CoBIT V0 - 18 - 19 06 2011

Salah Eddine MAHRACH, CRISC
[email protected]
2003 Acadys - all rights reserved
Sommaire
I. Introduction II. CoBIT et ses quatre domaines:

1. 2. 3. 4. PO: Planifier et Organiser AI: Acqurir et Implmenter DS: Distribuer et Supporter SE: Surveiller et Evaluer
III. Annexes:
1. Documents de rfrence de COBIT 2. Glossaire 3. QCM
2
Introduction
Pour beaucoup d'entreprises, l'information et la technologie sur laquelle elle s'appuie constituent les actifs les plus prcieux, mme si elles sont souvent les moins bien perues.
Le concept dindustrie du savoir contient suffisamment de dynamite pour envoyer les conomies traditionnelles sur orbite
Ken Boulding
Introduction
Le besoin de s'assurer de la valeur des SI, la gestion des risques qui leur sont lis et les exigences croissantes de contrle sur l'information sont dsormais reconnus comme des lments cls de la gouvernance d'entreprise. Valeur, risque et contrle constituent le c ur de la gouvernance des SI.
LIT Governance
La gouvernance des SI est de la responsabilit des dirigeants et du conseil d'administration, et elle est constitue des structures et processus de commandement et de fonctionnement qui conduisent l'informatique de l'entreprise soutenir les stratgies et les objectifs de l'entreprise, et lui permettre de les largir.
Domaines de lIT Governance
IT Governance
Gestion des Ressources
Domaines de lIT Governance
CoBIT: Cadre de rfrence
La mission de COBIT : Elle consiste imaginer, mettre au point, publier et promouvoir un cadre de rfrence de contrle de la gouvernance des SI, actualis, reconnu dans le monde entier et faisant autorit. Ce cadre de rfrence devra tre adopt par les entreprises et utilis quotidiennement par les dirigeants, les professionnels de l'informatique et les professionnels de l'assurance.
CoBIT: Cadre de rfrence
Centr sur les mtiers:
CoBIT: Critres dInformation de CoBIT
- Efficacit : la mesure par laquelle linformation contribue au rsultat des processus mtier par rapport aux objectifs fixs ; - Efficience : la mesure par laquelle linformation contribue au rsultat des processus mtier au meilleur cot ; - Confidentialit : la mesure par laquelle linformation est protge des accs non autoriss ; - Intgrit : la mesure par laquelle linformation correspond la ralit de la situation ; - Disponibilit : la mesure par laquelle linformation est disponible pour les destinataires en temps voulu ; - Conformit : la mesure par laquelle les processus sont en conformit avec les lois, les rglements et les contrats ; - Fiabilit : la mesure par laquelle linformation de pilotage est pertinente.
10
CoBIT: Ressources Informatiques
- Application : les systmes automatiss et les procdures pour traiter linformation.
- Infrastructure : les technologies et les installations qui permettent le traitement des applications.
- Information : les donnes, comme entres ou sorties des systmes dinformation, quelle que soit leur forme.
- Personnes : les ressources humaines ncessaires pour organiser, planifier, acqurir, dlivrer, supporter, surveiller et valuer les systmes dinformation et les services.
11
CoBIT: Orient Processus
12
CoBIT: Les quatre domaines interdpendants de CoBIT
13
Domaine 1: Planifier et organiser
Les stratgies de l'entreprise et de l'informatique sont-elles alignes ? L'entreprise fait-elle un usage optimum de ses ressources ? Est-ce que tout le monde dans l'entreprise comprend les objectifs de l'informatique ? Les risques informatiques sont-ils compris et grs ? La qualit des systmes informatiques est-elle adapte aux besoins mtiers ?
14
Domaine 2: Acqurir et implmenter
Est-on sr que les nouveaux projets vont fournir des solutions qui correspondent aux besoins mtiers ? Est-on sr que les nouveaux projets aboutiront en temps voulu et dans les limites budgtaires ? Les nouveaux systmes fonctionneront-ils correctement lorsqu'ils seront mis en oeuvre ? Les changements pourront-ils avoir lieu sans perturber les oprations en cours ?
15
Domaine 3: Dlivrer et Support
Les services informatiques sont-ils fournis en tenant compte des priorits mtiers ? Les cots informatiques sont-ils optimiss ? Les employs sont-ils capables d'utiliser les systmes informatiques de faon productive et sre ? La confidentialit, l'intgrit et la disponibilit sont-elles mises en oeuvre pour la scurit de l'information ?
16
Domaine 4: Surveiller et Evaluer
La performance de l'informatique est-elle mesure de faon ce que les problmes soient mis en vidence avant qu'il ne soit trop tard ? Le management s'assure-t-il que les contrles internes sont efficaces et efficients ? La performance de l'informatique peut-elle tre relie aux objectifs mtiers ? Des contrles de confidentialit, d'intgrit et de disponibilit appropris sont-ils mis en place pour la scurit de l'information ?
17

