cobit5

March 20, 2018 | Author: Hichem Chehida | Category: Cobit, Accountability, Leadership & Mentoring, Leadership, Business
Share
Report this link


Comments



Description

COBIT 5Ses apports pour le management et la gouvernance du SI 25 Janvier 2013 Patrick Stachtchenko Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 1 Thèmes 1. 2. 3. 4. Evolution CobiT /COBIT Contexte du projet COBIT 5 COBIT 5 : ses apports COBIT 5 : la suite Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 2 Le monde de la Technologie en 10 ans! MM$ • Pourtant, le plus souvent, ce sont des entreprises avec des processus structurés s’appuyant sur de bonnes pratiques ! • Donc, pourquoi de telles différences ? • Quels sont les facteurs qui ont mené à cette situation? • Y-avait-il des préoccupations de gouvernance et de management? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 3 Bonnes pratiques de gouvernance/management ! Dilbert : D’où vient la confiance ? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 4 . Confiance? • Articles dans les publications scientifiques • Forte augmentation du nombre d’articles qui ont été retirés après leur publication (erreurs. …) • Chaque année depuis 10 ans • 6 000 % d’augmentation sur cette période de 10 ans! • Causes : Dispositifs d’incitations. responsable des produits financiers (Août 2007) • “It is hard for us. it’s virtually impossible to violate rules.…. It’s impossible for a violation to go undetected certainly not for a considerable period of time” • Mario Andretti • “If you are under control. Joseph Cassano.? • AIG. classement des universités. without being flippant. pression concurrentielle. to even see a scenario within any kind of realm of reason that would see us losing one dollar in any of these (credit default swap) transactions” • Bernie Madoff (2007) • “In today’s regulatory environment. This is something the public doesn’t really understand …. fraudes. then you are not going fast enough” Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 5 . CobiT / COBIT Evolution De « Control Objectives » à « Governance and Management of Enterprise IT » Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 6 . 1 996: CobiT • “Control Objectives for Information and related technology” • Focus “Business” en ligne avec le programme CISA CISA / CobiT : Changement de contenu mais pas de changement du langage Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 7 .1 996: Modification du programme CISA • Après un processus de 5 ans. utilisateurs de SI. modification des domaines et du contenu en fonction d’une étude des tâches effectuées • Introduction de critères business : efficacité.CobiT / COBIT Evolution • 1970’s: Control Objectives • Orienté audit • Population visée : essentiellement des auditeurs • 1991: ISACA Regional Presidents Council Meeting à Paris • Soutien pour un nouveau “Control Objectives” • Orienté business • Populations visées : management. maîtrise • 1995 . auditeurs • 1995 . efficience. mais aussi.CobiT / COBIT Evolution • 1996 : CobiT (Control OBjectives for Information and related Technology) • Mission : objectifs de contrôles généralement acceptés concernant les SI pour une utilisation au quotidien par le management et les auditeurs • Bonnes pratiques • “Le référentiel s’appuie sur le fondement suivant” • Les ressources SI ont besoin d’être “managées” par un ensemble de pratiques IT regroupées naturellement pour fournir l’information dont ont besoin les organisations pour atteindre leurs objectifs • Population visée • “Il a été conçu non seulement pour être utilisé par les utilisateurs et les auditeurs en SI. et plus important encore. décelés et corrigés. pratiques et structures organisationnelles concues pour fournir une assurance raisonnable que les objectifs business seront atteints et que les évènement non désirés seront prévenus. comme une “checklist” pour les propriétaires de processus pour qu’ils puissent avoir une responsabilité complète pour tous les aspects du processus” • Definitions • Contrôle : “les directives.” • Objectif de contrôle IT : “l’énoncé du résultat souhaité ou de l’objectif à atteindre par la mise en oeuvre de la procédure de contrôle pour une activité informatique spécifique Les objectifs versus le Patrick Stachtchenko langage? : Réunion AFAI du 25 janvier 2013 8 . procédures. CobiT / COBIT Evolution • 1996 : Référentiel CobiT 1 • 7 critères business • • • • Efficacité Efficience Confidentialityé Integrité • Disponibilité • Conformité • Fiabilité • 5 ressources • Données • Applications • Technologie • Locaux • Personnes • 4 domaines • • • • Planification et organisation Acquisition et mise en oeuvre Exploitation et soutien Pilotage et suivi • 32 processus (271 sub-processus et objectifs de contrôle) • Connecté aux besoins business • Connected aux leviers • Connected aux préoccupations à prendre en compte • Directives d’Audit pour chaque processus • • • • • Qui doit ête interviewé? Quelles informations doivent être obtenues? Quels éléments de preuve doivent être considérés? Quels types de tests doivent être effectués ? Quel type d’information doit être obtenu et quel type de travail doit être effectué pour corroborer le niveau réel de risque? Le contenu et la perception? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 9 . informatiques. Maturity Models) • Extension du concept de gouvernance : 5 domaines de focalisation (Alignement stratégique. Management des Ressources. RACI. Création de valeur. modèles de maturité • Objectifs et métriques : objectifs d’activité. CobiT 4. Management Guidelines. métriques. sorties. Mesure de la Performance) • Directives de Management : entrées. Indicateurs clés d’objectifs. Control Objectives. Control and Audit for Information and related Technology) • Introduction de la Gouvernance des SI (création de l’IT Governance Institute) • Ajout d’une boîte à outils de mise en oeuvre • 2000 : CobiT 3 (Governance. des processus. un ensemble de publications • • • • Board Briefing on IT Governance Management Guidelines IT Control objectives for Sarbanes Oxley IT Governance Implementation Guide • Control Practices • IT assurance guide • CobiT Framework • Control Objectives • CobiT Quickstart • CobiT Security Baseline.1) (Framework. objectifs. et métriques associées Langage et confusion? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 10 . Control and Audit for Information and related Technology) • Notion de gouvernance des SI ajoutée • Ajout de Directives de Management (Modèles de Maturité. Indicateurs clés de performance) • > 2000 : CobiT.0 (mise à jour en 2007.CobiT / COBIT Evolution • 1998 : CobiT 2 (Governance. Management du risque. Critères clés de succès.… • 2005 : CobiT 4. Business Model for Information Security. Modèle systémique de la sécurité • 2008 : ITAF. Cadre de référence de pratiques professionnelles pour l’audit informatique Positionnement / Confusion? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 11 . Référentiel et ensemble de publications traitant la gouvernance des investissements business soutenus par les SI • 2009 : Risk IT. Référentiel et ensemble de publications traitant la gouvernance et le management des risques SI • 2010 : BMIS. Val IT 2).CobiT / COBIT Evolution • 2006 : Val IT (mise à jour en 2008. CobiT / COBIT Evolution Risk IT Risk Management Val IT Value Management Assess Risk & Opportunity CobiT IT related events IT activities drive Copyright ITGI CobiT : Gouvernance/Risques/Valeur? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 12 drive . CobiT / COBIT Evolution Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 13 . COBIT 5 : Contexte du projet • 2007 : Préoccupations • 2007 : TGF (Taking Governance Forward) • 2008/2009 : Nouvelle stratégie de l’ISACA Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 14 . . politiques.. “Big Data”.. plusieurs possibilités de “sourcing”. Applications. . plusieurs propositions de valeur possible.COBIT 5 : Contexte du projet • Plusieurs nouvelles préoccupations “Business” • Parties prenantes : nombreuses. Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 15 . risques. vue incomplète.. projets. • Management de l’information : TI/SI versus Information. intérêts différents voire divergents. holistique. simple mais pas simpliste.. fonctions business.. • Langage et terminologie : confusion.. • Absence de vue intégrée exhaustive : silos. • Inter-dépendances : approche systémique.. structures. différents niveaux d’appétit au risque et de tolérance au risque. besoin de confiance.. compétences... • Intégration du SI au business : bureau du DSI. qualité and securité. risque et contrôle. externes • Terminologie : Confusion entre gouvernance et management.COBIT 5 : Contexte du projet • Plusieurs préoccupations “Référentiel” • Multiplicité des référentiels : internes. objectif business et objectif de contrôle. externes • Incohérences entre les différentes publications : internes. … • Absence de vue intégrée • Focasilation sur le fonction SI et les processus SI et non pas sur l’information et les processus autour de l’information • En ligne avec l’évolution du “thought leadership”? • • • • • Périmètre limité Pas une approche systémique Pas facile à utiliser Pas facile à maintenir Pas adaptable à son propre contexte Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 16 . pratiques de management and contrôles. … Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 17 .