Control Objectives for Business and related Techonology – Contrôle de l’Information et des Technologies Associées= outil fédérateur qui permet d'instaurer un langage commun pour parler de la gouvernance des SI en intégrant d'autres référentiels + Souci de transparence des informations.
Le CobiT a été développé en 1994 (et publié en 1996) par l’ISACA (Information Systems Audit and Control Association).
L’ISACA a été crée en 1967 et est représenté en France depuis 1982 par l’AFAI (Association Française de l’Audit et du conseil Informatique). C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. CobiT a évolué, la version 4 est apparue en France en 2007.
CobiT est une approche orientée processus :
- Propose une couverture étendue et de haut niveau en focalisant l’attention sur les exigences métier
- Permet d’intégrer des pratiques hétérogènes dans un cadre unique et de les relier aux objectifs métiers stratégiques
- Relie les objectifs du SI à ceux de l’entreprise pour évaleur sa maturité envers son SI
- Permet d’évaluer et de contrôler l’environnement informatique
- Permet de diagnostiquer d’éventuels dérapages (via une échelle)
- Référentiel reconnu pour permettre de répondre aux exigences de SOX dans le domaine des SI
- Propose une couverture étendue et de haut niveau en focalisant l’attention sur les exigences métier
- Permet d’intégrer des pratiques hétérogènes dans un cadre unique et de les relier aux objectifs métiers stratégiques
- Relie les objectifs du SI à ceux de l’entreprise pour évaleur sa maturité envers son SI
- Permet d’évaluer et de contrôler l’environnement informatique
- Permet de diagnostiquer d’éventuels dérapages (via une échelle)
- Référentiel reconnu pour permettre de répondre aux exigences de SOX dans le domaine des SI
1.2 Gouvernance SI
Gouvernance selon COBIT : structure de relations et de processus visant à diriger et contrôler l’entreprise pour qu’elle atteigne ses objectifs en générant de la valeur, en trouvant le bon équilibre risques/avantages des technologies de l’information et de leurs processus. 5 axes :
- Alignement stratégique SI
- Apport de valeur
- Gestion des ressources
- Gestion des risques
- Mesure des performances
1.3 Cadre de référence
- Critères de l'information : cette rubrique va intéresser la direction générale en indiquant ce que l'implantation d'un processus donné va apporter sur les informations (par exemple sur l'information décisionnelle). Ces critères sont :
- efficacité : qualité et pertinence de l’information, distribution cohérente
- efficience : rapidité de délivrance
- confidentialité : protection contre la divulgation
- intégrité : exactitude de l’information
- disponibilité : accessibilité à la demande et protection (sauvegarde)
- conformité : respect des règles et lois
- fiabilité : exactitudes des informations transmises par le management
En améliorant l'information selon ces critères, l'organisation pourra atteindre plus facilement ses objectifs, cela ouvrira des nouvelles opportunités et améliorera la rentabilité.
- Les ressources : cette partie concerne plus le directeur des SI ou responsable des SI, pour l'informer des ressources qui vont être impactées par le processus. Les différentes ressources sont :
- les compétences : le personnel, efficacité des collaborateurs (internes et externes)
- les applications : ensemble des procédures de traitement
- l'infrastructure : ensemble des installations, Data Center…
- les données : informations au sens global (format, structure…)
- les technologies : équipement, softwares, bases de données, réseaux…
- les compétences : le personnel, efficacité des collaborateurs (internes et externes)
- les applications : ensemble des procédures de traitement
- l'infrastructure : ensemble des installations, Data Center…
- les données : informations au sens global (format, structure…)
- les technologies : équipement, softwares, bases de données, réseaux…
- Les processus : destinés à l'attention du gestionnaire de processus, ils vont définir la structure des domaines, des processus et des tâches. Il faut savoir qu’un processus se définit comme un ensemble de tâches.