Marquons une pause !!!!!!!!!!!!!!!!!!
18
CoBIT et les Contrles:
Les contrles gnraux sont ceux qui sont intgrs aux processus et aux services informatiques. Ils concernent, par exemple :
le dveloppement des systmes, la gestion des changements, la scurit, l'exploitation.
On appelle communment "contrles applicatifs" les contrles intgrs aux applications des processus mtiers. Ils concernent, par exemple :
l'exhaustivit, l'exactitude, la validit, l'autorisation, la sparation des tches.
19
CoBIT et les modles de maturit
Que font nos confrres/concurrents et comment sommes-nous positionns par rapport eux ? Quelles sont les bonnes pratiques acceptables du march et comment nous situons-nous par rapport elles ? D'aprs ces comparaisons, peut-on dire que nous en faisons assez ? Comment identifie-t-on ce qu'il y a faire pour atteindre un niveau appropri de gestion et de contrle de nos processus informatiques ?
20
CoBIT et le modle de maturit
21
CoBIT et le modle de maturit

0: Inexistant 1: Initialis au cas par cas 2: Reproductible mais intuitif 3: dfini 4: Gr et mesurable 5: Optimis
22
Le cube CoBIT
23
Le cadre gnrale de CoBIT
24
Domaine CoBIT Planifier et Organiser
25
PO1 Dfinir un plan informatique stratgique PO2 Dfinir larchitecture de linformation PO3 Dterminer lorientation technologique PO4 Dfinir les processus, lorganisation et les relations de travail PO5 Grer les investissements informatiques PO6 Faire connatre les buts et les orientations du management PO7 Grer les ressources humaines de linformatique PO8 Grer la qualit PO9 valuer et grer les risques PO10 Grer les projets
26
PO1 Dfinir un plan informatique stratgique
Un plan de stratgie informatique est ncessaire pour grer et orienter toutes les ressources informatiques vers les priorits stratgiques de lentreprise. La DSI et les parties prenantes de lentreprise ont la responsabilit de sassurer que la meilleure valeur possible est obtenue des portefeuilles de projets et de services
27
Reprsentation schmatique des flux internes du processus PO1

28
29
PO2 Dfinir l'architecture de linformation
Les responsables des systmes informatiques doivent crer et mettre rgulirement jour un modle dinformation de lentreprise et dterminer quels sont les systmes appropris susceptibles doptimiser lutilisation de cette information. Cela comprend llaboration dun dictionnaire des donnes de lentreprise, des rgles de syntaxe de donnes propres lentreprise, dun systme de classification des donnes et de niveaux de scurit.
30

31
32

33
PO3 Dterminer l'orientation technologique

Le SI dtermine lorientation technologique susceptible de favoriser lactivit de lentreprise. Cela exige la cration et la maintenance d'un plan d'infrastructure technologique et dun comit architecture des TI qui fixe et gre les attentes clairement exprimes et ralistes de ce que la technologie peut offrir en termes de produits, services et mcanismes de livraison.
34

35
36
PO4 Dfinir les processus, l'organisation et les relations de travail

On dfinit lorganisation de linformatique en prenant en compte les besoins en personnel et en comptences, en prvoyant les fonctions, les rles et les responsabilits, la supervision, lautorit, et en sachant qui rend des comptes qui. Cette organisation fait partie dun cadre de rfrence de processus informatiques qui assure la transparence et le contrle ainsi que limplication de la direction gnrale et de la direction oprationnelle.
37

