Thme : COBIT et gouvernance des SI

Problmatique : COBIT pour une meilleure gouvernance des systmes de linformation .

Supervis par :
- Mr R.KISSAMI

Ralis par :

-ADDOU Khadija Ichrak (1332).

- HADDOU Fatima Zohra (1439).

Anne universitaire : 2017/2018.

 Table des matires

Liste des figures ..............................................................................................................3

Introduction ...................................................................................................................4
Chapitre I : Gnralits sur CobiT. ...........................................................................5
1) Prsentation gnrale. .....................................................................................................5
2) Bnfices. .......................................................................................................................7
Chapitre II : CobiT 5 et la gouvernance des TI ......................................................8
1) Principes.........................................................................................................................8
Principe 1 : Rpondre aux besoins des parties prenantes. .................................................................9
Principe 2 : Couvrir lentreprise de bout en bout. ........................................................................... 11
Principe 3 : Appliquer un rfrentiel unique et intgr. ................................................................. 13
Principe 4 : Faciliter une approche globale. ................................................................................... 13
Principe 5 : Distinguer la gouvernance de la gestion. .................................................................... 16
2) Orientation de mise en uvre ........................................................................................ 19
3) Le modle de maturit de CobiT 4.1 et le modle de capacit des processus de CobiT 5 .......... 22
Chapitre III : Cobit pour laudit et cas pratique ...................................................25
1) COBIT pour laudit. ...................................................................................................... 25
2) Cas pratique .................................................................................................................. 26
Conclusion ....................................................................................................................30
Rfrences ....................................................................................................................31

2
 Liste des figures

Figure n1 : Principes de COBIT 58

Figure 2: Objectif de la gouvernance : cration de valeur.9

Figure 3 : Vue densemble de la cascade dobjectifs de COBIT 5..10

Figure 4 : Gouvernance et gestion dans COBIT 5...12

Figure 5 : Rles, activits et relations cls...13

Figure 6 : Facilitateurs dentreprise de COBIT 514

Figure 7 : Facilitateurs de COBIT 5 : gnrique..15

Figure 8 : Zones cls de gouvernance et de gestion de COBIT 517

Figure 9 : Modle de rfrence du processus COBIT 5...18

Figure 10 : Les sept tapes du cycle de vie de la mise en uvre.20

Figure 11 : Rsum du modle de maturit de CobiT 4.1...22

Figure 12 : Rsum du modle de capacit des processus CobiT 523

Figure 1 : Cascade dobjectifs de CobiT 5...27

Figure 2 : Facilitateurs CobiT..27

Figure 3 : lments constitutifs de la gouvernance des TI..28

3
 Introduction :

Pour beaucoup d'entreprises, l'information et la technologie sur laquelle elle s'appuie

constituent les actifs les plus prcieux, mme si elles sont souvent les moins bien perues. Les
entreprises qui russissent connaissent les avantages des technologies de l'information et les
utilisent pour apporter de la valeur a leurs parties prenantes. Ces entreprises comprennent et
grent aussi les contraintes et les risques connexes, comme l'obligation de se soumettre a des
rgles de conformit de plus en plus contraignantes et la dpendance de plus en plus forte de
nombreux processus mtiers vis--vis des systmes d'information (SI).

Le besoin de s'assurer de la valeur des SI, la gestion des risques qui leur sont lies et les
exigences croissantes de contrle sur l'information sont dsormais reconnus comme des
lments cls de la gouvernance d'entreprise. Valeur, risque et contrle constituent le cur de
la gouvernance des SI.

Rfrence incontournable au sein de la communaut des auditeurs informatiques

depuis plusieurs annes, CobiT(Control Objectives for Information and related Technology)
est devenu un standard de la gouvernance des systmes dinformation. Publies par lISACA
(Information Systems Audit and Control Association) et lITGI (Information Technology
Governance Institute), la dernire version 5.0 rpond tout particulirement aux
problmatiques de management des systmes dinformation.

Sappuyant sur la version 5.0 de CobiT, cet expos en quatre volets replace ce
rfrentiel dans le contexte global de la gouvernance des systmes dinformation.

La premire partie sera une prsentation gnrale de CobiT. Dans la deuxime partie sont
dtaills les 5 principes de CobiT. La troisime partie est une comparaison entre le modle de
maturit de CobiT 4.1 et le modle de capacit des processus de CobiT 5.

Enfin, la quatrime partie exposera un cas pratique dutilisation et de dploiement de CobiT.

4
 Chapitre I : Gnralits sur Cobit.
1) Prsentation gnrale :
a) Historique :

CobiT est le rsultat des travaux collectifs raliss par les principaux acteurs de la
profession, auditeurs internes ou externes, fdrs au sein de lISACA (Information System
Audit and Control Association). Cette association mondiale base aux tats-Unis est dploye
dans les plus grandes villes du monde. Elle est reprsente en France par lAFAI (Association
franaise pour laudit et le conseil en informatique).

Dans ses premires versions, publies partir de 1996, CobiT (Control OBjectives for
Information and related Technology) se positionne comme un rfrentiel de contrle. Il
dcline sur le domaine IT les principes du rfrentiel COSO (Committee of Sponsoring
Organizations of the Treadway Commission), publis pour la premire fois en 1992 et dont
lobjectif est daider les entreprises valuer et amliorer leur systme de contrle interne.

La mise en chantier de CobiT rsultait donc de la volont des auditeurs de rpondre aux
exigences du COSO et de partager les mmes plans daudit. La plupart des grands cabinets
daudit internationaux (les big 6 lpoque) y ont particip. Cest ainsi devenu un standard de
fait, au moins pour les auditeurs informatiques. On y trouvait lessentiel de la structuration
actuelle en domaines, processus et objectifs de contrle dtaills.

