CobiT - Définition

Introduction

Le CobiT (Control Objectives for Information and related Technology – Objectifs de contrôle de l’Information et des Technologies Associées) est un outil fédérateur qui permet d'instaurer un langage commun pour parler de la Gouvernance des systèmes d'information tout en tentant d'intégrer d'autres référentiels tels que ISO 9000, ITIL...

La gouvernance des Systèmes d’Information (SI) ((en) Information Technology (IT) Governance) s’est introduite au sein des entreprises dans un contexte où d’une part, l’automatisation des fonctions de l’entreprise est devenue une composante essentielle au sein de l’entreprise et d’autre part, où les dirigeants ne voient pas comment les SI peuvent apporter de la valeur et de la performance dans l’organisation. Ainsi, on peut parler de gouvernance des SI et donc de normes, certifications permettant cette dernière. C’est également dans un souci de transparence des informations que les SI se sont développés et que leur contrôle est devenu incontournable. Le référentiel principal de gouvernance et d’audit des SI est le CobiT. En résumé le CobiT est un cadre de référence pour maitriser la gouvernance des SI dans le temps. Il est fondé sur un ensemble de « bonnes pratiques » collectées auprès d’experts du SI.

Le CobiT a été développé en 1994 (et publié en 1996) par l’ISACA (Information Systems Audit and Control Association). L’ISACA a été créé en 1967 et est représenté en France depuis 1982 par l’AFAI (Association Française de l’Audit et du Conseil Informatiques). C'est un cadre de contrôle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements. CobiT a évolué, la version 4 est apparue en France en 2007.

CobiT est une approche orientée processus, qui regroupe en quatre domaines (planification, construction, exécution et métrologie, par analogie avec la Roue de Deming), 34 processus distincts qui comprennent en tout 215 activités et un nombre plus important encore de "pratiques de contrôle". Un volet "évaluation des systèmes d'information", connu sous le nom de Val IT tente de compléter cette approche.

Principe

CobiT fournit aux gestionnaires, auditeurs et utilisateurs de TIC (Technologies de l'information et de la communication), des indicateurs, des processus et des [[bonnes pratiques] pour les aider à maximiser les avantages issus du recours à des techniques informatiques et à l'élaboration de la gouvernance et du contrôle d'une entreprise. Il les aide à comprendre leurs systèmes informatiques et à déterminer le niveau de sécurité et de contrôle qui est nécessaire pour protéger leur entreprise, et ceci par le biais du développement d’un modèle de gouvernance des systèmes d'information tel que CobiT. Ainsi, CobiT fournit des indicateurs clés d’objectif, des indicateurs clés de performance et des facteurs clés de succès pour chacun de ses processus. Le modèle CobiT se focalise sur ce que l’entreprise a besoin de faire et non sur la façon dont elle doit le faire.

Le modèle CobiT constitue une structure de relations et de processus (cadre de référence ou framework) visant à un pilotage et un contrôle des techniques informatiques par le management de l'entreprise pour atteindre ses objectifs, en utilisant ces techniques comme moyen pour améliorer l'activité et répondre aux besoins métiers, besoins consolidés dans le plan stratégique de l'entreprise.

Il définit 34 processus regroupés en quatre étapes successives :

"Le CobiT" consiste à décomposer tout système informatique en :

1. Planification et Organisation : dans ce domaine nous cherchons à savoir comment utiliser les techniques informatiques afin que l’entreprise atteigne ses objectifs.
   1. Définition du plan stratégique informatique
   2. Définition de l'architecture des informations
   3. Définition de la direction technologique
   4. Organisation du service informatique
   5. Gestion des investissements
   6. Communication des objectifs de la direction
   7. Gestion des ressources humaines
   8. Respect des exigences légales
   9. Évaluation des risques
   10. Gestion des projets
   11. Gestion de la qualité
2. Acquisition et Installation : ici CobiT cherche à définir, acquérir et mettre en œuvre des technologies en les alignant avec les processus métiers de l’entreprise.
   1. Identification des solutions automatiques
   2. Acquisition et maintenance des applications informatiques
   3. Acquisition et maintenance de l'infrastructure technique
   4. Développement et maintien des procédures
   5. Installation et certification des systèmes
   6. Gestion des modifications
3. Livraison et Support : l’objectif est de garantir l’efficacité et l’efficience des systèmes technologiques en action.
   1. Définition des niveaux de service
   2. Gestion des services aux tiers
   3. Gestion des performances et des capacités
   4. Garantie de la poursuite des traitements
   5. Garantie de la sécurité des systèmes
   6. Identification et attribution des coûts
   7. Formation des utilisateurs
   8. Assistance des utilisateurs
   9. Gestion de la configuration
   10. Gestion des incidents
   11. Gestion des données et des applications
   12. Sécurité physique du système
   13. Gestion de l'exploitation
4. Monitoring : Il convient ici de vérifier si la solution mise en place soit en adéquation avec les besoins de l’entreprise dans une vision stratégique.
   1. Surveillance des processus
   2. Appréciation du contrôle interne
   3. Certification par un organisme indépendant
   4. Audit par un organisme indépendant

CobiT s’adresse à différents utilisateurs :

• Le management pour lequel il offre un moyen d’aide à la décision
• Les utilisateurs directs pour lesquels il permet d’apporter des garanties sur la sécurité et les contrôles des services informatiques.
• Les auditeurs et les consultants auxquels il propose des moyens d’interventions reconnus internationalement.