Association Nationale des Directeurs de Systèmes d’Information. Cobit. Le référentiel de la gouvernance du système d’information. Présentation, principes de mise en oeuvre et perspectives. Association Nationale des Directeurs de Systèmes d’Information. 16 janvier 2007 jpd@delvaux-conseil.com http://www.delvaux-conseil.com
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Le contexte… Source CIGREF Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Agenda Présentation de COBIT Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré « Mapping » entre COBIT et d’autres standards Principes de mise en œuvre Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience Perspectives COBIT V4 ValIT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Agenda Présentation de COBIT Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré « Mapping » entre COBIT et d’autres standards Principes de mise en œuvre Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience Perspectives COBIT V4 ValIT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. COBIT Historique Conçu et géré par l’IT Governance Institute. http://www.itgi.org/ http://itgi-france.com/ Indépendant et libre de droits. Forte évolution du positionnement. Issu du milieu de l’audit SI (V1 : 1996). Largement accaparé par le management des SI. Le présent exposé se place résolument dans cette approche. La dernière version (V4 : 2006) consacre cette évolution. Intègre 41 Directives & Standards internationaux. Diffusion mondiale. Très nombreuses traductions. L'AFAI publiera la version française de COBIT V4 début 2007. Utilisation importante et en croissance forte. Utilisé dans les cadres Sarbanes Oxley, IFRS, LSF. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. COBIT Historique Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus COBIT : Structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus Planification et Organisation (PO) Stratégie et tactique informatique Contribution aux objectifs de l’entreprise Planification, communication et gestion Organisation adéquate et infrastructure technologique Acquisition et Mise en Place (AMP) Mise en œuvre de la stratégie informatique Identification, développement ou acquisition, mise en place des solutions Intégration des solutions aux processus de gestion Modification et maintenance des systèmes Distribution et Support (DS) Fourniture des services nécessaires Sécurité de l’exploitation Mise en place des processus de support Traitement des données par les applications Surveillance (S) Evaluation régulière de tous les processus informatiques Conformité aux exigences de contrôle et qualité des contrôles Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT La Gouvernance des TI et les processus 4 34 318 COBIT exprime le QUOI, pas le COMMENT. (OCD) Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Modèle de maturité Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Modèle de maturité Définition plus détaillée de chaque niveau de maturité. 6 dimensions de la maturité : Compréhension & Sensibilisation Formation & Communication Processus & Pratiques Techniques & Automatisation Conformité Expertise Déclinaison de chaque dimension pour tous les niveaux de maturité. Le modèle de maturité est décliné Pour chaque processus Pour chaque niveau de maturité. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Tableau de bord équilibré Un Indicateur Clé d'Objectif (ICO) est la mesure de "ce qui" doit être accompli. Cet indicateur est souvent défini comme le but à atteindre. Un Indicateur Clé de Performance (ICP), est la mesure de la "qualité" de la progression du processus. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Tableau de bord équilibré Vue externe. Gestion financière Comment les actionnaires nous voient-ils ? Clients Comment les clients nous voient-ils ? Vue interne. Processus interne Comment nous considérons-nous nous-mêmes ? (orientation et qualité du processus) Connaissance/Innovation Avons-nous la capacité de continuer à améliorer nos produits/services, et à créer de la valeur ? Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
COBIT Tableau de bord équilibré Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Agenda Présentation de COBIT Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré « Mapping » entre COBIT et d’autres standards Principes de mise en œuvre Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience Perspectives COBIT V4 ValIT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