1.4 Objectifs de contrôle
Définir et aligner objectifs métiers et objectifs informatiques :
- Identifier les objectifs métiers
- Les traduire en objectifs informatiques
- Identifier les processus COBIT qui vont contribuer à atteindre les objectifs informatiques
- Repérer ensuite les activités des processus nécessaires à l’atteinte des objectifs
1.4 Objectifs de contrôle
Définir et aligner objectifs métiers et objectifs informatiques :
- Identifier les objectifs métiers
- Les traduire en objectifs informatiques
- Identifier les processus COBIT qui vont contribuer à atteindre les objectifs informatiques
- Repérer ensuite les activités des processus nécessaires à l’atteinte des objectifs
Le contrôle des processus informatiques qui répondent aux impératifs de l’entreprise est rendu possible par les listes de contrôle qui tiennent compte des pratiques de contrôle.
1.5 Domaines et processus
Le modèle CobiT constitue une structure de relations et de processus (framework) visant à un pilotage et un contrôle des technologies de l'information par le management de l'entreprise pour atteindre ses objectifs, en utilisant ces technologies de l'information comme moyen pour améliorer l'activité et répondre aux besoins métiers, besoins consolidés dans le plan stratégique de l'entreprise. Il définit 34 processus regroupés en quatre étapes successives :
Le modèle CobiT constitue une structure de relations et de processus (framework) visant à un pilotage et un contrôle des technologies de l'information par le management de l'entreprise pour atteindre ses objectifs, en utilisant ces technologies de l'information comme moyen pour améliorer l'activité et répondre aux besoins métiers, besoins consolidés dans le plan stratégique de l'entreprise. Il définit 34 processus regroupés en quatre étapes successives :
Le CobiT consiste à décomposer tout système informatique en 4 domaines, 34 processus, 200 objectifs de contrôle :
- PO, Planification et Organisation : dans ce domaine nous cherchons à savoir comment utiliser les technologies afin que l’entreprise atteigne ses objectifs.
- AI, Acquisition et Implémenter : ici CobiT cherche à définir, acquérir et mettre en œuvre des technologies en les alignant avec les processus métiers de l’entreprise.
- DS, Délivrer et Supporter : l’objectif est de garantir l’efficacité et l’efficience des systèmes technologiques en action.
- SE, Surveiller et Evaluer : Il convient ici de vérifier si la solution mise en place soit en adéquation avec les besoins de l’entreprise dans une vision stratégique.
- PO, Planification et Organisation : dans ce domaine nous cherchons à savoir comment utiliser les technologies afin que l’entreprise atteigne ses objectifs.
- AI, Acquisition et Implémenter : ici CobiT cherche à définir, acquérir et mettre en œuvre des technologies en les alignant avec les processus métiers de l’entreprise.
- DS, Délivrer et Supporter : l’objectif est de garantir l’efficacité et l’efficience des systèmes technologiques en action.
- SE, Surveiller et Evaluer : Il convient ici de vérifier si la solution mise en place soit en adéquation avec les besoins de l’entreprise dans une vision stratégique.
Pour les 34 processus : ressources nécessaires+ indicateurs utiles
Pour chaque processus, 4 rôles : responsabilité de l’activité, garant de l’activité, personne consultée, personne informée.
CobiT s’adresse à différents utilisateurs :
- Le management pour lequel il offre un moyen d’aide à la décision
- Les utilisateurs directs pour lesquels il permet d’apporter des garanties sur la sécurité et les contrôles des services informatiques.
- Les auditeurs et les consultants auxquels il propose des moyens d’interventions reconnus internationalement.
CobiT s’adresse à différents utilisateurs :
- Le management pour lequel il offre un moyen d’aide à la décision
- Les utilisateurs directs pour lesquels il permet d’apporter des garanties sur la sécurité et les contrôles des services informatiques.
- Les auditeurs et les consultants auxquels il propose des moyens d’interventions reconnus internationalement.
0 commentaires:
Enregistrer un commentaire