View
218
Download
0
Category
Preview:
Citation preview
8/8/2019 Chap 3 Moisand
1/8
Implmentation ISO 27
Groupe Eyrolles 2010,ISBN : 978-2-212-12628-0
Pour une meilleure gouvernancedes systmes d'information
CobiT2 e d i t io n
D O M I N I Q U EM O I S A N DFA B R I C EG A R N I E R D E L A B A R E Y R EPrface de B r u n o M n a r d , prsident du Cigref
8/8/2019 Chap 3 Moisand
2/8
41
Chapitre 3
ApprhenderCobiT
Le rfrentiel CobiT a suscit toute une srie de travaux et de publications.Dans les premires versions, V3 et antrieures, la publication principaletait le guide daudit. partir de la version 4, cest le guide de managementqui est devenu le principal ouvrage descriptif de CobiT.Dans ce chapitre, CobiT est dcrit en termes de structure gnrale etdapproche travers plusieurs points de vue : celui du guide de manage-ment pour CobiT V4.1, qui constitue le document de base, puis ceux dediverses ressources. En complment, il est utile de consulter priodi-quement le site http://www.isaca.org pour connatre les dernires publications
proposes.La suite de cet ouvrage a pour vocation de fournir un guide de lecture pourtous ceux qui souhaitent mettre en uvre CobiT au sein de leur organisationinformatique.
Description gnrale
CobiT offre un cadre de rfrence de contrle structur des activits infor-matiques selon 34 processus rpartis en quatre domaines : Planier et Organiser (PO) ; Acqurir et Implmenter (AI) ; Dlivrer et Supporter (DS) ; Surveiller et valuer (SE).La gure 3-1 prsente les diffrents domaines et processus associs.
8/8/2019 Chap 3 Moisand
3/8
Partie I CobiT et la gouvernance TI
42
Les composants de CobiT Les quatre domaines de CobiT regroupent des ensembles cohrents deprocessus. Le domaine PO reprsente la dimension stratgique de la gou-vernance des TI. Le domaine AI rassemble tous les processus qui impac-tent les ressources, de lacquisition limplmentation : on y trouve aussibien les projets que la mise en exploitation. Le domaine DS est consacraux services offerts aux clients de la DSI. Enn, le domaine SE couvre lar-gement la dimension de contrle, daudit et de surveillance de
lensemble.
Les processus de CobiT Pour chacun des 34 processus, CobiT en dcrit le primtre et lobjet pourensuite lister et dvelopper : les objectifs de contrle destins aux auditeurs informatiques, qui
sont dtaills dans dautres publications ; un guide de management inscrit dans une logique de gouvernance des SI ; un modle de maturit propre chaque processus.
Figure 3-1 : Organisation du rfrentiel CobiT
Ressources
Information
Comptences Information Applications Infrastructure
Efficacit Efficience Confidentialit Intgrit Disponibilit Conformit Fiabilit
Objectifs mtier Objectifs de lagouvernance
Cadre de rfrence gnral de CobiT
Planifier et Organiser
PO1 Dfinir un plan informatiquestratgique
PO2 Dfinir larchitecture de linformationPO3 Dterminer lorientation technologiquePO4 Dfinir lorganisation,
les relations de travailPO5 Grer linvestissement informatiquePO6 Faire connatre les buts et les
orientations du managementPO7 Grer les ressources humainesPO8 Grer la qualitPO9 Evaluer les risquesPO10Grer les projets
Acqurir et Implmenter
AI1 Trouver des solutions informatiques AI2 Acqurir des applications et en
assurer la maintenance AI3 Acqurir une infrastructure technique
et en assurer la maintenance AI4 Faciliter le fonctionnement et
lutilisation AI5 Acqurir des ressources
informatiques AI6 Grer les changements AI7 Installer et valider les solutions et les
modifications
Dlivrer et Supporter DS1 Dfinir et grer les niveaux de
servicesDS2 Grer les services tiersDS3 Grer la performance et la capacitDS4 Assurer un service continuDS5 Assurer la scurit des systmesDS6 Identifier et imputer les cotsDS7 Instruire et former les utilisateursDS8 Grer le service dassistance
