COBIT : Control Objectives for Business & Related Technology

Le modèle COBIT (Control Objectives for Business & Related Technology) est une méthode de Maîtrise des Systèmes d’Information (IT Gouvernance) et d’audit de systèmes d’information, éditée par l’Information System Audit & Control Association (ISACA) en 1996. C’est un modèle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements.

Les 5 parties de la méthode COBIT

La synthèse est une présentation des concepts et principes de COBIT. Elle présente les domaines, les objectifs de contrôle généraux (aussi appelés processus) et le cadre de référence. Le modèle COBIT constitue une structure de relations et de processus (cadre de référence ou framework) visant à diriger et contrôler lentreprise pour quelle atteigne ses objectifs, par lutilisation des technologies pour améliorer lactivité et répondre aux besoins métiers.

Le cadre de référence se décline en check lists méthodiques couvrant 4 domaines, 34 objectifs de contrôle généraux et 302 objectifs de contrôle détaillés. Chacun de ces objectifs répond à 3 familles dimpératifs : fiduciaire, sécurité et qualité. Comme le montre la figure suivante, la liste des domaines du cadre de référence de COBIT sont :

  • le domaine Planification & Organisation : 11 objectifs couvrent tout ce qui concerne la stratégie et les tactiques. Ils identifient les moyens permettant à linformatique de contribuer le plus efficacement à la réalisation des objectifs commerciaux de lentreprise ;
  • le domaine Acquisition & Mise en Place : 6 objectifs concernent la réalisation de la stratégie informatique, lidentification, lacquisition, le développement, linstallation des solutions informatiques et leur intégration dans des processus commerciaux ;
  • le domaine Distribution & Support : 13 objectifs regroupent la livraison des prestations informatiques exigées (lexploitation, la sécurité, les plans durgences et la formation) ;
  • le domaine Surveillance : 4 objectifs permettent au management dévaluer la qualité et la conformité des processus informatiques aux exigences de contrôle.

cobit

Le guide daudit permet dévaluer et de justifier les risques et les faiblesses des objectifs généraux et détaillés et de mettre en place des actions correctives. Ce guide daudit répond à 4 principes :

  • lacquisition dune bonne compréhension ;
  • lévaluation des contrôles ;
  • la vérification de la conformité ;
  • la justification du risque de ne pas atteindre les objectifs de contrôle.

Le guide de management fournit des indicateurs clés dobjectifs et de performances et des facteurs clés de succès. Cest aussi dans ce guide que lon trouve le modèle de maturité. Il évalue latteinte dun ou plusieurs objectifs généraux sous forme dune échelle de 0 à 5:

  • 0 : Inexistant;
  • 1 : Existant mais non organisé (initialisé au cas par cas) ;
  • 2 : Décrit (reproductible mais intuitif) ;
  • 3 : Défini (avec documentation) ;
  • 4 : Surveillé et mesuré ;
  • 5:Optimisé.

Les outils de la mise en oeuvre contiennent une présentation de « success story » dentreprises qui ont mis en place rapidement et avec succès la méthode COBIT. Cette partie intègre deux outils danalyse de sensibilisation du management et de diagnostic de contrôle informatique.

Le COBIT est donc étroitement lié aux objectifs de lentreprise tout en sintéressant plus particulièrement à linformatique. Il permet de rassurer le management, duniformiser les méthodes de travail et de garantir la sécurité et les contrôles de leurs services informatiques.

Conclusion

COBIT est un outil fédérateur qui permet d’instaurer un langage commun pour parler de la gouvernance des systèmes d’information tout en intégrant les apports d’autres référentiels comme l’ISO 9000, ITIL ou CMMI. Cette spécificité résulte essentiellement du fait que COBIT adresse une population un peu différente que les autres référentiels, en effet COBIT a une coloration plus MOA.

Il a l’avantage d’avoir été conçu pour une approche globale et le désavantage, pour le pilotage, d’être issu de l’audit, ce qui fait que son volet guide de management est méconnu.

Enfin, il existe un COBIT Quickstart permettant un démarrage encore plus rapide et une bonne appropriation du référentiel.

Références

Les liens :