COBIT === *20/04/18* ## Exposé ### Introduction **C**ontrol O**b**jectives for **I**nformation and related **T**echnology Fait en 1994, publié en 1996 La plus utilisée = version 4.1 ### Principe Sert à optimiser trucs informatiques : * organiser DSI * auditer DSI * mesurer sa performance et sa maturité * ... Se presente sous forme d'un tableau avec grille (consulté - supervise... comme dans EBIOS (?)) Y a plusieurs vues, hein, une tétrachié même ### Version 4.1 Basé sur un pentagone qui fournit des processus pour lier différents "trucs" : * alignement stratégique * value delivery : valeur des métiers * managements des risques : risques liés à l'informatique & que info put diminuer * resources management: bonne gstion du temps et budget et personnes * performance mesurement : permet de se mesurer dans efficacité ### Version 5 Version 4 juste basée sur gouvernance, là ou le 5 est sur management et gouvernance : englobe entreprise entière Version 5 a 5 principes aussi. Au lieu de se baser sur un seul référentiel, ils créent un "méta réfentiel" qui en englobe plusieurs. => toutes les bonnes pratiques d'une entreprise. ### Bouiche TOGAF 9 : savoir qu'il existe et ce qu'il fait c'est bof Prince2 : plus important ITIL : aussi PMBOK : c'est un plus sur un CV - vraiment à connaitre COSO ## Cours ### Définition Référentiel pour l'audit et la gouvernance des technologies de l'information S'intéresse en particulier aux objectifs liés à informatique. Le prince est de dire quoi faire, mais pas comment. ### Historique Créé par ISACA (en France : AFAI) Plusieurs versions avec le temps : de 1 à 5 de 1996 à 2013 La version 5 a évolué pour prendre en compte business model des entreprises utilisant COBIT et leurs environnements technologiques. COBIT peut ainsi s'appliquer à toutes les entreprises peu importe lieu ou culture. ### Application Possible dans de nombreux dommaines d'une entreprise : - Sécurité de l'information - Gestion des risques - Gouvernance et gestion du SI - Activités d'audit - Conformité avec législation et règlementation - Opérations financières ou rapports sur responsabilité sociale ### Objectifs - Faire le lien entre risques métiers, besoins de contrôle et questions techniques pour de meilleures pratiques d'audit - Apporter une logique de contrôle et de management pour gérer les solutions techniques et les risques business - Fournir un langage commun pour permettre aux dirigeants de communiquer entre eux sur objectifs et résultats ### Principe - Redessine les processus SI, structures organisationnelle et systèmes de production de façon à aligner la gouvernance IT sur la stratégie de l'entreprise. - Pour chaque processus, fournit indicateurs clés d'objectifs et de performance et des facteurs clé de succès basés sur ce que l'entreprise a besoin de faire (et non sur la façon de le faire) 5 principes : - Répondre aux besoins des parties prenantes - Couvrir l'entreprise de bout en bout - Appliquer un référentiel unique et intégré - Faciliter une approche globale - Distinguer la gouvernance de la gestion ### Étapes 1. Quels sont les déclencheurs ? 2. Où en sommes nous acutellement ? 3. Où aimerions nous être ? 4. Que doit-on faire pour y arriver ? 5. Comment y parvenir ? 6. Avons-nous atteint notre objectif ? 7. Comment continuer d'avancer ? ### Domaines et processus (COBIT 4) 34 processus regroupées en 4 domaines 1. Planing and Organization Comment utiliser au mieux technologies pour que l'entreprise atteigne ses objectifs ? 11 processus 2. Acquisition and Implementation Comment définir, acquérir, mettre en œuvre les technologies nécessaires en adéquation avec les business process ? 6 processus 3. Delivery and Support Comment garantir l'efficacité et l'efficience des systèmes technologiques en action ? 13 processus 4. Monitoring Comment s'assurer que la solution mise en œuvre corresponde bien aux besoins de l'entreprise dans une perspective stratégique ? 4 processus ### Critères de qualitification d'un jugement 1. Efficacité 2. Efficience 3. Confidentialité 4. Intégrité 5. Disponibilité 6. Conformité 7. Fiabilité Les données concernées sont : - Données - Applications - Technologies - Installation - Personnel ### Package L'outil dispose du package avec ces ressources : - Executive summary Résumé rapide pour managers pressés - Framework Cadre de référence qui explique la méthode, les domaines, les processus - Control Objectives 215 objectifs de contrôle - Audit Guidelines Comment assurer un audit efficace - Implementation Tool Set Outils pour la mise en œuvre de COBIT - Management Guideline Guide du management