CobiT - Pour une meilleure gouvernance des systèmes d_information

  • Upload
    bfs-lhn

  • View
    49

  • Download
    2

Embed Size (px)

DESCRIPTION

systémes d'information

Citation preview

  • Implmentation ISO 27001

    D O M I N I Q U E M O I S A N DF A B R I C E G A R N I E R D E L A B A R E Y R E

    978

    2212

    1242

    79

    Code

    di

    teur

    : G

    1242

    7IS

    BN

    : 97

    8-2-

    212-

    1242

    7-9

    39

    Cobi

    TD

    OM

    IN

    IQ

    UE

    M

    OI

    SA

    ND

    FA

    BR

    IC

    E

    GA

    RN

    IE

    R

    DE

    L

    AB

    AR

    EY

    RE

    Pour une meilleure gouvernance des systmes d'information

    CobiTR frence incontournable au sein de la communaut des audi-teurs informatiques depuis plus de dix ans, CobiT (ControlOBjectives for Information and related Technology) estdevenu un standard de la gouvernance des systmes dinformation.Publies par lISACA (Information Systems Audit and ControlAssociation) et lITGI (Information Technology Governance Institute),les dernires versions 4.0 et 4.1 rpondent tout particulirement auxproblmatiques de management des systmes dinformation.

    Sappuyant sur la version 4.1 de CobiT, cet ouvrage en trois voletsreplace ce rfrentiel dans le contexte global de la gouvernance dessystmes dinformation. La premire partie dresse un panorama desdiffrents rfrentiels existants, en dcrivant leurs champs dactionet leur positionnement vis--vis de CobiT. Dans la deuxime partiesont dtaills les 34 processus de CobiT selon un plan standard, avecmise en lumire de leurs forces et faiblesses. Enfin, la troisime par-tie expose des cas pratiques dutilisation et de dploiement de CobiT,correspondant un vritable mode demploi du rfrentiel. Cetouvrage apportera ainsi des rponses pragmatiques tous ceux quisouhaitent implmenter CobiT dans leur systme dinformation ou le concilier avec dautres rfrentiels comme ITIL, CMMi ou ISO 27001.

    Les auteursDominique Moisand a occup divers postes responsabilit au sein de PricewaterhouseCoopersavant de crer en 1990 le cabinet ASK, conseil enmanagement et organisation, qui s'attache notam-ment amliorer la gouvernance des systmesd'information des grands comptes. Vice-prsidentde lAFAI (Association franaise de laudit et duconseil informatiques) pendant cinq ans, il a colla-bor plusieurs traductions des ouvrages delISACA et diverses publications : Matrise dou-vrage et matrise duvre, Audit des projets, Leclient pivot de la gouvernance Il anime avecFabrice Garnier de Labareyre des sminaires sur laconvergence des rfrentiels de la DSI.

    Associ du cabinet ASK Conseil, Fabrice Garnierde Labareyre exerce le mtier de consultant dansle domaine des technologies de linformationdepuis plus de quinze ans. Frquemment conseilde la Direction gnrale et de la DSI de grandesentreprises, il intervient sur les missions strat-giques relevant de la gouvernance des systmesdinformation : pilotage des organisations, matrisedes grands projets, performance et qualit des ser-vices, scurit de linformation Il est galementadministrateur de lAFAI.

    CobiT

    qui sadresse ce livre ?

    Aux auditeurs

    Aux managers de linformatique et aux DSI

    Aux chefs dentreprise et aux directions financires

    Aux consultants et aux formateurs

    Aux acteurs de linfogrance

    Au sommaireCobiT et la gouvernance TI. Prsentation gnrale de CobiT.Historique de CobiT. Les cinq axes stratgiques. Les autresrfrentiels de la gouvernance des TI. Le pilotage stratgique.Le management de la scurit. ITIL : le management desservices. Le management des tudes. Les modles "qualit".Apprhender CobiT. Documents et publications autour deCobiT. qui s'adresse CobiT ? Les limites : ce que CobiT n'estpas. Description dtaille des processus. Planifier et Organi-ser. Acqurir et Implmenter. Dlivrer et Supporter. Surveilleret valuer. Mettre en oeuvre CobiT. CobiT pour l'audit. Lecode professionnel d'thique. La mission d'audit. Le contrleinterne. L'outil Quick Scan. CobiT fdrateur. Le pilotagestratgique. Conjuguer ITIL et CobiT. CobiT et la normeISO/IEC 27002. CobiT et la norme ISO/IEC 27001. CobiT etCMMi. La certification. Transformer la DSI. CobiT Quickstart.Pour un dploiement tag. Annexes. Glossaire. Objectifs du systme d'information et processus CobiT.

    12427_Cobit_17x23 10/12/08 14:59 Page 1

  • CobiTPour une meilleure gouvernance

    des systmes d'information

    pageDeTitre_corbit 20/11/08 11:04 Page 1

  • CHEZ LE MME DITEUR

    C. Dumont. ITIL pour un service informatique optimal (2e dition). N12102, 2007, 378 pages. C. Dumont. Mmento ITIL. N12157, 2007, 14 pages. E. Besluau. Management de la continuit dactivit. N12346, 2008, 254 pages. A. Fernandez-toro. Management de la scurit de linformation. Implmentation ISO 27001 Mise en place dun SMSI et audit de certification. N12218, 2007, 256 pages. F. Valle. UML pour les dcideurs. N11621, 2005, 282 pages. P. Roques, F. Valle. UML 2 en action. De lanalyse des besoins la conception J2EE. N11462, 2004, 386 pages. P. Mangold. Gestion de projet informatique. N11752, 2006, 120 pages. E. Oneill. Conduite de projets informatiques offshore. N11560, 2005, 336 pages.

    S. Bordage. Conduite de projet Web (4e dition). N12325, 2008, 394 pages.

    M. Rizcallah. Annuaires LDAP (2e dition). N11504, 576 pages. R. Lefbure, G. Venturi. Gestion de la relation client. N11331, 2004, 466 pages. J.-L. Montagnier. Rseaux dentreprise par la pratique. N11258, 2004, 556 pages. L. Verlaine, F. Hardange, F. Biard, D. Elias. Tests de performances des applications Web. N11395, 2003, 246 pages. P. Devoitine. Mettre en place et exploiter un centre dappels. N11122, 2003, 402 pages. F. Rivard, T. Plantain. LEAI par la pratique. N11199, 2002, 416 pages. F. Alin, X. Amoros, M. Saliou. Lentreprise intranet. Guide de conduite de projet. N11118, 2002, 228 pages.

  • CobiTPour une meilleure gouvernance

    des systmes d'information

    D O M I N I Q U E M O I S A N DF A B R I C E G A R N I E R D E L A B A R E Y R E

    Prface de Didier Lambert

    Avec la collaboration de J.-M. Chabbal, T. Gasiorowski, F. Legger et L. Vakil

    pageDeTitre_corbit 20/11/08 11:04 Page 2

  • DITIONS EYROLLES61, bd Saint-Germain75240 Paris Cedex 05

    www.editions-eyrolles.com

    Le code de la proprit intellectuelle du 1er juillet 1992 interdit en effet expressment la photocopie usage collectif sans autorisation des ayants droit. Or, cette pratique sest gnralise notamment dans les tablissements denseignement, provoquant une baisse brutale des achats de livres, au point que la possibilit mme pour les auteurs de crer des uvres nouvelles et de les faire diter correctement est aujourdhui menace.En application de la loi du 11 mars 1957, il est interdit de reproduire intgralement ou

    partiellement le prsent ouvrage, sur quelque support que ce soit, sans autorisation de lditeur ou du Centre Franais dExploitation du Droit de Copie, 20, rue des Grands-Augustins, 75006 Paris. Groupe Eyrolles, 2009, ISBN : 978-2-212-12427-9

  • VPrfaceProlifration de modles et de sigles, contraintes de plus en plus fortes,exigence croissante de matrise de leurs activits : les DSI ne savent plusparfois quel saint se vouer.

    Par o commencer ? ISO, CobiT, ITIL, Lean, CMMi? Pour le nophyte, cesttout un nouveau continent explorer. Louvrage de Dominique Moisand etde ses collaborateurs a pour premier mrite de resituer tous ces modlesdans leur perspective relle.

    Issu de laudit, dans sa partie noble qui consiste non dnoncer les imper-fections mais aider le responsable progresser dans son mtier, CobiTest devenu un formidable outil dorganisation du mtier de DSI. Par sonapproche rigoureuse des processus qui rglent la vie de linformatique enentreprise, par ladoption progressive de rfrentiels (vocabulaire, concepts,mesures) qui simposent toute notre profession, il devient la cl de votede la dmarche damlioration continue qui simpose tous.

    Malgr tout, son adoption se heurte encore bien souvent au caractre par-fois sotrique des manuels de rfrence, le manager oprationnel hsitant se lancer dans un projet quil ne se sent pas capable de matriser.

    Cet ouvrage vient combler cette lacune : dmystifier, rendre immdiate-ment accessibles les concepts soutenant la dmarche CobiT, et proposerune manire simple et rapide de dmarrer le projet dutilisation de ce rf-rentiel dans toutes les entreprises.

    Grer une informatique dentreprise est une science encore jeune et impar-faite mais dont limportance ne cesse de crotre, avec lmergence acc-lre de ce monde numrique indispensable toute activit conomique.Gageons que la lecture de ce livre dcidera nombre de DSI qui ne lont pasencore fait sauter le pas, sengager dans cette voie de lexcellence.

    Sans oublier le vieux proverbe plus ou moins chinois :

    Les modles sont de bons serviteurs et de mauvais matres.