38
39
PO5 Grer les investissements informatiques

Mettre en place et maintenir le budget oprationnel, pour les programmes dinvestissements informatiques, un cadre de rfrence qui couvre les cots, les bnfices, les priorits budgtaires, un processus de budgtisation formalis et une gestion conforme au budget. Travailler avec les parties prenantes pour identifier et contrler les cots et bnfices totaux dans le contexte des plans stratgiques et tactiques informatiques et initier des mesures correctives lorsque cest ncessaire.
40

41
42
PO6 Faire connatre les buts et orientations du management
Le management dveloppe un cadre de contrle des SI pour lentreprise, dfinit et communique les politiques. Il met en place un programme de communication permanent, approuv et soutenu par le management, pour articuler la mission, les objectifs de fourniture de services, les politiques et les procdures, etc.
43

44
45
PO7 Grer les ressources humaines de linformatique
Engager et conserver des collaborateurs comptents pour la cration et la fourniture de services informatiques lentreprise. Pour y arriver il faut suivre des pratiques dfinies et approuves en matire de recrutement, de formation, dvaluation, de promotion, et de dpart. Ce processus est critique car les personnes constituent un actif important, et la gouvernance et lenvironnement de contrle interne dpendent normment de la motivation et de la comptence du personnel.
46

47
48
PO8 Grer la qualit
Un systme de gestion de la qualit est dvelopp et actualis, ce qui implique des processus et des standards de dveloppement et dachat prouvs. Ceci est rendu possible par la planification, la mise en place et lactualisation dun systme de gestion de la qualit, et par des exigences, des procdures et des politiques de qualit clairement dfinies.
49
PO8 Grer la qualit

50
PO8 Grer la qualit
51
PO9 valuer et grer les risques
Un rfrentiel de gestion des risques est cr et maintenu niveau. Ce rfrentiel documente un niveau commun et agr de risques informatiques, de stratgies pour les rduire et de risques rsiduels. Tout impact potentiel dun vnement imprvu sur les objectifs de lentreprise est identifi, analys, et valu.
52

53
54
PO10 Grer les projets
Un programme et un cadre de rfrence de gestion de projets pour la gestion de tous les projets informatiques est en place. Ce cadre permet de sassurer que tous les projets sont correctement coordonns et que les priorits sont tablies. Il prvoit un plan matre, lattribution de ressources, la dfinition des livrables, lapprobation par les utilisateurs, une approche de livraison par tapes, une assurance qualit, un plan de tests formalis, des tests et une revue aprs mise en place pour sassurer que la gestion des risques et que lapport de valeur lentreprise sont effectives
55

56
57
Domaine CoBIT Acqurir et Implmenter
58
AI1 Trouver des solutions informatiques AI2 Acqurir des applications et en assurer la maintenance AI3 Acqurir une infrastructure technique et en assurer la maintenance AI4 Faciliter le fonctionnement et lutilisation AI5 Acqurir des ressources informatiques AI6 Grer les changements AI7 Installer et valider les solutions et les modifications
59
AI1 Trouver des solutions informatiques
Le besoin dune nouvelle application ou fonction impose une analyse avant achat ou cration pour sassurer que les exigences des mtiers seront satisfaites grce une approche efficace et efficiente. Ce processus recouvre la dfinition des besoins, la prise en compte de sources alternatives, lanalyse de la faisabilit technique et conomique, lanalyse des risques et du rapport cots/bnfices, et la dcision finale qui tranchera entre faire ou acheter.
60
Reprsentation schmatique des flux internes du processus AI 1

61
62
AI2 Acqurir des applications et en assurer la maintenance
Les applications sont rendues disponibles en fonction des exigences des mtiers. Ce processus recouvre la conception des applications, les contrles applicatifs et les exigences de scurit appropris quil faut y inclure, ainsi que leur dveloppement et leur configuration conformment aux standards. Cela permet aux entreprises de disposer des applications informatiques qui conviennent pour supporter correctement les tches mtiers
63

64
65

Marquons un stop !!!!!!!!!!!!!!!!!!
66
AI3 Acqurir une infrastructure technique et en assurer la maintenance

