Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

La Lettre d'ADELI n° 43 – Avril 2001 27 Square des Utilisateurs Le modèle COBIT

La Lettre d'ADELI n° 43 – Avril 2001 27 Square des Utilisateurs Le modèle COBIT Management des technologies de l'information par les processus Second volet de notre dossier processus, le modèle COBIT nous est présenté par Claude Mauvais. Faut- il y voir un concurrent de CMM et SPICE, ou plutôt une approche complémentaire ? Nous parle-t-il des mêmes processus que l’ISO 12207, couvre-t-il un domaine identique ou sensiblement différent ?L’approche par le contrôle et les risques est-elle compatible avec une démarche d’amélioration de la qualité ? Chaque question en amène une autre. Souhaitons qu’un débat s’ouvre entre nos adhérents sur ces sujets, au travers de la lettre et au travers du forum Processus, ouvert sur l’espace adhérents de notre site Web. Le modèle COBIT L'utilisation des technologies de l'information (TI) est largement répandue dans la plupart des entreprises. Les systèmes d'information, opérationnels et stratégiques, sont porteurs d’avantages substantiels en termes de productivité et d'opportunité d'affaires. En revanche, ces systèmes apparaissent vulnérables, face à un large éventail de menaces souvent imprévisibles. La compréhension de ces risques et leur gestion est donc un problème majeur qui concerne les directions des entreprises, les propriétaires des processus d'affaire et les auditeurs. Pour répondre à ce besoin de maîtrise globale des systèmes d'information, l'ISACA1 a proposé un cadre conceptuel de contrôle ainsi que des outils pour la mise en place des contrôles. Ce cadre concerne trois audiences : • d'abord, les Directions ; les pratiques indiquées dans COBIT, généralement acceptées, les aident à équilibrer les investissements en moyens de contrôle, face aux risques et de remplir leurs obligations vis-à-vis des parties prenantes de l'entreprise (« IT governance ») ; • ensuite, les propriétaires des processus fonctionnels qui disposent de l'ensemble des éléments permettant d'avoir des garanties sur la sécurité et les contrôles des services fournis par les TI, qu'ils soient fournis en interne ou par un prestataire extérieur ; • enfin, les auditeurs en leur permettant de justifier leur opinion et d'apporter des recommandations aux directions en terme de contrôle interne en matière de TI. Les principes et concepts Le principe de base, sur lequel repose l'approche de contrôle applicable aux technologies de l'information, consiste à partir des besoins d'information de l'entreprise découlant de ses processus d'affaire, et de considérer que cette information est produite par l'utilisation de ressources qui doivent être gérées par des processus spécifiques aux technologies de l'information. 1 ISACA: Information Systems Audit and Control Association®. Association de professionnels de la vérification, la sécurité et le contrôle des technologies de l'information. L'ISACA a été fondée en 1969 sous le nom de EDP Auditors Association. Elle comprend aujourd’hui plus de 20.000 professionnels dans plus de 100 pays. 28 La Lettre d'ADELI n° 43 – Avril 2001 L'information L'information présente trois aspects : • l'aspect Qualité comprend également les aspects coût et délai ; • l’aspect Fiduciaire englobe l'efficacité et l'efficience des opérations, la fiabilité de l'information, le respect des lois et règlements ; • l'aspect Sécurité comporte 3 composantes: confidentialité, intégrité, disponibilité. Ces aspects sont déclinés selon 7 critères auxquels doit satisfaire l'information: • Efficacité : propriété qui s'applique à une information appropriée et pertinente, délivrée dans les délais, exacte, cohérente, et utilisable. • Efficience : concerne la fourniture d'une information en utilisant les ressources de façon optimale. • Confidentialité : concerne la protection d'une information sensible contre la divulgation ou la révélation non autorisées. • Intégrité : propriété en rapport avec l'exactitude et l'exhaustivité de l'information, ainsi que sa valeur d'utilisation pour l'entreprise. • Disponibilité : propriété d'une information, d'une ressource, d'un service d'être disponible à temps et de continuer à l'être pour l'accomplissement d'un processus fonctionnel. Elle concerne également la protection des ressources et des moyens nécessaires. • Conformité : il s'agit de la conformité aux lois et aux règlements en vigueur ainsi que le respect des contrats auxquels est soumis le processus fonctionnel, qui sont des contraintes externes. • Fiabilité de l'information : propriété d'une l'information fournie à la Direction lui permettant de diriger l'entreprise et de présenter des états financiers en conformité avec sa responsabilité. Les critères sont mesurés suivant une métrique à deux valeurs. On distingue un niveau primaire lorsque le critère revêt une importance primordiale pour l'objectif de contrôle considéré, et un degré secondaire lorsque l'impact est moins important ou indirect. Les ressources L'information est produite par des systèmes