Chapitre 3

Apprhender CobiT
Le rfrentiel CobiT a suscit toute une srie de travaux et de publications. Dans les premires versions, V3 et antrieures, la publication principale tait le guide daudit. partir de la version 4, cest le guide de management qui est devenu le principal ouvrage descriptif de CobiT. Dans ce chapitre, CobiT est dcrit en termes de structure gnrale et dapproche travers plusieurs points de vue : celui du guide de management pour CobiT V4.1, qui constitue le document de base, puis ceux de diverses ressources. En complment, il est utile de consulter priodiquement le site http://www.isaca.org pour connatre les dernires publications proposes. La suite de cet ouvrage a pour vocation de fournir un guide de lecture pour tous ceux qui souhaitent mettre en uvre CobiT au sein de leur organisation informatique.

Description gnrale
CobiT offre un cadre de rfrence de contrle structur des activits informatiques selon 34 processus rpartis en quatre domaines : Planier et Organiser ; Acqurir et Implmenter ; Dlivrer et Supporter ; Surveiller et valuer.

29

Partie I CobiT et la gouvernanceTI

La gure 3-1 prsente les diffrents domaines et processus associs.

Cadre de rfrence gnral de CobiT
Objectifs de la gouvernance

Objectifs mtier

Information Efficacit Efficience Confidentialit Intgrit Disponibilit Conformit Fiabilit Ressources

Comptences Information Applications Infrastructure

Planifier et Organiser
PO1 Dfinir un plan informatique stratgique PO2 Dfinir larchitecture de linformation PO3 Dterminer lorientation technologique PO4 Dfinir lorganisation, les relations de travail PO5 Grer linvestissement informatique PO6 Faire connatre les buts et les orientations du management PO7 Grer les ressources humaines PO8 Grer la qualit PO9 Evaluer les risques PO10 Grer les projets

Surveiller et Evaluer
SE1 Surveiller et valuer la performance des SI SE2 Surveiller et valuer le contrle interne SE3 Sassurer de la conformit rglementaire SE4 Grer la gouvernance des SI

Dlivrer et Supporter
DS1 Dfinir et grer les niveaux de services DS2 Grer les services tiers DS3 Grer la performance et la capacit DS4 Assurer un service continu DS5 Assurer la scurit des systmes DS6 Identifier et imputer les cots DS7 Instruire et former les utilisateurs DS8 Grer le service dassistance client et les incidents DS9 Grer la configuration DS10 Grer les problmes DS11 Grer les donnes DS12 Grer lenvironnement physique DS13 Grer lexploitation AI1 AI2 AI3 AI4 AI5 AI6 AI7

Acqurir et Implmenter
Trouver des solutions informatiques Acqurir des applications et en assurer la maintenance Acqurir une infrastructure technique et en assurer la maintenance Faciliter le fonctionnement et lutilisation Acqurir des ressources informatiques Grer les changements Installer et valider les solutions et les modifications

Figure 3-1 : Organisation du rfrentiel CobiT

Les composants de CobiT

Les quatre domaines de CobiT regroupent des ensembles cohrents de processus. Le domaine PO reprsente la dimension stratgique de la gouvernance des TI. Le domaine AI rassemble tous les processus qui impactent les ressources, de lacquisition limplmentation : on y trouve aussi bien les projets que la mise en exploitation. Le domaine DS est consacr aux services offerts aux clients de la DSI. Enn, le domaine SE couvre largement la dimension de contrle, daudit et de surveillance de lensemble.

Les processus de CobiT Pour chacun des 34 processus, CobiT en dcrit le primtre et lobjet pour ensuite lister et dvelopper : les objectifs de contrle destins aux auditeurs informatiques, qui sont dtaills dans dautres publications ; un guide de management inscrit dans une logique de gouvernance des SI ; un modle de maturit propre chaque processus.

30

Chapitre 3 Apprhender CobiT

Les critres dinformation Pour la gouvernance des TI, CobiT prend en compte une trs riche segmentation de linformation selon des critres prcis (efcacit, efcience, condentialit, intgrit, disponibilit, conformit et abilit). Ces critres correspondent aussi bien au point de vue dun auditeur qu celui du manager :
efcacit : la mesure par laquelle linformation contribue au rsultat des processus mtier par rapport aux objectifs xs ; efcience : la mesure par laquelle linformation contribue au rsultat des processus mtier au meilleur cot ; condentialit : la mesure par laquelle linformation est protge des accs non autoriss ; intgrit : la mesure par laquelle linformation correspond la ralit de la situation ; disponibilit : la mesure par laquelle linformation est disponible pour les destinataires en temps voulu ; conformit : la mesure par laquelle les processus sont en conformit avec les lois, les rglements et les contrats ; abilit : la mesure par laquelle linformation de pilotage est pertinente.