En 1998, lITGI (Information Technology Governance Institute) a t cr sur

linitiative de lISACA, en rponse la place de plus en plus importante occupe par les
technologies de linformation. En effet, dans la plupart des organisations ou des entreprises,
lun des principaux facteurs de succs rside dans la capacit des systmes dinformation
apporter la fois la4 diffrenciation stratgique et le support des activits. Dans un tel
contexte, la gouvernance des systmes dinformation devient aussi critique que la
gouvernance dentreprise. :

Depuis une dizaine dannes, lITGI a men de nombreuses recherches au travers de groupes
de travail rpartis dans le monde entier. Le rsultat de ces recherches a notamment donn lieu
en 2000 la publication de la version V3 du rfrentiel CobiT proposant, paralllement un
guide daudit , un guide de management prfigurant les versions ultrieures.

la suite des scandales ayant eu lieu au dbut des annes 2000, le Congrs amricain vote, en
2002, la loi Sarbanes-Oxley (SOX) afin de redonner confiance aux investisseurs et aux
actionnaires en garantissant la fois la transparence des comptes, lexistence de processus
dalerte et lengagement des dirigeants (PDG, DAF). Ceci se traduit par un renforcement des
contrles lis aux processus financiers.

CobiT a t reconnu comme une rponse ces nouvelles exigences, tant en termes de contrle
que de gouvernance. La gnralisation de la loi SOX ou de ses dclinaisons locales ou
sectorielles (IFRS, International Financial Reporting Standards, LSF, Loi de scurit
financire, normes Ble II) a considrablement renforc le rle des auditeurs. Ces dispositions
5
rglementaires ont acclr la diffusion de CobiT comme rfrentiel de contrle et de
gouvernance des SI. Ensuite, lISACA a publi successivement la version 4 (dcembre 2005)
puis la version 4.1 (2007) de CobiT, en regroupant deux visions : le contrle et le
management des systmes dinformation (SI) et, plus largement, des technologies de
linformation (TI).

La version 5 de CobiT est disponible depuis avril 2012. CobiT 5 est, ce jour, le seul
rfrentiel qui est orient business pour la Gouvernance et la Gestion des Systmes
dInformation de lentreprise. Il reprsente une volution majeure du rfrentiel. CobiT 5 peut
tre adapt pour tous les types de modles business, denvironnements technologiques, toutes
les industries, les lieux gographiques et les cultures dentreprise. Il peut sappliquer :

La scurit de linformation
La gestion des risques
La gouvernance et la gestion du Systme dInformation de lentreprise
Les activits daudit
La conformit avec la lgislation et la rglementation
Les oprations financires ou les rapports sur la responsabilit sociale de lentreprise.

b) Dfinition :

CobiT (Control Objectives for Information and related Technology, en franais Objectifs
de contrle de lInformation et des Technologies Associes) est un outil fdrateur qui permet
d'instaurer un langage commun pour parler de la gouvernance des systmes d'information tout
en tentant d'intgrer d'autres rfrentiels tels que ISO 9000 et dautres.

La gouvernance des Systmes dInformation (SI) sest introduite au sein des entreprises dans
un contexte o dune part, lautomatisation des fonctions de lentreprise est devenue une
composante essentielle au sein de lentreprise et dautre part, o les dirigeants ne voient pas
comment les SI peuvent apporter de la valeur et de la performance dans lorganisation. Ainsi,
on peut parler de gouvernance des SI et donc de normes, certifications permettant cette
dernire. Cest galement dans un souci de transparence des informations que les SI se sont
dvelopps et que leur contrle est devenu incontournable. Le rfrentiel principal de
gouvernance et daudit des SI est le CobiT. En rsum le CobiT est un cadre de rfrence
pour maitriser la gouvernance des SI dans le temps. Il est fond sur un ensemble de bonnes
pratiques collectes auprs dexperts du SI.

Il sadresse principalement aux responsables et aux auditeurs susceptibles dintervenir en

apportant une mthodologie pour :

Les directions dentreprises. Ce rfrentiel leur apporte une aide dans le contrle des
investissements de faon mieux grer les risques et remplir leurs obligations face aux
investisseurs et actionnaires, par exemple.

6
 Les responsables informatiques chargs de la gestion du Systme dInformation et des
services fournis.

Les auditeurs, car ils peuvent apporter leurs recommandations aux directions sur le
contrle interne des Systmes dInformation.

c) La mission de COBIT :

Elle consiste imaginer, mettre au point, publier et promouvoir un cadre de rfrence de

contrle de la gouvernance des SI, actualis, reconnu dans le monde entier et faisant autorit.
Ce cadre de rfrence devra tre adopt par les entreprises et utilis quotidiennement par les
dirigeants, les professionnels de l'informatique et les professionnels de l'assurance.

2) Bnfices de COBIT :

COBIT 5 permet aux entreprises de crer un maximum de valeur via l'utilisation de

l'informatique, tout en maintenant un bon quilibre entre la ralisation de bnfices
et l'optimisation du niveau de risques et de l'utilisation des ressources. Le rfrentiel traite
aussi bien des aspects fonctionnels mtiers et informatiques au sein de l'entreprise, et prend en
compte les intrts internes et externes des parties prenantes. Toutes les entreprises, quelle
que soit leur taille, leur statut - commerciale ou but non lucratif, publiques comme prives,
peuvent tirer bnfices de COBIT 5.

COBIT 5 permet galement aux entreprises de :

Maintenir une information de qualit afin d'aider les prises de dcision mtier
Atteindre les objectifs stratgiques de l'entreprise et raliser les bnfices attendus par
l'utilisation efficace et innovante de l'informatique
Atteindre l'excellence oprationnelle via une utilisation fiable et efficiente de
l'informatique
Maintenir les niveaux de risques lis l'informatique un niveau acceptable
Optimiser les cots des services informatiques et des technologies correspondantes
Garantir la conformit aux lois et rglements en vigueur, ainsi que les politiques et
accords contractuels.

7
 Chapitre II : COBIT 5 et la gouvernance des TI
1) Principes :
Au cours de la dernire dcennie, le terme gouvernance est pass lavant-plan de
la rflexion des entreprises. Des entreprises de par le monde ont su tirer profit de la mise en
place dune bonne gouvernance alors que dautres, dpourvues dune telle gouvernance, ont
subi des revers marquants.

