Transcript Document

Cobit.
Le référentiel de la gouvernance
du système d’information.
Présentation, principes de mise en oeuvre
et perspectives.
Association Nationale des Directeurs de Systèmes d’Information.
16 janvier 2007
[email protected]
http://www.delvaux-conseil.com
1
Le contexte…
Source CIGREF
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
2
Agenda
• Présentation de COBIT
–
–
–
–
Historique
La Gouvernance des TI et les processus
Modèle de maturité
Tableau de bord équilibré
–
–
–
–
–
–
–
–
Une approche processus
Double stratégie
Identifier le commun et le spécifique
Planifier la mise en oeuvre
Réapproprier l’existant
Organisation
Logiciels supportant la démarche
Retour d’expérience
• « Mapping » entre COBIT et d’autres standards
• Principes de mise en œuvre
• Perspectives
– COBIT V4
– ValIT
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
3
Agenda
• Présentation de COBIT
–
–
–
–
Historique
La Gouvernance des TI et les processus
Modèle de maturité
Tableau de bord équilibré
–
–
–
–
–
–
–
–
Une approche processus
Double stratégie
Identifier le commun et le spécifique
Planifier la mise en oeuvre
Réapproprier l’existant
Organisation
Logiciels supportant la démarche
Retour d’expérience
• « Mapping » entre COBIT et d’autres standards
• Principes de mise en œuvre
• Perspectives
– COBIT V4
– ValIT
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
4
COBIT
Historique
• Conçu et géré par l’IT Governance Institute.
– http://www.itgi.org/
– http://itgi-france.com/
• Indépendant et libre de droits.
• Forte évolution du positionnement.
– Issu du milieu de l’audit SI (V1 : 1996).
– Largement accaparé par le management des SI.
- Le présent exposé se place résolument dans cette approche.
– La dernière version (V4 : 2006) consacre cette évolution.
• Intègre 41 Directives & Standards internationaux.
• Diffusion mondiale.
• Très nombreuses traductions.
– L'AFAI publiera la version française de COBIT V4 début 2007.
• Utilisation importante et en croissance forte.
• Utilisé dans les cadres Sarbanes
Oxley, IFRS, LSF.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
5
COBIT
Historique
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
6
COBIT
La Gouvernance des TI et les processus
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
7
COBIT
La Gouvernance des TI et les processus
COBIT : Structure de relations et de processus visant à diriger
et contrôler l'entreprise pour qu'elle atteigne ses objectifs en
générant de la valeur, tout en trouvant le bon équilibre entre
les risques et les avantages des TI et de leurs processus.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
8
COBIT
La Gouvernance des TI et les processus
• Planification et Organisation (PO)
–
–
–
–
Stratégie et tactique informatique
Contribution aux objectifs de l’entreprise
Planification, communication et gestion
Organisation adéquate et infrastructure technologique
• Acquisition et Mise en Place (AMP)
– Mise en œuvre de la stratégie informatique
– Identification, développement ou acquisition, mise en place des
solutions
– Intégration des solutions aux processus de gestion
– Modification et maintenance des systèmes
• Distribution et Support (DS)
–
–
–
–
Fourniture des services nécessaires
Sécurité de l’exploitation
Mise en place des processus de support
Traitement des données par les applications
• Surveillance (S)
– Evaluation régulière de tous les processus informatiques
– Conformité aux exigences
de contrôle et qualité des contrôles
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
9
COBIT
La Gouvernance des TI et les processus
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
10
COBIT
La Gouvernance des TI et les processus
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
11
COBIT
La Gouvernance des TI et les processus
4
34
318
COBIT exprime le QUOI, pas le COMMENT.
(OCD)
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
12
COBIT
Modèle de maturité
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
13
COBIT
Modèle de maturité
• Définition plus détaillée de chaque niveau de maturité.
• 6 dimensions de la maturité :
–
–
–
–
–
–
Compréhension & Sensibilisation
Formation & Communication
Processus & Pratiques
Techniques & Automatisation
Conformité
Expertise
• Déclinaison de chaque dimension pour tous les niveaux de
maturité.
• Le modèle de maturité est décliné
– Pour chaque processus
– Pour chaque niveau de maturité.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
14
COBIT
Tableau de bord équilibré
• Un Indicateur Clé d'Objectif (ICO) est la mesure de "ce qui"
doit être accompli. Cet indicateur est souvent défini comme le
but à atteindre.
• Un Indicateur Clé de Performance (ICP), est la mesure de la
"qualité" de la progression du processus.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
15
COBIT
Tableau de bord équilibré
• Vue externe.