Une entreprise dispose de processus pour lacquisition, la mise en place et la mise niveau de son infrastructure technique. Cela exige une approche planifie de lacquisition, de la maintenance et de la protection de linfrastructure en accord avec les stratgies technologiques adoptes et de disposer denvironnements de dveloppement et de tests. On est ainsi sr de disposer dun support technique permanent pour les applications mtiers.
67

68
69
AI4 Faciliter le fonctionnement et lutilisation
Les connaissances sur les nouveaux systmes sont rendues disponibles. Ce processus impose de produire de la documentation et des manuels pour les utilisateurs et pour linformatique, et de proposer des formations pour assurer une bonne utilisation et un bon fonctionnement des applications et de linfrastructure.
70

71
72
AI5 Acqurir des ressources informatiques
On a besoin dacqurir des ressources informatiques. Elles comprennent les personnes, le matriel, le logiciel et les services. Cela exige de dfinir et dappliquer des procdures de recrutement et dachat, la slection des fournisseurs, ltablissement darrangements contractuels, et lacte lui-mme de se procurer ces ressources. Cest ainsi quon peut assurer lentreprise toutes les ressources informatiques requises au bon moment et au meilleur cot.
73

74
75
AI6 Grer les changements

Tous les changements, y compris la maintenance et les correctifs durgence, concernant linfrastructure et les applications de lenvironnement de production sont grs et contrls de faon formelle. Les changements (y compris ceux relatifs aux procdures, processus, paramtres systmes et services) sont enregistrs dans un fichier, valus et autoriss avant mise en place, et confronts aux rsultats attendus ds leur mise en oeuvre. Cela rduit les risques de consquences ngatives pour la stabilit ou lintgrit de lenvironnement de production
76

77
78
AI7 Installer et valider les solutions et les modifications
Il faut mettre en exploitation les nouveaux systmes lorsque la phase de dveloppement est acheve. Cela exige deffectuer les bons tests sur les donnes dans un environnement ddi, de dfinir les instructions de dploiement et de migration, un planning de livraison et la mise en production proprement dite, et des revues aprs mise en place. Cela garantit que les systmes oprationnels sont en phase avec les attentes et les rsultats recherchs.
79

80
81

82
Domaine CoBIT Dlivrer et Supporter
83
DS1 Dfinir et grer les niveaux de services DS2 Grer les services tiers DS3 Grer la performance et la capacit DS4 Assurer un service continu DS5 Assurer la scurit des systmes DS6 Identifier et imputer les cots DS7 Instruire et former les utilisateurs DS8 Grer le service dassistance client et les incidents DS9 Grer la configuration DS10 Grer les problmes DS11 Grer les donnes DS12 Grer lenvironnement physique DS13 Grer lexploitation
84
DS1 Dfinir et grer les niveaux de services
Une communication efficace entre les responsables informatiques et les clients mtiers propos des services demands est facilite par des accords sur les services informatiques et sur les niveaux de services, et par leur dfinition et leur documentation
85
Reprsentation schmatique des flux internes du processus DS 1

86
87
DS2 Grer les services tiers
Le besoin de garantir que les services fournis par des tiers (fournisseurs et partenaires) satisfont les exigences des mtiers impose un processus de gestion des services tiers. Ce processus exige de dfinir clairement les rles, responsabilits et les attentes dans les contrats avec des tiers, et aussi deffectuer des revues et une surveillance de lefficacit et de la conformit de tels contrats.
88

89
90
DS3 Grer la performance et la capacit
La bonne gestion des performances et des capacits des ressources informatiques exige quun processus les passe rgulirement en revue. Ce processus comporte la prvision des besoins futurs en fonction des exigences de charge de travail, de stockage et des imprvus. Ce processus assure que les ressources informatiques qui appuient les exigences des mtiers sont constamment disponibles.
91

92
93
DS4 Assurer un service continu
Le besoin dassurer la continuit des services informatiques exige de dvelopper, de maintenir et de tester des plans de continuit des SI, dutiliser des capacits de stockage de sauvegardes hors site et dassurer une formation priodique au plan de continuit. Un processus de service continu efficace rduit les risques et les consquences dune interruption majeure des services informatiques aux fonctions et processus mtiers cls.
94

