Youssef Bensafi, profile picture
Téléchargé parYoussef Bensafi
3,826 vues

Le modèle cobit

Ce document présente le modèle COBIT pour la gestion des technologies de l'information en relation avec les processus d'affaires, en mettant l'accent sur l'importance des contrôles et de la gestion des risques. COBIT est destiné aux directions, propriétaires de processus et auditeurs pour assurer la sécurité et la conformité des systèmes d'information tout en améliorant la qualité des opérations. Les processus sont regroupés en domaines tels que la planification, l'acquisition et le support, visant à garantir que l'information produite répond aux exigences de l'entreprise.

Intégrer la présentation

Téléchargé 142 fois
La Lettre d'ADELI n° 43 – Avril 2001 27 Square des Utilisateurs Le modèle COBIT Management des technologies de l'information par les processus Second volet de notre dossier processus, le modèle COBIT nous est présenté par Claude Mauvais. Faut- il y voir un concurrent de CMM et SPICE, ou plutôt une approche complémentaire ? Nous parle-t-il des mêmes processus que l’ISO 12207, couvre-t-il un domaine identique ou sensiblement différent ?L’approche par le contrôle et les risques est-elle compatible avec une démarche d’amélioration de la qualité ? Chaque question en amène une autre. Souhaitons qu’un débat s’ouvre entre nos adhérents sur ces sujets, au travers de la lettre et au travers du forum Processus, ouvert sur l’espace adhérents de notre site Web. Le modèle COBIT L'utilisation des technologies de l'information (TI) est largement répandue dans la plupart des entreprises. Les systèmes d'information, opérationnels et stratégiques, sont porteurs d’avantages substantiels en termes de productivité et d'opportunité d'affaires. En revanche, ces systèmes apparaissent vulnérables, face à un large éventail de menaces souvent imprévisibles. La compréhension de ces risques et leur gestion est donc un problème majeur qui concerne les directions des entreprises, les propriétaires des processus d'affaire et les auditeurs. Pour répondre à ce besoin de maîtrise globale des systèmes d'information, l'ISACA1 a proposé un cadre conceptuel de contrôle ainsi que des outils pour la mise en place des contrôles. Ce cadre concerne trois audiences : •d'abord, les Directions ; les pratiques indiquées dans COBIT, généralement acceptées, les aident à équilibrer les investissements en moyens de contrôle, face aux risques et de remplir leurs obligations vis-à-vis des parties prenantes de l'entreprise (« IT governance ») ; •ensuite, les propriétaires des processus fonctionnels qui disposent de l'ensemble des éléments permettant d'avoir des garanties sur la sécurité et les contrôles des services fournis par les TI, qu'ils soient fournis en interne ou par un prestataire extérieur ; •enfin, les auditeurs en leur permettant de justifier leur opinion et d'apporter des recommandations aux directions en terme de contrôle interne en matière de TI. Les principes et concepts Le principe de base, sur lequel repose l'approche de contrôle applicable aux technologies de l'information, consiste à partir des besoins d'information de l'entreprise découlant de ses processus d'affaire, et de considérer que cette information est produite par l'utilisation de ressources qui doivent être gérées par des processus spécifiques aux technologies de l'information. 1 ISACA: Information Systems Audit and Control Association®. Association de professionnels de la vérification, la sécurité et le contrôle des technologies de l'information. L'ISACA a été fondée en 1969 sous le nom de EDP Auditors Association. Elle comprend aujourd’hui plus de 20.000 professionnels dans plus de 100 pays.
28 La Lettre d'ADELI n° 43 – Avril 2001 L'information L'information présente trois aspects : •l'aspect Qualité comprend également les aspects coût et délai ; •l’aspect Fiduciaire englobe l'efficacité et l'efficience des opérations, la fiabilité de l'information, le respect des lois et règlements ; •l'aspect Sécurité comporte 3 composantes: confidentialité, intégrité, disponibilité. Ces aspects sont déclinés selon 7 critères auxquels doit satisfaire l'information: • Efficacité : propriété qui s'applique à une information appropriée et pertinente, délivrée dans les délais, exacte, cohérente, et utilisable. • Efficience : concerne la fourniture d'une information en utilisant les ressources de façon optimale. • Confidentialité : concerne la protection d'une information sensible contre la divulgation ou la révélation non autorisées. • Intégrité : propriété en rapport avec l'exactitude et l'exhaustivité de l'information, ainsi que sa valeur d'utilisation pour l'entreprise. • Disponibilité : propriété d'une information, d'une ressource, d'un service d'être disponible à temps et de continuer à l'être pour l'accomplissement d'un processus fonctionnel. Elle concerne également la protection des ressources et des moyens nécessaires. • Conformité : il s'agit de la conformité aux lois et aux règlements en vigueur ainsi que le respect des contrats auxquels est soumis le processus fonctionnel, qui sont des contraintes externes. • Fiabilité de l'information : propriété d'une l'information fournie à la Direction lui permettant de diriger l'entreprise et de présenter des états financiers en conformité avec sa responsabilité. Les critères sont mesurés suivant une métrique à deux valeurs. On distingue un niveau primaire lorsque le critère revêt une importance primordiale pour l'objectif de contrôle considéré, et un degré secondaire lorsque l'impact est moins important ou indirect. Les ressources L'information est produite par des systèmes qui mobilisent les ressources suivantes. •Les données comprennent les données structurées et non structurées : graphiques, images, sons etc. •Les applications comprennent des procédures programmées et des procédures manuelles. •Les moyens technologiques le matériel, les systèmes d'exploitation, les bases de données, les réseaux, le multimédia, etc. •Les installations abritent ou supportent les systèmes. •Les personnes : avec leur formation, leur compétence et leur capacité leur permettant de planifier, d'organiser, d'acquérir, de livrer, de supporter, et de surveiller les systèmes et les services d'information.
