Pages

Rechercher un article dans bouhajm

vendredi 30 mars 2012

Présentation CobiT


Comme nous l’avons vu dans l’article sur l’IT Governance les dirigeants des entreprises ont décidé de mettre en place des systèmes de contrôle ou de référence interne pour les guider dans la gouvernance de leur SI.
Le CobiT (Control Objectives for Information and related Technology – Objectifs de contrôle de l’Information et des Technologies Associées) est devenu un des socles essentiels de la gouvernance des SI. Il aide à intégrer les meilleures pratiques en technologies de l’information et fait partie des référentiel général de la gouvernance des SI qui permet de comprendre et de gérer les risques et les bénéfices qui leurs sont associés.

Le CobiT a été développé en 1994 (et publié en 1996) par l’ISACA (Information Systems Audit and Control Association).
L’ISACA a été créé en 1967 et est représenté en France depuis 1982 par l’AFAI (Association Française de l’Audit et du Conseil Informatiques). C’est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. CobiT a évolué, la version 4 est apparue en France en 2007.
Les bonnes pratiques qui sont établis par CobiT sont le résultat de consensus d’expert. Elles sont principalement axées sur le contrôle. Elles ont pour but d’aider à optimiser les investissements informatique, à assurer la fourniture des services et à fournir des outils de mesures auxquelles se référer pour évaluer d’éventuelle dysfonctionnement. Cobit subit de perpétuelle amélioration et est maintenu à jour régulièrement grâce aux autres standards. Nous sommes aujourd’hui à la version 4.1 de CobiT.
CobiT peut être utilisé principalement par 4 types d’utilisateurs :
  • les directions générales : pour que l’investissement informatique produise de la valeur et pour trouver le bon équilibre entre risques et investissements en contrôles dans un environnement informatique souvent imprévisible,
  • les directions métiers : pour obtenir des assurances sur la gestion et le contrôle des services informatiques fournis en interne ou par des tiers,
  • les directions informatiques : pour fournir les services informatiques dont les métiers ont besoin pour répondre à la stratégie de l’entreprise, et pour contrôler et bien gérer ces services,
  • les auditeurs et consultants : pour justifier leurs opinions et/ou donner des conseils au management sur les contrôles internes et la gouvernance des SI.
Comme nous l’avons vu les dirigeants doivent mettre en place un système et un cadre de contrôle en interne. CobiT propose de répondre à cette demande en proposant un cadre de référence :
  • En établissant un lien avec les exigences métiers de l’entreprise,
  • En structurant les activités liées à l’informatique selon un modèle de processus très reconnu
  • En identifiant les principales ressources informatiques qui sont mobilisées
  • En définissant des objectifs de contrôle.
L’orientation métier de CobiT consiste à lier les objectifs métiers aux services informatiques, à fournir des outils de mesure performant (en définissant se qui doit être mesuré et comment) et des modèle de maturité pour faire apparaître leur degré de réussite et pour identifier les responsables et les responsabilités des processus métier et des processus informatiques (cf Article : « CMMI »)
L’orientation processus de CobiT est établis par un modèle de processus qui divise l’informatique en 34 processus répartis dans 4 familles qui sont : Planification, Mise en place, Faire fonctionner et Surveiller (nous verrons plus tard que les 4 familles correspondent au principe de la ROUE de DEMING), cela permet d’obtenir une vision globale de l’activité informatique.
Le concept d’architecture d’entreprise permet d’identifier les ressources essentielles qui sont nécessaires au bon fonctionnement des processus comme les applications, l’information, les infrastructures et les personnes. Cela permet de mettre à disposition les informations dont l’entreprise a besoin pour réaliser ses objectifs, les ressources informatiques sont alors gérées sous forme de processus regroupé suivant une logique prédéfini.
Mais cela lève biens des questions :
  • Comment contrôler les systèmes d’information pour qu’ils fournissent les données dont l’entreprise à besoin ?
  • Comment gérer les risques liés aux ressources informatiques ?
  • Comment sécuriser ses ressources ?
  • Comment l’entreprise peut elle être sure que l’informatique atteint ses objectifs et aide l’entreprise à réaliser les siens ?
Les dirigeants demandent avant tout de définir des objectifs de contrôle qui vont définir à leur tour les politiques, les stratégies, les procédures et les structures organisationnelles de l’entreprise, ce qui permet de rassurer et de fournir la certitude que :
  • Les objectifs de l’entreprise seront atteints
  • Des dispositifs sont mis en place pour détecter et corriger les événements indésirables et imprévus.
