LES OUTILS

Categories

Documents à télécharger

CobiT, la référence pour l'audit

Le référentiel CobiT est un modèle développé, mis au point et fourni par l'ISACA qui permet de contrôler les objectifs et de manager les processus de l'IT. Il s'inscrit ainsi dans une logique de contrôle et d'audit.

Créée en 1967, l'ISACA est une association dont le rôle est de définir des processus d’audit et de contrôle dans les systèmes d’informations. Elle est représentée en France depuis 1982 par l'AFAI.

Depuis sa première version publiée en 1994, le CobiT connait de nombreuses mises à jour grâce aux retours d'expériences quasi-systématiques de la part des adhérents de l'ISACA :

  • 1994 : publication de la première version du CobiT ;
  • 1998 : établissement de l'IT Governance Institute (ITGI). CobiT passe en version 2 ;
  • 2001 : publication de la version 3 du CobiT ;
  • 2003 : publication de "IT Control Objectives for Sarbanes-Oxley" ;
  • 2005 : mise à jour du CobiT en version 4.

A ce jour CobiT est disponible en version 4.1.

Le principal objectif du référentiel CobiT est de répondre aux besoins de l'entreprise. Pour cela, CobiT va fournir un ensemble de moyens pour gérer les niveaux de contrôle qui doivent être exercés sur les ressources IT. Par le contrôle, CobiT organise l'alignement entre les objectifs, les besoins des différents corps de métier, ainsi que les moyens techniques mis en œuvre.
CobiT est donc considéré comme le socle de la gouvernance des SI et est devenu l'intégrateur  des meilleures pratiques en technologies de l'information qui aide à comprendre et à gérer les risques.

Le référentiel CobiT s'adresse aux 3 acteurs principaux de l'entreprise à savoir le management, les utilisateurs et les auditeurs.

CobiT est utilisé pour le management comme moyen d'aide à la décision en estimant précisément le niveau de risque que l'entreprise peut supporter pour aligner les ressources IT sur le plan financier, organisationnel et technologique.
Les utilisateurs peuvent avoir grâce à CobiT une garantie sur la sécurité et les contrôles des SI. Enfin, les auditeurs l'utilisent car il leur permet une analyse plus facile mais aussi plus efficace étant donné que CobiT leur proposent des moyens d'interventions reconnus.

Le référentiel CobiT est structuré autour de 8 thèmes. Chacun est présenté sous forme de guide ayant pour but d'apporter des réponses aux différents enjeux induits par la gestion de l'alignement des ressources IT sur les objectifs fondamentaux de l'entreprise :

  • Synthèse (Executive Overview) ;
  • Cadre de référence (Framework) ;
  • Objectifs de contrôle (Control Objectives) ;
  • Pratiques de contrôle (Control Practices) ;
  • Guide management (Management Guidelines) ;
  • Guide de l'assurance IT (IT Assurance Guide) ;
  • Guide de l'implémentation de la Gouvernance IT (IT Governance Implementation Guide) ;
  • Objectifs de contrôle IT pour SOX (IT Control Objectives for Sarbanes-Oxley).

Figure 8 : Produits CobiT
(source : www.afai.fr)

Tous ces thèmes sont reliés entre eux et visent à répondre aux besoins de gouvernance, de gestion, de contrôle et d’audit de différents acteurs, comme on le voit sur la figure 6.


Figure 9 : Relations entre les composants CobiT
(source : www.afai.fr)

 

Synthèse

La synthèse (ou Executive Overview) présente les grands principes du management tels que les objectifs, indicateurs, mesures, etc. ainsi que ceux de la gouvernance des technologies de l'information. Elle constitue une vue d’ensemble de la méthodologie CobiT et doit être utilisée en préalable à toute autre action.

Cadre de référence

Le cadre de référence se fonde sur les besoins d'information de l'entreprise, les ressources informatiques dont elle dispose et enfin les domaines dans lesquels peuvent être définis des objectifs de contrôle. Le cadre de référence est donc axé sur les besoins de l'entreprise, ses ressources ainsi que ses processus.