La Lettre d'ADELI n° 43 – Avril 2001 29 Les processus TI Pour s'assurer que l'information répond aux besoins de l'entreprise, les contrôles des ressources doivent être préalablement définis, mis en œuvre et surveillés, au niveau des activités de la fonction informatique et des utilisateurs de l'informatique. Comment une organisation s'assure t-elle que l'information possède les caractéristiques souhaitées ? C'est ici qu'apparaît la nécessité d'un cadre bien établi d'objectif de contrôles TI. Le diagramme suivant illustre le concept. PROCESSUS DE GESTION INFORMATION RESSOURCES INFORMATIQUES •données •systèmes d’application •tec hnologie •installa tions •personne l • effic ac ité • e fficience • c onfidentialité • intégrité • disponibilité • c onformité • fiabilité ?Concordance Ce que l’on obtient Ce dont on a besoin CRITÈRES Les ressources sont mobilisées par des activités regroupées en 34 processus TI reliés à des objectifs de contrôle. Les processus TI se décomposent à leur tour en objectifs de contrôle détaillés. Les processus TI sont regroupés dans 4 domaines : • La planification et l'organisation : ce domaine couvre les activités liées aux aspects de stratégie, de planification, de communication et d'organisation. • L'acquisition et la mise en place : la réalisation de la stratégie consiste à identifier les solutions, puis à les faire développer en interne ou à les acquérir auprès des fournisseurs et à les intégrer dans les processus d'affaire. La maintenance de systèmes existants fait également partie de ce domaine. • La distribution et le support : les systèmes et les applications doivent être exploités et sécurisés, les utilisateurs doivent être formés. • La surveillance : consiste à évaluer de façon périodique et régulière tous les processus TI et à vérifier leur conformité par rapports aux exigences de l'entreprise. Ce domaine regroupe donc la surveillance assurée par le contrôle interne, les audits internes ou les audits externes. Le concept de processus a été défini par de nombreux auteurs et occupe actuellement une place centrale dans les préoccupations de l'entreprise. Le lecteur peu familier ou qui souhaite approfondir le concept de processus peut se reporter à la bibliographie fournie en fin d’article. Le modèle peut être représenté sous la forme d'un cube qui permet d’utiliser le modèle en fonction des différentes perspectives.
30 La Lettre d'ADELI n° 43 – Avril 2001 Prenons par exemple le point de vue de la Direction : celle-ci peut s’intéresser aux aspects qualité, sécurité ou fiduciaire (traduits par COBIT en sept critères d’information spécifiques). Un Directeur informatique peut, quant à lui, vouloir s’intéresser uniquement aux ressources informatiques dont il est responsable. Les propriétaires des processus, les informaticiens et les utilisateurs peuvent s’intéresser plus particulièrement à certains processus. Un auditeur devra dans sa démarche s'intéresser aux trois aspects. D'abord les processus qui couvrent son domaine d'audit, les ressources concernées, et les critères d'information en rapport avec les objectifs d'audit. Les outils L'ISACA fournit un certain nombre d'outils, disponibles en partie sur le site de l'ISACA. •« Control objectives » décrit de manière détaillée les processus et les objectifs de contrôle, détaillés. •« Management Guidelines » décrit certains outils pour le déploiement des processus TI et leur pilotage, en particulier une forme du tableau de bord équilibré de Kaplan, adapté aux TI. •« Implementation Tool set » décrit de façon informelle comment sensibiliser à COBIT et apporte des témoignages d'utilisateurs. • « Audit Guidelines » donne des recommandations pour les auditeurs en systèmes d'information qui ont à évaluer les contrôles mis en place selon COBIT.
La Lettre d'ADELI n° 43 – Avril 2001 31 La portée de COBIT COBIT a été élaboré à partir de référentiels techniques de contrôle (ITSEC,.. ) et de l'Internal Control Integrated Framework publiée aux USA en septembre 92 et connu sous l'acronyme « COSO » (traduction française : « la nouvelle pratique du contrôle interne », Éditions d'Organisation). Le contrôle interne est un processus mis en œuvre par le conseil d'administration, les dirigeants et le personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants : •réalisation et optimisation des opérations ; •fiabilité des informations financières ; •conformité aux lois et aux réglementations en vigueur. COSO met l'accent sur le fait que le contrôle interne est un outil entre les mains de la Direction mais ne se substitue pas elle, et que les contrôles doivent être intégrés dans les activités opérationnelles et non rajoutés, ultérieurement, aux activités. Le contrôle interne est composé de cinq éléments interdépendants qui découlent de la façon dont l'activité est gérée et qui sont intégrés au processus de gestion. Ces composantes sont décrites ci-dessous. L'environnement de contrôle : Les individus avec leurs qualités individuelles, mais surtout leur intégrité, leur éthique, leur compétence et l'environnement dans lequel ils opèrent sont l'essence même de toute organisation. Ils en constituent le socle et le moteur. L'évaluation des risques : L'entreprise doit être consciente des risques et les maîtriser. Elle doit fixer des objectifs et les intégrer à toutes ses activités. Elle doit également instaurer des mécanismes permettant d'identifier, analyser et gérer les risques correspondants. L'évaluation des risques comprend l'identification et l'analyse des risques. Activités de contrôle : Les politiques et les procédures de contrôle doivent être élaborées et appliquées pour s'assurer que les mesures identifiées par le management sont exécutées efficacement pour réduire les risques liés à la réalisation des objectifs. Les activités de contrôles comprennent les revues du contrôle interne, les protections physiques, la séparation des tâches, les contrôles des systèmes d'information. Information et communication : Les systèmes d'information et de communications sont articulées autour des activités de contrôle. Ils permettent aux personnels de recueillir et d'échanger les informations nécessaires à la conduite, à la gestion et au contrôle des opérations. À l'intérieur de l'organisation, les personnels doivent recevoir le message qu'ils ont l'obligation de comprendre leur rôle et de prendre leurs responsabilités au sérieux au regard du contrôle interne, et en cas de nécessité faire remonter les problèmes aux plus hauts niveaux de la direction. À destination des tiers clients et fournisseurs l'entreprise doit leur transmettre le message qu'elle ne tolérera pas les actions non correctes. Pilotage : L'ensemble du processus de contrôle interne doit faire l'objet d'un suivi et des modifications doivent y être apportées le cas échéant. Ainsi le système de contrôle interne permettra de réagir rapidement en fonction du contexte. Chaque système de contrôle interne est unique et le système de contrôle interne est généralement très différent d'une société à l'autre. La direction surveille le contrôle interne en examinant régulièrement les résultats des activités de contrôle et en diligentant des évaluations supplémentaires.
