Control des objectifs des technologies

de l’information
La gouvernance des Technologies de l’Information (TI) regroupe
l’ensemble du système de management (processus, procédures,
organisation) permettant de piloter les TI. Cette préoccupation est une
déclinaison de la volonté d’assurer une gouvernance d’entreprise
(corporate gouvernance).
Il existe un grand nombre de référentiels qui reflètent les bonnes
pratiques mises au point au fil des années. La réalité est que chacun
d’eux part d’une préoccupation particulière : la sécurité, la qualité, les
services offerts aux clients, l’audit, le développement de projet, etc.
C’est un mal nécessaire pour que chaque fonction se reconnaisse
dans ses propres pratiques. Simultanément se pose la question de la
mise en place d’un cadre global, unique pour la DSI, qui réponde à
toutes les attentes.
CobiT se positionne à la fois comme un référentiel d’audit et un
référentiel de gouvernance. Sur le plan de la gouvernance, il se place
d’emblée en alignement avec les métiers et la stratégie de l’entreprise.
Au-delà de ces positionnements, CobiT est conçu, développé et
amélioré en permanence pour fédérer l’ensemble des référentiels en
rapport avec les TI.
Historique
COBIT est le résultat des travaux collectifs réalisés
par les principaux acteurs de la profession. Fédérer
au sein de l’ISACA (Information System, Audit and Control
Association) basée aux USA est déployée dans les plus
grandes villes du monde. (AFAI en France).
1996 : COBIT référentiel de contrôle ( COSO: Committee
of Sponsoring Organisation of the Treadway Commission)
1998 :ITGI : facteurs de succés réside dans la capacité
des SI à apporter une différenciation stratégique
2000 : COBIT v3.
2007: COBIT v4.1 – contrôle , management: GTI
2012: COBIT v5.-
COBIT Socle de le Gouvernance SI
La Gouvernance des Systèmes d’information
est axée sur la technologie de l’information et de
la communication
Cette discipline, en phase avec les objectifs de
l’entreprise, s’intéresse plus particulièrement à
la gestion des risques, à l’optimisation des
investissements et des ressources, à la création
de valeurs et à la performance des
technologies de l’information.
 Principe de base

nt
Exigences

in
x de

G iss
ve
métiers

én em
au pon

st
èr en
ré

e n ts
td d
ui
Q

es an
s
Informations Ressources
entreprises COBIT informatiques
Po

Qui sont
ur

utilisées par
f

Processus
ou
rn

informatiques
ir
 Le COBIT
Qu'est-ce que le COBIT ?
Constat : Le fonctionnement de la majorité des grandes
entreprises, repose complètement sur le traitement de
l'information.
Nécessité : Il est vital, pour leur avenir, que le système
d'information soit en cohérence avec les objectifs et la stratégie
globale de l'entreprise.
Volonté des dirigeants : Le SI doit apporter de la valeur
ajouter et de la performance dans l’organisation.
 Le COBIT - Suite

Le COBIT est un référentiel de gouvernance des

systèmes d'information qui décompose tout
système informatique

- en 34 processus,
- lesquels sont répartis en 4 domaines
fonctionnels,
- Ces domaines permettant de couvrir 318
objectifs.
Acteurs
 Les Domaines (4 Domaines)
- planning et organisation (10 processus).
Comment utiliser les technologies afin que l'entreprise atteigne ses objectifs ?

- acquisition et mise en place (7 processus).

Comment définir, acquérir et mettre en œuvre des technologies en adéquation
avec les objectifs de l’entreprise ?

- fourniture du service et support (13 processus).

Comment garantir l'efficacité des systèmes technologiques en action ?

- Surveillance (4 processus).
Comment s'assurer que la solution mise en œuvre corresponde bien aux
besoins de l'entreprise dans une perspective stratégique ?
Objectifs et Ressources
Pour satisfaire aux objectifs métiers de l’entreprise , l’information doit se
conformer à certains critères de contrôle (7) :

- L'efficacité,
- L'efficience,
- La confidentialité,
- L'intégrité,
- La disponibilité,
- La conformité,
- La fiabilité.
Pour atteindre ces objectifs, le SI dispose des ressources suivantes (4) :
- Les compétences,
- Les applications,
- Les technologies,
- Les données.
 Représentation détaillée de COBIT

