L’ISACA vient de publier la version 5 de CobiT, cadre de référence pour identifier les mauvaises pratiques, les vulnérabilités et les dysfonctionnements de la fonction informatique. Une nouvelle mouture qui apporte plusieurs améliorations.
Le DSI est depuis toujours à la recherche des processus qui assurent le fonctionnement de son système d’information, à l’image des processus qui assurent le fonctionnement des métiers de l’entreprise.
Cette quête est d’autant plus forte de nos jours que plusieurs tendances se conjuguent :
- Le système d’information devient de plus en plus important dans les entreprises
- Le DSI évolue vers des fonctions ayant plus d’influence sur le cœur de métier de l’entreprise
- La pression augmente pour une utilisation plus efficiente des ressources du SI
- La prise en compte des risques liés au SI et leur gestion s’impose de plus en plus.
CobiT est la réponse à ces enjeux et le débat utile, aujourd’hui, portera sur comment faire vivre opérationnellement CobiT dans le SI de l’entreprise. CobiT est un cadre de référence qui précise les objectifs à atteindre par tout SI d’une entreprise. Le « ob » de CobiT signifie d’ailleurs « Objective ». Il est important de bien comprendre que CobiT spécifie le Quoi (quel objectif atteindre) et qu’il laisse libre sur le Comment : quelle manière utiliser pour y arriver.
Une fusion CobiT / RiskIT / ValIT
Une avancée importante de la V5 de CobiT est l’intégration dans une même structure de plusieurs anciens standards : CobiT V4.1 bien évidemment, mais également ValIT et RiskIT. ValIT est un modèle qui vise essentiellement à mettre en évidence la valeur au regard des métiers générée par les investissements dans l’informatique, à veiller à sélectionner les projets informatiques sur cette base et à contrôler que les bénéfices attendus sont effectivement réalisés.
La logique de couverture complète par CobiT de l’ensemble des processus du SI a mené à l’intégration de ValIT. Dans les principaux processus de CobiT V5, plusieurs fonctionnalités de ValIT sont reprises : établir et maintenir le cadre de gouvernance, assurer l’optimisation de la valeur, gérer le portefeuille, les programmes et les projets.
RiskIT, pour sa part, est un modèle qui vise à établir la gouvernance du risque lié au système d’information, à évaluer ce risque et à y répondre. RiskIT comprend également un générateur de scénarios de risques (liés au système d’information), le concept de carte des risques système d’information, les indicateurs clés de risque… qui restent de grande utilité. Toujours dans la logique de couverture complète du SI, les principaux processus de CobiT V5 reprennent deux fonctionnalités de RiskIT : assurer l’optimisation du risque et gérer les risques.
Des processus de gouvernance et des processus de gestion
La confusion entre gouvernance et gestion est souvent forte. CobiT V5 met fin à toute ambiguïté sur le sujet en séparant les processus de gouvernance (dans le domaine « évaluer, Diriger et Surveiller ») d’une part, des processus de gestion, d’autre part (dans les domaines « Aligner, Planifier et Organiser », « Bâtir, Acquérir et Implémenter », « Délivrer, Servir et Supporter », « Monitorer, évaluer et Apprécier ».
L’objectif étant de piloter et de contrôler le système d’information de l’entreprise en s’appuyant sur CobiT, il est nécessaire de bien en comprendre d’abord la structure d’ensemble. Le processus est l’élément central à prendre en considération dans toute mise en application. CobiT V5 en a identifié 36. Quatre processus de gouvernance sont regroupés dans le domaine « évaluer, Diriger et Surveiller » et trente-deux processus de gestion regroupés dans les quatre autres domaines.
Chaque processus est accompagné dans CobiT :
- D’un identifiant (abréviation du nom de domaine) et d’un numéro.
- D’un nom de processus : il désigne le sujet principal du processus.
- D’une courte description.
Les pratiques de gestion et de gouvernance
Chaque processus est constitué de quelques pratiques, de gouvernance et de gestion. Il y a au total 208 pratiques (15 de gouvernance et 193 de gestion), soit en moyenne environ six pratiques par processus. Chaque pratique est, elle aussi, accompagnée d’une identification constituée de l’identifiant du processus et d’un numéro, du titre de la pratique, et d’une courte description.