32 La Lettre d'ADELI n° 43 – Avril 2001 Autres concepts Il existe un lien direct entre les trois catégories d'objectifs que l'organisation cherche à atteindre et les composants du contrôle interne nécessaires à leur réalisation. Les cinq éléments du contrôle interne sont tous applicables et jouent tous un rôle important dans la réalisation des objectifs opérationnels, financiers et de conformité Le contrôle interne d'une entreprise peut être jugé efficace dans chacune des trois catégories d'objectifs lorsque le Conseil d'administration et la Direction estiment qu'ils disposent d'une assurance raisonnable leur permettant de considérer : •qu'ils savent clairement dans quelle mesure les objectifs opérationnels de l'entité seront atteints ; •que les états financiers publiés sont établis sur une base fiable ; •que l'entreprise est en conformité avec les lois et règlement en vigueur. Le schéma suivant montre : •qu’il existe un lien direct entre les trois catégories d’objectifs (ce que l’entreprise cherche à atteindre) et les éléments du contrôle interne (qui représentent ce qui est nécessaire pour réaliser les objectifs) ; •que les informations et la communication sont nécessaires pour atteindre les objectifs des trois catégories – afin d’assurer une gestion efficace des opérations, de préparer des états financiers fiables et de contrôler la conformité aux lois et réglementations. Liens entre les objectifs et les éléments du contrôle interne Le contrôle interne s’applique à toutes les unités à l'intérieur de l'entreprise. COBIT reprend les éléments du contrôle interne de COSO en les intégrant dans les processus conformément à l'esprit d'intégration du contrôle interne. P ILO TAG E IN F OR M ATIO N E T C O M MU NIC AT IO N AC TIVITES DE P ILO TAGE EVALUA TIO N DES RIS Q UES ENV IR O NN EM EN T DE C O NTR O LE UNITE1 UNITE2 O PERATION S INFO RM ATIO N S FINAN CIE RE S C ON FO R M IT E (1) (2) (3 )
La Lettre d'ADELI n° 43 – Avril 2001 33 CONCLUSION La maîtrise des systèmes d'information dans les organisations n'a de sens que si les organisations sont maîtrisées. C'est précisément le but du Contrôle Interne mis en œuvre par la direction générale, la hiérarchie, le personnel d'une entreprise et destiné à fournir une assurance raisonnable quant à la réalisation d'objectifs concernant : •La réalisation et l'optimisation des opérations, •La fiabilité des informations financières, •La conformité aux lois et réglementations en vigueur. Le référentiel COBIT a été élaboré à partir de référentiels en provenance de différentes sources techniques et internationales (NIST, OCDE, ITSEC, ISO9000, … ) en les intégrant selon les grandes lignes du référentiel de contrôle interne COSO. Par conséquent COBIT peut être considéré comme le référentiel de contrôle interne de l'informatique. COBIT considère que les systèmes d'information sont maîtrisés lorsqu'ils fournissent l'information répondant aux besoins de l'entreprise exprimés en terme de critères de l'information. Le regroupement des activités relatives à l'informatique en processus bien identifiés permet de mobiliser les ressources dans ce but. Les recommandations pour le management de la version 3 de COBIT (Management guidelines) sont destinées à faciliter le déploiement de ces processus en les intégrant à la stratégie de l'entreprise (à l'aide du tableau de bord équilibré de Kaplan) puis en les mesurant selon des indicateurs de résultats et de performance. Un modèle d'évaluation calqué sur le modèle d'évaluation des capacités logiciel (« Capability Maturity Model » ou CMM en anglais) est proposé. Il permet à l'entreprise de se situer dans une perspective d'amélioration continue. On retrouve ainsi dans COBIT des outils de management de la qualité qui sont de plus en plus compris et utilisés à tous niveaux dans les entreprises, ce qui devrait, en retour, inciter celles-ci à s'en inspirer. Claude Mauvais Références : Sur COBIT : sites Web www.isaca.org, www.itgi.org •Il existe 3 versions de COBIT. La version 2 a été traduite en français par l'AFAI (Association Française de l'Audit et du Conseil Informatique). Sur les processus : •Méthodes et pratiques de la performance. Philippe LORINO. Les Éditions d'Organisation. •Dossier spécial de la Revue Française de Gestion N° 104, 1995.
34 La Lettre d'ADELI n° 43 – Avril 2001 ANNEXE : Les processus du modèle COBIT Critères Ressources PROCESSUS (1) (2) (3) (4) (5) (6) (7) (a) (b) (c) (d) (e) PO1 Définir un plan stratégique P S ✔ ✔ ✔ ✔ ✔ PO2 Définir l'architecture d'information P S S S ✔ ✔ PO3 Déterminer la ligne stratégique P S ✔ ✔ PO4 Définir l'organisation informatique et ses liaisons P S ✔ PO5 Gérer les investissements informatiques P P S ✔ ✔ ✔ ✔ PO6 Communiquer les buts de la direction P S ✔ PO7 Gérer les ressources humaines P P ✔ PO8 Assurer le respect des exigences externes P P S ✔ ✔ ✔ PO9 Évaluer les risques S S P P P S S ✔ ✔ ✔ ✔ ✔ PO10 Gérer les projets P P ✔ ✔ ✔ ✔ Planification&organisation PO11 Gérer la qualité P P P S ✔ ✔ AI1 Identifier les solutions P S ✔ ✔ ✔ AI2 Acquérir et maintenir les logiciels d'application P P S S S ✔ AI3 Acquérir et maintenir l'architecture technologique P P S ✔ A14 Développer et maintenir les procédures informatiques P P S S S ✔ ✔ ✔ ✔ AI5 Installer et accréditer les systèmes P S S ✔ ✔ ✔ ✔ ✔ Acquisition& Implémentatio AI6 Gérer les changements P P P P P ✔ ✔ ✔ ✔ ✔ DS1 Définir les niveaux de service P P S S S S S ✔ ✔ ✔ ✔ ✔ DS2 Gérer les services sous-traités P P S S S S S ✔ ✔ ✔ ✔ ✔ DS3 Gérer les performances et les capacités P P S ✔ ✔ ✔ DS4 Assurer la continuité des services P S P ✔ ✔ ✔ ✔ ✔ DS5 Assurer la sécurité des services P P S S S ✔ ✔ ✔ ✔ ✔ DS6 Identifier et imputer les coûts P P ✔ ✔ ✔ ✔ ✔ DS7 Former les utilisateurs P S ✔ DS8 Assister et conseiller les clients P ✔ ✔ DS9 Gérer la configuration P S S ✔ ✔ ✔ DS10 Gérer les problèmes et les incidents P P S ✔ ✔ ✔ ✔ ✔ DS11 Gérer les données P P ✔ DS12 Gérer les installations P P ✔ DS13 Gérer les opérations P P S S ✔ ✔ ✔ ✔ Livraison&Support DS9 Gérer la configuration P S S ✔ ✔ ✔ M1 Surveiller les processus P S S S S S S ✔ ✔ ✔ ✔ ✔ M2 Assurer l'adéquation du contrôle interne P P S S S S S ✔ ✔ ✔ ✔ ✔ M3 Donner une assurance indépendante P P S S S S S ✔ ✔ ✔ ✔ ✔ Surveillance M4 Effectuer des audits indépendants P P S S S S S ✔ ✔ ✔ ✔ ✔ •Efficacité (a) Personnel •Efficience (b) Application •Confidentialité (c) Technologie •Intégrité (d) Infrastructures •Disponibilité (e) Données •Conformité •Fiabilité •P critère Primaire S critère secondaire