qui mobilisent les ressources suivantes. • Les données comprennent les données structurées et non structurées : graphiques, images, sons etc. • Les applications comprennent des procédures programmées et des procédures manuelles. • Les moyens technologiques le matériel, les systèmes d'exploitation, les bases de données, les réseaux, le multimédia, etc. • Les installations abritent ou supportent les systèmes. • Les personnes : avec leur formation, leur compétence et leur capacité leur permettant de planifier, d'organiser, d'acquérir, de livrer, de supporter, et de surveiller les systèmes et les services d'information. La Lettre d'ADELI n° 43 – Avril 2001 29 Les processus TI Pour s'assurer que l'information répond aux besoins de l'entreprise, les contrôles des ressources doivent être préalablement définis, mis en œuvre et surveillés, au niveau des activités de la fonction informatique et des utilisateurs de l'informatique. Comment une organisation s'assure t-elle que l'information possède les caractéristiques souhaitées ? C'est ici qu'apparaît la nécessité d'un cadre bien établi d'objectif de contrôles TI. Le diagramme suivant illustre le concept. PROCESSU S DE GESTION INFORMATION RESSOURCES INFORMATIQUES • données • systèmes d’application • tec hnologie • installa tions • personne l • effic ac ité • e fficience • c onfidentialité • intégrité • disponibilité • c onformité • fiabilité ? Concordance Ce que l’on obtient Ce dont on a besoin CRITÈRES Les ressources sont mobilisées par des activités regroupées en 34 processus TI reliés à des objectifs de contrôle. Les processus TI se décomposent à leur tour en objectifs de contrôle détaillés. Les processus TI sont regroupés dans 4 domaines : • La planification et l'organisation : ce domaine couvre les activités liées aux aspects de stratégie, de planification, de communication et d'organisation. • L'acquisition et la mise en place : la réalisation de la stratégie consiste à identifier les solutions, puis à les faire développer en interne ou à les acquérir auprès des fournisseurs et à les intégrer dans les processus d'affaire. La maintenance de systèmes existants fait également partie de ce domaine. • La distribution et le support : les systèmes et les applications doivent être exploités et sécurisés, les utilisateurs doivent être formés. • La surveillance : consiste à évaluer de façon périodique et régulière tous les processus TI et à vérifier leur conformité par rapports aux exigences de l'entreprise. Ce domaine regroupe donc la surveillance assurée par le contrôle interne, les audits internes ou les audits externes. Le concept de processus a été défini par de nombreux auteurs et occupe actuellement une place centrale dans les préoccupations de l'entreprise. Le lecteur peu familier ou qui souhaite approfondir le concept de processus peut se reporter à la bibliographie fournie en fin d’article. Le modèle peut être représenté sous la forme d'un cube qui permet d’utiliser le modèle en fonction des différentes perspectives. 30 La Lettre d'ADELI n° 43 – Avril 2001 Prenons par exemple le point de vue de la Direction : celle-ci peut s’intéresser aux aspects qualité, sécurité ou fiduciaire (traduits par COBIT en sept critères d’information spécifiques). Un Directeur informatique peut, quant à lui, vouloir s’intéresser uniquement aux ressources informatiques dont il est responsable. Les propriétaires des processus, les informaticiens et les utilisateurs peuvent s’intéresser plus particulièrement à certains processus. Un auditeur devra dans sa démarche s'intéresser aux trois aspects. D'abord les processus qui couvrent son domaine d'audit, les ressources concernées, et les critères d'information en rapport avec les objectifs d'audit. Les outils L'ISACA fournit un certain nombre d'outils, disponibles en partie sur le site de l'ISACA. • « Control objectives » décrit de manière détaillée les processus et les objectifs de contrôle, détaillés. • « Management Guidelines » décrit certains outils pour le déploiement des processus TI et leur pilotage, en particulier une forme du tableau de bord équilibré de Kaplan, adapté aux TI. • « Implementation Tool set » décrit de façon informelle comment sensibiliser à COBIT et apporte des témoignages d'utilisateurs. • « Audit Guidelines » donne des recommandations pour les auditeurs en systèmes d'information qui ont à évaluer les contrôles mis en place selon COBIT. La Lettre d'ADELI n° 43 – Avril 2001 31 La portée de COBIT COBIT a été élaboré à partir de référentiels techniques de contrôle (ITSEC,.. ) et de l'Internal Control Integrated Framework publiée aux USA en septembre 92 et connu sous l'acronyme « COSO » (traduction française : « la nouvelle pratique du contrôle interne », Éditions d'Organisation). Le contrôle interne est un processus mis en œuvre par le conseil d'administration, les dirigeants et le personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants : • réalisation et optimisation des opérations ; • fiabilité des informations financières ; • conformité uploads/Management/ cobit-en-bref.pdf