…. …) • Composition inadaptée des structures de gouvernance menant à des opportunités ratées ou à des risques significatifs non identifiés (sousrepresentation de certaines parties prenantes. influence de certains lobbyistes. critère de disponibilité plus important que celui de la compétence ou de l’expérience. incomplète ou inappropriée des leviers de gouvernance et de management • Schémas de rémunération et d’évaluation inappropriés ou incohérents menant à des décisions court terme (stock options.).…) • Information insuffisante ou incomplète pour la prise de décision menant à des décisions inappropriées (pas assez de temps pour étudier le dossier. résultats trimestriels. information non structurée.COBIT 5 : Contexte du projet • Exemples de préoccupations non traitées qui ont pu poser problème • Mise en oeuvre incohérente. trop de détail. compétences insuffisantes. pour un but spécifique. à différents niveaux d’une entité. en prenant des niveaux de risque acceptables et en utilisant les ressources limitées de manière responsible” • Etablissement d’un référentiel de gouvernance • • Positionnement de la Gouvernance IT dans le business Positionnement des différents référentiels internes et externes dans le modèle de gouvernance Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 18 .e.benefits) acceptables.COBIT 5 : Contexte du projet • 2007 : TGF (Taking Governance Forward) • Définition d’un système de gouvernance • “Un système de gouvernance est constitué de tous les moyens et mécanismes qui vont permettre à de multiples parties prenantes. d’avoir leur mot à dire de manière organisée dans la fixation des orientations et dans le suivi de la performance et de la conformité de manière à créer pour elles des avantages (i. conduisant à un référentiel intégré et holistique de la gouvernance et du management des SI Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 19 . ISACA va étendre la famille de produits au travers de la création de nouvelles propriétés intellectuelles • En outre.…) sera incorporée dans la famille COBIT.g.COBIT 5 : Contexte du projet • 2008/2009 : Nouvelle Stratégie ISACA • 1. sur la sécurité. Réaliser le plein potentiel de COBIT • COBIT est largement connu et adopté. lui procurant une position de leadership et une forte notoriété • Pour construire à partir de cette base. la propriété intellectuelle existante (e.. sur les risques. sur la création de valeur. intégré. BMIS. ITAF. intégrant ou connectant les autres référentiels ou projets de recherche (Val IT. facile à maintenir. Taking Governance Forward. Risk IT.COBIT 5 : Contexte du projet • 2008/2009 : Nouvelle Stratégie ISACA • Objectifs • Fournir une référentiel renouvellé de gouvernance et de management des SI faisant autorité et répondant aux attentes du marché en matière de référentiels (facile à comprendre. …) • Intégrant ou connectant les principaux référentiels externes (ITIL. Board Briefing. …) Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 20 .… mais pas simpliste) • Fondé sur CobiT. facile à utiliser. ISO. … Soutenu par des outils : outil en ligne. académiques. facile à utiliser. …) • Incluant un “Information reference model” Modulaire : flexible. migraion facile.COBIT 5 : Contexte du projet • Spécifications de conception • • • • • Innovant : intégrant les dernières réflexions (ISACA. enquêtes.… Permettant une évaluation des “capacités” : modèle des “capacités” des processus. autres référentiels. … Permettant des contributions communautaires : utilisant le potentiel de Web 2. … Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 21 • • • • . permettant une personnalisation. sondages.0 Complet et intégré: traitant tous les éléments critiques à une gouvernance et à un management efficace et efficient des SI Facile à comprendre. permettant des vues multiples pour les différentes populations visées. facile à mantenir : utilisation de modèles. navigation aisée.… Validé : revue d’experts. à base de couches. … Connecté aux autres référentiels (ISACA. exposés sondages publiques. blocks réutilisables. permettant de multiple dimensions. autres) : plans de migration. “mapping”. aides à la mise en oeuvre. assistance. COBIT 5 A Business Framework for the Governance and Management of Enterprise IT Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 22 . … Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 23 . IRM. Audit. Risque.COBIT 5 Structure de développement • Framework Committee (11 membres) • COBIT 5 Task Force (12 membres) • COBIT 5 Development Team (6 personnes + staff) • COBIT 5 Development Workshops • Londres : 30 experts • Washington : 40 experts • “Subject Matter Experts” • Première revue : >140 experts • Seconde revue: > 160 experts >1400 commentaires • Exposé sondage • Conception : > 600 responses. 