La démarche COBIT
Introduction
COBIT (Control Objectives for Information and related Technologies) est une démarche qui permet l’audit et l’évaluation des services informatiques d’une entreprise afin d’en apprécier les performances et la robustesse en termes de sécurité et de conformité. Il constitue un référentiel complet permettant de mettre sous contrôle l’ensemble des opérations liées à l’information. Il aide les dirigeants à comprendre et à gérer les risques relatifs à l’informatique.
COBIT est un modèle basé sur une approche par processus, ce qui va permettre une complémentarité avec les bonnes pratiques ITIL V2, V3, ou ITIL 4 et les normes ISO 20000 ou ISO 20000-2018.
Cette démarche est portée, depuis les années 1990, par une association américaine, l’ISACA. COBIT est largement utilisé comme outil de conformité en particulier dans le référentiel SOX (Sarbanes Oxley) et dans de nombreux standards et normes. La version 4 est arrivée en France en 2007 et la version 5 est disponible depuis avril 2015.
COBIT 5 est à ce jour le seul référentiel qui est orienté vers les métiers pour la gouvernance et la gestion des systèmes d’information de l’entreprise....
Principes généraux
COBIT est une approche orientée processus, qu’il regroupe en quatre domaines (planification, construction, exécution et métrologie, par analogie avec la roue de Deming), 34 processus et des pratiques de contrôle. COBIT définit aussi une méthode d’évaluation des processus et globalement des systèmes d’information.
Cette approche par processus s’applique à :
-
la sécurité de l’information,
-
la gestion des risques,
-
la gouvernance et la gestion du système d’information de l’entreprise.
Les activités d’audit vont s’intéresser à :
-
la conformité avec la législation et la réglementation,
-
les opérations financières ou les rapports sur la responsabilité sociale de l’entreprise.
Les processus
COBIT version 4 est une approche basée sur des processus, trente-quatre au total, regroupés en quatre domaines majeurs :
-
la planification et l’organisation (onze processus),
-
l’acquisition et la mise en œuvre (six processus),
-
la fourniture et le support (treize processus),
-
la surveillance et l’évaluation (quatre processus).
1. La planification et l’organisation
Ce domaine couvre la stratégie et les tactiques et concerne l’identification des moyens permettant à l’informatique de contribuer le plus efficacement à la réalisation des objectifs commerciaux de l’entreprise.
Les processus sont les suivants :
-
définir le plan stratégique informatique,
-
définir l’architecture des informations,
-
définir la direction technologique,
-
organiser le service informatique,
-
gérer les investissements,
-
communiquer les objectifs de la direction,
-
gérer les ressources humaines,
-
respecter les exigences légales,
-
évaluer les risques,
-
gérer les projets,
-
gérer la qualité.
2. L’acquisition et la mise en œuvre
Ce domaine concerne la réalisation de la stratégie informatique, l’identification, l’acquisition, le développement et l’installation des solutions informatiques et leur intégration dans les processus commerciaux.
Les processus sont...
Évaluation des processus COBIT
Pour mesurer la maturité des processus, le modèle COBIT s’appuie sur une évaluation de maturité à six niveaux (de 0 à 5) :
-
inexistant,
-
initialisé, mais au cas par cas,
-
reproductible mais intuitif,
-
processus définis,
-
géré et contrôlé,
-
optimisé.
Voici la définition de ces six niveaux :
-
Niveau 0 : la maturité est inexistante. Il y a une absence totale de programme d’enseignement et de formation. L’entreprise n’a même pas conscience que la formation est une problématique à traiter et elle ne communique pas sur ce sujet.
-
Niveau 1 : la maturité est initialisée, au cas par cas. On constate que l’entreprise a reconnu le besoin d’un programme d’enseignement et de formation, mais il n’y a pas de processus standardisé. En l’absence d’un programme organisé, les employés trouvent et suivent des formations de leur côté. Certaines de ces formations traitent des questions d’éthique du comportement, de sensibilisation à la sécurité des systèmes et aux pratiques de sécurité. L’approche globale du management manque complètement de cohésion, et la communication sur ces thèmes reste sporadique et sans méthode....
Les bénéfices de la démarche
La mise en œuvre de la démarche COBIT va permettre de gagner en efficacité et de s’assurer que les projets informatiques ne gaspillent pas les budgets. Basée sur la gouvernance COBIT, l’entreprise sera en capacité de réaliser des bénéfices et des économies significatives de productivité et d’apporter des avantages compétitifs par rapport aux investissements.
On peut identifier six bénéfices sur trois aspects :
L’organisation
-
La prise en compte des besoins et des exigences des métiers
-
Une organisation adaptée
La culture de l’entreprise
-
La prise en compte de l’ensemble des risques auxquels l’entreprise peut être confrontée
La technique
-
L’intégration des mutations technologiques
-
L’adaptation des moyens pour créer, accroître
-
La préservation de la valeur ajoutée dans l’ensemble de l’entreprise
L’implémentation de la démarche COBIT en France
Pour conclure, COBIT est un cadre de référence pour gérer la gouvernance des entités informatiques. Il est de plus en plus employé dans les entreprises et les instances officielles dans le monde entier et bien sûr aussi en France.
Les différentes études effectuées dans le monde informatique montrent que la démarche COBIT est le quatrième référentiel utilisé en France (ITIL étant loin devant en première place).
Par contre, COBIT s’inscrit la plupart du temps dans une démarche globale en s’associant aux bonnes pratiques comme ITIL ou CMMI, mais aussi aux normes (ISO 9100, ISO 9001, ISO 2700X, ISO 20000, ISO 15504, ISO 31000…).