vous êtes : accueil > > Rôle des Normes > Normes pour SI> COBIT > Le COBIT

Rôle des Normes |

Imprimer l'articleEnvoyer à un ami

NORMES POUR SI - COBIT

LE COBIT

Control Objectives for Information and Related Technology (Gouvernance, contrôle et audit de l'information et des technologies associées.).Le COBIT est un référentiel pour la gouvernance des Technologies de l'Information avec un objectif de contrôle et d'audit vis à vis de l'impact de l'utilisation de ces technologies dans l'entreprise et des risques qui y sont liés.

Le COBIT a été développé depuis 1996 par l'IT Governance Institute aux Etats Unis.

Robert Lemay est membre del'ISACA, Information Systems Audit and Control Association, organisme promoteur de la méthode COBIT.

Le COBIT établi des objectifs pour les informations que doivent fournir le système d'information pour répondre au business et qui sont :

  • L'efficacité,
  • L'efficience,
  • La confidentialité,
  • L'intégrité,
  • La disponibilité,
  • La conformité,
  • La fiabilité.

Pour atteindre ces objectifs, le système d'information dispose des ressources suivantes :

  • Les compétences,
  • Les applications,
  • Les technologies,
  • Le facility management,
  • Les données.

En enfin, pour gérer ces ressources et atteindre ces objectifs, le COBIT a défini 34 processus principaux répartis en 4 domaines.

Les processus du Cobit :

Planning and Organisation :

  • Define a strategic IT plan,
  • Define the information architecture,
  • Determine technological direction,
  • Define the IT organisation ans relationships,
  • Manage the IT investment,
  • Communicate management aims and direction,
  • Manage humain ressources,
  • Ensure compliance with external requirements,
  • Assess risks,
  • Manage project,
  • Manage Quality.

Acquisition and implementation :

  • Identify automated solutions,
  • Acquire and maintain application software,
  • Acquire and maintain technology infrastructure,
  • Develop and maintain procedures,
  • Install and accredit systems,
  • Manage changes,

Delivery and Support :

  • Define and manage service levels,
  • Manage third party services,
  • Manage performance and capacity,
  • Ensure continuous service,
  • Ensure systems security,
  • Identify and allocate costs,
  • Educate and train users,
  • Assist and advise customers,
  • Manage the configuration,
  • Manage problems ans incidents,
  • Manage data,
  • Manage facilities,
  • Manage operations.

Monitoring :

  • Monitor the processes,
  • Assess internal control adequacy,
  • Obtain independent assurance,
  • Provide for independent audit.

Il faut noter que les 34 processus principaux sont des processus opérationnels et que les contrôles sont des procédures supplémentaires qui vont venir s'appliquer sur ces processus opérationnels. Ainsi, pour l'efficacité de la gouvernance et du contrôle, le COBIT impose une organisation en processus définis préalablement. Ces processus peuvent venir interférer avec d'autres processus opérationnels tel que ceux de l'ITIL, de l'ISO 20000 ou de l'ISO 27000.

A noter que COBIT ne dit rien sur les processus et le management des mesures. A noter également que COBIT range la relation fournisseur dans le Delivery of Service (DS), c'eest-à-dire ni dans le Plan & Organise (PO), ni dans l'Acquisition et Implementation (AI). Ainsi, dans l'esprit de COBIT, la relation fournisseur n'est pas stratégique.

COBIT distingue clairement les trois étapes :

  • Définition des objectifs,
  • Détermination et gestion des ressources
  • Gestion des processus.

Ce qui montre bien que les processus ne sont qu'un moyen pour répondre à des objectifs et que la dimension ressource doit être extraite des processus pour bien départager l'articulation entre objectifs, moyens et actions.

Dans le cadre du contrôle interne, le COBIT vient s'insérer dans le cadre des actions du COSO ( Committee of Sponsoring Organisations of the Treadway Commission - Internal Control). L'ISO 27000 et l'ITIL peuvent être considérés comme des mises en application du COBIT dans le domaine du service IT et de la sécurité.

Nous avons les enchaînements suivants :

COSO       COBIT       ITIL       ISO 27000