COBIT

COBIT

Cobit

Le CobiT (Control Objectives for Information and related Techonology – Contrôle de l’Information et des Technologies Associées) est un outil fédérateur qui permet d'instaurer un langage commun pour parler de la gouvernance des Systèmes d'information tout en intégrant d'autres référentiels tels que ISO 9000 ou ITIL.

La gouvernance des Systèmes d’Information (SI) ((en) Information Technology (IT) Governance) s’est introduite au sein des entreprises dans un contexte où d’une part, l’automatisation des fonctions de l’entreprise est devenue une composante essentielle au sein de l’entreprise et d’autre part, où les dirigeants ne voient pas comment les SI peuvent apporter de la valeur et de la performance dans l’organisation. Ainsi, on peut parler de gouvernance des SI et donc de normes, certifications permettant cette dernière. C’est également dans un souci de transparence des informations que les SI se sont développés et que leur contrôle est devenu incontournable. Le référentiel principal de gouvernance et d’audit des SI est le CobiT. En résumé le CobiT est un cadre de référence pour maitriser la gouvernance des SI dans le temps. Il est fondé sur ensemble de bonnes pratiques collectées auprès d’experts du SI.

Le CobiT a été développé en 1994 (et publié en 1996) par l’ISACA (Information Systems Audit and Control Association). L’ISACA a été créé en 1967 et est représenté en France depuis 1982 par l’AFAI (Association Française de l’Audit et du conseil Informatique). C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. CobiT a évolué, la version 4 est apparue en France en 2007.

CobiT est une approche orientée processus. CobiT décompose tout système informatique en 34 processus regroupés en 4 domaines. Les processus établis se divisent en 215 activités.

Sommaire

Principe

CobiT fournit aux gestionnaires, auditeurs et utilisateurs de TI (Technologies de l’Information), des indicateurs, des processus et des meilleures pratiques pour les aider à maximiser les avantages issus du recours à des technologies de l'information et à l'élaboration de la gouvernance et du contrôle d'une entreprise. Il les aide à comprendre leurs systèmes de TI et à déterminer le niveau de sécurité et de contrôle qui est nécessaire pour protéger leur entreprise, et ceci par le biais du développement d’un modèle de gouvernance IT tel que CobiT. Ainsi, CobiT fournit des indicateurs clés d’objectif, des indicateurs clés de performance et des facteurs clés de succès pour chacun de ses processus. Le modèle CobiT se focalise sur ce que l’entreprise a besoin de faire et non sur la façon dont elle doit le faire.

Le modèle CobiT constitue une structure de relations et de processus (cadre de référence ou framework) visant à un pilotage et un contrôle des technologies de l'information par le management de l'entreprise pour atteindre ses objectifs, en utilisant ces technologies de l'information comme moyen pour améliorer l'activité et répondre aux besoins métiers, besoins consolidés dans le plan stratégique de l'entreprise. Il définit 34 processus regroupés en quatre étapes successives :

"Le CobiT" consiste à décomposer tout système informatique en

  1. Planification et Organisation : dans ce domaine nous cherchons à savoir comment utiliser les technologies afin que l’entreprise atteigne ses objectifs.
    1. Définition du plan stratégique informatique
    2. Définition de l'architecture des informations
    3. Définition de la direction technologique
    4. Organisation du service informatique
    5. Gestion des investissements
    6. Communication des objectifs de la direction
    7. Gestion des ressources humaines
    8. Respect des exigences légales
    9. Évaluation des risques
    10. Gestion des projets
    11. Gestion de la qualité
  2. Acquisition et Mise en place : ici CobiT cherche à définir, acquérir et mettre en œuvre des technologies en les alignant avec les processus métiers de l’entreprise.
    1. Identification des solutions automatiques
    2. Acquisition et maintenance des applications informatiques
    3. Acquisition et maintenance de l'infrastructure technologique
    4. Développement et maintien des procédures
    5. Installation et certification des systèmes
    6. Gestion des modifications
  3. Livraison et Support : l’objectif est de garantir l’efficacité et l’efficience des systèmes technologiques en action.
    1. Définition des niveaux de service
    2. Gestion des services aux tiers
    3. Gestion des performances et des capacités
    4. Garantie de la poursuite des traitements
    5. Garantie de la sécurité des systèmes
    6. Identification et attribution des coûts
    7. Formation des utilisateurs
    8. Assistance des utilisateurs
    9. Gestion de la configuration
    10. Gestion des incidents
    11. Gestion des données et des applications
    12. Sécurité physique du système
    13. Gestion de l'exploitation
  4. Surveillance : Il convient ici de vérifier si la solution mise en place soit en adéquation avec les besoins de l’entreprise dans une vision stratégique.
    1. Surveillance des processus
    2. Appréciation du contrôle interne
    3. Certification par un organisme indépendant
    4. Audit par un organisme indépendant