• Gestion financière
– Comment les actionnaires nous voient-ils ?
• Clients
– Comment les clients nous voient-ils ?
• Vue interne.
• Processus interne
– Comment nous considérons-nous nous-mêmes ? (orientation et
qualité du processus)
• Connaissance/Innovation
– Avons-nous la capacité de continuer à améliorer nos
produits/services, et à créer de la valeur ?
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
16
COBIT
Tableau de bord équilibré
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
17
Agenda
• Présentation de COBIT
–
–
–
–
Historique
La Gouvernance des TI et les processus
Modèle de maturité
Tableau de bord équilibré
–
–
–
–
–
–
–
–
Une approche processus
Double stratégie
Identifier le commun et le spécifique
Planifier la mise en oeuvre
Réapproprier l’existant
Organisation
Logiciels supportant la démarche
Retour d’expérience
• « Mapping » entre COBIT et d’autres standards
• Principes de mise en œuvre
• Perspectives
– COBIT V4
– ValIT
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
18
« Mapping » entre COBIT et d’autres standards
COBIT adresse le SI
et s’adresse à l’ensemble de l’entreprise.
• Les différents « standards » ne sont pas concurrents mais
complémentaires!
• COBIT est le standard intégrateur du SI de l’entreprise.
• COBIT adresse le SI de l’entreprise et donc s’adresse à l’ensemble
des directions de l’entreprise.
• COBIT est un outil de leadership du DSI sur le SI de l’entreprise.
• ITIL et CMMI s’adressent aux responsables internes ou externes des
opérations et du développement.
• Il importe de bien positionner le standard au bon niveau de
responsabilité!
– Et les positionnements sont
Exposé àdifférents!
l'ANDSI. JP Delvaux, le 16 janvier 2007.
19
Acquire & Implement
Plan & Organise
Define
Strategic
IT Plan
Determine
Define
Information Technological
Direction
Architecture
Define IT
Organization
&
Relationships
Manage IT
Investment
Communicate
Aims &
Direction
Manage
Human
Resource
Ensure
Compliance
With External
Standards
Assess
Risks
Identify
Automated
Solutions
Acquire &
Maintain
Application
Software
EFQM
2
Manage
Quality
Monitor
Monitor
The
Process
Obtain
Independent
Assurance
Assess
Internal
Control
Adequacy
Provide
Independent
Audit
Manage
Change
Acquire &
Maintain
Technology
Infrastructure
Develop &
Maintain
IT
Procedures
Project Program
PRINCE
Manage
Projects
Install &
Accredit
Systems
Six
Sigma
ITIL
ASL
Gartner
ISO
9001
IIP
ISO
17799
No
Project
Deliver & Support
Define &
Manage
Service
Levels
Manage
Third-Party
Services
Manage
Performance
& Capacity
Ensure
Continuous
Service
Ensure
System
Security
Identify
& Allocate
Costs
Educate
&
Train Users
Assist &
Advise
IT
Customers
Manage
Configuration
Manage
Problems &
Incidents
Manage
Data
Manage
Facilities
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Manage
Operations
20
« Mapping » entre COBIT et d’autres standards
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
21
« Mapping » entre COBIT et d’autres standards
Source ITSMF France
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
22
Agenda
• Présentation de COBIT
–
–
–
–
Historique
La Gouvernance des TI et les processus
Modèle de maturité
Tableau de bord équilibré
–
–
–
–
–
–
–
–
Une approche processus
Double stratégie
Identifier le commun et le spécifique
Planifier la mise en oeuvre
Réapproprier l’existant
Organisation
Logiciels supportant la démarche
Retour d’expérience
• « Mapping » entre COBIT et d’autres standards
• Principes de mise en œuvre
• Perspectives
– COBIT V4
– ValIT
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
23
Mise en oeuvre de COBIT
Une approche processus
4
Processus > S Activités
Mettre COBIT en œuvre
c’est faire fonctionner
une sélection
de processus
et viser
un niveau de maturité.
34
318
Mettre COBIT en œuvre
ce n’est pas
faire fonctionner
indépendamment des activités.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
24
Mise en oeuvre de COBIT
Double stratégie
Type de stratégie
Excellence ciblée
Amélioration globale
Concerne les
processus …
choisis en fonction des
objectifs et du contexte de
l’entreprise et de l’énergie
affectable à COBIT.
l’ensemble des autres
processus COBIT.
COBIT est…
le référentiel de gestion du SI.
un langage commun des
professionnels du SI.