3000 commentaires • Volume 1 : Référentiel et Volume 2 : Processus : > 300 réponses • Plusieurs Task Forces for les extensions de COBIT 5 : Securité. COBIT 5 Livrables Pages • Volume 1 : A Business Framework for the Governance and Management of Enterprise IT • Volume 2 : Enabling Processes 94 230 78 • Volume 3 : Implementation Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 24 . COBIT 5 Livrables • Volume 1 : A Business Framework for the Governance and Management of Enterprise IT • Executive Summary • Overview of COBIT 5 • Principle 1 : Meeting Stakeholders Needs • Principle 2 : Covering the Enterprise from End-to-end • Principle 3 : Applying a Single Integrated Framework • Principle 4 : Enabling a Holistic Approach • Principle 5 : Separating Governance from Management • Implementation Guidance • The COBIT 5 Process Capability Model Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 25 . Skills and Competencies Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 26 . ISO/IEC 27000 Series.1 information criteria Appendix G : Detailed description of COBIT 5 Enablers Appendix H : Glossary • Appendix G: Detailed description of COBIT 5 Enablers • • • • • • • • Introduction COBIT 5 Enabler : Principles.COBIT 5 Livrables • Volume 1 : A Business Framework for the Governance and Management of Enterprise IT • • • • • • • • Appendix A : References Appendix B : Detailed Mapping Enterprise Goals – IT. PRINCE2) Appendix F : Comparison between COBIT 5 Information Reference Model and the COBIT 4. CMMI. Policies and Frameworks COBIT 5 Enabler : Processes COBIT 5 Enabler : Organisational Structures COBIT 5 Enabler : Culture.related Goals Appendix C : Detailed Mapping IT-related Goals – IT-related Processes Appendix D : Stakeholder Needs and Enterprise Goals Appendix E : Mapping of COBIT 5 with most relevant related standards and frameworks (ISO/IEC 38500. Infrastructures and Applications COBIT 5 Enabler : People. ISO/IEC 3100 Series. ITIL V3 2011 . TOGAF.ISO/IEC 20000. Ethics and Behaviour COBIT 5 Enabler : Information COBIT 5 Enabler : Services. IT Goals. 17 IT-related Goals.COBIT 5 Livrables • Volume 2 : Enabling Processes • Introduction • The Goals Cascade and Metrics for Enterprise Goals and IT-related Goals • • • COBIT 5 Goals Cascade : Stakeholders Drivers. Enabler Goals Using the COBIT 5 Goals Cascade 17 Enterprise Goals. IT • The COBIT 5 Process Model • Enabler Performance Management • The COBIT 5 Process Reference Model • • Governance and Management Processes (5 governance processes and 32 management processes) Model • COBIT 5 Process Reference Guide Contents • • Inputs and Outputs Generic Guidance for Processes : • EDM : Evaluate. Evaluate and Assess • • • • • 129 IT Process Goals 266 IT Process Goal Metrics 207 IT Practices 26 business and IT roles in IT Practices 1108 IT Activities • Appendix A : Mapping between COBIT 5 and legacy ISACA Frameworks • Appendix B : Detailed Mapping Enterprise Goals and IT-related Goals • Appendix C : Detailed Mapping IT-related Goals and IT-related Processes Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 27 . Acquire and Implement • DSS : Deliver. Enterprise Goals. Plan and Organize • BAI : Build. Enterprise Goals. 59 IT-related Goals metrics Metrics : Enterprise. Service and Support • MEA : Monitor. Direct and Monitor • APO : Align. Stakeholders Needs. roles and responsibilities Using the COBIT 5 components Appendix A : Mapping Pain Points to COBIT 5 Processes Appendix B : Example Decision Matrix Appendix C : Mapping Example Risk Scenarios to COBIT 5 Processes Appendix D : Example Business Case Appendix E : COBIT 4.COBIT 5 Livrables • Volume 3 : Implementation • • • • • • • • • • • • Introduction Positioning GEIT Taking the first steps towards GEIT Identifying implementation challenges and success factors Enabling change Implementation life cycle tasks.1 Maturity Attribute Table Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 28 . Resources 3 aspects de gouvernance (EDM) : 5 processus 4 aspects de management (PBRM) : 32 processes Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 29 • 7 catégories de leviers • • • • • • • • 4 dimensions génériques par levier • parties prenantes • objectifs • cycle de vie • bonnes pratiques (attributs) 2 types d’Inicateurs de performance • ”lead” indicators • ”lag” indicators • • • Création de valeur : 3 objectifs • • • Levier processus . Ethique & Comportement Structures Organisationnelles Compétences Capacité de Services Avantages (Benefits).COBIT 5 : Caractéristiques clés • 5 principes • • • • • Focalisé sur la création de valeur pour les parties prenantes Couvrant l’entreprise de bout en bout Référentiel Intégrateur Facilitant une approche holistique Structuré autour de la Gouvernance et du Management Processus Information Principes & Politiques Culture. Risques. COBIT 5 : Principes Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 30 . COBIT 5 P1 : Focalisé sur les parties prenantes Création de valeur • Qui sont les Parties Prenantes? • Quels sont leurs intérêts? • Quelles avantages (benefits) ? • Avantages (Benefits) pour qui? • Quels niveau de risques ? • Risques pour qui? • Quelles ressources? • Ressources de qui et pour qui? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 31 . COBIT 5 P1 : Focalisé sur les parties prenantes Cascade des objectifs • Mécanismes pour traduire les facteurs business déclenchant en objectifs business. objectifs SI et objectifs leviers spécifiques. …. exploitables et personnalisées • Ces besoins concernent les objectifs de gouvernance de tout type d’entreprise : créer des avantages (benefits). Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 32 . à un niveau de risque acceptable en utilisant les ressources de manière optimisée • Cette traduction permet l‘établissement d’objectifs spécifiques à chaque niveau et pour chaque domaine de l’entreprise en appui aux objectifs d’ensemble et aux attentes des parties prenantes • Les besoins des Parties Prenantes sont influencés par un certain nombre de facteurs • Modification de Stratégie • Modification d’environnement business et règlementaire • Evolutions technologiques. COBIT 5 P2 : Couvrant l’entreprise de bout en bout Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 33 . ) Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 34 . ce qui permet d’utiliser COBIT 5 en tant que référentiel général de gouvernance et de management • Intègre l’ensemble des référentiels existants de l’ISACA en un seul référentiel • Propose une architecture simple pour structurer l’ensemble des référentiels.COBIT 5 P3 : Référentiel intégrateur • Aligné avec les autres référentiels pertinents.. directives.. bonnes pratiques et autres études (livres blancs.. Néanmoins. si la culture d’entreprise et du personnel n’est pas appropriée les procédures et les processus ne seront pas très efficaces Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 35 . et vice versa) •Livre des outputs au service d’autres leviers e.… Ex : Le besoin d’une information sécurisée nécessite qu’un certain nombre de directives et de procédures soit créé et mis en oeuvre. les structures organisationnelles ont beoin de personnes.COBIT 5 P4 : Facilitant une approche holistique COBIT 5 Leviers : Modèle systémique avec des leviers inter-agissant Les interconnections illustrent le fait qu’un levier •A besoin d’inputs des autres leviers pour être efficace (e. les compétences et les comportements font que les processus soient efficients.g. les processus livre de l’information. Ces directives à leur tour nécessite que des pratiques soient mis en oeuvre. les processus ont besoin d’information. les personnes ont besoin de compétences et de comportememts.g. structuré et commune de traiter les leviers •Permettent à une entité de “manager” ses interactions complexes •Favorisent des résultats positifs de ces leviers Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 36 .COBIT 5 P4 : Facilitant une approche holistique Tous les leviers ont des dimensions communes qui : •Fournissent une manière simple. COBIT 5 P5 : Structuré autour de la Gouvernance et du Management Gouvernance (EDM) La Gouvernance s’assure que •Les besoins. conditions et options des parties prenantes soient évalués pour déterminer des objectifs d’entreprise équilibrés et acceptés d’être atteints •Les orientations soient fixées au travers de prioritisation et prise de décision •Le suivi de la perfomance de la conformité soit effectué par rapport aux orientation et objectifs pré-déterminés Management (PBRM) Le Management planifie. exploite et suit les activités de manière alignée avec les orientations fixées par les organes de gouvernance pour atteindre les objectifs d’entreprise Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 37 . construit. • Le modèle proposé est complet mais n’est pas le seul possible • Chaque entité doit définir ses propres processus en prenant en compte son contexte spécifique Combien de processus illustrés? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 37! 