PO1 - Définir un plan informatique stratégique

S1 - Surveiller les processus
PO2 - Définir
S2 - Évaluer l'adéquation du contrôle l'architecture
interne de l'information
S3 - Acquérir PO3 - Déterminer l'orientation technologique
DS1 - Définirune assurance
et gérer
PO4 des
-
indépendante
niveaux
Définir de service et les relations de travail
l'organisation
S4 - Disposer
DS2 d'unservices
- Gérer des audit indépendant
tiers l'investissement informatique
PO5 - Gérer
DS3 - Gérer la performance
PO6 - Faire et la capacité les buts et les orientations du management
connaître
DS4 - Assurer un service continu
PO7 - Gérer les ressources humaines
DS5 - Assurer la sécurité
PO8 - Se desconformer
systèmes aux exigences externes
DS6 - Identifier etPO9
imputer les coûts
- Évaluer les risques
DS7 - Instruire et PO10
former- les utilisateurs
Gérer les projets
DS8 - Assister et conseiller
AMP1les clients des solutions informatiques
- Trouver
DS9 - Gérer la configuration
AMP2 - Acquérir des applications et en assurer la maintenance
DS10 - Gérer les problèmes
AMP3et- les incidents
Acquérir une infrastructure et en assurer la maintenance
DS11 - Gérer les donnéesAMP4 - Développer les procédures et en assurer la maintenance
DS12 - Gérer les installations
AMP5 - Installer les systèmes et les valider
DS13 - Gérer l'exploitation
AMP6 - Gérer les changements
AMP7 - Faciliter le fonctionnement et l’utilisation
 Cartographie – Exemple de représentation
Représentation des processus, des objectifs et des ressources.
L'impact du processus sur le critère d'information peut être
Primaire, Secondaire, ou vide.
Le lien entre les processus et les ressources ne mesure pas le niveau d'utilisation,
mais le niveau de management de la ressource par le processus COBIT
 Comment utiliser COBIT ?
- Audit : 318 Objectifs – Liste permettant de cadrer les entretiens et de ne
rien oublier. Peut être complété par des spécificités du domaine de l’entreprise.

- Pilotage du Système d’informations :

o Mise en place : Définition des objectifs, choix et gestion des

ressources, choix et gestion des processus (Prendre ce que l’on a besoin)

o Evaluation ( Définition de niveaux de maturité)

 Les niveaux de maturité : de 0 à
5
- Inexistant : Pas de processus / Entreprise non
consciente
- Initial : quelques processus / Entreprise prend
conscience
- Répétitif : Processus avec modèle répétable /
Entreprise traite au cas par cas
- Défini : Processus formalisés, pas de responsabilités
définies, pas de suivi qualité
- Géré et mesurable : Processus surveillés,
Responsabilités définies, suivi de la qualité, Personnel
formé
- Optimisé : Amélioration du processus existant,
l’entreprise assure une veille afin de mettre à jour ses
méthodes
 Qu’est ce qu’apporte COBIT ?
- Des processus plus simples et plus compréhensibles.
- Une vision compréhensible par les métiers de ce que fait l’informatique.
- De la valeur ajoutée des systèmes d’information.
- Un meilleur alignement de l’informatique sur l’activité de l’entreprise
(orientation métier).
- Une attribution claire des responsabilités (approche par processus).
- Une aide à la décision, aux choix, aux investissements…
- Une possibilité d’élaborer son propre standard COBIT afin d’être encore plus en
phase avec les objectifs de l’entreprise en terme de systèmes d’information.
- Une auto évaluation
- Une comparaison avec d’autres entreprises ayant un même domaine métier
 Pour être plus précis…
COBIT
- Est une démarche qui s'appuie sur un référentiel de bonnes pratiques, des
indicateurs d'objectifs (KGI) et de performance (KPI)
- BUT : permettre de mettre les processus sous contrôle afin de disposer des
données permettant à l'entreprise d'atteindre ses objectifs

alignement des technologies sur la stratégie de l’entreprise.

 Conclusion : COBIT une norme ?
Tout au moins assimilé…

- Approche structurante : décomposition de tout SI en 4 domaines, 34 processus et

318 objectifs.
- Instaure un langage commun pour parler gouvernance
- Couverture d’utilisation internationale.
- COBIT est capable de s’intégrer à d’autres référentiels tels qu’ISO9000, ISO
27000, ITIL, COSO…
- Démarche digne d’une méthodologie, continuellement documentée et
développée par les experts en systèmes d’information.
 Création de Valeur
pour le Business
« alignement »

Performance
Gestion des compétences des processus
Informatiques et informatiques
Préparation du Futur

Performance
Économique Orientation
de l’informatique « clients »
De l’informatique

Création de Valeur
pour le Business
Niveau de
maturité de
« alignement »
l’Entreprise
Transparence Gestion des risques
informatiques Gestion des compétences Performance
Informatiques et des processus
Préparation du Futur informatiques

Amélio
r
IT Gov ation Performance
ernanc Économique
e de l’informatique Orientation
« clients »
De l’informatique

Gestion des risques

Transparence
informatiques
 - L'efficacité,
 - L'efficience,
- La confidentialité,


- L'intégrité,
- La disponibilité,
- La conformité,
- La fiabilité.