« Mapping » entre COBIT et d’autres standards COBIT adresse le SI et s’adresse à l’ensemble de l’entreprise. Les différents « standards » ne sont pas concurrents mais complémentaires! COBIT est le standard intégrateur du SI de l’entreprise. COBIT adresse le SI de l’entreprise et donc s’adresse à l’ensemble des directions de l’entreprise. COBIT est un outil de leadership du DSI sur le SI de l’entreprise. ITIL et CMMI s’adressent aux responsables internes ou externes des opérations et du développement. Il importe de bien positionner le standard au bon niveau de responsabilité! Et les positionnements sont différents! Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Project Program Planning & Organization Plan & Organise Acquire & Implement Define Strategic IT Plan Define Information Architecture Determine Technological Direction Identify Automated Solutions Acquire & Maintain Application Software Install & Accredit Systems Manage Change Acquire & Maintain Technology Infrastructure Develop & Maintain IT Procedures Define IT Organization & Relationships Manage IT Investment Communicate Aims & Direction Project Program EFQM Six Sigma ITIL ASL Gartner Manage Human Resource Ensure Compliance With External Standards Assess Risks PRINCE 2 ISO 9001 IIP ISO 17799 No Project Manage Projects Manage Quality Monitor Deliver & Support The result was a high level pictorial representation of all the models that were operating within the client organisation & their interrelationship in terms of the COBIT model. This could have as easily done using any other high level model such as EFQM Monitor The Process Assess Internal Control Adequacy Define & Manage Service Levels Manage Third-Party Services Manage Performance & Capacity Ensure Continuous Service Ensure System Security Identify & Allocate Costs Manage Operations Obtain Independent Assurance Provide Independent Audit Educate & Train Users Assist & Advise IT Customers Manage Configuration Manage Problems & Incidents Manage Data Manage Facilities Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
« Mapping » entre COBIT et d’autres standards Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
« Mapping » entre COBIT et d’autres standards Source ITSMF France Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Agenda Présentation de COBIT Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré « Mapping » entre COBIT et d’autres standards Principes de mise en œuvre Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience Perspectives COBIT V4 ValIT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Une approche processus 4 Processus > S Activités Mettre COBIT en œuvre c’est faire fonctionner une sélection de processus et viser un niveau de maturité. 34 Mettre COBIT en œuvre ce n’est pas faire fonctionner indépendamment des activités. 318 Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Double stratégie Type de stratégie Excellence ciblée Amélioration globale Concerne les processus … choisis en fonction des objectifs et du contexte de l’entreprise et de l’énergie affectable à COBIT. l’ensemble des autres processus COBIT. COBIT est… le référentiel de gestion du SI. un langage commun des professionnels du SI. Maturité cible Niveau 4 : géré. (Voire 5 optimisé - S1 par ex.) Niveau 3 : défini. Mode d’organisation Démarche projet. Démarche « participative ». Responsabilités Propriétaire de processus et typologie des responsabilités. Champion de processus. Mesure ICO, ICP. - Financement Spécifique. Démarche Top-Down. Bottom-Up. Planification de la mise en oeuvre Plan de projet. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Double stratégie 5 Excellence ciblée Maturité Cible Amélioration globale 1 Niveau / an 3 0,5 Niveau / an 1 « Le temps ne respecte pas ce qu'on a fait sans lui. » SENEQUE Temps 1 2 3 Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Identifier le commun et le spécifique Pilotage Activité OCD Activité OCD Activité OCD FCS Objectif Processus Activité OCD Activité OCD Activité OCD ICP ICO TBE Support Spécifique à chaque processus COBIT -ICO, ICP -FCS -… Commun à l’ensemble des processus : fonctionnement en processus structure COBIT sensibilisation, formation … COBIT laisse libre le COMMENT : -Existant -Bonnes pratiques -Meilleures pratiques Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Planifier la mise en oeuvre Le plan est déterminé à partir : -des dimensions de la maturité -des niveaux de la maturité. Veiller à respecter l’équilibre entre les différentes dimensions. 5 Maturité Cible 1 Niveau / an Plan d’action 3 Plan d’action Pour chaque processus, viser un niveau égal pour chaque activité plutôt qu’un niveau élevé pour un nombre limité d’activités. 