    Didier Lambert, ancien prsident du Cigrefet DSI dEssilor

    Livre CobiT.book Page V Lundi, 1. dcembre 2008 2:48 14

  • Livre CobiT.book Page VI Lundi, 1. dcembre 2008 2:48 14

  • VII

    Table des matires

    Partie I

    CobiT et la gouvernance TI

    Chapitre 1 Prsentation gnrale de CobiT . . . . . . . . . . . . . . . . . . . . . . . 3

    Historique de CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

    CobiT et la gouvernance TI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

    Lapport de CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

    Les cinq axes stratgiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

    Chapitre 2 Les autres rfrentiels de la gouvernance des TI . . . . . . . . . . . 11

    Le pilotage stratgique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

    Le COSO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

    Le Balanced Scorecard (BSC) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

    Le management de la scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

    La norme ISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14

    Les normes ISO/IEC 17799 et ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . 15

    Les critres communs (ISO/IEC 15408) . . . . . . . . . . . . . . . . . . . . . . . . 16

    ITIL : le management des services . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

    ITIL V2 et la norme ISO/IEC 20000 . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

    ITIL V3 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

    Le management des tudes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

    Le CMMI et la norme ISO/IEC 15504 . . . . . . . . . . . . . . . . . . . . . . . . . 22

    Les modles qualit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

    La norme ISO 9001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

    Livre CobiT.book Page VII Lundi, 1. dcembre 2008 2:48 14

  • Table des matires

    VIII

    Le modle EFQM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

    Le dveloppement durable . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

    En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

    Chapitre 3 Apprhender CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

    Description gnrale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

    Les composants de CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

    Les processus dans CobiT V4.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

    Les documents et publications autour de CobiT . . . . . . . . . . . . . . . 36

    destination de la direction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

    destination des mtiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37

    destination de la gouvernance TI, du contrle et de la scurit . . . . . . . . 37

    Autres publications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

    Description dtaille de certaines publications . . . . . . . . . . . . . . . . . . . . . 38

    Comment aborder CobiT ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

    qui sadresse CobiT ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44

    Les limites : ce que CobiT nest pas . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

    En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

    Partie II

    Description dtaille des processus

    Chapitre 4 Planifier et Organiser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

    PO1 Dfinir un plan informatique stratgique . . . . . . . . . . . . . . . . . . . 51

    PO2 Dfinir larchitecture de linformation . . . . . . . . . . . . . . . . . . 55

    PO3 Dterminer lorientation technologique . . . . . . . . . . . . . . . . . . . 59

    PO4 Dfinir les processus, lorganisation et les relations de travail 63

    PO5 Grer les investissements informatiques . . . . . . . . . . . . . . . . . . . 68

    PO6 Faire connatre les buts et les orientations du management . 73

    PO7 Grer les ressources humaines de linformatique . . . . . . . . . 76

    PO8 Grer la qualit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

    PO9 valuer et grer les risques . . . . . . . . . . . . . . . . . . . . . . . . . . . 84

    PO10 Grer les projets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

    En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93

    Livre CobiT.book Page VIII Lundi, 1. dcembre 2008 2:48 14

  • Table des matires

    IX

    Chapitre 5 Acqurir et Implmenter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95

    AI1 Trouver des solutions informatiques . . . . . . . . . . . . . . . . . . . . . 95

    AI2 Acqurir des applications et en assurer la maintenance . . . . . . 99

    AI3 Acqurir une infrastructure technique et en assurer la maintenance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104

    AI4 Faciliter le fonctionnement et lutilisation . . . . . . . . . . . . . 108

    AI5 Acqurir des ressources informatiques . . . . . . . . . . . . . . . . . . . . . . 112

    AI6 Grer les changements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116

    AI7 Installer et valider des solutions et des modifications . . . . . . 121

    En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

    Chapitre 6 Dlivrer et Supporter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127

    DS1 Dfinir et grer les niveaux de services. . . . . . . . . . . . . . . . . . . 127

    DS2 Grer les services tiers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132

    DS3 Grer la performance et la capacit . . . . . . . . . . . . . . . . . . . . . 136

    DS4 Assurer un service continu. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140

    DS5 Assurer la scurit des systmes . . . . . . . . . . . . . . . . . . . . . . . 144

    DS6 Identifier et imputer les cots . . . . . . . . . . . . . . . . . . . . . . . . . 148

    DS7 Instruire et former les utilisateurs . . . . . . . . . . . . . . . . . . . . . . 153

    DS8 Grer le service dassistance aux clients et les incidents . . . . . 156

    DS9 Grer la configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

    DS10 Grer les problmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163

    DS11 Grer les donnes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166

    DS12 Grer lenvironnement physique. . . . . . . . . . . . . . . . . . . . . . . 171

    DS13 Grer lexploitation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175

    En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178

    Chapitre 7 Surveiller et valuer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179

    SE1 Surveiller et valuer la performance des SI . . . . . . . . . . . . . . . 179

    SE2 Surveiller et valuer le contrle interne . . . . . . . . . . . . . . . . . . . . . 183

    SE3 Sassurer de la conformit aux obligations externes. . . . . . . . 187

    SE4 Mettre en place une gouvernance des SI . . . . . . . . . . . . . . . . . . . . 190

    En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 193

    Livre CobiT.book Page IX Lundi, 1. dcembre 2008 2:48 14

  • Table des matires

    X

    Partie III

    Mettre en uvre CobiT

    Chapitre 8 CobiT pour laudit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

    Le code professionnel dthique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197

    La mission daudit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198

    Lapport de CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199

    Le contrle interne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 200

    Loutil Quick Scan de CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

    Quick Scan en quelques mots . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

    Quick Scan en questions . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 201

    En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203

    Chapitre 9 CobiT fdrateur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

    Le pilotage stratgique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

    Cadran 1 - Contribution stratgique . . . . . . . . . . . . . . . . . . . . . . . . . . . 205

    Cadran 2 - Relation client . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

    Cadran 3 - Futur et anticipation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

    Cadran 4 - Excellence oprationnelle . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

    ITIL et le management des services TI . . . . . . . . . . . . . . . . . . . . . . . . 207

    ITIL et CobiT : la complmentarit . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207

    Pourquoi les associer ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

    Conjuguer ITIL et CobiT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 209

    La scurit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

    CobiT et la norme ISO/IEC 27002 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214

    CobiT et lISO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

    Le management des tudes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

    CobiT et CMMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

    La certification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

    Scnario 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218

    Scnario 2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

    Comparaison des scnarios . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

    Exemples de dploiement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220

    En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222

    Livre CobiT.book Page X Lundi, 1. dcembre 2008 2:48 14

  • Table des matires

    XI

    Chapitre 10 Transformer la DSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

    CobiT Quickstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

    Prsentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 223

    Les hypothses de CobiT Quickstart . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

    Le contenu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224

    Pour un dploiement tag . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

    Les pralables recueillir . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 225

    Exemple de dploiement progressif . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 227

    En rsum . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 231

    Partie IV

    Annexes

    Annexe I Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235

    Annexe II Objectifs du systme dinformation et processus CobiT . . . . . 243

    Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253

    Livre CobiT.book Page XI Lundi, 1. dcembre 2008 2:48 14

  • Livre CobiT.book Page XII Lundi, 1. dcembre 2008 2:48 14

  • XIII

    Avant-propos

    Cet ouvrage sadresse tous ceux qui sintressent la gouvernance dessystmes dinformation. En raison du foisonnement des rfrentiels et desstandards, il est indispensable de situer CobiT V4.1 dans cet ensemble.Nous avons retenu quatre grands courants qui alimentent cette rechercheincessante : lISACA (Information System Audit and Control Association), associa-tion base aux tats-Unis, trs active dans le monde entier et qui est lorigine de CobiT ; le SEI (Software Engineering Institute) dont les recherchesont abouti la cration de CMMi ; lOGC (Office of Government Commerce), trsprsent en Grande-Bretagne, en particulier lorigine dITIL, et enfin lISO(Organisation internationale de normalisation) qui accompagne ces travauxen les insrant dans un cadre juridique normatif.

    La premire partie de ce livre est consacre une prsentation gnrale deCobiT et des autres rfrentiels. Le chapitre 1 rappelle lhistorique qui aconduit des premires versions de CobiT, orientes rfrentiels daudit, la srie des versions 4, axes en priorit guide de management . Le cha-pitre 2 brosse un rapide tableau des principaux rfrentiels auxquels le DSIdoit se confronter, soit parce quil sagit de standards de facto ou parce queleur apport dans la gouvernance des systmes dinformation est incontour-nable. Le chapitre 3 permet dapprhender CobiT comme fdrateur desprincipaux rfrentiels. Il reprend tout dabord lessentiel de la prsentationde louvrage de lAFAI sur la V4.1 de CobiT, puis dcrit la multitude dedocuments disponibles sur le site www.isaca.org (en anglais) la datede parution de ce livre. Ce chapitre sert dintroduction la partie suivante.

    La deuxime partie offre une lecture commente de CobiT en dtaillant ses34 processus selon quatre chapitres, correspondant aux quatre domainesde processus du rfrentiel : Planifier et Organiser, Acqurir et Implanter,Dlivrer et Supporter, Surveiller et valuer. Au sein de ces chapitres, lesprocessus sont dcrits en respectant un plan standardis.

    La troisime partie aborde la mise en uvre de CobiT, avec trois cibles : lapremire correspond laudit, le cur de cible initial de CobiT depuisquinze ans environ, la deuxime place CobiT en fdrateur des autres rf-rentiels de la gouvernance, et la troisime aborde le dploiement de CobiT partir dexemples prcis. En synthse, nous proposons une sorte de

    Livre CobiT.book Page XIII Lundi, 1. dcembre 2008 2:48 14

  • Avant-propos

    XIV

    modle progressif de dploiement, tir des expriences de mission menesdepuis une dizaine dannes sur ces sujets.

    Cet ouvrage se veut pragmatique et utile. Aussi navons-nous pas hsit prendre position sur la pertinence de certains composants du rfrentiel,sur ce qui, nos yeux, fait la force de CobiT ou au contraire ne figure qutitre indicatif.

    Livre CobiT.book Page XIV Lundi, 1. dcembre 2008 2:48 14

  • 1

    PARTIEIICobiT et

    la gouvernanceTILa gouvernance des Technologies de lInformation (TI) regroupelensemble du systme de management (processus, procdures, organisa-tion) permettant de piloter les TI. Cette proccupation est une dclinaisonde la volont dassurer une gouvernance dentreprise (corporate gouvernance).

