D O M I N I Q U E M O I S A N D F A B R I C E G A R N I E R D E L A B A R E Y R E Préface de Bruno Ménard, président du Cigref CobiT Implémentation ISO 270 2 e édition Pour une meilleure gouvernance des systèmes d'information Groupe Eyrolles 2010, ISBN : 978-2-212-12628-0
Partie I CobiT et la gouvernance TI Chapitre 1 Présentation générale de CobiT....................... 3 Historique de CobiT....................................... 3 CobiT et la gouvernance TI................................. 5 L apport de CobiT......................................... 5 Les cinq axes stratégiques................................... 7 Chapitre 2 Les autres référentiels de la gouvernance des TI........... 11 Le pilotage stratégique.................................... 11 Le COSO.............................................. 11 Le Balanced Scorecard (BSC)................................ 12 Val IT : la gouvernance des investissements informatiques............. 14 Risk IT : la gouvernance des risques informatiques.................. 18 Le management de la sécurité.............................. 19 La norme ISO/IEC 27001.................................. 20 La norme ISO/IEC 27002.................................. 21 La norme ISO/IEC 27005.................................. 23 Les critères communs (ISO/IEC 15408)........................ 24 Le management des services................................ 27 ITIL : Information Technology Infrastructure Library................ 27 ITIL V2 et la norme ISO/IEC 20000........................... 28 ITIL V3................................................ 29 escm : esourcing Capability Model........................... 30 VII
Le management des études................................ 33 Le CMMI et la norme ISO/IEC 15504......................... 33 Les modèles «qualité»................................... 37 La norme ISO 9001...................................... 37 Le modèle EFQM........................................ 38 Le développement durable................................... 39 En résumé.............................................. 40 Chapitre 3 Appréhender CobiT................................. 41 Description générale...................................... 41 Les composants de CobiT................................... 42 Les processus dans CobiT V4.1............................... 44 Les documents et publications autour de CobiT............... 48 À destination de la direction................................. 48 À destination des métiers................................... 49 À destination de la gouvernance TI, du contrôle et de la sécurité........ 49 Autres publications....................................... 50 Description détaillée de certaines publications..................... 50 Comment aborder CobiT?................................. 57 À qui s adresse CobiT?.................................... 58 Les limites : ce que CobiT n est pas............................ 59 En résumé.............................................. 60 Partie II Description détaillée des processus Chapitre 4 Planifier et Organiser............................... 63 PO1 Définir un plan informatique stratégique................... 63 PO2 Définir l architecture de l information.................. 67 PO3 Déterminer l orientation technologique................... 71 PO4 Définir les processus, l organisation et les relations de travail 75 PO5 Gérer les investissements informatiques................... 80 PO6 Faire connaître les buts et les orientations du management. 85 PO7 Gérer les ressources humaines de l informatique......... 88 VIII
PO8 Gérer la qualité..................................... 93 PO9 Évaluer et gérer les risques........................... 96 PO10 Gérer les projets................................... 100 En résumé............................................... 105 Chapitre 5 Acquérir et Implémenter............................. 107 AI1 Trouver des solutions informatiques.................... 107 AI2 Acquérir des applications et en assurer la maintenance...... 111 AI3 Acquérir une infrastructure technique et en assurer la maintenance........................................... 116 AI4 Faciliter le fonctionnement et l utilisation............ 120 AI5 Acquérir des ressources informatiques..................... 124 AI6 Gérer les changements................................ 128 AI7 Installer et valider des solutions et des modifications...... 133 En résumé............................................... 137 Chapitre 6 Délivrer et Supporter................................ 139 DS1 Définir et gérer les niveaux de services.................. 139 DS2 Gérer les services tiers................................ 144 DS3 Gérer la performance et la capacité..................... 148 DS4 Assurer un service continu............................ 152 DS5 Assurer la sécurité des systèmes....................... 156 S6 Identifier et imputer les coûts........................... 160 DS7 Instruire et former les utilisateurs...................... 165 DS8 Gérer le service d assistance aux clients et les incidents..... 168 DS9 Gérer la configuration................................ 172 DS10 Gérer les problèmes................................ 175 DS11 Gérer les données.................................. 178 DS12 Gérer l environnement physique...................... 183 DS13 Gérer l exploitation................................. 187 En résumé............................................... 190 Chapitre 7 Surveiller et Évaluer................................. 191 SE1 Surveiller et évaluer la performance des SI............... 191 SE2 Surveiller et évaluer le contrôle interne..................... 195 IX
SE3 S assurer de la conformité aux obligations externes....... 199 SE4 Mettre en place une gouvernance des SI................... 202 En résumé.............................................. 205 Partie III Mettre en œuvre CobiT Chapitre 8 CobiT pour l audit.................................. 209 Le code professionnel d éthique............................ 209 La mission d audit........................................ 210 L apport de CobiT........................................ 211 Le contrôle interne....................................... 212 L outil Quick Scan de CobiT............................... 213 Quick Scan en quelques mots................................ 213 Quick Scan en questions................................... 213 Autres outils d évaluation de la gouvernance des TI............ 215 Global Best Practices (GBP)................................. 215 IT Performance Framework : The «Blue Wheel».................. 218 En résumé.............................................. 220 Chapitre 9 CobiT fédérateur................................... 221 Le pilotage stratégique.................................... 221 Cadran 1 - Contribution stratégique........................... 221 Cadran 2 - Relation client.................................. 222 Cadran 3 - Futur et anticipation.............................. 222 Cadran 4 - Excellence opérationnelle........................... 223 ITIL et le management des services TI........................ 223 ITIL et CobiT : la complémentarité............................ 223 Pourquoi les associer?..................................... 225 Conjuguer ITIL et CobiT................................... 225 La sécurité.............................................. 230 CobiT et la norme ISO/IEC 27002............................ 230 CobiT et l ISO/IEC 27001.................................. 231 Le management des études................................ 231 CobiT et CMMI.......................................... 231 X
La certification........................................... 234 Scénario 1.............................................. 234 Scénario 2.............................................. 235 Comparaison des scénarios................................... 236 Exemples de déploiement.................................... 236 En résumé............................................... 238 Chapitre 10 Transformer la DSI................................. 239 CobiT Quickstart.......................................... 239 Présentation............................................. 239 Les hypothèses de CobiT Quickstart............................ 240 Le contenu.............................................. 240 Pour un déploiement étagé................................. 241 Les préalables à recueillir.................................... 241 Exemple de déploiement progressif............................. 243 En résumé............................................... 247 Partie IV Annexes Annexe I Glossaire............................................ 251 Annexe II Objectifs du système d information et processus CobiT..... 259 Index........................................................ 269 XI