Il est fondamental de bien comprendre que les pratiques définissent des objectifs à atteindre et non les solutions pour les atteindre. En d’autres termes, ce sont des Quoi et pas des Comment. Même s’il est tentant de considérer les pratiques (de gouvernance ou de gestion) comme éléments de base dans le fonctionnement de CobiT, il est hautement recommandé de baser le fonctionnement sur les processus et de considérer celles-ci comme des composantes du processus. Cette tentation, qu’il est hélas souvent possible d’observer sur le terrain, fait l’impasse sur toute la dynamique liée aux processus. à chaque pratique sont associées un certain nombre d’activités qui constituent des guides pour atteindre les objectifs des pratiques de gestion et de gouvernance du SI de l’entreprise.
Ces activités (généralement cinq à dix activités par pratique de gestion ou de gouvernance) :
- Sont orientées action
- Sont en ligne avec les entrées et sorties de la pratique
- Sont basées sur des meilleurs pratiques généralement reconnues
- Doivent être adaptées au contexte de l’entreprise
- Précisent, comme il a été souvent souligné, le Quoi et non le Comment
- Sont prévues pour s’adapter à la distribution des rôles prévue pour chaque pratique.
Des livrables pour chaque pratique
Des processus fonctionnent parce que les personnes en charge de les faire fonctionner émettent et reçoivent des informations.
CobiT définit les informations que la bonne mise en œuvre de chaque pratique de gestion et de chaque pratique de gouvernance est censée produire. En fait, CobiT définit l’appellation de l’information en question mais il n’en détaille pas le contenu.
Pour chaque pratique de gestion et de gouvernance, CobiT spécifie les informations suivantes :
- Les informations en sortie de la pratique, avec leur destination
- En interne du processus en question
- Un autre processus de CobiT
- La gestion des affaires de l’entreprise hors SI et donc hors CobiT. - Les informations en entrée de la pratique, avec leur origine
- En interne du processus en question
- Un autre processus de CobiT
- La gestion des affaires de l’entreprise hors SI et donc hors CobiT.
Il convient d’être conscient qu’il ne faut pas prendre au pied de la lettre cette question de la circulation de l’information et ne s’engager dans la mise en place d’un processus que si l’information en entrée est disponible, fiable, à jour… parce que c’est la meilleure manière de créer un système autobloquant ! Il faudra donc veiller, dans les premières étapes de fonctionnement d’un processus, à prévoir son fonctionnement en disposant d’informations partielles en entrée.
CobiT définit pour chaque pratique de gestion et pour chaque pratique de gouvernance quelles sont les responsabilités de l’ensemble des parties prenantes.
Ces parties prenantes sont définies de manière générique dans CobiT (par exemple : DSI, DFA, responsables métiers, DRH, chef de projet…). Il est important de remarquer que certaines parties prenantes sont internes à la DSI, d’autres sont externes à la DSI
Cette responsabilité des parties prenantes par rapport à chacune des pratiques de gestion et des pratiques de gouvernance s’exprime dans CobiT sous la forme d’une approche de type RACI (Responsable, « Accountable », Consulté, Informé).
Comme à l’occasion de chaque nouvelle version, CobiT spécifie la correspondance entre la nouvelle version et l’ancienne. Rappelons que la version 5 est non seulement le successeur de CobiT V4.1, mais qu’elle succède également à ValIT et à RiskIT. Le mapping de la nouvelle V5 intègre évidemment cette situation. Le mapping est détaillé, au niveau de chaque pratique de gestion et de gouvernance, correspondant aux anciens objectifs de contrôle des versions antérieures.
CobiT définit également les entités suivantes reliées entre elles dans une démarche de type « cascade » :
- Les objectifs système d’information d’entreprise.
- Les objectifs d’entreprise.
- Les métriques métiers d’entreprise.
- Les métriques système d’information d’entre-
prise.
Cette cascade permet d’assurer le lien entre les objectifs d’entreprise et les processus CobiT.
à chaque processus sont associés quelques objectifs qui lui sont spécifiques. Ces objectifs permettent d’adapter la compréhension, et la mise en œuvre, du processus au contexte de l’entreprise. à chaque objectif sont associées deux ou trois métriques. On ne confondra pas les objectifs qui sont spécifiques à un processus donné (et leurs métriques) avec les objectifs système d’information d’entreprise (et leurs métriques) qui sont définis sur l’ensemble du système d’information.
Les processus de CobiT | |
Domaines de CobiT | Processus |
évaluer, Diriger et Surveiller |
|
Aligner, Planifier et Organiser |
|
Bâtir, Acquérir et Implémenter |
|
Délivrer, Servir et Supporter |
|
Monitorer, évaluer et Apprécier |
|
Source : La boîte à outils du DSI : implémenter CobiT V5, Best Research, 152 pages, 2012. |
Cet article a été écrit par Jean-Pierre Delvaux.