Les entreprises qui russissent reconnaissent que le conseil dadministration et les dirigeants
doivent se proccuper de la gestion des systmes dinformation au mme titre que des autres
activits de lentreprise. Les conseils dadministration et les dirigeants, tant ceux des lignes
daffaires que ceux des TI, doivent collaborer pour intgrer les TI dans les approches de
gouvernance et de gestion. De plus, un nombre croissant de lois sont adoptes et des
rglements sont tablis pour rpondre ce besoin.

COBIT 5 fournit un rfrentiel complet qui aide les entreprises atteindre leurs
objectifs en matire de gouvernance et de gestion des TI. En bref, il aide les entreprises tirer
le maximum des TI en maintenant lquilibre entre la ralisation de bnfices, loptimisation
des niveaux de risque et lutilisation des ressources. COBIT 5 offre une approche holistique
de la gouvernance et de la gestion des TI applique lensemble de lentreprise.

Il tient compte de toutes les activits de lentreprise et des domaines fonctionnels des TI et
prend galement en considration les intrts des parties prenantes tant internes quexternes
en matire de TI. COBIT 5 est gnrique et utile pour les entreprises de toutes tailles, quil
sagisse dorganisations commerciales, dorganismes sans but lucratif ou du secteur public.

Figure n1 : Principes de COBIT 5

8
Principe 1 : Rpondre aux besoins des parties prenantes

Le rle des entreprises est de crer de la valeur pour leurs parties prenantes. Par
consquent, toute entreprise, commerciale ou non, aura la cration de valeur comme objectif
de gouvernance. Crer de la valeur signifie raliser des bnfices un cot optimal des
ressources, tout en optimisant les risques.

Figure 2: Objectif de la gouvernance : cration de valeur

Ce principe introduit la cascade dobjectifs de COBIT 5. Les objectifs dentreprise en

matire de TI, utiliss pour formaliser et structurer les besoins des parties prenantes, peuvent
tre lis des objectifs TI, lesquels sont atteints grce lutilisation optimale et la mise en
uvre de tous les facilitateurs, incluant les processus. Cet ensemble dobjectifs connexes est
appel cascade dobjectifs de COBIT 5 .

Les besoins des parties prenantes doivent tre traduits en actions stratgiques pouvant tre
mises en place dans lentreprise.
La cascade dobjectifs de COBIT 5 reprsente le mcanisme de traduction des besoins
des parties prenantes en objectifs dentreprise prcis, ralisables et personnaliss, en objectifs
lis aux TI et en objectifs facilitant. Cette traduction permet de fixer des objectifs prcis tous
les niveaux et dans tous les domaines de lentreprise, en appui aux objectifs gnraux et aux
exigences des parties prenantes, afin de soutenir efficacement lalignement entre les besoins
dentreprise et les solutions et services des TI.

tape 1. Les motivations des parties prenantes influencent leurs besoins

Les besoins des parties prenantes sont influencs par un certain nombre de facteurs,
comme des changements de stratgie, un changement dans les affaires, lvolution de la
rglementation ou encore de nouvelles technologies.

tape 2. Les besoins des parties prenantes se dclinent en objectifs dentreprise

Les besoins des parties prenantes sexpriment sous forme dobjectifs dentreprise
gnriques. Ces objectifs dentreprise ont t tablis en utilisant les dimensions du tableau de
bord prospectif, et ils reprsentent une liste dobjectifs couramment utiliss quune entreprise
peut dfinir pour elle-mme.

9
 Figure 3 : Vue densemble de la cascade dobjectifs de COBIT 5

tape 3. Les objectifs dentreprise se dclinent en objectifs lis aux TI

La ralisation des objectifs dentreprise ncessite latteinte dun certain nombre de
rsultats lis aux TI2, ces derniers se rapportant aux objectifs lis aux TI.

tape 4. Les objectifs lis aux TI et leur dclinaison en objectifs facilitant

Latteinte des objectifs lis aux TI exige la mise en uvre et lutilisation russies dun
certain nombre de facilitateurs, incluant les processus, les structures organisationnelles et
linformation.

Avantages de la cascade dobjectifs de COBIT 5 :

La cascade dobjectifs est importante, car elle permet de dfinir des priorits pour la mise en
uvre, lamlioration et lassurance de la gouvernance des TI de lentreprise et est base sur
des objectifs (stratgiques) de lentreprise ainsi que sur des risques connexes.

10
 Dans la pratique, la cascade dobjectifs :
Dfinit des objectifs pertinents et concrets pour divers niveaux de responsabilit.

Filtre la base de connaissances de COBIT 5 en se basant sur les objectifs dentreprise, afin
dextraire des orientations pertinentes inclure dans des projets spcifiques de mise en uvre,
damlioration ou dassurance.

Dfinit et communique clairement limportance des facilitateurs (parfois trs oprationnels)

dans latteinte des objectifs dentreprise.

Principe 2 : Couvrir lentreprise de bout en bout

COBIT 5 traite de la gouvernance ainsi que de la gestion bout en bout de linformation

et des technologies connexes de lentreprise. Cela signifie que COBIT 5 :

Intgre la gouvernance des TI dans la gouvernance dentreprise.

Couvre toutes les fonctions et les processus ncessaires pour gouverner et grer
linformation et les technologies lies lentreprise, quel que soit lendroit o cette
information est traite.

COBIT 5 fournit une vision globale et systmique de la gouvernance et de la gestion

des TI de lentreprise en se basant sur un certain nombre de facilitateurs considrs lchelle
de lentreprise et comprenant les lments et le personnel, interne comme externe, impliqus
dans la gouvernance et la gestion de linformation et des TI connexes. Ils comprennent
galement les activits et les responsabilits des fonctions de tout ce qui est ou non concern
par les TI dans lentreprise.

Linformation est lun des facilitateurs de COBIT. Le modle au moyen duquel COBIT 5
dfinit les facilitateurs permet toutes les parties prenantes de dfinir lensemble des
exigences lies linformation et au cycle de vie du traitement de linformation. Ainsi, il
permet de relier lentreprise, son besoin dinformation adquate et la fonction TI, tout en
soutenant les oprations et en sadaptant son contexte.
 Approche de gouvernance :

Figure 4 : Gouvernance et gestion dans COBIT 5

Outre son objectif, les principaux lments constituant lapproche de gouvernance sont les
facilitateurs, la porte, les rles, les activits et les relations.

