CobiT une expérience pratique



Documents pareils
La méthodologie ITIL : que faut-il retenir? réunion du 14 septembre 2004

Modèle Cobit

Le management des risques de l entreprise Cadre de Référence. Synthèse

Le COBIT : L état de l Art

Panorama général des normes et outils d audit. François VERGEZ AFAI

JOURNÉE THÉMATIQUE SUR LES RISQUES

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Appendice 2. (normative) Structure de niveau supérieur, texte de base identique, termes et définitions de base communs

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

Bureau du surintendant des institutions financières. Audit interne des Services intégrés : Services de la sécurité et de l administration

Introduction à ITIL V3. et au cycle de vie des services

ITIL V3. Transition des services : Principes et politiques

Management des systèmes d information. Gouvernance des SI ESIEA Jour & 12 Octobre 2007

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Le rôle de la DSI avec l audit Interne pour la maîtrise des risques

Catalogue de Formations

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

Audits de TI : informatique en nuage et services SaaS

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

Historique des normes et des règlements encadrant les contrôles internes

COBIT (v4.1) INTRODUCTION COBIT

Optimisez vos processus informatiques, maximisez le taux de rendement de vos actifs et améliorez les niveaux de service

Procédure interne / Usage / Formation ITIL ( BIBLIOTHÈQUE D INFRASTRUCTURE DES TECHNOLOGIES DE L INFORMATION )

Stratégie IT : au cœur des enjeux de l entreprise

ITIL : Premiers Contacts

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

D ITIL à D ISO 20000, une démarche complémentaire

ITIL V2. Historique et présentation générale

Opportunités s de mutualisation ITIL et ISO 27001

ITIL V3. Objectifs et principes-clés de la conception des services

Charte d audit du groupe Dexia

Chapitre 1 : Introduction au contrôle de gestion. Marie Gies - Contrôle de gestion et gestion prévisionnelle - Chapitre 1

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

PROCEDURES DE CONTROLE INTERNE RAPPORT CONTROLE INTERNE. Enjeux du Contrôle interne au sein du Groupe Cegedim

Introduction à ITIL. Un guide d'initiation à ITIL. Tana Guindeba, ing. jr Mars Guintech Informatique. Passer à la première page

THEORIE ET CAS PRATIQUES

Management de la sécurité des technologies de l information

i) Types de questions Voici les lignes directrices pour chaque type de question ainsi que la pondération approximative pour chaque type :

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

3.2. RAPPORT DU PRÉSIDENT DU CONSEIL D ADMINISTRATION (ARTICLE L DU CODE DE COMMERCE)

Guide de travail pour l auto-évaluation:

Soutenir la mise en oeuvre de processus basés sur ITIL avec une approche unifiée de la gestion des actifs et services

La gestion des risques IT et l audit

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

L Audit Interne vs. La Gestion des Risques. Roland De Meulder, IEMSR-2011

Symantec Control Compliance Suite 8.6

Faire de l infrastructure informatique une source de valeur ajoutée pour l entreprise.

TOUT PARAIT SIMPLE QUAND ON A LA BONNE DÉMARCHE CATALOGUE DE FORMATION

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Table des matières. Partie I CobiT et la gouvernance TI

Club ISO Juin 2009

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

Sigma Consulting est un cabinet conseil spécialisé en management des organisations. Le Management en mode projet..2

«Audit Informatique»

maximo IT service management Visibilité et valorisation de vos actifs informatiques

MINISTÈRE DE LA DÉFENSE SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION CHARTE DE L'AUDIT INTERNE DU SECRÉTARIAT GÉNÉRAL POUR L'ADMINISTRATION

Catalogue des formations 2013

La politique de sécurité

Charte de l'audit informatique du Groupe

Gestion des services Informatiques ITIL Version 3, Les fondamentaux Conception des Services

ITIL FOUNDATION 2011 & PREPARATION A LA CERTIFICATION

Comment mettre en oeuvre une gestion de portefeuille de projets efficace et rentable en 4 semaines?

