COBIT (v4.1) INTRODUCTION COBIT



Documents pareils
Modèle Cobit

C dc COUR DES COMPTES RAPPORT N 51 AVRIL 2012 AUDIT DE GESTION VILLE DE GENEVE GOUVERNANCE DE LA DIRECTION DES SYSTEMES

JOURNÉE THÉMATIQUE SUR LES RISQUES

Panorama général des normes et outils d audit. François VERGEZ AFAI

Table des matières. Partie I CobiT et la gouvernance TI

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Le COBIT : L état de l Art

Comprendre ITIL 2011

IT Gouvernance. Plan. Définition. IT gouvernance pourquoi? But et enjeux. Les bonnes pratiques et composantes d une IT gouvernance

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

Suite IBM Tivoli IT Service Management : comment gérer le système d information comme une véritable entreprise

Guide de labellisation

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

ITIL Examen Fondation

La pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle

Gestion des services IT basé sur la norme ISO/CIE 20000

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

Gestion du centre de données et virtualisation

Concepts et définitions

GUIDE INTERMINISTERIEL SUR LES SYSTEMES D'INFORMATION ET APPLICATIONS SENSIBLES

GESTION DE PROJET SÉANCE 2 : LES CYCLE DE VIE D'UN PROJET

INFOGERANCE. 1. Présentation de l infogérance Définition Pourquoi l infogérance?... 2

ISO 27001:2013 Béatrice Joucreau Julien Levrard

Service management intégré : le lien entre l'informatique et la valeur métier

Cours 20410D Examen

I.T.I.L. I.T.I.L. et ISO ISO La maturité? La Mêlée Numérique 10. le 8 juin Luc Van Vlasselaer

Sécurité et «Cloud computing»

SEP 2B juin 20. Guide méthodologique de calcul du coût d une prestation

fondé par Jeudi 15 février 2007 de 14 h à 18h

Un moyen simple d'être plus favorable aux familles Les points les plus importants du Family Score en un coup d'œil

Nom-Projet MODELE PLAN DE MANAGEMENT DE PROJET

DSCG : UE5 - Management des Systèmes d'information

Conditions Particulières de Maintenance. Table des matières. Ref : CPM-1.2 du 08/06/2011

CobiT une expérience pratique

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

Techniques de l informatique 420.AC. DEC intensif en informatique, option gestion de réseaux informatiques

Enquête 2014 de rémunération globale sur les emplois en TIC

Contrôle interne et organisation comptable de l'entreprise

Comment promouvoir le Cloud dans l'entreprise?

ITIL V3. Exploitation des services : Les fonctions

Partie 1 : Introduction

Sujet 2 : Interconnexion de réseaux IP (routeurs CISCO). Sujet 3 : Implémentation d un serveur VPN avec OpenVPN.

POLITIQUE DE BIOSÉCURITÉ

NC 06 Norme comptable relative aux Immobilisations incorporelles

Pré-requis Diplôme Foundation Certificate in IT Service Management.

Annexe B Rapport d état détaillé relatif aux recommandations depuis 2010

Projet d'infrastructure Cloud

MV Consulting. ITIL & IS02700x. Club Toulouse Sébastien Rabaud Michel Viala. Michel Viala

Sigma Consulting est un cabinet conseil spécialisé en management des organisations. Le Management en mode projet..2

Contrôle interne et système d'information

Catalogue des formations 2013

Catalogue de Formations

(dénomination statutaire)...( 1 ) a désigné au cours de l'assemblée générale de la société du...( 2 )

Association CARRE GEO & ENVIRONNEMENT

ITIL V2. La gestion des incidents

Réduisez vos activités de maintenance SAP pour vous concentrer sur la valeur ajoutée

