Le COBIT : L’état de l’Art Socle de la gouvernance des SI Intervenant : Eric LELEU Janvier 2009

Qu’est ce que la Gouvernance ? Le terme « Gouvernance » désigne la capacité d'une organisation à être en mesure - de contrôler et de réguler son propre fonctionnement afin d'éviter les conflits d'intérêts liés à la séparation entre - les ayants-droits (actionnaires, direction, conseil d’administration) - et les acteurs (employés, les fournisseurs, les clients, les banques, l’environnement…). Il s’agit de privilégier le partenariat entre les différents acteurs.

COBIT Socle de le Gouvernance SI La Gouvernance des Technologies de l’Information est axée sur la technologie de l’information et de la communication Cette discipline, en phase avec les objectifs de l’entreprise, s’intéresse plus particulièrement - à la gestion des risques, - à l’optimisation des investissements et des ressources, - à la création de valeurs - et à la performance des technologies de l’information. Il s’agit d’une démarche de Management.

Gouvernance TI : Cercle vertueux Pour orienter et contrôler les processus de gestion, il s’agit : De donner des orientations stratégiques D’utiliser les services métiers Chaque processus doit rendre compte Contrôle bon déroulement (amélioration, rédéfinition des objectifs)

Le COBIT Control Objectives for Business Information and related Technology Constat : Le fonctionnement de la majorité des grandes entreprises, aujourd'hui, repose complètement sur le traitement de l'information. Nécessité : Il est vital, pour leur avenir, que le système d'information soit en cohérence avec les objectifs et la stratégie globale de l'entreprise. Volonté des dirigeants : Le SI doit apporter de la valeur ajouter et de la performance dans l’organisation. Le Cobit (“Control des objectifs des technologies de l’information”), a été développé en 1994 par l'ISACA (The Information System Audit and Control Association) et est un outil puissant qui a été conçu pour œuvrer dans ce sens.

Le COBIT - Suite Le COBIT est un référentiel de gouvernance des systèmes d'information qui décompose tout système informatique en 34 processus, lesquels sont répartis en 4 domaines fonctionnels, Ces domaines permettant de couvrir 318 objectifs.

Les acteurs concernés Les auditeurs Les responsables des SI La Direction Générale Les Directions métiers bien évidemment concernés par la mise en place et l’utilisation de COBIT (parties prenantes dans les processus)

Les Domaines (4 Domaines) planning et organisation (10 processus). Comment utiliser les technologies afin que l'entreprise atteigne ses objectifs ? acquisition et mise en place (7 processus). Comment définir, acquérir et mettre en œuvre des technologies en adéquation avec les objectifs de l’entreprise ? fourniture du service et support (13 processus). Comment garantir l'efficacité des systèmes technologiques en action ? Surveillance (4 processus). Comment s'assurer que la solution mise en œuvre corresponde bien aux besoins de l'entreprise dans une perspective stratégique ?

Objectifs et Ressources Les objectifs sont les suivants (7) : L'efficacité, L'efficience, - La confidentialité, - L'intégrité, - La disponibilité, - La conformité, - La fiabilité. Pour atteindre ces objectifs, le SI dispose des ressources suivantes (5) : - Les compétences, - Les applications, - Les technologies, - Le « facility management », - Les données.

Représentation détaillée de COBIT

Pour être plus précis… COBIT Est une méthodologie d’évaluation des services informatiques au sein de l’entreprise. Est une démarche qui s'appuie sur un référentiel de bonnes pratiques, des indicateurs d'objectifs (KGI) et de performance (KPI) BUT : permettre de mettre les processus sous contrôle afin de disposer des données permettant à l'entreprise d'atteindre ses objectifs alignement des technologies sur la stratégie de l’entreprise.

Cartographie – Exemple de représentation Représentation des processus, des objectifs et des ressources. L'impact du processus sur le critère d'information peut être Primaire, Secondaire, ou vide. Le lien entre les processus et les ressources ne mesure pas le niveau d'utilisation, mais le niveau de management de la ressource par le processus COBIT

Comment utiliser COBIT ? Audit : 318 Objectifs – Liste permettant de cadrer les entretiens et de ne rien oublier. Peut être complété par des spécificités du domaine de l’entreprise. Pilotage du Système d’informations : Mise en place : Définition des objectifs, choix et gestion des ressources, choix et gestion des processus (Prendre ce que l’on a besoin) Evaluation ( Définition de niveaux de maturité)

Les niveaux de maturité : de 0 à 5 Inexistant : Pas de processus / Entreprise non consciente Initial : quelques processus / Entreprise prend conscience Répétitif : Processus avec modèle répétable / Entreprise traite au cas par cas Défini : Processus formalisés, pas de responsabilités définies, pas de suivi qualité Géré et mesurable : Processus surveillés, Responsabilités définies, suivi de la qualité, Personnel formé Optimisé : Amélioration du processus existant, l’entreprise assure une veille afin de mettre à jour ses méthodes

Qu’est ce qu’apporte COBIT ? - Des processus plus simples et plus compréhensibles. - Une vision compréhensible par les métiers de ce que fait l’informatique. - De la valeur ajoutée des systèmes d’information. - Un meilleur alignement de l’informatique sur l’activité de l’entreprise (orientation métier). - Une attribution claire des responsabilités (approche par processus). - Une aide à la décision, aux choix, aux investissements… - Une possibilité d’élaborer son propre standard COBIT afin d’être encore plus en phase avec les objectifs de l’entreprise en terme de systèmes d’information. - Une auto évaluation Une comparaison avec d’autres entreprises ayant un même domaine métier

Exemple PLANIFICATION et ORGANISATION PO2 – Définir l’architecture de l’information Objectif : Optimiser l’organisation des systèmes informatiques Indicateur s clé d’objectif Indicateur s Clé de performan ce . Développement plus rapide d’applications . Réduction du délai de réalisation des SI majeurs . Réduction des redondances de données . Interopérabilité entre systèmes et applications . Nombre de modifications d’applications entreprises pour se réaligner sur le modèle de données . Nombre d’incidents dans les applications dus aux incohérences du modèle de données . Quantité de travail à refaire due aux incohérences du modèle de données . Délai entre les modifications de l’architecture de l’information et celles apportées aux applications TCO Facteurs clé de succès . Il existe une fonction d’administration des données de l’entreprise ayant une autorité suffisante pour administrer le modèle de données et les standards d’informations . On a documenté, communiqué et appliqué les standards d’architecture de l’information . Un modèle de données reflétant l’activité de l’entreprise a été défini et pilote l’architecture de l’information

Perspectives En 2006, l'AFAI, le CIGREF et INEUMConsulting ont réalisé une enquête sur la maturité des entreprises françaises vis-à-vis de l’IT Gouvernance. Il en est résulté que 75% des réponses étaient inférieures à 2,5 / 6 ce qui correspond à un début de formalisation. Il est indéniable que des marges de progression importantes sont envisageables dans les années à venir.

Conclusion : COBIT une norme ? Tout au moins assimilé… - Approche structurante : décomposition de tout SI en 4 domaines, 34 processus et 318 objectifs. - Instaure un langage commun pour parler gouvernance Couverture d’utilisation internationale. COBIT est capable de s’intégrer à d’autres référentiels tels qu’ISO9000, ISO 27000, ITIL, COSO… - Démarche digne d’une méthodologie, continuellement documentée et développée par les experts en systèmes d’information.

Questions ? Je vous remercie de votre attention.