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

Garantir une meilleure prestation de services et une expérience utilisateur optimale

L Application Performance Management pourquoi et pour quoi faire?

IPMA 1. Le référentiel 2. Les processus de certification. Claude Marguerat, IPMA-B Congrès des 23 et 24 avril 2014

Gestion des risques, contrôle interne et audit interne

Ingénierie des méthodes Agiles : Que cache l opposition entre déploiement et livraison en continu? Faut-il adopter DevOps 1?

fondé par Jeudi 15 février 2007 de 14 h à 18h

HySIO : l infogérance hybride avec le cloud sécurisé

IT BUSINESS FOUNDATION (ITBF) Analyse du concept ITBF à l origine de la gouvernance des systèmes d information

Practice Finance & Risk Management BCBS 239 enjeux et perspectives. Equinox-Cognizant, tous droits réservés

ITIL V2 Processus : La Gestion des Configurations

Impartition réussie du soutien d entrepôts de données

Le management des risques de l entreprise

Rapport de vérification interne du cadre de contrôle de l accès aux réseaux informatiques. Janvier 2010

ITIL Examen Fondation

Prestations d audit et de conseil 2015

«Audit Informatique»

IBM Global Technology Services CONSEIL EN STRATÉGIE ET ARCHITECTURE INFORMATIQUE. La voie vers une plus grande effi cacité

Stratégies gagnantes pour les prestataires de services : le cloud computing vu par les dirigeants Dossier à l attention des dirigeants

ISO/CEI 27001:2005 ISMS -Information Security Management System

ITIL v3. La clé d une gestion réussie des services informatiques

Présenté par : Imed ENNOURI

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Externaliser le système d information : un gain d efficacité et de moyens. Frédéric ELIEN

RÉUSSIR L AUTOMATISATION DU PROCESSUS DE TEST FONCTIONNEL

curité des TI : Comment accroître votre niveau de curité

Yphise optimise en Coût Valeur Risque l informatique d entreprise

BUREAU DU CONSEIL PRIVÉ. Vérification de la gouvernance ministérielle. Rapport final

La gestion des données de référence ou comment exploiter toutes vos informations

Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne

Excellence. Technicité. Sagesse

Auditer son environnement Telecom Un des fondements du projet TEM

Transcription:

dossier : Audit CobiT une expérience pratique Dans un environnement de concurrence mondiale, les entreprises se restructurent pour rationaliser leurs activités et, conjointement profiter des progrès des technologies de l information afin d améliorer leur compétitivité. de relations et de processus visant à diriger et contrôler l entreprise pour qu elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus. 4 Monique Garsoux Dexia Audit des Technologies de Information chez Dexia Banque Belgique, Monique Garsoux, fut dès 1997, un précurseur dans l'utilisation de Cobit. Elle a supervisé des centaines de missions d'audit basées sur ce référentiel de l'isaca, son expertise s'étend également à l'utilisation concrète de ces meilleures pratiques dans la gouvernance des systèmes d'information. Mettre en avant la compétitivité et le rapport coût efficacité implique une confiance toujours accrue dans les technologies qui deviennent une composante essentielle de la stratégie de la plupart des entreprises. L automatisation des fonctions de l entreprise dicte l incorporation de mécanismes de contrôle plus puissants dans les ordinateurs et les réseaux, qui s appuient à la fois sur le matériel et le logiciel. De plus, les caractéristiques structurelles fondamentales de ces contrôles évoluent à la même vitesse et de la même manière, par bonds successifs, que les technologies sous-jacentes de l informatique et des réseaux. Pour réussir dans cette économie de l information, la gouvernance d entreprise et celle des technologies de l information ne doivent plus être considérées comme des disciplines séparées et distinctes. Une gouvernance d entreprise efficace se concentre sur l expertise et l expérience des individus et des groupes là où elles peuvent être les plus productives, surveille et mesure les performances, et prévoit une assurance pour les points critiques. Les technologies de l information, longtemps considérées seulement comme un élément de plus en faveur de la stratégie de l entreprise, doivent maintenant être considérées comme partie intégrante de cette stratégie. La gouvernance des technologies de l information (TI) est la structure La gouvernance des technologies de l information (TI) intègre et institutionnalise les meilleures manières de planifier et organiser, acquérir et mettre en œuvre, distribuer et supporter, et finalement surveiller les performances des TI pour s assurer que l information de l entreprise et la technologie qui lui est liée vont dans le sens de ses objectifs métiers. La gouvernance des TI est déterminante pour le succès de la gouvernance d entreprise par l apport d améliorations efficaces, efficientes et mesurables dans les processus métiers. Elle fournit la structure qui relie les processus, les ressources et l information à la stratégie et aux objectifs de l entreprise. Ainsi elle permet à l entreprise de tirer pleinement profit de son information, maximisant ses bénéfices, capitalisant sur les opportunités qui se présentent, et gagnant un avantage concurrentiel. Beaucoup d entreprises reconnaissent les bénéfices potentiels apportés par la technologie. Cependant, les entreprises performantes comprennent et gèrent les risques associés à la mise en œuvre des nouvelles technologies. Les Objectifs de Contrôle de l Information et des Technologies Associées (CobiT) aident à faire face aux multiples besoins du management en établissant des liens entre les risques métiers, les besoins de contrôle et les questions techniques. Il fournit