Facilitateurs de la gouvernance

Les facilitateurs de la gouvernance sont les ressources organisationnelles, comme les

rfrentiels, les principes, les structures, les processus et les pratiques, par lesquels ou vers
lesquels laction est dirige de faon atteindre les objectifs fixs. Les facilitateurs
comprennent galement les ressources de lentreprise. Par exemple, les capacits de service
(infrastructure des TI, applications, etc.), le personnel et linformation. Un manque de
ressources ou de facilitateurs peut affecter la capacit de lentreprise crer de la valeur.
Compte tenu de limportance des facilitateurs en matire de gouvernance, COBIT 5 prsente
une faon unique de considrer et de traiter les facilitateurs.

Porte de la gouvernance

La gouvernance peut tre applique toute lentreprise, une entit, un actif tangible ou
intangible, etc. Autrement dit, il est possible de ne dfinir que certains aspects de lentreprise
auxquels sapplique la gouvernance. Il est essentiel de bien dfinir cette porte du systme de
gouvernance. COBIT 5 considre lentreprise dans son ensemble, mais fondamentalement,
COBIT 5 peut traiter tout aspect individuellement.

Rles, activits et relations

Les rles, les activits et les relations dfinissent les personnes qui participent la
gouvernance, la faon dont elles sont impliques, ce quelles font et comment elles
interagissent dans le cadre dun systme de gouvernance. COBIT 5 tablit une diffrenciation
claire entre les activits de gouvernance et celles de gestion ainsi quune interface entre ces
activits et les rles des acteurs impliqus.

12
 Figure 5 : Rles, activits et relations cls

Principe 3 : Appliquer un rfrentiel unique et intgr

COBIT 5 est un rfrentiel unique et intgr pour les raisons suivantes :

Il saligne avec les normes et rfrentiels dimportance les plus rcents, permettant ainsi
lentreprise dutiliser COBIT 5 comme intgrateur global du rfrentiel de gouvernance et de
gestion.
Il couvre compltement lentreprise, fournissant une base pour intgrer efficacement
dautres rfrentiels, normes et pratiques. Un rfrentiel global unique constitue une source
cohrente et intgre dorientations dans un langage commun, non technique et indpendant
des technologies.
Il fournit une architecture simple pour structurer les documents dorientation et gnrer un
ensemble cohrent de documents.
Il intgre toutes les connaissances prcdemment rparties dans les diffrents rfrentiels
labors par lISACA.
COBIT 5 intgre toutes ces connaissances.

Principe 4 : Faciliter une approche globale

Les facilitateurs de COBIT 5 :

Les facilitateurs sont des facteurs qui, individuellement ou collectivement, influencent la

russite dune activit; dans ce cas-ci, la gouvernance et la gestion des TI de lentreprise. Les
facilitateurs sont influencs par la cascade dobjectifs, cest--dire que des objectifs de plus
haut niveau lis aux TI dfinissent ce que les diffrents facilitateurs devraient permettre
datteindre.

Le rfrentiel de COBIT 5 dcrit sept catgories de facilitateurs:

Les principes, les politiques et les rfrentiels reprsentent le vhicule permettant de

traduire le comportement dsir en orientations pratiques pour la gestion quotidienne.

Les processus dcrivent un ensemble organis de pratiques et dactivits requises pour

atteindre des objectifs et pour produire un ensemble de rsultats permettant la ralisation des
objectifs globaux lis aux TI.

Les structures organisationnelles sont les principales entits de dcision dans lentreprise.

13
 La culture, lthique et le comportement des individus et de lentreprise sont trs
souvent sous-estims en tant que facteurs de russite dans les activits de gouvernance et de
gestion.

Linformation est omniprsente dans toute organisation. Elle comprend toute

linformation produite et utilise par lentreprise. Linformation est ncessaire pour maintenir
lorganisation fonctionnelle et bien gouverne, mais au niveau oprationnel, elle est souvent
le produit phare de lentreprise elle-mme.

Les services, linfrastructure et les applications comprennent linfrastructure, la

technologie et les applications qui fournissent lentreprise les traitements et les services en
matire de technologies de linformation.

Le personnel, les aptitudes et les comptences sont lies aux individus et sont ncessaires
pour la russite de toutes les activits ainsi que pour la prise de dcisions claires et de
mesures correctives.

Figure 6 : Facilitateurs dentreprise de COBIT 5

Certains facilitateurs prcdemment dfinis sont galement des ressources dentreprise qui
doivent tre gres et gouvernes. Ceci sapplique :
Linformation. Certaines informations, comme les rapports de gestion et les veilles
stratgiques, constituent des facilitateurs importants pour la gouvernance et la gestion de
lentreprise.
Le service, linfrastructure et les applications.
Le personnel, les aptitudes et les comptences.

14
La figure illustre la relation de la gouvernance dentreprise, dont celle des TI, avec les divers
lments ainsi que son rle, qui consiste atteindre les principaux objectifs de lentreprise.
Toute entreprise doit tenir compte dun ensemble de facilitateurs inter-relis.
Exemple : Gouvernance et gestion des TI de lentreprise
Le besoin de scurit de linformation exige la cration et la mise en uvre dun certain
nombre de politiques et de procdures. Ces politiques, leur tour, exigent la mise en uvre
dun certain nombre de pratiques lies la scurit. Toutefois, si la culture et lthique de
lentreprise et du personnel ne sont pas appropries, les processus et procdures de scurit de
linformation ne seront pas efficaces.
Dimensions des facilitateurs de COBIT 5 :
Tous les facilitateurs prsentent un ensemble de caractristiques communes (Figure 7) qui :
Fournit une faon commune, simple et structure pour grer les facilitateurs.
Permet une entit de grer ses interactions complexes.
Facilite lobtention de rsultats positifs par les facilitateurs.