    Il existe un grand nombre de rfrentiels qui refltent les bonnes pratiquesmises au point au fil des annes. On peut sen tonner. La ralit est quechacun deux part dune proccupation particulire : la scurit, la qualit,les services offerts aux clients, laudit, le dveloppement de projet, etc.Cest un mal ncessaire pour que chaque fonction se reconnaisse dans sespropres pratiques. Simultanment se pose la question de la mise en placedun cadre global, unique pour la DSI, qui rponde toutes les attentes.

    CobiT se positionne la fois comme un rfrentiel daudit et un rfrentielde gouvernance. Sur le plan de la gouvernance, il se place demble en ali-gnement avec les mtiers et la stratgie de lentreprise. Au-del de cespositionnements, CobiT est conu, dvelopp et amlior en permanencepour fdrer lensemble des rfrentiels en rapport avec les TI.

    Lensemble de cette problmatique, gouvernance des TI, diversit des rf-rentiels et convergence pour la DSI, est traite dans cette premire partie,qui prsente galement la structure de base de CobiT.

    Livre CobiT.book Page 1 Lundi, 1. dcembre 2008 2:48 14

  • Livre CobiT.book Page 2 Lundi, 1. dcembre 2008 2:48 14

  • 3Chapitre 1

    Prsentation gnrale de CobiT

    Historique de CobiT

    CobiT est le rsultat des travaux collectifs raliss par les principauxacteurs de la profession, auditeurs internes ou externes, fdrs au sein delISACA (Information System Audit and Control Association). Cette associationmondiale base aux tats-Unis est dploye dans les plus grandes villesdu monde. Elle est reprsente en France par lAFAI (Association franaisepour laudit et le conseil en informatique).

    Dans ses premires versions, publies partir de 1996, CobiT (ControlOBjectives for Information and related Technology) se positionne comme unrfrentiel de contrle. Il dcline sur le domaine IT les principes durfrentiel COSO (Committee of Sponsoring Organizations of the TreadwayCommission), publis pour la premire fois en 1992 et dont lobjectif estdaider les entreprises valuer et amliorer leur systme de contrleinterne.

    La mise en chantier de CobiT rsultait donc de la volont des auditeursde rpondre aux exigences du COSO et de partager les mmes plansdaudit. La plupart des grands cabinets daudit internationaux (les big 6 lpoque) y ont particip. Cest ainsi devenu un standard de fait, aumoins pour les auditeurs informatiques. On y trouvait lessentiel de lastructuration actuelle en domaines, processus et objectifs de contrledtaills.

    En 1998, lITGI (Information Technology Governance Institute) a t cr sur lini-tiative de lISACA, en rponse la place de plus en plus importanteoccupe par les technologies de linformation. En effet, dans la plupart desorganisations ou des entreprises, lun des principaux facteurs de succsrside dans la capacit des systmes dinformation apporter la fois la

    Livre CobiT.book Page 3 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    4

    diffrenciation stratgique et le support des activits. Dans un tel contexte,la gouvernance des systmes dinformation devient aussi critique quela gouvernance dentreprise.

    Depuis une dizaine dannes, lITGI a men de nombreuses recherches autravers de groupes de travail rpartis dans le monde entier. Le rsultat deces recherches a notamment donn lieu en 2000 la publication de laversion V3 du rfrentiel CobiT proposant, paralllement un guidedaudit , un guide de management prfigurant les versions ult-rieures.

    la suite des scandales ayant eu lieu au dbut des annes 2000 (Enron,etc.), le Congrs amricain vote, en 2002, la loi Sarbanes-Oxley (SOX) afinde redonner confiance aux investisseurs et aux actionnaires en garantis-sant la fois la transparence des comptes, lexistence de processusdalerte et lengagement des dirigeants (PDG, DAF). Ceci se traduit par unrenforcement des contrles lis aux processus financiers. On retiendra, parexemple, la section 404 qui exige un contrle strict des accs et des autorisa-tions. CobiT a t reconnu comme une rponse ces nouvelles exigences,tant en termes de contrle que de gouvernance.

    1. Information Techno-logy (IT) : se rapporte tantt au potentiel global offert par les technologies de linformation (TI), ou leur utilisation dans lentreprise sous forme de systmes dinformation (SI).

    La gnralisation de la loi SOX ou de ses dclinaisons locales ou secto-rielles (IFRS, International Financial Reporting Standards, LSF, Loi de scuritfinancire, normes Ble II) a considrablement renforc le rle des audi-teurs. Ces dispositions rglementaires ont acclr la diffusion de CobiTcomme rfrentiel de contrle et de gouvernance des SI. Ensuite, lISACA apubli successivement la version 4 (dcembre 2005) puis la version 4.1(2007) de CobiT, en regroupant deux visions : le contrle et le mana-gement des systmes dinformation (SI) et, plus largement, des technologiesde linformation (TI)1.

    Des Big 8 aux Big 4

    Dans les annes 1970-1980, les principaux groupes d'audit mondiaux taient sur-nomms les Big 8 ; il s'agissait de : Arthur Andersen, Arthur Young, Coopers &Lybrand, Ernst & Whinney, Haskins & Sells (fusionn avec Deloitte), KPMG, PriceWaterhouse, Touche Ross.Dans les annes 1990, les Big 8 deviennent les Big 6 suite la fusion d'Erns &Whinney avec Arthur Young pour former Ernst & Young, et de la fusion de Deloitte,Haskins & Sells avec Touche Ross pour crer Deloitte & Touche.En 1998, les Big 6 deviennent les Big 5, suite la fusion de Price Waterhouse etCoopers & Lybrand pour former PricewaterhouseCoopers.Depuis 2002 et le scandale Enron qui a abouti au dmantlement d'Andersen, onparle des Big 4. (Deloitte, Ernst & Young, KPMG, PricewaterhouseCoopers).

    Livre CobiT.book Page 4 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 1 Prsentation gnrale de CobiT

    5

    CobiT et la gouvernance TI

    Lapport de CobiT

    1. Stakeholders : reprsente lensemble des acteurs concerns par la gouvernance des SI, aussi bien les actionnaires et la direction gnrale que les mtiers. Ce terme est souvent traduit par les parties prenantes.

    En tant que rfrentiel de la gouvernance des systmes dinformation, leprimtre de CobiT dpasse celui dvolu la direction des systmesdinformation pour englober toutes les parties prenantes des SI danslentreprise (stakeholders1). Ainsi, selon CobiT, la gouvernance des sys-tmes dinformation est de la responsabilit des dirigeants et du conseildadministration, elle est constitue des structures et processus de com-mandement et de fonctionnement qui conduisent linformatique delentreprise soutenir les stratgies et les objectifs de lentreprise, et luipermettre de les largir .

    La figure 1-1 illustre aussi bien la responsabilit de la fonction IT sur lesquatre grands domaines de la gouvernance selon CobiT (planifier et orga-niser, dlivrer et supporter, surveiller et valuer, acqurir et implmenter)que les responsabilits des mtiers.

    CobiT se fixe des objectifs trs pragmatiques refltant les proccupationsde la direction gnrale, tels que :

    articuler le systme dinformation aux besoins des mtiers, cest lali-gnement stratgique ;

    apporter des avantages concrets au fonctionnement des processusmtier (efficacit et efficience) ;

    Figure 1-1 : Rpartition des responsabilits de la gouvernance TI

    Contrle mtie r Contrle mtie r Contrle gnral IT

    RESPONSABILITE IT RESPONSABILITE METIE R RESPONSABILITE METIE R

    Contrles mtier, gnraux et applicatifs : limites

    Surveiller et Evaluer

    Acqurir et Implmenter

    Planifier et Organiser

    Dlivrer et Supporte r

    Exigences de fonctionnement

    Exigences de contrle

    Services automatiss

    CONTROLES APPLICA TIFS

    Livre CobiT.book Page 5 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    6

    utiliser lensemble des ressources en liaison avec les SI (infrastructures,applications, informations et personnes) de faon optimise et respon-sable ;

    matriser les risques lis au SI et leurs impacts pour les mtiers.

    1. On entend par pro-cessus un ensemble dactivits corrles qui transforme des lments entrants en lments sortants, les activits tant elles-mmes dcrites dans des procdures.

    Structur en processus1, CobiT prend en compte les besoins des mtiers,et plus gnralement des parties prenantes, dans une logique damliora-tion continue. Le pralable toute diffusion de CobiT est donc la diffusiondune culture de lamlioration au service des clients de la DSI. Cette approcherappelle lISO 9001.

    Les entres des processus CobiT sont bases sur les exigences ngo-cies des parties prenantes (mtiers, etc.) conduisant des objectifs.Ensuite, lexcution des processus est garantie par des responsabilitsclairement affectes et des mesures de performances face aux objectifsfixs. La satisfaction des clients fait partie des mesures de perfor-mance.

    ce stade, loriginalit de CobiT est sans doute de crer systmatiquementun lien entre parties prenantes et DSI, ce qui ncessite bien souvent unepetite rvolution culturelle aussi bien pour les acteurs de la DSI dans leurtour divoire que pour les mtiers et la direction gnrale qui ignoreraientsuperbement le caractre stratgique des SI. Le point cl sous-jacent cette dmarche est linstauration de dialogues constructifs tous lesniveaux de lorganisation, entre parties prenantes et DSI.

    Ce postulat pos, chaque processus propose une liste dobjectifs de contrlequi nous semble solide et une vision du management du processus (acti-vits principales, responsabilits et indicateurs) qui nous parat pluttindicative et sujette contextualisation.

    Le rfrentiel CobiT, avec ses 34 processus gnriques, est une propositionqui pourra tre revue pour sadapter la cartographie propre de lorganisa-tion considre. De la mme faon, on pourra facilement coupler CobiT dautres rfrentiels du march (ISO 27001, ITIL pour Information TechnologyInfrastructure Library ou CMMI pour Capability Maturity Model Integration) enbtissant un cadre de rfrence satisfaisant lensemble des exigences. Ceciest dautant plus vrai que les processus de CobiT sont parfois globaux etsinterprtent souvent comme des macroprocessus de rfrentiels plusspcialiss. CobiT est donc un cadre fdrateur.