client et les incidentsDS9 Grer la configurationDS10 Grer les problmesDS11 Grer les donnesDS12 Grer lenvironnement physiqueDS13 Grer lexploitation
Surveiller et Evaluer
SE1 Surveiller et valuer la performancedes SI
SE2 Surveiller et valuer le contrleinterne
SE3 Sassurer de la conformitrglementaire
SE4 Grer la gouvernance des SI
8/8/2019 Chap 3 Moisand
4/8
Chapitre 3 Apprhender CobiT
43
Les critres dinformation
Pour la gouvernance des TI, CobiT prend en compte une trs riche segmen-tation de linformation selon des critres prcis (efcacit, efcience, con-
dentialit, intgrit, disponibilit, conformit et abilit). Ces critrescorrespondent aussi bien au point de vue dun auditeur qu celui dumanager : efcacit : la mesure par laquelle linformation contribue au rsultat
des processus mtier par rapport aux objectifs xs ; efcience : la mesure par laquelle linformation contribue au rsultat
des processus mtier au meilleur cot ; condentialit : la mesure par laquelle linformation est protge des
accs non autoriss ;
intgrit : la mesure par laquelle linformation correspond la ralitde la situation ;
disponibilit : la mesure par laquelle linformation est disponible pourles destinataires en temps voulu ;
conformit : la mesure par laquelle les processus sont en conformitavec les lois, les rglements et les contrats ;
abilit : la mesure par laquelle linformation de pilotage est pertinente.
Les ressources informatiques Cette dnomination regroupe les quatre classes suivantes : applications,informations, infrastructures et personnes. Application : les systmes automatiss et les procdures pour traiter
linformation. Information : les donnes, comme entres ou sorties des systmes
dinformation, quelle que soit leur forme. Infrastructure : les technologies et les installations qui permettent le
traitement des applications.
Personnes : les ressources humaines ncessaires pour organiser, planier,acqurir, dlivrer, supporter, surveiller et valuer les systmes dinformationet les services.
Objectifs mtier et objectifs informatiques De faon globale, CobiT propose 17 objectifs mtier rpartis selon lesquatre axes dun BSC, savoir : perspective nancire, perspectiveclient, perspective interne la DSI et perspective future ou anticipation.Ces 17 objectifs mtier renvoient 28 objectifs informatiques, eux-mmes lis aux processus CobiT, un mme objectif informatique tant
8/8/2019 Chap 3 Moisand
5/8
Partie I CobiT et la gouvernance TI
44
associ un ou plusieurs processus CobiT. Ainsi, CobiT offre une transi-tivit entre objectifs mtier et informatiques, processus et activits.Cette structuration permet dobtenir une sorte de synthse de la gouver-nance des SI.
Les processus dans CobiT V4.1Chaque processus est dcrit sur quatre pages, ce qui correspond lapproche gnrale, laudit, le management du processus et le modle dematurit.
Les objectifs de contrleLes objectifs de contrle sont dcrits en termes dattendus rsultant de lamise en uvre des processus. Des documents plus dtaills ( Guide dauditdes systmes dinformation Utilisation de CobiT, ou en version anglaise : IT Assu-rance Guide: Using CobiT) dclinent la structure de contrle des ns opra-tionnelles. Il apparat clairement que CobiT est un outil oprationnel pourles auditeurs qui y trouveront toute la matire ncessaire pour tablir desquestionnaires et des grilles dinvestigation.
Le guide de management La page consacre au guide de management comprend un descriptif des
entres-sorties du processus, un RACI avec rles et responsabilits asso-cis aux activits du processus, et enn, une proposition dindicateurs decontrle.
