Cobit Le rfrentiel de la gouvernance du systme
Cobit. Le référentiel de la gouvernance du système d’information. Présentation, principes de mise en oeuvre et perspectives. Association Nationale des Directeurs de Systèmes d’Information. 16 janvier 2007 Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. jpd@delvaux-conseil. com http: //www. delvaux-conseil. com
Le contexte… Source CIGREF Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 2
Agenda • Présentation de COBIT – – Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré – – – – Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Perspectives – COBIT V 4 – Val. IT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 3
Agenda • Présentation de COBIT – – Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré – – – – Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Perspectives – COBIT V 4 – Val. IT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 4
COBIT Historique • Conçu et géré par l’IT Governance Institute. – http: //www. itgi. org/ – http: //itgi-france. com/ • Indépendant et libre de droits. • Forte évolution du positionnement. – Issu du milieu de l’audit SI (V 1 : 1996). – Largement accaparé par le management des SI. - Le présent exposé se place résolument dans cette approche. – La dernière version (V 4 : 2006) consacre cette évolution. • Intègre 41 Directives & Standards internationaux. • Diffusion mondiale. • Très nombreuses traductions. – L'AFAI publiera la version française de COBIT V 4 début 2007. • Utilisation importante et en croissance forte. • Utilisé dans les cadres Sarbanes Oxley, IFRS, LSF. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 5
COBIT Historique Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 6
COBIT La Gouvernance des TI et les processus Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 7
COBIT La Gouvernance des TI et les processus COBIT : Structure de relations et de processus visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs en générant de la valeur, tout en trouvant le bon équilibre entre les risques et les avantages des TI et de leurs processus. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 8
COBIT La Gouvernance des TI et les processus • Planification et Organisation (PO) – – Stratégie et tactique informatique Contribution aux objectifs de l’entreprise Planification, communication et gestion Organisation adéquate et infrastructure technologique • Acquisition et Mise en Place (AMP) – Mise en œuvre de la stratégie informatique – Identification, développement ou acquisition, mise en place des solutions – Intégration des solutions aux processus de gestion – Modification et maintenance des systèmes • Distribution et Support (DS) – – Fourniture des services nécessaires Sécurité de l’exploitation Mise en place des processus de support Traitement des données par les applications • Surveillance (S) – Evaluation régulière de tous les processus informatiques – Conformité aux exigences de contrôle et qualité des contrôles Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 9
COBIT La Gouvernance des TI et les processus Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 10
COBIT La Gouvernance des TI et les processus Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 11
COBIT La Gouvernance des TI et les processus 4 34 318 COBIT exprime le QUOI, pas le COMMENT. (OCD) Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 12
COBIT Modèle de maturité Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 13
COBIT Modèle de maturité • Définition plus détaillée de chaque niveau de maturité. • 6 dimensions de la maturité : – – – Compréhension & Sensibilisation Formation & Communication Processus & Pratiques Techniques & Automatisation Conformité Expertise • Déclinaison de chaque dimension pour tous les niveaux de maturité. • Le modèle de maturité est décliné – Pour chaque processus – Pour chaque niveau de maturité. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 14
COBIT Tableau de bord équilibré • Un Indicateur Clé d'Objectif (ICO) est la mesure de "ce qui" doit être accompli. Cet indicateur est souvent défini comme le but à atteindre. • Un Indicateur Clé de Performance (ICP), est la mesure de la "qualité" de la progression du processus. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 15
COBIT Tableau de bord équilibré • Vue externe. • Gestion financière – Comment les actionnaires nous voient-ils ? • Clients – Comment les clients nous voient-ils ? • Vue interne. • Processus interne – Comment nous considérons-nous-mêmes ? (orientation et qualité du processus) • Connaissance/Innovation – Avons-nous la capacité de continuer à améliorer nos produits/services, et à créer de la valeur ? Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 16
COBIT Tableau de bord équilibré Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 17
Agenda • Présentation de COBIT – – Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré – – – – Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Perspectives – COBIT V 4 – Val. IT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 18
