Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
COBIT®5RETOURSD’EXPÉRIENCES
12Avril2016
AlainBonneaudCGEIT®-COBIT®-ITIL®-RESILIA®-ISO27001–ISO20000
-ISO22301–LeanIT–PRINCE2®
CASN°1IMPLÉMENTATION
©ABConsul3ng-2016 2
Contexte
• Munich(Bavière–Allemagne)• Période:Janvier2012-…• Secteurfinancier(Banque)• Contexteéconomique
– Economieforte– Tauxdechômagefaible(del’ordre
de2%)– Contextebancaire
• Loisetréglementa3onsapplicables– Europe/Allemagne/Bavière– Réglementa3onbancaire
• E3que,Cultureetcomportement• Pra3quesdel’industrie
©ABConsul3ng-2016 3
LecontextedelaBanque• Environ1000employés–DSIenviron120personnes• Joint-ventureentredeuxgrandesins3tu3onsbancaires
Européennes• Ethiqueetculture
– Mul3-culturel(prèsde20na3onalités)– Pasdecommunica3onentreDSIetmé3ers
• Mission,vision,valeurs– Différencesprofondesdevisionentrelesdeuxassociés
• Stratégiedesmé3ersdelabanque• Modèled’opéra3on
– DeuxDirecteursGénéraux– Organisa3onensilos
• StyledeManagement(DSI,Mé3ers)• Appé3tdurisque• Ap3tudesetressourcesdisponibles
4©ABConsul3ng-2016
L’originedel’ini3a3vedeGRC• Auditréaliséàlademanded’undesdeuxassociés(àlademandeduGroupe)– Auditexterneréaliséparl’Inspec3onGénérale– Périmètre:GouvernanceduSI
• UnedouzainedeprocessusTIauniveau1• Organisa3on• SystèmedeGouvernance• Poli3ques,systèmedemanagement• Repor3ngetmonitoring• Ressourceshumaines• Informa3ons/Sécurité
– Equiped’audit:7personnes–4mois(07/09/11–28/11/11)
5©ABConsul3ng-2016
L’événementdéclencheur– Résultatsdel’audit
• 33problèmesimportantsiden3fiés– 5classésàrisquecri3que– 23classésàrisquemoyen– 5rela3fsàl’efficience
• 38recommanda3onsàimplémenter– 1avant29/02/2012– 5avant31/03/2012– 1avant31/05/2012– 17avant30/06/2012– 9avant30/09/2012– 5avant31/12/2012
6©ABConsul3ng-2016
Résultatsetrecommanda3ons• Implémenta3on/Améliora3onexigéede10processus
– Ges3ondesincidents– Ges3ondesproblèmes– Ges3ondeschangements(2recommanda3ons)– Ges3ondelacapacitéetdelaperformance– Ges3ondesniveauxdeservice– Ges3ondesprojetsetdesprogrames(2recommanda3ons)– Ges3ondelasécurité– Ges3ondesconfigura3ons(2recommanda3ons))– Ges3ondelasécurité(8recommanda3ons)– Ges3ondesdéploiements(nonexplicite)
• L’implémenta3on et l’améliora3on des processus est unprérequis pour les autres recommanda3ons (Contrôle,repor3ng,monitoring,Gouvernance…)
7©ABConsul3ng-2016
Les7axesdel’ini3a3ve(facilitateurs)
8©ABConsul3ng-2016
Approcheproposée
Inventairdesdocumentsexistants
Prototypage
Cartographiedesprocessus
Valida3on
Développement/réalisa3on
Sensibilisa3onetforma3on
Passageen“produc3on”
Auditinterne Améliora3oncon3nue
Prototypage CréaFonetintégraFon ImplémentaFon AmélioraFon
Uneàquatresemaines Deuxàcinqsemaines Quatreàhuitsemaines
M2 M7M4M3 M5 M6 M8M1
Réuniond’orienta3on
Valida3on Valida3onfinale
RapportAudit
Kick-offMee3ng
Lancementcomm.