Figure 7 : Facilitateurs de COBIT 5 : gnrique

Caractristiques des facilitateurs

Les quatre caractristiques communes des facilitateurs sont :
Parties prenantes
Les structures organisationnelles sont composes de parties prenantes ayant chacune leurs
propres rles, intrts et besoins, qui sont parfois contradictoires. Les besoins des parties
prenantes se traduisent par des objectifs dentreprise, qui leur tour se traduisent par des
objectifs lis aux TI de lentreprise.

15
 Objectifs
Chaque facilitateur a un certain nombre dobjectifs, et tous procurent de la valeur en
permettant datteindre ces objectifs, qui peuvent tre dfinis en fonction des lments
suivants:
Rsultats attendus du facilitateur
Application ou fonctionnement du facilitateur
Les objectifs facilitant peuvent encore tre diviss en diffrentes catgories :
Qualit intrinsque : La mesure selon laquelle les facilitateurs agissent avec
prcision, de faon objective et fournissent des rsultats prcis, objectifs et fiables.
Qualit contextuelle : La mesure selon laquelle les facilitateurs et leurs rsultats sont
appropris au contexte dans lequel ils oprent.
Accs et scurit : La mesure selon laquelle les facilitateurs et leurs rsultats sont
accessibles et scuriss, cest--dire disponibles au moment opportun et au besoin,
avec accs limit aux personnes qui en ont besoin.
Cycle de vie
Chaque facilitateur possde un cycle de vie, qui va de sa cration son limination, en
passant par sa dure de vie oprationnelle et utile. Ceci sapplique linformation, aux
structures, aux processus, aux politiques, etc.
Bonnes pratiques
Les bonnes pratiques fournissent des exemples ou des suggestions sur la meilleure faon de
mettre en uvre les facilitateurs en prcisant les produits, les intrants ou les extrants requis.
Celles-ci contribuent latteinte des objectifs facilitant.
Gestion de la performance des facilitateurs
Les entreprises sattendent des rsultats positifs de la mise en uvre et de lutilisation
des facilitateurs. Pour grer la performance des facilitateurs, les questions qui suivent doivent
tre considres, et il faut par la suite y rpondre sur une base rgulire en fonction des
indicateurs:
Les besoins des parties prenantes sont-ils pris en compte?
Les objectifs facilitant sont-ils atteints?
Le cycle de vie des facilitateurs est-il gr?
Les bonnes pratiques sont-elles appliques?
Les deux premiers points peuvent tre appels indicateurs de rsultats , et les deux derniers
points peuvent tre appels indicateurs de fonctionnement .

Principe 5 : Distinguer la gouvernance de la gestion :

Gouvernance et gestion
Le rfrentiel de COBIT 5 tablit une distinction claire entre la gouvernance et la gestion.
Ces deux fonctions englobent diffrents types dactivits, ncessitent diffrentes structures
organisationnelles et rpondent des besoins diffrents.
Le point de vue de COBIT 5 quant cette distinction cl entre la gouvernance et la gestion est
le suivant :
o Gouvernance
La gouvernance consiste valuer les besoins, les rgles et les options des parties
prenantes dans le but de dterminer des objectifs dentreprise quilibrs qui font consensus.

16
Elle permet de dterminer lorientation par les priorits et la prise de dcisions. Enfin, elle
permet de contrler la performance et la conformit au regard des orientations et des objectifs
convenus.
Dans la plupart des entreprises, la gouvernance relve du conseil dadministration, sous la
direction de son prsident.
o Gestion :
Lquipe de gestion planifie, btit, excute et surveille les activits conformment
lorientation fixe par le groupe de gouvernance afin datteindre les objectifs dentreprise.
Dans la plupart des entreprises, la gestion relve de la haute direction, sous lautorit du
prsident-directeur gnral.
Daprs les dfinitions de la gouvernance et de la gestion, il est clair que ces deux fonctions
comprennent diffrents types dactivits et de responsabilits. tant donn le rle de la
gouvernance (valuer, diriger et surveiller), un ensemble dinteractions est ncessaire entre la
gouvernance et la gestion afin dobtenir un systme de gouvernance efficace.
Modle de rfrence du processus COBIT 5
COBIT 5 se dfend dimposer sa vision, mais recommande fortement aux entreprises de
mettre en uvre des processus de gouvernance et de gestion de telle sorte que les principaux
piliers soient couverts, comme le montre la figure 8.

Figure 8 : Zones cls de gouvernance et de gestion de COBIT 5

17
Une entreprise peut dcider de ses propres processus, condition que tous les objectifs de
gouvernance et de gestion ncessaires soient couverts.
Le modle de rfrence de COBIT 5 divise lensemble des processus de lentreprise en deux
fonctions :
Gouvernance
Gestion :
Contient quatre domaines en lien avec la planification, la cration, lexcution et la
surveillance (PCES), qui contiennent cependant un plus grand nombre de verbes :
Aligner, planifier et organiser (APO)
Btir, acqurir et implanter (BAI)
Livrer, servir et soutenir (LSS)
Surveiller, valuer et mesurer (SEM)
La figure ci-dessous montre lensemble des 37 processus de gouvernance et de gestion de
COBIT 5.