« Mapping » entre COBIT et d’autres standards COBIT adresse le SI et s’adresse à l’ensemble de l’entreprise. • Les différents « standards » ne sont pas concurrents mais complémentaires! • COBIT est le standard intégrateur du SI de l’entreprise. • COBIT adresse le SI de l’entreprise et donc s’adresse à l’ensemble des directions de l’entreprise. • COBIT est un outil de leadership du DSI sur le SI de l’entreprise. • ITIL et CMMI s’adressent aux responsables internes ou externes des opérations et du développement. • Il importe de bien positionner le standard au bon niveau de responsabilité! – Et les positionnements sont différents! Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 19
Acquire & Implement Plan & Organise Define Strategic IT Plan Determine Define Information Technological Direction Architecture Define IT Organization & Relationships Manage IT Investment Communicate Aims & Direction Manage Human Resource Ensure Compliance With External Standards Assess Risks Identify Automated Solutions Acquire & Maintain Application Software EFQM 2 Manage Quality Monitor The Process Assess Internal Control Adequacy Obtain Independent Assurance Provide Independent Audit Manage Change Acquire & Maintain Technology Infrastructure Develop & Maintain IT Procedures Project Program PRINCE Manage Projects Install & Accredit Systems Six Sigma ITIL ASL Gartner ISO 9001 IIP ISO 17799 No Project Deliver & Support Define & Manage Service Levels Manage Third-Party Services Manage Performance & Capacity Ensure Continuous Service Ensure System Security Identify & Allocate Costs Educate & Train Users Assist & Advise IT Customers Manage Configuration Manage Problems & Incidents Manage Data Manage Facilities Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Manage Operations 20
« Mapping » entre COBIT et d’autres standards Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 21
« Mapping » entre COBIT et d’autres standards Source ITSMF France Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 22
Agenda • Présentation de COBIT – – Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré – – – – Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Perspectives – COBIT V 4 – Val. IT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 23
Mise en oeuvre de COBIT Une approche processus 4 Processus > S Activités Mettre COBIT en œuvre c’est faire fonctionner une sélection de processus et viser un niveau de maturité. 34 318 Mettre COBIT en œuvre ce n’est pas faire fonctionner indépendamment des activités. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 24
Mise en oeuvre de COBIT Double stratégie Type de stratégie Excellence ciblée Amélioration globale choisis en fonction des objectifs et du contexte de l’entreprise et de l’énergie affectable à COBIT. l’ensemble des autres processus COBIT est… le référentiel de gestion du SI. un langage commun des professionnels du SI. Maturité cible Niveau 4 : géré. (Voire 5 optimisé - S 1 par ex. ) Niveau 3 : défini. Mode d’organisation Démarche projet. Démarche « participative » . Responsabilités Propriétaire de processus et typologie des responsabilités. Champion de processus. Mesure ICO, ICP. - Financement Spécifique. - Démarche Top-Down. Bottom-Up. Plan de projet. - Concerne les processus … Planification de la mise en oeuvre Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 25
Mise en oeuvre de COBIT Double stratégie 5 Maturité Cible Excellence ciblée Amélioration globale an 3 iv 1 N / u a e an au / e v i N 0, 5 1 « Le temps ne respecte pas ce qu'on a fait sans lui. » SENEQUE 1 2 Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Temps 3 26
Mise en oeuvre de COBIT Identifier le commun et le spécifique Activité OCD Processus OCD Activité OCD FCS OCD Activité OCD Pilotage Activité Objectif ICP ICO TBE Support Commun à l’ensemble des processus : -fonctionnement en processus -structure COBIT -sensibilisation, formation -… Spécifique à chaque processus COBIT -ICO, ICP -FCS -… COBIT laisse libre le COMMENT : -Existant -Bonnes pratiques Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. -Meilleures pratiques 27
Mise en oeuvre de COBIT Planifier la mise en oeuvre Maturité Cible 5 Le plan est déterminé à partir : -des dimensions de la maturité -des niveaux de la maturité. 3 iv 1 N Veiller à respecter l’équilibre entre les différentes dimensions. an. Plan d’action / u a e Plan d’action Plan d’action Pour chaque processus, viser un niveau égal pour chaque activité plutôt qu’un niveau élevé pour un nombre limité d’activités. 1 1 2 Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. Temps 3 28
Mise en oeuvre de COBIT Réapproprier l’existant Spécifique Mettre en œuvre la gouvernance du SI, c’est aussi : - tabler sur la gestion existante - la remettre progressivement dans le cadre COBIT. Cible Existant Le fossé entre la cible et l’existant est généralement plus grand en ce qui concerne le fonctionnement en processus Commun Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 29
Mise en oeuvre de COBIT Organisation Direction Générale CA / Comité de Stratégie des TI Comité de pilotage des TI DSI Dirigeants Mo. A Propriétaire de processus « Excellence ciblée » Propriétaire de processus « Excellence ciblée » Champion de processus « Amélioration globale» Champion de processus « Amélioration globale» Responsable Champion de processus « Amélioration globale» Champion de processus IT Gouvernance « Amélioration globale» Champion de processus « Amélioration globale» Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 30
