COBIT : Une démarche de pilotage des risques informatiques

  Les origines et objectifs de COBIT

La nécessité d’avoir un cadre de référence en matière de sécurité et de contrôle des TI a poussée l’ISACA (Information Systems Audit and Control Association) à créer la méthode COBIT en 1996. Cette méthode est diffusée en France par sa branche française l’AFAI ( l’Association Française de l’Audit et du Conseil Informatique).

L’objectif était de faire le lien entre les risques métiers, les besoins de contrôle et les questions techniques en se basant sur les meilleures pratiques en audit informatique et SI.

Le COBIT se destine aussi bien au management (qui doit décider des investissements à effectuer pour assurer la sécurité et la maîtrise des TI, et les ajuster suivant les risques de l’environnement) qu’aux utilisateurs (sécurité, mise sous contrôle des services informatiques fournis). La méthode COBIT se veut le modèle de référence de la gouvernance des TI.

Récemment et afin de faciliter l’évolution et la formalisation de la maîtrise des risques relatifs aux TI notamment dans le cadre de la loi Sarbane-Oxley, l’IT Governance Insitute (créé par l’ISACA en 1998) a lancé une version interactive en ligne de COBIT appelée COBIT Online.

Cette version permet de rechercher facilement les meilleures pratiques, modèles de maturité, indicateurs clés d’objectifs et de rendement etc. dans une base regroupant plus de 300 objectifs détaillés. Elle permet d’aider les managers à justifier les risques liés à leur gestion informatique.

Les 5 parties de la méthode COBIT

La synthèse est une présentation des concepts et principes de COBIT. Elle présente les domaines, les objectifs de contrôle généraux (aussi appelés processus) et le cadre de référence.
C’est une introduction à la méthode elle-même. Elle donne une vision générale de ce qu’est la méthode COBIT.

Le cadre de référence se décline en check list méthodiques couvrant 4 domaines, 34 objectifs de contrôle généraux (très synthétiques) et 302 Objectifs de contrôle détaillés. Chacun de ces objectifs répond à 3 familles d’impératifs : Qualité, Economiques et fiduciaires, Sécuritaire.

Le domaine Planification & Organisation : 11 objectifs couvrent tout ce qui concerne la stratégie et les tactiques. Ils identifient les moyens permettant à l’informatique de contribuer le plus efficacement à la réalisation des objectifs commerciaux de l’entreprise.

Le domaine Acquisition & Mise en place : 6 objectifs concernent la réalisation de la stratégie informatique, l’identification, l’acquisition, le développement, l’installation des solutions informatiques et leur intégration dans des processus commerciaux.

Le domaine Distribution & Support : 13 objectifs regroupent la livraison des prestations informatiques exigées (l’exploitation, la sécurité, les plans d’urgences et la formation).

Le domaine Surveillance : 4 objectifs permettent au management d’évaluer la qualité et la conformité des processus informatiques aux exigences de contrôle.

Le guide d’audit permet d’évaluer et de justifier les risques et les faiblesses des objectifs généraux et détaillés et de mettre en place des actions correctives. Ce guide d’audit répond à 4 principes : l’acquisition d’une bonne compréhension, l’évaluation des contrôles, la vérification de la conformité, la justification du risque de ne pas atteindre les objectifs de contrôle.

Le guide de management fournit des indicateurs clés d’objectif et de performance et des facteurs clés de succès.
C’est aussi dans ce guide que l’on trouve le modèle de maturité. Il évalue l’atteinte d’un ou plusieurs objectifs généraux sous forme d’une échelle de 0 à 5 :
0 : Inexistant
1 : Existant mais non organisé (initialisé au cas par cas)
2 : Décrit (reproductible mais intuitif)
3 : Défini (avec documentation)
4 : Surveillé et mesuré
5 : Optimisé.

Les outils de la mise en œuvre contiennent une présentation de « success story » d’entreprises qui ont mises en place rapidement et avec succès la méthode COBIT. Cette partie intègre deux outils d’analyse de sensibilisation du management et de diagnostic de contrôle informatique.

Le COBIT est donc étroitement lié aux objectifs de l’entreprise tout en s’intéressant plus particulièrement à l’informatique. Il permet de rassurer le management, d’uniformiser les méthodes de travail et de garantir la sécurité et les contrôles de leurs services informatiques.

Exemple sur un objectif général appelé « AMP1 Identifier les solutions »

Cet objectif général correspond au contrôle du processus informatique « trouver des solutions informatiques ».

Objectifs de contrôle général :

Pour garantir une meilleure approche des besoins utilisateur, il faut trouver des solutions informatiques. Pour cela, il faut une comparaison des différentes possibilités offertes en réponse aux besoins utilisateurs suivant plusieurs critères :

– la connaissance des solutions disponibles sur le marché,
– les méthodologies d’acquisition et de mise en place,
– l’implication des utilisateurs et de l’approvisionnement,
– l’alignement sur les stratégies de l’entreprise et de la fonction informatique etc.

Objectifs de contrôle détaillés rattachées à l’objectif « identifier les solutions » :

1. Définir des besoins d’information par la spécification des besoins fonctionnels et opérationnels de la solution envisagée en termes de performance, sécurité, fiabilité, compatibilité, et respect de la législation.
2. Analyser et formuler des solutions alternatives susceptibles de satisfaire les demandes de l’entreprise concernant le nouveau système ou sa modification
3. Formuler la stratégie d’achat dans le cadre d’un plan à court et long terme.
4. …

L’audit des objectifs de contrôle généraux et détaillés passe par 4 étapes :

Acquérir une bonne compréhension de l’objectifs concerné (interroger les acteurs concernés).

Evaluer les contrôles du processus.
ex : vérifier que les politiques et les procédures existantes exigent que les logiciels du commerce qui peuvent satisfaire les besoins des utilisateurs soient identifiés avant le choix final.

Vérifier la conformité du processus.
ex : s’assurer que toutes les faiblesses et insuffisances du système existant ont été identifiées et seront complètement traitées et résolues par le système proposé, qu’il soit nouveau ou modifié.

Justifier le risque de ne pas atteindre les objectifs de contrôle
ex : faire une analyse comparative de l’identification des besoins utilisateurs satisfait par des solutions automatisées, par rapport à des entreprises similaires ou aux normes internationales appropriées/aux meilleures pratiques reconnues de la profession.

Guide du management :

– Des facteurs clés de succès
ex. : solutions disponibles sur le marché bien connues.

– Des indicateurs clés d’objectif
ex. : nombre ou pourcentage de projets repris de zéro ou réorientés.

– Des indicateurs clés de performance
ex. : délai entre la définition des besoins et l’identification de la solution.

– Le modèle de maturité : le contrôle du processus informatique concerné peut être inexistant, initialisé au cas par cas, reproductible mais intuitif, défini, géré et mesurable, optimisé.

Guillaume Decalf

COBIT : Une démarche de pilotage des risques informatiques