L évolution récente r des référentiels r rentiels Jean-Louis Bleicher Régis Delayat 7 Avril 2009
Plan COBIT V4.1 COBIT Quickstart V2 Guide d audit informatique COBIT Val IT Risk IT Le Guide pratique CIGREF/ IFACI 2
COBIT V4.1 3
Synthèse Cadre de Référence Objectifs de Contrôle Guide de Management Outils de Mise en Œuvre Guide d'audit Evolution de COBIT V3 (2000) V4.1 (2007) Synthèse Cadre de Référence Noyau : Objectifs de Contrôle Guide de Management Modèle de maturité Annexes Guide de mise en œuvre de la gouvernance des SI 2 ème édition Guide d audit des SI Indépendant des technologies Intégrateur de 40 référentiels dont COSO, ITIL, CMMI 4
SE1 Surveiller et évaluer la performance des SI SE2 Surveiller le contrôle interne SE3 S assurer de la conformité réglementaire SE4 Mettre en place une gouvernance des SI Surveiller et Evaluer COBIT : fondements Objectifs métiers Information efficacité efficience confidentialité intégrité disponibilité conformité fiabilité Ressources Informatiques applications informations infrastructures personnes PO1 Définir un plan informatique stratégique PO2 Définir l architecture de l information PO3 Déterminer l orientation technologique PO4 Définir les processus, l organisation et les relations de travail PO5 Gérer les investissements informatique PO6 Faire connaître les buts et les orientations du management PO7 Gérer les ressources humaines PO8 Gérer la qualité de l informatique PO9 Evaluer et gérer les risques PO10 Gérer les projets Planifier et Organiser DS1 Définir et gérer les niveaux de service DS2 Gérer les services tiers DS3 Gérer la performance et la capacité DS4 Assurer un service continu DS5 Assurer la sécurité des systèmes DS6 Identifier et imputer les coûts DS7 Instruire et former les utilisateurs DS8 Gérer le service d assistance client et les incidents DS9 Gérer la configuration DS10 Gérer les problèmes et les incidents DS11 Gérer les données DS12 Gérer l environnement physique DS13 Gérer l exploitation Délivrer et Supporter Acquérir et Implémenter AMP1 Trouver des solutions informatiques AMP2 Acquérir des applications et en assurer la maintenance AMP3 Acquérir une infrastructure technique et en assurer la maintenance AMP4 Faciliter le fonctionnement et l utilisation AMP5 Acquérir les ressources informatiques AMP6 Gérer les changements AMP7 Installer et valider les solutions et les modifications 5
Les nouveautés de COBIT V4.1 Objectifs de contrôle Orientés bonnes pratiques de management Prise en compte de ValIT et révision des OC (V3 = 318, V4=215, V4.1= 210) Révision des contrôles applicatifs (6 au lieu de 18) tournés vers l évaluation de l efficacité des contrôles Guide de management Ajout d entrées/sorties au niveau des processus Présentation des activités et responsabilités associées (tableau RACI) Métriques basées sur une déclinaison cohérente d objectifs métiers, informatiques, processus et activités 6
Exemple : DS5 Assurer la sécurité des systèmes 7
Quickstart V2 8
Les nouveautés de Quickstart V2.0 Version allégée de COBIT V4.1 4 domaines, 32 processus et 59 objectifs de contrôle (30 processus 62 objectifs de contrôle dans Quickstart V1) Bonnes pratiques de gestion revues et référencée par rapport aux activités COBIT V4.1 Intègre les tableaux RACI et une révision complète des objectifs et métriques 9
Guide d audit 10
Les nouveautés du guide d audit Basé sur COBIT V4.1 et entièrement refondu Guide d audit détaillé des 34 processus COBIT et des applications - sur la base des 6 contrôles retenus par COBIT - (plus de 200 pages) Intègre une présentation détaillée des concepts d audit des SI 11