Les ressources informatiques

Cette dnomination regroupe les quatre classes suivantes : applications, informations, infrastructures et personnes. Application : les systmes automatiss et les procdures pour traiter linformation. Infrastructure : les technologies et les installations qui permettent le traitement des applications. Information : les donnes, comme entres ou sorties des systmes dinformation, quelle que soit leur forme. Personnes : les ressources humaines ncessaires pour organiser, planier, acqurir, dlivrer, supporter, surveiller et valuer les systmes dinformation et les services.

Objectifs mtier et objectifs informatiques

De faon globale, CobiT propose 20 objectifs mtier rpartis selon les quatre axes dun BSC, savoir : perspective nancire, perspective client, perspective interne la DSI, et perspective future ou anticipation.

31

Partie I CobiT et la gouvernanceTI

Ces 20 objectifs mtier renvoient 28 objectifs informatiques, euxmmes lis aux processus CobiT, un mme objectif informatique tant associ un ou plusieurs processus CobiT. Ainsi, CobiT offre une transitivit entre objectifs mtier et informatiques, processus et activits. Cette structuration permet dobtenir une sorte de synthse de la gouvernance des SI.

Les processus dans CobiT V4.1

Chaque processus est dcrit sur quatre pages, ce qui correspond lapproche gnrale, laudit, le management du processus et le modle de maturit.

Les objectifs de contrle

Les objectifs de contrle sont dcrits en termes dattendus rsultant de la mise en uvre des processus. Des documents plus dtaills (IT Assurance Guide: Using CobiT) dclinent la structure de contrle des ns oprationnelles. Il apparat clairement que CobiT est un outil oprationnel pour les auditeurs qui y trouveront toute la matire ncessaire pour tablir des questionnaires et des grilles dinvestigation.

Le guide de management
La page consacre au guide de management comprend un descriptif des entres-sorties du processus, un RACI avec rles et responsabilits associs aux activits du processus, et enn, une proposition dindicateurs de contrle.

Les activits
CobiT distingue les objectifs de contrle (vision destine lauditeur) des activits (vision management). Cette distinction peut surprendre car la liste des activits reprend certains objectifs de contrle dans ses intituls. Parfois, ces activits sont directement extraites de la description des objectifs de contrle. De plus, les activits sont listes mais non dcrites. Le lecteur doit donc faire leffort de dterminer dans la description des objectifs de contrle ce qui relve de la description dactivit. Il devrait dcortiquer chaque objectif de contrle en tentant disoler linformation attache aux activits, aux instances/organisations, aux fonctions, aux documents/livrables et enn au contexte. Pour la mise en uvre de CobiT, partir des activits est intressant condition de ne pas sy enfermer. Il vaut mieux prendre cette liste comme un pensebte pour donner du corps une description personnalise en fonction de lorganisation.

32

Chapitre 3 Apprhender CobiT

Les responsabilits et fonctions dans CobiT (RACI) CobiT ne distingue pas moins de 19 parties prenantes ou fonctions pour la gouvernance des systmes dinformation. Chacune delles peut avoir un ou plusieurs rles pour chaque activit. On peut ainsi tre responsable ou garant, ou simplement consult ou inform, selon la situation. Ceci est dcrit dans un tableau crois activits/ fonctions. CobiT ne propose pas proprement parler une organisation, mais les objectifs de contrle font parfois rfrence des instances comme le comit stratgique informatique ou le comit de pilotage informatique dont les missions sont clairement nonces. L encore, le RACI1 est indicatif. Selon la taille et lorganisation de la DSI, certaines fonctions gnriques peuvent tre plus ou moins structures en postes et emplois. Le RACI de CobiT est une base afner au cas par cas.
Tableau 3-1 : Exemple de RACI (processus PO1)

1. RACI : en anglais Responsible, Accountable, Consulted, Informed, traduit par Responsabilit, Autorit (celui qui est garant), Consult, Inform. Lautorit (A) dicte la politique qui sera applique par le responsable (R).

ACTIVITS

Lier objectifs mtier et objectifs informatiques. Identier les dpendances critiques et les performances actuelles. Construire un plan informatique stratgique. laborer des plans informatiques tactiques. Analyser les portefeuilles de programmes et grer les portefeuilles de projets et de services.