Contenu connexe

PPTX
Cobit
parHouda Elmoutaoukil
 
PPTX
Cobit v4.1
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PDF
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
PPTX
Processus Audit SI
parArsène Ngato
 
PDF
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
parISACA Chapitre de Québec
 
PDF
Etude de cas audit cobit 4.1
parsaqrjareh
 
PDF
Les guides d'audit TI de l'ISACA
parYann Riviere CCSK, CISSP, CRISC, CISM
 
PDF
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 
Cobit
parHouda Elmoutaoukil
 
Cobit v4.1
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Audit des systemes d'information
parAnnick Franck Monyie Fouda
 
Processus Audit SI
parArsène Ngato
 
Évolution des bonnes pratiques en sécurité de l'information avec COBIT 5
parISACA Chapitre de Québec
 
Etude de cas audit cobit 4.1
parsaqrjareh
 
Les guides d'audit TI de l'ISACA
parYann Riviere CCSK, CISSP, CRISC, CISM
 
Organigramme de la mise en œuvre du SMSI et processus de certification ISO 27...
parBachir Benyammi
 

Tendances

PPT
Mission d'audit des Systéme d'information
parAymen Foudhaili
 
PDF
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
parHajar958801
 
PDF
Audit informatique
parFINALIANCE
 
PPTX
Cobit
parmoussadiom
 
PDF
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
PDF
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
parAmmar Sassi
 
PDF
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
parAnasse Ej
 
PDF
Iso27001
parArsene Allogo
 
PDF
Programme de travail de la mission audit de la sécurité des SI
parAmmar Sassi
 
PDF
Audit of IT Governance (Reference documents to be audited)
parAmmar Sassi
 
PDF
SMSI.pdf
parHajarSalimi
 
PDF
Générateur de guides d’audit informatique (based on cobit methodology)
parAmmar Sassi
 
PDF
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
PPTX
La Gouvernance IT
parNicolas PIGNAL
 
PDF
Cobit5 - Outil de la performance
parAntoine Vigneron
 
PDF
ITIL v3 : Présentation
parJoseph SZCZYGIEL
 
PPTX
Présentation audits de sécurité
parHarvey Francois
 
PDF
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
parhpfumtchum
 
PPTX
Sécurité des systèmes d'informations
parEmna Tfifha
 
PDF
Cartographie des processus d'une Direction Informatique
parpatriciacharrais
 
Mission d'audit des Systéme d'information
parAymen Foudhaili
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT (1).pdf
parHajar958801
 
Audit informatique
parFINALIANCE
 
Cobit
parmoussadiom
 
Référentiels et Normes pour l'Audit de la Sécurité des SI
parAlghajati
 
Mémoire de stage : Mise en œuvre de l'approche Cobit4.1 en matière d'audit d...
parAmmar Sassi
 
Cobit : DS 8 - Gérer le service d’assistance aux clients et les incidents.
parAnasse Ej
 
Iso27001
parArsene Allogo
 
Programme de travail de la mission audit de la sécurité des SI
parAmmar Sassi
 
Audit of IT Governance (Reference documents to be audited)
parAmmar Sassi
 
SMSI.pdf
parHajarSalimi
 
Générateur de guides d’audit informatique (based on cobit methodology)
parAmmar Sassi
 
Audit sécurité des systèmes d’information
parAbbes Rharrab
 
La Gouvernance IT
parNicolas PIGNAL
 
Cobit5 - Outil de la performance
parAntoine Vigneron
 
ITIL v3 : Présentation
parJoseph SZCZYGIEL
 
Présentation audits de sécurité
parHarvey Francois
 
DEMARCHE AUDIT INFORMATIQUE DANS UNE BANQUE - RAPPORT DE STAGE
parhpfumtchum
 
Sécurité des systèmes d'informations
parEmna Tfifha
 
Cartographie des processus d'une Direction Informatique
parpatriciacharrais
 

En vedette

PDF
Le Management de la sécurité des SI
parDIALLO Boubacar
 
PPTX
Évolution des bonnes pratiques en sécurité de l’information
parISACA Chapitre de Québec
 
PPT
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
parlancedafric.org
 
PDF
Gouvernance et gestion des Technologies de l’information
parMiguel Iriart
 
PPTX
Implémenter et gérer un projet iso 27001
parIntellectus services and consulting
 
PDF
Gouvernance ITIL:2011 - ISO/CEI 20000
parISACA Chapitre de Québec
 
PDF
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
parAntoine Vigneron
 
PDF
Certification ISO/CEI 27001
parValoricert Group
 
PDF
CobIT presentation
parMarc Vael
 
Le Management de la sécurité des SI
parDIALLO Boubacar
 
Évolution des bonnes pratiques en sécurité de l’information
parISACA Chapitre de Québec
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
parlancedafric.org
 
Gouvernance et gestion des Technologies de l’information
parMiguel Iriart
 
Implémenter et gérer un projet iso 27001
parIntellectus services and consulting
 
Gouvernance ITIL:2011 - ISO/CEI 20000
parISACA Chapitre de Québec
 
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
parAntoine Vigneron
 
Certification ISO/CEI 27001
parValoricert Group
 
CobIT presentation
parMarc Vael
 

Similaire à Le modèle cobit

PPT
Gouvernance et Gestion des TI
parArsène Ngato
 
PDF
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
parMansouri Khalifa
 
PPTX
Gouvernance du système d'information et parties prenantes
parAbdeslam Menacere
 
PDF
La sécurité de l’information et les auditeurs internes
parISACA Chapitre de Québec
 