    CobiT sert aussi comparer entre elles (benchmark) diffrentes entits delentreprise. Il permet galement, avec les restrictions dusage, de se com-parer dautres entreprises. Plus couramment, il conduit la dfinition deses propres objectifs et leur valuation priodique.

    Livre CobiT.book Page 6 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 1 Prsentation gnrale de CobiT

    7

    Les membres de lISACA utilisent CobiT dans de nombreux secteurs dacti-vit travers le monde. Les spcificits culturelles et les diffrencesdavance de dveloppement sur le plan technologique ne semblent paslimiter ladquation de CobiT pour lalignement des systmes dinformationaux objectifs stratgiques de lentreprise.

    Les cinq axes stratgiquesEn rponse la volont dexercer une bonne gouvernance des SI, CobiTsattache aux cinq axes prsents ci-aprs.

    Lalignement stratgiqueLes activits informatiques prennent de plus en plus dimportance dans lefonctionnement des mtiers de lentreprise. Il est donc indispensable quela rponse de linformatique soit celle attendue par les mtiers. Prenons, parexemple, une direction marketing qui souhaite lancer un nouveau produitou service. Il est indispensable de sassurer que les exemplaires de ce produit,lorsquils seront disponibles, pourront tre commands puis facturs. Si lecanal de commande est le Web, la disponibilit de lapplication de com-mande en ligne doit tre assure avec lensemble des lments ncessaires la commande du produit (rfrences, prix, conditions particulires, etc.).Par alignement stratgique, il faut donc entendre la capacit fournir lesservices souhaits en temps et en heure avec le niveau de qualit requis.

    Figure 1-2 : Les domaines de la gouvernance des TI

    Domaines de la gouvernance des SI

    Lapport de valeurConsiste mettre en uvre la proposition de valeur ajoute tout au long de la fourniture du service, sassurer que linformatique apporte bien les bnfices attendus sur le plan stratgique, sattacher optimiser les cots et prouver la valeur intrinsque des SI.

    La gestion des ressourcesConsiste optimiser linvestissement dans les ressources informatiques vitales et bien les grer :applications, informations, infrastructures et personnes. Les questions cls concernent loptimisation des connaissances et de linfrastructure.

    La gestion des risquesExige une conscience des risques de la part des cadres suprieurs, une vision claire de lapptence de lentreprise pour le risque, une bonne connaissance des exigences de conformit, de la transparence propos des risques significatifs encourus par lentreprise et lattribution des responsabilits dans la gestion des risques au sein de lentreprise.

    La mesure de la performanceConsiste en un suivi et une surveillance de la mise en uvre de la stratgie, de laboutissement des projets, de lutilisation des ressources, de la performance des processus et de la fourniture des services, en utilisant par exemple des tableaux de bord quilibrs qui traduisent la stratgie en actions orientes vers le succs dobjectifs mesurables autrement que par la comptabilit conventionnelle.

    Lalignement stratgiqueConsiste sassurer que les plans informatiques restent aligns sur les plans des mtiers, dfinir, tenir jour et valider les propositions de valeur ajoute de linformatique, aligner le fonctionnement de linformatique sur le fonctionnement de lentreprise.

    Gestion des ressources

    Mesure de la performance

    Gestion des risques

    Apport de valeur

    Alignement stratgique

    GOUVERNANCE SI

    Livre CobiT.book Page 7 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    8

    Dans le cas de notre direction marketing, cela signifie que le projet de mise disposition de commande en ligne doit tre identifi et prioris ds larflexion amont par la direction marketing, ceci afin dtre dans les tempsau moment de lannonce du produit au march. Lalignement stratgiquese matrialise par un plan stratgique qui devra traiter des budgetsdinvestissements et de fonctionnement, des sources de financement, desstratgies de fourniture et dachats tout en intgrant les exigences lgaleset rglementaires.

    Lapport de valeur

    Linformatique doit galement pouvoir apporter un gain identifiable dansla bonne excution des processus mtier. Dans le cas de notre directionmarketing, lapport de valeur va se matrialiser par la mise en place duncanal de distribution adressant une nouvelle clientle. Il permettra la ventepermanente du produit tout en saffranchissant des contraintes de la dis-tribution classique organise autour dun lieu gographique et de plageshoraires plus limites que laccs Web. Dans le processus de distribution,lapport de linformatique doit pouvoir tre mesur afin didentifier lavaleur apporte en termes de volume de ventes, de progression de chiffredaffaires et de marge par rapport aux prvisions. Lapport de valeur seconcrtise par la matrise des processus de fonctionnement en termesdefficacit et defficience. Ceci vient complter le processus de pilotagedes investissements qui traitera des cots, des bnfices et des prioritsen fonction de critres dinvestissement tablis (ROI [Return On Investment],dure damortissement, valeur nette actuelle).

    La gestion des ressources

    1. Make or buy : dci-sion stratgique de coner une activit un tiers ou de la dve-lopper en interne. Ainsi, par exemple, les centres dappel pour le support infor-matique sont souvent cons des tiers. Les raisons de ce choix sont multiples : com-ptences mobiliser, masse critique, pro-fessionnalisation, logistique, temps de mise en uvre, prix.

    Les ressources pour mesurer lactivit informatique doivent tre opti-males pour rpondre aux exigences des mtiers. Dans notre exemple dedirection marketing, cela revient dire que les ressources humaines ettechnologiques sont mobilises au mieux en termes de volume, dexper-tise/comptences, de dlai et de capacit. Cette gestion des ressources sematrialise par une cartographie des comptences et un plan de recrute-ment/formation en ce qui concerne les ressources humaines. Cette ges-tion des ressources est articule la gestion des tiers afin doptimiser lemake or buy1.

    Les ressources technologiques font partie du primtre et donneront lieu un plan dinfrastructure. Celui-ci traitera des orientations techno-logiques, des acquisitions, des standards et des migrations. Dans ce cas,la responsabilit du mtier consiste exprimer ses besoins, par exemple,en termes de capacit (comme le nombre de clients en ligne simulta-nment).

    Livre CobiT.book Page 8 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 1 Prsentation gnrale de CobiT

    9

    La gestion des risquesDans certains secteurs, lactivit cur de mtier de lentreprise peut tremise en pril en cas darrt ou de dysfonctionnement de ses systmesinformatiques, car la dpendance des processus mtier envers linforma-tique est totale. Dans notre exemple de distribution par le Web, si ce canalest le seul prvu pour le produit en question, lindisponibilit pour causede panne ou de retard dans louverture du service de commande en lignese solde par une perte nette de revenus qui ne sera jamais rcupre. Dansle secteur du transport arien, la panne du systme de rservation peutclouer au sol lensemble des avions dune compagnie. Dans le mondeboursier, larrt des systmes informatiques stoppe immdiatement toutesles transactions. La gestion des risques informatiques ou des systmesdinformation correspond un rfrentiel qui comprend une analyse derisque et un plan de traitement des risques associ. Ce plan de traitementdes risques doit tre tabli selon des critres de tolrance par rapport auprjudice financier li la ralisation des risques. Cela veut dire en dautrestermes que les moyens engags pour couvrir les risques ne doivent pas coterplus cher que le prjudice lui-mme.

    La mesure de la performance1. BSC, Balanced Sco-recard (ou tableau de bord quilibr) : repr-sentation de la perfor-mance de lentreprise selon 4 quadrants le nancier, la relation client, lanticipation et loprationnel. Le BSC a t dve-lopp en 1992 par Robert S. Kaplan et David Norton.

    La mesure de la performance rpond aux exigences de transparence et decomprhension des cots, des bnfices, des stratgies, des politiques etdes niveaux de services informatiques offerts conformment aux attentesde la gouvernance des systmes dinformation. L encore, CobiT tente defaire le lien entre les objectifs de la gouvernance et les objectifs dclinersur les processus ou les activits. Ce faisant, on cre du lien et on donnedu sens aux objectifs de performance des SI comme support aux mtiers.

    Ces mesures peuvent facilement se traduire par la mise en place dun BSC(Balanced Scorecard1) qui va offrir une vision densemble de la performance.

    Livre CobiT.book Page 9 Lundi, 1. dcembre 2008 2:48 14

  • Livre CobiT.book Page 10 Lundi, 1. dcembre 2008 2:48 14

  • 11

    Chapitre 2

    Les autres rfrentiels de la gouvernance des TI

    En ce qui concerne la gouvernance des TI, il existe de nombreux cadresde rfrence, chacun avec leur point de vue. Ainsi, chaque cadre de rf-rence offre un niveau de dtail appropri dans son domaine. Lune desdifficults de la gouvernance des TI est bien de faire coexister les appro-ches terrain, forcment dtailles et spcialises, et les synthses depilotage stratgique. Ce chapitre prsente les principaux rfrentiels enmatire de pilotage global, de pilotage des services, des projets et de lascurit des TI.

    Le pilotage stratgique

    Nous allons ici aborder deux approches distinctes de la gouvernancedentreprise, le COSO et le Balanced Scorecard (BSC).

    Le COSO

    Le COSO (Committee of Sponsoring Organizations of the Treadway Commission) apubli en 1992 un cadre de rfrence pour le contrle interne afin daiderles entreprises valuer et amliorer leur systme de contrle interne. Lecontrle interne y est dcrit comme un processus tant sous la responsabi-lit dune instance constitue dans le but dassurer la ralisation dobjec-tifs regroups dans les domaines suivants :

    efficacit et efficience des oprations ;

    fiabilit des rapports financiers ;

    conformit aux lois et rglements.

    Livre CobiT.book Page 11 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    12

    En 2004, le COSO a publi le document Management des risques dans lentreprise(Enterprise Risk Management ou ERM) qui largit le primtre du contrleinterne. LERM englobe :

    la notion de portefeuille de risques ;

    une structuration en quatre catgories dobjectifs (oprations, reporting,conformit et objectifs stratgiques) ;

    le niveau de prise de risque dcid de faon stratgique par lentreprise ;

    les vnements qui impactent les risques ;

    les quatre catgories de rponse aux risques (viter, rduire, partager etaccepter) ;

    le primtre de linformation et de la communication ;

    les rles et les responsabilits des acteurs en charge de la scurit maisaussi des directeurs (board).