1 1 2 Temps 3 Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Réapproprier l’existant Mettre en œuvre la gouvernance du SI, c’est aussi : - tabler sur la gestion existante - la remettre progressivement dans le cadre COBIT. Cible Spécifique Existant Le fossé entre la cible et l’existant est généralement plus grand en ce qui concerne le fonctionnement en processus Commun Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Organisation Direction Générale CA / Comité de Stratégie des TI Comité de pilotage des TI DSI Dirigeants MoA Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Champion de processus « Amélioration globale» Responsable IT Gouvernance Champion de processus « Amélioration globale» Champion de processus « Amélioration globale» Champion de processus « Amélioration globale» Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Logiciels supportant la démarche Approche suivi de la mise en œuvre Construit autour de la structure COBIT (processus, OCD, FCS, …) Environnement d’évaluation et de suivi de l’implantation Origine : logiciels pour auditeurs Par exemple : CobiT Advisor (Methodware Ltd) Version en français Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Logiciels supportant la démarche L’«ERP de la DSI ». Pas de solution globale aujourd’hui, mais des solutions sur des parties du paysage Stratégies de développement par acquisition Mercury, Niku (Clarity CA), ITM Software, … Modèle COBIT (très) progressivement intégré. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Logiciels supportant la démarche Plus simple… Outils basiques et standards (Notes, MS Project, …) Open Source Tools? Dans tous les cas se focaliser d’abord sur Les meilleures pratiques La maturité des processus. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Mise en oeuvre de COBIT Retour d’expérience Usinor Approche Top-Down Mise en avant de l’identification et le la gestion des risques Prise en charge par la hiérarchie des métiers COBIT = référentiel des risques JP Delvaux : Gestion de l’information du Groupe. Arcelor Approche Bottom-Up Contexte de fusion Réseau 50 top IT managers; international COBIT = langage commun IT JP Delvaux : « IT Governance Officer » rapportant au Group CIO. SMABTP Démarche initiée et pilotée par le DSI Accent mis sur l’implantation concrète dans le fonctionnement réel Étapes de sensibilisation, formation, planification, … Comité de pilotage, propriétaires de processus, … Préparer Solvabilité 2 COBIT = Référentiel de gestion du SI JP Delvaux : Consultant externe. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Agenda Présentation de COBIT Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré « Mapping » entre COBIT et d’autres standards Principes de mise en œuvre Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience Perspectives COBIT V4 ValIT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Perspective COBIT V4 Publié en novembre 2005; version française annoncée début 2007. Entièrement orienté vers les gestionnaires des métiers et du système d’information. L’aspect audit du SI est totalement séparé. Ce qui acte officiellement le glissement de fait de la cible de Cobit. L’accent est mis sur le rôle des gestionnaires (métier et SI) dans les processus de la gouvernance IT. Définition structurée des fonctions. Croisement RACI avec les Processus. Fort alignement (des OCD) sur les référentiels de fait Principalement ITIL, CMMI, ISO17799 « Process Controls » Génériques pour l’ensemble des processus; ils complètent les OCD spécifiques à chaque processus. Objectifs, Répétabilité, Rôles, Responsabilités, Performance, Plans, Procédures, … « Application controls » Identifie la responsabilité des propriétaires des processus métier pr aux applications. Complétude, validité, autorisation, séparation des responsabilités, … Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Perspective COBIT V4 Plus forte capacité d’alignement des processus et objectifs IT sur les métiers. 20 Objectifs métier standardisés : Vue financière Augmenter les parts de marché .. Vue du client Disponibilité du service … Vue interne Améliorer et maintenir les fonctionnalités des processus métier Vue Apprentissage & croissance Acquérir et conserver du personnel qualitifé et motivé 28 « Objectifs IT » standardisés. Intégrer les applications et les solutions technologiques harmonieusement dans les processus des métiers Assurer que les services IT sont disponibles comme requis Livrer les projets à temps, dans le budget et en respectant les standards de qualité. Tableaux croisés Processus / Objectifs métier / Objectifs IT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Perspective COBIT V4 5 domaines de la gouvernance Croisement avec les processus -Alignement avec l’activité professionnelle. -Solutions collaboratives. - Preuves de la valeur du SI. - Optimisation des dépenses. Gouvernance du SI Alignement stratégique Fourniture de valeur Gestion des risques Gestion des ressources performances Mesure des -Préservation des actifs informationnels. -Remise en service après incidents graves. -Continuité de l’activité. -Suivi des projets. -Suivi des services fournis par le SI. Optimisation de la connaissance et des infrastructures informatiques. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Perspective ValIT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Merci de votre attention! Présentation de COBIT Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré « Mapping » entre COBIT et d’autres standards Principes de mise en œuvre Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience Perspectives COBIT V4 ValIT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.