PPTX
Cours de Management des Systèmes d'information
parpapediallo3
 
PDF
COBIT
parHamza MERIOUT
 
PPTX
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
parhajarbouladass
 
PDF
Cisa domaine 4 operations maintenance et support des systèmes d’information
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
PPTX
Chap2 gouvernance des SI.pptx
parInformatiqueL22022
 
PDF
CobiT Pour une meilleure gouvernance des systèmes dinformation (Fabrice Garni...
parAlphaKabinetKABA
 
PDF
COBIT5 Une boîte à outils pour la gouvernance de l'information
parDavid Henrard
 
PPT
Présentation 04 IHEC CARTHAGE COBIT.PPT
parIbrahimNjeh2
 
PPTX
516492_2-7Cours_Pilote_Gouvernance_SI-UTM-Oct-2018 (1).pptx
parWassimMansour5
 
PPT
Systèmes d informations
parReda Hassani
 
PDF
[2]bis
parfofana72
 
PPTX
Cobit, se4
parAlamisalma
 
PDF
L'entreprise face à ses enjeux et risques numériques
parAntoine Vigneron
 
PDF
IT self assessment (ITSA) - Présentation de la méthode
parSupport for Improvement in Governance and Management SIGMA
 
PDF
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
parpolenumerique33
 
PDF
Chus Gouvernance T Ien Santé V1 1b
parMarc-Andre Leger
 
Gouvernance et Gestion des TI
parArsène Ngato
 
Cours guvernance des systèmes d'information partie 3 prof. Khalifa MANSOURI
parMansouri Khalifa
 
Gouvernance du système d'information et parties prenantes
parAbdeslam Menacere
 
La sécurité de l’information et les auditeurs internes
parISACA Chapitre de Québec
 
Cours de Management des Systèmes d'information
parpapediallo3
 
COBIT
parHamza MERIOUT
 
294701714-Controle-Interne-Systeme-d-Information-Et-COBIT.pptx
parhajarbouladass
 
Cisa domaine 4 operations maintenance et support des systèmes d’information
parSAAD Mohamed, MBA,CISA, ITIL, PMP, ISO 27001 LA, CRISC
 
Chap2 gouvernance des SI.pptx
parInformatiqueL22022
 
CobiT Pour une meilleure gouvernance des systèmes dinformation (Fabrice Garni...
parAlphaKabinetKABA
 
COBIT5 Une boîte à outils pour la gouvernance de l'information
parDavid Henrard
 
Présentation 04 IHEC CARTHAGE COBIT.PPT
parIbrahimNjeh2
 
516492_2-7Cours_Pilote_Gouvernance_SI-UTM-Oct-2018 (1).pptx
parWassimMansour5
 
Systèmes d informations
parReda Hassani
 
[2]bis
parfofana72
 
Cobit, se4
parAlamisalma
 
L'entreprise face à ses enjeux et risques numériques
parAntoine Vigneron
 
IT self assessment (ITSA) - Présentation de la méthode
parSupport for Improvement in Governance and Management SIGMA
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
parpolenumerique33
 
Chus Gouvernance T Ien Santé V1 1b
parMarc-Andre Leger
 

Plus de Youssef Bensafi

PDF
Manuel d’audit interne usaid établissement publique
parYoussef Bensafi
 
PDF
Audit comptable-financier-objectifs-demarches-et-techniques
parYoussef Bensafi
 
PDF
Rapport audit one
parYoussef Bensafi
 
PPT
fidelisation des clients
parYoussef Bensafi
 
PDF
Audit bancaire
parYoussef Bensafi
 
PDF
Gpec sofitel
parYoussef Bensafi
 
PDF
Iso 9001 2000 - exemple d'un rapport d'audit teleperformance
parYoussef Bensafi
 
PDF
L audit interne_au_maroc
parYoussef Bensafi
 
PDF
Agr cadrage
parYoussef Bensafi
 
PDF
Calcul du coût de revient textile
parYoussef Bensafi
 
PPT
réagir aux comportements passifs agressifs_manipulateurs des clients
parYoussef Bensafi
 
PDF
Agr manuel de procedure
parYoussef Bensafi
 
PDF
Grand casa nomenclature des couts de formation 2019
parYoussef Bensafi
 
PPT
1 process com pcm
parYoussef Bensafi
 
PDF
Depliant agr
parYoussef Bensafi
 
PDF
international commercial sale of goods
parYoussef Bensafi
 
PDF
Agr korrasse
parYoussef Bensafi
 
PDF
Agr mistarat al machari3
parYoussef Bensafi
 
PDF
Audit the business strategy audit
parYoussef Bensafi
 
PDF
Agr procedure arabe
parYoussef Bensafi
 
Manuel d’audit interne usaid établissement publique
parYoussef Bensafi
 
Audit comptable-financier-objectifs-demarches-et-techniques
parYoussef Bensafi
 
Rapport audit one
parYoussef Bensafi
 
fidelisation des clients
parYoussef Bensafi
 
Audit bancaire
parYoussef Bensafi
 
Gpec sofitel
parYoussef Bensafi
 
Iso 9001 2000 - exemple d'un rapport d'audit teleperformance
parYoussef Bensafi
 
L audit interne_au_maroc
parYoussef Bensafi
 
Agr cadrage
parYoussef Bensafi
 
Calcul du coût de revient textile
parYoussef Bensafi
 
réagir aux comportements passifs agressifs_manipulateurs des clients
parYoussef Bensafi
 