    Un rsum en franais de ce document est disponible ladressesuivante : http://www.coso.org/documents/COSO_ERM_Executive-Summary_french.pdf.

    Le Balanced Scorecard (BSC)

    Le Balanced Scorecard (BSC), ou tableau de bord prospectif, est une repr-sentation qui permet de clarifier la vision et la stratgie dune entreprise,et de la traduire en plans daction. Il donne aussi bien le retour sur lefonctionnement des processus internes que des contraintes externes,permettant dentrer dans une amlioration permanente de la stratgieet de la performance. Ses auteurs, Robert Kaplan et David Norton, ledcrivent comme suit : Le BSC prend en compte les rsultats financierstraditionnels, mais ces rsultats nclairent que le pass, ce qui convenait lre industrielle, avec des investissements long terme et une relationclient peu prsente. Ces lments financiers sont inadapts, cependant,pour piloter les entreprises de lre de linformation qui doivent construireleur future valeur au travers de linvestissement dans leurs clients, leursfournisseurs, leurs employs, leurs processus, leur technologie et leurinnovation.

    Dans leur livre, The Balanced Scorecard: Translating Strategy into Action, traduiten franais sous le titre Le tableau de bord prospectif, Robert Kaplan et DavidNorton proposent un instrument de pilotage qui prsente lorganisationsous quatre facettes : finance, client, processus internes et construction dufutur. Il est dsormais acquis que cette approche conduit une bonnevision de la gouvernance dentreprise.

    Livre CobiT.book Page 12 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 2 Les autres rfrentiels de la gouvernance des TI

    13

    Cette reprsentation valable pour lentreprise peut galement tre utilisepour la gouvernance des systmes dinformation.

    Dans cette reprsentation, le cadran 4, Performances oprationnelles,sintresse aux processus informatiques qui peuvent faire lobjet de bench-marks et dindicateurs concrets, au sein de lentreprise ou dune entreprise une autre. Les efforts mens sur ce cadran sont typiquement du ressortde la DSI qui cherche se professionnaliser au mieux. Dans cet effort deprogression, elle doit tenir compte de deux contraintes :

    clients et utilisateurs (cadran 2), la fois sous langle du niveau deservice rendre, mais aussi de la consommation du service ;

    contribution et alignement (cadran 1), qui mettent linformatiquesous contrainte de cots, de flexibilit et de performance.

    Le cadran 3, Futur et anticipation, reprsente la veille quil faut mener pouroptimiser 3, 4 ou 5 ans le systme dinformation (choix dinvestissement,recrutements, externalisation, etc.).

    La DSI pilote directement les cadrans 3 et 4, sous contrainte des cadrans 1et 2.

    Figure 2-1 : Les quatre cartes stratgiques du Balanced Scorecard (BSC)

    Clients et utilisateurs

    Niveaux de services (SLA)Conformit aux besoins

    Exigences rglementaires Respect du budget

    Niveau de demande

    Indicateurs

    Qualit du service vs SL A Satisfaction des utilisateurs et clients

    Rclamations

    Contribution et alignement

    Contrle des cots Rduction des cots ROI / Automatisation

    V aleur adaptative Management de valeur

    Indicateurs

    Budget informatique Benchmarks

    Performance de l entreprise

    Futur et anticipation

    Gestion des comptences Sourcing / Achats

    V eille technologique Architecture technique

    Urbanisation

    Indicateurs

    Influence sur : performances

    cots niveaux de services

    Performances oprationnelles

    Approvisionnements Conduite de projets

    Maintenance des applications Exploitation , Administration

    Support ...

    Indicateurs

    Performances Benchmarks et tendances

    Cots standards

    Livre CobiT.book Page 13 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    14

    Le management de la scurit

    Plusieurs normes, mthodes et rfrentiels de bonnes pratiques en matirede scurit des systmes dinformation sont disponibles. Ils constituent desguides mthodologiques ainsi que les moyens de garantir une dmarche descurit cohrente.

    LISO a entrepris un vaste effort de rationalisation des travaux existants,donnant naissance la srie de normes ISO/IEC 27000. Ce nombre corres-pond la rservation dune srie de normes relatives la scurit. cejour, seules les normes 27000, 27001, 27002 et 27006 sont publies. Cer-taines sont obligatoires pour obtenir une certification, les autres ne sontque de simples guides :

    la norme ISO/IEC 27000 prsente le vocabulaire et les dfinitions dudomaine de la scurit, applicables chacun des standards ;

    la norme ISO/IEC 27001 dcrit la politique du management de la scu-rit des systmes dinformation au sein dune entreprise qui sert de rf-rence la certification ;

    la norme ISO/IEC 27002 constitue le guide de bonnes pratiques de lascurit des SI ;

    la norme ISO/IEC 27003 a pour vocation dtre un guide dimplmen-tation ;

    la norme ISO/IEC 27004 sera un nouveau standard pour le pilotage desindicateurs et des mesures dans le domaine de la scurit des SI ;

    la norme ISO/IEC 27005 sera un nouveau standard sur le managementdes risques pour la scurit des SI ;

    la norme ISO/IEC 27006 rsume les exigences applicables aux auditeursexternes dans leur mission de certification sur lISO 27001.

    La norme ISO/IEC 27001

    La norme ISO/IEC 27001, publie en novembre 2005, dfinit la politique dumanagement de la scurit des SI au sein dune entreprise. Elle est issuede la spcification BS 7799-2:1999 (Specification for Information Security Mana-gement Systems) qui dfinit les exigences respecter pour crer un ISMS(Information Security Management System). Elle spcifie en annexe certainscontrles de scurit, tirs de la norme ISO/IEC 17799, dont la mise enoeuvre est obligatoire. La norme ISO 27001 comprend six domaines deprocessus.

    Dfinir une politique de la scurit des informations.

    Dfinir le primtre du systme de management de la scurit de linfor-mation.

    Livre CobiT.book Page 14 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 2 Les autres rfrentiels de la gouvernance des TI

    15

    1. La certication dun systme de management de la scurit de linforma-tion (SMSI) suppose un cadre de rfrence qui permette de tra-cer les mesures qui ont t retenues et celles qui ont t cartes, cest le SoA (Statement of Availa-bility).2. Limplmentation dun processus nest rien sans la mise en uvre de sa boucle damlioration ou roue de Deming. Elle consiste implmen-ter un processus, le mettre en uvre, en mesurer les rsultats puis lamliorer et ceci rgulirement.

    Raliser une valuation des risques lis la scurit.

    Grer les risques identifis.

    Choisir et mettre en uvre les contrles.

    Prparer un SoA1 (Statement of Applicability).

    Comme la norme ISO 9001, lISO/IEC 27001 porte autant sur lexistencedes dispositions mises en place, que sur leur efficacit et ltablissementdune boucle damlioration2 (PDCA, pour Plan-Do-Check-Act).

    Les normes ISO/IEC 17799 et ISO/IEC 27002

    La norme ISO/IEC 17799 de 2005, renomme ISO/IEC 27002, spcifie unepolitique de la scurit des systmes dinformation qui se prsente commeun guide de bonnes pratiques.

    De faon schmatique, la dmarche de scurisation du systme dinformationdoit passer par quatre tapes de dfinition.

    1. Primtre protger (liste des biens sensibles).

    2. Nature des menaces.

    3. Impact sur le systme dinformation.

    4. Mesures de protection mettre en place.

    La norme ISO/IEC 27002 fournit des exemples et des indications sur lesniveaux 1 3, et liste pour le niveau 4 une srie de mesures mettre enplace. Elle comporte 39 catgories de contrle et 133 points de vrificationrpartis en 11 domaines.

    Politique de scurit.

    Figure 2-2 : La boucle PDCA applique au SMSI

    Principe dun systme de management de la scurit de linformation (SMSI )

    tablir le SMSI

    Mettre en place et exploiter le SMSI

    Contrler et revoir le SMSI

    Maintenir et amliorer le SMSI

    Plan

    Do

    Check

    Ac t

    Planifie r : L organisation doit - dfinir la politique et le primtre

    du SMSI - identifier et dfinir les objectifs SM

    Intgr - manager par les processus et des

    plans dactions associes - prparer le dcret dapplication

    Raliser : L organisation doit - formaliser et mettre en place un SMSI

    - mettre en place des actions de mise en uvre du SMSI

    Agir : L organisation doit - mettre en place les amliorations

    identifies dans le SMSI - entreprendre les actions correctives

    et prventives appropries - maintenir la communication avec

    toutes les parties prenantes - valider/dcider des amliorations

    Vrifier : L organisation doit - avoir des procdures de contrles - conduire priodiquement des

    revues def ficacit du SMSI - revoir les objectifs SMSI - conduire des audits internes du

    SMSI intervalles planifis

    Livre CobiT.book Page 15 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    16

    Organisation de la scurit :

    organisation humaine, implication hirarchique ;

    notion de propritaire dune information et mode de classification ;

    valuation des nouvelles informations ;

    mode daccs aux informations par une tierce partie ;

    cas de lexternalisation des informations.

    Classification et contrle des biens.

    Scurit du personnel.

    Scurit physique :

    organisation des locaux et des accs ;

    protection contre les risques physiques (incendies, inondations) ;

    systmes de surveillance et dalerte ;

    scurit des locaux ouverts et des documents circulants.

    Communication et exploitation :

    prise en compte de la scurit dans les procdures de lentreprise ;

    mise en uvre des systmes de scurisation (antivirus, alarmes).

    Contrle daccs :

    dfinition des niveaux dutilisateurs et de leur droit daccs ;

    gestion dans le temps des droits.

    Acquisition, dveloppement et maintenance des systmes.

    Gestion des incidents.

    Management de la continuit de service.

    Conformit :

    dispositions rglementaires ;

    dispositions lgales ;

    dispositions internes (politique).

    La norme ISO/IEC 27002 est oriente processus et son application dpassede ce fait les simples aspects de technique informatique. Elle sintresse lorganisation du personnel ainsi quaux problmes de scurit physique(accs, locaux).