38 .COBIT 5 Modèle de Référence des Processus • Il illustre tous les processus IT normalement trouvée dans une entreprise. fournissant un modèle de référence commun compréhensible aussi bien par les managers business et informatiques. COBIT 5 Contenu du Guide Enabling Processes • Identification du Processus : Index, Nom, Zone, Domaine • Description du processus • But du processus • Objectifs IT associés and Métriques correspondants • 17 Objectifs IT, 59 Métriques IT • Objectifs des Processus et métriques correspondants • Gouvernance : 15 Objectifs de Processus IT et 37 métriques des Processus IT • Management : 114 Objectifs de Processus IT et 229 métriques des Processus IT • Tableaux RACI : 26 rôles Business et IT concernés par les 207 pratiques IT • Descriptions détaillées des pratiques • Description, inputs et outputs avec leur origine/destination, activités • Gouvernance : 12 Pratiques IT de Gouvernance et 79 activités IT de Gouvernance • Management : 195 Pratiques IT de Management et 1029 activités IT de Management • Références et guides Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 39 COBIT 5 Information : Cycle Figure 35—COBIT 5 Metadata—Information Cycle Generate and Process Business Processes IT Processes Drive Data Value Information Transform Transform Knowledge Create Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 40 COBIT 5 Information : Critères Qualité intrinsèque : valeurs des données en conformité aveC les valeurs réelles •Exactitude : correcte et fiable •Objectivité : non biaisée et impartial •Crédibilité : considérée comme vraie et crédible •Réputation : bien considérée en termes de source et de contenu Qualité contextuelle et représentationnelle : s’applique à la tache de l’utilisateur de l’information et est présenté de manière claire et intélligible •Pertinence : applicable et utile pour la tâche à effectuer •Exhaustivité : pas absente et à un niveau suffisant pour la tâche à effectuer •Actualité : suffisamment à jour pour la tâche à effectuer •Quantité d’information appropriée : appropriée pour la tâche à effectuer •Représentation concise : représentée de manière compacte •Représentation constante : présentée dans le même format •Interprétabilité :dans des langages, symboles et unités appropriés, et définitions claires •Compréhensibilité : facilement compréhensible •Facilité de manipulation : facile à manipuler et appliquer aux différentes tâches Qualité de sécurité et d’accès : disponible et à laquelle on peut accéder •Disponibilité : disponible lorsque cela est requis, ou facilement et rapidement récupérable •Accès restreint : accès restreint aux entités autorisées et actions désirées Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 41 … E. Niveau physique: Media de l’information (papier. interne/externe. Niveau syntactique: Code/langage/format D.e. culture) Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 42 . ondes sonores) B Niveau empirique: Canal d’accès (interfaces utilisateurs) C. information vs confirmation) • Contingence: est requise pur précéder cette information (pour qu’elle soit considérée comme de l’information) F. Niveau social: Contexte (contrats. trimestre.COBIT 5 Information : Attributs A. Niveau sémantique: Sens de l’information • Type d’information: financier/non financier. le présent. mois. loi. valeurs prévisionnelles/valeurs observées • Actualité de l’information: information sur la passé. signaux électriques. le futur • Niveau d’aggrégation: ventes par année. Niveau pragmatique: Utilisation de l’information • Période de rétention: pendant combien de temps faut-il conservée l’information avant de la détruire • Statut de l’information: information est opérationnelle ou historique • Nouveauté: nouvelle connaissance ou confirmation de la connaissance existente (i. COBIT 5 Information : Attributs La conception et les spécifications du nouveau système doivent indiquer : • Niveau physique —Où est conservée l’information? • Niveau empirique—Comment peut-on y avoir accès? • Niveau syntactique—Comment sera-t-elle structurée et codifiée? • Niveau sémantique—Quelle sorte d’information? Quel est le niveau d’information? • Niveau pragmatique—Quels sont les délais de rétention? Quelles autres informations sont requises pour que cette information soit utile et utilisable? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 43 . Ils ont un rôle spécifique en fonction du contexte de la structure Périmètre : Frontières des droits décisionnels de la structure organisationnelle Niveau d’autorité: Décisions que la structure est autorisée à prendre Principes opérationnels : Modalités pratiques de fonctionnement de la structure (fréquence des réunions. règles.COBIT 5 Structures Organisationnelles: Attributs Composition : Les structures sont composées de membres qui sont ou représentent des parties prenantes internes et externes.