  1. Enjeux pour l'entreprise

Afin d'atteindre ses objectifs, l'entreprise se doit de disposer d'informations pertinentes. La qualité de ces informations est essentielle pour sa compétitivité. Aussi, le volume d'information croit continuellement avec la croissance d'une entreprise, ce qui généralement entraîne une détérioration de la qualité de ces informations. La pertinence de l'information est donc ici primordiale et devient un enjeu majeur pour le développement d'une organisation.

Le CobiT utilise 7 critères pour déterminer cette pertinence (cf. figure 7).

CRITERES

DESCRIPTION

Efficacité

Qualité et pertinence de l'information, distribution cohérente

Efficience

Rapidité et délivrance

Confidentialité

Protection conte la divulgation

Intégrité

Exactitude de l'information

Disponibilité

Accessibilité à la demande et protection (sauvegarde)

Conformité

Respect des règles et lois

Fiabilité

Exactitude des informations transmises par le management

Figure 10 : Critères permettant de déterminer la pertinence de l'Information

  1. Ressources IT

Concernant les ressources IT, le CobiT établit quatre catégories à prendre en compte dans le cadre du management des Systèmes d'Information :

  • Informations : données relatives à l'activité insérées ou fournies par le SI ;
  • Applications : systèmes automatisés de traitement des informations ;
  • Infrastructures : technologies et équipements (serveurs, SGBD, réseau, etc.) ;
  • Personnels : techniciens et ingénieurs en charge du management du SI.

Une ressource IT entraîne la mise en œuvre d’un ou plusieurs processus IT.

  1. Processus IT

Un processus se définit comme un ensemble de tâches ou d’activités. Il doit être managé, contrôlé et possède un niveau de maturité. L’orientation processus de CobiT est illustrée par un modèle qui subdivise l’informatique en 34 processus répartis entre les quatre domaines de responsabilités que sont: planifier et organiser, acquérir et implémenter, délivrer et supporter et surveiller et évaluer. Ces domaines représentés dans la figure 8 donnent ainsi une vision complète de l’activité informatique.

Figure 11 : Les processus IT au sein de CobiT
(source : www.afai.fr)

Le schéma ci-dessus nous montre les relations des composants au sein de CobiT, où l'on retrouve les domaines principaux de CobiT qui sont au nombre de 4, chacun reliés à un certain nombre de processus correspondants au domaine. Tout cela tourne autour d'une information rendue pertinente grâce aux différents critères vus plus tôt, liée aux objectifs de la gouvernance.

La notion de domaine est ici très importante car elle définit une répartition logique dans le management des SI. Ces domaines sont les suivants : 

  • Planifier et Organiser (10 processus) : domaine permettant de savoir comment utiliser les technologies afin que l’entreprise atteigne ses objectifs. Ce domaine s’inscrit donc dans une démarche stratégique.
  • Acquérir et Implémenter (7 processus) : CobiT cherche ici à définir, acquérir et mettre en œuvre des technologies en les alignant avec les processus métiers de l’entreprise. L’objectif est de déployer la stratégie informatique définie lors de l’étape "Planification et Organisation".
  • Délivrer et Supporter (13 processus) : l’objectif est ici de garantir l’efficacité et l’efficience des systèmes technologiques en action.
  • Surveiller et Évaluer (4 processus) : ce domaine permet de s'assurer que la solution mise en place  soit en adéquation  avec les besoins de l'entreprise dans une vision stratégique. Il convient donc d'effectuer une évaluation de la qualité et de la performance selon des objectifs de contrôle déterminés préalablement.

Guide de management

Considéré par l'AFAI comme l'un des grands thèmes du CobiT, le Guide de Management concerne l'exploitation des ressources IT et va permettre de disposer d'indicateurs clés pour estimer la performance des processus, d'identifier et de mettre en place des contrôles, et enfin de sensibiliser aux risques et d'avoir des moyens de comparaison.