C C A C

I C C I

A/R R C

R A/R R A

C C I C C C C C C C C C C C C C I R C C I

33

Conformit, audit, risque et scurit I

Responsable dveloppements

Propritaire processus mtier

Responsable administratif

Responsable exploitation

Responsable architecture

Direction mtier

Bureau projet

DSI

DG

DF

Partie I CobiT et la gouvernanceTI

Les objectifs et les indicateurs

1. Chacun de ces objectifs donne lieu une mesure de performance qui permet de savoir si lobjectif est atteint (lag indicator en anglais), ce qui constitue en mme temps le contexte de lobjectif suivant (lead indicator). Ainsi, lobjectif informatique sassurer que les services informatiques sont capables de rsister des attaques et den surmonter les effets , par exemple, sinscrit la fois dans un contexte (lead : le nombre daccs frauduleux) et savre mesur par un rsultat (lag : le nombre dincidents informatiques rels qui ont eu un impact sur lactivit de lentreprise).

Pour chaque processus, on dtaille les objectifs et les mtriques associes. Un processus est considr comme pilot lorsque des objectifs lui ont t assigns et que des indicateurs ont t dnis pour atteindre les objectifs1. Nul doute que cette construction garantisse la bonne gouvernance en reliant ainsi les diffrents indicateurs de lactivit lmentaire au mtier. Ceci tant, il faut disposer dun vrai systme dinformation de pilotage pour le mettre en uvre, ce qui correspond au stade ultime de la gouvernance SI. Autant les objectifs de contrle nous semblent trs structurants et invariants, autant la partie guide de management est considrer comme un exemple mritant dtre contextualis, complt et personnalis au cas par cas.

Le modle de maturit
CobiT propose un modle de maturit gnrique faisant lobjet dune dclinaison spcique pour chacun des 34 processus. Ainsi, la mise en uvre de chacun des 34 processus peut tre confronte des stades du modle de maturit selon une chelle classique en la matire (voir gure 3-2). En se limitant cette description gnrique, on peut donc mesurer de faon globale la maturit de chaque processus et piloter leur amlioration.
m m

Les

Figure 3-2 : Modle de maturit

34

Chapitre 3 Apprhender CobiT

CobiT veut aller plus loin en groupant trois dimensions au modle de maturit, pour chacun des 34 processus. Il propose ainsi les dimensions suivantes : quoi : contrle (initialis, reproductible, dni, gr et optimis), stades de 0 5 ; combien : couverture en termes de primtre ; comment : capacit raliser les objectifs. En tudiant la description du modle de maturit1 par processus, il semble que chaque stade caractrise un palier de mise en uvre en fonction de son primtre de dploiement au sein de lentreprise. Il peut ainsi y avoir confusion entre le primtre spcique de dploiement dun processus (dimension combien ) et le stade de maturit gnrique quil a atteint, au sens du CMM (dimension contrle ). Pour un mme processus, il est ainsi possible de xer des objectifs diffrents de progression de la maturit en fonction de ltat de maturit observ sur plusieurs primtres de sa mise en uvre. Pour un mtier ou un systme donn, le processus peut tre valu au niveau 2 du modle de maturit alors que, pour dautres, il peut ltre au niveau 3. Selon les exigences mtier et la criticit de linformatique sur les mtiers de lentreprise, la cible en termes de niveau de maturit peut tre diffrente. Dans le cas dun primtre dvaluation de la maturit globale selon CobiT (cest--dire tous les mtiers et tous les systmes), il serait donc rducteur de dire par exemple quun processus donn est globalement au niveau 2 si, selon les endroits o il est applicable, il se trouve au niveau 3, 4 ou 1. Le modle de maturit CobiT est conu pour offrir une grande exibilit lvaluateur en fonction de ses objectifs et des besoins damlioration. Il est adapt lactivit daudit du ou des processus considrs plutt qu une activit de mise en uvre dune dmarche CobiT globale dans lentreprise. En effet, il ny a aucune recommandation ni orientation quant la priorit ou lordre de mise en uvre des processus. Les 34 processus du rfrentiel CobiT ne sont pas prsents pour se loger dans un modle de maturit tag avec une logique de mise en place progressive comme dans CMMI. En revanche, un ordre de mise en place des processus CobiT peut tre envisag mais, dans ce cas, il sera toujours spcique chaque entreprise en fonction de ses exigences mtier et de ses objectifs informatiques. Cest dailleurs partir dune valuation initiale des 34 processus CobiT et selon les exigences mtier quil sera possible de dnir un plan de mise en place. Ce plan spciera, processus par processus, les diffrents niveaux de maturit atteindre en fonction des mtiers et de la criticit des systmes informatiques associs. Nous navons donc pas repris, dans la suite de la prsentation des processus, les lments spciques des modles de maturit de CobiT. 1. Il y a au moins une centaine de modles de maturit dont un bon nombre servent des rfrentiels utiliss en DSI. Le prcurseur est celui du SEI (Software Engineering Institute) qui a donn le CMM (Capability Maturity Model), conu pour valuer la maturit des organisations en charge du dveloppement de logiciel. En gnral, un modle de maturit a cinq niveaux : inexistant, intuitif, dni, gr et mesurable, optimis.

35