ÉCONOMIE ET GESTION LYCÉES TECHNOLOGIQUE ET PROFESSIONNEL

L innovation technologique au quotidien dans nos bibliothèques

Stratégie IT : au cœur des enjeux de l entreprise

Catalogue de critères pour la reconnaissance de plateformes alternatives. Annexe 4

asah alpha consulting Prog o ram a m m e e de d e fo f r o mat a i t on o n

exemple d examen ITMP.FR

ITIL : Premiers Contacts

ITIL, quel impact dans nos laboratoires? Pourquoi se poser cette question? Geneviève Romier, CNRS UREC

Annexe sur la maîtrise de la qualité

NORME INTERNATIONALE D AUDIT 260 COMMUNICATION DES QUESTIONS SOULEVÉES À L OCCASION DE L AUDIT AUX PERSONNES CONSTITUANT LE GOUVERNEMENT D'ENTREPRISE

Information Technology Services - Learning & Certification.

Dossier de candidature du Comité Départemental du Tourisme Haute Bretagne Ille-et-Vilaine

Gestion des utilisateurs et Entreprise Etendue

curité des TI : Comment accroître votre niveau de curité

LE SUPPLY CHAIN MANAGEMENT

Guide d Intégration PPM et ERP:

SOUTIEN INFORMATIQUE DEP 5229

Audits de TI : informatique en nuage et services SaaS

Business & High Technology

ISO la norme de la sécurité de l'information

ITIL V2. La gestion des changements

LA QUALITE DU LOGICIEL

Atelier " Gestion des Configurations et CMDB "

Prestations d audit et de conseil 2015

Introduction à l infonuagique

ITSMby Diademys. Business plan. Présentation

Annexe : La Programmation Informatique

Chapitre 9. CobiT fédérateur

La gestion opérationnelle de l information commerciale

La pratique - ITIL et les autres référentiels. Fonctions ITIL et informatique en nuage

BUREAU DU CONSEIL PRIVÉ. Vérification de la sécurité des technologies de l information (TI) Rapport final

Les principes de la sécurité

STRATEGIE, GOUVERNANCE ET TRANSFORMATION DE LA DSI

BUSINESS CONTINUITY MANAGEMENT. Notre plan C pour situations d'urgence et de crise

UNIVERSITÉ CLAUDE BERNARD LYON 1. Livre Blanc. Maturité des outils de Gouvernance IT

Fiche conseil n 16 Audit

300TB. 1,5milliard LE CLOUD ONBASE / L'EXPÉRIENCE COMPTE. Le Cloud OnBase, par Hyland DOCUMENTS. Plus de. Plus de. Plus de.

Transcription:

COBIT (v4.1) Un référentiel de «bonnes pratiques» pour l informatique par René FELL, ABISSA Informatique INTRODUCTION Le Service Informatique (SI) est un maillon important de la création de valeur dans l entreprise. Son rôle est de fournir les informations et les prestations dont les services métiers ont besoin, selon le schéma général suivant : COBIT COBIT (Control Objectives for Information and related Technology) propose ces bonnes pratiques dans un cadre de référence par domaine et par processus. Il présente les activités dans une structure logique et facile à appréhender. Les bonnes pratiques de COBIT sont le fruit d'un consensus d'experts. Elles sont très axées sur le contrôle et moins sur l'exécution. Elles ont pour but d'aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des outils de mesure (métriques) auxquels se référer pour évaluer les éventuels dysfonctionnements.

La figure ci-dessous représente l architecture informatique «idéale» d une l entreprise : Les catégories de processus à étudier touchent 4 types de ressources bien distinctes : Les applications sont, entre les mains des utilisateurs, les ressources logicielles automatisées et les procédures manuelles qui traitent l'information.