Figure 9 : Modle de rfrence du processus COBIT 5

Processus de gouvernance des TI de lentreprise

valuer, diriger et surveiller

18
 2) Orientation de mise en uvre
Toute entreprise peut optimiser sa valeur en tirant profit de COBIT, pour autant
quelle se lapproprie et ladapte son contexte particulier. Chaque approche de mise en
uvre sera assortie dun lot de dfis particuliers, dont la gestion des changements culturels et
comportementaux.
Tenir compte du contexte de lentreprise
La gouvernance et la gestion des TI de lentreprise ne se font pas en vase clos. Chaque
entreprise doit concevoir son propre plan de mise en uvre en fonction de facteurs
environnementaux internes ou externes qui lui sont propres, tels que :
Lthique et la culture
Les lois, les rglements et les politiques applicables
La mission, la vision et les valeurs
Les politiques et les pratiques de gouvernance
Le plan daffaires et les intentions stratgiques
Le modle dexploitation et son niveau de maturit
Le style de gestion
La tolrance au risque
Les capacits et les ressources disponibles
Les pratiques de lindustrie
Crer un environnement appropri
La plupart des initiatives lies aux TI chouent en raison dune orientation, dune supervision
ou dun soutien inadquats de la part des diffrentes parties prenantes concernes. Le soutien
et lorientation des principales parties prenantes sont essentiels afin que les amliorations
proposes soient adoptes et maintenues. Dans un environnement dentreprise fragile
(caractris par un modle dexploitation global imprcis ou par un manque de facilitateurs de
gouvernance lchelle de lentreprise), ce soutien et cette participation sont dautant plus
importants.
Reconnatre les points sensibles et les vnements dclencheurs
Il existe un certain nombre de facteurs qui peuvent indiquer la ncessit damliorer la
gouvernance et la gestion des TI de lentreprise.
Lutilisation des points sensibles ou des vnements dclencheurs comme points de dpart
permet damliorer ladhsion et de crer un sentiment durgence au sein de lentreprise pour
donner le coup denvoi de la mise en uvre. De plus, des gains rapides peuvent tre identifis
et une valeur ajoute peut tre dmontre dans les domaines de lentreprise les plus visibles
ou reconnaissables.
Voici des exemples de quelques-uns des points sensibles courants pour lesquels une
gouvernance ou une gestion nouvelle ou amliore des facilitateurs des TI peut tre une
solution (ou une partie de la solution) :
Des incidents importants lis aux risques des TI, comme une perte de donnes ou lchec
dun projet.
Linsuffisance des ressources en TI, un personnel puis, insatisfait ou aux comptences
inadquates.

19
 Des changements lis aux TI qui ne respectent pas les besoins de lentreprise et livrs en
retard ou dpassant les budgets.
Des modles complexes dexploitation des TI.
Favoriser le changement
Une mise en uvre russie dpend du choix du changement (les facilitateurs appropris de
gouvernance ou de gestion) et de la faon de le faire.
Il ne faut pas supposer que les diffrentes parties prenantes concernes ou touches par des
facilitateurs nouveaux ou amliors accepteront et adopteront facilement le changement. La
possibilit de lignorance ou de la rsistance au changement doit tre aborde au moyen dune
approche structure et proactive. De mme, il faut effectuer une sensibilisation optimale au
projet de mise en uvre grce un plan de communication qui dfinit ce qui sera
communiqu, de quelle manire, par qui et ce tout au long des diffrentes tapes du
programme.

Une approche fonde sur le cycle de vie

Le cycle de vie de la mise en uvre fournit aux entreprises une faon dutiliser COBIT pour
aborder la complexit et les dfis qui se prsentent gnralement lors de sa mise en uvre.

Figure 10 : Les sept tapes du cycle de vie de la mise en uvre :

Ltape 1 commence par le constat dun besoin de mise en uvre ou damlioration et le

consentement une telle initiative.

Ltape 2 se concentre sur la dfinition de la porte de linitiative de mise en uvre ou

damlioration en se servant de COBIT pour mettre en correspondance les objectifs

20
dentreprise, les objectifs lis aux TI et les processus TI connexes, et en tenant compte des
scnarios de risque qui pourraient galement mettre en vidence des processus cls cibler.
Une valuation de ltat actuel doit ensuite tre effectue, de mme quune valuation de la
capacit du processus pour cerner les problmes ou lacunes.

Durant Ltape 3, il faut fixer une cible damlioration, suivie dune analyse dtaille tirant
parti des orientations de COBIT pour reprer des lacunes et dfinir des solutions possibles.

Ltape 4 vise cerner des solutions pratiques en dfinissant des projets appuys par des
dossiers daffaires justifiables.
Un plan de changement est galement labor pour la mise en uvre.

Les solutions proposes sont appliques aux pratiques quotidiennes durant ltape 5.

Ltape 6 est axe sur lexploitation durable des nouveaux facilitateurs et ceux amliors
ainsi que sur la surveillance de la ralisation des bnfices attendus.
Au cours de ltape 7, la russite globale de linitiative est rvise, des exigences
supplmentaires pour la gouvernance et la gestion des TI de lentreprise sont identifies et le
besoin damlioration continue est renforc.
Au fil du temps, le cycle de vie doit tre rpt pour que se btisse une approche durable
quant la gouvernance et la gestion des TI de lorganisation.
Ralisation du dossier daffaires
Pour que la mise en uvre des initiatives issues de COBIT soit un succs, le besoin dagir
doit tre largement reconnu et communiqu au sein de lentreprise.

Linitiative doit tre prise en charge par un promoteur, impliquer toutes les parties prenantes
majeures et tre fonde sur un dossier daffaires.

. Le dossier daffaires constitue un outil prcieux la disposition de la direction pour orienter

la cration de valeur. Il devrait comprendre au minimum les lments suivants :
Les bnfices organisationnels cibls ;
Les changements organisationnels ncessaires pour crer la valeur souhaite ;
Les investissements ncessaires pour apporter les changements en gouvernance et gestion
des TI de lentreprise ;
Les cots continus administratifs et de TI.
Les avantages que lon espre tirer de cette nouvelle faon de fonctionner.
Les risques intrinsques aux lments mentionns prcdemment, y compris toute contrainte
ou dpendance ;
Les rles, les responsabilits et les approbations associs linitiative.
Les moyens de contrler linvestissement et la cration de valeur tout au long du cycle de
vie conomique, ainsi que les indicateurs utiliser.
Le dossier daffaires nest pas un document statique, mais un outil oprationnel volutif qui
doit tre mis jour continuellement afin dtre reprsentatif de la vision actuelle de lavenir.
De cette manire, il sera toujours possible dvaluer la viabilit du programme.