95
96
DS5 Assurer la scurit des systmes
Le besoin de maintenir lintgrit de linformation et de protger les actifs informatiques exige un processus de gestion de la scurit. Ce processus comporte la mise en place et la maintenance de rles et responsabilits, politiques, plans et procdures informatiques. La gestion de la scurit implique aussi une surveillance de la scurit, des tests priodiques et des actions correctives lors dincidents ou de dcouverte de failles dans la scurit.
97

98
99

100
DS6 Identifier et imputer les cots
La ncessit dun systme loyal et quitable pour affecter les cots informatiques aux mtiers exige quils soient chiffrs avec prcision et quun accord soit conclu avec les utilisateurs mtiers sur une juste rpartition.
101

102
103
DS7 Instruire et former les utilisateurs
La formation efficace de tous les utilisateurs des systmes informatiques, y compris les informaticiens, exige de connatre les besoins en formation de chaque groupe dutilisateurs. Outre lidentification des besoins, ce processus doit aussi dfinir et mettre en oeuvre une stratgie de formation efficace et en mesurer les rsultats.
104

105
106
DS8 Grer le service dassistance client et les incidents
Apporter des rponses efficaces et au bon moment aux requtes et aux problmes des utilisateurs exige un processus bien conduit de gestion du service dassistance et de gestion des incidents. Ce processus comporte la mise en place dun service dassistance qui soccupe de l'enregistrement et de l'escalade des incidents, de lanalyse des tendances et des causes, et des solutions
107

108
109
DS9 Grer la configuration
Assurer lintgrit des configurations matrielles et logicielles exige de constituer et de tenir jour un rfrentiel de configuration prcis et complet. Ce processus doit comporter la collecte des informations de la configuration initiale, ltablissement de configurations de base, la vrification et laudit des informations de configuration, et la mise jour du rfrentiel de configuration lorsque cest ncessaire. Une gestion efficace de la configuration facilite une plus grande disponibilit du systme, la rduction des problmes de production et une rsolution plus rapide de ceux-ci.
110

111
112
DS10 Grer les problmes
Une gestion efficace des problmes exige de les identifier, de les classer, danalyser leurs causes initiales et de leur trouver des solutions. Le processus de gestion des problmes implique aussi de formuler des recommandations damlioration, de tenir jour les enregistrements des problmes et de vrifier o en sont les actions correctives. Un processus efficace de gestion des problmes favorise la disponibilit des systmes, amliore les niveaux de services, rduit les cots, rpond mieux aux besoins des clients et augmente donc leur satisfaction.
113

114
115
DS11 Grer les donnes
Une gestion efficace des donnes impose didentifier les exigences qui les concernent. Le processus de gestion des donnes ncessite aussi de mettre en place des procdures efficaces pour grer la mdiathque, les sauvegardes et la restauration des donnes, et llimination des mdias de faon approprie. Une gestion efficace des donnes aide garantir la qualit et la disponibilit au moment opportun des donnes mtiers.
116

117
118
DS12 Grer lenvironnement physique
La protection des quipements informatiques et du personnel exige des installations matrielles bien conues et bien gres. Le processus de gestion de lenvironnement matriel comporte la dfinition des exigences du site physique, le choix des installations adquates et la conception de processus efficaces de surveillance des facteurs environnementaux et de gestion des accs physiques.
119

120
121
DS13 Grer lexploitation
Pour un traitement complet et exact des donnes il faut une gestion efficace des procdures de traitement des donnes et une maintenance applique du matriel informatique. Ce processus implique de dfinir des politiques et des procdures dexploitation ncessaires une gestion efficace des traitements programms, de protger les sorties sensibles, de surveiller linfrastructure et deffectuer une maintenance prventive du matriel
122

123
124
Domaine CoBIT Surveiller et Evaluer
125
SE1 Surveiller et valuer la performance des SI SE2 Surveiller et valuer le contrle interne SE3 Sassurer de la conformit aux obligations externes SE4 Mettre en place une gouvernance des SI
126
SE1 Surveiller et valuer les performances des SI
Une gestion efficace des SI exige un processus de surveillance. Ce processus inclut la dfinition d'indicateurs pertinents de performance, la publication systmatique et en temps opportun de rapports sur la performance, et une raction rapide aux anomalies. Il faut une surveillance pour sassurer quon fait ce quil faut conformment aux orientations et aux politiques dfinies.
127
Reprsentation schmatique des flux internes du processus SE 1

