23/11/2005 Forum Intgration 2005 1

COBIT est le standard de la

gouvernance du Systme
dInformation
COBIT
Maintenant adopt comme tant le cadre standard de la gouvernance du SI
Issu du monde des auditeurs du SI
Internationalement reconnu
Utilisable et utilis par lensemble des parties prenantes
Son utilisation devient incontournable
Englobe dautres standards (ITIL, ISO7799, ).
COBIT est un cadre pour la gouvernance des SI.
Il prcise donc le Quoi
Il laisse libre le Comment.
www.itgi.org
www.itgi-france.com



Dfinition wikipedia :
Le CobiT (Control Objectives for Information and related Technology Objectifs de contrle de lInformation et
des Technologies Associes) est un outil fdrateur qui permet d'instaurer un langage commun pour parler de la
Gouvernance des systmes d'information tout en tentant d'intgrer d'autres rfrentiels tels que ISO 9000, ITIL...

La gouvernance des Systmes dInformation (SI) ((en) Information Technology (IT) Governance) sest introduite au
sein des entreprises dans un contexte o dune part, lautomatisation des fonctions de lentreprise est devenue
une composante essentielle au sein de lentreprise et dautre part, o les dirigeants ne voient pas comment les SI
peuvent apporter de la valeur et de la performance dans lorganisation. Ainsi, on peut parler de gouvernance des
SI et donc de normes, certifications permettant cette dernire. Cest galement dans un souci de transparence des
informations que les SI se sont dvelopps et que leur contrle est devenu incontournable. Le rfrentiel principal
de gouvernance et daudit des SI est le CobiT. En rsum le CobiT est un cadre de rfrence pour maitriser la
gouvernance des SI dans le temps. Il est fond sur ensemble de "meilleures pratiques" collectes auprs dexperts
du SI.

Le CobiT a t dvelopp en 1994 (et publi en 1996) par lISACA (Information Systems Audit and Control
Association). LISACA a t cr en 1967 et est reprsent en France depuis 1982 par lAFAI (Association Franaise
de lAudit et du Conseil Informatiques). C'est un cadre de contrle qui vise aider le management grer les
risques (scurit, fiabilit, conformit) et les investissements. CobiT a volu, la version 4 est apparue en France
en 2007.

CobiT est une approche oriente processus, qui regroupe en 4 domaines (planification, construction, excution et
mtrologie, par analogie avec la Roue de Deming) 34 processus distincts qui comprennent en tout 215 activits et
un nombre plus important encore de "pratiques de contrle". Un volet "valuation des systmes d'information",
connu sous le nom de Val IT tente de complter cette approche.

Quest ce que la Gouvernance ?
Le terme Gouvernance dsigne la capacit d'une organisation tre en mesure
- de contrler et de rguler son propre fonctionnement
afin d'viter les conflits d'intrts lis la sparation entre
- les ayants-droits (actionnaires, direction, conseil dadministration)
- et les acteurs (employs, les fournisseurs, les clients, les banques,
lenvironnement). Il sagit de privilgier le partenariat entre les diffrents acteurs.
COBIT Socle de le Gouvernance SI
La Gouvernance des Technologies de lInformation est axe sur la technologie de
linformation et de la communication
Cette discipline, en phase avec les objectifs de lentreprise, sintresse plus
particulirement
- la gestion des risques,
- loptimisation des investissements et des ressources,
- la cration de valeurs
- et la performance des technologies de linformation.

Il sagit dune dmarche de Management.
Gouvernance TI : Cercle vertueux
Pour orienter et contrler les processus de gestion, il sagit :

- De donner des orientations stratgiques
- Dutiliser les services mtiers
- Chaque processus doit rendre compte
- Contrle bon droulement
(amlioration, rdfinition des objectifs)
Le COBIT Control Objectives for Business Information and related Technology
Constat : Le fonctionnement de la majorit des grandes entreprises, aujourd'hui,
repose compltement sur le traitement de l'information.
Ncessit : Il est vital, pour leur avenir, que le systme d'information soit en
cohrence avec les objectifs et la stratgie globale de l'entreprise.
Volont des dirigeants : Le SI doit apporter de la valeur ajouter et de la
performance dans lorganisation.

Le Cobit (Control des objectifs des technologies de linformation), a t dvelopp en
1994 par l'ISACA (The Information System Audit and Control Association) et est un
outil puissant qui a t conu pour uvrer dans ce sens.
Le COBIT - Suite
Le COBIT est un rfrentiel de gouvernance des systmes d'information qui
dcompose tout systme informatique

- en 34 processus,
- lesquels sont rpartis en 4 domaines fonctionnels,
- Ces domaines permettant de couvrir 318 objectifs.
Les acteurs concerns
- Les auditeurs
- Les responsables des SI


- La Direction Gnrale
- Les Directions mtiers

bien videmment concerns par la mise en place et lutilisation de COBIT
(parties prenantes dans les processus)
Les Domaines (4 Domaines)
- planning et organisation (10 processus).
Comment utiliser les technologies afin que l'entreprise atteigne ses objectifs ?

- acquisition et mise en place (7 processus).
Comment dfinir, acqurir et mettre en uvre des technologies en adquation
avec les objectifs de lentreprise ?

- fourniture du service et support (13 processus).
Comment garantir l'efficacit des systmes technologiques en action ?