Agr manuel de procedure
parYoussef Bensafi
 
Grand casa nomenclature des couts de formation 2019
parYoussef Bensafi
 
1 process com pcm
parYoussef Bensafi
 
Depliant agr
parYoussef Bensafi
 
international commercial sale of goods
parYoussef Bensafi
 
Agr korrasse
parYoussef Bensafi
 
Agr mistarat al machari3
parYoussef Bensafi
 
Audit the business strategy audit
parYoussef Bensafi
 
Agr procedure arabe
parYoussef Bensafi
 

Le modèle cobit

  • 1.
    La Lettre d'ADELIn° 43 – Avril 2001 27 Square des Utilisateurs Le modèle COBIT Management des technologies de l'information par les processus Second volet de notre dossier processus, le modèle COBIT nous est présenté par Claude Mauvais. Faut- il y voir un concurrent de CMM et SPICE, ou plutôt une approche complémentaire ? Nous parle-t-il des mêmes processus que l’ISO 12207, couvre-t-il un domaine identique ou sensiblement différent ?L’approche par le contrôle et les risques est-elle compatible avec une démarche d’amélioration de la qualité ? Chaque question en amène une autre. Souhaitons qu’un débat s’ouvre entre nos adhérents sur ces sujets, au travers de la lettre et au travers du forum Processus, ouvert sur l’espace adhérents de notre site Web. Le modèle COBIT L'utilisation des technologies de l'information (TI) est largement répandue dans la plupart des entreprises. Les systèmes d'information, opérationnels et stratégiques, sont porteurs d’avantages substantiels en termes de productivité et d'opportunité d'affaires. En revanche, ces systèmes apparaissent vulnérables, face à un large éventail de menaces souvent imprévisibles. La compréhension de ces risques et leur gestion est donc un problème majeur qui concerne les directions des entreprises, les propriétaires des processus d'affaire et les auditeurs. Pour répondre à ce besoin de maîtrise globale des systèmes d'information, l'ISACA1 a proposé un cadre conceptuel de contrôle ainsi que des outils pour la mise en place des contrôles. Ce cadre concerne trois audiences : •d'abord, les Directions ; les pratiques indiquées dans COBIT, généralement acceptées, les aident à équilibrer les investissements en moyens de contrôle, face aux risques et de remplir leurs obligations vis-à-vis des parties prenantes de l'entreprise (« IT governance ») ; •ensuite, les propriétaires des processus fonctionnels qui disposent de l'ensemble des éléments permettant d'avoir des garanties sur la sécurité et les contrôles des services fournis par les TI, qu'ils soient fournis en interne ou par un prestataire extérieur ; •enfin, les auditeurs en leur permettant de justifier leur opinion et d'apporter des recommandations aux directions en terme de contrôle interne en matière de TI. Les principes et concepts Le principe de base, sur lequel repose l'approche de contrôle applicable aux technologies de l'information, consiste à partir des besoins d'information de l'entreprise découlant de ses processus d'affaire, et de considérer que cette information est produite par l'utilisation de ressources qui doivent être gérées par des processus spécifiques aux technologies de l'information. 1 ISACA: Information Systems Audit and Control Association®. Association de professionnels de la vérification, la sécurité et le contrôle des technologies de l'information. L'ISACA a été fondée en 1969 sous le nom de EDP Auditors Association. Elle comprend aujourd’hui plus de 20.000 professionnels dans plus de 100 pays.
  • 2.
    28 La Lettred'ADELI n° 43 – Avril 2001 L'information L'information présente trois aspects : •l'aspect Qualité comprend également les aspects coût et délai ; •l’aspect Fiduciaire englobe l'efficacité et l'efficience des opérations, la fiabilité de l'information, le respect des lois et règlements ; •l'aspect Sécurité comporte 3 composantes: confidentialité, intégrité, disponibilité. Ces aspects sont déclinés selon 7 critères auxquels doit satisfaire l'information: • Efficacité : propriété qui s'applique à une information appropriée et pertinente, délivrée dans les délais, exacte, cohérente, et utilisable. • Efficience : concerne la fourniture d'une information en utilisant les ressources de façon optimale. • Confidentialité : concerne la protection d'une information sensible contre la divulgation ou la révélation non autorisées. • Intégrité : propriété en rapport avec l'exactitude et l'exhaustivité de l'information, ainsi que sa valeur d'utilisation pour l'entreprise. • Disponibilité : propriété d'une information, d'une ressource, d'un service d'être disponible à temps et de continuer à l'être pour l'accomplissement d'un processus fonctionnel. Elle concerne également la protection des ressources et des moyens nécessaires. • Conformité : il s'agit de la conformité aux lois et aux règlements en vigueur ainsi que le respect des contrats auxquels est soumis le processus fonctionnel, qui sont des contraintes externes. • Fiabilité de l'information : propriété d'une l'information fournie à la Direction lui permettant de diriger l'entreprise et de présenter des états financiers en conformité avec sa responsabilité. Les critères sont mesurés suivant une métrique à deux valeurs. On distingue un niveau primaire lorsque le critère revêt une importance primordiale pour l'objectif de contrôle considéré, et un degré secondaire lorsque l'impact est moins important ou indirect. Les ressources L'information est produite par des systèmes qui mobilisent les ressources suivantes. •Les données comprennent les données structurées et non structurées : graphiques, images, sons etc. •Les applications comprennent des procédures programmées et des procédures manuelles. •Les moyens technologiques le matériel, les systèmes d'exploitation, les bases de données, les réseaux, le multimédia, etc. •Les installations abritent ou supportent les systèmes. •Les personnes : avec leur formation, leur compétence et leur capacité leur permettant de planifier, d'organiser, d'acquérir, de livrer, de supporter, et de surveiller les systèmes et les services d'information.
  • 3.