Audit dossier les bonnes pratiques au travers d un cadre de référence par domaine et par processus et présente les activités dans une structure logique et gérable. Pour CobiT, les «bonnes pratiques» signifient un consensus des experts. Orientation : Objectifs de l entreprise CobiT est essentiellement orienté vers les objectifs de l entreprise. Les Objectifs de Contrôle sont définis sous forme de processus suivant les principes de ré ingénierie de l entreprise. Face à des domaines et des processus déterminés, on identifie un objectif de contrôle général et on élabore un raisonnement logique pour documenter le lien vers les objectifs de l entreprise. A la suite de quoi, on fournit des avis et des recommandations pour définir et mettre en œuvre l Objectif de Contrôle des technologies de l information (TI). Le Cadre de Référence CobiT fournit un outil qui facilite la délégation de responsabilité pour le responsable d un processus de gestion. Les Objectifs de Contrôle généraux sont regroupés en 4 domaines : planification et organisation, acquisition et mise en place, distribution et support, et surveillance. Cette structure couvre tous les aspects de l information et de la technologie qui la soutient. La classification des domaines où les objectifs de contrôle généraux s appliquent, l indication des besoins d information de l entreprise dans un domaine précis ainsi que les ressources informatiques concernées au premier chef par l objectif de contrôle, constituent le Cadre de Référence CobiT. Le Cadre de Référence est fondé sur des travaux de recherche (1) qui ont identifié 34 objectifs généraux et 318 objectifs de contrôle détaillés. Le Contrôle couvre les politiques, procédures, pratiques et structures organisationnelles destinées à fournir une assurance raisonnable que les objectifs de l entreprise seront atteints et qu on préviendra, détectera et corrigera les événements indésirables (2). L objectif de contrôle est un énoncé du résultat désiré ou du but à atteindre au moyen de procédures de contrôle dans une activité informatique particulière (3). Pour satisfaire aux objectifs de l entreprise, l information doit répondre à certains critères considérés par CobiT comme les impératifs de gestion pour l information. (1) Voir «Cobit- Troisième Edition Synthèse» Chapitre «Cobit : Historique et Contexte», page 12. (2) Voir le rapport COSO [Internal Control - Integrated Framework, Comittee of Sponsoring Organisations of the Treadway Commission, 1992], traduit en français sous le titre «La nouvelle pratique du contrôle interne», aux Éditions d'organisation. (3) L'«Objectif de Contrôle des TI» est une adaptation du Rapport SAC [Systems Auditability and Control Report, The Institute of Internal Auditors Research Foundation, 1991 et 1994], édité en français sous le titre «Audit et Contrôle des Systèmes d'information», Collection IFACI. 5