Les activits CobiT distingue les objectifs de contrle (vision destine lauditeur) desactivits (vision management). Cette distinction peut surprendre car laliste des activits reprend certains objectifs de contrle dans ses intituls.Parfois, ces activits sont directement extraites de la description des
objectifs de contrle. De plus, les activits sont listes mais non dcrites.Le lecteur doit donc faire leffort de dterminer dans la description desobjectifs de contrle ce qui relve de la description dactivit. Il devraitdcortiquer chaque objectif de contrle en tentant disoler linformationattache aux activits, aux instances/organisations, aux fonctions, auxdocuments/livrables et enn au contexte.Pour la mise en uvre de CobiT, partir des activits est intressant conditionde ne pas sy enfermer. Il vaut mieux prendre cette liste comme un pense-bte pour donner du corps une description personnalise en fonctionde lorganisation.
8/8/2019 Chap 3 Moisand
6/8
Chapitre 3 Apprhender CobiT
45
Les responsabilits et fonctions dans CobiT (RACI )CobiT ne distingue pas moins de 19 parties prenantes ou fonctions pour lagouvernance des systmes dinformation. Chacune delles peut avoir un ouplusieurs rles pour chaque activit.
1. RACI : en anglaisResponsible, Accoun- table, Consulted,Informed , traduit parResponsabilit, Auto-rit (celui qui est garant), Consult,Inform. Lautorit (A)dicte la politique qui sera applique
par le responsable (R).
On peut ainsi tre responsable ou garant, ou simplement consult ouinform, selon la situation. Ceci est dcrit dans un tableau crois activits/ fonctions.CobiT ne propose pas proprement parler une organisation, mais lesobjectifs de contrle font parfois rfrence des instances comme lecomit stratgique informatique ou le comit de pilotage informatiquedont les missions sont clairement nonces. L encore, le RACI1 est indi-catif. Selon la taille et lorganisation de la DSI, certaines fonctions gnriques peuvent tre plus ou moins structures en postes et
emplois. Le RACI de CobiT est une base afner au cas par cas.
Tableau 3-1 : Exemple de RACI (pocessus POI)
ACTIVITS D G D F
D i r e c t i o n m t i e r
D S I
P r o p r i t a i r e p r o c e s s u
s m t i e r
R e s p o n s a b
l e e x p l o i t a t i o n
R e s p o n s a b
l e a r c h i t e c t u r e
R e s p o n s a b l e
d v e l o p p e m e n t s
R e s p o n s a b l e a d m i n i s t r a t i f
B u r e
a u
p r o j e t
C o n f o r m i t , a u d i t
, r i s q u
e e t s c u r i t
Lier objectifs mtier et objectifsinformatiques.
C I A/R R C
Identier les dpen-dances critiques et lesperformances actuelles.
C C R A/R C C C C C C
Construire un plan informatique strat-gique.
A C C R I C C C C I C
laborer des plans informatiques tactiques. C I A C C C C C R
Analyser les portefeuilles de programmes et grer les portefeuilles de projetset de services.
C I I A R R C R C C I
8/8/2019 Chap 3 Moisand
7/8
Partie I CobiT et la gouvernance TI
46
Les objectifs et les indicateurs
Chacun de cesbjectifs donne lieu
ne mesure de perfor-ance qui permet de
avoir si lobjectif est teint (lag indicator
n anglais), ce quionstitue en mmemps le contextee lobjectif suivant ead indicator ).insi, lobjectif infor-atique sassurer
ue les services infor-matiques sont capa-les de rsister destaques et den sur-
monter les effets,ar exemple, sinscrit la fois dans unontexte (lead :
nombre daccsauduleux) et savreesur par un rsul-t (lag : le nombreincidents informati-
ues rels qui ont eun impact sur lacti-t de lentreprise).
Pour chaque processus, on dtaille les objectifs et les mtriques associes.Un processus est considr comme pilot lorsque des objectifs lui ont tassigns et que des indicateurs ont t dnis pour atteindre les objectifs 1.Nul doute que cette construction garantisse la bonne gouvernance enreliant ainsi les diffrents indicateurs de lactivit lmentaire au mtier.Ceci tant, il faut disposer dun vrai systme dinformation de pilotagepour le mettre en uvre, ce qui correspond au stade ultime de la gouver-nance SI. Autant les objectifs de contrle nous semblent trs structurantset invariants, autant la partie guide de management est considrercomme un exemple mritant dtre contextualis, complt et personna-lis au cas par cas.
Le modle de maturit CobiT propose un modle de maturit gnrique faisant lobjet dunedclinaison spcique pour chacun des 34 processus. Ainsi, la mise enuvre de chacun des 34 processus peut tre confronte des stades dumodle de maturit selon une chelle classique en la matire (voirgure 3-2). En se limitant cette description gnrique, on peut doncmesurer de faon globale la maturit de chaque processus et piloterleur amlioration.
Figure 3-2 : Modle de maturit
Les
m m
8/8/2019 Chap 3 Moisand
8/8
Chapitre 3 Apprhender CobiT
47
CobiT veut aller plus loin en groupant trois dimensions au modle de matu-rit, pour chacun des 34 processus. Il propose ainsi les dimensions suivantes : quoi : contrle (initialis, reproductible, dni, gr et optimis), stades
de 0 5 ; combien : couverture en termes de primtre ; comment : capacit raliser les objectifs.
1. Il y a au moins unecentaine de modlesde maturit dont unbon nombre servent des rfrentiels utili-ss en DSI. Le prcur-seur est celui du SEI
( Software Enginee- ring Institute) qui adonn le CMM (Capa- bility Maturity Model ) , conu pourvaluer la maturitdes organisations encharge du dveloppe-ment de logiciel. Engnral, un modlede maturit a cinqniveaux : inexistant,intuitif, dni, gr et mesurable, optimis.
En tudiant la description du modle de maturit 1 par processus, il sembleque chaque stade caractrise un palier de mise en uvre en fonction deson primtre de dploiement au sein de lentreprise. Il peut ainsi y avoirconfusion entre le primtre spcique de dploiement dun processus(dimension combien ) et le stade de maturit gnrique quil a atteint,au sens du CMM (dimension contrle ).
Pour un mme processus, il est ainsi possible de xer des objectifs diff-rents de progression de la maturit en fonction de ltat de maturitobserv sur plusieurs primtres de sa mise en uvre. Pour un mtier ouun systme donn, le processus peut tre valu au niveau 2 du modle dematurit alors que, pour dautres, il peut ltre au niveau 3. Selon les exi-gences mtier et la criticit de linformatique sur les mtiers de lentre-prise, la cible en termes de niveau de maturit peut tre diffrente.Dans le cas dun primtre dvaluation de la maturit globale selon CobiT(cest--dire tous les mtiers et tous les systmes), il serait donc rducteurde dire par exemple quun processus donn est globalement au niveau 2 si,selon les endroits o il est applicable, il se trouve au niveau 3, 4 ou 1.Le modle de maturit CobiT est conu pour offrir une grande exibilit lvaluateur en fonction de ses objectifs et des besoins damlioration. Il estadapt lactivit daudit du ou des processus considrs plutt qu uneactivit de mise en uvre dune dmarche CobiT globale dans lentreprise.En effet, il ny a aucune recommandation ni orientation quant la prioritou lordre de mise en uvre des processus. Les 34 processus du rfrentielCobiT ne sont pas prsents pour se loger dans un modle de maturittag avec une logique de mise en place progressive comme dans CMMI.
En revanche, un ordre de mise en place des processus CobiT peut treenvisag mais, dans ce cas, il sera toujours spcique chaque entrepriseen fonction de ses exigences mtier et de ses objectifs informatiques. Cestdailleurs partir dune valuation initiale des 34 processus CobiT et selonles exigences mtier quil sera possible de dnir un plan de mise en place.Ce plan spciera, processus par processus, les diffrents niveaux dematurit atteindre en fonction des mtiers et de la criticit des systmesinformatiques associs. Nous navons donc pas repris, dans la suite de laprsentation des processus, les lments spciques des modles dematurit de CobiT.
Recommended