Prenons un exemple concret, aujourd’hui les services de management sont perpétuellement à la recherche d’informations synthétique et très souvent graphique qui leur permet de prendre rapidement une décision difficile ou capitale par rapport à une situation que ce soit en matière de risque ou bien de contrôle.
Et là le plus souvent nous nous posons la question de Que doit-on mesurer, et comment le faire ?
Aujourd’hui les entreprises ont besoin de se situé et de pouvoir mesurer concrètement où elles en sont et quel sont les axes d’améliorations, pour cela elles ont besoin de mettre en place des outils de gestion pour surveiller les améliorations.
Le Schéma ci-dessus montre les questions classiques en termes de management ainsi que les outils pour répondre à ses questions, mais nous voyons que les Tableaux de bord nécessitent des indicateurs, que les Tableaux de bord équilibrés nécessitent des mesures et que les Tests comparatifs nécessitent des échelles.
La réponse à ce besoin de déterminer et de surveiller les niveaux de contrôle et de performance de l’informatique appropriés est apportée par CobiT sous forme de :
  • Tests comparatifs de la capacité des processus informatiques présentés sous la forme de modèles de maturité inspirés du Capability Maturity Model du Software Engineering Institute,
  • Objectifs et métriques des processus informatiques pour définir et mesurer leurs résultats et leurs performances (capacité à atteindre les objectifs métiers et informatiques),
  • Objectifs des activités pour mettre ces processus sous contrôle en se basant sur des objectifs de contrôle détaillés.
Le fait d’évaluer les processus au moyen des modèles de maturité de CobiT est un élément essentiel pour la mise en place de la gouvernance des SI. Lorsque vous avez identifié les processus et les contrôles clé au sein de votre SI, le modèle de maturité permet de mettre en évidence les défauts, on peut alors préparer des plans d’action pour procéder à l’amélioration des processus au niveau de la maturité souhaitée.
CobiT permet de piloter la gouvernance des SI en s’assurant que :
  • les SI sont alignés sur le métier de l’entreprise,
  • les SI apportent un plus au métier, et maximisent ses résultats,
  • les ressources des SI sont utilisées de façon responsable,
  • les risques liés aux SI sont gérés comme il convient.
Comme nous le voyons depuis le début la performance est essentielle à la gouvernance des SI et elle fait partie intégrante des objectifs de CobiT qui on le rappel consiste à fixer et à surveiller des objectifs mesurables pour que les processus informatique produise des résultats et pour que la façon de produire ses résultats soit cohérente et avec un niveau de maturité suffisant.
Pour que cette gouvernance soit la plus efficace possible, les dirigeants et les responsables doivent obtenir des directions opérationnelles qu’elles devront mettre en place sous forme de contrôle dans un cadre de référence défini pour tout les processus informatique du SI. Le cadre de référence devient donc le lien entre la volonté de la gouvernance du SI et les processus de contrôle de celui-ci.
CobiT se focalise sur ce qui est nécessaire et adapter pour la gestion et le contrôle du SI. CobiT se conforme également à d’autres standards informatiques plus détaillés et aux bonnes pratiques (voir schéma ci-dessous : cadres de référence global de CobiT).
CobiT agit comme un intégrateur et permet de faire la jonction entre les différents guides en réunissant les objectifs principaux dans un même cadre de référence général qui fait lui même le lien avec les contraintes et les exigences opérationnelles de la gouvernance.
CobiT s’organise en trois niveaux (cf schéma ci-dessous) :
Le schéma présente le contenu de CobiT avec les principaux acteurs, les problèmes soulevés au sein de la gouvernance des SI et les réponses qui peuvent parfois y être apporté.
En conclusion la mise en place de CobiT est un cadre pour gouvernance des SI et il apporte les avantages suivants :
  • un meilleur alignement de l’informatique sur l’activité de l’entreprise du fait de son orientation métier,
  • une vision compréhensible par le management de ce que fait l’informatique,
  • une attribution claire de la propriété et des responsabilités, du fait de l’approche par processus,
  • un préjugé favorable de la part des tiers et des organismes de contrôle,
  • une bonne compréhension de toutes les parties prenantes grâce à un langage commun,
  • le respect des exigences pour le contrôle de l’environnement informatique.

source : it-governance.net
                                                                                                                                              accueil

Aucun commentaire:

Enregistrer un commentaire

ajouter votre commentaire: n'oubliez pas votre commentaire nous intéresse