21
 3) Le modle de maturit de CobiT 4.1 et le modle de capacit
des processus de CobiT 5

Les outils de COBIT 5 comprennent un modle de capacit des processus fond sur la norme
reconnue mondialement ISO/CEI 15504 Gnie logiciel Norme dvaluation des processus.
Cependant, le nouveau modle se distingue du modle de maturit de COBIT 4.1 dans sa
conception et son utilisation.
Cest pour cette raison que les sujets qui suivent sont abords :
Diffrences entre les modles de COBIT 5 et de COBIT 4.1 ;
Avantages du modle COBIT 5 ;

a) La diffrence entre le modle de maturit de CobiT 4.1 et le modle de capacit

des processus de CobiT 5

L'utilisation des modles de maturit pour la gestion et le contrle des processus

informatiques se base sur une mthode d'valuation permettant de noter une entreprise selon
un niveau de maturit gradu de 0 a 5 (d'Inexistant a Optimis).
En effet, le but est gnralement de trouver ou se situent les problmes et comment tablir des
priorits pour les rsoudre-valuation de la maturit du processus, dfinition de la cible de
maturit et reprage des carts-.
Les lments du modle de maturit de COBIT 4.1 sont illustrs la figure 11.

Figure 11 : Rsum du modle de maturit de CobiT 4.1

Lutilisation du modle de maturit de COBIT 4.1 pour amliorer les processus exigeait de
recourir aux lments de COBIT 4.1 suivants :
Premirement, valuer si les objectifs de contrle du processus taient atteints.

22
 Ensuite, dterminer le profil de maturit du processus vis au moyen du modle inclus dans
les directives de gestion relatives chaque processus.
De plus, obtenir une perspective dtaille du niveau de maturit des processus en appliquant
chacun les six attributs distincts du modle de maturit gnrique de COBIT 4.1.
Enfin, puisque les contrles de processus rpondent aux objectifs de contrle gnriques, les
passer en revue lors de chaque valuation de processus. Soulignons que les contrles des
processus chevauchent partiellement les attributs du modle de maturit gnrique.
Lapproche de COBIT 5 quant la capacit des processus peut tre rsume de la faon
illustre la figure 12.

Figure 12 : Rsum du modle de capacit des processus CobiT 5

Il existe six niveaux de capacit quun processus peut atteindre, y compris un niveau
processus incomplet si les pratiques ne permettent pas de raliser lobjectif dsir :
0 Processus incomplet Le processus nest pas mis en uvre ou ne parvient pas raliser
la fonction dsire. ce niveau, il y a peu de preuves, voire aucune, que lobjectif du
processus est atteint systmatiquement.
1 Processus excut (un attribut) Le processus mis en uvre ralise la fonction dsire.
2 Processus gr (deux attributs) Le processus excut dcrit prcdemment est
maintenant mis en uvre et bien gr (planifi, surveill et ajust), et ses rsultats sont
adquatement tablis, contrls et maintenus.
3 Processus tabli (deux attributs) Le processus gr dcrit prcdemment est maintenant
mis en uvre selon une procdure dfinie qui permet latteinte des rsultats souhaits.

23
 4 Processus prvisible (deux attributs) Le processus tabli dcrit prcdemment
fonctionne maintenant selon des limites dfinies qui assurent latteinte des rsultats souhaits.
5 Processus en optimisation (deux attributs) Le processus prvisible dcrit prcdemment
est amlior continuellement afin datteindre les objectifs daffaires pertinents actuels et
projets.

Chaque niveau de capacit ne peut tre atteint que lorsque les critres du niveau prcdent
sont entirement satisfaits.
titre dexemple, une capacit de niveau 3 (processus tabli) exige que les attributs de
dfinition et de dploiement du processus soient satisfaits en grande partie, en plus de la
satisfaction complte des attributs dune capacit de niveau 2 (processus gr).
Il existe une distinction importante entre le niveau de capacit 1 et les niveaux suprieurs.
Latteinte du niveau 1 exige que les attributs de performance du processus soient satisfaits en
grande partie, ce qui signifie concrtement que le processus est excut avec succs et que
lentreprise obtient les rsultats souhaits. Quant aux niveaux de capacit suprieurs,diffrents
attributs sajoutent. Selon ce modle dvaluation, latteinte du niveau de capacit 1, mme
sur une chelle de 5, constitue dj une ralisation importante pour une entreprise.
Mentionnons que par souci de rentabilit et de faisabilit, chaque entreprise dcidera de son
niveau cible ou dsir, lequel sera rarement lun des plus levs.

b) Avantages de changement :

Les avantages du modle de capacit des processus de COBIT 5, comparativement aux

modles de maturit de COBIT 4.1 :

Laccent est mis sur lamlioration du processus excut afin de confirmer quil ralise bien
sa fonction et quil donne les rsultats requis, comme prvu.

Un contenu simplifi grce llimination des chevauchements. En effet, pour appuyer

lvaluation dun processus, le modle de maturit de COBIT 4.1 ncessitait lutilisation de
plusieurs composants prcis, incluant le modle de maturit gnrique, les modles de
maturit des processus, les objectifs de contrle et les processus de contrle.

Une meilleure fiabilit et reproductibilit des activits dvaluation de la capacit des

processus, ce qui minimise les dbats et dsaccords entre parties prenantes quant aux rsultats
dvaluation.

Une facilit dutilisation accrue des rsultats des valuations de la capacit des processus
puisque le nouveau modle tablit une base pour lexcution dvaluations plus rigoureuses et
formelles, aux fins dune utilisation interne et potentiellement externe.

Une conformit une norme dvaluation des processus gnralement accepte, entranant
un fort soutien envers lapproche dvaluation des processus sur le march.

24
 Chapitre III : CobiT pour laudit et cas pratique
1) CobiT pour laudit :
CobiT a t et reste le rfrentiel daudit de la gouvernance des SI. Son utilisation dans les
missions daudit est quasi immdiate grce sa structure de base, aux nombreuses
publications qui viennent dtailler encore les objectifs de contrle et aux outils proposs sur le
march pour automatiser les contrles.

Lapport de Cobit en audit :

CobiT permet des auditeurs non informaticiens de mener de faon professionnelle des audits
informatiques intgrs aux audits gnraux.

CobiT est utilis comme une base solide de points de contrle, il permet de slectionner les
processus critiques et de les valuer.

