COBIT : Control Objectives for Business & Related Technology
Le modèle COBIT (Control Objectives for Business & Related Technology) est une méthode de Maîtrise des Systèmes d'Information (IT Gouvernance) et d'audit de systèmes d'information, éditée par l'Information System Audit & Control Association (ISACA) en 1996. C'est un modèle qui vise à aider le management à gérer les risques (sécurité, fiabilité, conformité) et les investissements.
Les 5 parties de la méthode COBIT
La synthèse est une présentation des concepts et principes de COBIT. Elle présente les domaines, les objectifs de contrôle généraux (aussi appelés processus) et le cadre de référence. Le modèle COBIT constitue une structure de relations et de processus (cadre de référence ou framework) visant à diriger et contrôler l'entreprise pour qu'elle atteigne ses objectifs, par l'utilisation des technologies pour améliorer l'activité et répondre aux besoins métiers.
Le cadre de référence se décline en check lists méthodiques couvrant 4 domaines, 34 objectifs de contrôle généraux et 302 objectifs de contrôle détaillés. Chacun de ces objectifs répond à 3 familles d'impératifs : fiduciaire, sécurité et qualité. Comme le montre la figure suivante, la liste des domaines du cadre de référence de COBIT sont :
- le domaine Planification & Organisation : 11 objectifs couvrent tout ce qui concerne la stratégie et les tactiques. Ils identifient les moyens permettant à l'informatique de contribuer le plus efficacement à la réalisation des objectifs commerciaux de l'entreprise ;
- le domaine Acquisition & Mise en Place : 6 objectifs concernent la réalisation de la stratégie informatique, l'identification, l'acquisition, le développement, l'installation des solutions informatiques et leur intégration dans des processus commerciaux ;
- le domaine Distribution & Support : 13 objectifs regroupent la livraison des prestations informatiques exigées (l'exploitation, la sécurité, les plans d'urgences et la formation) ;
- le domaine Surveillance : 4 objectifs permettent au management d'évaluer la qualité et la conformité des processus informatiques aux exigences de contrôle.
Le guide d**'**audit permet d'évaluer et de justifier les risques et les faiblesses des objectifs généraux et détaillés et de mettre en place des actions correctives. Ce guide d'audit répond à 4 principes :
- l'acquisition d'une bonne compréhension ;
- l'évaluation des contrôles ;
- la vérification de la conformité ;
- la justification du risque de ne pas atteindre les objectifs de contrôle.
Le guide de management fournit des indicateurs clés d'objectifs et de performances et des facteurs clés de succès. C'est aussi dans ce guide que l'on trouve le modèle de maturité. Il évalue l'atteinte d'un ou plusieurs objectifs généraux sous forme d'une échelle de 0 à 5:
- 0 : Inexistant;
- 1 : Existant mais non organisé (initialisé au cas par cas) ;
- 2 : Décrit (reproductible mais intuitif) ;
- 3 : Défini (avec documentation) ;
- 4 : Surveillé et mesuré ;
- 5:Optimisé.
Les outils de la mise en oe****uvre contiennent une présentation de "success story" d'entreprises qui ont mis en place rapidement et avec succès la méthode COBIT. Cette partie intègre deux outils d'analyse de sensibilisation du management et de diagnostic de contrôle informatique.
Le COBIT est donc étroitement lié aux objectifs de l'entreprise tout en s'intéressant plus particulièrement à l'informatique. Il permet de rassurer le management, d'uniformiser les méthodes de travail et de garantir la sécurité et les contrôles de leurs services informatiques.
Conclusion
COBIT est un outil fédérateur qui permet d'instaurer un langage commun pour parler de la gouvernance des systèmes d'information tout en intégrant les apports d'autres référentiels comme l'ISO 9000, ITIL ou CMMI. Cette spécificité résulte essentiellement du fait que COBIT adresse une population un peu différente que les autres référentiels, en effet COBIT a une coloration plus MOA.
Il a l'avantage d'avoir été conçu pour une approche globale et le désavantage, pour le pilotage, d'être issu de l'audit, ce qui fait que son volet guide de management est méconnu.
Enfin, il existe un COBIT Quickstart permettant un démarrage encore plus rapide et une bonne appropriation du référentiel.
Références
Les liens :
- Le site de l'ISACA : http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=31519
- Le site de l'AFAI : http://www.afai.asso.fr/index.php?m=29