Maturité cible
Niveau 4 : géré.
(Voire 5 optimisé - S1 par ex.)
Niveau 3 : défini.
Mode d’organisation
Démarche projet.
Démarche « participative ».
Responsabilités
Propriétaire de processus et
typologie des responsabilités.
Champion de processus.
Mesure
ICO, ICP.
-
Financement
Spécifique.
-
Démarche
Top-Down.
Bottom-Up.
Plan de projet.
-
Planification de la mise
en oeuvre
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
25
Mise en oeuvre de COBIT
Double stratégie
5
Maturité Cible
Excellence ciblée
Amélioration globale
3
1
« Le temps ne respecte pas
ce qu'on a fait sans lui. »
SENEQUE
1
2
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Temps
3
26
Mise en oeuvre de COBIT
Identifier le commun et le spécifique
Pilotage
OCD
Processus
OCD
Activité
Activité
OCD
OCD
FCS
Activité
OCD
OCD
Activité
Activité
Activité
Objectif
ICP
ICO
TBE
Support
Commun à l’ensemble des processus :
-fonctionnement en processus
-structure COBIT
-sensibilisation, formation
-…
Spécifique à chaque processus COBIT
-ICO, ICP
-FCS
-…
COBIT laisse libre le COMMENT :
-Existant
-Bonnes pratiques
Exposé à l'ANDSI. JP Delvaux,
le 16 janvier 2007. pratiques
-Meilleures
27
Mise en oeuvre de COBIT
Planifier la mise en oeuvre
Maturité Cible
5
Le plan est déterminé à partir :
-des dimensions de la maturité
-des niveaux de la maturité.
Veiller à respecter l’équilibre entre
les différentes dimensions.
Plan
d’action
Plan
d’action
Plan
Pland’action
d’action
3
Plan
d’action
Plan
d’action
Plan
Pland’action
d’action
Pour chaque processus,
viser un niveau égal pour chaque activité plutôt
qu’un niveau élevé pour un nombre limité d’activités.
1
1
2
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
Temps 3
28
Mise en oeuvre de COBIT
Réapproprier l’existant
Spécifique
Mettre en œuvre
la gouvernance du SI,
c’est aussi :
- tabler sur la gestion existante
- la remettre progressivement
dans le cadre COBIT.
Cible
Existant
Le fossé entre la cible et l’existant
est généralement plus grand
en ce qui concerne le
fonctionnement en processus
Commun
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
29
Mise en oeuvre de COBIT
Organisation
Direction Générale
CA / Comité de Stratégie des TI
Comité de pilotage des TI
DSI
Dirigeants MoA
Propriétaire de processus
Propriétaire
de processus
« Excellence
ciblée »
Propriétaire
de
processus
«
Excellence
ciblée
»
Propriétaire
de processus
«
Excellence
ciblée
»
Propriétaire
de processus
« Excellence
ciblée »
Propriétaire
de
« Excellenceprocessus
ciblée »
« Excellence ciblée »
Champion de processus
de processus
«Champion
Amélioration
Champion
deglobale»
processus
« Amélioration
globale»
Champion
de
processus
« Amélioration
globale»
Champion
de
processus
« Amélioration
globale»
Champion
de
processus
« Amélioration
globale»
Champion
de
processus
« Amélioration
globale»
Responsable
Champion
de
processus
«
Amélioration
globale»
Champion
de
processus
IT Gouvernance
« Amélioration
globale»
Champion
de
« Amélioration processus
globale»
« Amélioration globale»
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
30
Mise en oeuvre de COBIT
Logiciels supportant la démarche
• Approche suivi de la mise en œuvre
– Construit autour de la structure COBIT (processus, OCD, FCS, …)
– Environnement d’évaluation et de suivi de l’implantation
– Origine : logiciels pour auditeurs
• Par exemple : CobiT Advisor (Methodware Ltd)
– Version en français
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
31
Mise en oeuvre de COBIT
Logiciels supportant la démarche
• L’«ERP de la DSI ».
– Pas de solution globale aujourd’hui, mais des solutions sur des parties
du paysage
– Stratégies de développement par acquisition
- Mercury, Niku (Clarity CA), ITM Software, …
– Modèle COBIT (très) progressivement intégré.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
32
Mise en oeuvre de COBIT
Logiciels supportant la démarche
• Plus simple…
– Outils basiques et standards (Notes,
MS Project, …)
– Open Source Tools?