L'information est constituée des données sous toutes leurs formes, saisies, traitées et restituées par le système informatique sous diverses présentations, et utilisées par les métiers. L'infrastructure est constituée de la technologie et des équipements (machines, systèmes d'exploitation, systèmes de gestion de bases de données, réseaux, multimédia, ainsi que l'environnement qui les héberge et en permet le fonctionnement) qui permettent aux applications de traiter l'information. Les personnes sont les ressources qui s'occupent de planifier, d'organiser, d'acheter, de mettre en place, de livrer, d'assister, de surveiller et d'évaluer les systèmes et les services informatiques. Ces personnes peuvent être internes, externes ou contractuelles selon les besoins Pour une gouvernance efficace des SI, il est important d'apprécier les activités et les risques propres aux SI qui nécessitent d'être pris en compte. Ils sont généralement ordonnés dans les domaines de responsabilité que sont planifier, mettre en place, faire fonctionner et surveiller. Dans le cadre de COBIT, ces domaines portent les appellations suivantes, comme le montre la figure ci-dessous : Planifier et Organiser (PO) : fournit des orientations pour la fourniture de solutions (AI) et la fourniture de services (DS). Acquérir et Implémenter (AI) : fournit les solutions et les transmets pour les transformer en services. Délivrer et Supporter (DS) : reçoit les solutions et les rend utilisables par les utilisateurs finals. Surveiller et Evaluer (SE) : surveille tous les processus pour s'assurer que l'orientation fournie est respectée.

À travers ces quatre domaines, COBIT (version 4.1) a identifié 34 processus informatiques : PLANIFIER ET ORGANISER (PO) Ce domaine recouvre la stratégie et la tactique. Il vise à identifier la meilleure manière pour les SI de contribuer à atteindre les objectifs métiers de l'entreprise. La mise en œuvre de la vision stratégique doit être planifiée, communiquée et gérée selon différentes perspectives. Il s agit de mettre en place une organisation adéquate ainsi qu'une infrastructure technologique. Ce domaine s'intéresse généralement aux problématiques de management suivantes : Les stratégies de l'entreprise et de l'informatique sont-elles alignées? L'entreprise fait-elle un usage optimum de ses ressources? Est-ce que tout le monde dans l'entreprise comprend les objectifs de l'informatique? Les risques informatiques sont-ils compris et gérés? La qualité des systèmes informatiques est-elle adaptée aux besoins métiers? PROCESSUS COBIT ASSOCIES PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 Définir un plan informatique stratégique Définir l architecture de l information Déterminer l orientation technologique Définir les processus, l organisation et les relations de travail Gérer les investissements informatiques Faire connaître les buts et les orientations du management Gérer les ressources humaines de l informatique Gérer la qualité Évaluer et gérer les risques PO10 Gérer les projets

ACQUÉRIR ET IMPLÉMENTER (AI) Le succès de la stratégie informatique nécessite d'identifier, de développer ou d'acquérir des solutions informatiques, de les mettre en œuvre et de les intégrer aux processus métiers. Ce domaine recouvre aussi la modification des systèmes existants ainsi que leur maintenance afin d'être sûr que les solutions continuent d'être en adéquation avec les objectifs métiers. Ce domaine s'intéresse généralement aux problématiques de management suivantes : Est-on sûr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins métiers? Est-on sûr que les nouveaux projets aboutiront en temps voulu et dans les limites budgétaires? Les nouveaux systèmes fonctionneront-ils correctement lorsqu'ils seront mis en œuvre? Les changements pourront-ils avoir lieu sans perturber les opérations en cours? PROCESSUS COBIT ASSOCIES AI1 AI2 AI3 AI4 AI5 AI6 AI7 Trouver des solutions informatiques Acquérir des applications et en assurer la maintenance Acquérir une infrastructure technique et en assurer la maintenance Faciliter le fonctionnement et l utilisation Acquérir des ressources informatiques Gérer les changements Installer et valider les solutions et les modifications