Tout d'abord les directives de gestion, ou management guidelines, vont permettre d'avoir une dépendance amont et aval pour chaque processus, exprimée en termes d'entrées/sorties. Elles permettent également d'identifier pour chaque activité du processus les acteurs responsables, garants, consultés ou informés, mais aussi de prendre en compte les objectifs et mesures (metrics).

Le guide de management propose aussi un modèle de maturité qui correspond globalement à une évaluation du processus sur une échelle de maturité de six positions (de inexistant à optimisé), permettant ainsi de se fixer des objectifs de progrès. Cette maturité peut se définir comme l'alignement des systèmes informatiques sur les objectifs de l'entreprise. Chaque niveau de celle-ci est décrit dans le tableau ci-dessous.

NIVEAU

DESCRIPTION

0 - Inexistant

Absence totale de processus

1 - Initial

Processus spécifiques et approche non structurée

2 - Reproductible

Réutilisation de processus pour les mêmes tâches

3 - Défini

Processus standardisés, documentés, communiqués

4 - Géré

Mesure et supervision de la conformité des processus

5 - Optimisé

Processus ayant le niveau de pratiques référentes

 Figure 12 : Description des différents niveaux du modèle de maturité

 

Figure 13 : Présentation graphique des modèles de maturité
(source : www.afai.fr)

La mesure de la performance est essentielle à la gouvernance des SI. Elle est un élément de CobiT et consiste entre autres à fixer et à surveiller des objectifs mesurables pour ce que les processus informatiques sont censés fournir (résultat du processus) et pour la façon dont ils le fournissent (capacité et performance du processus). CobiT fait référence aux indicateurs d'objectifs (KGI) et aux indicateurs  clés de performance (KPI). Un KGI permet d'évaluer le niveau de la réponse à atteindre  par le processus IT vis-à-vis des objectifs définis par l'entreprise. Un KPI permet de mesurer l'activité d'un processus en déterminant la probabilité d'échec et/ou de réussite d'un processus en regard des objectifs préalablement déterminés par l'entreprise.

Ces deux indicateurs sont étroitement liés dans la mesure où un KGI renvoie systématiquement  à un KPI si on se place sur le plan des objectifs et inversement si on se place sur le plan de la performance.

Objectifs de contrôle

Objectifs de contrôle (ou Control Objectives) est le deuxième grand thème de CobiT qui est orienté vers les équipes en charge des services informatiques et vers le management. Les objectifs de contrôle de CobiT sont les exigences minimales d’un contrôle efficace de chaque processus informatiques. Ils sont définis en fonction de trois paramètres : le domaine IT, les besoins de l'entreprise, et enfin les ressources informatiques. Dans ce guide, on retrouve une description point par point de chaque objectif de contrôle en fonction du domaine auquel il appartient.

Afin de définir les objectifs de contrôle, CobiT se base sur 4 étapes de contrôle (Processus IT, Besoins de l'organisation, Étapes de contrôle, Pratiques de contrôles) comme l'indique le schéma ci-dessous :


Figure 14 : Étapes de contrôle
(source : www.bwise.com)

Guide de l'audit

Ce guide va permettre de déceler, d'analyser, et d'expliquer les failles d'un système et les risques qui en découlent afin de leur apporter des solutions. Il offre donc une méthodologie complète aux auditeurs dans le cadre d'une évaluation d'un SI et/ou d'une démarche de conformité.

CobiT propose pour cela une approche sur plusieurs niveaux :

  • Acquérir une bonne compréhension de la situation (identifier les activités de l'organisation afin de mettre en place des objectifs de contrôle et des indicateurs pertinents)
  • Évaluer les étapes de contrôle
  • Évaluer la conformité (s'assurer que les procédures de contrôle définies s'exercent correctement)
  • Justifier le risque (permet au management d'anticiper et d'agir en conséquence)
Ces niveaux constituent la structure générale du guide de l'audit.

Précédent - Suivant