Mise en oeuvre de COBIT Logiciels supportant la démarche • Approche suivi de la mise en œuvre – Construit autour de la structure COBIT (processus, OCD, FCS, …) – Environnement d’évaluation et de suivi de l’implantation – Origine : logiciels pour auditeurs • Par exemple : Cobi. T Advisor (Methodware Ltd) – Version en français Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 31
Mise en oeuvre de COBIT Logiciels supportant la démarche • L’ «ERP de la DSI » . – Pas de solution globale aujourd’hui, mais des solutions sur des parties du paysage – Stratégies de développement par acquisition - Mercury, Niku (Clarity CA), ITM Software, … – Modèle COBIT (très) progressivement intégré. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 32
Mise en oeuvre de COBIT Logiciels supportant la démarche • Plus simple… – Outils basiques et standards (Notes, MS Project, …) – Open Source Tools? • Dans tous les cas se focaliser d’abord sur – Les meilleures pratiques – La maturité des processus. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 33
Mise en oeuvre de COBIT Retour d’expérience • Usinor – – – Approche Top-Down Mise en avant de l’identification et le la gestion des risques Prise en charge par la hiérarchie des métiers COBIT = référentiel des risques JP Delvaux : Gestion de l’information du Groupe. • Arcelor – – – Approche Bottom-Up Contexte de fusion Réseau 50 top IT managers; international COBIT = langage commun IT JP Delvaux : « IT Governance Officer » rapportant au Group CIO. • SMABTP – Démarche initiée et pilotée par le DSI – Accent mis sur l’implantation concrète dans le fonctionnement réel - Étapes de sensibilisation, formation, planification, … – – Comité de pilotage, propriétaires de processus, … Préparer Solvabilité 2 COBIT = Référentiel de gestion du SI JP Delvaux : Consultant externe. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 34
Agenda • Présentation de COBIT – – Historique La Gouvernance des TI et les processus Modèle de maturité Tableau de bord équilibré – – – – Une approche processus Double stratégie Identifier le commun et le spécifique Planifier la mise en oeuvre Réapproprier l’existant Organisation Logiciels supportant la démarche Retour d’expérience • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre • Perspectives – COBIT V 4 – Val. IT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 35
Perspective COBIT V 4 • Publié en novembre 2005; version française annoncée début 2007. • Entièrement orienté vers les gestionnaires des métiers et du système d’information. – L’aspect audit du SI est totalement séparé. – Ce qui acte officiellement le glissement de fait de la cible de Cobit. • L’accent est mis sur le rôle des gestionnaires (métier et SI) dans les processus de la gouvernance IT. – Définition structurée des fonctions. – Croisement RACI avec les Processus. • Fort alignement (des OCD) sur les référentiels de fait – Principalement ITIL, CMMI, ISO 17799 • « Process Controls » – Génériques pour l’ensemble des processus; ils complètent les OCD spécifiques à chaque processus. – Objectifs, Répétabilité, Rôles, Responsabilités, Performance, Plans, Procédures, … • « Application controls » – Identifie la responsabilité des propriétaires des processus métier pr aux applications. – Complétude, validité, autorisation, séparation des responsabilités, … Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 36
Perspective COBIT V 4 • Plus forte capacité d’alignement des processus et objectifs IT sur les métiers. • 20 Objectifs métier standardisés : – Vue financière - Augmenter les parts de marché -. . – Vue du client - Disponibilité du service - … – Vue interne - Améliorer et maintenir les fonctionnalités des processus métier - … – Vue Apprentissage & croissance - Acquérir et conserver du personnel qualitifé et motivé - … • 28 « Objectifs IT » standardisés. – Intégrer les applications et les solutions technologiques harmonieusement dans les processus des métiers – Assurer que les services IT sont disponibles comme requis – Livrer les projets à temps, dans le budget et en respectant les standards de qualité. – … Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. • Tableaux croisés Processus / Objectifs métier / Objectifs IT 37
Perspective COBIT V 4 • 5 domaines de la gouvernance – Croisement avec les processus -Alignement avec l’activité professionnelle. -Solutions collaboratives. - Preuves de la valeur du SI. - Optimisation des dépenses. des s e sure Me rmanc o perf -Suivi des projets. -Suivi des services fournis par le SI. Fo de urn v itu al eu re r Gouvernance du SI Ge s des tion risq ues t en e m ne qu il g tégi A ra st Gestion des ressources -Préservation des actifs informationnels. -Remise en service après incidents graves. -Continuité de l’activité. Optimisation de la connaissance et des infrastructures informatiques. Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 38
Perspective Val. IT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 39
Merci de votre attention! • Présentation de COBIT – Historique – La Gouvernance des TI et les processus – Modèle de maturité – Tableau de bord équilibré • « Mapping » entre COBIT et d’autres standards • Principes de mise en œuvre – Une approche processus – Double stratégie – Identifier le commun et le spécifique – Planifier la mise en oeuvre – Réapproprier l’existant – Organisation – Logiciels supportant la démarche – Retour d’expérience • Perspectives – COBIT V 4 – Val. IT Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007. 40
- Slides: 40