    La Lettre d'ADELIn° 43 – Avril 2001 29 Les processus TI Pour s'assurer que l'information répond aux besoins de l'entreprise, les contrôles des ressources doivent être préalablement définis, mis en œuvre et surveillés, au niveau des activités de la fonction informatique et des utilisateurs de l'informatique. Comment une organisation s'assure t-elle que l'information possède les caractéristiques souhaitées ? C'est ici qu'apparaît la nécessité d'un cadre bien établi d'objectif de contrôles TI. Le diagramme suivant illustre le concept. PROCESSUS DE GESTION INFORMATION RESSOURCES INFORMATIQUES •données •systèmes d’application •tec hnologie •installa tions •personne l • effic ac ité • e fficience • c onfidentialité • intégrité • disponibilité • c onformité • fiabilité ?Concordance Ce que l’on obtient Ce dont on a besoin CRITÈRES Les ressources sont mobilisées par des activités regroupées en 34 processus TI reliés à des objectifs de contrôle. Les processus TI se décomposent à leur tour en objectifs de contrôle détaillés. Les processus TI sont regroupés dans 4 domaines : • La planification et l'organisation : ce domaine couvre les activités liées aux aspects de stratégie, de planification, de communication et d'organisation. • L'acquisition et la mise en place : la réalisation de la stratégie consiste à identifier les solutions, puis à les faire développer en interne ou à les acquérir auprès des fournisseurs et à les intégrer dans les processus d'affaire. La maintenance de systèmes existants fait également partie de ce domaine. • La distribution et le support : les systèmes et les applications doivent être exploités et sécurisés, les utilisateurs doivent être formés. • La surveillance : consiste à évaluer de façon périodique et régulière tous les processus TI et à vérifier leur conformité par rapports aux exigences de l'entreprise. Ce domaine regroupe donc la surveillance assurée par le contrôle interne, les audits internes ou les audits externes. Le concept de processus a été défini par de nombreux auteurs et occupe actuellement une place centrale dans les préoccupations de l'entreprise. Le lecteur peu familier ou qui souhaite approfondir le concept de processus peut se reporter à la bibliographie fournie en fin d’article. Le modèle peut être représenté sous la forme d'un cube qui permet d’utiliser le modèle en fonction des différentes perspectives.
  • 4.
    30 La Lettred'ADELI n° 43 – Avril 2001 Prenons par exemple le point de vue de la Direction : celle-ci peut s’intéresser aux aspects qualité, sécurité ou fiduciaire (traduits par COBIT en sept critères d’information spécifiques). Un Directeur informatique peut, quant à lui, vouloir s’intéresser uniquement aux ressources informatiques dont il est responsable. Les propriétaires des processus, les informaticiens et les utilisateurs peuvent s’intéresser plus particulièrement à certains processus. Un auditeur devra dans sa démarche s'intéresser aux trois aspects. D'abord les processus qui couvrent son domaine d'audit, les ressources concernées, et les critères d'information en rapport avec les objectifs d'audit. Les outils L'ISACA fournit un certain nombre d'outils, disponibles en partie sur le site de l'ISACA. •« Control objectives » décrit de manière détaillée les processus et les objectifs de contrôle, détaillés. •« Management Guidelines » décrit certains outils pour le déploiement des processus TI et leur pilotage, en particulier une forme du tableau de bord équilibré de Kaplan, adapté aux TI. •« Implementation Tool set » décrit de façon informelle comment sensibiliser à COBIT et apporte des témoignages d'utilisateurs. • « Audit Guidelines » donne des recommandations pour les auditeurs en systèmes d'information qui ont à évaluer les contrôles mis en place selon COBIT.
  • 5.
    La Lettre d'ADELIn° 43 – Avril 2001 31 La portée de COBIT COBIT a été élaboré à partir de référentiels techniques de contrôle (ITSEC,.. ) et de l'Internal Control Integrated Framework publiée aux USA en septembre 92 et connu sous l'acronyme « COSO » (traduction française : « la nouvelle pratique du contrôle interne », Éditions d'Organisation). Le contrôle interne est un processus mis en œuvre par le conseil d'administration, les dirigeants et le personnel d'une organisation, destiné à fournir une assurance raisonnable quant à la réalisation des objectifs suivants : •réalisation et optimisation des opérations ; •fiabilité des informations financières ; •conformité aux lois et aux réglementations en vigueur. COSO met l'accent sur le fait que le contrôle interne est un outil entre les mains de la Direction mais ne se substitue pas elle, et que les contrôles doivent être intégrés dans les activités opérationnelles et non rajoutés, ultérieurement, aux activités. Le contrôle interne est composé de cinq éléments interdépendants qui découlent de la façon dont l'activité est gérée et qui sont intégrés au processus de gestion. Ces composantes sont décrites ci-dessous. L'environnement de contrôle : Les individus avec leurs qualités individuelles, mais surtout leur intégrité, leur éthique, leur compétence et l'environnement dans lequel ils opèrent sont l'essence même de toute organisation. Ils en constituent le socle et le moteur. L'évaluation des risques : L'entreprise doit être consciente des risques et les maîtriser. Elle doit fixer des objectifs et les intégrer à toutes ses activités. Elle doit également instaurer des mécanismes permettant d'identifier, analyser et gérer les risques correspondants. L'évaluation des risques comprend l'identification et l'analyse des risques. Activités de contrôle : Les politiques et les procédures de contrôle doivent être élaborées et appliquées pour s'assurer que les mesures identifiées par le management sont exécutées efficacement pour réduire les risques liés à la réalisation des objectifs. Les activités de contrôles comprennent les revues du contrôle interne, les protections physiques, la séparation des tâches, les contrôles des systèmes d'information. Information et communication : Les systèmes d'information et de communications sont articulées autour des activités de contrôle. Ils permettent aux personnels de recueillir et d'échanger les informations nécessaires à la conduite, à la gestion et au contrôle des opérations. À l'intérieur de l'organisation, les personnels doivent recevoir le message qu'ils ont l'obligation de comprendre leur rôle et de prendre leurs responsabilités au sérieux au regard du contrôle interne, et en cas de nécessité faire remonter les problèmes aux plus hauts niveaux de la direction. À destination des tiers clients et fournisseurs l'entreprise doit leur transmettre le message qu'elle ne tolérera pas les actions non correctes. Pilotage : L'ensemble du processus de contrôle interne doit faire l'objet d'un suivi et des modifications doivent y être apportées le cas échéant. Ainsi le système de contrôle interne permettra de réagir rapidement en fonction du contexte. Chaque système de contrôle interne est unique et le système de contrôle interne est généralement très différent d'une société à l'autre. La direction surveille le contrôle interne en examinant régulièrement les résultats des activités de contrôle et en diligentant des évaluations supplémentaires.