CobiT s’adresse à différents utilisateurs :

  • Le management pour lequel il offre un moyen d’aide à la décision
  • Les utilisateurs directs pour lesquels il permet d’apporter des garanties sur la sécurité et les contrôles des services informatiques.
  • Les auditeurs et les consultants auxquels il propose des moyens d’interventions reconnus internationalement.

Le package CobiT

Il comprend 6 publications :

  • Executive summary (résumé de la vue d’ensemble de la méthodologie CobiT pour les managers pressés)
  • Framework (cadre de référence explicatif de la méthode, des domaines et processus)
  • Control objectives (215 objectifs de contrôle : ces objectifs sont directement orientés vers le management et les équipes en charge des services informatiques)
  • Audit guidelines (le guide de l’audit) ; il s’agit de déceler, d’analyser et expliquer les failles d’un système et les risques qui en découlent ainsi que de leur apporter des solutions.
  • Implementation Tool Set (les outils de la mise en œuvre du CobiT)
  • Management Guidelines (le guide du management). Celui-ci dispose d’un modèle de maturité pour évaluer, sur une échelle de 5 degrés, le niveau d’évolution de chacun des processus. Ce guide propose un cadre de pilotage de type tableau de bord équilibré ou Balanced Scorecard.

L’objectif est d’assurer l’adéquation durable entre les technologies, les processus métiers et la stratégie de l’entreprise.

Critères de l'information

Cette rubrique va intéresser la direction générale en indiquant ce que l'implantation d'un processus donné va apporter sur les informations (par exemple sur l'information décisionnelle). Ces critères sont :

  • efficacité : qualité et pertinence de l’information, distribution cohérente
  • efficience : rapidité de délivrance
  • confidentialité : protection contre la divulgation
  • intégrité : exactitude de l’information
  • disponibilité : accessibilité à la demande et protection (sauvegarde)
  • conformité : respect des règles et lois
  • fiabilité : exactitudes des informations transmises par le management

En améliorant l'information selon ces critères, l'organisation pourra atteindre plus facilement ses objectifs, cela ouvrira des nouvelles opportunités et améliorera la rentabilité.

Les ressources

Cette partie concerne plus le directeur des systèmes d'informations (DSI) ou responsable des systèmes d'informations (RSI), pour l'informer des ressources qui vont être impactées par le processus. Les différentes ressources sont :

  • les compétences : le personnel, efficacité des collaborateurs (internes et externes)
  • les applications : ensemble des procédures de traitement
  • l'infrastructure : ensemble des installations, Data Center…
  • les données : informations au sens global (format, structure…)
  • les technologies : équipement, softwares, bases de données, réseaux…

Les processus

Destinés à l'attention du gestionnaire de processus, ils vont définir la structure des domaines, des processus et des tâches. Il faut savoir qu’un processus se définit comme un ensemble de tâches. Par exemple, le processus « comptable » intervient dans le domaine « administratif et financier » et se divise en activités telles que « la saisie de factures, l’édition de balance… ». CobiT propose un modèle de maturité pour chaque processus afin de le situer par rapport aux meilleures pratiques du marché. Le modèle comprend 6 niveaux (0 à 5).

Les facteurs clés de succès définissent les actions les plus importantes à entreprendre pour maîtriser les processus.

Les indicateurs clés d’objectif permettent de savoir a posteriori si un processus a répondu aux objectifs (en termes de critères d’information).

Enfin les indicateurs clés de performance déterminent la qualité de fonctionnement d’un processus (capacité à atteindre les objectifs).