dossier :Audit Dans sa liste d impératifs, CobiT réunit les principes retenus dans les modèles de référence existants et connus : Les impératifs de qualité : Qualité, Coût et Distribution. de données, la gestion des réseaux, le multimédia, etc. Installations : les installations qui hébergent les systèmes informatiques et leur servent de support. Les impératifs de sécurité : Confidentialité, Intégrité et Disponibilité. Les impératifs fiduciaires (COSO) : Efficacité et efficience des opérations, Fiabilité de l information, Conformité aux lois et à la réglementation. A partir de l analyse d un éventail d impératifs en matière de Qualité, de Fiduciarité et de Sécurité, sept catégories distinctes ont été sélectionnées : Efficacité : concerne toute information significative et pertinente pour le processus de gestion, distribuée de manière ponctuelle, correcte, cohérente et utilisable. Efficience : concerne la mise à disposition de l information grâce à l utilisation optimale (la plus productive et la plus économique) des ressources. Confidentialité : concerne la protection de l information sensible contre toute divulgation non autorisée. Intégrité : touche à l exactitude et à l intégralité de l information ainsi qu à sa validité au regard des valeurs de l entreprise et de ses perspectives. Disponibilité : propriété de l information qui est d être disponible et de le rester lorsqu un processus de gestion en a besoin. Concerne aussi la sauvegarde des ressources nécessaires et des moyens associés. Conformité : consiste à se conformer aux lois, aux réglementations et aux clauses contractuelles auxquelles le processus de gestion est soumis, c est-à-dire aux critères de gestion imposés par l environnement extérieur. Fiabilité de l information : s adresse au management et concerne la fourniture d informations pertinentes pour le fonctionnement de l entité et l exercice des responsabilités sur le plan des finances et des rapports de conformité. Les Ressources informatiques peuvent se définir comme suit : Données : les objets de données dans leur sens le plus large, structurés et non structurés, graphiques, son, etc. Applications : les applications sont considérées comme étant l ensemble des procédures manuelles et programmées. Technologies : les technologies regroupent le matériel, les systèmes d exploitation, les systèmes de gestion de bases Personnel : les compétences du personnel, sa conscience et son efficacité dans la planification, l organisation, l acquisition, la distribution, le support et la surveillance des systèmes informatiques et des services. Destinataires de CobiT CobiT est destiné à trois publics différents : Le management doit décider des investissements raisonnables à effectuer pour assurer la sécurité et la maîtrise des TI,et ajuster ses investissements en fonction du risque dans l environnement souvent imprévisible des TI. Le niveau exact du risque ne peut jamais être connu, car il y a toujours un certain degré d incertitude. Le management doit donc décider du niveau de risque qu il est disposé à accepter. Juger quel niveau peut être toléré, et particulièrement quand il est évalué en regard des coûts, est une décision de management difficile à prendre. Par conséquent, le management a clairement besoin d un cadre de pratiques communément acceptées concernant la sécurité et la maîtrise des TI, afin de réaliser une analyse comparative de l environnement informatique existant et envisagé. Les utilisateurs des services informatiques éprouvent le besoin croissant d avoir l assurance, via l accréditation et l audit des services informatiques fournis par une structure interne ou par des tiers, qu il existe réellement une sécurité et un contrôle adaptés. Toutefois, aujourd hui, la mise en œuvre de contrôles informatiques satisfaisants au sein des systèmes d information, qu ils soient commerciaux, à buts non lucratifs ou gouvernementaux, se heurte à une certaine confusion. Celle-ci provient de différentes méthodes d évaluation telles que ITSEC, TCSEC, ISO 9000, l apparition des évaluations de contrôle interne du COSO, etc. Par conséquent, les utilisateurs ont besoin que des fondements généraux soient établis en tout premier lieu. Les auditeurs ont souvent été les premiers à s investir dans une standardisation valable au niveau international parce qu ils sont constamment confrontés au besoin de justifier leur opinion sur le contrôle interne auprès du management. Sans cadre de référence, ceci s avère être une tâche extrêmement difficile. De plus, le management fait de plus en plus souvent appel à des auditeurs pour réaliser des expertises et faire du conseil de façon proactive en matière de sécurité et de contrôle des TI. 6