La structure de CobiT offre lauditeur une classification trs solide :

domaines, processus, objectifs de contrle ;
critres dinformation (efficacit, efficience, confidentialit, intgrit, disponibilit,
conformit et fiabilit) ;
ressources (applications, infrastructure, information et personnes).

Il permet aux auditeurs de justifier leurs opinions et/ou donner des conseils au management
sur les dispositifs de contrle interne.

2) Cas pratique :

Comment COBIT 5 a aid Al Rajhi Bank rpondre aux exigences de conformit et

de rglementation ?
Cre en 1957, Al Rajhi Bank est lune des plus grandes banques islamiques du
monde avec un actif total de 288 milliards SR (76,8 milliards USD), un capital vers de 4,3
milliards USD et un personnel de plus de 8 400 associs. Ayant plus de 50 ans dexprience
dans les activits bancaires et boursires, les diffrents tablissements individuels sous le nom
dAl Rajhi ont fusionn en une seule entit en 1978, Al Rajhi Trading et Exchange
Corporation. En 1988, la banque a t tablie comme une socit par actions saoudienne.

Avec son sige social situ Riyad en Arabie Saoudite, Al Rajhi Bank dispose dun vaste
rseau de plus de 500 succursales, plus de 100 succursales ddies aux femmes, plus de 4 030
guichets automatiques bancaires (GAB), de 36 000 points de service (POS) installs chez des
marchands et de la plus grande clientle bancaire du royaume, en plus de 130 centres de
transfert de fonds dans tout le royaume.

25
La fonction de gouvernance des TI de la banque a t nouvellement tablie en 2014, et il tait
ncessaire que la banque respecte les exigences de conformit et de rglementation tablies
par la Banque centrale dArabie Saoudite. En outre, les rsultats de la vrification ont
dmontr la ncessit dun cadre de gestion du risque informatique et de contrles internes
amliors. La banque utilisait plusieurs rfrentiels et normes, dont ITIL, le bureau de
gestion de projet (BGP) et ISO/IEC 27001 pour rgir et grer les TI.

Choisir un rfrentiel
La banque reconnat la ncessit dutiliser un modle intgr pour rpondre aux diffrents
besoins tablis, notamment les exigences de conformit et de vrification. Il a galement t
jug essentiel quun modle intgr introduise un langage commun de la gestion du risque
pour permettre la banque de mieux valuer la performance des TI. La banque sest donc
tourne vers COBIT, parce quil a t jug appropri, afin de rpondre ses besoins. Tous les
besoins identifis de la banque taient en mesure de correspondre aux processus et aux
pratiques de processus de COBIT. De plus, les cinq grandes gammes de guides, doutils et de
formations de COBIT ont aid les parties prenantes de la banque amliorer leurs
connaissances de COBIT pour effectuer une mise en uvre plus russie.

Aide la gestion
Pour obtenir le soutien de la haute direction, les points faibles et les objectifs de la banque ont
t identifis. Les points faibles comprenaient le fait que plusieurs rfrentiels et normes de
gouvernance taient utiliss pour grer et rgir les TI et les irrgularits des vrifications
partir dorganismes internes et externes.

Les objectifs de l'entreprise comprenaient le respect des exigences de conformit et de

rglementation, le comblement des lacunes en matire de vrifications et lintgration de la
gouvernance des TI avec la gouvernance de lentreprise.

Les points faibles et les objectifs de l'entreprise ont t mis en correspondance avec les
pratiques de COBIT en utilisant la mthode de la cascade dobjectifs (figure 1). Les processus
de COBIT ont t mis en correspondance avec le modle dexploitation des TI de la banque.

26
 Figure 1 : Cascade dobjectifs de CobiT 5

La direction de la banque a galement expliqu limportance dadopter une approche

holistique en utilisant les sept facilitateurs de COBIT 5 (figure 2) en vue dtablir une
gouvernance des TI et un modle de gestion du risque durables pour la banque.
Figure 2 : Facilitateurs Cobit

27
 Atteindre les objectifs
Une feuille de route pour rpondre aux exigences de conformit et de gouvernance a t
dfinie dans un projet de trois phases (figure 3).

Figure 3 : lments constitutifs de la gouvernance des TI

La banque a effectu une valuation de la capacit des processus en fonction de

COBIT 5 et dISO 15504 pour dterminer les forces et les faiblesses des processus existants.
Elle a galement effectu une valuation du risque fonde sur le rsultat de lvaluation afin
de prioriser les processus qui ont le plus besoin dtre amliors. Une fois que lquipe a
dtermin les processus les plus importants amliorer et sur lesquels se concentrer, la
priorit a t donne aux exigences de conformit. La banque a aussi dvelopp une feuille de
route pour amliorer les processus, incluant des projets court et long terme.

28
 Aller de lavant
La banque a produit un modle dans lequel COBIT peut tre utilis pour rpondre aux
exigences de performance des TI, de vrification et de conformit au sein de la banque. La
cration dun tel modle permet la banque de reproduire le travail dj accompli et de
lappliquer facilement aux exigences futures de performance des TI, de vrification et de
conformit mesure quelles surviennent.

Un modle de gestion du risque a galement t produit dans le cadre dun projet deux
phases (figure 4).

Figure 4 : Modle de gestion du risque

29
 CONCLUSION

COBIT peut tre utilis par des organisations pour amliorer la performance des TI et
rpondre aux exigences de conformit et de rglementation. Cest aussi le rfrentiel
incontournable de laudit de la gouvernance des systmes dinformation. Sa structure, ses
objectifs de contrle dtaills, les travaux incessants de recherche et les publications associes
en font un outil vivant et reconnu.
Bref, tout commence par ladhsion de la direction et la priorisation de processus ou de
pratiques de processus amliorer ou mettre en uvre.

30
 Rfrences

Site officiel de lISACA (Information Systems Audit and Control Association)

https://www.isaca.org/pages/default.aspx
Document tirs du site de lISACA :
COBIT 5 Version franaise -le rfrentiel gnral orient affaires et gestion destin la
gouvernance et la gestion des TI de l'entreprise-.

31