DÉLIVRER ET SUPPORTER (DS) Ce domaine s'intéresse à la livraison effective des services demandés, ce qui comprend l'exploitation informatique, la gestion de la sécurité et de la continuité, le service d'assistance aux utilisateurs et la gestion des données et des équipements. Il s'agit généralement des problématiques de management suivantes : Les services informatiques sont-ils fournis en tenant compte des priorités métiers? Les coûts informatiques sont-ils optimisés? Les employés sont-ils capables d'utiliser les systèmes informatiques de façon productive et sûre? La confidentialité, l'intégrité et la disponibilité sont-elles mises en oeuvre pour la sécurité de l'information? PROCESSUS COBIT ASSOCIES DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 Définir et gérer les niveaux de services Gérer les services tiers Gérer la performance et la capacité Assurer un service continu Assurer la sécurité des systèmes Identifier et imputer les coûts Instruire et former les utilisateurs Gérer le service d assistance client et les incidents Gérer la configuration DS10 Gérer les problèmes DS11 Gérer les données DS12 Gérer l environnement physique DS13 Gérer l exploitation

SURVEILLER ET ÉVALUER (SE) Tous les processus informatiques doivent être régulièrement évalués pour vérifier leur qualité et leur conformité par rapport aux spécifications de contrôle. Ce domaine s'intéresse à la gestion de la performance, à la surveillance du contrôle interne, au respect des normes réglementaires et à la gouvernance. Il s'agit généralement des problématiques de management suivantes : La performance de l'informatique est-elle mesurée de façon à ce que les problèmes soient mis en évidence avant qu'il ne soit trop tard? Le management s'assure-t-il que les contrôles internes sont efficaces et efficients? La performance de l'informatique peut-elle être reliée aux objectifs métiers? Des contrôles de confidentialité, d'intégrité et de disponibilité appropriés sont-ils mis en place pour la sécurité de l'information? PROCESSUS COBIT ASSOCIES SE1 SE2 SE3 SE4 Surveiller et évaluer la performance des SI Surveiller et évaluer le contrôle interne S assurer de la conformité aux obligations externes Mettre en place une gouvernance des SI

Partage des responsabilités Le modèle suivant éclaire le partage des responsabilités entre Métier et Informatique:

LE MODELE DE MATURITE DES PROCESSUS COBIT définit un degré de maturité pour les processus 0 = Inexistant (il n y a pas de processus défini, chacun fait «au mieux», avec ses compétences, ses connaissances, etc.) 1= Initialisé au cas par cas (il existe un embryon de «marche à suivre», que l on peut trouver dans des procès-verbaux et des documents épars. Des formations sont parfois organisées au cas par cas, en fonction des besoins les plus urgents). 2 = Reproductible mais intuitif (il existe une marche à suivre facile à trouver. Le contour du processus est défini, mais pas en détail). 3 = Processus défini (il existe un processus de travail bien défini, facile d accès, précis, ainsi que des modèles de documents annexes. Le travail est réalisé selon une approche systématique. Les collaborateurs sont spécifiquement formés en fonction des processus qu ils doivent appliquer). 4 = Géré et mesurable (il existe un processus de travail bien défini, les buts sont clairement explicités et mesurés périodiquement. Il existe un plan de formation et une gestion des ressources poussée). 5 = Optimisé (il existe un processus de travail très précis prenant en compte tous les aspects de l activité à effectuer. Les buts sont clairement explicités et mesurés périodiquement. Le processus a été validé par toutes les parties prenantes. Il est périodiquement révisé. Un auditeurqualité est désigné et impliqué dans les projets sous-jacents).

MISE EN PLACE DE COBIT Il s agit de sélectionner les processus les plus importants (en fonction de la stratégie de l entreprise) et de les aligner au référentiel COBIT, en cherchant à obtenir un degré de maturité acceptable par rapport aux différents paramètres de l état actuel. REFERENCES http://www.isaca.org/ http://www.isaca.ch/ (français) COBIT est une marque déposée de l ISACA - Information Systems Audit and Control Association www.isaca.org. Les schémas utilisés dans ce papier sont la propriété de l AFAI Association Française de l Audit et du Conseil Informatiques www.afai.fr

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back