace dans le domaine du contrôle des systèmes d'information et des technologies associées. D'une part, nous avons assisté au développement et à la publication de modèles généraux de contrôle de l'entreprise tels que COSO (Commitee of Sponsoring Organisations of the Treadway Commission-Internal Control-Integrated Framework, 1992) aux Etats-Unis, Cadbury en Grande-Bretagne, CoCo au Canada et King en Afrique du Sud. D'autre part, il existe un nombre important de modèles de contrôle plus spécifiques concernant les TI. Dans cette dernière catégorie, on trouve par exemple le Code de Sécurité de Conduite émis par le DTI (Department of Trade and Industry, G.B.), le Guide de Contrôle des TI émis par le CICA (Canadian Institute of Chartered Accountants, Canada) et le Manuel de Sécurité émis par le NIST(National Institute of Standards and Technology, U.S.A.). Cependant, ces modèles de contrôle spécifiques ne fournissent pas de modèle à la fois complet et utilisable pour le contrôle des TI en tant que support des processus métier. L'objectif de COBIT est de combler cette lacune en proposant un modèle de base étroitement lié aux objectifs de l'entreprise tout en s'intéressant plus particulièrement aux TI. (Le document récemment publié par l'aicpa/cica, SysTrust TM : Principes et Critères de fiabilité des systèmes est étroitement lié à COBIT. SysTrust est une publication commune de l'assurance Services Executive Committee aux USA et de l'assurance Services Development Board au Canada, basé en partie sur les Objectifs de Contrôle de COBIT. Elle fait autorité. SysTrust est conçu pour faciliter le travail du management, des clients et des partenaires commerciaux dans l'utilisation de systèmes d'aide à la gestion d'entreprises ou d'activités particulières. Le service SysTrust exige que l'expert comptable fournisse l'assurance qu'il a évalué et testé la fiabilité d'un système par rapport à quatre critères essentiels : disponibilité, sécurité, intégrité et capacité à être maintenu.) La mise en évidence des besoins de l'entreprise en matière de contrôles des TI ainsi que la mise en application de modèles de contrôle naissants et des normes internationales afférentes ont fait évoluer les Objectifs de Contrôle de l'isaca, jusque là outil d'auditeur, vers un outil de management, COBIT. De plus l'élaboration du Guide de Management a conduit COBIT à l'étape suivante en fournissant au management des Indicateurs Clés d'objectifs (ICO), des Indicateurs Clés de Performance (ICP), des Facteurs Clés de Succès (FCS) et des Modèles de Maturité, pour lui permettre d'évaluer son environnement des TI et de faire des choix de mise en place de contrôles et d'amélioration des contrôles sur l'information de l'entreprise et sur la technologie associée. C'est pourquoi, le principal objectif du projet COBIT est de développer des politiques claires et des bonnes pratiques dans les domaines de la sécurité et du contrôle des TI, et de les soumettre à l'approbation générale du monde commercial, gouvernemental ou professionnel. Ce projet se fixe comme but de développer ces objectifs de contrôle sur la base des objectifs et des besoins de l'entreprise. Ceci est conforme à la perspective du COSO qui est avant tout un cadre de référence de gestion du contrôle interne. Par la suite, des objectifs de contrôle ont été développés dans la perspective des objectifs d'audit (certification des informations financières, certification des dispositifs de contrôle interne, efficience et efficacité, etc.). DESTINATAIRES : LE MANAGEMENT, LES UTILISATEURS ET LES AUDITEURS COBIT est destiné à trois publics différents : LE MANAGEMENT : pour l'aider à peser les risques et contrôler les investissements dans un environnement TI souvent imprévisible. LES UTILISATEURS : pour obtenir des garanties concernant la sécurité et les contrôles des services informatiques fournis en interne ou par des tiers. LES AUDITEURS : pour justifier leur opinion et/ou donner des conseils au management sur les contrôles internes. 10 ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE

12 SYNTHÈSE ORIENTATION : OBJECTIFS DE L'ENTREPRISE COBIT est essentiellement orienté vers les objectifs de l'entreprise. Les Objectifs de Contrôle établissent un lien clair et distinct avec les objectifs de l'entreprise afin d'avoir une utilisation significative en dehors de la communauté de l'audit. Les Objectifs de Contrôle sont définis sous forme de processus suivant les principes de réingénierie de l'entreprise. Face à des domaines et des processus déterminés, on identifie un objectif de contrôle général et on élabore un raisonnement logique pour documenter le lien vers les objectifs de l'entreprise. A la suite de quoi, on fournit des avis et des recommandations pour définir et mettre en œuvre l'objectif de Contrôle des TI. La classification des domaines où les objectifs de contrôle généraux s'appliquent (les domaines et les processus), l'indication des besoins d'information de l'entreprise dans un domaine précis ainsi que les ressources informatiques concernées au premier chef par l'objectif de contrôle, constituent le Cadre de Référence COBIT. Le Cadre de Référence est fondé sur des travaux de recherche qui ont identifié 34 objectifs généraux et 318 objectifs de contrôle détaillés. Le Cadre de Référence a été présenté à la profession des TI et aux professionnels de l'audit pour analyse, discussion et remarques. A la lumière de ce débat, des modifications ont été apportées. DÉFINITIONS GÉNÉRALES Pour comprendre COBIT, il est utile de préciser quelques définitions. Le "Contrôle " est une adaptation du Rapport COSO [Internal Control - Ingrated Framework, Comittee of Sponsoring Organisations of the Treadway Commission, 1992], - NDLR : traduit en français sous le titre La nouvelle pratique du contrôle interne, aux Éditions d'organisation- et l'"objectif de Contrôle des TI" est une adaptation du Rapport SAC [Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 et 1994], - NDLR : édité en français sous le titre Audit et Contrôle des Systèmes d'information]-. Contrôle Objectif de Contrôle des TI Gouvernance des TI Les politiques, procédures, pratiques et structures organisationnelles destinées à fournir une assurance raisonnable que les objectifs de l'entreprise seront atteints et qu'on préviendra, détectera et corrigera les événements indésirables. Énoncé du résultat désiré ou du but à atteindre au moyen de procédures de contrôle dans une activité informatique particulière. Ensemble structuré de relations et de processus destinés à diriger et contrôler l'entreprise pour lui permettre d'atteindre ses objectifs en ajoutant de la valeur, tout en trouvant le bon équilibre entre risques et avantages dans ses technologies de l'information et ses processus. Le diagramme ci-dessous illustre le concept de base de COBIT : pour fournir à l'entreprise les informations dont elle a besoin pour réaliser ses objectifs, les ressources informatiques doivent être gérées par un ensemble de processus naturellement regroupés. S1 Surveiller les processus S2 Evaluer l'adéquation du contrôle interne S3 Acquérir une assurance indépendante S4 Disposer d'un audit indépendant DS1 Définir et gérer des niveaux de service DS2 Gérer des services tiers DS3 Gérer la performance et la capacité DS4 Assurer un service continu DS5 Assurer la sécurité des systèmes DS6 Identifier et imputer les coûts DS7 Instruire et former les utilisateurs DS8 Assister et conseiller les clients DS9 Gérer la configuration DS10 Gérer les problèmes et les incidents DS11 Gérer les données DS12 Gérer les installations DS13 Gérer l exploitation Objectifs de l Entreprise Gouvernance des Technologies de l Information Surveillance COBIT Information efficacité efficience confidentialité intégrité disponibilité conformité fiabilité Ressources Informatiques données applications technologies installations personnel Distribution et Support PO1 Définir un plan informatique stratégique PO2 Définir l architecture de l information PO3 Déterminer l orientation technologique PO4 Définir l organisation et les relations de travail PO5 Gérer l investissement informatique PO6 Faire connaître les buts et les orientations du management PO7 Gérer les ressources humaines PO8 Se conformer aux exigences externes PO9 Evaluer les risques PO10 Gérer les projets PO11 Gérer la qualité Planification et Organisation Acquisition et Mise en place AMP1 Trouver des solutions informatiques AMP2 Acquérir des applications et en assurer la maintenance AMP3 Acquérir une infrastructure technologique et en assurer la maintenance AMP4 Développer les procédures et en assurer la maintenance AMP5 Installer les systèmes et les valider AMP6 Gérer les changements ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE 11