    Les critres communs (ISO/IEC 15408)

    OrigineLa norme ISO/IEC 15408 propose des critres communs dvaluation de lascurit des technologies de linformation (Common Criteria (CC) for Informa-tion Technology Security Evaluation). Destine avant tout aux industriels dusecteur informatique, cette norme permet lvaluation des produits (mat-riels, logiciels) au niveau international. Elle dfinit les procdures et les

    Livre CobiT.book Page 16 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 2 Les autres rfrentiels de la gouvernance des TI

    17

    mesures techniques mises en place dans le cycle de vie dun systmedinformation pour fournir une base de comparaison sur les caractris-tiques de scurit.

    Laccord dit CCRA (Common Criteria Recognition Arrangement) a runi 7 payscapables de dlivrer des certifications, savoir lAllemagne, lAustralie, laNouvelle-Zlande, le Canada, les tats-Unis, la France et la Grande-Bretagne.Plusieurs autres pays (Finlande, Grce, Italie, Isral, Japon, Pays-Bas, Norvgeet Espagne) nont pas de structure de certification mais reconnaissent la vali-dit des critres communs (CC). Cet accord reprend notamment lesnormes ITSEC en Europe et TCSEC (Livre Orange) aux tats-Unis, etpermet de dfinir et de valider un certain niveau de scurit atteindre.

    Dnition des critres communs (CC)Les documents dcrivant les CC sont disponibles sur le site de la DCSSI(Direction centrale de la scurit des systmes dinformation) ladressehttp://www.ssi.gouv.fr/fr/confiance/methodologie.html. La DCSSI estlautorit nationale franaise de rgulation de la scurit des systmesdinformation ; elle dpend du Premier ministre. Les critres communssont structurs en trois publications :

    introduction et modle gnral ;

    exigences fonctionnelles de scurit ;

    exigences dassurance de scurit.

    La norme introduit plusieurs concepts fondamentaux :

    TOE (Target of Evaluation) : dsignation de lobjet certifier ;

    PP (Protection Profile) : ensemble type dexigences de scurit pour unecatgorie de produits ;

    ST (Security Target) : niveau de scurit spcifique souhait pour le produit valuer ;

    les composants, qui reprsentent les ensembles lmentaires dexigencesde scurit.

    Les systmes concerns par les critres communsLes systmes et produits concerns sont, bien sr, ceux consacrs lascurit des systmes dinformation :

    antivirus ;

    authentification, PKI/KMI ;

    contrle biomtrique ;

    pare-feu (firewalls) ;

    IDS ;

    systmes daccs ;

    etc.

    Livre CobiT.book Page 17 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    18

    Et aussi les dispositifs ddis aux communications :

    gestionnaires de rseaux ;

    routeurs, switchs, hubs ;

    VPN ;

    etc.

    voire les systmes dexploitation eux-mmes.

    Les niveaux dvaluationLa certification propose 7 niveaux dassurance dvaluation (EAL, EvaluationAssurance Level) des critres communs.

    Le distinguo entre conu mthodiquement et conu de faon semi-formelle ou formelle, rside dans lemploi ou non de techniques ding-nierie scurise avres.

    Les CC sont utiliss pour certifier les objectifs dvaluation (TOE) parrapport aux niveaux dvaluation garantir (EAL).

    Chaque certification concerne une cible prcise (dsignation du systmeou du primtre concern par la certification). Une telle cible peut tre, parexemple :

    un systme dexploitation ;

    un rseau informatique ;

    une application.

    La cible est libre, cest le demandeur qui la dfinit. Elle peut tre dcritesoit par un constructeur, soit par toute autre organisation (entreprisecliente, pays, administration) qui demande la certification dun produit.Chaque certificat possde sa propre cible dvaluation, nomme TOE.

    Tableau 2-1 : Niveaux dvaluation (EAL, Evaluation Assurance Level) des critres communs

    Niveau dvaluation Critre

    EAL1 Test fonctionnellement.

    EAL2 Test structurellement.

    EAL3 Test et vri mthodiquement.

    EAL4 Conu, test et vri mthodiquement.

    EAL5 Conu de faon semi-formelle et test.

    EAL6 Conception vrie de faon semi-formelle et teste.

    EAL7 Conception vrie de faon formelle et teste.

    Livre CobiT.book Page 18 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 2 Les autres rfrentiels de la gouvernance des TI

    19

    Les composants

    La politique de scurit est dcrite laide de composants qui constituentdes ensembles dexigences de scurit. On trouve des composants fonc-tionnels (exigences fonctionnelles) et des composants dassurance (garan-ties apportes). Par exemple, une famille de composants est ddie laprotection des donnes de lutilisateur, une autre la gestion de la confi-guration.

    PP (Protection Profile)

    Pour guider les concepteurs et les valuateurs, il existe des ensembles decritres prdfinis, les profils de protection (on en compte prs de 1 000).

    Un PP dfinit un ensemble dobjectifs et dexigences pour une catgorie deproduits. Par exemple, le CELAR (Dlgation gnrale pour larmement,DGA) a rdig un profil pour pare-feu protection leve afin dinter-connecter deux rseaux ayant des politiques de scurit diffrentes. Leniveau vis est EAL5+.

    ST (Security Target)

    Le ST contient la description des menaces et des objectifs de scuritdu produit certifier. Il indique comment on veut valuer le produitet jusquo on veut aller en matire de scurit. Le ST est rdig partirdu PP.

    Au final, cest la DCSSI qui valide lagrment et dlivre le certificat.

    ITIL: le management des services

    Dvelopp par lOGC pour le gouvernement britannique, ITIL (InformationTechnology Infrastructure Library) se prsente comme une srie de livres dcri-vant les bonnes pratiques pour le management des services TI. Sonapproche est davantage oriente sur le quoi faire que sur le commentfaire .

    Les principes qui sous-tendent ITIL sont lorientation client, la prise encompte, en amont de tout projet, des exigences de services et lapprocheprocessus. ITIL est devenu un standard de fait, au moins pour le primtredes centres dassistance et des oprations.

    Ceci tant, lanne 2007 a marqu une tape assez dcisive, presque unschisme, puisque au moment mme o lISO se basait sur ITIL V2 pourpublier la norme ISO/IEC 20000, on assistait au lancement dITIL V3. cejour, la population des utilisateurs dITIL reflte surtout les dploiementsdITIL V2.

    Livre CobiT.book Page 19 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    20

    ITIL V2 et la norme ISO/IEC 20000

    1. ITIL V2 est un rf-rentiel trs rpandu, en DSI comme chez les infogrants. Il per-met de structurer les processus et lorgani-sation des oprations partir des centres de support (help desks, services desks). Son succs est en partie d au systme dinfor-mation dont il se dote (gestion des appels, des problmes, etc.) et la base de don-nes des composants (CMDB) quil permet de renseigner.

    La structure dITIL V21 fait apparatre sept domaines, dont les deux plus uti-liss sont Fourniture des services (Service Delivery) et Soutien des services (Ser-vice Support). Ils correspondent la couverture de la certification ISO/IEC 20000. Le domaine Fourniture des services concerne le moyen terme (planifi-

    cation et amlioration de la fourniture de services) et comprend : la gestion des niveaux de services ; la gestion financire ; la gestion de la capacit ; la gestion de la continuit de service informatique ; la gestion de la disponibilit.

    Le domaine Soutien des services se focalise sur le quotidien et comprend : le centre de services (Service Desk) ; la gestion des incidents ; la gestion des problmes ; la gestion des configurations ; la gestion des changements ; la gestion des mises en production.

    Cette sparation en domaines est trs pratique dans la mesure o elle dis-tingue des ensembles cohrents de processus tout en diffrenciant le quo-tidien (court terme) du moyen terme. Enfin, il est manifeste quelimplmentation de ces deux domaines constitue la fois une premiretape pour la gouvernance TI et un minimum en la matire.La prsentation de la certification ISO/IEC 20000 est lgrement diffrentedans le regroupement des processus mais reprend lensemble des pro-cessus dITIL V2.Par ailleurs, les cinq domaines couverts par ITIL V2 ne faisant pas lobjet decertification sont : Business Perspective, qui concerne les questions dorganisation (organisation

    de la production, relations entre les diffrentes rles, fonctions et respon-sabilits, relations avec les fournisseurs et prestataires externes) ;

    Application Management, qui concerne la gestion des relations entre tudes etexploitation (support applicatif, changement logiciel, mise en production) ;

    ICT Infrastructure Management, qui concerne le cycle de vie de linfrastruc-ture (automatisation, maintenance, installation) ;

    Security Management, qui concerne le pilotage de la scurit informatique ; Planning to Implement Service Management, qui concerne la mise en place

    dune orientation client au sein de la DSI. chaque fois, ITIL adopte la mme description des bonnes pratiques(objectifs, primtre, concepts, bnfices et difficults, mise en place, acti-vits, indicateurs et annexes).

    Livre CobiT.book Page 20 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 2 Les autres rfrentiels de la gouvernance des TI

    21

    ITIL V3

    Apparue en 2007, la version V3 du rfrentiel ITIL est base sur cinq livresprincipaux prconisant des bonnes pratiques, proposant des complmentspar secteur ou par march ainsi que des modles gnriques (cartes deprocessus, etc.).

    Service Strategy dcrit la stratgie gnrale et lapport de valeur des services.Il traite de lalignement avec les mtiers et la gouvernance des TI.

    Service Design propose des procdures, des architectures et des documentspour crer les processus de management des services.

    Service Transition propose des guides pour intgrer concrtement lesprocessus de gestion des services entre mtiers et oprations.

    Service Operation propose des guides pour raliser les objectifs de qualitde service dans un souci defficacit et defficience.

    Continual Service Improvement propose des guides pour identifier et am-liorer les processus. Il combine les mthodes du management de laqualit et la boucle damlioration PDCA.

    ITIL V3 ne donne pas lieu la certification des organisations. Cette nou-velle version met laccent sur la boucle damlioration continue des ser-vices offerts aux clients de la DSI. Par rapport la version antrieure, ellecomprend galement une dimension stratgique qui se rapproche delalignement stratgique cher CobiT.