Audit dossier CobiT, une expérience d utilisation (4) Membre de longue date de l ISACA, la banque fut un précurseur en terme de l utilisation du référentiel CobiT (5) dès la première version, initialement pour les missions d audit de type «Informatique». L équipe d auditeurs informatiques, à l époque composée de 3 auditeurs a directement identifié, dans le cadre de référence CobiT, des opportunités en terme de structuration et de systématisation de la démarche d audit des TI et de justification externe de leur opinion concernant le degré de maîtrise des risques. L expérience commencée à petite échelle en 1997, s est concrétisée très rapidement par une extension à tous les auditeurs informatiques. Cette utilisation s est faite parallèlement à un accroissement important de l équipe d auditeurs consécutif à la prise de conscience de l importance fondamentale des technologies de l information dans la réalisation des objectifs des métiers, lien également mis en lumière par CobiT. Ainsi, l audit Informatique, vu initialement comme un phénomène de «techniciens sur leur île» a saisi l opportunité d illustrer concrètement sa valeur ajoutée au sein de chaque audit, favorisant ainsi l acceptation des recommandations. Afin de faciliter l utilisation de CobiT, la division d audit a adopté le produit «CobiT Advisor» de Methodware (6). L objectif initial de l utilisation était de faciliter, l une des premières phases de la réalisation d un audit c.-à-d. la définition du périmètre de la mission. En effet, en fonction d un risque particulier (par exemple la confidentialité et l intégrité), en fonction d une ressource (par exemple audit d une application) ou d un domaine (par exemple audit de la gestion des modifications), le logiciel fournit l ensemble des objectifs de contrôle concernés permettant à l auditeur de sélectionner adéquatement et plus aisément que dans les manuels de référence sur papier (7) les éléments qu il va auditer et qui font partie de son programme de travail. Sélection selon les axes du cube Critères d information Audit d un critère d information Qualité Domaines Fiduciaire Sécurité Audit d un processus Processus TI Processus Activités Personnel Applications Technologies Installations Données Ressources TI Audit d une ressource TI Par la suite, l utilisation de l outil CobiT Advisor s est étendue à l automatisation de l ensemble des étapes logiques d un audit qui, partant des objectifs de contrôle sélectionnés dans le périmètre (et qui composent le programme de travail de l auditeur), passent par les documents de travail, l évaluation et l opinion de l auditeur par objectif de contrôle et la formulation de recommandations pour déboucher sur la génération du rapport. Cobit a également servi à structurer l «Univers d Audit» qui contient l ensemble des missions potentielles d Audit des TI qui devraient être réalisées pour couvrir l intégralité des activités TI de la banque. Les régulateurs exigent d ailleurs une couverture complète sur une durée de 5 ans. Cet Univers d Audit structuré permet annuellement de réaliser l analyse des risques qui servira à déterminer des priorités dans les missions et des fréquences débouchant ensuite sur le plan annuel des audits des TI. Indépendamment de l outil et des missions isolées d audit informatique,cobit a aussi servi de base à une analyse des risques de haut niveau organisée annuellement en collaboration avec les responsables TI. Elle est le résultat d une co-évaluation réalisée conjointement par l audit et les (4) Résumé du témoignage de Mme Monique Garsoux, Audit, Dexia Banque Belgique lors du lancement du Club CobiT le 14 décembre 2004 lors de la (5) Rencontre COBIT: témoignages, retours d'expérience, échanges, organisée par l AFAI. (5) CobiT en 6 fascicules : Synthèse, Cadre de Référence, Objectifs de Contrôle, Guide d Audit, Guide de management et Outils de mise en œuvre Association Française de l Audit et du Conseil Informatique. (6) CobiT Advisor en français fiche produit : http://www.methodware.com/products/cobit/cobitf_doc.pdf. (7) Bibliothèque de l ISACA : http://www.isaca.org/bookstore. 7