13 COBIT COBIT : HISTORIQUE ET CONTEXTE La 3 ème édition de CobiT est la version la plus récente des Objectifs de Contrôle de l'information et des Technologies Associées publiés à l'origine par Systems Audit and Control Foundation (ISACF) en La 2 nde édition, caractérisée par une augmentation du nombre des sources, une révision des objectifs de contrôle tant généraux que détaillés, et l'ajout des Outils de Mise en Oeuvre, est sortie en La 3 ème édition marque l'entrée d'un nouvel éditeur pour CobiT : l'it Governance Institute. L'IT Governance Institute s'est formé en 1998 à partir de l'information Systems Audit and Control Association (ISACA) et de la fondation qui lui est associée, dans le but de faire progresser la compréhension et l'adoption des principes de la gouvernance des TI. Du fait de l'ajout du Guide de Management à la 3 ème édition de COBIT et de l'importance accrue donnée à la gouvernance informatique, l'it Governance Institute a joué un rôle majeur dans l'élaboration de cette édition. COBIT était basé à l'origine sur les Objectifs de Contrôle de l'isacf, et s'est enrichi des normes et standards internationaux existants ou émergeants spécifiques à cette activité, dans les domaines techniques, professionnels et réglementaires. Les objectifs de contrôle qui en résultent ont été élaborés pour s'appliquer à des systèmes qui fonctionnent à l'échelle de toute une entreprise ou organisation. L'expression "généralement applicable et accepté" est utilisé explicitement dans le même sens que les Principes Comptables Généralement Acceptés (Generally Accepted Accounting Principles, GAAP). COBIT est d'une taille relativement modeste et s'efforce d'être à la fois pragmatique et réactif vis à vis des besoins professionnels, tout en restant indépendant de la plate-forme technique adoptée par l'entreprise. Tout en n'excluant aucun autre standard accepté dans le domaine du contrôle des systèmes d'information qui ait pu se faire jour au cours de la recherche, les sources identifiées sont : Les standards techniques proposés par ISO, EDIFACT, etc. Les Codes de Conduite proposés par le Conseil de l'europe, l'ocde, l'isaca, etc. Les critères de qualification pour les systèmes informatiques et les processus ; ITSEC, TCSEC, ISO 9000, SPICE, TickIT, Common Criteria, etc. Les standards professionnels du contrôle interne et de l'audit ; COSO, IFAC, AICPA, CICA, ISACA, IIA, PCIE, GAO, etc. Les pratiques et exigences métiers proposées par les forums professionnels (ESF, I4) ainsi que les plates-formes soutenues par les gouvernements (IBAG, NIST, DTI), etc., et Les exigences spécifiques aux secteurs de la banque, du commerce électronique et de la fabrication de TI. 12 ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE

14 SYNTHÈSE ÉVOLUTION DES PRODUITS COBIT COBIT évoluera au fil des années et constituera la base de nouvelles recherches. Une famille de produits COBIT verra ainsi le jour et au fur et à mesure, les tâches et activités qui servent de structure à la constitution des objectifs de contrôle s'affineront davantage, et l'équilibre entre les domaines et les processus sera révisé à la lumière des modifications du paysage professionnel. La Recherche et la publication ont été rendus possibles grâce à des aides financières significatives de PricewaterhouseCoopers et aux donations des différentes chapitres de l'isaca ainsi que de différents membres du monde entier. Le European Security Forum (ESF) a aimablement mis à disposition les documents de recherche utiles à ce projet. Le Gartner Group a aussi participé à son élaboration, et a réalisé la revue d'assurance qualité du Guide de Management. Famille des produits COBIT SYNTHÈSE OUTILS DE MISE EN ŒUVRE GUIDE DE MANAGEMENT CADRE DE RÉFÉRENCE incluant les Objectifs de Contrôle Généraux OBJECTIFS DE CONTRÔLE DÉTAILLÉS GUIDE D'AUDIT Synthèse Études de cas FAQ Présentations PowerPoint Guide de mise en œuvre Diagnostics de sensibilisation du management Diagnostics de contrôle des TI Modèles de Maturité Facteurs Clés de Succès Indicateurs Clés d'objectif Indicateurs Clés de Performance ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE 13