Guide d Audit : démarche d audit COBIT PLANIFICATION CADRAGE EXECUTION Définir le périmètre d'audit des SI. Sélectionner un cadre de référence de contrôle des SI. Procéder à la planification de l'audit des SI en fonction des risques. Procéder à des évaluations de haut niveau. Définir le cadre et les objectifs généraux du projet. Objectifs métiers Objectifs informatiques Principaux processus informatiques et ressources informatiques Principaux objectifs de contrôle Principaux objectifs de contrôle personnalisés Affiner la compréhension du domaine d'audit des SI Affiner le champ d'action des principaux objectifs de contrôle pour le domaine d'audit des SI Evaluer l'efficacité des contrôles associés aux principaux objectifs de contrôle En remplacement ou en complément, évaluer le résultat des principaux objectifs de contrôle Evaluer l'impact de la faiblesse des contrôles Formuler et communiquer l ensemble des conclusions et recommandations PLANS D'AUDIT DES SI CHAMP D'ACTION ET OBJECTIFS DÉTAILLÉS CONCLUSION DE L'AUDIT 12
Plan du guide d audit détaillé des processus Objectifs de contrôle Enoncé des valeurs Enoncé des risques Procédures d évaluation des contrôles Procédures d évaluation du résultat des objectifs de contrôle Procédures d évaluation de l'impact des faiblesses de contrôle 13
Exemple DS5 Assurer la sécurité des systèmes (extrait) 14
Exemple DS5 Assurer la sécurité des systèmes (extrait) 15
16
VAL IT 2.0 3 domaines : Gouvernance de la valeur Gestion de portefeuille Gestion de l investissement 22 processus 68 bonnes pratiques Gouvernance de la valeur (GV) 25 22 68 bonnes pratiques Gestion de portefeuille (GP) Gestion de l investissement (GI) 21 17
Les nouveautés de VAL IT 2.0 Référentiel Présentation alignée sur COBIT Modèles de maturité au niveau de chaque domaine Restructuration des processus qui passent de 15 à 22 Pratiques clés de gestion clés Elles sont plus nombreuses et passent de 40 à 68 Guide de management Nouveauté de cette version Aligné sur celui de COBIT V4.1 avec quelques différences de présentation des objectifs et métriques modèle Suppression du business case ING 18
Exemple VG3 Définir les caractéristiques du portefeuille 19
20
Risk IT 3 domaines : Gouvernance du risque Appréciation du risque Traitement du risque 9 processus 47 bonnes pratiques Présentation similaire à VAL IT, le modèle de maturité s appliquant au domaine 21
Exemple RR2 Gérer les risques informatiques 22
Le contrôle interne du système d information des organisations 23
Contrôle Interne : Du Cadre de Référence R AMF au Guide Opérationnel Cigref/Ifaci Cadre de Référence AMF Charte Cigref/Ifaci Le Contrôle Interne du SI : Guide opérationnel Cigref/Ifaci 2007 2007 Janvier Janvier 2007 2007 Octobre Octobre 2009 2009 Mars Mars 24
5 principes clés du contrôle interne 1. Le management doit instaurer une culture et une dynamique du contrôle 2. Le contrôle interne doit être intégré dans les processus de l entreprise 3. Les systèmes d information jouent un rôle clé 4. Un principe de proportionnalité et granularité doit s appliquer 5. Il faut être conscient de la non-exhaustivité et des limites du dispositif de contrôle 25
Le contrôle interne du système d information d : Deux parties distinctes et complémentaires mentaires 26
Les processus de l entreprisel entreprise et et le Système d Information 27
Typologie des points de contrôle 28
Démarche des travaux sur le contrôle interne du système d information d de l entreprisel 29
Démarche des travaux sur le contrôle interne de la Direction des Systèmes d Information Principes Utilisation des référentiels existants point de départ = COBIT Identification de 6 processus IT clés Production d un livrable concret, utile à la DSI et à l audit interne Pour chacun des processus étudiés Identification des risques et points de contrôle associés Proposition de bonnes pratiques issues de l expérience et la connaissance des sociétés participantes Adaptation au contexte laissé à l initiative de chaque entreprise 30
Synthèse du guide opérationnel Cigref/Ifaci Périmètre Livrable Contrôle Interne de l Entreprise Contrôle Interne du SI Démarche Processus de l entreprise Métiers IT (COBIT) Cartographie processus Achats Ventes Consolidation Compétences Projets Maintenance & Changements Incidents Sécurité logique & Accès Sous-traitance Processus Etapes Acteurs/RACI Flow-chart Risques Exemples de contrôles Bonnes pratiques