    Figure 2-3 : Schma des processus de gestion des services de la norme ISO/IEC 20000-1:2005

    Processus de contrle Gestion des configurations

    Gestion des changements

    Processus de fourniture de services

    Gestion des niveaux de services

    Rapport sur le service

    Gestion de la capacit

    Gestion de la continuit et de la disponibilit du service

    Gestion de la scurit de linformation

    Budgtisation et comptabilisation des

    services informatiques

    Processus de rsolution Gestion des incidents

    Gestion des problmes Gestion des fournisseurs

    Processus de mise en production

    Gestion des mises en production

    Gestion des relations commerciales

    Processus de gestion des relations

    Livre CobiT.book Page 21 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    22

    Le management des tudes

    Le CMMI et la norme ISO/IEC 15504Le rfrentiel CMMI est destin aux entreprises qui cherchent matriserleur usine de dveloppement de systmes ou de logiciels. En ce sens, leCMMI sadresse soit aux trs grands comptes ayant un service tudesimportant, soit aux grandes socits de services ou intgrateurs. Le CMMIne se substitue pas une gestion de projet informatique au sens tradi-tionnel. Au contraire, il sappuie sur les mthodes (management de projetinformatique, valuation des charges et des cots, planification, etc.) sous-jacentes aux projets.

    En tant que rfrentiel de bonnes pratiques, le CMMI comprend principa-lement 25 domaines de processus, correspondant un dcoupage delenvironnement de dveloppement (gestion des exigences, planificationde projet, validation). Chaque domaine de processus contient des objec-tifs atteindre, ainsi que la description des pratiques auxquelles il sera faitappel (planifier les processus, fournir les ressources, assigner les respon-sabilits, former les personnes).

    1. SPICE (Software Process Improvement and Capability dEter-mination) est le nom du rfrentiel sous-tendant la norme ISO/IEC 15004.

    Mentionnons pour mmoire la norme ISO/IEC 15504 (SPICE1) qui permetde certifier la capacit des organisations produire du logiciel. Ellesapplique plus aux logiciels industriels ou des systmes, et concernerarement la DSI. Cette norme prsente des similarits avec le CMMI(modle de maturit, par exemple).

    Lintgration des diffrents modles CMMAu fil des annes, la famille CMM (Capabilty Maturity Model) sest agrandieavec lapparition des lments suivants :

    CMM ou SW-CMM (Capability Maturity Model for Software) correspond aumodle original cr en 1991 pour auditer les structures de dveloppe-ment de logiciel. Son succs explique quil soit lorigine de plusieursdclinaisons ultrieures ;

    SE-CMM (System Engineering), destin au dveloppement des systmes ;

    SA-CMM (Software Acquisition), consacr aux mthodes dacquisition deslogiciels ;

    P-CMM (People), qui sintresse aux processus de gestion du personnel ;

    CMMI amliore et intgre depuis 2000 lensemble des autres modles.

    Certaines organisations sont restes SW-CMM mais CMMI est devenu unstandard du fait des grandes entreprises mondiales dont le mtier est de

    Livre CobiT.book Page 22 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 2 Les autres rfrentiels de la gouvernance des TI

    23

    produire des logiciels. Les entreprises indiennes ont jou un rle majeurdans la gnralisation du standard, en faisant un pralable de qualificationdans les consultations.

    Le modle de maturit

    Le CMMI sintresse la qualit de lorganisation et la matrise des pro-cessus. Il propose une dmarche stricte pour valuer les processus etdfinir des plans damlioration continue, ce qui constitue dailleurs lestandard des modles de maturit. Son modle de maturit en 5 tages estdevenu une rfrence de description des modles de maturit.

    Initial

    Procdures et autorit mal dfinies. La russite des projets dpend dusavoir-faire de quelques personnes cls. Aucune ou mauvaise applica-tion des principes du gnie logiciel. Difficult matriser les cots et lesdlais.

    Reproductible

    Utilisation de mthodes standards pour grer les activits de dvelop-pement. Le dveloppement est planifi et suivi. Lquipe matrise etapplique des rgles. Bonne gestion des cots et des dlais.

    Dfini

    Utilisation des mthodes du gnie logiciel et application des normes.Lefficacit de chaque processus est vrifie et les meilleures pratiquessont mises en avant. Processus bien dfini et raisonnablement compris.

    Matris

    Collecte et analyse systmatique des donnes sur les processus. Lesprocessus sont mesurs, les risques calculs et devancs. Processusbien compris, quantifis, mesurs et raisonnablement matriss.

    Optimis

    Utilisation des donnes pour lamlioration itrative des processus,capitalisation de lexprience. Tous les processus sont optimiss et toutesles volutions sont apprhendes. Matrise des processus.

    Deux modles de reprsentation sont proposs selon que lon sintresse la maturit de chacun des processus ou celle de lorganisation.

    Le modle continu (continuous) : moins utilis, il rpond un souci demise en avant partielle de certains processus.

    Le modle tag (staged) : cest le modle original en cinq niveaux. Ilrpond un souci de progression et damlioration des processus.

    Le niveau 1 est le niveau de dpart. Les organisations bien rodes se satis-feront des niveaux 2 et 3, ce dernier attestant de processus jugs gnrale-ment suffisamment optimiss et scuriss. Les niveaux 4 et 5 sont lapanage

    Livre CobiT.book Page 23 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    24

    des structures trs ractives, capables de surveiller et damliorer enpermanence leur activit.

    Il nexiste pas de certification CMMI au sens de lISO. Il y a cependant desmthodes qui permettent de situer le niveau de maturit dune entreprisevis--vis du dploiement du CMMI. La plus complte est SCAMPI (StandardCMMI Appraisal Method for Process Improvement). Cette mthode est appliquepar des auditeurs certifis aptes dlivrer une reconnaissance de niveaude maturit pour une organisation donne.

    Les modles qualit

    La norme ISO 9001

    LISO 9001 dcrit les exigences pour un systme de management de la qua-lit en vue dune certification de lorganisme qui le met en uvre ou desatisfaire une volont de ses clients. Cette norme est un outil de mana-gement destin aux organisations afin de matriser la chane client-four-nisseur en :

    donnant confiance aux clients dans la capacit de lentreprise matriser tous ses processus impliqus dans la livraison des produits/services ;

    modlisant les organisations selon un rfrentiel commun.

    La mise en uvre de lISO 9001 repose sur les principes suivants :

    lcoute client ;

    le leadership ;

    limplication du personnel ;

    lapproche processus ;

    le management par approche systme ;

    lamlioration continue ;

    lapproche factuelle pour la prise de dcision ;

    les relations mutuellement bnfiques avec les fournisseurs.

    Repre : le CMMI

    Le dploiement de CMMI est un projet de transformation trs srieux. Il ncessite la fois une bonne description des processus, un systme dinformation associ, unevritable conduite du changement et la standardisation des pratiques en termesde pilotage de projets. On compte au minimum 18 mois pour tre niveau 2, et18 mois de plus pour passer niveau 3. En France, le nombre dorganisations deniveau 3 est sans doute infrieur 10 !

    Livre CobiT.book Page 24 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 2 Les autres rfrentiels de la gouvernance des TI

    25

    La certification sappuie une valuation de lorganisation ayant mis enuvre un systme de management selon un primtre dactivit bien iden-tifi. Lvaluation consiste apprcier si le systme est bien document etsi sa mise en uvre fournit les rsultats attendus par rapport la politiqueet aux objectifs fixs par la direction.

    Une caractristique importante de lISO 9001 est son caractre gn-rique. Ainsi, cette norme ne spcifie aucun processus li un mtierparticulier, et il appartient chaque organisation den dfinir le nombreet la porte.

    Cest dailleurs ce caractre qui a permis sa grande diffusion en permettant lensemble des acteurs industriels de disposer dun standard communapplicable quel que soit leur secteur dactivit.

    Le modle EFQMLe modle EFQM, propos par lEuropean Foundation for Quality Management,est un modle dexcellence destin aux organismes qui dsirent satisfairede faon durable toutes les parties prenantes par leurs ralisations et leursmthodes.

    Le modle EFQM repose sur les principes fondamentaux suivants :

    lorientation rsultats ;

    lorientation clients ;

    le leadership et la constance des objectifs ;

    le management par les processus et les faits ;

    le dveloppement et limplication des personnes ;

    lapprentissage, linnovation et lamlioration ;

    le dveloppement des partenariats ;

    la responsabilit sociale/socitale de lorganisation.

    La mise en uvre de ces principes sappuie sur trois phases de maturitdiffrentes :

    la phase Initiation ;

    la phase Ralisation ;

    la phase Maturit.

    Le modle EFQM est une reprsentation non normative dune organisationselon neuf critres rpartis en deux catgories, moyens et rsultats.

    Les critres de moyens concernent la faon dont lorganisation gre sesactivits cls. Ils sont les suivants :

    leadership ;

    personnel ;

    Livre CobiT.book Page 25 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    26

    politique et stratgie ;

    partenariats et ressources ;

    processus.

    Les critres de rsultats concernent la faon dont les rsultats de lorga-nisation sont obtenus. Ils sont les suivants :

    rsultats pour le personnel ;

    rsultats pour les clients ;

    rsultats pour la collectivit ;

    rsultats performances cls.

    Le modle EFQM a t conu pour fournir une reconnaissance de lexcel-lence travers un trophe annuel. Il se base sur une valuation des organi-sations candidates selon les neufs critres. Chaque catgorie de critresest note sur 500 points. Lorganisation candidate qui a obtenu le plusgrand nombre de points se voit dcerner le trophe.

    Le dveloppement durable

    Sujet en vogue actuellement, le dveloppement durable est en mmetemps source de confusion. De quoi parle-t-on : du volet social ? du voletcologique ? et sur quel primtre ? de la DSI pour elle-mme ou pourlensemble des impacts des SI de lentreprise sur lenvironnement ?

    En rgle gnrale, les fournisseurs communiquent sur le volet cologique(Green IT) pour dmontrer leur engagement dans les conomies dnergie,lconomie du papier ou le recyclage en gnral. Ils peuvent aussi, commeSAP, en profiter pour commercialiser un module supplmentaire de lERPpour aider leur client grer ces aspects.