…) Pouvoirs de délégation : Structure peut déléguer ces droits décisionnels (ou un sosu-ensemble) à d’autres structures qui lui sont rattachées Procédures d’escalade : Le circuit d’escalade décrit les actions nécessaires en cas de problèmes pour prendre des décisions Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 44 . documentation. … Périmètre Validité Principes Opérationnels • • • Conséquences suite à la non conformité avec une politique Mécanismes pour traiter les exceptions Manière par laquelle la conformité avec une politique sera vérifiée et mesurée Politiques doivent être alignées aux niveaux d’appétit et de tolérance au risque Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 45 . recommendations. avis. règlements. politiques. guides.COBIT 5 Principes. directives. Directives et Référentiels: Attributs Hierarchie : principes. normes. standards. COBIT 5 Personnes et Compétences: Attributs Position Education Qualifications Expérience Savoir/Connaissance Savoir faire Savoir être Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 46 . Ethique et Comportements Attributs Aussi bien pour les organisations que pour les individus Valeurs Comportement • Prise de risques • Non conformité • Résultats (positif. negatif. …) : apprendre.COBIT 5 Culture. … Incitations Eléments disuasifs Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 47 . blâmer. Niveaux de service Architecture • Réutilisation • Acquisition / Développement • Simplicité • Agilité • Ouverture Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 48 .COBIT 5 Capacités de services : Attributs Services : Applications. Infrastructure. …. COBIT 5 Guide de Mise en Oeuvre Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 49 . pour des besoins aussi bien internes qu’externes. Amélioration de l’utilisabilité des résultats de l’évaluation.COBIT 5 Evaluation de Capacité des Processus • Le modèle de maturité des processus de COBIT 4.1 remplacé par le modèle de capacité basé sur ISO/IEC 15504 pour s’aligner et appuyer une initiative spécifique de l’ ISACA: Programme d’évaluation de COBIT • Plusieurs bénéfices associées • • • Focalisation sur le fait de confirmer qu’un processus atteint son but et livre les résultats attendus Simplification du contenu appuyant l’évaluation du processus Fiabilité et répétabilité améliorées des activités d’évaluation de la capacité des processus. diminution des débats et désaccords entre parties prenantes sur les résultats des évaluations. dans la mesure où la nouvelle approche établit une base pour des évaluations plus formelles et rigoureuses. Conformité avec un standard généralement accepté d’évaluation des processus et donc meilleur soutien du marché pour ce type d’approche Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 50 • . COBIT 5 Modèle de Capacité des Processus Comparaison . COBIT 5 Modèle de Capacité des Processus Comparaison . etc… •Approche systémique : interdépendence dynamique des interconnections •Couvre l’ensemble du cycle de vie (création à la destruction) Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 53 . principes et directives.COBIT 5 Sommaire des caractéristiques nouvelles • Augmentation de la couverture horizontale de l’information et de la technologie associée en tant qu’actif de l’entreprise •Complet : couvre non seulement les processus mais aussi les autres leviers nécessaire à une gouvernance et un management efficace et efficient des SI • 7 categories de leviers : structures organisationnelles. leviers. aux objectifs des leviers • Métriques de résultats et métriques de performance des leviers • Modèle d’évaluation de la capacité des leviers • Modèles génériques de gouvernance et de management (objectifs.) pouvant couvrir toutes les fonctions de l’entreprise • Modèle relative à l’information: l’information est la plus forte connection entre le business et la technologie Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 54 .COBIT 5 Sommaire des caractéristiques nouvelles • Augmentation de la couverture verticale avec le business • Point de départ : parties prenantes et création de valeur pour elles (bénéfices pour qui? risques pour qui? ressources de et pour qui?) • Cascade des objectifs : à partir des objectifs business. aux objectifs SI. etc. critères de qualité.. capacité. COBIT 5 Sommaire des caractéristiques nouvelles • Intègre ou se connecte aux autres référentiels • ISACA : COBIT 4. … • Permet la personnalisation en fonction de son contexte spécifique • • • • Relié aux objectifs des parties prenantes Intégrant les processus et activités spécifiques à son entreprise Utilisant des critères de qualité contextuels Aides/directives spécifiques pour des contextes spécifiques Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 55 .1. ITIL. BMIS • Externes : ISO. VAL IT. RISK IT. Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 56 . utiliser et maintenir • Structure flexible et exhaustive • Modèles génériques qui peuvent couvrir n’importe lequel des fonctions de l’entreprise • Langage cohérent • Concepts clarifiés: gouvernance. …. management. securité.0. centres de connaissance par sujet.COBIT 5 Sommaire des caractéristiques nouvelles • Facile à comprendre. Web 2. qualité. … • Base de connaissances commune • Abilité à fournir des vues spécifiques pour des populations. problématiques et leviers particuliers • Aide prévue avec des outils en ligne : remplacement de COBIT Online. règlementations et politiques • Amélioration de la transparence dans la prise de décision • Fonction Informatique plus focalisée sur le business • Plus d’agilité. d’optimisation des ressources et des risques • Augmentation des contributions des utilisateurs de COBIT 5 Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 57 . l’informatique étant considéré comme levier clé • Amélioration de la conformité avec les lois. d’alignement avec le business.Benefices liés à l’utilisation de COBIT 5 • Au niveau de l’enterprise • Augmentation de la confiance dans la création de valeur au travers d’une gouvernance et d’un managementt efficace de l’information et des technologies associées • Augmentation de la satisfaction des utilisateurs business avec les services informatiques. COBIT 5 Suite Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 58 . COBIT 5 : Prochains livrables Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 59 . PME. Information Reference Guidance • Autres ? (Avantages i.e. Assurance.) • Référentiel de Gouvernance et de Management intégré (Business et IT) : Illustrations et guides pratiques ? Patrick Stachtchenko : Réunion AFAI du 25 janvier 2013 60 . Directions Générales. Guides sectoriels?. … •Possibilité d’intégrer des évolutions ou guides pratiques supplémentaires ? •Connexion à l’initiative Stratégie 2022 de l’ISACA (Membership des organisations?. Benefits. enquête auprès de 600 personnes. groupe de travail. pratiques (188).COBIT 5 : Prochains livrables • Vues étendues de COBIT 5 • Publié : Securité (220 pages de bonnes pratiques de gouvernance et de managemet couvrant les 7 leviers avec des exemples) • • • • • • • principes (3) et directives (13) type de compétences (7) structures organisationnelles (5) type d’information (10) et parties prenantes (34) type de comportements (8) capacités de services (27) objectifs des processus (79). etc…) • COBIT Online development : Facteur clé du succès opérationnel de COBIT 5 •Identification des fonctionnalités : conférence calls. Privacy. …. activités (378) et métriques (154) • En cours : Risque. sécurisent les données. structures orgnanisationnelles • Gartner : “Avant 2015. “40% des entreprises feront d’une attestation indépendante de test de securité du cloud un prérequis pour l’utilisation de leurs services dans le cloud” • Focalisation plus importante sur les risques opérationnels Gouverner et Manager l’introduction de ces tendances est une 61 des préoccupations IT les plus importantes . 20 – 50 B appareils en réseau. “Les DSI auront à coordonner ceux qui ont les budgets.7 B de “mobiles” accèdant à nternet) • Préoccupations : autonomisation des utilisateurs. > 50% des 1000 companies les plus importantes dans le monde auront des données clients dans le “public cloud “.” • InformationWeek Priorité N° 2 du DSI: “Make IT one with the business” • Fournisseurs Cloud : augmentation de leur diffusion et de leur dépendance • Gartner : “A la fin 2016.COBIT 5 Futur? Impact des tendances IT sur les référentiels/guides • Internet of things (10 B appareils accèdant à internet. rôles diffus entre le DSI et le business. plus architecte de solutions et managers de fournisseurs • Gartner : “Avant 2015. problèmes organisationnels • Gartner : “Les utilisateurs prendront plus de contrôle des appareils qu’ils utilisent” • Explosion de l’information Digitale (5 dernières années x 10. intégrateurs de service business. 10 prochaines années x 50) • Préoccupations : création de valeur. 35% des dépenses corporate IT seront managées à l’extérieur de la DSI”. 1. délivrent les services. > 85% des entreprises du Fortune 500 seront défaillantes en matière d’exploitation du “big data” pour leur avantage concurrentiel • Rôle du DSI: leaders de services business. traitement des données personnelles. et les utilisateurs qui souhaiteront mettre en oeuvre et utiliser l’IT à leur propre rythme.
Copyright © 2024 DOKUMEN.SITE Inc.