Cobit - Définition
Le référentiel CobiT (Control OBjectives for Information & related Technology) est une méthode de Maîtrise des Systèmes d’Information (IT Gouvernance) et d'audit de systèmes d'information, éditée par l’Information System Audit & Control Association (ISACA) en 1996. C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements.
Cobit est une approche orientée processus : les tâches et activités définies sont intégrées dans les 34 processus établis, ces derniers sont eux-mêmes regroupés en 4 domaines de processus.
Cobit est une approche multi-critères, qui permet à chaque utilisateur de ce référentiel d'obtenir pour chaque processus les informations qui l'intéressent.
Les cinq parties de Cobit
La synthèse
présentation des concepts et principes de COBIT
Le cadre de référence
se décline en check lists méthodiques couvrant 4 domaines, 34 objectifs de contrôle généraux (très synthétiques) et 220 objectifs de contrôle détaillés (CobiT version 4.0). Chacun de ces objectifs répond à 3 familles d’impératifs : économiques et fiduciaires, sécuritaire et qualité.
Le guide d'audit
permet d’évaluer et de justifier les risques et les faiblesses des objectifs généraux et détaillés et de mettre en place des actions correctives. Ce guide d’audit répond à 4 principes : l’acquisition d’une bonne compréhension, l’évaluation des contrôles, la vérification de la conformité, la justification du risque de ne pas atteindre les objectifs de contrôle.
Le guide de management
fournit des indicateurs clés d’objectif et de performance et des facteurs clés de succès. C’est aussi dans ce guide que l’on trouve le modèle de maturité. Il évalue l’atteinte d’un ou plusieurs objectifs généraux sous forme d’une échelle de 0 à 5 :
-
- 0 : Inexistant
- 1 : Existant mais non organisé (initialisé au cas par cas)
- 2 : Décrit (reproductible mais intuitif)
- 3 : Défini (avec documentation)
- 4 : Surveillé et mesuré
- 5 : Optimisé.
Les outils de mise en œuvre
contiennent une présentation de "success story" d’entreprises qui ont mis en place rapidement et avec succès la méthode COBIT. Cette partie intègre deux outils d’analyse de sensibilisation du management et de diagnostic de contrôle informatique.
Principe
Le modèle CobiT consitue une structure de relations et de processus (cadre de référence ou framework) visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs, par l'utilisation des technologies pour améliorer l'activité et répondre aux besoins métiers. Il définit 34 processus regroupés en quatre étapes successives :
"Le CobiT" consiste à décomposer tout système informatique en
- Planification et Organisation
- Définition du plan stratégique informatique
- Définition de l'architecture des informations
- Définition de la direction technologique
- Organisation du service informatique
- Gestion des investissements
- Communication des objectifs de la direction
- Gestion des ressources humaines
- Respect des exigences légales
- Évaluation des risques
- Gestion des projets
- Gestion de la qualité
- Acquisition et Installation
- Identification des solutions automatiques
- Acquisition et maintenance des applications informatiques
- Acquisition et maintenance de l'infrastructure technologique
- Développement et maintien des procédures
- Installation et certification des systèmes
- Gestion des modifications
- Livraison et Support
- Définition des niveaux de service
- Gestion des services aux tiers
- Gestion des performances et des capacités
- Garantie de la poursuite des traitements
- Garantie de la sécurité des systèmes
- Identification et attribution des coûts
- Formation des utilisateurs
- Assistance des utilisateurs
- Gestion de la configuration
- Gestion des incidents
- Gestion des données et des applications
- Sécurité physique du système
- Gestion de l'exploitation
- Monitoring
- Monitoring des processus
- Appréciation du contrôle interne
- Certification par un organe indépendant
- Audit par un organe indépendant
Critères de l'information
Cette rubrique va intéresser la direction générale en indiquant ce que l'implémentation d'un processus donné va apporter sur les informations (par exemple sur l'information décisionnelle). Ces critères sont :
- efficacité
- efficience
- confidentialité
- intégrité
- disponibilité
- conformité
- fiabilité
En améliorant l'information selon ces critères, l'organisation pourra atteindre plus facilement ses objectifs, cela ouvrira des nouvelles opportunités, et améliorera la rentabilité.
Les ressources
Cette partie concerne plus le directeur des services informatiques (DSI) ou responsable des services informatiques (RSI), pour l'informer des ressources qui vont être impactées par le processus. Les différentes ressources sont :
- le personnel
- les applications
- les technologies
- les installations
- les données
Les processus
Destinés à l'attention du gestionnaire de processus, ils vont définir la structure des domaines, des processus et des tâches.