    Figure 2-4 : Les critres du modle EFQM

    Leadership ProcessusRsultats

    Performance Cls

    Personnel

    Politique et stratgie

    Partenariat & ressources

    Rsultat collectivit

    Rsultats client

    Rsultats personnel

    Moyens Rsultats

    Innovation et apprentissage

    Livre CobiT.book Page 26 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 2 Les autres rfrentiels de la gouvernance des TI

    27

    Concernant les DSI, on leur demande parfois de se conformer aux normesde la srie ISO 14000 qui permettent de piloter lincidence des activitsdune organisation sur lenvironnement. Il est frquent de coupler ladmarche de certification ISO 14001 avec lensemble des rfrentiels appli-cables la DSI.

    En rsum

    Il y a beaucoup de rfrentiels qui concernent la DSI ; ceci met en videncela ncessit de trouver un langage commun, de crer une convergenceentre ces diffrentes approches. En effet, mme si chacun dentre eux a saraison dtre, il nest pas possible de piloter une DSI sans en unifier le lan-gage et les processus.

    Parmi les incontournables, citons surtout : ITIL, ISO 27001/27002 etISO 14001, le tout dans une logique damlioration continue au service duclient (ISO 9001).

    Livre CobiT.book Page 27 Lundi, 1. dcembre 2008 2:48 14

  • Livre CobiT.book Page 28 Lundi, 1. dcembre 2008 2:48 14

  • 29

    Chapitre 3

    Apprhender CobiT

    Le rfrentiel CobiT a suscit toute une srie de travaux et de publications.Dans les premires versions, V3 et antrieures, la publication principaletait le guide daudit. partir de la version 4, cest le guide de managementqui est devenu le principal ouvrage descriptif de CobiT.

    Dans ce chapitre, CobiT est dcrit en termes de structure gnrale etdapproche travers plusieurs points de vue : celui du guide de manage-ment pour CobiT V4.1, qui constitue le document de base, puis ceux dediverses ressources. En complment, il est utile de consulter priodique-ment le site http://www.isaca.org pour connatre les dernires publicationsproposes.

    La suite de cet ouvrage a pour vocation de fournir un guide de lecture pourtous ceux qui souhaitent mettre en uvre CobiT au sein de leur organisationinformatique.

    Description gnrale

    CobiT offre un cadre de rfrence de contrle structur des activits infor-matiques selon 34 processus rpartis en quatre domaines :

    Planifier et Organiser ;

    Acqurir et Implmenter ;

    Dlivrer et Supporter ;

    Surveiller et valuer.

    Livre CobiT.book Page 29 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    30

    La figure 3-1 prsente les diffrents domaines et processus associs.

    Les composants de CobiT

    Les quatre domaines de CobiT regroupent des ensembles cohrents deprocessus. Le domaine PO reprsente la dimension stratgique de la gou-vernance des TI. Le domaine AI rassemble tous les processus qui impac-tent les ressources, de lacquisition limplmentation : on y trouve aussibien les projets que la mise en exploitation. Le domaine DS est consacraux services offerts aux clients de la DSI. Enfin, le domaine SE couvre lar-gement la dimension de contrle, daudit et de surveillance de lensemble.

    Les processus de CobiTPour chacun des 34 processus, CobiT en dcrit le primtre et lobjet pourensuite lister et dvelopper :

    les objectifs de contrle destins aux auditeurs informatiques, quisont dtaills dans dautres publications ;

    un guide de management inscrit dans une logique de gouvernance des SI ;

    un modle de maturit propre chaque processus.

    Figure 3-1 : Organisation du rfrentiel CobiT

    Ressources

    Information

    Comptences Information Application s Infrastructure

    Ef ficacit Ef ficienc e Confidentialit Intgrit Disponibilit Conformit Fiabilit

    Objectifs mtier Objectifs de la gouvernance

    Cadre de rfrence gnral de CobiT

    Planifier et Organiser

    PO1 Dfinir un plan informatique stratgique

    PO2 Dfinir larchitecture de linformation PO3 Dterminer lorientation technologique PO4 Dfinir lorganisation,

    les relations de travail PO 5 G rer linvestissement informatique PO 6 F aire connatre les buts et les

    orientations du management PO 7 G rer les ressources humaine s PO 8 G rer la qualit PO9 Evaluer les risques PO10 Grer les projet s

    Acqurir et Implmente r

    AI 1 T rouver des solutions informatiques AI2 Acqurir des applications et en

    assurer la maintenanc e AI3 Acqurir une infrastructure technique

    et en assurer la maintenanc e AI4 Faciliter le fonctionnement et

    lutilisation AI5 Acqurir des ressource s

    informatiques AI6 Grer les changement s AI 7 I nstaller et valider les solutions et les

    modification s

    Dlivrer et Supporte r

    DS1 Dfinir et grer les niveaux de services

    DS 2 G rer les services tier s DS 3 G rer la performance et la capacit DS4 Assurer un service continu DS5 Assurer la scurit des systmes DS6 Identifier et imputer les cot s DS 7 I nstruire et former les utilisateur s DS 8 G rer le service dassistance

    client et les incident s DS 9 G rer la configuration DS10 Grer les problmes DS 11 Grer les donnes DS12 Grer lenvironnement physique DS13 Grer lexploitatio n

    Surveiller et Evalue r

    SE1 Surveiller et valuer la performance des SI

    SE2 Surveiller et valuer le contrle interne

    SE3 Sassurer de la conformit rglementaire

    SE4 Grer la gouvernance des SI

    Livre CobiT.book Page 30 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 3 Apprhender CobiT

    31

    Les critres dinformation

    Pour la gouvernance des TI, CobiT prend en compte une trs richesegmentation de linformation selon des critres prcis (efficacit, effi-cience, confidentialit, intgrit, disponibilit, conformit et fiabilit).Ces critres correspondent aussi bien au point de vue dun auditeur qucelui du manager :

    efficacit : la mesure par laquelle linformation contribue au rsultatdes processus mtier par rapport aux objectifs fixs ;

    efficience : la mesure par laquelle linformation contribue au rsultatdes processus mtier au meilleur cot ;

    confidentialit : la mesure par laquelle linformation est protge desaccs non autoriss ;

    intgrit : la mesure par laquelle linformation correspond la ralitde la situation ;

    disponibilit : la mesure par laquelle linformation est disponible pourles destinataires en temps voulu ;

    conformit : la mesure par laquelle les processus sont en conformitavec les lois, les rglements et les contrats ;

    fiabilit : la mesure par laquelle linformation de pilotage est perti-nente.

    Les ressources informatiques

    Cette dnomination regroupe les quatre classes suivantes : applications,informations, infrastructures et personnes.

    Application : les systmes automatiss et les procdures pour traiterlinformation.

    Infrastructure : les technologies et les installations qui permettent letraitement des applications.

    Information : les donnes, comme entres ou sorties des systmesdinformation, quelle que soit leur forme.

    Personnes : les ressources humaines ncessaires pour organiser, planifier,acqurir, dlivrer, supporter, surveiller et valuer les systmes dinformationet les services.

    Objectifs mtier et objectifs informatiques

    De faon globale, CobiT propose 20 objectifs mtier rpartis selon lesquatre axes dun BSC, savoir : perspective financire, perspectiveclient, perspective interne la DSI, et perspective future ou anticipation.

    Livre CobiT.book Page 31 Lundi, 1. dcembre 2008 2:48 14

  • Partie I CobiT et la gouvernanceTI

    32

    Ces 20 objectifs mtier renvoient 28 objectifs informatiques, eux-mmes lis aux processus CobiT, un mme objectif informatique tantassoci un ou plusieurs processus CobiT. Ainsi, CobiT offre une transi-tivit entre objectifs mtier et informatiques, processus et activits.Cette structuration permet dobtenir une sorte de synthse de la gouver-nance des SI.

    Les processus dans CobiT V4.1

    Chaque processus est dcrit sur quatre pages, ce qui correspond lapproche gnrale, laudit, le management du processus et le modle dematurit.

    Les objectifs de contrle

    Les objectifs de contrle sont dcrits en termes dattendus rsultant de lamise en uvre des processus. Des documents plus dtaills (IT AssuranceGuide: Using CobiT) dclinent la structure de contrle des fins opration-nelles. Il apparat clairement que CobiT est un outil oprationnel pour lesauditeurs qui y trouveront toute la matire ncessaire pour tablir desquestionnaires et des grilles dinvestigation.

    Le guide de management

    La page consacre au guide de management comprend un descriptif desentres-sorties du processus, un RACI avec rles et responsabilits asso-cis aux activits du processus, et enfin, une proposition dindicateurs decontrle.

    Les activits

    CobiT distingue les objectifs de contrle (vision destine lauditeur) desactivits (vision management). Cette distinction peut surprendre car laliste des activits reprend certains objectifs de contrle dans ses intituls.Parfois, ces activits sont directement extraites de la description desobjectifs de contrle. De plus, les activits sont listes mais non dcrites.Le lecteur doit donc faire leffort de dterminer dans la description desobjectifs de contrle ce qui relve de la description dactivit. Il devraitdcortiquer chaque objectif de contrle en tentant disoler linformationattache aux activits, aux instances/organisations, aux fonctions, auxdocuments/livrables et enfin au contexte.

    Pour la mise en uvre de CobiT, partir des activits est intressant conditionde ne pas sy enfermer. Il vaut mieux prendre cette liste comme un pense-bte pour donner du corps une description personnalise en fonctionde lorganisation.

    Livre CobiT.book Page 32 Lundi, 1. dcembre 2008 2:48 14

  • Chapitre 3 Apprhender CobiT

    33

    Les responsabilits et fonctions dans CobiT (RACI)CobiT ne distingue pas moins de 19 parties prenantes ou fonctions pour lagouvernance des systmes dinformation. Chacune delles peut avoir un ouplusieurs rles pour chaque activit.

    1. RACI : en anglais Responsible, Accoun-table, Consulted, Informed, traduit par R