128
129
SE2 Surveiller et valuer le contrle interne
tablir un programme efficace de contrle interne de linformatique impose de bien dfinir un processus de surveillance. Ce processus comporte la surveillance et les rapports sur les anomalies releves, les rsultats des autovaluations et des revues par des tiers.
130

131
132
SE3 Sassurer de la conformit aux obligations externes
Un processus de revue est ncessaire pour garantir efficacement la conformit aux lois, aux rglements et aux obligations contractuelles. Ce processus implique didentifier les obligations de conformit, dvaluer et doptimiser la rponse donner, davoir lassurance dtre conforme aux obligations et, au final, dintgrer les rapports sur la conformit des SI ceux du reste de lentreprise.
133

134
135
SE4 Mettre en place une gouvernance des SI
Mettre en place un rfrentiel de gouvernance efficace impose de dfinir des structures organisationnelles, des processus, un leadership, des rles et des responsabilits pour sassurer que les investissements informatiques de lentreprise sont aligns sur ses stratgies et ses objectifs et quils travaillent pour eux.
136
137
138
Merci pour votre attention
139

CoBIT V0 - 18 - 19 06 2011

Transféré par

Droits d'auteur :

Formats disponibles

CoBIT V0 - 18 - 19 06 2011

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CoBIT V0 - 18 - 19 06 2011

Transféré par

Droits d'auteur :

Formats disponibles

Salah Eddine MAHRACH, CRISC

I. Introduction II. CoBIT et ses quatre domaines:

Domaines de lIT Governance

Gestion des Ressources

Domaines de lIT Governance

CoBIT: Cadre de rfrence

CoBIT: Cadre de rfrence

 Centr sur les mtiers:

CoBIT: Critres dInformation de CoBIT

CoBIT: Ressources Informatiques

- Application : les systmes automatiss et les procdures pour traiter linformation.

CoBIT: Orient Processus

CoBIT: Les quatre domaines interdpendants de CoBIT

Domaine 1: Planifier et organiser

Domaine 2: Acqurir et implmenter

Domaine 3: Dlivrer et Support

Domaine 4: Surveiller et Evaluer

CoBIT et les Contrles:

CoBIT et les modles de maturit

CoBIT et le modle de maturit

CoBIT et le modle de maturit

Le cadre gnrale de CoBIT

Domaine CoBIT Planifier et Organiser

PO1 Dfinir un plan informatique stratgique

PO1 Dfinir un plan informatique stratgique

Reprsentation schmatique des flux internes du processus PO1

PO1 Dfinir un plan informatique stratgique

PO2 Dfinir l'architecture de linformation

PO2 Dfinir l'architecture de linformation

Reprsentation schmatique des flux internes du processus PO2

PO2 Dfinir l'architecture de linformation

PO3 Dterminer l'orientation technologique

PO3 Dterminer l'orientation technologique

Reprsentation schmatique des flux internes du processus PO3

PO3 Dterminer l'orientation technologique

PO4 Dfinir les processus, l'organisation et les relations de travail

PO4 Dfinir les processus, l'organisation et les relations de travail

Reprsentation schmatique des flux internes du processus PO4

PO4 Dfinir les processus, l'organisation et les relations de travail

PO5 Grer les investissements informatiques

PO5 Grer les investissements informatiques

Reprsentation schmatique des flux internes du processus PO5

PO5 Grer les investissements informatiques

PO6 Faire connatre les buts et orientations du management

PO6 Faire connatre les buts et orientations du management

Reprsentation schmatique des flux internes du processus PO6

PO6 Faire connatre les buts et orientations du management

PO7 Grer les ressources humaines de linformatique

PO7 Grer les ressources humaines de linformatique

Reprsentation schmatique des flux internes du processus PO7

PO7 Grer les ressources humaines de linformatique

PO8 Grer la qualit

PO8 Grer la qualit

Reprsentation schmatique des flux internes du processus PO8

PO8 Grer la qualit

PO9 valuer et grer les risques

PO9 valuer et grer les risques

Reprsentation schmatique des flux internes du processus PO9

PO9 valuer et grer les risques

Centr sur les mtiers: