205 lines
4.7 KiB
Markdown
205 lines
4.7 KiB
Markdown
COBIT
|
|
===
|
|
|
|
*20/04/18*
|
|
|
|
## Exposé
|
|
|
|
### Introduction
|
|
|
|
**C**ontrol O**b**jectives for **I**nformation and related **T**echnology
|
|
|
|
Fait en 1994, publié en 1996
|
|
|
|
La plus utilisée = version 4.1
|
|
|
|
### Principe
|
|
|
|
Sert à optimiser trucs informatiques :
|
|
|
|
* organiser DSI
|
|
* auditer DSI
|
|
* mesurer sa performance et sa maturité
|
|
* ...
|
|
|
|
Se presente sous forme d'un tableau avec grille (consulté - supervise... comme dans EBIOS (?))
|
|
Y a plusieurs vues, hein, une tétrachié même
|
|
|
|
### Version 4.1
|
|
|
|
Basé sur un pentagone qui fournit des processus pour lier différents "trucs" :
|
|
|
|
* alignement stratégique
|
|
* value delivery : valeur des métiers
|
|
* managements des risques : risques liés à l'informatique & que info put diminuer
|
|
* resources management: bonne gstion du temps et budget et personnes
|
|
* performance mesurement : permet de se mesurer dans efficacité
|
|
|
|
### Version 5
|
|
|
|
Version 4 juste basée sur gouvernance, là ou le 5 est sur management et gouvernance : englobe entreprise entière
|
|
|
|
Version 5 a 5 principes aussi. Au lieu de se baser sur un seul référentiel, ils créent un "méta réfentiel" qui en englobe plusieurs. => toutes les bonnes pratiques d'une entreprise.
|
|
|
|
### Bouiche
|
|
|
|
TOGAF 9 : savoir qu'il existe et ce qu'il fait c'est bof
|
|
Prince2 : plus important
|
|
ITIL : aussi
|
|
PMBOK : c'est un plus sur un CV - vraiment à connaitre
|
|
COSO
|
|
|
|
## Cours
|
|
|
|
### Définition
|
|
|
|
Référentiel pour l'audit et la gouvernance des technologies de l'information
|
|
|
|
S'intéresse en particulier aux objectifs liés à informatique. Le prince est de dire quoi faire, mais pas comment.
|
|
|
|
### Historique
|
|
|
|
Créé par ISACA (en France : AFAI)
|
|
|
|
Plusieurs versions avec le temps : de 1 à 5 de 1996 à 2013
|
|
|
|
La version 5 a évolué pour prendre en compte business model des entreprises utilisant COBIT et leurs environnements technologiques. COBIT peut ainsi s'appliquer à toutes les entreprises peu importe lieu ou culture.
|
|
|
|
### Application
|
|
|
|
Possible dans de nombreux dommaines d'une entreprise :
|
|
|
|
- Sécurité de l'information
|
|
|
|
- Gestion des risques
|
|
|
|
- Gouvernance et gestion du SI
|
|
|
|
- Activités d'audit
|
|
|
|
- Conformité avec législation et règlementation
|
|
|
|
- Opérations financières ou rapports sur responsabilité sociale
|
|
|
|
### Objectifs
|
|
|
|
- Faire le lien entre risques métiers, besoins de contrôle et questions techniques pour de meilleures pratiques d'audit
|
|
|
|
- Apporter une logique de contrôle et de management pour gérer les solutions techniques et les risques business
|
|
|
|
- Fournir un langage commun pour permettre aux dirigeants de communiquer entre eux sur objectifs et résultats
|
|
|
|
### Principe
|
|
|
|
- Redessine les processus SI, structures organisationnelle et systèmes de production de façon à aligner la gouvernance IT sur la stratégie de l'entreprise.
|
|
|
|
- Pour chaque processus, fournit indicateurs clés d'objectifs et de performance et des facteurs clé de succès basés sur ce que l'entreprise a besoin de faire (et non sur la façon de le faire)
|
|
|
|
5 principes :
|
|
|
|
- Répondre aux besoins des parties prenantes
|
|
|
|
- Couvrir l'entreprise de bout en bout
|
|
|
|
- Appliquer un référentiel unique et intégré
|
|
|
|
- Faciliter une approche globale
|
|
|
|
- Distinguer la gouvernance de la gestion
|
|
|
|
### Étapes
|
|
|
|
1. Quels sont les déclencheurs ?
|
|
|
|
2. Où en sommes nous acutellement ?
|
|
|
|
3. Où aimerions nous être ?
|
|
|
|
4. Que doit-on faire pour y arriver ?
|
|
|
|
5. Comment y parvenir ?
|
|
|
|
6. Avons-nous atteint notre objectif ?
|
|
|
|
7. Comment continuer d'avancer ?
|
|
|
|
### Domaines et processus (COBIT 4)
|
|
|
|
34 processus regroupées en 4 domaines
|
|
|
|
1. Planing and Organization
|
|
|
|
Comment utiliser au mieux technologies pour que l'entreprise atteigne ses objectifs ?
|
|
11 processus
|
|
|
|
2. Acquisition and Implementation
|
|
|
|
Comment définir, acquérir, mettre en œuvre les technologies nécessaires en adéquation avec les business process ?
|
|
6 processus
|
|
|
|
3. Delivery and Support
|
|
|
|
Comment garantir l'efficacité et l'efficience des systèmes technologiques en action ?
|
|
13 processus
|
|
|
|
4. Monitoring
|
|
|
|
Comment s'assurer que la solution mise en œuvre corresponde bien aux besoins de l'entreprise dans une perspective stratégique ?
|
|
4 processus
|
|
|
|
|
|
|
|
### Critères de qualitification d'un jugement
|
|
|
|
1. Efficacité
|
|
|
|
2. Efficience
|
|
|
|
3. Confidentialité
|
|
|
|
4. Intégrité
|
|
|
|
5. Disponibilité
|
|
|
|
6. Conformité
|
|
|
|
7. Fiabilité
|
|
|
|
|
|
|
|
Les données concernées sont :
|
|
|
|
- Données
|
|
|
|
- Applications
|
|
|
|
- Technologies
|
|
|
|
- Installation
|
|
|
|
- Personnel
|
|
|
|
|
|
|
|
### Package
|
|
|
|
L'outil dispose du package avec ces ressources :
|
|
|
|
- Executive summary
|
|
Résumé rapide pour managers pressés
|
|
|
|
- Framework
|
|
Cadre de référence qui explique la méthode, les domaines, les processus
|
|
|
|
- Control Objectives
|
|
215 objectifs de contrôle
|
|
|
|
- Audit Guidelines
|
|
Comment assurer un audit efficace
|
|
|
|
- Implementation Tool Set
|
|
Outils pour la mise en œuvre de COBIT
|
|
|
|
- Management Guideline
|
|
Guide du management
|