• Dans tous les cas se
focaliser d’abord sur
–Les meilleures
pratiques
–La maturité des
processus.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
33
Mise en oeuvre de COBIT
Retour d’expérience
• Usinor
–
–
–
–
–
Approche Top-Down
Mise en avant de l’identification et le la gestion des risques
Prise en charge par la hiérarchie des métiers
COBIT = référentiel des risques
JP Delvaux : Gestion de l’information du Groupe.
• Arcelor
–
–
–
–
–
Approche Bottom-Up
Contexte de fusion
Réseau 50 top IT managers; international
COBIT = langage commun IT
JP Delvaux : « IT Governance Officer » rapportant au Group CIO.
• SMABTP
– Démarche initiée et pilotée par le DSI
– Accent mis sur l’implantation concrète dans le fonctionnement réel
- Étapes de sensibilisation, formation, planification, …
–
–
–
–
Comité de pilotage, propriétaires de processus, …
Préparer Solvabilité 2
COBIT = Référentiel de gestion du SI
JP Delvaux : Consultant
externe.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
34
Agenda
• Présentation de COBIT
–
–
–
–
Historique
La Gouvernance des TI et les processus
Modèle de maturité
Tableau de bord équilibré
–
–
–
–
–
–
–
–
Une approche processus
Double stratégie
Identifier le commun et le spécifique
Planifier la mise en oeuvre
Réapproprier l’existant
Organisation
Logiciels supportant la démarche
Retour d’expérience
• « Mapping » entre COBIT et d’autres standards
• Principes de mise en œuvre
• Perspectives
– COBIT V4
– ValIT
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
35
Perspective
COBIT V4
• Publié en novembre 2005; version française annoncée début 2007.
• Entièrement orienté vers les gestionnaires des métiers et du système
d’information.
– L’aspect audit du SI est totalement séparé.
– Ce qui acte officiellement le glissement de fait de la cible de Cobit.
• L’accent est mis sur le rôle des gestionnaires (métier et SI) dans les
processus de la gouvernance IT.
– Définition structurée des fonctions.
– Croisement RACI avec les Processus.
• Fort alignement (des OCD) sur les référentiels de fait
– Principalement ITIL, CMMI, ISO17799
• « Process Controls »
– Génériques pour l’ensemble des processus; ils complètent les OCD
spécifiques à chaque processus.
– Objectifs, Répétabilité, Rôles, Responsabilités, Performance, Plans,
Procédures, …
• « Application controls »
– Identifie la responsabilité des propriétaires des processus métier pr aux
applications.
– Complétude, validité, autorisation, séparation des responsabilités, …
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
36
Perspective
COBIT V4
• Plus forte capacité d’alignement des processus et objectifs IT sur
les métiers.
• 20 Objectifs métier standardisés :
– Vue financière
- Augmenter les parts de marché
- ..
– Vue du client
- Disponibilité du service
- …
– Vue interne
- Améliorer et maintenir les fonctionnalités des processus métier
- …
– Vue Apprentissage & croissance
- Acquérir et conserver du personnel qualitifé et motivé
- …
• 28 « Objectifs IT » standardisés.
– Intégrer les applications et les solutions technologiques harmonieusement
dans les processus des métiers
– Assurer que les services IT sont disponibles comme requis
– Livrer les projets à temps, dans le budget et en respectant les standards de
qualité.
– …
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
• Tableaux croisés Processus
/ Objectifs métier / Objectifs IT
37
Perspective
COBIT V4
• 5 domaines de la gouvernance
– Croisement avec les processus
-Alignement avec l’activité professionnelle.
-Solutions collaboratives.
- Preuves de la valeur du SI.
- Optimisation des dépenses.
Gouvernance
du SI
-Suivi des projets.
-Suivi des services fournis par le SI.
Gestion des
ressources
-Préservation des actifs
informationnels.
-Remise en service après
incidents graves.
-Continuité de l’activité.
Optimisation de la connaissance et
des infrastructures informatiques.
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
38
Perspective
ValIT
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
39
Merci de votre attention!
• Présentation de COBIT
–
–
–
–
Historique
La Gouvernance des TI et les processus
Modèle de maturité
Tableau de bord équilibré
–
–
–
–
–
–
–
–
Une approche processus
Double stratégie
Identifier le commun et le spécifique
Planifier la mise en oeuvre
Réapproprier l’existant
Organisation
Logiciels supportant la démarche
Retour d’expérience
• « Mapping » entre COBIT et d’autres standards
• Principes de mise en œuvre
• Perspectives
– COBIT V4
– ValIT
Exposé à l'ANDSI. JP Delvaux, le 16 janvier 2007.
40