CobiT Quickstart

Cette version simplifiée de CobiT s’adresse principalement aux PME car les TI ne représentent pas un enjeu stratégique mais un point de départ dans leur évolution.

Cette version repose sur les hypothèses suivantes :

  • L’infrastructure informatique n’est pas complexe
  • Du fait de la taille de l’entreprise, les TI et l’activité sont bien alignées
  • Les tâches les plus complexes sont externalisées
  • La tolérance aux risques est relativement élevée
  • L’éventail des contrôles est peu étendu
  • La structure de commandement est simple

Il conserve de CobiT 30 processus sur les 34, et 62 objectifs de contrôle sur les 318.

La mise en œuvre Quickstart comprend 6 étapes :

  • Evaluer le bien fondé c’est-à-dire déterminer si cette version est adaptée à l’entreprise ;
  • Evaluer la situation actuelle à partir de collectes d’informations auprès des personnes clé et de rapports d’audit ;
  • Déterminer la cible avec la définition de l’activité, des contraintes légales, et de la dépendance de l’entreprise vis-à-vis de la technologie ;
  • Analyser les écarts par l’examen des pratiques de contrôle et des facteurs clés de succès ;
  • Définir les projets d’amélioration des processus
  • Elaborer un programme intégré de mise en place de la gouvernance en tenant compte des besoins immédiats de l’entreprise, des interdépendances entre les projets et des ressources disponibles.

Pour conclure

CobiT s’inscrit dans une démarche de management par le contrôle et l’audit au travers d’un cadre de référence, des objectifs et des indicateurs. C’est un outil de management pour aligner les ressources informatiques mais il ne fournit pas d’indications ou de recommandations à caractère technique (choix technologiques, consolidation, gestion de crises…).

Enfin CobiT s’inscrit au sein de nombreuses normes d’audit (ISO, COSO…). Il se distingue donc par son utilité dans la gestion des TI, des utilisateurs et des auditeurs.

Référence

IT Gouvernance : maîtrise d'un système d'information, Frédéric Georgel, Edition Dunod, mai 2005 (ISBN 978-2100083121)

Liens externes

  • Portail de l’informatique Portail de l’informatique
  • Portail de l’économie Portail de l’économie
Ce document provient de « Cobit ».

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article COBIT de Wikipédia en français (auteurs)

Игры ⚽ Поможем написать реферат

Regardez d'autres dictionnaires:

  • COBIT — is a framework created by ISACA for information technology (IT) management and IT Governance. It is a supporting toolset that allows managers to bridge the gap between control requirements, technical issues and business risks. Contents 1 Overview …   Wikipedia

  • COBIT — (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich… …   Deutsch Wikipedia

  • CobiT — (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich… …   Deutsch Wikipedia

  • Cobit — (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich… …   Deutsch Wikipedia

  • Cobit — Le CobiT (Control Objectives for Information and related Techonology – Contrôle de l’Information et des Technologies Associées) est un outil fédérateur qui permet d instaurer un langage commun pour parler de la gouvernance des Systèmes d… …   Wikipédia en Français

  • Cobit — (сокращение от Control Objectives for Information and Related Technology («Задачи информационных и смежных технологий»)  представляет собой пакет открытых документов, около 40 международных и национальных стандартов и руководств в области… …   Википедия

  • CobiT — Le CobiT (Control Objectives for Information and related Technology – Objectifs de contrôle de l’Information et des Technologies Associées) est un outil fédérateur qui permet d instaurer un langage commun pour parler de la Gouvernance des… …   Wikipédia en Français

  • cobit — i (G). A gudgeon like fish …   Dictionary of word roots and combining forms

  • Control Objectives for Information and Related Technology — CobiT (Control Objectives for Information and Related Technology) ist das international anerkannte Framework zur IT Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (oft mit Kontrollziel übersetzt, eigentlich… …   Deutsch Wikipedia

  • Val IT — Le référentiel Val IT est un ensemble structuré de pratiques clés de management se rapportant à la gouvernance des systèmes d information. Cette dernière comporte deux volets : un aspect risques, qui conduit à des pratiques d audit et à des… …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”