DébutAuditRéunionderevue
M9
Revuepériodique
M0
9©ABConsul3ng-2016
Facteursclésdesuccès
• Direc3on,mandatetengagementfortdonnésparlesdeuxDirecteursGénéraux
• Compréhension par lesmé3ers et les TI des enjeux,objec3fsetcontraintesliésàlaGouvernanceduSI
• Communica3onefficaceetfacilita3onduchangement• Ne jamais men3onner COBIT® mais s’appuyer surCOBIT® pour amener les par3es-prenantes àconcevoirleurpropresfacilitateurs
• Priorisez sur la base de « quick-wins » encommençantparcequiestfacileetvisible
10©ABConsul3ng-2016
L’approched’implémenta3on
11©ABConsul3ng-2016
Conclusion• Cen’estpasuneini3a3ve«court-terme»!!!
– Plusieursannéessontnécessairespourunemiseenœuvresignifica3ve– Chaquecycledoitêtrelimitéenambi3onetendélai
• 6moismaximum• Nejamaisperdredevuequel’objec3fcentraldel’Organisa3onestdecréerdela
valeurgrâceàsesmé3ersdebase– Lesprioritésmé3ersdoiventêtreévaluéesenpermanence
• Meyrel’accentsurlacommunica3onetlafacilita3onduchangement– Vitalpourlesuccès
• Rester«lite»et«agile»– Restercohérentaveclatailledel’Organisa3on– Nepasconstruireune«cathédrale»maiss’assurerquel’innova3onparlesmé3ersresteau
centredespréoccupa3ons• Nepas«ré-inventerlaroue»• Ne pas imposer des bonnes pra3ques venues d’ailleurs mais s’appuyer sur ces
bonnespra3quesetlesadapterpourconstruiresurlesforcesdel’organisa3on• Capitaliser enpermanence sur la réussited’objec3fs à court termeetobtenir le
«buy-in»dupersonneldel’Organisa3on– Ayen3onànepascréerdefrustra3ons
• L’engagement fort de la Direc3on est clé pour la réussite à moyen et longterme!!!! 12©ABConsul3ng-2016
Ques3ons/Réponses
©ABConsul3ng-2015 13
CASN°2AUDITDERISQUES
©ABConsul3ng-2016 14
Contexte• IledesCaraïbes• Période:Mai–Juillet2015• Opérateurtélécom• Contexteéconomique
– Economieforte– Tauxdechômagefaible– Opérateurhistorique
• Loisetréglementa3onsapplicables– Na3onale,interna3onale– Réglementa3onTelcos
• Ethique,Cultureetcomportement– Syndicatspuissants
• Pra3quesdel’industrie– Concurrenceforte– Opérateursbienstructuréset
organisés
©ABConsul3ng-2016 15
Lecontextedel’Entreprise• Environ1000employés–UnecentainedepersonnesàlaDSI• Deuxac3onnaires:Etat+Unesociétédetéléphonieprivéeobligéedese
re3rerducapital• Ethiqueetculture
– Culturetrès«sociale»– Peudecommunica3onentreDSIetmé3ers
• Mission,vision,valeurs– Différencesprofondesdevisionentrelesdeuxac3onnaires
• Stratégiedesurviedansunmondeconcurren3el– Findumonopole– Portabilitédunuméro– Réduc3ondescoûts(plansocial)
• Modèled’opéra3on– Comitéexécu3f«faible»– Organisa3onensilos
• StyledeManagement(DSI,Mé3ers)• Appé3tdurisque• Ap3tudesetressourcesdisponibles 16©ABConsul3ng-2016
L’originedel’ini3a3ve• Auditréglementaireréaliséannuellementparlecabinet
Ernst&Young– Exigenced’avoirunauditdesrisquesduSI– ChoixdeCOBIT®5parlecomitéd’auditdel’Entreprise– Périmètre:Gouvernance&Ges3ondesrisquesduSI
• Deuxprocessuscentrauxauniveau1minimum(EDM03etAPO12)• Autresprocessusinduits(notammentges3ondelasécuritéAPO13)• Organisa3on• SystèmedeGouvernance• Poli3ques,systèmedemanagement• Repor3ngetmonitoring• Ressourceshumaines• Informa3ons/Sécurité
– Equiped’audit:2personnes–2mois(Mai-Juin2015)
17©ABConsul3ng-2016
Laperspec3veRisquesselonCOBIT®5
©ABConsul3ng-2015 18
Laperspec3vedesrisquesvueparCOBIT®
COBIT5forRiskfournitdeslignesdirectricessurlafaçondontchaque
facilitateurcontribueàlagouvernanceetàlages3ondurisqueglobal
d’Entreprise. 19©ABConsul3ng-2016
Perspec3vedeges3ondesrisques
– QuelsProcessusilestnécessairededéfiniretd’op3miserpoursoutenirla
fonc3onrisque,gouverneretgérerlesrisquesauseindel’Entreprise,
– Quels Flux d’informaFon doivent exister pour gouverner et gérer le
risque(universderisque,profilsderisque)
– Quelles Structures organisaFonmelles sont nécessaires pour gouverner
et gérer le risque efficacement (Enterprise Risk Commiyee, Fonc3on
Risque)
– Quels Personnels et avec quelles compétences doivent être désignés
pourétabliretopérerunefonc3onrisqueefficace
©ABConsul3ng-2015 20
20
Perspec3vedeges3ondesrisques
COBIT 5 for Risk fournit des conseils spécifiques pour chacun des
facilitateurafindegérerefficacementlerisque:
§ LesprocessusclésdeGesFondes risquesnécessaireà l’implémenta3onefficaceetefficiente
d’une ges3on des risques d’Entreprise permeyant de créer de la valeur pour les par3es-
prenantesdel’entreprise
§ Desscénariosderisqueconcrets,tangiblesetmesurablesdereprésenaFondurisque,(c-a-d
lesélémentsd’informa3onclésnécessairesàl’iden3fica3on,l’analyseetlaréponseaurisque)
et comment les facilitateurs de COBIT® 5 permeyent de répondre efficacement aux risques
correspondants21©ABConsul3ng-2016
Driverspourlages3ondesrisquesLesprincipauxdriverspour la ges3ondesrisquesincluentlafourniture:
§ Aux par3es-prenantes, d’avisargumentés et cohérents sur leniveaucourantdurisqueauquelestexposéel’Entreprise
§ De conseils sur commentmaintenirlesrisquesdanslecadreacceptabledel’appé3tdurisquedel’Entreprise
§ Deconseils sur comment créeruneculturede ges3ondes risquesdansl’Entreprise
§ Si poss ib le , des évalua3onsq u a n 3 t a 3 v e s d e s r i s q u e spermeyant aux par3es-prenantesde prendre une décision sur lanécessité de meyre en place unplanderéponse
Pour ayeindre ces objec3fs, lapublica3onCOBIT5forRiskfournit:
§ Des conseils sur l’u3lisa3on deC O B I T ® 5 p o u r s o u t e n i rl’établissement de laGouvernanceet de la Ges3on du risque dansl’Entreprise
§ Des conseils et une approchestructurée sur l’u3lisa3on desprincipes et des facilitateurs deCOBIT® 5 pour Gouverner et GérerlesrisquesliésauSI
§ Une compréhension claire del’alignement de COBIT 5 for Riskaveclesautrescadresexistants
©ABConsul3ng-2016
QuipeutbénéficierdeCOBIT®5pourlages3ondesrisques?
§ Lesprofessionnelsdurisquesdansl’Entreprise• Aide pour intégrer le risque lié au SI au système global de ges3on des
risquesdansl’Entreprise
§ Conseilsd’Administra3onetComitésdeDirec3on:• Compréhension claire de leurs rôles et respondabilités en ma3ère de
risquedansl’Entreprise,notammentenma3èredeconformité• L’implica3on des risques liés au SI sur les objec3fs stratégiques de
l’Organisa3on• Commentop3miser l’u3lisa3onduSIpourmieuxréussir l’exécu3onde la
stratégied’Entreprise
§ Ges3onnairesITetmé3ers:• Comprendrecomment iden3fieretgérer lerisqueTIetcommuniquersur
cesujetaveclesdécisionnaires
23©ABConsul3ng-2016
Evalua3ond’ap3tudedeprocessus
1–Démarrage
2–PlanificaFondel’évaluaFon
3–InstrucFons
4–Collectedesdonnées
5–ValidaFondesdonnées
6–NotaFondesa_ributsdesprocessus
7–Rapportd’audit
BaséesurCOBIT®5
24©ABConsul3ng-2016
1–Démarrage
©ABConsul3ng-2016
Rôles&responsibilités
Sponsor
Coordinateur
Propriétairesdeprocessus
Par3esprenantesdesprocessus
LeadAssessor
AutresPar3cipants
26©ABConsul3ng-2016
Rôles&ResponsabilitésKeyRolesandResponsibiliFesinaCOBITAssessmentProgrammeAssignment
Roles ResponsibiliFesq Verifythattheleadassessorisacompetentassessor.Anindica3oniswhether
thepersonisacer3fiedassessor,ifsuchacer3fica3onisavailable.q Ensurethatresourcesaremadeavailabletoconducttheassessment.q Ensurethattheassessmentteamhasaccesstotherelevantresources.q Agreetotheassessmentscope.q Acceptassessmentresultsonbehalfoftheorganiza3on.
Sponsor
LeadAssessor q Confirmthesponsor’scommitmenttoproceedwiththeassessment.q Ensurethattheassessmentisconductedinaccordancewiththerequirements
oftheCOBITassessmentprogramme.q Ensurethatpar3cipantsintheassessmentarebriefedonthepurpose,scope
andapproachoftheassessment.q Ensurethatallmembersoftheassessmentteamhaveknowledgeandskills
appropriatetotheirroles.q Ensurethatallmembersoftheassessmentteamhaveaccesstoappropriate
documentedguidanceonhowtoperformthedefinedassessmentac3vi3es.q Ensurethattheassessmentteamhasthecompetenciestousethetoolschosen
tosupporttheassessment.q Confirmreceiptoftheassessmentresultdeliverablesbythesponsor.q Oncomple3onoftheassessment,verifyanddocumenttheextentof
conformanceoftheassessmenttotheCOBITassessmentprogrammeandISO/IEC15504
©ABConsul3ng-2016
1–Phasededémarrage
KeyRolesandResponsibiliFesinaCOBITAssessmentProgrammeAssignment
Roles ResponsibiliFes
Assessor
Co-ordinator
q EnsurethattheassessmentisconductedinaccordancewiththerequirementsoftheCOBITassessmentprogramme.
q Ratetheprocessayributesnecessarytocompletetheprocessprofile.q Carryouttheassignedac3vi3esassociatedwiththeassessment(detailed
planning,datacollec3on,datavalida3onandrepor3ng)q andensurethattheyaresupportedbyproperevidencece.q Ensurethattheassessmentteamhasadequateinterac3onwiththenecessary
organisa3onalrolesneededtocompletetheassessment.q Ensurethatresourcesaremadeavailableina3melymannertomeetthe
assessmentschedule.q Serveasinterfaceforlogis3calconcernstoensurethatboththeneedsofthe
businessandtheneedsoftheassessmentareadequatelyserved.
28©ABConsul3ng-2016
1-Phasededémarrage
L’étape de démarrage commence par la confirmaFon du sponsor, lavérifica3on qu’il y a bien un accord sur l’objet et le périmètre del’évaluaFon.Aucoursdeceyeétape,ilseraégalementnécessaired’idenFfiertouteslescontraintes,deproduireunplanninginiFaldel’évaluaFon(ycomprisdesinforma3ons complémentaires suscep3bles d’être nécessaires),de choisirlesparFcipantsàl’évaluaFonainsiquelatotalitédel’équiped’auditeurs,etdedéfinirlesrôlesdechacundesmembresdel’équipe.
29©ABConsul3ng-2016
2–Planifica3ondel’évalua3on
Auditeurs30©ABConsul3ng-2016
2-Planifica3ondel’évalua3on
Laplanifica3ond’uneévalua3on COBIT®5nécessitel’élabora3ond’unpland’audit décrivant l’ensemble des ac3vités de lamission d’audit incluant lacollectedesévidencesetlaconduitedel’évalua3on.Probléma.quesclés:• Ges3ondeprojet(unauditestunprojetensoi)• Niveaud’effortrequis(Périmètre,Classedel’évalua3onetniveau
d’ap3tude)• Ou3lsu3lisés• Stratégiedecollectedesdonnées
31©ABConsul3ng-2016
Classedel’évalua3on
32©ABConsul3ng-2016
Classedel’évalua3on
33©ABConsul3ng-2016
3–Instruc3onsauxpar3cipants
Auditeurs34©ABConsul3ng-2016
3-Instruc3onsauxpar3cipants
Avantdecommencerlacollectedesdonnées,leLeadAssessordoitd’abords’assurer que l’équipe d’auditeurs comprend le processus d’audit, lesentréesetlessorFes.Lespersonnesde l’Entreprisequidoiventêtreconsultéesdans lecadredel’évaluaFondoiventégalementêtreinforméesdelafaçondontl’évaluaFonse déroulera, des objecFfs visés ainsi que des entrées et des sorFesa_endues. C’est une évaluaFon d’apFtude des processus et non au auditsurlafaçondetravaillerdupersonnel.
35©ABConsul3ng-2016
4–Collectedesévidences
Assessors36©ABConsul3ng-2016
4-CollectedesévidencesLacollectedesdonnéesviseàobtenirdesévidencessoutenantl’évalua3ond’ap3tudedesprocessussélec3onnésdanslepérimètredel’évalua3on.Unestratégiedecollectedoitêtreélaborée,rédigéeetapprouvéedurantceyephase.Ilestimportantdenoterquelapériodedecollectedesdonnéesdoitêtresoigneusement choisie car elle peut avoir un impact sur les résultats del’évalua3on.Probléma.quesclés:• Stratégiedecollectedesdonnéesrédigéeetvalidée• Choixdesinstancesduprocessus• Exigencesrela3vesauxévidences• Enregistrementsystéma3que• Prépara3on
37©ABConsul3ng-2016
5–Valida3ondesdonnées
Sponsor
Coordinateur
Auditeurs
Propriétairesdeprocessus
Professionnelsimpliquésdanslesprocessus
LeadAssessor
38©ABConsul3ng-2016
5-Valida3ondesdonnées
La valida3on des données implique la confirma3on que les évidencescollectées sont bien objec3ves et suffisantes pour couvrir l’étendue dupérimètre et pour sa3sfaire l’objet de l’évalua3on ainsi que la cohérenceglobaledesdonnéescollectées.Probléma.quesclés:• Revuedesdonnéescollectées• Gérerleséventuellesdéficiences
39©ABConsul3ng-2016
6–Nota3ondesayributs
40©ABConsul3ng-2016
6-Nota3ondesayributs
Pour chaque processus évalué, une note est a_ribuées à chacun desa_ributsduprocessus,jusqu’auniveaud’évaluaFonquiaétédécidélorsdeladéfiniFondupérimètre.Lanoteestcalculéesurlabasedesdonnéesvalidéeslorsdel’étape5.La traçabilité doit impéra3vement êtremaintenue entre les évidencescollectéesetlanotea_ribuéeàchaquea_ributduprocessus.Pourchaquea_ributnoté, la relaFonentre les indicateurset l’évidenceelle-mêmedoitimpéraFvementêtreenregistrée.Probléma.quesclés:• Leniveau1d’ap3tude• L’échelledenota3on• Leprocessusdedécision
41©ABConsul3ng-2016
7–Rapportd’évalua3on
COBIT5©2012ISACAAllrightsreserved 42
7–Rapportd’évalua3onAucoursdeceyephase,lesrésultatsdel’évaluaFonsontanalysésetprésentésausponsoretauxautresparFes-prenantesselonlescas.
Commesoulignédanslaphase1(démarragedelamissiond’évalua3on),ilestimportantdesoulignerquelerapportest:
q Un rapport d’évaluaFon d’apFtude de processus, basé sur COBIT® 5, réalisé sous laconduited’unauditeur compétent (COBIT®5CerFfiedAssessorby ISACA) et en aucuncasuneayesta3ondecer3fica3onouun rapportdonnant l’assurancede l’efficacitédescontrôles internes, de la ges3on des risques ou de tout autre aspect rela3f à laperformancedel’Entreprise
q Des3né à une uFlisaFon strictement interne par le management de l’Entreprise pourcomprendreleniveaud’apFtudedesprocessusITbasésurlePAMdeCOBIT®5et(sicelafait par3e du périmètre) à permeyre une ini3a3ve d’améliora3on des processuscorrespondantssurlabasedesrésultatsdel’évalua3onréalisée
Probléma.quesclés:• Naturedel’engagement• Rapport• Contenu• Implica3onsdesrésultatsdel’évalua3on• Présenta3onauxpar3cipants
43©ABConsul3ng-2016
Ques3ons/Réponses
©ABConsul3ng-2015 44