Les compétences,
- Les applications,
- Les technologies,
- Les données.  
22
Les FCS décrivent les points et actions les plus
importantes permettant à la direction de renforcer le
contrôle sur les processus de gestion, afin que les
processus des TI atteignent leurs objectifs et qui
concernent:

 La stratégie,
 La technique,
 L'organisation,
 Les processus et procédures.

Les FCS sont définis à différents niveaux: stratégique,

tactique et opérationnel.
 Les Indicateurs clefs d'objectifs (KGI)

Indicateurs mesurant, l'accomplissement des objectifs des

processus de COBIT sur les axes utilisateur et financier:

 Disponibilité des informations pour supporter les besoins du

métier,

 Absence de risque sur l'intégrité ou la confidentialité,

 Cout des processus et des opérations

 Confirmation de fiabilité, d'effectivité et de conformité des

processus
 Les indicateurs clefs de performance (KPI)

Indicateurs mesurant comment les processus et

organisation utilisent les ressources pour
atteindre leurs objectifs. Ces indicateurs
concernent la performance des processus
internes mais aussi le niveau de compétences et
d'innovation.
Assurer la sécurité de système
Surveiller et Évaluer
Mettre en place une gouvernance des SI
Mettre en place un référentiel de gouvernance efficace
impose de définir des structures organisationnelles, des
processus, un leadership, des rôles et des responsabilités
pour s’assurer que les investissements informatiques de
l’entreprise sont alignés sur ses stratégies et ses objectifs
et qu’ils travaillent pour eux.
qui répond à l’exigence métier vis-à-vis de
l’informatique
intégrer la gouvernance des SI aux objectifs de
gouvernance de l’entreprise et se conformer aux
lois et règlements
en se concentrant sur
la rédaction de rapports au CA sur la stratégie,
les performances et les risques des SI, et la
réponse aux exigences de gouvernance
conformément aux orientations du CA.
et est mesuré par
• la fréquence des rapports CA sur les SI à l’intention des parties
prenantes
• la fréquence des rapports de la DSI au CA
• la fréquence des revues indépendantes de conformité des SI
Business Goals

IT Goals Define Goals

Process Goals

KPIs
Activity Goals
Exemple
PLANIFICATION et ORGANISATION
PO2 – Définir l’architecture de l’information

Objectif : Optimiser l’organisation des systèmes informatiques

. Développement plus rapide

• Nombre de modifications
d’applications KGI KPI d’applications entreprises pour
se réaligner surayant
le modèle
unede
. .Réduction
Il existedu
une fonction
délai de d’administration des données de l’entreprise
données
autorité des
réalisation suffisante
SI majeurspour administrer le modèle de données et les standards
. d’informations
Réduction des redondances • Nombre d’incidents dans les
de données applications dus aux
. On a documenté, communiqué et appliqué les standards d’architecture de
incohérences du modèle de
. Interopérabilité entre Facteurs clé de
l’information
systèmes et applications données
succès de l’entreprise a été défini et pilote
. Un modèle de données reflétant l’activité
• Quantité de travail à refaire
l’architecture de l’information due aux incohérences du
modèle de données
• Délai entre les modifications
de l’architecture de
l’information et celles
apportées aux applications
 Exercice

Dans le cadre du développement de son

offre de services aux métiers, la DSI
d’une grande entreprise souhaite faire le
point sur la maturité de ses pratiques de
gouvernance et sur l’adéquation
services. L’expert lui propose de
s’appuyer sur le référentiel CobiT.
 Domaines Processus CobiT
Planifier et Organiser (PO) PO1 - Définir un plan stratégique
informatique
PO2 - Définir l’architecture de
l’information
PO7 - Gestion des RH
PO9 - Gestion des risques
Acquérir et Mettre en Place (AMP) Aucun processus
Distribuer et Soutenir (DS) DS2 - Gérer les services de Tiers
DS6 - Identifier et imputer les coûts
Surveiller et Évaluer (SE) SE1 - Surveiller la performance du SI
Le rôle-clé des processus « business »

Objectifs

ORGANISATION
ACTIONNAIRES

- Ressources Compétences
STRATEGIE - Activités
PROCESSUS
Vision « Business »
SYSTEMES
D'INFORMATION

Projets

Monitoring
des référentiels
de contrôle de l’IT

au Business

CobiT Framework Val IT Framework

Prince 2 IT scorecard
AFAI

ITIL CMMi Val IT

Business Case

Modèle Rentabilité MOA

IGSI projets SI projets SI
Coûts IT AFAI AFAI
aux bonnes pratiques
pour mise en oeuvre