  • 6.
    32 La Lettred'ADELI n° 43 – Avril 2001 Autres concepts Il existe un lien direct entre les trois catégories d'objectifs que l'organisation cherche à atteindre et les composants du contrôle interne nécessaires à leur réalisation. Les cinq éléments du contrôle interne sont tous applicables et jouent tous un rôle important dans la réalisation des objectifs opérationnels, financiers et de conformité Le contrôle interne d'une entreprise peut être jugé efficace dans chacune des trois catégories d'objectifs lorsque le Conseil d'administration et la Direction estiment qu'ils disposent d'une assurance raisonnable leur permettant de considérer : •qu'ils savent clairement dans quelle mesure les objectifs opérationnels de l'entité seront atteints ; •que les états financiers publiés sont établis sur une base fiable ; •que l'entreprise est en conformité avec les lois et règlement en vigueur. Le schéma suivant montre : •qu’il existe un lien direct entre les trois catégories d’objectifs (ce que l’entreprise cherche à atteindre) et les éléments du contrôle interne (qui représentent ce qui est nécessaire pour réaliser les objectifs) ; •que les informations et la communication sont nécessaires pour atteindre les objectifs des trois catégories – afin d’assurer une gestion efficace des opérations, de préparer des états financiers fiables et de contrôler la conformité aux lois et réglementations. Liens entre les objectifs et les éléments du contrôle interne Le contrôle interne s’applique à toutes les unités à l'intérieur de l'entreprise. COBIT reprend les éléments du contrôle interne de COSO en les intégrant dans les processus conformément à l'esprit d'intégration du contrôle interne. P ILO TAG E IN F OR M ATIO N E T C O M MU NIC AT IO N AC TIVITES DE P ILO TAGE EVALUA TIO N DES RIS Q UES ENV IR O NN EM EN T DE C O NTR O LE UNITE1 UNITE2 O PERATION S INFO RM ATIO N S FINAN CIE RE S C ON FO R M IT E (1) (2) (3 )
  • 7.
    La Lettre d'ADELIn° 43 – Avril 2001 33 CONCLUSION La maîtrise des systèmes d'information dans les organisations n'a de sens que si les organisations sont maîtrisées. C'est précisément le but du Contrôle Interne mis en œuvre par la direction générale, la hiérarchie, le personnel d'une entreprise et destiné à fournir une assurance raisonnable quant à la réalisation d'objectifs concernant : •La réalisation et l'optimisation des opérations, •La fiabilité des informations financières, •La conformité aux lois et réglementations en vigueur. Le référentiel COBIT a été élaboré à partir de référentiels en provenance de différentes sources techniques et internationales (NIST, OCDE, ITSEC, ISO9000, … ) en les intégrant selon les grandes lignes du référentiel de contrôle interne COSO. Par conséquent COBIT peut être considéré comme le référentiel de contrôle interne de l'informatique. COBIT considère que les systèmes d'information sont maîtrisés lorsqu'ils fournissent l'information répondant aux besoins de l'entreprise exprimés en terme de critères de l'information. Le regroupement des activités relatives à l'informatique en processus bien identifiés permet de mobiliser les ressources dans ce but. Les recommandations pour le management de la version 3 de COBIT (Management guidelines) sont destinées à faciliter le déploiement de ces processus en les intégrant à la stratégie de l'entreprise (à l'aide du tableau de bord équilibré de Kaplan) puis en les mesurant selon des indicateurs de résultats et de performance. Un modèle d'évaluation calqué sur le modèle d'évaluation des capacités logiciel (« Capability Maturity Model » ou CMM en anglais) est proposé. Il permet à l'entreprise de se situer dans une perspective d'amélioration continue. On retrouve ainsi dans COBIT des outils de management de la qualité qui sont de plus en plus compris et utilisés à tous niveaux dans les entreprises, ce qui devrait, en retour, inciter celles-ci à s'en inspirer. Claude Mauvais Références : Sur COBIT : sites Web www.isaca.org, www.itgi.org •Il existe 3 versions de COBIT. La version 2 a été traduite en français par l'AFAI (Association Française de l'Audit et du Conseil Informatique). Sur les processus : •Méthodes et pratiques de la performance. Philippe LORINO. Les Éditions d'Organisation. •Dossier spécial de la Revue Française de Gestion N° 104, 1995.
  • 8.
    34 La Lettred'ADELI n° 43 – Avril 2001 ANNEXE : Les processus du modèle COBIT Critères Ressources PROCESSUS (1) (2) (3) (4) (5) (6) (7) (a) (b) (c) (d) (e) PO1 Définir un plan stratégique P S ✔ ✔ ✔ ✔ ✔ PO2 Définir l'architecture d'information P S S S ✔ ✔ PO3 Déterminer la ligne stratégique P S ✔ ✔ PO4 Définir l'organisation informatique et ses liaisons P S ✔ PO5 Gérer les investissements informatiques P P S ✔ ✔ ✔ ✔ PO6 Communiquer les buts de la direction P S ✔ PO7 Gérer les ressources humaines P P ✔ PO8 Assurer le respect des exigences externes P P S ✔ ✔ ✔ PO9 Évaluer les risques S S P P P S S ✔ ✔ ✔ ✔ ✔ PO10 Gérer les projets P P ✔ ✔ ✔ ✔ Planification&organisation PO11 Gérer la qualité P P P S ✔ ✔ AI1 Identifier les solutions P S ✔ ✔ ✔ AI2 Acquérir et maintenir les logiciels d'application P P S S S ✔ AI3 Acquérir et maintenir l'architecture technologique P P S ✔ A14 Développer et maintenir les procédures informatiques P P S S S ✔ ✔ ✔ ✔ AI5 Installer et accréditer les systèmes P S S ✔ ✔ ✔ ✔ ✔ Acquisition& Implémentatio AI6 Gérer les changements P P P P P ✔ ✔ ✔ ✔ ✔ DS1 Définir les niveaux de service P P S S S S S ✔ ✔ ✔ ✔ ✔ DS2 Gérer les services sous-traités P P S S S S S ✔ ✔ ✔ ✔ ✔ DS3 Gérer les performances et les capacités P P S ✔ ✔ ✔ DS4 Assurer la continuité des services P S P ✔ ✔ ✔ ✔ ✔ DS5 Assurer la sécurité des services P P S S S ✔ ✔ ✔ ✔ ✔ DS6 Identifier et imputer les coûts P P ✔ ✔ ✔ ✔ ✔ DS7 Former les utilisateurs P S ✔ DS8 Assister et conseiller les clients P ✔ ✔ DS9 Gérer la configuration P S S ✔ ✔ ✔ DS10 Gérer les problèmes et les incidents P P S ✔ ✔ ✔ ✔ ✔ DS11 Gérer les données P P ✔ DS12 Gérer les installations P P ✔ DS13 Gérer les opérations P P S S ✔ ✔ ✔ ✔ Livraison&Support DS9 Gérer la configuration P S S ✔ ✔ ✔ M1 Surveiller les processus P S S S S S S ✔ ✔ ✔ ✔ ✔ M2 Assurer l'adéquation du contrôle interne P P S S S S S ✔ ✔ ✔ ✔ ✔ M3 Donner une assurance indépendante P P S S S S S ✔ ✔ ✔ ✔ ✔ Surveillance M4 Effectuer des audits indépendants P P S S S S S ✔ ✔ ✔ ✔ ✔ •Efficacité (a) Personnel •Efficience (b) Application •Confidentialité (c) Technologie •Intégrité (d) Infrastructures •Disponibilité (e) Données •Conformité •Fiabilité •P critère Primaire S critère secondaire