15 Annexe I COBIT GUIDE DE MANAGEMENT DE LA GOUVERNANCE DES TI Le Guide de Management et le Modèle de Maturité qui suivent définissent les Facteurs Clés de Succès (FCS), les Indicateurs Clés d'objectif (ICO), les Indicateurs Clés de Performance (ICP), et les Modèles de Maturité pour la Gouvernance des TI. On définit d'abord la gouvernance des TI qui s'articule sur les besoins de l'entreprise. Puis on identifie les critères d'information associés à la gouvernance des TI. Les besoins de l'entreprise sont mesurés par les ICO et facilités par un ordre de contrôle, mobilisé par toutes les ressources informatiques. L'exécution de l'ordre de contrôle est mesurée par les ICP, qui prennent en compte les FCS. Le Modèle de Maturité est utilisé pour évaluer le niveau de performance du processus de gouvernance des TI entre : Inexistant (le niveau le plus bas), Initial/Au cas par cas, Reproductible mais Intuitif, Défini, Géré et Mesurable, et Optimisé (le niveau le plus élevé). Pour que la gouvernance des TI atteigne le niveau de maturité Optimisé, une entreprise doit être au moins au niveau Optimisé dans le domaine de la Surveillance et au moins au niveau Géré et Mesurable dans tous les autres domaines. (Voir le Guide de Management pour le détail de l'utilisation de ces outils) 14 ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE

16 SYNTHÈSE GUIDE DE MANAGEMENT DE LA GOUVERNANCE DES TI La Gouvernance des technologies de l'information et de ses processus avec comme objectif d'ajouter de la valeur à l'entreprise tout en trouvant le bon équilibre entre les risques et les bénéfices assure à l'entreprise la fourniture d'informations qui répondent aux Critères d'information voulus, ce que mesurent les Indicateurs Clés d'objectif est facilité par la création et la maintenance d'un système visant l'excellence des processus et des contrôles, adapté à l'activité, et qui veille à ce que les TI apportent de la valeur à l'entreprise prend en compte les Facteurs Clés de Succès qui mobilisent toutes les ressources informatiques spécifiques, et les évalue au moyen des Indicateurs Clés de Performance Facteurs Clés de Succès Les activités de gouvernance des TI sont intégrées dans le processus de gouvernance de l'entreprise et dans les comportements des responsables au plus haut niveau La gouvernance des TI se concentre sur les buts de l'entreprise, ses initiatives stratégiques, l'utilisation des technologies pour améliorer l'activité, et sur la disponibilité de ressources et de capacités suffisantes pour faire face aux demandes des métiers On a défini pour les activités de gouvernance des TI un objectif clair, documenté et implémenté, basé sur les besoins de l'entreprise, avec des responsabilités bien définies On a mis en place des pratiques de gestion pour augmenter l'utilisation efficiente et optimale des ressources ainsi que l'efficacité des processus informatiques On a établi des pratiques qui permettent : une surveillance fiable ; une culture et un environnement de contrôle ; l'évaluation des risques comme pratique standard ; un bon degré d'adhésion aux standards établis ; la surveillance et le suivi des risques et des défaillances des contrôles On a défini des pratiques de contrôle pour éviter les ruptures de contrôle interne et de surveillance Les processus informatiques les plus complexes comme la gestion des problèmes, la gestion des changements et celle de la configuration sont intégrés et interagissent entre eux facilement On a créé un comité d'audit qui a la charge de choisir un auditeur indépendant et de suivre son travail, qui est axé sur les TI lorsqu'il pilote les plans d'audit, et qui révise les résultats des audits ainsi que les revues faites par des tiers Critères d'information efficacité efficience confidentialité intégrité disponibilité conformité fiabilité Indicateurs Clés d'objectif Annexe I Ressources Informatiques personnes applications technologies installations données Amélioration de la gestion des performances et des coûts Amélioration du retour sur les investissements informatiques majeurs Réduction du délai de mise sur le marché Amélioration de la gestion de la qualité, de l'innovation et des risques Élargissement de la clientèle, et satisfaction de la clientèle existante Amélioration de la disponibilité de la bande passante, de la puissance de traitement et des mécanismes de fournitures de services informatiques Exigences et attentes du client du processus satisfaites dans le respect des délais et des coûts Respect des lois, règlements, standards professionnels et engagement contractuels Transparence dans la prise de risques et respect du cadre convenu de profil de risque de l'entreprise Tests comparatifs appliqués à la maturité de la gouvernance des TI Création de nouveaux canaux de distribution de services Indicateurs Clés de Performance Meilleure rentabilité des processus informatiques (coûts versus livrables) Plus grand nombre de plans d'actions informatiques d'initiatives d'amélioration des processus Plus grande utilisation des infrastructures informatiques Plus grande satisfaction des parties concernées (sondages, nombre de plaintes) Plus grande productivité (nombre de livrables) et motivation (sondages) des personnels Plus grande disponibilité des connaissances et des informations nécessaires à la gestion de l'entreprise Plus grand nombre de liens entre l'informatique et la gouvernance d'entreprise Amélioration de la performance mesurée par les tableaux de bord équilibrés des TI ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE 15

17 Annexe I Gouvernance des TI Modèle de Maturité La Gouvernance des technologies de l'information et de ses processus avec comme objectif d'ajouter de la valeur à l'entreprise tout en trouvant le bon équilibre entre les risques et les bénéfices est : 0 Inexistante Il y a un manque complet de tout processus de gouvernance des TI reconnaissable. L'entreprise n'envisage même pas qu'il puisse y avoir là un problème à examiner et il n'y a donc pas de communication sur ce thème. 1 Initialisée, au cas par cas On voit que l'entreprise considère qu'il existe un problème de gouvernance des TI qu'il faut examiner. Il n'y a cependant pas de processus standardisés, mais au contraire des approches individuelles, au cas par cas. L'approche du management est désordonnée, et la communication sur ces questions ainsi que la manière de les traiter sont sporadiques et ne montrent aucune méthode. On admet parfois la part prise par les TI dans les performances de certains processus métiers. Il n'y a pas de processus d'évaluation standard. La surveillance des TI n'est mise en place qu'en réaction à des incidents qui ont pu causer des pertes ou une gêne à l'entreprise. 2 Reproductible, mais intuitive On est globalement conscient du besoin de gouvernance des TI. Cette activité, ainsi que les indicateurs de performance, sont en cours de développement, et incluent la planification informatique et les processus de distribution et de surveillance. Dans le même esprit on inclut formellement les activités de gouvernance des TI dans le processus de gestion des modifications de l'entreprise, sous la supervision de la Direction Générale qui s'implique dans cette activité. On sélectionne certains processus informatiques pour améliorer et/ou contrôler les processus essentiels de l'entreprise ; on les planifie et on les surveille ; ce sont des investissements qui font partie d'un cadre défini d'architecture des TI. Le management a déterminé les étalons de mesure de base de la gouvernance des TI ainsi que les méthodes et techniques d'évaluation, cependant ce processus n'est pas encore adopté dans l'ensemble de l'entreprise. La formation n'est pas organisée formellement. Ce sont des COBIT initiatives individuelles qui ont en charge les standards et la responsabilité de la gouvernance des TI, et qui pilotent les processus de gouvernance dans les différents projets et processus informatiques. On choisit et on utilise des outils de gouvernance limités pour collecter les résultats chiffrés de gouvernance, mais on ne les utilise sans doute pas autant qu'on le pourrait faute de bien connaître toutes leurs fonctionnalités. 3 Définie On a compris et accepté le besoin de gouvernance des TI. On a développé un premier ensemble d'indicateurs pour lesquels on a défini les liens entre les mesures de résultats et les éléments qui conditionnent la performance, on les a documenté et on les a intégré dans la planification stratégique et opérationnelle et dans les processus de surveillance. On a standardisé, documenté et implémenté les procédures. Le management a fait de la communication sur ces procédures standardisées et on a mis en place des formations encore informelles. On enregistre et on fait le suivi des indicateurs de performance pour toutes les activités de gouvernance des TI, ce qui conduit à des améliorations à l'échelle de l'entreprise. Quoique quantifiables, les procédures ne sont pas très élaborées ; elles sont le résultat de la formalisation des pratiques existantes. On a standardisé les outils en utilisant les techniques courantes du moment. L'entreprise est en train d'adopter les idées du Tableau de Bord Équilibré des TI. On laisse cependant à chacun l'initiative de se former, d'adopter et d'appliquer les standards. L'analyse causale n'est appliquée qu'occasionnellement. La plupart des processus sont surveillés au moyen de quelques outils de mesure de base, mais les anomalies, même si elles sont traitées par des initiatives individuelles, ne seront vraisemblablement pas détectées par le management. Cependant on sait clairement a qui a été attribuée la responsabilité générale des performances des processus clés, et la mesure de ces performances sert de base pour le calcul de primes du management. 4 Gérée et mesurable L'entreprise, à tous les niveaux, a parfaitement compris les enjeux de la gouvernance des TI, et on a mis en place des formations formelles à ce sujet. On a clairement compris qui était le client, on a défini les responsabilités et on les surveille au 16 ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE

18 SYNTHÈSE moyen des contrats de niveaux de services. Les responsabilités et la propriété de processus sont clairement établies. Les processus informatiques sont calés à la fois sur la stratégie de l'entreprise et sur celle des TI. L'amélioration des processus informatiques est basée avant tout sur une analyse des résultats chiffrés, et il est possible de surveiller et de mesurer la conformité avec les procédures et les systèmes de mesure des processus. Toutes les parties prenantes des processus sont conscientes des risques, mais aussi de l'importance de l'informatique et des opportunités qu'elle peut offrir. Le management a défini les marges de tolérance acceptables pour les processus. La plupart du temps on cherche des solutions lorsqu'un processus ne fonctionne pas façon efficace ou efficiente, mais ce n'est pas toujours le cas. On améliore occasionnellement les processus, et on met en œuvre les meilleures pratiques internes. On a standardisé l'analyse causale. On commence à avoir une politique d'amélioration continue. L'utilisation des technologies est encore limitée, principalement tactique, et basée sur des techniques éprouvées et des outils standard. On constate l'implication de tous les spécialistes des domaines internes dont on a besoin. La gouvernance des TI est en train de se hisser au niveau d'un processus qui coiffe l'ensemble de l'entreprise. Ses activités commencent à s'intégrer au processus de gouvernance global de l'entreprise. Annexe I 5 Optimisée La compréhension des problèmes de gouvernance des TI et de leurs solutions est de bon niveau et orientée vers l'avenir. La formation et la communication s'appuient sur des concepts et de techniques de pointe. On a perfectionné les processus pour les amener au niveau des meilleures pratiques externes, grâce aux résultats des améliorations continuelles et à la comparaison avec les autres entreprises basée sur les modèles de maturité. La mise en place de ces politiques a conduit à une organisation, des effectifs et des processus qui s'adaptent rapidement et qui sont en plein accord avec les exigences de la gouvernance des TI. On pratique l'analyse causale de tous les problèmes et de toutes les anomalies, et on trouve rapidement des solutions efficaces qu'on met en œuvre sans tarder. On utilise les TI largement et de façon intégrée et optimisée comme effet de levier stratégique pour automatiser les flux de travail et fournir des outils qui améliorent la qualité et l'efficacité. On sait quels sont les risques et les avantages des processus informatiques, on cherche le bon équilibre et on communique sur ce thème dans l'entreprise. On mobilise des experts externes et on pratique des tests comparatifs pour se guider. La surveillance, l'auto-évaluation, et la communication à propos des attentes de la gouvernance se répandent dans toute l'entreprise, et on utilise les technologies au mieux pour faciliter les mesures, l'analyse, la communication et la formation. Il y a un lien stratégique entre la gouvernance d'entreprise et celle du SI, mobilisant les ressources technologiques, humaines et financières pour accroître l'avantage concurrentiel de l'entreprise. ASSOCIATION FRANÇAISE DE L'AUDIT ET DU CONSEIL INFORMATIQUE 17