Vous n’avez pas idée de la puissance de COBIT…

Et si vous disposiez d’un référentiel qui vous permette :

  • d’auditer tout votre système d’information, en allant de l’infrastructure au plan stratégique informatique, en passant par tous les processus IT ;
  • d’identifier les processus qui devraient être mis en place à la DSI pour couvrir l’ensemble des activités permettant de construire et de faire vivre un système d’information ;
  • d’évaluer la maturité des processus IT et de vous donner une feuille de route pour l’amélioration de ces processus ;
  • d’identifier des métriques permettant de mesurer vos processus et d’en évaluer la performance ;
  • de prioriser les investissements IT nécessaires pour soutenir l’entreprise, en plein alignement avec la stratégie ?

Et bien ne cherchez plus, c’est COBIT, qui signifie Control Objectives for IT.

Oui, COBIT vous offre tout ça. C’est un référentiel extrêmement puissant qui intègre toutes ces réponses.

Originellement, dans les années 95, COBIT était un cadre d’audit. Il a rapidement évolué vers le contrôle, pour effectuer un audit complet des systèmes d’information, mais aussi faire des préconisations pour en atténuer les faiblesses. Au début des années 2000, COBIT a évolué vers un cadre de management, comprenant l’audit et le contrôle , mais aussi les processus qui devraient être mis en place pour traiter toutes les activités dans une DSI.

En 2005, la version 4 de COBIT est sortie en intégrant la gouvernance des systèmes d’information : on y retrouvait tout le dispositif de management, étendu du dispositif de gouvernance qui distribue les rôles et responsabilités de l’IT dans l’entreprise. Cette version 4 intégrait pour la première fois un système d’alignement des objectifs informatiques avec les objectifs métier de l’entreprise. C’était la première apparition du balanced scorecard de Norton & Kaplan. Ce balanced scorecard est un apport considérable dans COBIT, car il permet de prioriser les efforts d’organisation et de performance sur les processus les plus alignés avec les attentes de l’entreprise : exemple l’agilité, l’alignement des projets IT sur les projets métier, la sécurité, le respect des engagements (contrats de service) et la continuité d’activité.

Dans cette version 4 on trouvait également un pentagone représentant les 5 dimensions majeures que doivent adresser toutes les DSI :

  • l’apport de valeur de l’IT : en quoi la DSI apporte-t-elle de la valeur aux métiers ? Valeur tangible mais aussi valeur intangible, car il n’est pas toujours facile de chiffrer le ROI de tous les services ou projets IT. En termes de valeur intangible on parle d’ergonomie, de confort d’utilisation, etc.
  • la gestion des risques IT : l’IT amène un certain nombre de risques spécifiques (risques de vol de données, risque d’indisponibilité des systèmes, risques d’altération des données) souvent traités dans le cadre de la sécurité IT. Mais l’IT permet aussi de mitiger certains risques notamment via le PCI (Plan de Continuité Informatique) qui permet normalement d’assurer une continuité des processus métier supportés par l’IT. C’est pourquoi depuis quelques années, les projets de mise en œuvre de Plan de Continuité d’Activité (BCP : Business Continuity Plan) se multiplient (notamment grâce à l’adoption d’ISO22301) ;
  • la gestion des ressources IT : qu’elles soient humaines ou matérielles, cette dimension traite de la capacité et de l’adéquation des moyens. Des processus sont directement en lien avec ce domaine, comme le Capacity Management d’ITIL ou la gestion des ressources humaines liées à l’IT, en lien avec la DRH. Il y a des liens forts également avec la gestion de la Demande découlant de la saisonnalité ;
  • la mesure de la performance : cette dimension très importante répond à la nécessité de la Direction Générale de mesurer la qualité des services IT et le soutien de l’IT à la performance de l’entreprise. Cette dimension intègre l’amélioration continue car sans mesure, il n’y a pas d’amélioration quantifiable ;
  • l’alignement stratégique : dernier aspect extrêmement important de la gouvernance IT. L’alignement stratégique vise à donner à la Direction Générale l’assurance que les investissements IT sont bien en ligne avec les orientations de l’entreprise. Intervient à ce niveau le balanced scorecard intégré à COBIT, notamment via la gestion des projets et des programmes : si la DSI est partie prenante intégrante des programmes de l’entreprise, l’alignement est beaucoup mieux assuré que si l’IT gère ses projets et programmes se son côté.

Depuis 2014, l’ISACA a sorti la version 5 de COBIT qui amène quelques améliorations, mais présente quelques régressions par rapport à la version 4. J’en parlerai dans un prochain article.

En résumé, COBIT est un excellent référentiel pour organiser, piloter, développer et auditer une DSI. COBIT devrait être l’outil de travail au quotidien du Directeur des Systèmes d’Information, de l’auditeur, du contrôle IT et de la qualité.

Pour en savoir plus : https://www.skills4all.com/formation-certification/gouvernance-si-systeme-information/15-COBIT-framework/

Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s