dossier :Audit départements informatiques. Elle produit graphiquement une rosace où, les points faibles (signalés par des flèches) sont caractérisés par les parties «rentrantes» illustratives d un niveau de risque élevé et donc d un score de maîtrise de risque faible. Le cercle de couleur verte indique un niveau de maîtrise des risques acceptable dans tous les domaines CobiT ce qui pourrait constituer un objectif global. A titre exemplatif de rosace d analyse des risques d une entreprise imaginaire basée sur CobiT. Rosace comparative 2001-2002 1.1.Define a Strategic Plan 3.13. Managing Operations 3.12. Manage Facilities 4 1.2. Define the Information Architecture 1.3. Determine Technological Direction 3.11. Manage Data 3.10. Manage Problems and Incidents 3 1.4. Define Organisation and Relationships 1.5. Manage the Investment 3.9. Managing the Configuration 2 1.6. CommunicateAims and Direction 3.8. Assist and Advise Customers 1 1.7. Manage Human Resources 3.7. Educate and Train Users 3.6. Identify and Attribute Costs 0 1.8.Compliance with External Requirements 1.9. Assess Risk 3.5. Ensure Systems Security 1.10. Manage Projects 3.4. Ensure Continuous Service 1.11. Manage Quality 3.3. Manage Performance and Capacity 2.1. Identify Automated Solutions 3.2. Manage Third Party Services 2.2. Acquire Application Software 3.1. Define Service Levels 2.3. AcquireTechnology Infrastructure 2.6. Manage Changes 2.4. Develop and Maintain Procedures 2.5. Install and Accredit Systems Par la suite, les divisions informatiques ont identifié ellesmêmes plusieurs usages de CobiT. En premier lieu, CobiT a été utilisé comme référentiel afin d aider à structurer les activités en identifiant un responsable par domaine de CobiT pour en gérer transversalement tous les aspects et ce indépendamment de l organigramme. En outre, les éléments de bonne pratique ont servi d inspiration à la base (comme d autres sources comme ITIL (8)) de l établissement des objectifs et des plans à moyen terme. Le «Guide de Management CobiT» est un apport pour l établissement de tableaux de bord pour sélectionner les indicateurs de performance qui, mesurés régulièrement peuvent permettre de situer l évolution des grands processus définis par rapport à l objectif. Conclusion et conseils l entreprise dans son intégralité. Cobit se positionne donc fort bien en tant qu outil de «Gouvernance des TI». Cobit peut être très aisément introduit à petite échelle par quelques missions d audit, de consultance ou lors d un projet informatique. Sur une plus grande échelle, il est aussi possible d en faire un outil efficace via un processus organisé et une action de sensibilisation de la Direction. Cependant, notre expérience a prouvé que c est sur le terrain que Cobit démontre d abord sa valeur ajoutée et donc permet ensuite une prise de conscience progressive des maintes opportunités d utilisation. Un facteur extrêmement positif est le flux continu de nouveaux outils (9), manuels et témoignages d utilisation qui permettent à chacun, tant auditeur qu informaticien d évaluer comment CobiT peut l aider à répondre aux nouveaux défis rencontrés. CobiT est parti, à l ISACA et dans l utilisation dans la banque, d un référentiel et d un outil «pour auditeurs». Les nombreuses évolutions passées ont permis d en faire aussi un outil de gestion pour informaticiens et pour (8) ITIL «IT Infrastructure Library», un référentiel de guides qui fait figure de référence sur le terrain de l'optimisation des services informatiques - http://www.itsmf.fr/ (9) WWW.ISACA.ORG Section Bookstore. 8

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back