- Surveillance (4 processus).
Comment s'assurer que la solution mise en uvre corresponde bien aux besoins
de l'entreprise dans une perspective stratgique ?



Objectifs et Ressources
Les objectifs sont les suivants (7) :

- L'efficacit,
- L'efficience,
- La confidentialit,
- L'intgrit,
- La disponibilit,
- La conformit,
- La fiabilit.

Pour atteindre ces objectifs, le SI dispose des ressources suivantes (5) :

- Les comptences,
- Les applications,
- Les technologies,
- Le facility management ,
- Les donnes.



Reprsentation dtaille de COBIT
Pour tre plus prcis
COBIT
- Est une mthodologie dvaluation des services informatiques au sein de
lentreprise.
- Est une dmarche qui s'appuie sur un rfrentiel de bonnes pratiques, des
indicateurs d'objectifs (KGI) et de performance (KPI)
- BUT : permettre de mettre les processus sous contrle afin de disposer des
donnes permettant l'entreprise d'atteindre ses objectifs

alignement des technologies sur la stratgie de lentreprise.
Cartographie Exemple de reprsentation
Reprsentation des processus, des objectifs et des ressources.
L'impact du processus sur le critre d'information peut tre
Primaire, Secondaire, ou vide.
Le lien entre les processus et les ressources ne mesure pas le niveau d'utilisation,
mais le niveau de management de la ressource par le processus COBIT



Comment utiliser COBIT ?
- Audit : 318 Objectifs Liste permettant de cadrer les entretiens et de ne rien
oublier. Peut tre complt par des spcificits du domaine de lentreprise.

- Pilotage du Systme dinformations :

o Mise en place : Dfinition des objectifs, choix et gestion des ressources,
choix et gestion des processus (Prendre ce que lon a besoin)

o Evaluation ( Dfinition de niveaux de maturit)
Les niveaux de maturit : de 0 5
- Inexistant : Pas de processus / Entreprise non
consciente
- Initial : quelques processus / Entreprise prend
conscience
- Rptitif : Processus avec modle rptable /
Entreprise traite au cas par cas
- Dfini : Processus formaliss, pas de responsabilits
dfinies, pas de suivi qualit
- Gr et mesurable : Processus surveills,
Responsabilits dfinies, suivi de la qualit, Personnel
form
- Optimis : Amlioration du processus existant,
lentreprise assure une veille afin de mettre jour ses
mthodes

Quest ce quapporte COBIT ?
- Des processus plus simples et plus comprhensibles.
- Une vision comprhensible par les mtiers de ce que fait linformatique.
- De la valeur ajoute des systmes dinformation.
- Un meilleur alignement de linformatique sur lactivit de lentreprise
(orientation mtier).
- Une attribution claire des responsabilits (approche par processus).
- Une aide la dcision, aux choix, aux investissements
- Une possibilit dlaborer son propre standard COBIT afin dtre encore plus en
phase avec les objectifs de lentreprise en terme de systmes dinformation.
- Une auto valuation
- Une comparaison avec dautres entreprises ayant un mme domaine mtier

Exemple
PLANIFICATION et ORGANISATION
PO2 Dfinir larchitecture de linformation

Objectif : Optimiser lorganisation des systmes informatiques
. Dveloppement plus rapide
dapplications
. Rduction du dlai de
ralisation des SI majeurs
. Rduction des redondances
de donnes
. Interoprabilit entre
systmes et applications
. Nombre de modifications
dapplications entreprises
pour se raligner sur le
modle de donnes
. Nombre dincidents dans les
applications dus aux
incohrences du modle de
donnes
. Quantit de travail refaire
due aux incohrences du
modle de donnes
. Dlai entre les modifications
de larchitecture de
linformation et celles
apportes aux applications
. Il existe une fonction dadministration des donnes de lentreprise ayant une autorit suffisante
pour administrer le modle de donnes et les standards dinformations
. On a document, communiqu et appliqu les standards darchitecture de linformation
. Un modle de donnes refltant lactivit de lentreprise a t dfini et pilote larchitecture de
linformation
TCO
Indicateur
s Cl de
performan
ce
Indicateur
s cl
dobjectif
Facteurs cl de
succs
Perspectives
En 2006, l'AFAI, le CIGREF et INEUMConsulting ont ralis une enqute sur la
maturit des entreprises franaises vis--vis de lIT Gouvernance.

Il en est rsult que 75% des rponses taient infrieures 2,5 / 6 ce qui
correspond un dbut de formalisation.

Il est indniable que des marges de progression importantes sont
envisageables dans les annes venir.
Conclusion : COBIT une norme ?
Tout au moins assimil

- Approche structurante : dcomposition de tout SI en 4 domaines, 34 processus et
318 objectifs.
- Instaure un langage commun pour parler gouvernance
- Couverture dutilisation internationale.
- COBIT est capable de sintgrer dautres rfrentiels tels quISO9000, ISO
27000, ITIL, COSO
- Dmarche digne dune mthodologie, continuellement documente et
dveloppe par les experts en systmes dinformation.

23/11/2005 Forum Intgration 2005 20
Courte introduction COBIT
23/11/2005 Forum Intgration 2005 21
Courte introduction COBIT
23/11/2005 Forum Intgration 2005 22
Courte introduction COBIT
23/11/2005 Forum Intgration 2005 23
Courte introduction COBIT